水平方向のスケーラビリティーとサービスのセキュリティーの両方をサポートするには、ファイアウォールの背後にアーキテクチャーのアクセス層を配置する配備構成をお勧めします。2 層アーキテクチャーでは、2 つのファイアウォールを使用して DMZ を作成します。これは、2 番目のファイアウォールの背後にある内部ネットワークのメインサービス要素を保護しながら、情報配信要素、カレンダおよびメッセージングフロントエンドへのアクセスを可能にします。また、このような構成は、アクセス層とデータ層の要素を個別に拡大縮小して、トラフィックおよびストレージ要素に対応することができます。
ネットワークへのアクセスを制限することは、セキュリティー戦略の重要なポイントとなります。通常は、ファイアウォールを使用してネットワークへの全般的なアクセスを制限します。ただし、電子メールはサイト外から使用できるようにしておく必要があります。SMTP がそのサービスの 1 つに該当します。
ネットワークのセキュリティーを確保するには、次の条件が必要となります。
使用しないポート上で待機している、オペレーティングシステムが提供するすべてのサービスを停止します。
可能な場合は、telnet を sshd に置き換えます。
パケットフィルタで内部発信元 IP アドレスを持つ外部パケットを拒否し、その背後にアプリケーションサーバーを配置します。パケットフィルタは、明示的に指定したポート以外に向けたすべての外部接続を遮断します。