У меня есть блок из 5 статических IP-адресов, и я собираюсь запустить обмен и веб-сервер на сайте. Мне интересно, следует ли мне разделять IP-адрес веб-сервера, IP-адрес почты и IP-адрес внутренней сети. Каковы были бы лучшие практики разделения внутренней и внешней сетей?
Серверы будут находиться в DMZ и за нашим брандмауэром.
Я бы разделил все эти услуги. Это более безопасно по-разному:
Я не понимаю, что вы имеете в виду под внутренним IP? Это для NAT? Если это так, вам действительно следует отделить и его.
Также позаботьтесь о правилах вашего брандмауэра в зависимости от службы. Всегда белый список вместо черного. Если одной службе не нужно видеть другую, заблокируйте ее.
Лучшие из лучших практик (см. Также: самые параноики) используют отдельную DMZ для каждой функции. В вашем случае это будет отдельная DMZ для веб-сервера и еще одна для инфраструктуры Exchange. Каждое устройство получает только ограниченное представление о внутренней сети и, что важно, не может видеть другие устройства DMZ.