Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Discussion :

Aide a la réalisation d'une architecture réseau


Sujet :

Architecture

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2015
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juin 2015
    Messages : 5
    Points : 1
    Points
    1
    Par défaut Aide a la réalisation d'une architecture réseau
    Bonjour tout le monde , je suis nouveaux dans le forum c'est la première fois que j'ose poser une question dans ce meilleur forum ,j'espère que vous m'aidiez
    je viens de commencer un stage la mise en place d'une architecture réseaux le schéma suivant c'est mon propre oeuvre je veux bien avoir quelque idée pour que je puisse mètre la meilleure solution .
    les cameras relié au DVR ====> vlan camera
    une partie du réseau qui accède a internet ==> vlan net
    un serveur windows 2008 + Outlook + l'application de la société sous serveur web(apache ) donc l'installation des application seront dans windows server 2008 dans ce vlan il a son propre dhcp ===>le vlan interne

    merci de votre aide


    Nom : structure forum.jpg
Affichages : 890
Taille : 78,3 Ko

  2. #2
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 401
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 401
    Points : 25 588
    Points
    25 588
    Par défaut
    Je suis pas spécialiste réseau mais le shéma me parait pas mal.

    Tu peux peut-être ajouter une carte réseau dans le serveur WEB/mail qui sera (ou seront) reliée au VLAN interne. Mais je ne suis pas spécialiste réseau donc avis des camarades nécessaire.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  3. #3
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Hello,


    Citation Envoyé par chrtophe Voir le message
    sur le serveur dans la DMZ, tu peux peut-être ajouter une carte réseau dans le serveur qui sera relié au VLAN interne
    Dans ce cas là tu perds l'intérêt de la DMZ

  4. #4
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 401
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 401
    Points : 25 588
    Points
    25 588
    Par défaut
    Pas forcément, avec utilisation d'adressage interne sur cette carte et proxy. C'est vrai que dans ce cas on ne sait pas si il y en a un. Par contre, sur le schéma, on voit voit outlook vers serveur 2008 dans le LAN : serveur exchange ?
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  5. #5
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Le but de la DMZ est d'isoler un serveur du réseau data (en gros) et de filtrer les utilisations LAN DATA <-> DMZ par le firewall.
    Si tu lui met une patte dans le LAN il a un accès openbar sans repasser par le firewall au LAN DATA.

  6. #6
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 401
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 401
    Points : 25 588
    Points
    25 588
    Par défaut
    J'ai une config comme cela sur un parc qui ne pose pas de probs, maintenant ça veut pas dire que c'est la meilleure config ni la pire. Mais la config est en place depuis longtemps (mise en service par une personne de très bon niveau - pas par moi), sur un parc subissant des attaques de l’extérieur. Il n'y a pas de routes entre les cartes WAN et LAN sur le serveur web/mail

    Le principe sur ce parc -> depuis le LAN accès au serveur web/mail via leur patte LAN (en 10.1.2.x), depuis Internet via le routeur->firewall->patte DMZ reliée sur l'autre carte réseau du serveur WEB/mail via adr ip publique. Les ordis passent par Internet par un Proxy (dans la DMZ).

    En cas d'accès à Internet : station->proxy patte LAN->proxy patte WAN->firewall->routeur->internet
    En cas d'accès aux mails : station->serveur mail patte LAN->serveur mail patte WAN (en cas d'envoi)->firewall->routeur->internet
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  7. #7
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Oui ce schéma va fonctionner techniquement sans problème.
    C'est juste que dans ce genre de scénario tu n'a pas besoin de DMZ.

  8. #8
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    mai 2007
    Messages
    11 519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mai 2007
    Messages : 11 519
    Points : 50 345
    Points
    50 345
    Par défaut
    Assez (très) d'accord avec A&Nexus.

    Une DMZ, cela sert à ce que si la machine est compromise de l'extérieur, elle ne puisse faire vers l’intérieur que ce qui est autorisé par le firewall.

    Si la machine en DMZ a un accès direct au réseau interne, le firewall ne protège plus le réseau interne.
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  9. #9
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2015
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juin 2015
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    Bonjour et Merci pour vos réponses alors d’après ce que j'ai compris la DMZ sera utile que si j'ai un accès obligatoire de l’extérieur vers la machine ou (VLAN) hors que le patron insiste a ce que le réseau Vlan interne n'aura aucun accès a internet , le Vlan camera celui ci par contre il est tjrs sollicité de l'extérieur d'ou la présence de la partie DMZ est du DNS
    pour répondre a chrtophe , il y a la présence d'un serveur email je n'ai encore pas décidé le quel ( la messagerie c'est interne Outlook sans internet )
    pour récapitulé
    vlan interne ==> serveur windows 2008 + dhcp + dns + applications internes + machines
    vlan net ==>accès limité a internet
    vlan camera ==> accès internet

  10. #10
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Oui tu peux faire ça.

    Saches aussi que tu peux accéder de l'extérieur à un service interne (web, mail etc...) sans pour autant que ton serveur n'ai accès à Internet.
    Vu que ton responsable insiste absolument pour ne pas avoir Internet cela peut dans certains cas te simplifier la vie en évitant de passer par une DMZ.

    v2 (mais un peu plus chère) :
    Tu peux également n'avoir que deux vlan (interne et caméra) avec un vrai firewall (style netasq, fortinet, ...).
    Tu pourras contrôler l'accès Internet en fonction des utilisateurs AD, des postes etc et permettre à certain de ne rien avoir et à d'autre d'être limité à Internet.
    L'avantage c'est que tu as moins de réseau à gérer et si un utilisateur change de PC il n'aura qu'à se loguer pour que ses droits Internet "le suive".

  11. #11
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2015
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juin 2015
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    merci A&Nexus , ben c ça ce que je vais faire DC1 & DC2(réplication) +dhcp+dns (serveur windows 2008)+ serveur web apache (linux ) pour l'application interne + serveur email (linux) tous ça dans la partie vlan interne
    la partie camera il y'aura les DVR ... etc
    le firewall ça dépend du budget (matériel ou logiciel )
    un routeur pour la gestion des Vlans
    par contre la DMZ je crois que je vais la garder (il y'aura une partie dont j'ai pas parlé c'est un serveur web destiné au site web de la société ) donc ca sera l'emplacement idéal d’après mes connaissances

  12. #12
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Citation Envoyé par moghit Voir le message
    par contre la DMZ je crois que je vais la garder (il y'aura une partie dont j'ai pas parlé c'est un serveur web destiné au site web de la société ) donc ca sera l'emplacement idéal d’après mes connaissances
    Exactement c'est ce qu'il faut. Le serveur web ne sera que dans la DMZ et n'a pas besoin d'avoir accès à ton réseau interne.
    Même s'il se fait pirater personne ne pourra rentrer dans ton réseau interne/camera.

    Au cas où mais d'après ton message je préfère le préciser le firewall te fait office de routeur en même temps (donc pas besoin de routeur si firewall).
    Quitte à ne pas mettre de firewall (question de budget) regarde du côté de pfsense distri gratuite et plutôt solide.

    Un petit Fortinet30D devrait te coûter dans les 450€HT (achat oneshot) si tu veux des licences pour le webfilter dynamique (en fonction de catégories) ou l'application control c'est de 300€/an (de mémoire le prix que l'on avait payé).

  13. #13
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2015
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juin 2015
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    je vois , je poste la structure finale si j'ai bien compris
    Nom : structure forum 2.jpg
Affichages : 1237
Taille : 77,4 Ko

    le serveur web et messagerie interne c'est pour l'application qui utilise apache et la messagerie (Outlook interne puisqu'il sera en intranet ) svp si vous pouvez me donner une idée sur les serveur ismp ou pop3 que je puisse intégrer j'ai trouvé en cherchant ( exchange payant mais en gratuit service POP3 windows 2003, sendmail,postfix ).

    - pour le firewall je vais voir celui que tu ma recommandé " pfSense " .
    - pour le serveur DNS sue la DMZ je crois que je vais le garder pour le web et pour les cameras .
    je crois qu'on est arrivé

  14. #14
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 401
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 401
    Points : 25 588
    Points
    25 588
    Par défaut
    pour le serveur mail :

    pour linux :
    smtp :postfix/sendmail/qmail exim pop3/imap: dovecot/cyrus/courrier
    pour Windows :
    hmailserver
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  15. #15
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Pour la messagerie sans hésiter zimbra (en gratuit pck sinon exchange )

    Par contre à quoi te servira ton DNS dans la DMZ ?
    Tu ne peux pas utiliser le DNS public ou même pointer sur ton routeur plutôt que d'avoir un serveur qui ne fait rien de plus que rediriger sur internet.

  16. #16
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2015
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juin 2015
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    excusez moi pour le retard , en fait le serveur DNS c'est pour redirection certes , mais je cris que ça augmente la sécurité pour le serveur web , les vlans internet ,et camera comme ça toute information passera par le DNS et après passe a internet dites moi si je me trompe

    pour zimbra je l’installe sur linux ? est ce que je peux utiliser outlook comme client ?

  17. #17
    Membre chevronné
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    novembre 2004
    Messages
    1 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2004
    Messages : 1 132
    Points : 1 923
    Points
    1 923
    Par défaut
    Citation Envoyé par moghit Voir le message
    merci A&Nexus , ben c ça ce que je vais faire DC1 & DC2(réplication) +dhcp+dns (serveur windows 2008)+ serveur web apache (linux ) pour l'application interne + serveur email (linux) tous ça dans la partie vlan interne
    la partie camera il y'aura les DVR ... etc
    le firewall ça dépend du budget (matériel ou logiciel )
    un routeur pour la gestion des Vlans
    par contre la DMZ je crois que je vais la garder (il y'aura une partie dont j'ai pas parlé c'est un serveur web destiné au site web de la société ) donc ca sera l'emplacement idéal d’après mes connaissances


    Pour zimbra oui c'est sur linux.
    Tu peux utiliser Outlook comme client IMAP/SMTP. Dans la version payante (mais non nécessaire) tu as un plugin MAPI.


    Pour le serveur DNS effectivement tes applis interne, caméra, PC, etc... utilisent le DNS de ton AD.
    Ma réflexion était juste pour le serveur DNS dans la DMZ ce n'est pas utile autant mettre directement le DNS Publique sur ton serveur dans la DMZ.
    P.S: Surtout ne mets pas de DNS AD dans la DMZ hein !

  18. #18
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par A&Nexus Voir le message
    P.S: Surtout ne mets pas de DNS AD dans la DMZ hein !

Discussions similaires

  1. Une architecture réseau
    Par supupoff dans le forum Développement
    Réponses: 1
    Dernier message: 09/12/2011, 17h11
  2. Aide pour la réalisation d'une requête
    Par srappaille dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 20/10/2010, 08h03
  3. Réalisation d'une architecture 3 tiers
    Par phryos dans le forum Développement Web en Java
    Réponses: 12
    Dernier message: 12/05/2010, 11h46
  4. Aide pour la réalisation d'une application
    Par étoile de mer dans le forum Débuter
    Réponses: 3
    Dernier message: 31/05/2008, 15h07
  5. Aide à la réalisation d'une calculatrice en C
    Par Premium dans le forum Algorithmes et structures de données
    Réponses: 8
    Dernier message: 17/11/2005, 16h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo