よくお客様環境は100%NATされている。

その理由は？

一般的に言われる目的
IPv4のアドレス枯渇問題　⇒　それは違う！！

大きく2つのパターンがある

①社内LANからサーバにアクセスする場合のNAT（インフラ、アプリ問わず）
やはり、1番の問題は、プライベートのLANの情報を公開したくない。
（※けどなんかあんまりいつも本当に意味あんのかなって思う。結局必要なポートを解放するわけで。。。。。）

最近は、VPN装置を介してアクセスさせるところが多い。私もこちらのほうが使いやすく好きです。
さらにVPN接続時にはワンパス発行にしている会社も多いので、これが私は一番好きです。セキュリティ的にも高い。
コストは無視して。。

②WEBサーバがFWでNATしている理由
FWで不要ポート等の攻撃を遮断したい。
サーバに直接侵入させたくない。あたりだろうか。

DMZからは、必要ポートのみを開けてAPLサーバへ　⇒　APLサーバから⇒　必要なポートのみを許可してDBサーバへ　
これが一番セキュリティが高そう。

DMZにWEBサーバが仮に侵入され、そこからDBサーバまでsshとかで接続でき、またはWEBサーバからSQL発行できたりしたら
それってどういう構成？？
その構成ならはっきり言ってインフラエンジニアいらねーだろってことだと思うんですよね。

よっぽどWEBサーバのセキュリティ構成に自信がある会社がやることだと思いますね。