Skip to content Skip to navigation Skip to footer

Zones DMZ

Contactez-nous

Qu’est-ce qu’un réseau DMZ ?

Une zone démilitarisée (DMZ) est un réseau périphérique qui protège le réseau local (LAN) interne d'une organisation contre le trafic non sécurisé. 

Une DMZ est communément définie comme un sous-réseau qui se situe entre l'internet public et les réseaux privés. Il expose les services externes à des réseaux non fiables et ajoute une couche de sécurité supplémentaire pour protéger les données sensibles stockées sur les réseaux internes, grâce à des pare-feux pour filtrer le trafic.

L’objectif final d’une DMZ est de permettre à une entreprise d’accéder à des réseaux non sécurisés, tels qu’Internet, tout en garantissant la sécurité de son réseau privé ou LAN. Les entreprises stockent généralement dans la DMZ des services et des ressources externes, ainsi que des serveurs pour le système de noms de domaine (DNS), le protocole de transfert de fichiers (FTP), la messagerie, le proxy, la VoIP et les serveurs web. 

Ces serveurs et ressources sont isolés et bénéficient d’un accès limité au LAN afin de s’assurer qu’ils sont accessibles via Internet, mais pas le réseau LAN interne. Par conséquent, une approche DMZ rend plus difficile pour un hacker l’accès direct aux données et aux serveurs internes d’une entreprise via Internet.

 

Comment fonctionne un réseau DMZ ?

Les entreprises disposant d’un site web public que leurs clients utilisent doivent rendre leur serveur web accessible sur Internet. Ce faisant, elles mettent en danger l'ensemble de leur réseau interne. Pour éviter cela, une entreprise pourrait payer une société d’hébergement pour héberger son site web ou ses serveurs publics sur un pare-feu, mais cela affecterait leurs performances. Les serveurs publics seraient ainsi hébergés sur un réseau distinct et isolé.

Un réseau DMZ sert de tampon entre Internet et le réseau privé d’une entreprise. La DMZ est isolée par une passerelle de sécurité, telle qu’un pare-feu, qui filtre le trafic entre la DMZ et un réseau LAN. La DMZ est protégée par une autre passerelle de sécurité qui filtre le trafic provenant de réseaux externes.

Elle est idéalement située entre deux pare-feux, et la configuration du pare-feu de la DMZ garantit que les paquets réseau entrants sont contrôlés par un pare-feu, ou d’autres outils de sécurité, avant qu’ils ne soient transmis aux serveurs hébergés dans la DMZ. Cela implique que même si un assaillant complexe parvient à passer le premier pare-feu, il doit également accéder aux services renforcés de la DMZ avant de pouvoir causer des dommages à l'entreprise.

Si un assaillant parvient à infiltrer le pare-feu externe et à compromettre un système dans la DMZ, il doit également franchir un pare-feu interne avant d’accéder aux données sensibles de l’entreprise. Un acteur malveillant complexe peut très bien être capable de s’infiltrer dans une DMZ sécurisée, mais les ressources qui s'y trouvent doivent déclencher des alarmes qui permettent d'avertir à temps qu'une violation est en cours.

Les entreprises qui doivent se conformer à des réglementations, telles que la loi HIPAA (loi américaine sur la portabilité et la responsabilité des assurances maladie), installeront parfois un serveur proxy dans la DMZ. Cela leur permet de simplifier la surveillance et l’enregistrement de l’activité des utilisateurs, de centraliser le filtrage du contenu web et de s’assurer que les employés utilisent le système pour accéder à Internet.

 

Avantages de l’utilisation d’une DMZ

Le principal avantage d’une DMZ est d’apporter à un réseau interne une couche de sécurité supplémentaire en limitant l’accès aux données et serveurs sensibles. Une DMZ permet aux visiteurs du site web d’obtenir certains services tout en servant de tampon entre eux et le réseau privé de l’entreprise. Par conséquent, la DMZ offre également d’autres avantages en matière de sécurité, notamment :

  1. Faciliter le contrôle d’accès : Les entreprises peuvent fournir aux utilisateurs un accès à des services en dehors du périmètre de leur réseau via l’Internet public. La DMZ permet d’accéder à ces services tout en mettant en œuvre la segmentation du réseau pour rendre plus difficile l’accès au réseau privé par un utilisateur non autorisé. Une DMZ peut également inclure un serveur proxy, qui centralise le flux de trafic interne et simplifie la surveillance et l’enregistrement de ce trafic.
  2. Empêcher la reconnaissance du réseau : En faisant office de tampon entre Internet et un réseau privé, une DMZ empêche les assaillants d’effectuer le travail de reconnaissance qu’ils font pour pour trouver des cibles potentielles. Les serveurs au sein de la DMZ sont exposés publiquement, mais bénéficient d'une autre couche de sécurité grâce à un pare-feu qui empêche tout assaillant de pénétrer dans le réseau interne. Même si un système DMZ est compromis, le pare-feu interne sépare le réseau privé de la DMZ pour en assurer la sécurité et rendre la reconnaissance externe difficile.
  3. Empêcher l’usurpation d’adresse IP : les assaillants peuvent essayer d’accéder aux systèmes en usurpant une adresse IP et en se faisant passer pour un appareil autorisé connecté à un réseau. Une DMZ peut découvrir et bloquer de telles tentatives d’usurpation d’identité, car un autre service vérifie la légitimité de l’adresse IP. La DMZ permet également de segmenter le réseau afin de créer un espace où le trafic peut être organisé et où les services publics sont accessibles en dehors du réseau privé interne.

Les services d’une DMZ comprennent :

  1. Les serveurs DNS
  2. Les serveurs FTP
  3. Les serveurs de messagerie
  4. Les serveurs proxy
  5. Les serveurs Web

Conception et architecture DMZ

Une DMZ est un « réseau grand ouvert ». Toutefois, plusieurs approches de conception et d'architecture permettent de la protéger. Une DMZ peut être conçue de plusieurs façons, d’une approche à pare-feu unique à des pare-feux doubles et multiples. La majorité des architectures DMZ modernes utilisent des pare-feux doubles qui peuvent être étendus afin de développer des systèmes plus complexes.

  1. Pare-feu unique : Une DMZ dotée d’une conception à pare-feu unique nécessite trois interfaces réseau ou plus. Le premier est le réseau externe, qui relie la connexion Internet publique au pare-feu. Le deuxième est le réseau interne, tandis que le troisième est connecté à la DMZ. Diverses règles permettent de surveiller et contrôler le trafic autorisé à accéder à la DMZ et limitent la connectivité au réseau interne.
  2. Double pare-feu : le déploiement de deux pare-feux avec une DMZ entre eux reste généralement une option plus sécurisée. Le premier pare-feu n'autorise que le trafic externe vers la DMZ et le second n'autorise que le trafic qui relie la DMZ au réseau interne. Un assaillant devrait compromettre les deux pare-feux pour accéder au réseau LAN de l'entreprise.

Les entreprises peuvent également affiner les contrôles de sécurité pour divers segments de réseau. Cela signifie qu’un système de détection d’intrusion (IDS) ou un système de prévention d’intrusion (IPS) au sein d’une DMZ peut être configuré pour bloquer tout trafic autre que les requêtes HTTPS (Hypertext Transfer Protocol Secure) sur le port TCP (Transmission Control Protocol) 443.

 

L’importance des réseaux DMZ : comment sont-ils utilisés ?

Les réseaux DMZ sont essentiels à la sécurisation des réseaux d'entreprise depuis la création des pare-feux. Ils protègent les données, les systèmes et les ressources sensibles des entreprises en maintenant les réseaux internes séparés des systèmes qui pourraient être la cible d’assaillants. Les DMZ permettent également aux entreprises de contrôler et de réduire les niveaux d’accès aux systèmes sensibles.

Les entreprises utilisent de plus en plus les conteneurs et les machines virtuelles pour isoler leurs réseaux ou des applications spécifiques du reste de leurs systèmes. La croissance du marché du cloud implique que de nombreuses entreprises n’ont plus besoin de serveurs web internes. Elles ont également migré une grande partie de leur infrastructure externe vers le cloud en utilisant des applications SaaS (Software-as-a-Service). 

Par exemple, un service cloud comme Microsoft Azure permet à une entreprise qui exécute des applications sur site et sur des réseaux privés virtuels (VPN) de recourir à une approche hybride, avec la DMZ entre les deux. Cette méthode peut également être utilisée lorsque le trafic sortant nécessite un audit ou pour contrôler le trafic entre un centre de données sur site et des réseaux virtuels.

En outre, les DMZ s’avèrent utiles pour contrer les risques de sécurité que présentent les dispositifs de l’Internet des objets (IoT) et les systèmes de technologie opérationnelle (OT), ce qui rend la production et la fabrication plus intelligentes, mais crée une grande surface de menaces. En effet, les équipements OT n'ont pas été conçus pour faire face aux cyberattaques ou être restaurés de la même manière que les appareils IoT, ce qui présente un risque considérable pour les données et les ressources sensibles des entreprises. Une DMZ permet de segmenter le réseau afin de réduire le risque d’attaque susceptible de causer des dommages aux infrastructures industrielles.

Comment Fortinet peut vous aider

Le pare-feu nouvelle génération FortiGate (NGFW) de Fortinet est doté d’un réseau DMZ capable de protéger les serveurs et les réseaux des utilisateurs. Elle crée un vide dans le système de protection du réseau afin que les utilisateurs accèdent à un serveur web protégé par la DMZ et n'accorde que les accès qui ont été explicitement autorisés. Consultez le guide Fortinet pour plus d’informations sur la manière de protéger un serveur web à l’aide d’une DMZ.

FAQ

Qu’est-ce qu’une DMZ ?

La DMZ, qui signifie zone démilitarisée, est un réseau périphérique qui permet aux entreprises de protéger leurs réseaux internes. Elle permet à ces dernières d’autoriser l’accès à des réseaux non sécurisés, tels qu'Internet, tout en assurant la sécurité des réseaux privés ou des réseaux locaux (LAN). Une DMZ est généralement utilisée pour stocker des ressources, des serveurs et des services externes.

Une DMZ est-elle sûre ?

Le réseau DMZ lui-même n’est pas sûr. Il facilite l’accès aux hôtes et systèmes qui y sont stockés à partir de réseaux externes non fiables, tels qu’Internet, tout en isolant les autres hôtes et systèmes de réseaux privés.

Quel est l'intérêt de la DMZ ?

Une DMZ offre une couche de sécurité supplémentaire à un réseau interne. Elle restreint l’accès aux données, ressources et serveurs sensibles en servant de tampon entre les utilisateurs externes et un réseau privé. Parmi les autres avantages, citons le contrôle d’accès, la prévention de la reconnaissance des cibles potentielles par les assaillants et la protection des entreprises contre l’usurpation d’adresse IP.

Devriez-vous utiliser une DMZ sur votre routeur ?

Une DMZ peut être utilisée sur un routeur dans un réseau domestique. Le routeur devient alors un réseau LAN auquel se connectent les ordinateurs et autres appareils. Certains routeurs domestiques disposent également d’une fonction d’hôte DMZ qui permet à un appareil de fonctionner à l’extérieur du pare-feu et d’agir comme DMZ. Tous les autres appareils sont installés à l’intérieur du pare-feu au sein du réseau domestique. Une console de jeu est souvent une bonne option à utiliser comme hôte DMZ. Elle permet de s'assurer que le pare-feu n'affecte pas les performances de jeu et elle est susceptible de contenir moins de données sensibles qu'un ordinateur portable ou un PC.


Liens connexes

links image 1 139x100

Démonstration gratuite de nos produits

Découvrez les principales fonctionnalités et capacités de nos produits, et familiarisez-vous avec les différentes interfaces utilisateur.
resource center icon 139X159

Centre de ressources

Accédez au téléchargement de nombreux supports et documents pédagogiques.
links image 2 139x121

Évaluations gratuites

Testez nos produits et nos solutions
contact sales icon 139x85

Contactez-nous

Vous avez une question ? Nous sommes là pour vous aider.