FIREWALLS > Configuration de vos interfaces sur un firewall juniper
//Configuration de l'interface ethernet1 dans la zone trust avec adresse privée.
ns500_01->set interface ethernet1 zone trust
ns500_01->set interface ethernet1 ip 10.10.1.1/24
//Nat tous ce qui sort de cette interface
ns500_01->set interface ethernet1 nat
//Configuration de l'interface ethernet2 dans la zone trust avec adresse publique.
ns500_01->set interface ethernet2 zone untrust
ns500_01->set interface ethernet2 ip 80.32.45.3/24
//Configuration d'un sous réseau local
ns500_01->set address trust LocalSite 10.10.2.0/24
//Configuration d'un sous réseau local contenant des serveurs accessible depuis l'internet que l'on place donc dans une zone DMZ
ns500_01->set address dmz webserver 172.30.235.0/24
//Configuration d'un pool d'adresses publique distante.
ns500_01->set address untrust RemoteSite 200.20.1.2/28
//Ce qui permettra de créer facilement des règles tel que:
ns500_01->set policy from untrust to dmz RemoteSite to webserver http permit
ns500_01->set policy from untrust to dmz RemoteSite to webserver smtp permit
ns500_01->set policy from untrust to dmz RemoteSite to webserver imap permit
//Création des règles pour que les devices de la zone trust puissent accèder aux devices de la zone dmz
ns500_01->set policy from trust to dmz RemoteSite to webserver http permit
ns500_01->set policy from trust to dmz RemoteSite to webserver smtp permit
ns500_01->set policy from trust to dmz RemoteSite to webserver pop3 permit
ns500_01->set policy from trust to dmz RemoteSite to webserver ftp permit
//Normalement un device dans une zone DMZ ne doit jamais pouvoir entrer en contact avec un device dans dans le réseau lan, il ne peut que répondre aux requetes.
//Ceci permet dans le cas ou un device n'est plus secure en zone dmz de ne pas rentrer en contact avec le réseau lan.
//Il est conseillé d'avoir plusieurs barrières de firewall et de marques différentes car en effet si une faille est découverte sur un firewall de marque X la marque Y n'aura peut-être pas cette faille.
Retour