Pare-feu

Un pare-feu contrôle le trafic réseau entrant et sortant selon des règles définies. Il bloque les communications non autorisées tout en laissant passer le trafic légitime.

Critères de filtrage

Un pare-feu peut analyser :

• adresse IP source
• adresse IP destination
• port source
• port destination
• protocole utilisé
• état de la connexion
• interface ou zone réseau

Il décide ensuite d'autoriser ou de bloquer le flux.

Couches OSI

Exemple de règle

Autoriser SSH depuis le réseau d'administration vers un serveur :

Source : réseau d'administration
Destination : 192.168.1.10
Port : 22
Protocole : TCP
Action : Autoriser

Bloquer le reste :

Action : Refuser

Pare-feu avec état

Un pare-feu stateful suit l'état des connexions.

Il peut :

• autoriser automatiquement les réponses légitimes
• bloquer les connexions non sollicitées
• réduire certains risques d'attaque

Exemple : une réponse HTTPS est autorisée si elle correspond à une connexion initiée depuis l'intérieur.

Segmentation

Le pare-feu peut séparer plusieurs zones.

Internet
   │
Pare-feu
   │
├── Réseau utilisateurs
├── Réseau serveurs
├── Réseau invités
└── DMZ

Cette séparation limite la propagation d'une compromission.

Bonnes pratiques

• refuser par défaut
• autoriser uniquement le nécessaire
• limiter les ports exposés
• journaliser les événements
• documenter chaque règle
• revoir les règles obsolètes
• maintenir les équipements à jour

Cycle de vie d'une règle

Une règle pare-feu doit avoir :

• justification
• propriétaire
• date de création
• durée ou date de revue
• source
• destination
• ports
• action
• niveau de journalisation

Les règles temporaires qui ne sont jamais supprimées deviennent souvent un risque permanent.

Logs pare-feu

Les logs utiles montrent :

• flux acceptés sensibles
• flux refusés répétés
• connexions vers destinations inhabituelles
• changements de règles
• accès à l'administration
• volumes anormaux

Un pare-feu silencieux bloque peut-être, mais il aide peu à comprendre un incident.