ntic2.xtreemhost.com pix cisco

57
ntic2.xtreemhost.com ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.co m

Upload: cateline-dufour

Post on 04-Apr-2015

140 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Pix cisco

www.ntic2.xtreemhost.com

Page 2: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Qu'est-Ce Qu'un Pare-feu?

(coupe-feu, garde-barrière ou Firewall en anglais),

est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment Internet)

Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivantes :

Une interface pour le réseau à protéger (réseau interne) inside

Une interface pour le réseau externe outside

Page 3: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Fonctionnement D'un Système Pare-feu Un système pare-feu contient un ensemble

de règles prédéfinies permettant :

D'autoriser la connexion (allow)  De bloquer la connexion (deny)  De rejeter la demande de connexion sans

avertir l'émetteur (drop).

Page 4: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

méthode de filtrage

On distingue habituellement deux types de politiques de sécurité permettant :

1- soit d'autoriser uniquement les communications ayant été explicitement autorisées :

"Tout ce qui n'est pas explicitement autorisé est interdit".

2- soit d'empêcher les échanges qui ont été explicitement interdits.

Page 5: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Type de filtrage

1 Le filtrage simple de paquets (filtrage basic, stateless packet filtering )

2 Le filtrage dynamique

Page 6: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Le filtrage simple de paquets Il se base sur la couche 3 du modèle OSI Il analyse les en-têtes de chaque paquet de données

(datagramme) échangé entre une machine du réseau interne et une machine extérieure.

les en-têtes suivants, systématiquement analysés par le Firewall :

1- adresse IP de la machine émettrice 2- adresse IP de la machine réceptrice

3- type de paquet (TCP, UDP, etc.) 4- numéro de port (rappel: un port est un

numéro associé à un service ou une application réseau)

identifier la machine émettrice et la machine cible

indication sur le type de service utilisé

Page 7: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Le filtrage dynamique

est basé sur l'inspection des couches 3 et 4 du modèle OSI

permettant d'effectuer un suivi des transactions entre le client et le serveur

Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage.

à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.

Page 8: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

présentation de Pix

Les PIX Cisco sont des pare-feu qui intègrent matériel et logiciel ainsi une protection importante

Page 9: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Aspect du PIX

Sur la face avant du PIX, on a très peu d'informations. Le logo du constructeur La gamme du produit sur lequel on travaille. Trois diodes

Ces diodes servent à définir différents statuts POWER - Elle permet de savoir si l'appareil est en marche ou

bien arrêté. ACT - Cette diode est utile si on utilise une architecture de

redondance, c'est-à-dire plus d'un PIX. Si elle est allumée cela veut dire que le PIX est actif. Sinon le PIX est en veille ou la redondance n'est pas activée.

NETWORK - Elle est active lorsqu'au moins une interface réseau du PIX laisse passer le trafic.

Page 10: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Aspect du PIX

Sur la face arrière du PIX, nous pouvons voir les différentes connectiques et les diodes qui représentent le statut des interfaces

Page 11: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Le principe

un PIX est considéré comme une porte verrouillée. Pour passer au travers de cette porte et accéder aux services disponibles sur l'autre segment réseau, il faut posséder la clef, permettant de l'ouvrir. C'est le PIX qui va décider de donner ou non cette clef.

Par exemple, si l'on considère une machine sur laquelle tourne le service WEB http et le daemon sshd. Par défaut toutes les portes du PIX sont fermées et seul le port 80 (http) a été ouvert

Page 12: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Page 13: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Une plateforme évolutive

il est possible d’ajouter des cartes réseaux donc des interfaces sur la majorité de la gamme Pix Cisco

Il est aussi possible de mettre à jour l’IOS du Firewall comme c’est le cas pour les routeurs. De ce fait nous pouvons ajouter des fonctionnalités à nos Pix sans avoir à les changer

Page 14: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Installation et configuration graphique les Cisco Pix Firewall sont livrés avec un

logiciel d'administration graphique (PDM). PDM permet à l'administrateur réseau de configurer et de gérer le pare-feu Pix Firewall à l'aide d'une interface GUI

Il permet de récupérer, modifier et administrer les politiques de sécurité ainsi que de faire du monitoring

Page 15: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Pour le configurer, il faut utiliser les commandes « [no] http adresse-ip masque » et « [no] http server  enable».

Par exemple:

Pix-fsts (config)# http server enablepix-fsts (config)# http 192.168.0.2 255.255.255.255

Page 16: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Page 17: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Performance (algorithme ASA) performances PIX découlent d'un système de

protection basé sur l'algorithme ASA (Adaptive Security Algorithm).

Cet algorithme assure une très grande protection de l'accès au réseau interne en comparant les paquets entrants et sortants aux entrées d'une table. L'accès n'est autorisé qu’après authentification.

Page 18: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Nombre de connections

Le Cisco Secure Pix Firewall 515-R supporte jusqu'à 64 000 sessions simultanées, le Pix 515-UR en supporte jusqu'à 128 000 et le Pix 520 jusqu'à 256 000

Page 19: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Tolérance de panne

La plus part des Pix Cisco dispose d'un system de tolérance de panne du nom de failover.

Celui-ci permet de mettre un deuxième Pix en cascade au premier au cas ou celui-ci tomberait en panne

Une interface est donc prévue à cet effet. Il suffit juste de connecter les deux Pix à cette interface et à activer le failover au niveau de l'IOS dans chacun des Pix.

Page 20: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Tolérance de panne

Le Pix 506 ne permet pas le Failover

Les Pix 515, 525 et 535 supportent le Failover si et seulement si vous avez une licence UR.

Pour faire du Failover avec des Pix, il faut deux Pix Failover. Dans tous les cas les 2 Pix doivent être rigoureusement identique en matière de : RAM, Flash, IOS.

Le Failover avec des Pix est du type actif/passif. C'est à dire que le Pix2 est passif. Tout le trafic passe par le Pix1 qui est actif. Ce n'est que si ce premier Pix tombe que le second devient actif.

Page 21: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Caractéristiques matérielles ( Pix 515 ) Processeur Intel Celeron cadencé à 433 Mhz 128 Ko de mémoire cache niveau 2 cadencée à 433 Mhz Mémoire Flash de 16 Mo 32 Mo ou 64 Mo de RAM selon la License restreinte ou non

restreinte Jusqu'à six interfaces selon les modèles Un port console pour l'administration Différentes diodes pour vérifier le statut de l'alimentation, du

réseau et de la redondance. Un débit de sortie jusqu'à 188 Mbps Support de différents protocoles de cryptage pour la

confidentialité des données utilisateur: 56 bit DES, 168 bits 3DES et 128 ou 256 bit AES

Jusqu'à 60 / 130 Mbps pour les connexions VPN.

Page 22: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Caractéristiques fonctionnelles Le PIX est un pare-feu à inspection d'état,

peut assurer le suivi des échanges et utilise l'ASA (Adaptive Security Algorithm) pour ce filtrage dynamique.

Il peut aussi contrôler l'accès de différentes applications, services et protocoles et protège votre réseau contre les attaques connues et courantes

Page 23: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Ce pare-feu gère également le VPN (IKE et IPSec). On peut ainsi créer des tunnels VPN entre sites.

Le PIX peut aussi faire office de serveur DHCP pour les équipements connectés au réseau interne et grâce au NAT, permet à ces "clients" de se connecter à Internet avec une même adresse IP publique

Page 24: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Configuration de base

Deux méthodes de configuration sont adaptées:

La configuration du PIX peut s'effectuer via une interface web : le Pix Device Manager (PDM).

Ou par le biais de commandes entrées manuellement par l'administrateur l'interface en ligne de commande (CLI).

Page 25: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Modes de commandes

il existe plusieurs niveaux d'accès administratifs :

- Mode utilisateur - Mode privilégié - Mode de configuration globale

Page 26: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Mode utilisateur

mode par défaut, on peut consulter certaines informations sur le pare-feu mais sans pouvoir effectuer de modifications

en mode utilisateur, on aura : PIX-FSTS>

Page 27: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Mode privilégié

permet de procéder à la configuration de base du pare-feu et de visualiser son état.

En mode privilégié : PIX-FSTS #

Page 28: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Mode de configuration globale

comme son nom l'indique, permet de configurer les paramètres ayant une portée globale.

Et en mode de configuration globale :

PIX-FSTS(config)#

Page 29: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Pour passer d'un mode à l'autre il faut utiliser les commandes suivantes :

- enable pour passer du mode utilisateur à privilégié et disable ou exit pour l'inverse.

- configure terminal pour passer du mode privilégié à configuration globale et exit pour l'inverse.

Page 30: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Une bonne configuration mais avec une bonne organisation !!

Page 31: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Méthode et Organisation de la configuration de Pix

Pour que notre Firewall Pix soit bien configurer il faut suivre une méthode de configuration bien organisé qui va nous aider par la suite de savoir les faille de la configuration plus rapidement

Page 32: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Configuration de base

Ci-après les principes d’une configuration organisée et moins réduite 

Page 33: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Nom du Pix et domaine du pix :

hostname Pix-FSTS

domain-name fsts.ac.ma

Page 34: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Mot de passe du pix pour l'accès en mode enable

enable password mot-de-passe encrypted

Page 35: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Mot de passe du pix pour l'accès en telnet et ssh

 passwd password [encrypted]

Page 36: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Nommages des équipements Pendant la configuration un administrateur réseaux

a eu la charge de rappeler toutes les adresses IP nécessaire pour cette configuration

alors pour faciliter cette tache, on affecte un nom à chaque adresse IP et au lieu d’appliquer les règles des contrôles d’accès ou d’autre configuration sur les adresses IP il nous suffit juste de les appliquer sur les noms affectés des hôtes ou des serveurs utilisée

Page 37: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Configuration des interfacesNom des interfaces et affectation d'un niveau de sécurité

Le Pix interdit toute communication  émanent d'une interface ayant un niveau de sécurité bas vers une interface de niveau élevé

Il faut donc attribuer un niveau de sécurité de 0 pour l'interface connectée à Internet et un niveau de 100 pour l'interface connecter au LAN

la DMZ (zone démilitarisée), on met un niveau de sécurité à 50

Page 38: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Configuration des interfaces nameif hardware_id if_name security_level

Par exemple:

# nameif ethernet0 outside security0

# nameif ethernet1 dmz security50

# nameif ethernet2 inside security 100

Page 39: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Affectation des adresses ip aux interfaces ip address if_name ip_address [netmask]

# ip address outside 172.16.80.100 255.255.255.0

# ip address dmz 192.168.36.19 255.255.255.0

Page 40: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Les ACLS

les Access liste ,les listes de contrôles d’accès

Une ACL sur un pare-feu, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage.

ACLs sont les ligne de la configuration les plus importantes au niveau du Pix c’est eux qui nous permettent d’appliquer les règles de permission ou de blocage soit des application ,des services ou des hôtes

Page 41: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Définition des objets (Object Grouping) Une ACL peut permettre au PIX d'autoriser un client

particulier à accéder à un serveur particulier pour un service spécifique. Quand il y a seulement un client, un serveur et un service, le nombre de lignes est minimum dans l'ACL

Cependant, en augmentant le nombre de clients, de serveurs, le nombre de lignes dans une ACL augmente exponentiellement.

Page 42: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Définition des objets (Object Grouping) On peut grouper des objets de réseau tels que des

serveurs et des services pour simplifier la tâche de création et d'application d'ACLs.

Ceci réduit le nombre d'entrées de contrôle d'accès (ACEs) exigées pour mettre en application des politiques complexes de sécurité.

Page 43: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

L'application d'un groupe d'objet à une commande est l'équivalent d'appliquer chaque élément du groupe d'objet à la commande

Par exemple: le groupe group_admin contient : les hotes @ip_admin1, @ip_admin2, et @ip_admin3 Le groupe group_service soutient les protocoles HTTP, HTTPS et FTP L'application du groupe group_admin et group_service à un ACE

est équivalente à appliquer tous les hôtes et protocoles individuellement à l'ACE.

Page 44: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Par conséquent, la commande :

access-list outside permit tcp any object-group DMZ_Servers object-DMZ_Services

Est équivalente à:

access-list outside permit tcp any host @ip_admin1 eq httpaccess-list outside permit tcp any hos t@ip_admin1 eq httpsaccess-list outside permit tcp any host @ip_admin1 eq ftpaccess-list outside permit tcp any host @ip_admin2 eq httpaccess-list outside permit tcp any host @ip_admin2 eq httpsaccess-list outside permit tcp any host @ip_admin2 eq ftpaccess-list outside permit tcp any host @ip_admin3 eq httpaccess-list outside permit tcp any host @ip_admin3 eq https

access-list outside permit tcp any host @ip_admin3 eq ftp

Page 45: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Types d’objet groupe

Grouper les objets fournit une manière de grouper des objets d'un type identique de sorte qu'une ACL simple puisse s'appliquer à tous objets dans le groupe. Vous pouvez créer les types suivants de groupes d'objet :

-Network : Utilisée pour grouper les hôtes et les sous-réseaux -Protocol : Utilisée pour grouper les protocoles Peut contenir un des mots Clés Parmi icmp, ip, tcp, or udp, ou un entier

entre 1 à 254 représentant un numéro de protocole. Utiliser le mot clé ip pour englober tous les protocoles Internet, incluant ICMP, TCP et UDP.- Service : Utilisée pour grouper les ports TCP or UDP assignés à différents services.- ICMP-type : Utilisée pour grouper les types de messages ICMP à autoriser ou refuser.

Page 46: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Configuration d'un object-group object-group network pour nommer l'objet réseau et entre en mode

secondaire d'objet de réseau. Une fois à l'intérieur de ce mode, on peut employer la commande network-object pour ajouter un serveur ou un réseau au groupe d'objet de réseau.

object-group network group-adminnetwork-object host 10.0.0.3 | administrateur-reseaunetwork-object 10.0.0.0 255.0.0.0

C'est similaire pour les objets service:

object-group service Services tcp port-object eq service port-object range begin_service end_service(pour assigner un plage de service

Page 47: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Configuration du NAT 

La translation d'adresse réseau, NAT, est un mécanisme permettant, entre autre, de connecter plusieurs équipements réseau à Internet via une seule adresse IP publique

leurs adresses internes restant ainsi inconnues de l'extérieur. Pour le configurer sur le PIX

il faut utiliser les commandes suivantes. Ceci est nécessaire afin de faire communiquer les hôtes avec un haut niveau de sécurité vers ceux ayant un niveau plus bas

Page 48: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

nat [(if_name)] nat_id address [netmask] [dns][max_conns]

Vérification de la configuration NAT:Vérification de la configuration NAT:

show nat :

Cette commande sert à afficher un hôte ou une ensemble d'hôte translatés.

show global:

Affiche les pools d'adresses configurées sur le PIX.

show xlate:

Affiche la table de translation

Page 49: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Sauvegarde de La configuration Obligatoire, importante et incontournable pour un

administrateur réseau parce que cette partie il va nous permettre de garder les traces de la configuration finale

Dans les cas d’ajout d’une configuration malveillante on peut restaurer la configuration sauvegardée tranquillement sans aucun doute, ni stress

L’utilisation de la commande « write memory » va vous permettre de sauvegarder dans la mémoire flash toute la configuration du PIX que vous venez de réaliser

Page 50: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Complement de securité

Afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies.

Par ailleurs, il est recommandé d'effectuer une veille de sécurité afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.

La mise en place d'un Firewall doit donc se faire en accord avec une véritable politique de sécurité

y compris :

Page 51: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

LE CLOISONNEMENT

Le cloisonnement du réseau consiste à définir plusieurs zones de niveaux de sécurité différents, identifier les échanges entre les niveaux et limiter les échanges au strict minimum. En effet, cela permettra de :

Séparer les zones de confiances différentes

Assurer une meilleure protection des services IP,

Assurer une meilleure séparation des flux.

Page 52: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Le cloisonnement du réseau sera accompagné des moyens techniques suivants :

1- Le filtrage des flux IP par l’utilisation des Firewalls

2- La translation d’adresse permettant de cacher la topologie du réseau interne aux correspondants externes. Plusieurs types d’implémentation sont utilisés :

Traduction statique d’adresses

Traduction dynamique de ports : elle est appliquée aux postes de travail internes pour naviguer sur Internet ou communiquer avec les différents serveurs métiers localisés sur les autres zones de sécurité.

Les services de filtrage et relais applicatifs sont réalisés sur des serveurs dédiés comme les serveurs Proxy http (Antivirus SMTP, Antivirus http/FTP, Filtrage URL),

Le service d’Authentification, d’Autorisation et d’Accounting est assuré par une plateforme de contrôle d’accès basée sur le protocole Radius et Tacacs

Page 53: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

PROTECTION ANTIVIRALE DES FLUX HTTP/FTP

Les flux de messagerie entrants et sortants sont routés vers la passerelle de protection antivirale SMTP. En effet, cette passerelle analyse le contenu des messages reçus et vérifie qu’ils ne contiennent aucun virus ou code malicieux puis transférera le message vers le serveur de messagerie ou Internet.

Page 54: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

LA DETECTION D’INTRUSION

pour atténuer ces risques à mettre en place des détecteurs d’intrusions réseaux sur les différents segments « Public » et « Partenaires ».

Les principales fonctionnalités qui sont exploitées sont :

- Examen « silencieux » du trafic réseau ;-envoi de Logs vers le serveur d’analyse de logs-Comparaison du trafic capturé avec une base de données

d'attaques ;-Mise en place éventuelles d’actions efficaces en cas d'attaque ;-Remonté d'alertes vers une console centrale (+ mails, ...).

Page 55: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

LA REDONDANCE ET DISPONIBILITE Afin de compléter la robustesse de l’infrastructure de

sécurité des accès Internet mise en place, une amélioration du niveau de disponibilité est indispensable, cette amélioration passe par :

Redondance des équipements Firewalls en FailOver,

Redondance des serveurs passe les Antirus SMTP/Antispam et Http/FTP.

Page 56: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

conclusion

N’oubliez pas que la configuration n’est pas définitive et qu’il très important de faire un suivi régulier, c'est-à-dire mettre à jour les schémas réseaux lors de modifications et les appliquer sur le PIX.

Le PIX étant un produit très évolutif, vous pourrez ajouter facilement des cartes d’extension, ou bien mettre à jour l’IOS

Page 57: Ntic2.xtreemhost.com Pix cisco

ntic2.xtreemhost.com ntic2.xtreemhost.com

Merci pour votre attention

Gracias por su atención