Pa vidi, struktruirana mreža je tačno ono što ti ne predlažeš:
Code:
{internet}
[fw]
|
[sw]---+--------+...
| | |
[WEB] [LAN-1] [LAN-2]
Bez obzira što ćeš da staviš interne adrese na LAN-x računare, oni će uvek da budu dostupni preko nižeg sloja (L2), dakle, potpuno je isto da li si stavio interne ili eksterne adrese - ništa nisi postigao.
Što se tiče pretpostavke da će web server biti provaljen, nisu svi administratori genijalci kao što pokušavaju da se predstave svetu. Dakle, pretpostavka da će nešto da krene kako ne treba je pretpostavka kojom se treba voditi u dizajnu dobrih mreža. Kao što ti očigledno već znaš, neki od nas su se opekli još '97 :-).
Naravno, sve ovo iznad nije ni Microsoftova ni Ciscova izmišljotina, već
best practice već godinama u ozbiljno projektovanim mrežama. Ja sam spomenuo PIX za Cisco ljubitelje. Ko ne želi da se bakće sa PIX-om, naravno, može da reši problem i sa drugim tipom firewalla (Nokia, Checkpoint, Linux, pa čak i ISA).
Poenta je u logičkoj podeli mreže na tri segmenta, kao što spomenuh u prethodnoj poruci.
Marko.