EC-CUBE2.4.4を1サーバのローカル環境でテストしています。
現在、社内のシステム環境は、
ＷＷＷサーバはＤＭＺで外側に配置、それ以外のサーバ群は
内側に設置されています。これに合わせ、
実稼働運用としては、もう１台、EC-CUBE用サーバを追加し、
EC-CUBE用ウェブサーバを同じくファイアウオールの外に置き、
データベースとメールサーバを現状のサーバ内のサービスを使用、
内向けに設置する構築準備をしています。
これが一番ベストな形と思っていますが、
社内運用している方はどうでしょうか？
EC-CUBEシステムからルータを通して、DBとメールにアクセス
できるようにする方法ですが、これがデータベースの改ざんと
メールサーバの不正中継防止するためです。
この体系で注意することなどありますでしょうか？
メールサーバはやはり社内メールサーバのExchangeServerにて、
社内アカウントで認証し、メール送信できるようにして、
MySQLのDBはポート５４３２が許可されていないと
接続ができないと書いてありました。

＞これが一番ベストな形と思っていますが、

ベストな形は個別の環境に依るので一概に言えないと思えますが、一般的な社内運用の形ではあるとは思います。
ただ、その構成だけがDB改ざん等に対する対策になるとは一概に言えないと思います。適切なFWルールやアクセス制限など多方面に渡るためです。
完全な対策を言えばIDPやWAFが選択に入りますし、社内システムと接する点にオープンソース環境を利用する以上は、それなりのリスクとリスク回避の体制が必要かと思います。

また企業によりセキュリティポリシーも異なるので一般論では語れない世界かと思います。きちんと社内セキュリティ担当者やネットワーク担当者に相談された方が良いかと思います。

----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。
[url=h

ほぼ、小生とネットワーク管理部署との検討結果同じなので、良いのでは、と思います。

違うところは、小生の場合、DMZと社内LANはポート21,22,5432のみしか許可してもらえないので、webサーバーからのメール情報は、一旦、社内LAN内のDBに格納して、DBサーバーから社内LANのSMTPに向けて送信する様にしています。

参考までに、
管理画面は通常時はwebサーバー側をdisableにして、DBサーバーで稼動させています。
(DBサーバー側のフロント画面はdisableにしています。)

引用：

小生のところでは、両方共に導入されています。ので、
「IDP WAFが導入されていれば、良いのでは、と思います。」
に訂正させていただきます。