Avant d'aller plus loin dans mes questions je voudrais valider
l'architecure de base et simple à monter pour l'hebergement de sites
web dynamiques (ASP sous Win 2K) accompagné de serverus SQL.
Les besoins sont simples :
- Permettre aux serveurs web de se connecter avec SQL
- Permettre d'administrer les serveurs SQL à distance (VPN)
- Empecher un tiers d'accerder aux Serveurs SQL
Le moyens financiers sont limités et les connaissances techniques
moyennes donc la solution doit rester accessible à un bon ingenieur
polyalent :
Voila le plan de base que j'ai fait avec l'utilisation de 2 Switch
3Com Baseline 10/100 (130 chaque) rackable independants et un
firewall Watchguard FireBox X500 (1800 )
Voici le plan prévu ...
http://perso.wanadoo.fr/martinus/archi.gif
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"Martinus" wrote in message news:
Voici le plan prévu ... http://perso.wanadoo.fr/martinus/archi.gif
Qu'en pensez vous ????
Qu'un principe d'architecture n-tiers serait mieux adapté à mon avis. Soit une première DMZ pour les frontaux web, et les serveurs de donnés dans une seconde DMZ derrière la première. Enfin, certains vont même jusqu'à placer une DMZ supplémentaire encore en amont pour y placer des reverse proxys qui feront le filtrage d'URL. Selon ton besoin, vois ce qu'il te faut :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Martinus" <svn650@libertysurf.fr> wrote in message
news:aq9mk05opjbe595f78l0cp8qcqh19r5fqv@4ax.com
Voici le plan prévu ...
http://perso.wanadoo.fr/martinus/archi.gif
Qu'en pensez vous ????
Qu'un principe d'architecture n-tiers serait mieux adapté à mon avis.
Soit une première DMZ pour les frontaux web, et les serveurs de
donnés dans une seconde DMZ derrière la première.
Enfin, certains vont même jusqu'à placer une DMZ supplémentaire encore
en amont pour y placer des reverse proxys qui feront le filtrage d'URL.
Selon ton besoin, vois ce qu'il te faut :-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Voici le plan prévu ... http://perso.wanadoo.fr/martinus/archi.gif
Qu'en pensez vous ????
Qu'un principe d'architecture n-tiers serait mieux adapté à mon avis. Soit une première DMZ pour les frontaux web, et les serveurs de donnés dans une seconde DMZ derrière la première. Enfin, certains vont même jusqu'à placer une DMZ supplémentaire encore en amont pour y placer des reverse proxys qui feront le filtrage d'URL. Selon ton besoin, vois ce qu'il te faut :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
RAKOTOMALALAL Renaud
Salut à tous,
Avant d'aller plus loin dans mes questions je voudrais valider l'architecure de base et simple à monter pour l'hebergement de sites web dynamiques (ASP sous Win 2K) accompagné de serverus SQL.
Les besoins sont simples : - Permettre aux serveurs web de se connecter avec SQL - Permettre d'administrer les serveurs SQL à distance (VPN) - Empecher un tiers d'accerder aux Serveurs SQL
[../..]
Voici le plan prévu ... http://perso.wanadoo.fr/martinus/archi.gif
Bonjour,
Pour ma part ton architecture me semble coirrect, je rajouterais cependant un firewall-appliatif afin que tes frontaux web en cas de detournement du code ne puisse pas balancer n'importe quel instruction SQL par injection de code.
Qui plus est tu ne dois pas autoriser de connexion autre que SQL (ou pas du tout si tu interposes un firewall-applicatif/SQL) entre ta DMZ et ton réseau local, car si un de tes frontaux est compromis, tout le réseau l'est.
Cordialement,
PS: FU2 fr.comp.securite qui sera peut être plus approprié pour ce type d'echange. -- RENAUD RAKOTOMALALA W-CONSULTING http://www.w-consulting.fr
Salut à tous,
Avant d'aller plus loin dans mes questions je voudrais valider
l'architecure de base et simple à monter pour l'hebergement de sites
web dynamiques (ASP sous Win 2K) accompagné de serverus SQL.
Les besoins sont simples :
- Permettre aux serveurs web de se connecter avec SQL
- Permettre d'administrer les serveurs SQL à distance (VPN)
- Empecher un tiers d'accerder aux Serveurs SQL
[../..]
Voici le plan prévu ...
http://perso.wanadoo.fr/martinus/archi.gif
Bonjour,
Pour ma part ton architecture me semble coirrect, je rajouterais
cependant un firewall-appliatif afin que tes frontaux web en cas de
detournement du code ne puisse pas balancer n'importe quel instruction
SQL par injection de code.
Qui plus est tu ne dois pas autoriser de connexion autre que SQL (ou pas
du tout si tu interposes un firewall-applicatif/SQL) entre ta DMZ et ton
réseau local, car si un de tes frontaux est compromis, tout le réseau l'est.
Cordialement,
PS: FU2 fr.comp.securite qui sera peut être plus approprié pour ce type
d'echange.
--
RENAUD RAKOTOMALALA
W-CONSULTING http://www.w-consulting.fr
Avant d'aller plus loin dans mes questions je voudrais valider l'architecure de base et simple à monter pour l'hebergement de sites web dynamiques (ASP sous Win 2K) accompagné de serverus SQL.
Les besoins sont simples : - Permettre aux serveurs web de se connecter avec SQL - Permettre d'administrer les serveurs SQL à distance (VPN) - Empecher un tiers d'accerder aux Serveurs SQL
[../..]
Voici le plan prévu ... http://perso.wanadoo.fr/martinus/archi.gif
Bonjour,
Pour ma part ton architecture me semble coirrect, je rajouterais cependant un firewall-appliatif afin que tes frontaux web en cas de detournement du code ne puisse pas balancer n'importe quel instruction SQL par injection de code.
Qui plus est tu ne dois pas autoriser de connexion autre que SQL (ou pas du tout si tu interposes un firewall-applicatif/SQL) entre ta DMZ et ton réseau local, car si un de tes frontaux est compromis, tout le réseau l'est.
Cordialement,
PS: FU2 fr.comp.securite qui sera peut être plus approprié pour ce type d'echange. -- RENAUD RAKOTOMALALA W-CONSULTING http://www.w-consulting.fr
Martinus
On Sun, 19 Sep 2004 16:36:35 +0000 (UTC), "T0t0" wrote:
"Martinus" wrote in message news:
Voici le plan prévu ... http://perso.wanadoo.fr/martinus/archi.gif
Qu'en pensez vous ????
Qu'un principe d'architecture n-tiers serait mieux adapté à mon avis. Soit une première DMZ pour les frontaux web, et les serveurs de donnés dans une seconde DMZ derrière la première. Je vois pas bien comment cela peut s'articuler ...
Vous connaissez des sites qui donnent des shemas explicatif clairs ?
Enfin, certains vont même jusqu'à placer une DMZ supplémentaire encore en amont pour y placer des reverse proxys qui feront le filtrage d'URL. Selon ton besoin, vois ce qu'il te faut :-) Je ne pense pas avoir besoin d'aller si loin ...
"Martinus" <svn650@libertysurf.fr> wrote in message
news:aq9mk05opjbe595f78l0cp8qcqh19r5fqv@4ax.com
Voici le plan prévu ...
http://perso.wanadoo.fr/martinus/archi.gif
Qu'en pensez vous ????
Qu'un principe d'architecture n-tiers serait mieux adapté à mon avis.
Soit une première DMZ pour les frontaux web, et les serveurs de
donnés dans une seconde DMZ derrière la première.
Je vois pas bien comment cela peut s'articuler ...
Vous connaissez des sites qui donnent des shemas explicatif clairs ?
Enfin, certains vont même jusqu'à placer une DMZ supplémentaire encore
en amont pour y placer des reverse proxys qui feront le filtrage d'URL.
Selon ton besoin, vois ce qu'il te faut :-)
Je ne pense pas avoir besoin d'aller si loin ...
On Sun, 19 Sep 2004 16:36:35 +0000 (UTC), "T0t0" wrote:
"Martinus" wrote in message news:
Voici le plan prévu ... http://perso.wanadoo.fr/martinus/archi.gif
Qu'en pensez vous ????
Qu'un principe d'architecture n-tiers serait mieux adapté à mon avis. Soit une première DMZ pour les frontaux web, et les serveurs de donnés dans une seconde DMZ derrière la première. Je vois pas bien comment cela peut s'articuler ...
Vous connaissez des sites qui donnent des shemas explicatif clairs ?
Enfin, certains vont même jusqu'à placer une DMZ supplémentaire encore en amont pour y placer des reverse proxys qui feront le filtrage d'URL. Selon ton besoin, vois ce qu'il te faut :-) Je ne pense pas avoir besoin d'aller si loin ...
