Ce document détaille la création d'une zone démilitarisée (DMZ) pour rendre accessibles les services de serveur web et de messagerie tout en protégeant le réseau interne. Il décrit la configuration nécessaire pour le VLAN, les redirections de port pour l'accès aux services, ainsi que les règles de sécurité pour le pare-feu afin de filtrer le trafic de manière appropriée. La DMZ est configurée pour autoriser les accès depuis l'extérieur tout en interdisant la communication directe vers le réseau local de l'entreprise.

1. Application Note
Création d’une DMZ

2. Table des matières
1 Création du réseau DMZ.......................................................................... 4
2 Accessibilité des serveurs web et de messagerie .................................... 5
3 Configuration du firewall ......................................................................... 7

3. Cette fiche applicative présente la configuration d’une zone démilitarisée
ou DMZ. Celle-ci permet de rendre accessible des services tels que le
serveur web ou la messagerie aux personnes se trouvant soit dans
l’entreprise ou à l’extérieur de celle-ci.
Nous allons traiter l’architecture suivante :
La DMZ représentée ci-dessus a pour réseau 192.168.1.0/24. Un serveur
web et un serveur de messagerie y sont placés.
Depuis une personne d’Internet, l’accès aux deux services est autorisé
mais la communication vers le LAN de l’entreprise est interdite.
Depuis le LAN de l’entreprise, les utilisateurs peuvent aussi accéder aux
deux serveurs.

4. 1 Création du réseau DMZ
Nous allons créer la DMZ en configurant un VLAN. Le port Eth1 sera
affecté à ce VLAN et l’adresse 192.168.1.254 lui sera attribuée.

5. 2 Accessibilité des serveurs web et de messagerie
Pour rendre accessible les serveurs, nous allons configurer 2 redirections
de port :
 Serveur web http: port 80
 Serveur messagerie smtp: port 25
Etant donné que le serveur web utilise le port 80, nous devons modifier
avant tout le port web du routeur d’accès.

6. Nous changeons le port http en 8080.
Les 2 services utilisent le protocole TCP.
Les 2 règles sont configurées pour les 2 machines.

7. 3 Configuration du firewall
Par défaut, le firewall du routeur d’accès Falcon va rejeter tous les flux
sauf ceux issus des 2 règles de redirection de port que nous avons créées.
Afin de permettre l’accès à la DMZ pour le personnel de l’entreprise, nous
devons configurer une règle de flux du VLAN1 (LAN de l’entreprise) vers le
VLAN2 (DMZ).
Le firewall possède la fonction d’inspection de paquets dynamique
(statefull packet filtering), reconnaît les paquets issus d’une requête de
machines autorisées et applique donc une autorisation à la réponse.
Une seule règle suffit alors.