[gull] Représentation DMZ, vos avis.

[Marc SCHAEFER]

Re,

On Wed, Oct 08, 2025 at 11:42:05AM +0200, Marc SCHAEFER via gull wrote:
> > Or je n'ai jamais installé 2 firewall!
> 
> Mais tu as installé un firewall, avec 3 interfaces réseau?
> 
> Mettre réellement deux firewalls peut avoir parfois un avantage, genre
> deux firewalls de constructeurs différents, n'auront pas forcément les
> mêmes bugs. Mais cela complique la gestion, donc c'est rare à ma
> connaissance aujourd'hui.

Un élément que j'ai oublié, même si je l'ai ici: souvent les services
sont déployés dans des machines virtuelles, voire du cloud, local ou
distant/hébergé.  Dans ce cas, il n'est pas rare d'avoir plusieurs
firewalls en cascade.

Ici par exemple, j'ai un firewall principal avec plein d'interfaces
réseau virtuelles (VLAN, j'en compte 12) qu'on peut considérer
"matériel", et les VLAN sont par exemple: les réseaux externes
(multihoming), les réseaux internes (utilisateurs, technique), mais j'ai
en plus un réseau de virtualisation.

Ce réseau de virtualisation est séparé du firewall principal par
un firewall purement logiciel, composé d'un frontend (sur la liaison
vers le firewall principal) et de backend sur chacun des hosts
de virtualisation.

L'idée étant de protéger les services virtualisés entre eux, et de les
protéger de l'extérieur (y.c. du réseau interne, donc, dans ce cas).

En théorie je pourrais fusionner le frontend avec le firewall principal,
mais pour le moment je trouve que l'architecture fait sens. Avoir
des backends a plein d'avantage de sécurité quand on est au plus près
de l'émetteur p.ex.

En résumé, on a toujours le droit d'ajouter des couches de protection
là où on pense que cela fait sens ...