| jer2000 |
Si tu veux de l'hyper sécurisé, ça risque de tout de suite chiffrer, vu qu'il faut envisager le cas une machine /fonction : Etant donné que le firewall doit être tous ports fermés, il ne peut héberger de proxy, qui doit donc être sur une autre machine etc...
Pour répondre, si tu veux une solution rapide et facile, tu peux installer un Zyxel ZyWall qui est un routeur/firewall statefull certifié, et un proxy derrière (squid pour limiter les frais):
INTERNET---------FW:ZyWall-------|-PROXY
|-Client1
|-Client2
L'intéret du proxy (serveur mandataire) est d'executer les requêtes sortantes à la place des clients, de manière à :
-Concentrer les flux applicatifs sur une seule machine sécurisé
-Faciliter l'administration des règles de sécurité vu que seul le proxy génère du flux sortant.
-Isoler les machines clientes puisqu'elles n'ont pas le droit de sortir sur le web (voir même supprimer la default gateway des clients pour qu'ils ne puissent pas sortir).
-Appliquer des filtrages au niveau utilisateur, applicatif, etc... (authentification, filtrage anti-virus, Access-list, etc...)
Cette solution reste Chip puisque le mieux, c'est d'avoir:
INTERNET-------Routeur-------FW------|-PROXY
|-clients
|-...
Et encore, il pourrait falloir des DMZs.
En fait, il y a énormément de possibilités, et il faut qu'en tant qu'administrateur, tu évalues le risque d'une part, et les contrôle dont tu as besoin d'autre part...
La sécurité, c'est aussi complexe par la multiplicité des contrôles possibles.
Mais il ne faut pas perdre de vue que plus il y a de contrôle et de filtrage, plus les perfs de ta connexion diminuent.
Tu doit donc arriver à situer ton besoin entre Production et Sécurité. (je rappelle que la sécurité max, c'est de couper son lien ISP)
Donc en gros, il faut en discuter un peu plus... [jfdsdjhfuetppo]--Message édité par Jer2000--[/jfdsdjhfuetppo] |
