Pare-feu et ArcGIS Server
Que fait un pare-feu ?
Chaque ordinateur possède des milliers de ports par le biais desquels d'autres ordinateurs peuvent envoyer des informations. Un pare-feu est un dispositif de sécurité qui limite le nombre de ports sur votre machine par le biais desquels d'autres ordinateurs peuvent communiquer. Lorsque vous utilisez un pare-feu pour limiter la communication à un nombre réduit de ports, vous pouvez surveiller de près ces ports pour empêcher toute attaque. En outre, vous pouvez configurer le pare-feu pour limiter la communication à un port connu de vous seul.
Des pare-feu peuvent être implémentés au moyen de matériel, de logiciels ou d'une combinaison des deux. Les pare-feu excellent dans la détection d'attaques, telles que les vers et certains chevaux de Troie, susceptibles d'entrer ou de sortir de votre système par le biais d'un port ouvert. Ils ne vous protègent pas face à des virus joints à du courrier électronique ou face à des menaces internes à votre réseau. Par conséquent, bien que les pare-feu soient importants, ils ne doivent pas constituer le seul composant de votre stratégie de sécurité globale. Des logiciels antivirus et des techniques efficaces d'authentification et d'autorisation constituent d'autres exemples de stratégies de sécurité à déployer en association avec des pare-feu.
Protection d'ArcGIS Server à l'aide de pare-feu
Plusieurs stratégies permettent de protéger votre site ArcGIS Server à l'aide de pare-feu. Les stratégies suivantes font appel à des pare-feu pour séparer votre réseau interne (au sein duquel la sécurité est réglementée) du réseau externe (dont la sécurité ne peut pas être garantie).
Pare-feu unique
L'option la plus simple et la moins sécurisée des deux implique l'utilisation d'un pare-feu pour limiter le traffic à destination de votre serveur Web. Habituellement, seul le port 80 est ouvert. Votre serveur Web, ArcGIS Web Adaptor, le serveur SIG et vos données se trouvent tous derrière le pare-feu, dans le réseau interne sécurisé.
 |
Dans le scénario de pare-feu unique, un pare-feu est placé entre le réseau externe et le serveur Web. |
Plusieurs pare-feu avec un serveur Web proxy inversé
L'approche plus sécurisée, mais également plus compliquée consiste à configurer le serveur Web et l'adaptateur Web d'un réseau de périmètre (appelé également zone démilitarisée [DMZ] ou sous-réseau filtré). Dans ce scénario, l'adaptateur Web reçoit les requêtes entrantes via le port 80 et les transmet au serveur SIG via un autre pare-feu, à l'aide du port 6080. L'adaptateur Web entraîne la machine à se comporter comme un serveur Web proxy inversé.
 |
Dans le scénario à plusieurs pare-feu, ces derniers sont placés de chaque côté d'un serveur Web proxy inversé. |
Voici une représentation plus détaillée de chaque composant de ce scénario :
- Un réseau de périmètre est composé de machines auxquelles les utilisateurs Internet peuvent accéder par le biais d'un pare-feu, mais qui ne font pas partie de votre réseau interne sécurisé. Le réseau de périmètre isole le réseau interne de l'accès direct des clients Internet.
- L'adaptateur Web situé dans le réseau de périmètre reçoit des requêtes Internet par le biais d'un port commun, tel que le port 80. Un pare-feu empêche l'accès via tout autre port. L'adaptateur Web transmet ensuite la requête au réseau interne sécurisé par le biais d'un autre pare-feu à l'aide du port 6080 d'ArcGIS Server.
- Le serveur SIG et le serveur de données (le cas échéant) se trouvent à l'intérieur du réseau interne sécurisé. Toute demande entrant dans le réseau sécurisé doit provenir de l'adaptateur Web et traverser un pare-feu. Toute réponse quittant le réseau sécurisé retourne au client de la même façon qu'elle est venue. En premier lieu, la réponse traverse de nouveau le pare-feu pour accéder à l'adaptateur Web. Ce dernier envoie alors la réponse au client via un autre pare-feu.
Si une machine du réseau de périmètre est en quelque sorte compromise, le deuxième pare-feu limite toute possibilité que la machine affectée puisse endommager des machines de votre réseau interne.
Astuce:Le diagramme ci-dessus illustrant un serveur Web proxy inversé est adapté si vous ne proposez que des services Web. Si vous proposez également des applications Web, vous pouvez alors ajouter un serveur Web au réseau interne pour héberger les applications en toute sécurité.
Pare-feu entre des machines du serveur SIG
Souvent, il n'est pas nécessaire de placer des pare-feu entre les machines du serveur SIG. Toutefois, si des pare-feu séparent les machines, vous devez ouvrir les ports mentionnés dans la rubrique Ports utilisés par ArcGIS Server +++.