11.5.3.4 Traduction d'adresse (NAT)
Son principe consiste à modifier l'adresse IP source ou
destination, dans l'en-tête d'un datagramme IP lorsque le paquet transite
dans le Pare-feu (Proxy) en fonction de l'adresse source ou destination et du
port source ou destination. Lors de cette opération, le Pare-feu garde
en mémoire l'information lui permettant d'appliquer la transformation
inverse sur le paquet de retour. La traduction d'adresse permet de masquer le
plan d'adressage interne (non routable) à l'entreprise par une ou
plusieurs adresses routables sur le réseau externe ou sur Internet.
Cette technologie permet donc de cacher le schéma d'adressage
réseau présent dans une entreprise derrière un
environnement protégé.
Figure 3. 4 : Traduction d'adresse (NAT)''[13]
· Translation statique
Le principe du NAT statique consiste à associer une
adresse IP publique à une adresse IP privée interne au
réseau. La passerelle permet donc d'associer à une adresse IP
privée (Par exemple 192.168.0.1) une adresse IP publique routable sur
Internet et de faire la traduction, dans un sens comme dans l'autre, en
modifiant l'adresse dans le paquet IP. La translation d'adresse statique permet
ainsi de connecter des machines du réseau interne à Internet de
manière transparente mais ne résout pas le problème de la
pénurie d'adresse dans la mesure où n adresses IP
routables sont nécessaires pour connecter n machines du
réseau interne.
· Translation dynamique
Le NAT dynamique permet de partager une adresse IP routable
(ou un nombre réduit d'adresses IP routables) entre plusieurs machines
en adressage privé. Ainsi, toutes les machines du réseau interne
possèdent virtuellement, vu de l'extérieur, la même adresse
IP. Afin de pouvoir « multiplexer » (partager) les différentes
adresses IP sur une ou plusieurs adresses IP routables le NAT dynamique utilise
le mécanisme de translation de port (PAT, Port Address Translation),
c'est-à-dire l'affectation d'un port source différent à
chaque requête de telle manière à pouvoir maintenir une
correspondance entre les requêtes provenant du réseau interne et
les réponses des machines sur Internet, toutes adressées à
l'adresse IP de la passerelle.
11.5.3.5 Reverse Proxy
On appelle Reverse-Proxy (en français le terme de
relais inverse est parfois employé) un serveur Proxy-cache «
monté à l'inverse », c'est-à-dire un serveur Proxy
permettant non pas aux utilisateurs d'accéder au réseau Internet,
mais aux utilisateurs d'internet d'accéder indirectement à
certains serveurs internes.
Figure 3. 5 : Reverse Proxy''[13]
Le Reverse-Proxy sert ainsi de relais pour les utilisateurs
d'Internet souhaitant accéder à un site web interne en lui
transmettant indirectement les requêtes. Grâce au Reverse-Proxy, le
serveur web est protégé des attaques directes de
l'extérieur, ce qui renforce la sécurité du réseau
interne. D'autre part, la fonction du cache du reverse-Proxy peut permettre de
soulager la charge du serveur pour lequel il est prévu, c'est la raison
pour laquelle un tel serveur est parfois appelé «
accélérateur », (server accelerator). Enfin, grâce
à des algorithmes perfectionnés, le Reverse-Proxy peut servir
à répartir la charge en redirigeant les requêtes vers
différents serveurs équivalents ; on parle alors de
répartition de charge, (load balancing).
| 
