Il existe de nombreuses manières de structurer un réseau pour protéger des systèmes à l'aide d'un pare-feu.
Si l'on dispose de connexions dédiées à Internet par un routeur, on peut connecter directement celui-ci au système pare-feu. Au contraire, on peut passer par un hub pour permettre un accès complet aux serveurs à l'extérieur du pare-feu.
On peut configurer un certain nombre de règles de filtrage matérielles dans le routeur. Néanmoins, ce routeur peut être la propriété d'un FAI (fournisseur d'accès Internet), auquel cas on ne dispose pas du contrôle de celui-ci. Il faut demander au FAI d'y inclure des filtres (NdT : et avoir pleine confiance dans son FAI !).
_________ __________ _/\__/\_ | Routeur | | | ___________ | | | sans | (DMZ) | Systeme | (LAN) | Postes de | / Internet \----| filtre |--(HUB)--| pare-feu |--(HUB)--| travail | \_ _ _ _/ |_________| | |__________| |___________| \/ \/ \/ | (Serveur pour) (l'exterieur)
On peut aussi utiliser un service commuté comme une ligne RNIS. Dans ce cas on peut utiliser une troisième carte réseau pour créer une DMZ (De-Militarized Zone, ou "zone démilitarisée") filtrée. Cela donne un contrôle total sur les services Internet et maintient la séparation avec le réseau local normal.
__________ _/\__/\_ | | ___________ | | | Systeme | (LAN) | Postes de | / Internet \----| pare-feu |--(HUB)--| travail | \_ _ _ _/ |__________| |___________| \/ \/ \/ | (DMZ) (HUB)
Si l'on ne fournit pas soi-même des services Internet mais que l'on souhaite surveiller où vont les utilisateurs, on voudra utiliser un serveur mandataire (bastion). Cela peut être intrégré dans le pare-feu.
__________ _/\__/\_ | Systeme | ___________ | | | pare-feu/| (LAN) | Postes de | / Internet \----| bastion |--(HUB)--| travail | \_ _ _ _/ |__________| |___________| \/ \/ \/
On peut aussi placer le serveur mandataire sur le réseau local. Dans ce cas, les règles du pare-feu ne doivent autoriser que le bastion à se connecter à Internet pour les services que celui-ci fournit. Ainsi les utilisateurs ne peuvent accéder à Internet que par le mandataire.
__________ _/\__/\_ | | ___________ | | | Systeme | (LAN) | Postes de | / Internet \----| pare-feu |--(HUB)--| travail | \_ _ _ _/ |__________| | |___________| \/ \/ \/ | ____________ | | Serveur | +----| mandataire | |____________|
Si l'on souhaite réaliser un service comme ceux de Yahoo! ou peut-être SlashDot, on peut souhaiter réaliser une architecture redondante de routeurs et pare-feux (cf. High Availability HOWTO).
En utilisant une technique de DNS à jeton tournant ou à l'aide de serveurs d'application à équilibrage de charge, on peut créer un service à 100% de disponibilité.
_/\__/\_ _/\__/\__/\ | | | | / FAI No 1 \______ (WAN)_____/ Partenaires \ \_ _ _ _/ | (HUB) \_ _ _ _ _/ \/ \/ \/ | ___|____ \/ \/ \/ \/ __|____ |_______ | _/\__/\_ |______ | | || ______ | | | || (DMZ) |Systeme || (LAN) | | / FAI No 2 \--|Routeur||--(HUB)--|pare-feu||--(HUB)--|Postes| \_ _ _ _/ |_______| | |________| | |______| \/ \/ \/ | | | ______ (Serveur) (Serveur) | |Manda-| (exterieur) (commun) +----|taire | |______|
Il est facile de voir corrompre son réseau local. Il faut conserver le contrôle de chaque connexion. Il suffit d'un utilisateur avec un modem pour compromettre tout un réseau local.