A voir également:
- Bbox dmz
- Mess bbox - Forum Mail
- Allumer tv avec télécommande bbox 4k - Forum Téléviseurs
- Http //192.168.l.254 bbox - Forum Réseau
- Dimension bbox must - Accueil - Guide box et connexion Internet
- Bbox controle d'acces wifi - Forum WiFi
3 réponses
Salut,
l'architecture de ton exemple est un peu bizarre effectivement.
Une DMZ est un ensemble de machines (quelquefois une seule) facilement accessibles depuis l'extérieur ainsi que depuis l'intérieur, mais qui ont elles mêmes difficilement accès à l'intérieur. En somme, elles sont plus à l'extérieur qu'à l'intérieur.
Dans l'exemple,
je n'aurais pas mis le serveur dns dans ce qu'ils appellent la DMZ admin, qui serait en fait l'inverse d'une DMZ:
un ensemble de machines qui peuvent accéder à tout, mais qui sont inaccessibles du reste.
Le dns, si c'est un domaine public, devrait être en DMZ, si c'est un domaine privé, avec les serveurs.
l'architecture de ton exemple est un peu bizarre effectivement.
Une DMZ est un ensemble de machines (quelquefois une seule) facilement accessibles depuis l'extérieur ainsi que depuis l'intérieur, mais qui ont elles mêmes difficilement accès à l'intérieur. En somme, elles sont plus à l'extérieur qu'à l'intérieur.
Dans l'exemple,
je n'aurais pas mis le serveur dns dans ce qu'ils appellent la DMZ admin, qui serait en fait l'inverse d'une DMZ:
un ensemble de machines qui peuvent accéder à tout, mais qui sont inaccessibles du reste.
Le dns, si c'est un domaine public, devrait être en DMZ, si c'est un domaine privé, avec les serveurs.
Hello,
DMZ , au sens large est une zone publique où l'on va publier des ressources accessibles depuis l'extérieur.
Je pense que la nomenclature "DMZ Admin" est biaisée, car elle ne publie pas de choses sur le net comme l'a suggérée Brupala.
A mon sens le serveur DNS : il faut le qualifier, si c'est juste un relai DNS, ça va.... si il publie c'est autre chose, il n'a rien à faire à coté des serveurs de logs...
C'est très bien d'avoir séparé cette zone Admin, mais ce n'est pas une DMZ.
Pour les LANs client et serveur, la disposition du Firewall2 est discutable; mais ça reste cohérent.
Il y a d'autres montages avec la DMZ qui est mise en tampon entre 2 Firewalls.
http://i.stack.imgur.com/YxOrI.png
Ici un exemple avec 2 DMZs : http://www-10.lotus.com/ldd/stwiki.nsf/4E353F1DD5C2C3EC852578AF00184FC1/$file/plan_topol_gw_dualdmz2.jpg
Avec 2 DMZ, on a généralement une applicative et une autre "Internet".
On a souvent ce type de topologie dans les grosses infras qui nécessitent plus de sécurité.
On fait des "ruptures protocolaires" entre Internet et les DMZ, puis des DMZ vers le LAN (backend).
Le fait de séparer avec ces DMZ , permet de séparer les flux Applicatifs des flux d'accès.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
DMZ , au sens large est une zone publique où l'on va publier des ressources accessibles depuis l'extérieur.
Je pense que la nomenclature "DMZ Admin" est biaisée, car elle ne publie pas de choses sur le net comme l'a suggérée Brupala.
A mon sens le serveur DNS : il faut le qualifier, si c'est juste un relai DNS, ça va.... si il publie c'est autre chose, il n'a rien à faire à coté des serveurs de logs...
C'est très bien d'avoir séparé cette zone Admin, mais ce n'est pas une DMZ.
Pour les LANs client et serveur, la disposition du Firewall2 est discutable; mais ça reste cohérent.
Il y a d'autres montages avec la DMZ qui est mise en tampon entre 2 Firewalls.
http://i.stack.imgur.com/YxOrI.png
Ici un exemple avec 2 DMZs : http://www-10.lotus.com/ldd/stwiki.nsf/4E353F1DD5C2C3EC852578AF00184FC1/$file/plan_topol_gw_dualdmz2.jpg
Avec 2 DMZ, on a généralement une applicative et une autre "Internet".
On a souvent ce type de topologie dans les grosses infras qui nécessitent plus de sécurité.
On fait des "ruptures protocolaires" entre Internet et les DMZ, puis des DMZ vers le LAN (backend).
Le fait de séparer avec ces DMZ , permet de séparer les flux Applicatifs des flux d'accès.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Dans le cas des architectures à plusieurs Tiers ("3 tiers" généralement) :
- les serveurs frontaux : présentent une "page web"
- les serveurs applicatifs : ils font tourner l'application.
- les serveurs en backend : généralement des serveurs de base données (type SQL ou même des annuaires)
Les flux applicatifs caractérisent les flux de l'application après le premier tiers. Ces flux là le client ne les voit pas, ce sont des flux propres à l'application en question et généralement se font entre "les serveurs".
- les serveurs frontaux : présentent une "page web"
- les serveurs applicatifs : ils font tourner l'application.
- les serveurs en backend : généralement des serveurs de base données (type SQL ou même des annuaires)
Les flux applicatifs caractérisent les flux de l'application après le premier tiers. Ces flux là le client ne les voit pas, ce sont des flux propres à l'application en question et généralement se font entre "les serveurs".
Salut,
La DMZ est derrière le pare feu, ou à côté, en clair elle s'en " libère ", derrière une box elle révèle tous les ports ouverts ou fermés de l'IP locale sur laquelle elle est activée, ce qui veut dire que si ton pare feu de box est désactivé, tu es à poil si le pare feu de ton PC est mal réglé.
La DMZ est derrière le pare feu, ou à côté, en clair elle s'en " libère ", derrière une box elle révèle tous les ports ouverts ou fermés de l'IP locale sur laquelle elle est activée, ce qui veut dire que si ton pare feu de box est désactivé, tu es à poil si le pare feu de ton PC est mal réglé.
Sur une box,
c'est autre chose que sur un firewall,
la dmz c'est juste une adresse ip qui va recevoir toutes les connexions entrantes que le nat statique ne gère pas, la poubelle, quoi.
mais ça peut être pratique pour du P2P ou un VPN.
IL faut effectivement un bon firewall sur une machine mise en DMZ (du moins si elle est sous windows).
c'est autre chose que sur un firewall,
la dmz c'est juste une adresse ip qui va recevoir toutes les connexions entrantes que le nat statique ne gère pas, la poubelle, quoi.
mais ça peut être pratique pour du P2P ou un VPN.
IL faut effectivement un bon firewall sur une machine mise en DMZ (du moins si elle est sous windows).
Attention,
il faut dissocier les zones d'un firewall avec les réseaux IP.
ça peut correspondre,
mais pas forcément, un firewall n'est pas nécessairement un routeur.
Non, la DMZ n'est pas empêcher les machines du réseau protégé à accéder aux machines de la DMZ, mais l'inverse:
que la DMZ ne puisse pas accéder au réseau protégé, mais que le réseau protégé accède à la DMZ et à l'internet.
il faut dissocier les zones d'un firewall avec les réseaux IP.
ça peut correspondre,
mais pas forcément, un firewall n'est pas nécessairement un routeur.
Non, la DMZ n'est pas empêcher les machines du réseau protégé à accéder aux machines de la DMZ, mais l'inverse:
que la DMZ ne puisse pas accéder au réseau protégé, mais que le réseau protégé accède à la DMZ et à l'internet.
Est-ce qu'on pourrait rassembler ces deux DMZ et les mettre avant le firewall 1 ? Je ne sais pas si le serveur DNS doit être public ou non par contre, ce n'est pas indiqué dans l'exercice.
Mais si on fait comme ça, le firewall 2 est inutile non ?
sinon, comme je disais plus haut,
il ne faut surtout pas fusionner la DMZ admin et l'autre: la DMZ admin, c'est le contraire d'une DMZ !!
Si on veut des appareils qui puissent se connecter à tout le sous réseaux sans qu'on puisse y accéder depuis l'intérieur du sous réseaux, on fait comme sur le schéma ? Je ne trouve pas d'autres exemple avec ce genre de zone "DMZ admin"
Je te dis ce que j'en pense puisque tu nous le demandes, le reste, on s'en fout.
Et non,
on n'est pas obligé de faire comme sur le schéma,
par contre qu' un firewall comporte une zone spéciale admin (pas DMZ), oui, c'est plutôt bon.
La hiérarchie des zones, si c'est la question:
niveau 0: l'internet
niveau 1: la DMZ
niveau 2: les serveurs
niveau 3: les utilisateurs
niveau 4: les admin
avec les règles de base:
chaque niveau peut établir une communication avec les niveaux inférieurs, mais pas avec les niveaux supérieurs.
Ceci pouvant être réalisé sur le même firewall.
Le matériel réseau est dans la zone des admin.