ObjectifCyber

Chapitre 3 — Pare-feux, Zones & DMZ

Les pare-feux sont le contrôle de périmètre fondamental. Ce module couvre les types de pare-feux (stateless, stateful, NGFW, WAF), la conception des zones de sécurité et la DMZ.

Mémorisez ! Stateless = règles IP/port simples (rapide, pas de contexte). Stateful = suit l'état des connexions TCP. NGFW = inspection couche 7. WAF = protection des applications web spécifiquement.
TypeCouche OSICe qu'il inspecteAvantage/Limite
Stateless (packet filtering)3-4IP src/dst, port, protocoleRapide, simple / Pas de contexte de session
Stateful3-4+ État des connexions TCP (SYN, ESTABLISHED)Bloque les paquets hors-contexte / Plus lent
Proxy (Application Gateway)7Contenu applicatif completInspection profonde / Point unique de performance
NGFW (Next-Gen)7+ Identité utilisateur, apps, IPS intégré, SSL inspectionTrès complet / Coûteux, latence
WAF (Web Application Firewall)7HTTP/HTTPS spécifiquement (SQLi, XSS, OWASP Top 10)Protège les apps web / Pas un remplaçant du NGFW

Implicit Deny

Le principe d'implicit deny (ou deny-all par défaut) signifie que tout trafic non explicitement autorisé par une règle de pare-feu est bloqué. C'est la base d'une politique de pare-feu sécurisée — le pare-feu commence par tout bloquer, puis on ajoute des règles d'autorisation au fur et à mesure.

Astuce Examen

"Le pare-feu bloque tout le trafic non autorisé" → implicit deny. Si une question demande "quel est le comportement par défaut d'un pare-feu bien configuré", la réponse est toujours "bloquer tout sauf ce qui est explicitement autorisé."

Architecture DMZ standard :
Internet → [Pare-feu 1] → DMZ (serveur web, SMTP relay) → [Pare-feu 2] → LAN interne (base de données, AD)

Règle clé : le serveur web DMZ peut initier des connexions vers la base de données interne uniquement sur les ports nécessaires (ex: TCP 5432 pour PostgreSQL). Aucune connexion initiale ne doit être autorisée depuis internet directement vers le LAN.

Les ACL (Access Control Lists) définissent les règles de filtrage. Les règles sont évaluées dans l'ordre (top-to-bottom) — la première règle qui correspond est appliquée.

1. Un pare-feu stateful se distingue d'un pare-feu stateless par sa capacité à :

Le pare-feu stateful maintient une table d'état des connexions TCP actives. Il peut bloquer un paquet ACK qui n'a pas eu de SYN préalable (impossible dans une connexion légitime). Le stateless ne voit que les paquets individuellement, sans contexte.

2. Une organisation héberge un site web public. Pour protéger le réseau interne si le serveur web est compromis, quelle architecture est recommandée ?

La DMZ avec deux pare-feux est l'architecture recommandée. Si l'attaquant compromet le serveur web, il est dans la DMZ — il doit encore franchir le second pare-feu pour atteindre le réseau interne.

3. Un WAF (Web Application Firewall) est différent d'un NGFW en ce qu'il :

Le WAF est spécialisé pour HTTP/HTTPS. Il comprend la syntaxe des requêtes web et peut détecter des attaques comme SQLi, XSS, CSRF, inclusion de fichiers. Il complémente le NGFW, il ne le remplace pas.

4. Le principe "implicit deny" dans un pare-feu signifie :

Implicit deny = "deny all" implicite à la fin des règles. Même sans règle de refus explicite, tout ce qui ne correspond à aucune règle d'autorisation est bloqué. C'est le comportement sécurisé par défaut.

5. Quel type de pare-feu peut identifier et contrôler les applications (ex: bloquer Facebook mais autoriser Salesforce), indépendamment du port utilisé ?

Le NGFW intègre une inspection des applications (App-ID) qui identifie les applications par leur signature comportementale, pas seulement par le port. Il peut bloquer Facebook même si l'app essaie d'utiliser le port 443.

6. Dans l'évaluation des règles de pare-feu, si le trafic correspond à plusieurs règles, laquelle est appliquée ?

Les ACL de pare-feu sont évaluées séquentiellement de haut en bas. La première règle qui correspond est appliquée et le traitement s'arrête. L'ordre des règles est donc critique — une règle plus générale placée avant une règle spécifique peut l'écraser.

7. La "SSL/TLS inspection" (aussi appelée TLS break-and-inspect) dans un NGFW permet de :

La TLS inspection permet au NGFW d'agir comme un man-in-the-middle "de confiance" : il déchiffre le trafic, l'inspecte, puis le re-chiffre vers la destination. Nécessite de confier le certificat CA du NGFW aux clients (via GPO ou MDM).

8. Quelle zone de sécurité héberge typiquement les serveurs de messagerie (MX) et DNS publics d'une organisation ?

La DMZ héberge les services qui doivent être accessibles depuis internet : serveurs web, relais SMTP, DNS publics. Ils sont exposés mais isolés du LAN interne par un second pare-feu.

9. Un pare-feu de type "proxy applicatif" (Application Gateway) présente l'inconvénient principal de :

Le proxy applicatif inspecte le contenu complet des connexions — c'est son avantage (inspection profonde). Son inconvénient est la latence et la charge CPU élevée, surtout pour de gros volumes de trafic. Il peut devenir un goulot d'étranglement.

10. Qu'est-ce qu'un "pare-feu de nouvelle génération" (NGFW) peut faire qu'un pare-feu stateful classique ne peut pas ?

Le NGFW ajoute : identification des utilisateurs (via AD/LDAP), identification des applications (App-ID), inspection TLS, IPS intégré, et parfois sandboxing. Le stateful se limite aux couches 3-4 (IP, port, état TCP).