logotype

Connexion

Configuration de vos interfaces sur un firewall juniper

Configuration de l'interface ethernet1 dans la zone trust avec adresse privée.

ns500_01->set interface ethernet1 zone trust
ns500_01->set interface ethernet1 ip 10.10.1.1/24

Nat tous ce qui sort de cette interface

ns500_01->set interface ethernet1 nat

Configuration de l'interface ethernet2 dans la zone trust avec adresse publique.

ns500_01->set interface ethernet2 zone untrust
ns500_01->set interface ethernet2 ip 80.32.45.3/24

Configuration d'un sous réseau local

ns500_01->set address trust LocalSite 10.10.2.0/24

Configuration d'un sous réseau local contenant des serveurs accessible depuis l'internet que l'on place donc dans une zone DMZ

ns500_01->set address dmz webserver 172.30.235.0/24

Configuration d'un pool d'adresses publique distante.

ns500_01->set address untrust RemoteSite 200.20.1.2/28

Ce qui permettra de créer facilement des règles tel que:

ns500_01->set policy from untrust to dmz RemoteSite to webserver http permit
ns500_01->set policy from untrust to dmz RemoteSite to webserver smtp permit
ns500_01->set policy from untrust to dmz RemoteSite to webserver imap permit

Création des règles pour que les devices de la zone trust puissent accèder aux devices de la zone dmz

ns500_01->set policy from trust to dmz RemoteSite to webserver http permit
ns500_01->set policy from trust to dmz RemoteSite to webserver smtp permit
ns500_01->set policy from trust to dmz RemoteSite to webserver pop3 permit
ns500_01->set policy from trust to dmz RemoteSite to webserver ftp permit

Normalement un device dans une zone DMZ ne doit jamais pouvoir entrer en contact avec un device dans dans le réseau lan, il ne peut que répondre aux requetes.


Ceci permet dans le cas ou un device n'est plus secure en zone dmz de ne pas rentrer en contact avec le réseau lan.
Il est conseillé d'avoir plusieurs barrières de firewall et de marques différentes car en effet si une faille est découverte sur un firewall de marque X la marque Y n'aura peut-être pas cette faille. Retour

You have no rights to post comments