Les sytèmes pare-feu (firewall) permettent de définir des règles
d'accès entre deux réseaux. Néanmoins, dans la pratique, les entreprises
ont généralement plusieurs sous-réseaux avec des politiques de
sécurité différentes. C'est la raison pour laquelle il est nécessaire
de mettre en place des architectures de systèmes pare-feux permettant d'isoler
les différents réseaux de l'entreprise : on parle ainsi de
« cloisonnement des réseaux » (le terme isolation
est parfois également utilisé).
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de
l'extérieur (serveur web, un serveur de messagerie, un
serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau
à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer
de compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisé »
(notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant
des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon »
entre le réseau à protéger et le réseau hostile.
Les serveurs situés dans la DMZ sont appelés « bastions »
en raison de leur position d'avant poste dans le réseau de l'entreprise.
La politique de sécurité mise en oeuvre sur la DMZ
est généralement la suivante :
- Traffic du réseau externe vers la DMZ autorisé ;
- Traffic du réseau externe vers le réseau interne interdit ;
- Traffic du réseau interne vers la DMZ autorisé ;
- Traffic du réseau interne vers le réseau externe autorisé ;
- Traffic de la DMZ vers le réseau interne interdit ;
- Traffic de la DMZ vers le réseau externe refusé.
La DMZ possède donc un niveau de sécurité intermédiaire,
mais son niveau de sécurisation n'est pas suffisant pour y stocker des données
critiques pour l'entreprise.
Il est à noter qu'il est possible de mettre en place des DMZ
en interne afin de cloisonner le réseau interne selon différents niveaux
de protection et ainsi éviter les intrusions venant de l'intérieur.
| 
