ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Pare-feu

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

Pare-feu

Sommaire
1. 2. 3. 4. 5. Prsentation des pare-feu et des mandataires...........................................2 Qu'est-ce qu'un pare-feu?. ....................................................................2 Fonctionnement d'un systme pare-feu....................................................3 Services proxy ....................................................................................3 Traduction d'adresses rseau (NAT) ........................................................5 5.1. Principe du NAT.............................................................................5 5.2. Espaces d'adressage........................................................................6 5.3. Translation statique.........................................................................6 5.4. Translation dynamique.....................................................................7 6. Filtrage de paquets...............................................................................7 6.1. Le filtrage simple de paquets............................................................7 6.2. Le filtrage dynamique......................................................................8 7. Le filtrage applicatif..............................................................................9 8. Les limites des firewalls.........................................................................9 9. DMZ (Zone dmilitarise).....................................................................10 9.1. Notion de cloisonnement................................................................10 9.2. Architecture DMZ..........................................................................10 10. Emplacement du pare-feu..................................................................11 11. Utilisation dun pare-feu.....................................................................12 11.1. 1.a Les donnes entrantes............................................................12 11.2. Les donnes sortantes..................................................................12 11.3. Comment utiliser un firewall ?.......................................................13 11.3.1. Les alertes............................................................................13 11.3.2. 2.b Comment savoir s'il faut ouvrir ou bloquer les ports ? (Contrle des programmes).............................................................................13 11.3.3. Comment utiliser mon firewall avec plusieurs connexions rseau ?. 13 11.3.4. Un firewall est-il compliqu utiliser ?......................................13

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 1 - 16

Pare-feu

1.Prsentation des pare-feu et des mandataires

La principale mthode pour se dfendre des assaillants venus d'Internet est de mettre en place un pare-feu. Un pare-feu est un composant matriel, logiciel ou les deux. Le pare-feu Internet a pour but d'empcher les paquets IP malveillants ou non souhaits d'accder un rseau scuris. Chaque ordinateur connect internet (et d'une manire plus gnrale n'importe quel rseau informatique) est susceptible d'tre victime d'une attaque d'un pirate informatique. La mthodologie gnralement employe par le pirate informatique consiste scruter le rseau (en envoyant des paquets de donnes de manire alatoire) la recherche d'une machine connecte, puis chercher une faille de scurit afin de l'exploiter et d'accder aux donnes s'y trouvant. Cette menace est d'autant plus grande que la machine est connecte en permanence internet pour plusieurs raisons : La machine cible est susceptible d'tre connecte sans pour autant tre surveille ; La machine cible est gnralement connecte avec une plus large bande passante ; La machine cible ne change pas (ou peu) d'adresse IP. Ainsi, il est ncessaire, autant pour les rseaux d'entreprises que pour les internautes possdant une connexion de type cble ou ADSL, de se protger des intrusions rseaux en installant un dispositif de protection.

2.Qu'est-ce qu'un pare-feu?.

Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment internet). Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivante : une interface pour le rseau protger (rseau interne) ; une interface pour le rseau externe.

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 2 - 16

Pare-feu Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : La machine soit suffisamment puissante pour traiter le traffic ; Le systme soit scuris ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Dans le cas o le systme pare-feu est fourni dans une bote noire cl en main , on utilise le terme d' appliance .

3.Fonctionnement d'un systme pare-feu

Un systme pare-feu contient un ensemble de rgles prdfinies permettant : D'autoriser la connexion (allow) ; De bloquer la connexion (deny) ; De rejeter la demande de connexion sans avertir l'metteur (drop). L'ensemble de ces rgles permet de mettre en oeuvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit. On distingue habituellement deux types de politiques de scurit permettant : soit d'autoriser uniquement les communications ayant t explicitement autorises : soit d'empcher les changes qui ont t explicitement interdits. La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication.

4.Services proxy
Dans le secteur des rseaux, un service proxy est un logiciel qui interagit avec des rseaux extrieurs au nom d'un hte client.

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 3 - 16

Pare-feu

Figure 1

La figure

reprsente le serveur proxy qui rpond aux postes de travail.

Figure 2

La figure reprsente un serveur proxy avec des serveurs Web internes. En rgle gnrale, les htes client d'un rseau local scuris demandent une page Web un serveur qui excute des services proxy. Le serveur proxy accde alors Internet pour rcuprer la page Web. La page Web est copie sur le serveur proxy. Ce processus est appel caching. Enfin,

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 4 - 16

Pare-feu le serveur proxy transmet la page Web au client. En passant par l'intermdiaire des services d'un serveur proxy, le client n'a jamais interagir directement avec les htes extrieurs. Les clients sont ainsi protgs des ventuelles menaces venues d'Internet. Les administrateurs peuvent configurer les serveurs proxy de manire ce qu'ils rejettent certaines demandes client ou certaines rponses Internet extrieures. Par exemple, les coles peuvent utiliser des serveurs proxy pour contrler les sites Web accessibles. tant donn que toutes les demandes Web sont diriges vers le serveur proxy, les administrateurs contrlent parfaitement les demandes traites. Microsoft fournit un service proxy complet pour son NOS, appel Microsoft Proxy Server 2.0. Les serveurs proxy isolent les rseaux locaux et protgent les htes des menaces extrieures. L'efficacit des serveurs proxy repose sur leur capacit mettre en cache les pages Web. La possibilit d'utiliser un service proxy pour HTTP constitue un rel avantage. De nombreux clients peuvent accder au contenu HTTP avec un meilleur dlai de rponse. Cette amlioration du dlai de rponse est due au caching du contenu HTTP auquel les utilisateurs accdent frquemment sur un serveur local.

5.Traduction d'adresses rseau (NAT)

5.1. Principe du NAT
Le mcanisme de translation d'adresses (en anglais Network Address Translation not NAT) a t mis au point afin de rpondre la pnurie d'adresses IP avec le protocole IPv4 (le protocole IPv6 rpondra terme ce problme). En effet, en adressage IPv4 le nombre d'adresses IP routables (donc uniques sur la plante) n'est pas suffisant pour permettre toutes les machines ncessitant d'tre connectes internet de l'tre. Le principe du NAT consiste donc utiliser une adresse IP routable (ou un nombre limit d'adresses IP) pour connecter l'ensemble des machines du rseau en ralisant, au niveau de la passerelle de connexion internet, une translation (littralement une traduction ) entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle.

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 5 - 16

Pare-feu

D'autre part, le mcanisme de translation d'adresses permet de scuriser le rseau interne tant donn qu'il camoufle compltement l'adressage interne. En effet, pour un observateur externe au rseau, toutes les requtes semblent provenir de la mme adresse IP.

5.2.

Espaces d'adressage

L'organisme grant l'espace d'adressage public (adresses IP routables) est l'Internet Assigned Number Authority (IANA). La RFC 1918 dfinit un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne sans risque d'entrer en conflit avec une adresse IP publique alloue par l'IANA. Ces adresses dites non-routables correspondent aux plages d'adresses suivantes : Classe A : plage de 10.0.0.0 10.255.255.255 ; Classe B : plage de 172.16.0.0 172.31.255.255 ; Classe C : plage de 192.168.0.0 192.168.255.55 ; Toutes les machines d'un rseau interne, connectes internet par l'intermdiaire d'un routeur et ne possdant pas d'adresse IP publique doivent utiliser une adresse contenue dans l'une de ces plages. Pour les petits rseaux domestiques, la plage d'adresses de 192.168.0.1 192.168.0.255 est gnralement utilise.

5.3.

Translation statique

Le principe du NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. La translation d'adresse statique permet ainsi de connecter des machines du rseau interne internet de manire transparente mais ne rsout pas

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 6 - 16

Pare-feu le problme de la pnurie d'adresse dans la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau interne.

5.4.

Translation dynamique

Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi, toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP. C'est la raison pour laquelle le terme de mascarade IP (en anglais IP masquerading) est parfois utilis pour dsigner le mcanisme de translation d'adresse dynamique. Afin de pouvoir multiplexer (partager) les diffrentes adresses IP sur une ou plusieurs adresses IP routables le NAT dynamique utilise le mcanisme de translation de port (PAT - Port Address Translation), c'est-dire l'affectation d'un port source diffrent chaque requte de telle manire pouvoir maintenir une correspondance entre les requtes provenant du rseau interne et les rponses des machines sur Internet, toutes adresses l'adresse IP du routeur.

6.Filtrage de paquets
6.1. Le filtrage simple de paquets
Un systme pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais stateless packet filtering ). Il analyse les en-ttes de chaque paquet de donnes (datagramme) chang entre une machine du rseau interne et une machine extrieure. Ainsi, les paquets de donnes change entre une machine du rseau extrieur et une machine du rseau interne transitent par le pare-feu et possdent les en-ttes suivants, systmatiquement analyss par le firewall : adresse IP de la machine mettrice ; adresse IP de la machine rceptrice ; type de paquet (TCP, UDP, etc.) ; numro de port (rappel: un port est un numro associ un service ou une application rseau).

Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis. Le tableau ci-dessous donne des exemples de rgles de pare-feu :
Rgle 1 2 3 4 Action Accept Accept Accept Deny IP source 192.168.10.20 any 192.168.10.0/24 any IP dest 194.154.192.3 192.168.10.3 any any Protocol tcp tcp tcp any Port source any any any any 25 80 80 any Port dest

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 7 - 16

Pare-feu

Les ports reconnus (dont le numro est compris entre 0 et 1023) sont associs des services courants (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet.

6.2.

Le filtrage dynamique

Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est--dire de manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports laisser passer ou interdire. Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est stateful inspection ou stateful packet filtering , traduisez filtrage de paquets avec tat . Un dispositif pare-feu de type stateful inspection est ainsi capable d'assurer un suivi des changes, c'est--dire de tenir compte de l'tat des anciens paquets pour appliquer les rgles de filtrage. De cette manire, partir du moment o une machine autorise initie une connexion une machine situe de l'autre ct du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement accepts par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protge pas pour autant de l'exploitation des failles applicatives, lies aux vulnrabilits des applications. Or ces vulnrabilits reprsentent la part la plus importante des risques en terme de scurit.

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 8 - 16

Pare-feu

7.Le filtrage applicatif

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opre donc au niveau 7 (couche application) du modle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utiliss par chaque application. Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications prsentes sur le rseau, et notamment de la manire dont elle structure les donnes changes (ports, etc.). Un firewall effectuant un filtrage applicatif est appel gnralement passerelle applicative (ou proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs. Le proxy reprsente donc un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place. De plus, le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire. Il s'agit d'un dispositif performant, assurant une bonne protection du rseau, pour peu qu'il soit correctement administr. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Par ailleurs, le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et de connatre les failles affrentes pour tre efficace. Enfin, un tel systme peut potentiellement comporter une vulnrabilit dans la mesure o il interprte les requtes qui transitent par son biais. Ainsi, il est recommand de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.

8.Les limites des firewalls

Un systme pare-feu n'offre bien videmment pas une scurit absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure o l'ensemble des communications vers l'extrieur passe systmatiquement par leur intermdiaire et qu'ils sont correctement configurs. Ainsi, les accs au rseau extrieur par contournement du firewall sont autant de failles de scurit. C'est notamment le cas des connexions effectues partir du rseau interne l'aide d'un modem ou de tout moyen de connexion chappant au contrle du pare-feu. De la mme manire, l'introduction de supports de stockage provenant de l'extrieur sur des machines internes au rseau ou bien d'ordinateurs portables peut porter fortement prjudice la politique de scurit globale. Enfin, afin de garantir un niveau de protection maximal, il est ncessaire d'administrer le pare-feu et notamment de surveiller son journal d'activit afin d'tre en mesure de dtecter les tentatives d'intrusion et

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 9 - 16

Pare-feu les anomalies. Par ailleurs, il est recommand d'effectuer une veille de scurit (en s'abonnant aux alertes de scurit des CERT par exemple) afin de modifier le paramtrage de son dispositif en fonction de la publication des alertes. La mise en place d'un firewall doit donc se faire en accord avec une vritable politique de scurit.

9.DMZ (Zone dmilitarise)

9.1. Notion de cloisonnement
Les sytmes pare-feu (firewall) permettent de dfinir des rgles d'accs entre deux rseaux. Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en place des architectures de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise : on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois galement utilis).

9.2.

Architecture DMZ

Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant risquer de compromettre la scurit de l'entreprise. On parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public. La DMZ fait ainsi office de zone tampon entre le rseau protger et le rseau hostile.

Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante : Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Document Millsime Page OFPPT @ 98626430.doc novembre 07 10 - 16

Pare-feu Traffic Traffic Traffic Traffic du du de de rseau interne vers la DMZ autoris ; rseau interne vers le rseau externe autoris ; la DMZ vers le rseau interne interdit ; la DMZ vers le rseau externe refus.

La DMZ possde donc un niveau de scurit intermdiaire, mais son niveau de scurisation n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise. Il est noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le rseau interne selon diffrents niveaux de protection et ainsi viter les intrusions venant de l'intrieur.

10.Emplacement du pare-feu
Il est aussi essentiel de savoir o placer un pare-feu Internet que de savoir configurer les rgles du filtrage des paquets.

Figure 3

La figure 4 illustre l'emplacement standard du pare-feu. Un routeur de frontire connecte le rseau local de l'entreprise son FAI ou Internet. L'interface de rseau local du routeur de frontire pointe vers un rseau conu pour l'accs public. Ce rseau contient des serveurs NOS qui permettent d'accder au Web, la messagerie, ainsi qu' d'autres services de l'Internet public. Ce rseau public est parfois appel rseau local sacrifi. Ce qualificatif est d au fait que les demandes publiques sont autorises sur le rseau. Il est parfois nomm galement zone DMZ (zone dmilitarise). La DMZ fonctionne comme une zone de mmoire tampon. Le routeur de frontire doit comporter un filtre IP qui protgera le systme contre les failles videntes. Par exemple, le protocole de Document
98626430.doc

OFPPT @

Millsime
novembre 07

Page 11 - 16

Pare-feu gestion SNMP ne doit pas tre autoris en entre sur le rseau. Les serveurs NOS de la DMZ doivent tre configurs rigoureusement. Le routeur de frontire ne doit autoriser que certains types de trafic particuliers sur ces serveurs. Dans la figure 4, le routeur de frontire ne doit autoriser que les trafics HTTP, FTP, messagerie et DNS. Une solution de pare-feu ddi, du type PIX (Cisco Private Internet eXchange), tablit une connexion entre la DMZ et le rseau local protg. Ce dispositif offre des fonctions supplmentaires de filtrage IP, filtrage dynamique, services proxy et/ou NAT. La DMZ est conue pour protger le rseau interne. L'exemple illustr la figure 4 prsente une configuration basique. Vous serez souvent amen rencontrer des variations complexes des lments prsents dans cette section.

11. Utilisation dun pare-feu

Un firewall est un logiciel contrlant les changes entre un rseau (local ou Internet) et votre ordinateur. Le pare-feu examine les donnes entrantes et les donnes sortantes de l'ordinateur.

11.1. 1.a Les donnes entrantes

Le contrle des donnes entrantes est utilis principalement pour la connexion au rseau Internet : en effet, lorsque vous tes connects, un grand nombre d'autres ordinateurs viennent interroger le vtre pour voir si votre ordinateur "rpond". Le pare-feu protge votre ordinateur en gardant les "portes d'accs" appeles les ports. Dans la plupart des cas, le firewall bloque automatiquement ces ports afin d'viter qu'un intrus pntre dans votre ordinateur.

11.2. Les donnes sortantes

Le contrle des donnes sortantes ne peut s'effectuer automatiquement : c'est l'utilisateur de demander au firewall de fermer ou d'ouvrir les portes d'accs. Les donnes sortantes sont en fait les programmes qui demandent une connexion Internet, soit pour vrifier s'il existe des mises jour, soit pour transmettre des statistiques, soit pour fonctionner (On imagine mal qu'un navigateur Internet comme Internet Explorer ou Mozilla Firefox vous permette de naviguer sur le Web si vous lui refusez l'accs l'Internet) etc ... Certains programmes peuvent tre quips de spywares !! Et peuvent ainsi transmettre vos informations personnelles aux sites web. Par exemple, le lecteur Windows Media 9 transmettait des informations Microsoft sur le nom des DVD que les utilisateurs visionnaient. Un virus ou un cheval de troie disposant de son propre excutable est alors facilement identifiable pour l'utilisateur. Il est donc impratif de ne pas ngliger les donnes sortantes !

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 12 - 16

Pare-feu

11.3. Comment utiliser un firewall ?

11.3.1. Les alertes

Lorsqu'un change se prpare, le firewall informe l'utilisateur du type de donnes (sortantes/entrantes), de l'adresse IP et du port concerns (sous la forme IP.IP.IP.IP:PORT), le nom de domaine (le "site") qui envoie la demande (si disponible), et, dans le cas du contrle de programme, le firewall demande l'utilisateur s'il faut bloquer ou ouvrir les ports. Pour les donnes entrantes, il est possible de dsactiver les alertes dans la mesure o le firewall n'attend pas de rponse de l'utilisateur et bloque automatiquement les ports.

11.3.2. 2.b Comment savoir s'il faut ouvrir ou bloquer les ports ? (Contrle des programmes)
Tout d'abord, il faut imprativement savoir identifier le programme qui tente de se connecter Internet,

dans le cas contraire, il vaut mieux bloquer l'accs temporairement et chercher avec un moteur de recherche quoi correspond l'excutable. Si le programme fonctionne uniquement grce Internet (navigateur, antivirus, module de connexion, logiciel de messagerie instantane ...) vous pouvez alors ouvrir les ports (Il est possible d'attribuer un choix par dfaut, afin d'viter de toujours cliquer sur "bloquer" ou "autoriser"). Si le programme n'a aucune raison de se connecter Internet ( moins de vous prvenir d'une nouvelle version mise jour) (Traitement de texte, logiciel de gravure, et autres logiciels ne fonctionnant pas grce Internet), il est alors conseill de bloquer les ports. Si vous ne connaissez pas le logiciel, bloquez les ports, et renseignez-vous sur le forum.

11.3.3. Comment utiliser mon firewall avec plusieurs connexions rseau ?

Lorsque vous utilisez un rseau local, le firewall va galement filtrer ce rseau. Pour y remdier, il suffit d'enregistrer les adresses IP des ordinateurs du rseau local ou le nom de la carte rseau en tant que 'Zone sre', ou d'autoriser toute connexion vers cette adresse IP. Vous pouvez galement placer des IP ou cartes rseau dans une 'Zone dangereuse' ; dfinissez ensuite un niveau de protection lev pour le rseau Internet, moyen ou dsactiv pour la zone sre (le niveau Moyen est conseill, dsactivez le firewall uniquement si vous rencontrez des problme avec un niveau de protection moyen) et "Bloquer tout" pour la zone dangereuse. Votre pare-feu est maintenant prt l'utilisation !

11.3.4.

Un firewall est-il compliqu utiliser ?

On ne peut pas promettre que tout va se faire en un clin d'oeil. Tout d'abord, tchez de choisir un pare-feu simple d'utilisation, plutt que de choisir un pare-feu complet pour lequel il nous faudra nous-mme dfinir les rgles de filtrage. Un firewall comme ZoneAlarm vous avertira la premire fois qu'une intrusion a t dtecte, vous aurez simplement

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 13 - 16

Pare-feu lui demander de ne plus afficher les alertes pour qu'il vous laisse tranquille. Par contre, les alertes pour les connexions sortantes (pour autoriser les programmes se connecter Internet) resteront affiches. Mais il est heureusement possible de demander au logiciel d'enregistrer les paramtres choisis. En rsum, aprs l'installation d'un pare-feu, il nous suffit de quelques jours d'utilisation de la machine pour lui expliquer quels programmes autoriser ou interdire d'accder Internet. Ensuite, il se fait discret.

OFPPT @

Document
98626430.doc

Millsime
novembre 07

Page 14 - 16