Pare-feu et ArcGIS Server

Que fait un pare-feu ?

Chaque ordinateur possède des milliers de ports par le biais desquels d'autres ordinateurs peuvent envoyer des informations. Un pare-feu est un dispositif de sécurité qui limite le nombre de ports sur votre machine par le biais desquels d'autres ordinateurs peuvent communiquer. Lorsque vous utilisez un pare-feu pour limiter la communication à un nombre réduit de ports, vous pouvez surveiller de près ces ports pour empêcher toute attaque. En outre, vous pouvez configurer le pare-feu pour limiter la communication à un port connu de vous seul.

Des pare-feu peuvent être implémentés au moyen de matériel, de logiciels ou d'une combinaison des deux. Les pare-feu excellent dans la détection d'attaques susceptibles d'entrer ou de sortir de votre système par le biais d'un port ouvert, telles que les vers et certains chevaux de Troie. Ils ne vous protègent pas face à des virus joints à du courrier électronique ou face à des menaces internes à votre réseau. Par conséquent, bien que les pare-feu soient importants, ils ne doivent pas constituer le seul composant de votre stratégie de sécurité globale. Des logiciels antivirus et des techniques efficaces d'authentification et d'autorisation constituent d'autres exemples de stratégies de sécurité à déployer en association avec des pare-feu.

Protection d'un serveur SIG à l'aide de pare-feu

ESRI ne conseille ni ne prend en charge les pare-feu entre des composants ArcGIS Server. Cela inclut les pare-feu entre l'infrastructure Web ADF et le serveur SIG, ainsi que les pare-feu entre le gestionnaire des objets serveur (SOM) et le conteneur d'objets serveur (SOC). La technique recommandée pour protéger un système ArcGIS Server par des pare-feu consiste à configurer un serveur Web proxy inversé au sein d'un réseau de périmètre (appelé également zone démilitarisée [DMZ] ou sous-réseau filtré). Dans ce scénario, le serveur Web proxy inversé reçoit les demandes HTTP entrantes par le biais d'un pare-feu qui limite le trafic à un port connu (habituellement le port 80). Il envoie ensuite la demande par le biais d'un autre pare-feu (en utilisant un port inconnu de l'utilisateur final) vers le serveur Web ADF situé dans un réseau interne sécurisé. Le serveur Web ADF est alors libre d'établir des communications DCOM illimitées avec les autres composants ArcGIS Server. De cette manière, le serveur SIG entier fonctionne au sein d'un réseau interne sécurisé et ne nécessite pas de pare-feu entre ses composants.

Voici une représentation plus détaillée de chaque composant de ce scénario :

L'article 32634 de la base de connaissances ESRI décrit une procédure permettant de configurer ArcGIS Server pour Microsoft .NET Framework afin d'utiliser un serveur Web proxy inversé.


7/10/2012