Le pare-feu est certainement l’une des fonctionnalités les plus importantes de la sécurité de votre réseau. La configuration d’un pare-feu peut paraître complexe du fait de sa nature technique. C’est la raison pour laquelle il est judicieux d’organiser cette tâche en plusieurs étapes afin de la rendre plus facile. Dans ce tutoriel nous vous aidons à configurer votre pare-feu en le dotant de filtrages efficaces pour une meilleure sécurité de votre réseau.

Norton™ 360 Premium 2022
10 Appareils -1 An d’Abonnement
Secure VPN –
Password Manager –
Dark web monitoring
20,99€

Sécurisez votre pare-feu

C’est la première étape du processus de configuration d’un pare-feu. Si ce dernier n’est pas correctement sécurisé, n’importe qui pourrait accéder à votre réseau et y commettre des dégâts. Il est alors important de sécuriser votre pare-feu par les actions suivantes :

  • Faire la mise à jour de votre pare-feu avec le dernier firmware.
  • Supprimez, désactivez ou renommez tous les comptes d’utilisateurs par défaut et changez tous les mots de passe par défaut avec des mots de passe complexes et sécurisés.
  • Ne vous servez pas de comptes d’utilisateurs partagés. Si le pare-feu est administré par plusieurs comptes, donnez aux comptes d’administrateur supplémentaires des privilèges limités en fonction des responsabilités.
  • Désactivez le protocole de gestion de réseau simple (SNMP) ou configurez-le pour utiliser une chaîne de communauté sécurisée.

Établissez vos zones de pare-feu et vos adresses IP

Une zone démilitarisée (en anglais DMZ pour demilitarized zone) regroupe des machines dans un sous-réseau. Ce sous-réseau est séparé et isolé du réseau local et d’Internet par un pare-feu. Les machines de ce sous-réseau sont susceptibles d’être accédées depuis Internet, mais elles ne peuvent pas accéder au réseau local.


Dans un DMZ, ont regroupe les machines de fonctions similaires et de même niveau de sensibilité. Par exemple :

  • Vous pouvez regrouper dans une même zone vos serveurs de services Internet (serveurs Web, serveurs de messagerie, serveurs de réseau privé virtuel (VPN), etc.) pour limiter le trafic entrant depuis Internet.
  • Dans une autre zone dédiée aux serveurs internes, vous regrouperez des serveurs dont on ne doit avoir aucun accès depuis Internet comme les serveurs de bases données.
  • Dans une zone de réseau interne, vous pouvez intégrer les postes de travail, les dispositifs de point de vente et les systèmes de voix sur protocole Internet (VOIP). 

Il est vrai que plus vous créez de zones, plus votre réseau est sécurisé. Mais plus de zones demande du temps et des ressources supplémentaires. Il faudrait savoir trouver le juste équilibre entre le nombre de zones que vous souhaitez créer et les ressources qui vous sont disponibles.

Maintenant que votre réseau est structuré en zone, il faut établir le schéma d’adresse IP qui lui correspond. La version standard la plus couramment utilisée pour les adresses est IPv4.

  • les adresses IP internes doivent être utilisées pour tous vos réseaux internes.
  • La traduction d’adresses réseau NAT (Network Address Translation) doit être configurée : ainsi, un routeur agira comme intermédiaire entre Internet (ou réseau public) et le réseau interne (ou réseau privé), en utilisant une seule adresse IP unique pour représenter tous les périphériques internes. Cela permet de masquer les plages d’adresses réseau privées.

Maintenant, vous pouvez créer vos zones de pare-feu et les affecter à vos interfaces ou sous-interfaces de pare-feu.

Configurer les règles d’accès aux zones


Cette étape consiste à définir exactement quel trafic sera autorisé à entrer et sortir de chaque zone. Pour ce faire, il faut définir des règles d’accès appliquées à chaque interface ou sous-interface du pare-feu. Ces règles sont des listes de contrôle d’accès spécifiques aux adresses IP source et/ou de destination exactes et aux numéros de port. 

Par exemple :

  • À la fin de chaque liste de contrôle d’accès, on devrait définir une règle « Tout refuser » pour filtrer tout le trafic non approuvé. 
  • Pour chaque interface et sous-interface du pare-feu, une règle stipulera que seul le trafic approuvé est autorisé à entrer et sortir de chaque zone.

Pour plus de sécurité, nous vous recommandons de désactiver les interfaces d’administration de votre pare-feu de l’accès public. Désactivez également tous les protocoles non chiffrés pour la gestion du pare-feu, y compris les connexions Telnet et HTTP.

Configurez les autres services de pare-feu que vous souhaitez

D’autres services supplémentaires peuvent également être configurés. Cela dépend des tâches que vous souhaitez attribuées à votre pare-feu. Par exemple un serveur DHCP (Dynamic Host Configuration Protocol), un serveur NTP (Network Time Protocol), un système de prévention des intrusions (IPS). Désactivez alors toutes les autres tâches qui ne vous servirons pas. 

Testez la configuration de votre pare-feu

Vous avez fini la configuration ! Il est maintenant temps de tester votre pare-feu pour vérifier qu’il fonctionne comme prévu :

  • vérifier que votre pare-feu bloque le trafic qui devrait être bloqué selon les règles d’accès que vous avez définies. 
  • faites une analyse des vulnérabilités et des tests de pénétration.

Après le test du pare-feu, faites une sauvegarde de sa configuration dans un endroit sûr pour pouvoir le récupérer en cas de panne matérielle.


Lire aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

6 + 11 =