Bonjour à tous,
 
Je viens de récupérer la gestion d'un parc informatique et j'ai remarqué quelques petites "erreurs" de conception de l'architecture d'un point de vu sécurité ... (selon moi !!)
 
J'aimerai mettre en place un pare-feu et je viens donc solliciter votre aide concernant la configuration d'un Netscreen 25 (OS 5.3.0), je suis en train de bosser sur ce produit pour pouvoir l'intégrer dans mon entreprise et je dois vous avouer que je galère un peu ...  
 
En fait pour faire court, mon entreprise possède un routeur avec fonction de pare feu selon la configuration suivante : intranet ==> routeur ==> internet
 
Nous accèdons à ce jour à des serveurs web, depuis l'exterieur qui sont donc directement dans notre intranet, moralité quelqu'un qui passe le routeur est directement dans le réseau
 
J'ai testé plusieurs configuration, j'ai réussi notamment à configurer le ns25 en mode transparent mais je ne suis pas trop satisfait, ca reste tres proche de l'utilisation actuelle du routeur ...
 
j'aimerai donc mettre en place quelque chose de plus avancé on va dire .. l'intégration d'une DMZ notamment, le truc c'est que pour le moment je n'ai pas la machine pour mettre en DMZ, donc est ce possible de préparer une architecture avec DMZ mais d'orienter pour le moment les flux vers mon intranet ? Quel est le bon chemin  ? intranet ==> netscreen ==> routeur ==> internet ou intranet ==> DMZ ==> netscreen ==> routeur ==> internet ?
 
Aujourd'hui en faisant ca, mes machines de l'intranet accède bien à internet pas de soucis par contre impossible d'accèder à mes serveurs web depuis l'extérieur
Faut il mettre un DNS dans la DMZ ?
 
Je suis preneur de toute information, doc, conseil, retour d'expérience de votre part sur ce type de materiel et la mise en place de l'architecture
 
Merci d'avance pour votre aide

c'est confus tout ça
 
 à priori le firewall en transparent un peu useless la , faudrait plutot le passer en NAT
 
internet > routeur > netscreen et 2 pattes qui partent du netscreen , une qui va vers la DMZ (ou future dmz) et une qui va vers ton intranet ou tu fais du NAT/PAT si tu choisis de laisser les serveurs dans cette zone (c'est tray mal !). Apres il faut voir comment tu définis ta DMZ (vraiment isolée avec juste une patte front et une drac/ilo sur reseau d'admin , ou une patte front et back. Et quid de l'adressage , public ou privé ...etc).  
 
pour vraiment bien faire il te faudrait 2 firewall ou faire du vdom si le netscreen le gère (je dis ça mais je suis pas fan des vdom). Et puis regardes bien également comment est fait ton niveau 2 , si tout ça est connecté sur un  meme switch ou dans un meme domaine VTP t'as peut etre d'autres failles latentes de ce coté > pour sécuriser mode parano y a toujours le pvlan mais faut voir si tes switchs le gere.  
 
pour le dns dans la dmz je comprends pas bien , il faudra que nous en dise plus (tu es ton propre dns public ? les serveurs repondent au moins en ip ? tu as des host header ?).
pour la conf du netscreen vu la doc ca a pas l'air tres compliqué , mais c'est à toi de faire ce bout de chemin
 
 
 
 
 

Tout d'abord merci pour ta réponse
 
 
c'est vrai qu'en relisant c'est un peu confu  
Pour la configuration du netscreen, il possède 4 pattes ethx, j'ai fait mon cablage comme ca :  
 
eth1 = LAN (nat) => Zone TRUST
eth2 = ma (futur) DMZ (nat) => Zone DMZ
eth3 = mon routeur (route) = Zone UNTRUST
 
Chaque patte est paramètrée suivant un plan d'adressage privé. Pour mes tests j'ai mis des policy ouverte dans les 2 sens (trust => untrust | untrust => trust)  
 
au final les postes de mon lan dialogue bien ensemble et accède à internet sans problème, par contre lorsque je tente d'accéder à mes serveurs depuis l'extérieur, impossible d'y arriver ca ne répond pas Alors pour tester j'ai mis un pc entre le routeur et le netscreen pour réaliser des tests, aucun ping vers mon intranet ne passe et donc impossible d'accéder à mes serveurs.
 
Et la je ne sais pas pourquoi ca ne passe pas.  
 
Ensuite j'ai tenté de me mettre à la place du routeur ...
 
Ip public ==> arrive sur mon routeur ==> celui ci redirige vers l'adresse ip de mon serveur + port mais la comment lui dire qu'il doit envoyer vers l'adresse de mon netscreen pour que celui ci redirige vers mon serveur...  n'y a t'il pas à mettre en place les fonctions MIP, DIP ou VIP (qui  sont totalement flou pour moi ...)
 
Le réseau a encore beaucoup de mystère pour moi
 
Concernant le DNS, non je ne suis pas DNS public, donc aucun intérêt pour moi d'en mettre un en DMZ, mais il faut bien tout de meme que mes serveurs en DMZ soit capable de faire de la résolution de nom non ?
 
J'ai toutes les docs du produit et meme avec ca je galère