Pare-feu et ArcGIS Server

Que fait un pare-feu ?

Chaque ordinateur possède des milliers de ports par le biais desquels d'autres ordinateurs peuvent envoyer des informations. Un pare-feu est un dispositif de sécurité qui limite le nombre de ports sur votre machine par le biais desquels d'autres ordinateurs peuvent communiquer. Lorsque vous utilisez un pare-feu pour limiter la communication à un nombre réduit de ports, vous pouvez surveiller de près ces ports pour empêcher toute attaque. En outre, vous pouvez configurer le pare-feu pour limiter la communication à un port connu de vous seul.

Des pare-feu peuvent être implémentés au moyen de matériel, de logiciels ou d'une combinaison des deux. Les pare-feu excellent dans la détection d'attaques susceptibles d'entrer ou de sortir de votre système par le biais d'un port ouvert, telles que les vers et certains chevaux de Troie. Ils ne vous protègent pas face à des virus joints à du courrier électronique ou face à des menaces internes à votre réseau. Par conséquent, bien que les pare-feu soient importants, ils ne doivent pas constituer le seul composant de votre stratégie de sécurité globale. Des logiciels antivirus et des techniques efficaces d'authentification et d'autorisation constituent d'autres exemples de stratégies de sécurité à déployer en association avec des pare-feu.

Protection d'un serveur SIG à l'aide de pare-feu

ESRI ne conseille ni ne prend en charge les pare-feu entre des composants ArcGIS Server. Cela inclut les pare-feu entre l'infrastructure Web ADF et le serveur SIG, ainsi que les pare-feu entre le gestionnaire des objets serveur (SOM) et le conteneur d'objets serveur (SOC). La technique recommandée pour protéger un système ArcGIS Server par des pare-feu consiste à configurer un serveur Web proxy inversé au sein d'un réseau de périmètre (appelé également zone démilitarisée [DMZ] ou sous-réseau filtré). Dans ce scénario, le serveur Web proxy inversé reçoit les demandes HTTP entrantes par le biais d'un pare-feu qui limite le trafic à un port connu (habituellement le port 80). Il envoie ensuite la demande par le biais d'un autre pare-feu (en utilisant un port inconnu de l'utilisateur final) vers le serveur Web ADF situé dans un réseau interne sécurisé. Le serveur Web ADF est alors libre d'établir des communications DCOM illimitées avec les autres composants ArcGIS Server. De cette manière, le serveur SIG entier fonctionne au sein d'un réseau interne sécurisé et ne nécessite pas de pare-feu entre ses composants.

Voici une représentation plus détaillée de chaque composant de ce scénario :

• Un réseau de périmètre est composé de machines auxquelles les utilisateurs Internet peuvent accéder par le biais d'un pare-feu, mais qui ne font pas partie de votre réseau interne sécurisé. Le réseau de périmètre isole tous les composants du système ArcGIS Server, y compris l'infrastructure ADF, le gestionnaire des objets serveur et le conteneur d'objets serveur, contre tout accès direct des clients Internet.
• Le serveur Web proxy inversé situé dans le réseau de périmètre reçoit les demandes Internet par le biais d'un port commun, tel que le port 80. Un pare-feu empêche l'accès via tout autre port. Le serveur proxy inversé envoie ensuite la demande au réseau interne sécurisé par le biais d'un autre pare-feu qui la redirige par un port inconnu du client d'origine.
• Le serveur Web qui héberge l'infrastructure ADF, ainsi que le gestionnaire des objets serveur, le conteneur d'objets serveur et les serveurs de données constituent tous des parties du réseau interne sécurisé. Toute demande entrant dans le réseau sécurisé doit provenir du serveur proxy inversé et traverser un pare-feu. Toute réponse quittant le réseau sécurisé retourne au client de la même façon qu'elle est venue. En premier lieu, la réponse traverse de nouveau le pare-feu pour accéder au serveur proxy inversé. Ce dernier envoie alors la réponse au client via un autre pare-feu.

L'article 32634 de la base de connaissances ESRI décrit une procédure permettant de configurer ArcGIS Server pour Microsoft .NET Framework afin d'utiliser un serveur Web proxy inversé.