Application Note Création d`une DMZ
Transcription
Application Note Création d`une DMZ
Application Note Création d’une DMZ Table des matières 1 Création du réseau DMZ .......................................................................... 4 2 Accessibilité des serveurs web et de messagerie .................................... 5 3 Configuration du firewall ......................................................................... 7 Cette fiche applicative présente la configuration d’une zone démilitarisée ou DMZ. Celle-ci permet de rendre accessible des services tels que le serveur web ou la messagerie aux personnes se trouvant soit dans l’entreprise ou à l’extérieur de celle-ci. Nous allons traiter l’architecture suivante : La DMZ représentée ci-dessus a pour réseau 192.168.1.0/24. Un serveur web et un serveur de messagerie y sont placés. Depuis une personne d’Internet, l’accès aux deux services est autorisé mais la communication vers le LAN de l’entreprise est interdite. Depuis le LAN de l’entreprise, les utilisateurs peuvent aussi accéder aux deux serveurs. 1 Création du réseau DMZ Nous allons créer la DMZ en configurant un VLAN. Le port Eth1 sera affecté à ce VLAN et l’adresse 192.168.1.254 lui sera attribuée. 2 Accessibilité des serveurs web et de messagerie Pour rendre accessible les serveurs, nous allons configurer 2 redirections de port : Serveur web http: Serveur messagerie smtp: port 80 port 25 Etant donné que le serveur web utilise le port 80, nous devons modifier avant tout le port web du routeur d’accès. Nous changeons le port http en 8080. Les 2 services utilisent le protocole TCP. Les 2 règles sont configurées pour les 2 machines. 3 Configuration du firewall Par défaut, le firewall du routeur d’accès Falcon va rejeter tous les flux sauf ceux issus des 2 règles de redirection de port que nous avons créées. Afin de permettre l’accès à la DMZ pour le personnel de l’entreprise, nous devons configurer une règle de flux du VLAN1 (LAN de l’entreprise) vers le VLAN2 (DMZ). Le firewall possède la fonction d’inspection de paquets dynamique (statefull packet filtering), reconnaît les paquets issus d’une requête de machines autorisées et applique donc une autorisation à la réponse. Une seule règle suffit alors.