Chapitre 5 : Firewalls (Pare-Feux)

Pr: El Mehdi CHERRAT TC-IA4 : 2025-2026

 Chapitre 6 : Firewalls
I. Firewalls:
1. Définition :
• Les pare-feu sont un composant crucial de la cybersécurité,
servant de barrière entre les réseaux de confiance et les réseaux
non fiables. Ils surveillent et contrôlent le trafic entrant et sortant
en fonction de règles de sécurité prédéfinies, protégeant ainsi les
systèmes contre les accès non autorisés et les menaces.

• Les pare-feu peuvent être basés sur du matériel (hardware), des

logiciels (software) ou sur le cloud, chacun offrant différents
niveaux de protection selon les cas d'utilisation.
 Chapitre 6 : Firewalls
I. Firewalls:
2. Pourquoi Firewalls :

• Contrôle: Gérer les connexions sortantes a partir du réseau local.

• Sécurité: Protéger le réseau interne des intrusions venant de

l’extérieur.

• Vigilance: Surveiller/tracer le trafic entre le réseau local et

internet.
• Journalisation des événements : enregistrer les tentatives de
connexion réussies et échouées, les paquets bloqués, les
modifications de configuration ,etc.

Le pare-feu joue le rôle de filtre et peut donc intervenir à plusieurs

niveaux du modèle OSI.
 Chapitre 6 : Firewalls
I. Firewalls:
2. Pourquoi Firewalls :

En Suivant des règles de filtrage prédéfinies ou configurées par

l'utilisateur, un pare-feu permet d'autoriser ou de bloquer :
Une ou des adresses IP spécifiques,
Des types de protocoles (TCP ou UDP),
Des numéros de ports associés à un service ou à une application
Des applications installées sur l'ordinateur.

Un pare-feu permet donc de surveiller les données qui entrent et

sortent d’un ordinateur.
 Chapitre 6 : Firewalls
I. Firewalls:
3. Principe Firewalls :

Un firewall, c'est une liste ordonnée de la forme :

• (règle 1, action 1)
• (règle 2, action 2)
• (règle 3, action 3)
• etc.

• Chaque fois qu'un paquet de données arrive, le firewall compare ce

paquet à chaque règle (dans l'ordre) jusqu'à en trouver une qui
corresponde au paquet.

• Il exécute alors l'action correspondante à la règle.

 Chapitre 6 : Firewalls
I. Firewalls:
3. Principe Firewalls :

Les règles peuvent être :

• adresse destination du paquet ;
• adresse source ;
• port destination ;
• port source ;
• date ;
• heure, etc.
Les actions peuvent être :
• refuser le paquet ;
• ignorer le paquet ;
• accepter le paquet ;
• transmettre le paquet sur un autre réseau, etc.
 Chapitre 6 : Firewalls
I. Firewalls:
3. Principe Firewalls :

• Un système pare-feu contient un ensemble de règles prédéfinies

permettant
– D'autoriser la connexion (allow) ;
– De bloquer la connexion (deny) ;
– De rejeter la demande de connexion sans avertir l'émetteur (drop)

• La plupart des firewalls travaillent au niveau des couches 4 (TCP,

UDP...), 3 (IP...) et 2 (Ethernet...).

• Certains firewalls sont capables de travailler au niveau de la couche

7 (applicative) mais plus lourds et plus complexes à configurer
(filtrer certains protocoles comme HTTP, SMTP, POP3, FTP,...)
 Chapitre 6 : Firewalls
I. Firewalls:
3. Principe Firewalls :

Un Firewall contient un ensemble de règles prédéfinies qui dépendent

essentiellement de la politique de sécurité à adopter:

1. Politique restrictive : Elle consiste à spécifier les actions qui sont

autorisées. Tout ce qui n’est pas explicitement autorisé est alors
interdit.
2. Politique permissive : À l’opposé de la restrictive, elle décrit les
actions interdites. Tout ce qui n’est pas explicitement interdit est alors
autorisé.
3. Politique combinatoire : Contrairement aux deux premières, une
politique combinatoire consiste à définir aussi bien les actions
autorisées que celles interdites.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:
4.1. Filtrage simple de paquets (Stateless) :
Il analyse les en-têtes de chaque paquet de données (datagramme)
échangé entre une machine du réseau interne et une machine
extérieure transitent par le pare-feu et possèdent les en-têtes suivants,
systématiquement analysés par le firewall :

• adresse IP de la machine émettrice ;

• adresse IP de la machine réceptrice ;
• type de paquet (TCP, UDP, etc.) ;
• numéro de port (un port est un numéro associé à un service ou une
application réseau).
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:
4.1. Filtrage simple de paquets (Stateless) :

• Cela nécessite de configurer le pare-feu ou le routeur par des règles

de filtrages, généralement appelées des ACL (Access Control Lists)

• Le tableau ci-dessous donne des exemples de règles de pare-feu

 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.1. Filtrage simple de paquets (Stateless) :

• Les ports reconnus (dont le numéro est compris entre 0 et 1023)

sont associés à des services courants. Les ports 25 et 110 sont par
exemple associés au courrier électronique, et le port 80 au Web.

• La plupart des dispositifs pare-feu sont au minimum configurés de

manière à filtrer les communications selon le port utilisé.

• Il est généralement conseillé de bloquer tous les ports qui ne sont

pas indispensables (selon la politique de sécurité retenue). Le port
23 est par exemple souvent bloqué par défaut par les dispositifs
pare-feu car il correspond au protocole Telnet.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:
4.1. Filtrage simple de paquets (Stateless) :
Avantages :
• Simplicité et rapidité : Le filtrage des paquets est simple à
configurer et permet une analyse rapide du trafic.
• Faible consommation de ressources : Ce type de pare-feu nécessite
peu de ressources système, ce qui le rend léger et performant.
Inconvénients :
• Fonctionnalités de sécurité limitées : Il ne peut pas appliquer des
règles complexes ou analyser le contenu des paquets.

• Incapacité à détecter les menaces profondes : Il ne peut pas

identifier les menaces sophistiquées ou les attaques cachées dans
les couches profondes du trafic.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.2. Filtrage de paquets avec état (Stateful):

• Le filtrage simple de paquets ne s'attache qu'à examiner les

paquets IP indépendamment les uns des autres, ce qui correspond
au niveau 3 du modèle OSI.

• De nombreux services (le FTP par exemple) initient une connexion

sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de
manière aléatoire) un port afin d'établir une session entre la
machine faisant office de serveur et la machine cliente.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.2. Filtrage de paquets avec état (Stateful):

• Problème : il est impossible avec un filtrage simple de paquets de

prévoir les ports à laisser passer ou à interdire.

• Pour y remédier, le système de filtrage dynamique de paquets est

basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant
d'effectuer un suivi des transactions entre le client et le serveur et
donc d'assurer la bonne circulation des données de la session en
cours.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.2. Filtrage de paquets avec état (Stateful):

Limites :
• Complexe à configurer (nombre important d’options)
• Authentification limitée à l’adresse IP
• Non prise en compte des protocoles supérieures à la couche
transport (telnet, FTP, ...)
• Ne protège pas contre l’exploitation des failles applicatives, liées
aux vulnérabilités des applications.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.3. Filtrage applicatif :

• Firewall applicatif, proxy , serveur mandataire, relais.

• Le filtrage applicatif permet de filtrer les communications
application par application
• opère au niveau de la couche application (couche 7 du modèle OSI)
• suppose une bonne connaissance des applications, en particuliers
des protocoles utilisés.
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.3. Filtrage applicatif :

• Journalisation des évènements très détaillée
• Utilisé pour contre les tentatives d’exploitation de failles
applicatives ,
• notamment les injections de code, le déni de service, etc.
• Limite : Chaque paquet est finement analysé: ralentissement des
communication
 Chapitre 6 : Firewalls
I. Firewalls:
4. Type de filtrage:

4.3. Filtrage applicatif :

 Chapitre 6 : Firewalls
I. Firewalls:
 Chapitre 6 : Firewalls
I. Firewalls:
5. Pare-feu de Nouvelle Génération (NGFW) :
Les pare-feu de nouvelle génération (NGFW) combinent les
fonctionnalités traditionnelles des pare-feu avec des caractéristiques
avancées telles que l'inspection approfondie des paquets (DPI), la
prévention des intrusions, la reconnaissance des applications et
l'intégration de renseignements sur les menaces. Ils offrent une sécurité
renforcée en détectant les cybermenaces sophistiquées en temps réel.
 Chapitre 6 : Firewalls
I. Firewalls:
5. Pare-feu de Nouvelle Génération (NGFW) :
Avantages :
• Protection avancée contre les menaces : Capables d'identifier et de
bloquer les attaques complexes, y compris les menaces zero-day.
• Contrôle des applications et des utilisateurs : Permettent une gestion fine
des applications et des utilisateurs, améliorant ainsi la sécurité et la
conformité.
Inconvénients :
• Coût élevé : L'implémentation et la maintenance des NGFW peuvent être
coûteuses.
• Besoin en personnel qualifié : Requièrent des compétences techniques
avancées pour la configuration et la gestion.
 Chapitre 6 : Firewalls
I. Firewalls:
 Chapitre 6 : Firewalls
I. Firewalls:
6. Pare-feu d'Application Web (WAF):
Un pare-feu d'applications web (WAF) est un élément essentiel de la
sécurité des applications web. filtrant et surveillant le trafic entrant
afin de protéger contre les attaques courantes. Voici comment il
fonctionne :
a. Inspection du Trafic
• Le WAF surveille toutes les requêtes HTTP/HTTPS atteignant
l'application.
• Il utilise des ensembles de règles prédéfinies pour détecter les
activités suspectes.
 Chapitre 6 : Firewalls
I. Firewalls:
6. Pare-feu d'Application Web (WAF):
b. Analyse des Modèles
Le WAF compare les requêtes à une base de données de modèles
d'attaques connues, telles que :

• Injection SQL : Tentatives d'insérer du code SQL malveillant.

• Cross-Site Scripting (XSS) : Exécution de JavaScript malveillant.
• Inclusion de Fichiers Distants (RFI) : Tentatives de téléverser des
fichiers malveillants sur le serveur..
 Chapitre 6 : Firewalls
I. Firewalls:
6. Pare-feu d'Application Web (WAF):
c. Décision d'Action
En fonction des politiques de sécurité, le WAF peut :
• Autoriser : Laisser passer la requête si elle est sûre.
• Bloquer : Empêcher la requête si elle est suspecte.
• Défier : Utiliser des CAPTCHA ou des délais de réponse pour
stopper les attaques de bots.
d. Analyse Comportementale
Les WAF avancés utilisent l'IA et le machine learning pour détecter les
menaces nouvelles et évolutives.
 Chapitre 6 : Firewalls
I. Firewalls:
6. Pare-feu d'Application Web (WAF):
e. Filtrage des Données Sortantes
Empêche les fuites de données sensibles, telles que les numéros de
carte de crédit ou les informations utilisateur.
6.1. Types de WAF
• WAF basé sur le cloud : Services comme Cloudflare et AWS WAF
fonctionnant en ligne sans installation matérielle.
• WAF hébergé : Installé directement sur le serveur web.
• WAF réseau (Hardware) : Déployé via des dispositifs matériels
physiquement installés dans le réseau d'une organisation.
 Chapitre 6 : Firewalls
I. Firewalls:
6. Pare-feu d'Application Web (WAF):
 Chapitre 6 : Firewalls
II. DMZ :
1. Définition:
• DMZ « Zone Dé-Militarisé , Demilitarized Zone » : est un sous-réseau
se trouvant entre le réseau local et le réseau extérieur.
 Chapitre 6 : Firewalls
II. DMZ :
2. Propriétés:

• Comporte des machines du réseau interne qui ont besoin d'être

accessibles de l'extérieur (Serveurs : Web, Mail, FTP public) que de
l’intérieur.
• Possède un niveau de sécurité intermédiaire,
• On ne peut y stocker des données critiques de l'entreprise.
• les connexions à partir de la DMZ ne sont autorisées que vers
l’extérieur
 Chapitre 6 : Firewalls
II. DMZ :
3. Politique de sécurité sur la DMZ:

La politique de sécurité mise en œuvre sur la DMZ est généralement la

suivante :

a. Traffic du réseau externe vers la DMZ autorisé:

• Cette règle permet aux utilisateurs externes d'accéder aux services

qui sont hébergés dans la DMZ, tels que les serveurs web, les serveurs
de messagerie ou les serveurs FTP.

• Il est important de s'assurer que les services qui sont exposés dans la
DMZ sont correctement sécurisés et qu'ils ne contiennent aucune
vulnérabilité qui pourrait être exploitée par des attaquants.
 Chapitre 6 : Firewalls
II. DMZ :
3. Politique de sécurité sur la DMZ:

b. Traffic du réseau externe vers le réseau interne interdit:

• Cette règle bloque tout trafic provenant de l'extérieur qui tente
d'accéder au réseau interne.
• Cela permet de protéger le réseau interne des attaques directes
provenant de l'extérieur.
c. Traffic du réseau interne vers la DMZ autorisé:
• Cette règle permet aux utilisateurs du réseau interne d'accéder aux
services qui sont hébergés dans la DMZ.

• Il est important de s'assurer que les utilisateurs du réseau interne ne

sont autorisés à accéder qu'aux services qui sont nécessaires et qu'ils
ne peuvent pas accéder à des informations sensibles qui sont
stockées dans la DMZ.
 Chapitre 6 : Firewalls
II. DMZ :
3. Politique de sécurité sur la DMZ:

d. Traffic du réseau interne vers le réseau externe autorisé:

• Cette règle permet aux utilisateurs du réseau interne d'accéder à
Internet.
• Il est important de mettre en place des mesures de sécurité
supplémentaires, telles qu'un pare-feu ou un système de détection des
intrusions, pour protéger le réseau interne des attaques provenant de
l'extérieur.
e. Traffic de la DMZ vers le réseau interne interdit:
• Cette règle bloque tout trafic provenant de la DMZ qui tente d'accéder
au réseau interne.
• Cela permet de protéger le réseau interne des attaques qui pourraient
être lancées à partir de la DMZ, par exemple si un serveur de la DMZ
est compromis.
 Chapitre 6 : Firewalls
II. DMZ :

3. Politique de sécurité sur la DMZ:

f. Traffic de la DMZ vers le réseau externe refusé:

• Cette règle bloque tout trafic provenant de la DMZ qui tente d'accéder
au réseau externe.

• Cela permet de s'assurer que les serveurs de la DMZ ne peuvent pas

être utilisés pour lancer des attaques contre le réseau externe.
 Chapitre 6 : Firewalls

Fonctionnalité DMZ Pare-feu

Objectif Protéger le réseau interne des Filtrer le trafic
attaques réseau
Emplacement À différents
Entre le réseau interne et le réseau
endroits d'un
externe
réseau
Protection Fournit une protection
Filtre le trafic
supplémentaire en isolant les
en fonction de
serveurs accessibles depuis
règles définies
l'extérieur
Serveurs Peut être placé
Contient les serveurs qui sont devant les
accessibles depuis l'extérieur serveurs pour
les protéger