Architecture Web + SQL + Firewall

Le
Martinus
Salut à tous,

Actuellement tous mes serveurs (SQL, WEB, FTP sous Win2K) sont
hebergés dans une baie et chaque serveur a sa propre IP publique sans
firewall

J'ai donc décidé de changer cela mais je n'y connais pas grand chose.
J'ai donc repris ce que j'ai glané ici ou là sur le Net et je pense
que l'architecture idéale (sécuritaire mais que j'ai une chance de
pouvoir gérer sans vrais est la suivante :
http://mforum.chez.tiscali.fr/images/Wan1.gif

Ce que je ne comprend pas c'est comment je fais pour : ??
- Me connecter à distance depuis mes bureaux pour administrer mes
serveurs qui n'ont pas d'adresses publiques ?
- Est-ce que les serveurs web doivent avoir une adresse Ip publique
et aussi une adresse ip locale ?


Par ailleurs
Actuellement mes serveurs utilisent environ 5 Mbits de bande passante
et il y a environ 1200 connexions simultannées. Je pense donc mettre
comme firewall un Cisco Pix 515, une FireBoox X500 ou un NetSreen 50.
Une préférence ?

Merci à tous
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cedric Blancher
Le #573475
Le Fri, 30 Apr 2004 08:32:10 +0000, Martinus a écrit :
Actuellement tous mes serveurs (SQL, WEB, FTP sous Win2K) sont
hebergés dans une baie et chaque serveur a sa propre IP publique sans
firewall ...


C'est mal. C'est typiquement le genre de configuration qui fait le succès
de vers comme Slammer ou Blaster... <joke>Internet vous en remercie</joke>.

http://mforum.chez.tiscali.fr/images/Wan1.gif


C'est une architecture de base, on peut encore l'améliorer, mais c'est
déjà un très bon début (par rapport à l'existent).

Ce que je ne comprend pas c'est comment je fais pour : ??
- Me connecter à distance depuis mes bureaux pour administrer mes
serveurs qui n'ont pas d'adresses publiques ?


La manière la plus simple est d'utiliser un firewall supportant les liens
IPSEC. Vous configurez un accès IPSEC, authentifié par certificat, entre
vos bureaux et votre firewall.

Bureaux ---- Internet ------ FW ------- DMZ
`------- IPSEC --------'
`------ Backend

Configurez votre firewall pour que les accès d'administration ne puissent
venir que du lien IPSEC. Les connexions depuis Internet n'auront droit
qu'aux ports HTTP et HTTPS sur vos serveurs Web.

- Est-ce que les serveurs web doivent avoir une adresse Ip publique
et aussi une adresse ip locale ?


Non, ce n'est pas la peine. C'est la configuration de firewall qui
conditionnera votre sécurité. Elle est donc fondamentale, comme vous
pouvez le constater, en particulier en ce qui concerne les accès pour
l'administration.

--
Qui peut m'expliquer comment fonctionne le fusible thermique sur les
processeurs. Est ce que cela peut se configurer ?
-+- DA in :
Martinus
Le #573223
La manière la plus simple est d'utiliser un firewall supportant les liens
IPSEC. Vous configurez un accès IPSEC, authentifié par certificat, entre
vos bureaux et votre firewall.

Bureaux ---- Internet ------ FW ------- DMZ
`------- IPSEC --------'
`------ Backend

Configurez votre firewall pour que les accès d'administration ne puissent
venir que du lien IPSEC. Les connexions depuis Internet n'auront droit
qu'aux ports HTTP et HTTPS sur vos serveurs Web.


A titre indicatif, les firewall choisis sont-ils pourvus de cette
technologie ?

Cedric Blancher
Le #573218
Le Fri, 30 Apr 2004 15:45:54 +0000, Martinus a écrit :
A titre indicatif, les firewall choisis sont-ils pourvus de cette
technologie ?


Oui.
À titre personnel, je préfère le Netscreen, mais c'est parce que c'est
celui sur lequel je me sens le plus à l'aise.

À titre purement indicatif, je pense que faire appel à des
professionnels pour la définition et l'implémentation du ton
architecture ne serait pas un mail.

--
BOFH excuse #200:

The monitor needs another box of pixels.

Publicité
Poster une réponse
Anonyme