Bonjour,
 
Devant renouveller le matériel de la DMZ, nous souhaiterions en profiter pour faire évoluer le schéma d'architecture dans un schéma avec 2 DMZ:
 

 
Cela pose cependant pas mal de question "existentielles" :  
 
Dans la DMZ interne nous souhaitons mettre les portails Web accessibles de l'extérieur.
Techniquement c'est possible mais ce pose alors la question de l'accessibilité de ces sites depuis le LAN :
Une DMZ doit elle être étanche "dans les 2 sens" et donc l'accés LAN -> DMZ est -il une faille de sécurité ?
Si c'est le cas, est on obligé de "dupliquer" les frontaux web dans le LAN ?
 
Ensuite pour créer la DMZ interne nous souhaitions héberger un nouveau réseau sur le serveur de virtualisation du lan.
Est-ce aussi une faille de sécurité ou peut on envisager cela sous réserve de mise en place de toute la sécurité nécessaire ?
 
Merci

 
 
Pour répondre a tes questions en gros :
 
- Filtrage LAN -> DMZ oui cela doit etre étanche, reste que tu peux avoir des flux bien particuliers autorisés (rdp, ssh etc...)
 
Heberger un nouveau réseau sur le serveur de virtu? Je ne vois pas ce que tu veux dire, si tu sous entends déclarer un nouveau vlan sur ton hote avec ACL pour la DMZ et mettre tes VM DMZ dessus oui tu peux le faire.

Salut dans ton scénario il y a globalement 3 zones pour ces FW.
 - WAN
- DMZ
- LAN
 
Il faut donc des règles en place suivant la police choisie.
D'une manière générale, ça se fait dans ces directions :
Internet  -> WAN
DMZ -> Host/LAN/LAN2/ANY(INTERNET)
LAN  -> Host/LAN/LAN2/DMZ/ANY(INTERNET)
 
En gros chaque VLAN à sa propre "access-list" et on filtre ce qui rentre sur l'interface.
donc access-lsit DMZ filtrera le traffic entrant de la DMZ vers n'importe qu'elle autre zone,etc..
Même chose pour tes autres VLAN.
Ton access-list "WAN" filtrera le traffic entrant depuis l'internet.
Tu peux aussi faire un filtrage en entrée et sortie pour tes zone suivant les besoins de sécurité, mais c'est plus complexe.
 
Donc pour répondre à ta question de communication DMZ < - > LAN.
Il faut logiquement gérer les access-list pour le traffic de chaque zone :
source IP / dest IP / Port
 
donc pour que le LAN communique avec la DMZ, il faut donc filtrer :
 
access-list LAN <tcp/udp> ip source(LAN) ip destination(DMZ) port (xx-65535)