Pare-feu et ArcGIS Server
Que fait un pare-feu ?
Chaque ordinateur possède des milliers de ports par le biais desquels d'autres ordinateurs peuvent envoyer des informations. Un pare-feu est un dispositif de sécurité qui limite le nombre de ports sur votre machine par le biais desquels d'autres ordinateurs peuvent communiquer. Lorsque vous utilisez un pare-feu pour limiter la communication à un nombre réduit de ports, vous pouvez surveiller de près ces ports pour empêcher toute attaque. En outre, vous pouvez configurer le pare-feu pour limiter la communication à un port connu de vous seul.
Des pare-feu peuvent être implémentés au moyen de matériel, de logiciels ou d'une combinaison des deux. Les pare-feu excellent dans la détection d'attaques, telles que les vers et certains chevaux de Troie, susceptibles d'entrer ou de sortir de votre système par le biais d'un port ouvert. Ils ne vous protègent pas face à des virus joints à du courrier électronique ou face à des menaces internes à votre réseau. Par conséquent, bien que les pare-feu soient importants, ils ne doivent pas constituer le seul composant de votre stratégie de sécurité globale. Des logiciels antivirus et des techniques efficaces d'authentification et d'autorisation constituent d'autres exemples de stratégies de sécurité à déployer en association avec des pare-feu.
Protection d'ArcGIS Server à l'aide de pare-feu
Plusieurs stratégies permettent de protéger votre site ArcGIS Server à l'aide de pare-feu. Les stratégies suivantes font appel à des pare-feu pour séparer votre réseau interne (au sein duquel la sécurité est réglementée) du réseau externe (dont la sécurité ne peut pas être garantie).
Pare-feu unique
L'option la plus simple et la moins sécurisée des deux implique l'utilisation d'un pare-feu pour limiter le traffic à destination de votre serveur Web. Habituellement, seul le port 80 est ouvert. Votre serveur Web, ArcGIS Web Adaptor, le serveur SIG et vos données se trouvent tous derrière le pare-feu, dans le réseau interne sécurisé.
 |
Dans le scénario de pare-feu unique, un pare-feu est placé entre le réseau externe et le serveur Web. |
Plusieurs pare-feu avec un proxy inversé et l'adaptateur Web dans un réseau de périmètre
L'approche plus sécurisée, mais également plus compliquée consiste à configurer le serveur Web et l'adaptateur Web d'un réseau de périmètre (appelé également zone démilitarisée [DMZ] ou sous-réseau filtré). Dans ce scénario, l'adaptateur Web reçoit les requêtes entrantes via le port 80 et les transmet au serveur SIG via un autre pare-feu, à l'aide du port 6080. L'adaptateur Web entraîne la machine à se comporter comme un proxy inversé.
 |
Dans le scénario à plusieurs pare-feu, ces derniers sont placés de chaque côté d'un proxy inversé. |
Voici une représentation plus détaillée de chaque composant de ce scénario :
- Un réseau de périmètre est composé de machines auxquelles les utilisateurs Internet peuvent accéder par le biais d'un pare-feu, mais qui ne font pas partie de votre réseau interne sécurisé. Le réseau de périmètre isole le réseau interne de l'accès direct des clients Internet.
- L'adaptateur Web situé dans le réseau de périmètre reçoit des requêtes Internet par le biais d'un port commun, tel que le port 80. Un pare-feu empêche l'accès via tout autre port. L'adaptateur Web transmet ensuite la requête au réseau interne sécurisé par le biais d'un autre pare-feu à l'aide du port 6080 d'ArcGIS Server.
- Le serveur SIG et le serveur de données (le cas échéant) se trouvent à l'intérieur du réseau interne sécurisé. Toute demande entrant dans le réseau sécurisé doit provenir de l'adaptateur Web et traverser un pare-feu. Toute réponse quittant le réseau sécurisé retourne au client de la même façon qu'elle est venue. En premier lieu, la réponse traverse de nouveau le pare-feu pour accéder à l'adaptateur Web. Ce dernier envoie alors la réponse au client via un autre pare-feu.
Si une machine du réseau de périmètre est en quelque sorte compromise, le deuxième pare-feu limite toute possibilité que la machine affectée puisse endommager des machines de votre réseau interne.
Intégration d'un proxy inversé existant
Si votre organisation utilise déjà un proxy inversé, vous pouvez le configurer pour qu'il achemine les requêtes vers ArcGIS Server sur votre réseau interne sécurisé. L'option la plus élémentaire consiste à se connecter directement au serveur SIG via le port 6080 sans installer l'adaptateur Web.
Si vous ne souhaitez pas que le port qui relie le proxy inversé et votre réseau interne sécurisé soit connu, vous pouvez installer l'adaptateur Web sur un autre serveur Web de votre réseau interne sécurisé. Vous pouvez configurer cet adaptateur Web pour qu'il accepte le trafic qui transite par un port de votre choix.
Vous pouvez ajouter directement votre site ArcGIS Server aux directives de proxy. Par exemple, si vous utilisez Apache comme proxy inversé, vous devez ajouter votre site ArcGIS Server aux directives ProxyPass du fichier httpd.conf de configuration du serveur Web Apache :
ProxyPass /arcgis http://gisserver.domain.com:6080/arcgis
ProxyPassReverse /arcgis http://gisserver.domain.com:6080/arcgis
Approfondissement :Si vous utilisez un proxy inversé et que l'URL de votre site ne se termine pas par la chaîne par défaut /arcgis (en minuscules), vous devez également définir la propriété WebContextURL d'ArcGIS Server. Cela permet à ArcGIS Server de créer les URL correctes sur toutes les ressources transmises à l'utilisateur final. Procédez comme suit pour modifier la propriété WebContextURL :
En tant qu'utilisateur doté de privilèges d'administrateur, connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse ttp://gisserver.domain.com:6080/arcgis/admin.
Cliquez sur système > propriétés > mettre à jour.
Dans la zone de texte Propriétés, insérez la notation JSON suivante en remplaçant votre URL ArcGIS Server, telle qu'elle apparaît aux utilisateurs en dehors du pare-feu de votre organisation.
{ "WebContextURL": "http://gisserver.domain.com/mygis" }- Cliquez sur Mettre à jour.
Redémarrez ArcGIS Server sur chaque serveur SIG du site. Sous Windows, vous pouvez procéder en redémarrant le service Windows ArcGIS Server sur chaque machine.
Pare-feu entre des machines du serveur SIG
Souvent, il n'est pas nécessaire de placer des pare-feu entre les machines du serveur SIG. Toutefois, si des pare-feu séparent les machines, vous devez ouvrir les ports mentionnés dans la rubrique Ports utilisés par ArcGIS Server.