C'est un point crucial dans l'établissement d'une architecture réseau IP sécurisée et bien organisée. En effet, à quoi bon s'éreinter pour essayer de calculer et d'imaginer toutes les voies d'attaques possibles si on ne prépare pas un plan très structuré des adresses des éléments qui vont prendre place sur le réseau.
L'adresse de la patte externe du routeur de sortie : En général on ne la choisit pas. C'est le provider qui nous la donne pour convenir à son schéma d'architecture.
L'adresse interne du routeur est de classe publique afin que toute la DMZ soit visible de l'extérieur, le masque de sous-réseau peut être réduit au maximum pour filtrer les broadcast. expl : 175.50.25.x / 255.255.255.240 ( 16 adresses disponibles )
Tout le réseau privé interne doit être adressé avec des classes d'IP qui ne sont pas routées sur l'Internet : 192.168.x.x / 10.x.x.x /... Ainsi aucune machine à l'intérieur ne peut être visible directement de l'extérieur. Cependant, avec les droits nécessaires, l'utilisateur peut consulter Internet soit en passant directement à travers le Firewall qui va faire de la translation d'adresse, soit passer par un proxy qui va aller chercher les informations pour lui et qui va les redistribuer tout en maintenant un cache.
Le Firewall est affecté de 2 adresses IP : 1 pour le réseau DMZ en 175.50.25.x / 255.255.255.248
1 pour le réseau Interne en 192.168.x.x / 255.255.255.0
En plus de ces 2 adresses, le Firewall est configuré pour prendre un pool d'adresses disponibles en DMZ afin de faire sa translation d'adresses en dynamique pour toutes les machines qui souhaitent passer.
Un bon adressage Interne permet même de faire des VPN sans provoquer de faille dans le système puisque en gardant un seul accès Internet pour tout le monde ( son dimensionnement doit en tenir compte ) , on peut mettre en place des interconnexions de sites distants avec routeurs sans même crypter les données comme cela est nécessaire si l'on passe par Internet, puisque la liaison est déjà privée.