Chapitre 3 — Pare-feux, Zones & DMZ
Les pare-feux sont le contrôle de périmètre fondamental. Ce module couvre les types de pare-feux (stateless, stateful, NGFW, WAF), la conception des zones de sécurité et la DMZ.
| Type | Couche OSI | Ce qu'il inspecte | Avantage/Limite |
|---|---|---|---|
| Stateless (packet filtering) | 3-4 | IP src/dst, port, protocole | Rapide, simple / Pas de contexte de session |
| Stateful | 3-4 | + État des connexions TCP (SYN, ESTABLISHED) | Bloque les paquets hors-contexte / Plus lent |
| Proxy (Application Gateway) | 7 | Contenu applicatif complet | Inspection profonde / Point unique de performance |
| NGFW (Next-Gen) | 7 | + Identité utilisateur, apps, IPS intégré, SSL inspection | Très complet / Coûteux, latence |
| WAF (Web Application Firewall) | 7 | HTTP/HTTPS spécifiquement (SQLi, XSS, OWASP Top 10) | Protège les apps web / Pas un remplaçant du NGFW |
Implicit Deny
Le principe d'implicit deny (ou deny-all par défaut) signifie que tout trafic non explicitement autorisé par une règle de pare-feu est bloqué. C'est la base d'une politique de pare-feu sécurisée — le pare-feu commence par tout bloquer, puis on ajoute des règles d'autorisation au fur et à mesure.
"Le pare-feu bloque tout le trafic non autorisé" → implicit deny. Si une question demande "quel est le comportement par défaut d'un pare-feu bien configuré", la réponse est toujours "bloquer tout sauf ce qui est explicitement autorisé."
- Zone externe (Internet) : réseau non fiable. Tout accès entrant est présumé malveillant jusqu'à preuve du contraire.
- DMZ (Demilitarized Zone) : zone tampon entre internet et le réseau interne. Contient les serveurs publics (web, mail, DNS publics). Protégée par un pare-feu côté internet ET un pare-feu côté interne.
- Zone interne (LAN) : réseau de confiance. Accès contrôlé depuis la DMZ (serveurs internes ne devraient pas initier de connexions depuis la DMZ).
- Zone de gestion : réseau dédié à l'administration des équipements. Séparé du LAN utilisateur.
- Extranet : zone semi-ouverte pour les partenaires commerciaux. Accès restreint aux ressources nécessaires.
Internet → [Pare-feu 1] → DMZ (serveur web, SMTP relay) → [Pare-feu 2] → LAN interne (base de données, AD)
Règle clé : le serveur web DMZ peut initier des connexions vers la base de données interne uniquement sur les ports nécessaires (ex: TCP 5432 pour PostgreSQL). Aucune connexion initiale ne doit être autorisée depuis internet directement vers le LAN.
Les ACL (Access Control Lists) définissent les règles de filtrage. Les règles sont évaluées dans l'ordre (top-to-bottom) — la première règle qui correspond est appliquée.
- Permit/Deny : action à effectuer si la règle correspond.
- Source/Destination IP : adresses ou plages concernées.
- Port/Protocole : service concerné (80/TCP, 443/TCP, any/ICMP).
- Direction : inbound (entrant) ou outbound (sortant).
- Implicit deny all : règle implicite à la fin — bloque tout ce qui n'est pas autorisé.