J'ai lu des informations sur les intranets, les extranets, les DMZ et les VPN, et j'aurais besoin de clarifications concernant les extranets et les DMZ. Je comprends qu'il s'agit de différents types de concepts - l'extranet permet un accès limité à certaines ressources intranet, tandis que DMZ est un sous-réseau qui se situe entre Internet et l'intranet et héberge les services externes. Cependant, j'aimerais savoir quelle est leur distinction dans la pratique dans une configuration habituelle? L' article de Wikipedia sur les extranets dit que les extranets sont similaires aux DMZ car ils sont utilisés dans le même but (donnant accès à certains services / ressources sans exposer l'intégralité de l'intranet). L'article indique également qu'un extranet fait partie d'un VPN, et cet article TechNetindique également que l'accès extranet est souvent implémenté de la même manière que l'accès intranet distant, par exemple avec un VPN. L'article de TechNet indique également que l'extranet est généralement hébergé dans la DMZ. Cet article de Pearson dit: "Bien que [la DMZ] soit techniquement située dans l'intranet, [elle] peut également servir d'extranet". C'est un peu déroutant.
Considérez ce scénario: une entreprise possède un site Web B2C hébergé dans la zone démilitarisée. Le site Web est accessible de n'importe où, mais nécessite une authentification de l'utilisateur. L'application Web sous-jacente a sa base de données à l'intérieur de l'intranet et interagit également avec certains services Web qui sont hébergés à l'intérieur de l'intranet (c'est-à-dire qu'elle accède aux ressources intranet). D'après moi, le site Web offre effectivement un accès restreint à l'intranet. Mais peut-il être considéré comme un extranet? Si nous prenons la définition Wikipedia d'un extranet littéralement - "Un extranet est un réseau informatique qui permet un accès contrôlé de l'extérieur de l'intranet d'une organisation" - je pense que c'est possible.
Disons que ce qui précède ne peut pas être considéré comme un extranet. Que se passe-t-il si nous modifions légèrement le scénario et disons qu'il s'agit d'un site Web B2B, où l'accès est par exemple limité aux connexions provenant d'un partenaire commercial spécifique (en utilisant un VPN de site à site, par exemple). Dans ce cas, c'est sûrement un extranet, non? Si tel est le cas, la différence entre les services extranet et tout autre service hébergé dans la DMZ réside simplement dans les restrictions d'accès?
Réponses:
Ce sont des distinctions académiques. Dans le monde réel, vous trouverez une combinaison de tous ces concepts sous différents termes.
Dans certaines organisations, une DMZ dispose d'une connexion réseau ISP distincte et n'a pas accès aux ressources internes. Dans d'autres organisations, il existe des machines jointes au domaine dans la DMZ qui peuvent communiquer avec un ensemble restreint de machines internes. Parfois, interne et DMZ ont des pare-feu séparés. Parfois, ils ont des interfaces distinctes sur le même pare-feu.
Il est important de savoir pourquoi quelqu'un devrait utiliser un extranet ou DMZ, car ce sont les concepts de sécurité qui comptent. À partir de là, vous pouvez choisir comment autoriser l'accès à certaines ressources. Ce qu'il est réellement appelé n'a pas d'importance. Dans certains cas, il divise les poils.
la source
Je ne pense pas avoir récemment entendu parler d'un extranet en dehors des manuels et des salles de classe.
Une DMZ est une topologie de réseau commune avec un segment de réseau qui est séparé par des pare-feu du réseau interne et des réseaux externes non approuvés (alias Internet ).
En revanche, l' Extranet , s'il est réellement inclus dans la conception du réseau, implique quelque peu qu'il est connecté à un VPN ou à des réseaux privés réels au lieu de l'ensemble de l'Internet.
De nombreuses entreprises ont plusieurs réseaux DMZ et envisageraient un réseau avec une passerelle / routeur VPN ou une interconnexion privée juste une autre DMZ.
Le plus souvent, un extranet est / n'était pas tellement une topologie de réseau mais plutôt un service distinct du réseau interne qui est fourni à un ensemble restreint d'utilisateurs, de sociétés et de réseaux externes quelque peu fiables, connus et / ou authentifiés.
Du point de vue de la mise en réseau, votre serveur Web doit résider dans le réseau DMZ. Le fait que votre site Web permette à vos revendeurs de se connecter, de parcourir votre catalogue, d'afficher le stock et de commander, signifierait que votre site Web serait appelé extranet par les services marketing. Les coûts de développement passeraient de $$ à $$$$.
la source
Pour moi, je résume cela à la politique de sécurité. Nous avons écrit une politique selon laquelle aucun système accessible au public n'aura un accès entrant à l'intranet à moins qu'une exception spécifique ne soit autorisée. Nous avons également une politique selon laquelle la DMZ n'aura pas accès entrant à notre intranet et que notre extranet a. Par exemple, nous avons un serveur Web avec une base de données principale qui doit synchroniser les données avec une base de données intranet. Nous mettons le serveur Web sur la DMZ, la base de données backend sur l'Extranet, et il se synchronise avec la base de données intranet de production. Ainsi, pour l'évaluation de la confiance, le réseau public serait 0, la zone démilitarisée serait 1, l'extranet serait 2 et l'intranet serait 3.
la source