INTERNET
|
Routeur Opérateur
|
Firewall Frontend
|
DMZ (VLAN 10)
|
Firewall Backend
|
Switch Cœur de Réseau
|
Réseau interne (VLANs)La DMZ est associée à des dispositifs dont il faut comprendre l’utilité.
Le routeur opérateur est le périphérique qui se connecte directement au réseau de votre fournisseur d’accès Internet (FAI).
Il agit comme passerelle entre le réseau local et Internet.
Interface WAN : côté opérateur (adresse publique ou privée selon les configurations NAT).
côté réseau interne, souvent configurée avec une IP fixe pour la passerelle.
WAN : 192.0.2.1 (adresse publique ou FAI).
LAN : 192.168.1.1 (passerelle interne).
Une sonde réseau est un équipement ou logiciel utilisé pour surveiller, analyser ou capturer le trafic réseau en temps réel.
Elle peut être placée dans différents segments pour collecter des données spécifiques.
Connectée sur un port SPAN (Switched Port Analyzer) du switch pour écouter le trafic.
Peut aussi être positionnée à des points critiques (ex. avant ou après le firewall).
souvent marquée comme monitor-only ou en mode passif.
Le firewall frontend est le pare-feu positionné à l’entrée du réseau, protégeant la zone démilitarisée (DMZ) et le réseau interne des attaques extérieures.
Interface connectée au routeur opérateur (ex. IP publique).
Interface connectée à la DMZ ou au cœur de réseau (ex. 192.168.10.1).
Doivent inclure une limitation des connexions entrantes et sortantes.
La DMZ (Demilitarized Zone) est une zone intermédiaire entre Internet et …
le réseau interne, souvent utilisée pour héberger des services accessibles publiquement (serveurs web, DNS, etc.).
Représente souvent un modèle où :
Le pare-feu frontend protège les services (niveau 6 : ex. serveur applicatif, DNS).
Le pare-feu backend protège la base de données et les services critiques internes (niveau 3 : ex. backend, serveurs internes).
Les IP des serveurs DMZ sont souvent des adresses privées accessibles via NAT.
Le firewall backend protège le réseau interne des éventuelles attaques venant de la DMZ ou des services compromis.
Il agit comme un bouclier pour les données critiques.
DMZ : Interface connectée à la zone intermédiaire.
LAN : Interface connectée au cœur de réseau.
Règles : Souvent strictes (ex. autoriser uniquement certains flux applicatifs).
Le switch cœur de réseau est un switch central, souvent de niveau 3 (L3), qui connecte toutes les branches du réseau (DMZ, LAN, VLANs, etc.).
VLANs configurés pour chaque segment (ex. VLAN 10 pour DMZ, VLAN 20 pour LAN interne).
Adresse IP de gestion pour le switch (ex. 192.168.0.254).
Routage inter-VLAN activé (si switch L3).
INTERNET
|
Routeur Opérateur
|
Firewall Frontend
|
DMZ (VLAN 10)
|
Firewall Backend
|
Switch Cœur de Réseau
|
Réseau interne (VLANs)Configurer NAT/PAT pour la communication entre IP publique et privée.
Appliquer des politiques strictes (ex. filtrage sur ports et IP).
Séparer les services publics et privés dans des VLAN distincts.
Implémenter un contrôle des flux internes (ex. IDS/IPS).
Activer le routage inter-VLAN pour les flux internes.
Division logique où la couche applicative est dans la DMZ (6), tandis que la couche réseau est en backend (3).
Configuration avec deux pare-feu, un protégeant l’accès externe et un autre l’accès interne.
Bonne pratique : utiliser des pare-feu de constructeurs différents pour le frontend et le backend, afin qu’une vulnérabilité commune ne compromette pas les deux. |
DMZ configurée avec une seule interface de firewall (moins sécurisée).