Architecture Extranet sécurisée (?)

[astrofiles]

Bonjour,

Je dois m'occuper d'un certain nombre de projets extranet que nous hebergeons sur la DMZ de notre réseau local.
Bien entendu nous avons un firewall pro.
Ces extranet doivent interagir (sql , ftp etc..) avec des systemes d'informations distants (gestion commerciale) avec lesquels nous sommes en VPN.
Nous nous posons beaucoup de (fausses ?) questions quand à la manière de sécuriser ces acces ?
En effet si le serveur web se fait pirater celui ci aura alors accès aux systémes d'informations distants puisque les ports et services nécessaires auront été ouvert pour les besoins de l'extranet .

Quelle est la (les) manières de sécuriser proprement ces accès
- la sécurité du serveur web afin que l'hypothèse ne se produise pas ?
- Nous avons penser à un poste passerelle , le serveur transmetrait les demandes à ce pc passerelle (qui ne serait pas sur la dmz) et c'est lui qui s'occupe des transferts des donnees avec les systemes distants pui retransmet les informations au serveur web. Assez lourd à mettre en place :-)

Je précise que les serveurs web sont à base d'apache tomcat.

Y a t-il une architecture distribuée qui permet ces accès de manière direct et sécurisée ? (joram, ejb ? )

Merci d'avance pour vos réponses et pistes de mise en place.