Прежде всего, извините, мой паршивый английский, так как это не мой естественный язык.Итак ... в моей компании мы запрещаем весь трафик от внешних интерфейсов к серверу интрасети (аппаратный брандмауэр).Это должно быть очевидно.Кроме того, мы разрешаем трафик только из диапазона внутренних IP-адресов.В самом приложении, это просто хорошо известная CMS.Кроме того, сервер MySQL разрешает только трафик с / на сервер Apache.И мы закрыли все порты, кроме https (на apache) и не по умолчанию для SSH.Эта небольшая настройка в другом диапазоне сети также находится за прокси / брандмауэром (unTangle), который обеспечивает дополнительную защиту, ведение журнала и NAT.Надеюсь, что это может "осветить" вас немного больше.
РЕДАКТИРОВАТЬ: Сам CMS, позволяет установить модуль / плагин для управления разрешениями на основе уровня / категории пользователя.