Présentation de la tunnellisation inverse

2025-05-12Dernière mise à jour

La tunnellisation inverse est une méthode de sécurisation des communications entre clients et serveurs situés derrière un pare-feu. Cette technique renforce la sécurité et simplifie la gestion du pare-feu. Lorsque vous utilisez un tunnel inverse, le serveur établit une connexion avec le client. Ce tunnel de connexion est sécurisé par un fichier de clé préalablement échangé et qui contient un certificat d'identité. Une fois la connexion établie, le tunnel inverse permet une communication bidirectionnelle sans ouverture de ports entrants sur le pare-feu.

Contexte

Dans Security Center SaaS, la tunnellisation inverse est généralement utilisée pour connecter un ou plusieurs systèmes distants de Security Center à l’hôte FederationMC dans le nuage. L’utilisation d’un tunnel inverse simplifie la gestion du pare-feu et la configuration de Security Center Federation. Par défaut, le tunnel utilise un protocole TCP 5500 sortant pour connecter le site distant à l’hôte Federation.

REMARQUE :
Si nécessaire, vous pouvez connecter Security Center SaaS à un hôte Federation externe, notamment un système sur site, ou à l’Édition Security Center SaaS Edition (Classic). Cette configuration n’utilise pas la tunnellisation inverse. Pour en savoir plus ou pour continuer avec cette configuration, contactez le Centre d’assistance technique de GenetecMC (GTAC).

Le diagramme suivant représente le flux de communication d’une instance Federation standard, en bleu, et d’une Federation avec un tunnel inverse, en violet.

Dans une instance Federation standard, l’hôte Federation est le client initiant la connexion au site fédéré, qui agit en tant que serveur. Ce flux est inversé dans une Federation à l'aide d'un tunnel inverse.

Diagramme d’architecture d’un hôte Federation™ et d’un site fédéré illustrant la manière dont ils se connectent à l'aide de la tunnellisation inverse.
Pour utiliser la tunnellisation inverse, créez un Serveur de tunnel inversé rôle sur l’hôte Federation et un Tunnel inversé rôle sur le site distant. La tunnellisation inverse fonctionne comme suit :
  1. Le rôle Serveur de tunnel inverse génère un fichier de clés comprenant un certificat d'identité, les données de connectivité réseau et un jeton à usage unique.
  2. Le rôle Tunnel inverse accepte le fichier de clés pour ouvrir le tunnel inverse.
  3. Le rôle Security Center FederationMC se connecte au site fédéré à l'aide du tunnel inverse.

Limites et exigences

La tunnellisation inverse prend uniquement en charge le protocole TCP
Le segment réseau utilisé pour la tunnellisation entre le site distant et l'hôte Federation doit prendre en charge le protocole Unicast TCP. Une fois que la vidéo atteint le nuage, le meilleur protocole de transport disponible peut être utilisé.
Les flux vidéo doivent passer par un redirecteur avant et après le tunnel.
Le mécanisme de tunnellisation n’est implémenté que pour les redirecteurs vidéo et demeure transparent pour l’application cliente.