Bonjour,
 
En tant que newbie en sécurité ma question va peut être vous paraître aberrante mais tant pis    
 
Voilà, j'ai un réseau d'entreprise composé de plusieurs vlan avec un parc hétérogène ( serveurs, imprimantes, poste de travail, etc.  (Chacun sur un vlan)). Je souhaiterais interconnecter un autre vlan à ce réseau mais ce vlan héberge des machines vulnérables (pas d'anti-virus, etc...). Et bien sur des données doivent transiter....
Le but est d'éviter qu'en cas de souci sur ce vlan, ça pollue tout le reste du réseau.  
Je me dis que créer une sorte de DMZ derrière un FW me semble une bonne idée et que les règles de filtrages devraient aider à tout cela.  
Ça, c'est la théorie mais pour la mise en pratique, ce n'est pas gagné.  
Suis-je sur la bonne piste ou bien je me fourvoie complètement ?
 
Merci pour vos retours.

Si des données inter-vlan doivent transiter, je commencerai pas sécuriser mes machines, puis ensuite penser au reste.  
 
Pourquoi tu as des machines sans AV, MAJ...?

Si c'est pour accueillir des machines sur lesquelles tu n'as pas le contrôle (postes itinérants, invités, portail captif wifi ouvert) ça a du sens.
 
Même si de mon point de vue pas besoin de firewall; un switch L3 avec les access-lists qui vont biens fera l'affaire (autoriser juste le DNS, http...)

Oui si tu as du L3 ca fera l'affaire sans investir, si par contre tu as un FW qui te permet du contrôle applicatif, antivirus... ne t'en prive pas!

Je n'ai effectivement pas la main sur ces machines.  
Ce sont entre autres  des machines de prêt sur lesquelles nous n'avons rien le droit d'installer.
Elle sont donc vulnérables mais je ne peux les securiser