Beruflich Dokumente
Kultur Dokumente
nicodewaele@gmail.com http://nicodewaele.free.fr
Nicolas Dewaele
Firewall
I- Dfinition
Un firewall ou mur pare-feu est un quipement spcialis dans la scurit rseau. Il filtre les entres et sorties d'un nud rseau. Cet quipement travaille habituellement aux niveaux 3 et 4 du modle OSI. Il faut bien distinguer le firewall logiciel, utilis sur les ordinateurs personnels du firewall matriel install en entreprise et qui nous intresse pour ce cours.
Firewall
nicodewaele@gmail.com http://nicodewaele.free.fr
Nicolas Dewaele
D'aprs le schma et les besoins exprims ci-dessous, remplissez les rgles de filtrage du firewall page 2.
Tous les clients doivent pouvoir accder au serveur DNS de la DMZ. Toutes les machines d'Internet doivent accder au serveur Web de la DMZ. Tous les clients doivent accder Internet (HTTP, HTTPS). La politique par dfaut du firewall est le refus.
V- Firewall identifiant :
Les firewall identifiants utilisent un nom d'utilisateur pour faire le choix d'un accs rseau. Cela signifie que les accs pourront tre diffrents en fonction du profil de la personne qui s'est connecte au rseau. Les rgles de filtrage sont dfinies par utilisateurs et non plus par IP !
Firewall
nicodewaele@gmail.com http://nicodewaele.free.fr
Nicolas Dewaele
VII- Vocabulaire :
Bastion :
Un bastion informatique dsigne une machine directement connecte Internet qui effectue le premier niveau de scurit avant les autres quipements internes :
Zone dmilitarise :
Une zone dmilitarise est une zone dans laquelle chaque paquet entrant ou sortant a t filtr par un quipement de scurit. Il s'agit en gnral d'y placer des serveurs qui servent la fois pour l'intrieur et pour l'extrieur du rseau.
Exercices :
D'aprs les rgles de filtrage suivantes, dites quelle rgle vrifiera le paquet et si les paquets seront transmis ou supprims par le firewall :
12345IP sce IP sce IP sce IP sce IP sce : : : : : 172.16.0.30 140.8.19.47 172.16.0.1 17.14.3.3 172.17.0.1 IP IP IP IP IP Dest Dest Dest Dest Dest : : : : : 12.230.24.45 172.17.0.1 172.17.0.1 172.17.0.2 1.2.3.4 Prot Prot Prot Prot Prot : : : : : TCP Port sce :1045 UDP Port sce :6810 TCP Port sce :80 UDP Port sce :6000 TCP Port sce :80 Port Port Port Port Port dest dest dest dest dest : : : : : 443 53 80 53 10000
Un nouveau serveur proxy a t mis dans la DMZ. On veut forcer les clients passer par le proxy, quelles rgles doit-on ajouter et/ou supprimer dans le firewall dans ce cas ? No 1 2 3 4 5 6 7 8 Interface entre Eth0 Eth1 Eth0 Eth1 wan0 Eth1 Eth0 wan0 Interface sortie Eth1 Eth0 Eth1 Eth0 Eth1 wan0 wan0 Eth0 Adr MAC source * * * * * * * * Adr MAC destination * * * * * * * * Adr IP source 172.16.0.0 172.17.0.1 172.16.0.0 172.17.0.2 * 172.17.0.1 172.16.0.0 * Adr IP destination 172.17.0.1 172.16.0.0 172.17.0.2 172.16.0.0 172.17.0.1 * * 172.16.0.0 Protocole niveau 4 TCP TCP UDP UDP TCP TCP TCP TCP Port source > 1024 80 > 1024 53 > 1024 80 > 1024 80 Port destination 80 > 1024 53 > 1024 80 > 1024 80 > 1024 Politique Accepter Accepter Accepter Accepter Accepter Accepter Accepter Accepter
Refuser