Bonjour à tous,
 
J'aimerais avoir vos avis concernant le fait qu'il vaut mieux, et surtout pourquoi avoir plusieurs IP publiques sur le routeur/firewall (CISCO-ASA5505) qui est la passerelle d'un réseau constitué ainsi (voir plus bas) pour qu'on puisse faire du NAT/PAT pour accéder sur les serveurs de l'interface INSIDE:
 
1. Il y'a 5 étages avec des commutateurs Cisco2960 relies par fibre optique a chaque étage (dans le schéma j'ai volontairement mis que le Rez-De-Chausse et le 5ème étage ...les autres sont configurées pareille avec d'autres VLANS)  
2. Sur ce réseau on a +-50 VLANS qui sont configurées sur l'interface INSIDE.
3. On a une zone DMZ (qui est sur une interface propre DMZ) ou se trouve l'OLFEO comme proxy qui est accessible depuis tous les VLANS.
4. Presque chaque VLAN a de serveurs propres qui doivent être accessibles depuis l’extérieur (http, https, ftp .....)
5. Le routeur/firewall c'est un ASA5505 avec ASDM : 7.1(5)100 et ASA : 9.0(3)  ...je donne cette info car d'une version a l'autre la config au niveau d'Access Rules et NAT Rules a beaucoup changé.
 
J'ouvre le bal avec ce que je pense être le(s) principal(aux) atouts pour le fait qu'il vaut mieux avoir plusieurs IP publiques (presque une pour chaque VLAN) pour des question de sécurité et de cohérence au niveau configuration :
 
- Le fait d’avoir une IP fixe permets de cloisonner le flux pour un réseau spécifique car s’il y’a une attaque sur une IP fixe publique …c’est ce réseau seul qui est derrière cette translation (NAT/PAT) qui est « menacé » – le reste n’est pas impacté
- Au niveau des flux l'ASA pourra mieux les gérer.
.....
 
 
 
Merci d'avance pour vos idées.
 
Paul
 

Pour ma part j aurai dit qu il faut plusieurs ip publique si par exemple tu utilises des services qui fonctionnent sur le même port alors qu ils sont sur deux hôtes ou vms distinctes
Tu peux rediriger vers un seul serveur uniquement.

Un autre cas, sous 2008r2 un site en https = une adresse ip publique donc si t en veux deux te faut deux ip publique.

Après au niveau intrusion la personne sera limite par rapport aux redirection que tu as effectué dans tous les cas.

 
J'imagine que tu veux dire sous IIS ...
Et sous IIS (v7 ou 7.5 sous 2008R2), tu peux avoir autant de sites en HTTPS que tu veux et qui sont liés à une même IP.

Pour le posteur initial, tu me sembles mélanger IP publique et fixe.
Une IP peut-être publique sans être fixe. Et vice-versa.
 
Il n'y a pas d'intérêt, à ma connaissance, au niveau sécurité à disposer d'une ou plusieurs IP publiques.
L'intérêt de disposer de plusieurs IP publiques est de proposer X services sur le WAN qui sinon entreraient en conflit.
 
Quant au fait de disposer d'IP fixe(s), c'est nécessaire sauf à risquer que le service ne soit plus accessible.

En effet  c était iis et mea culpa en effet depuis la version 7 pas de problèmes