Reverse proxy VS DMZ

jerome600 · 01/12/2010, 09h47

Bonjour à tous

Dans mon entreprise , j'ai une application web jusqu'a présent accessible uniquement depuis le réseau interne.

Cette application doit être ouverte aux utlisateurs externes et pour réaliser cela , j'ai envisagé 2 solutions techniques.
Je ne sais pas si ces solutions respectent l'état de l'art étant donné que la sécurité réseau n'est pas mon domaine de prédilection, c'est pourquoi j'aurai besoin de vos avis pour me dire quelle est la meilleure solution ou si je suis complètement a coté de la plaque.

La première solution est d'utiliser un reverse proxy , en dmz , pour donner un accés restreint à l'application qui se situe dans le réseau interne.

La seconde solution est de déplacer le serveur en DMZ, en utilisant peut-etre également le reverse proxy .

Qu'en pensez-vous ?

ram-0000 · 01/12/2010, 11h52

Tu n'es pas complètement à côté de la plaque.

De toute façon, le point d'entrée depuis l'extérieur doit être en DMZ que ce soit sur un reverse proxy ou sur le serveur WWW lui même.

Un reverse proxy va permettre de faire un peu plus de sécurité en validant les trames HTTP/HTML envoyées depuis l'extérieur et relayées vers ton serveur WWW.

Si tu mets un reverse proxy, ton serveur WWW peut se trouver en interne ou bien en DMZ. L'avantage de le mettre en DMZ, c'est que tu peux obliger tes utilisateur internes à taper aussi sur le reverse proxy pour atteindre le serveur WWW.

Par contre, ce n'est pas toujours facile de changer l'adresse IP d'un serveur déjà en production, je pense par exemple aux application qui auraient une licence applicative lièe à l'adresse IP.

jerome600 · 01/12/2010, 12h52

Merci pour ta réponse ram-0000

01/12/2010, 11h52	#2
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 471 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 471 Points : 10 993 Points : 10 993	Tu n'es pas complètement à côté de la plaque. De toute façon, le point d'entrée depuis l'extérieur doit être en DMZ que ce soit sur un reverse proxy ou sur le serveur WWW lui même. Un reverse proxy va permettre de faire un peu plus de sécurité en validant les trames HTTP/HTML envoyées depuis l'extérieur et relayées vers ton serveur WWW. Si tu mets un reverse proxy, ton serveur WWW peut se trouver en interne ou bien en DMZ. L'avantage de le mettre en DMZ, c'est que tu peux obliger tes utilisateur internes à taper aussi sur le reverse proxy pour atteindre le serveur WWW. Par contre, ce n'est pas toujours facile de changer l'adresse IP d'un serveur déjà en production, je pense par exemple aux application qui auraient une licence applicative lièe à l'adresse IP. __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	00

01/12/2010, 12h52	#3
jerome600 Membre du Club Inscription : juin 2007 Messages : 56 Détails du profil Informations forums : Inscription : juin 2007 Messages : 56 Points : 43 Points : 43	Merci pour ta réponse ram-0000
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email