A nos chères familles

& nos chers amis

 Remerciements

Nous tenons, tout d’abord, à exprimer nos

remerciements envers toutes les personnes présentes
lors de cette période, pour leur soutien, leur
encouragement et leur contribution au bon déroulement
de ce projet de fin d’études.

Nous tenons à remercier, particulièrement, le

responsable du l’équipe Badis Saadi de l’entreprise
« Technopole », pour nous avoir accueilli au sein de son
équipe et pour nous avoir encadré et orienté durant
notre stage pour notre projet de fin d’études.

Enfin, nos remerciements vont à tous les enseignants du

« Centre de Formation de Technologique » pour la
qualité de la formation qu'ils nous ont fournie et tous les
membres du jury pour avoir accepté de juger ce modeste
travail.
INTRODUCTION

Un réseau informatique est un ensemble d'équipements reliés entre eux

pour échanger des informations, communiquant au travers de supports de
communication passifs (filaires : ligne téléphonique en cuivre ou ligne en fibre
optique, hertzien, et satellitaire. Les échanges sont normalisés par des protocoles
de communication dont le plus connu est IP (Internet Protocol).

De nos jours, la sécurité des réseaux informatiques est un sujet essentiel

pour favoriser le développement des échanges dans tous les domaines.

D'un point de vue technique, la sécurité recouvre à la fois l'accès aux

informations sur les postes de travail, sur les serveurs ainsi que le réseau de
transport des données.

Actuellement, la sécurité du réseau informatique entre dans la sécurisation

globale du système d'information (SI) d'une entreprise. Plus précisément, elle
consiste à respecter des procédures, au niveau humain, technique et
organisationnel. L'objectif est de protéger le réseau de l'entreprise et de se
prémunir contre tout type de risques pouvant dégrader ses performances.

De ce fait, nous pouvons protéger notre ordinateur en prenant quelques

précautions contre des menaces de sécurité potentielles et empêcher les pirates
informatiques et les logiciels malveillants d’y accéder. Il existe plusieurs
moyens pour protéger nos ordinateurs et nos réseaux de ces virus tel que les
pare-feux.

Définition du pare-feu :

L'origine du terme pare-feu se trouve au théâtre. Le pare-feu ou coupe-

feu est un mécanisme qui permet, une fois déclenché, d'éviter au feu de se
propager de la salle vers la scène. En informatique, un pare-feu est donc une
sorte de barrage empêchant les dangers d'Internet de rentrer chez l’utilisateur.

Un firewall (ou pare-feu) est un outil informatique matériel ou logiciel

conçu pour protéger les données d'un réseau (protection d'un ordinateur
personnel relié à Internet ou protection d'un réseau d'entreprise).

Figure 1 : Représentation du rôle d’un pare-feu

Le pare-feu permet d'assurer la sécurité des informations d'un réseau en

filtrant les entrées et en contrôlant les sorties selon des règles définies par son
administrateur, d’où, le but est de fournir une connectivité contrôlée et maîtrisée
entre des zones de différents niveaux de confiance. On présente alors deux types
de pare-feux : le pare-feu logiciel et le pare-feu matériel.
 I. LE PARE-FEU LOGICIEL

Un pare-feu est un programme qui fonctionne dans votre ordinateur

personnel ou de bureau, il peut être installé sur un ordinateur en le téléchargeant
directement à partir d'un site Web ou le charger à partir d'un CD ou d'un DVD, il
assure le rôle de filtrage des connexions et protège les ordinateurs en bloquant
le trafic suspect à partir d'Internet

Nous citons alors quelques exemples de pare-feux logiciels

1. NETFILTER

A l’origine, le plus populaire des pare-feux qui fonctionnent sur Linux était
ipchains, mais celui-ci possédait de nombreuses lacunes, pour remédier à cela,
l’équipe de Netfilter a décidé de créer un nouveau produit appelé Netfilter, qui
fournit un certain nombre d’améliorations, dont les suivantes :

• Une meilleure intégration avec le noyau Linux, avec la capacité de

chargement de modules Netfilter spécifiques, conçue pour améliorer la rapidité
et la fiabilité de traitement.

• L’inspection par état. Cela signifie que le pare-feu garde la trace de

chaque connexion qui le traverse et dans certains cas il voit le contenu des flux
afin d’essayer d’anticiper la prochaine action de certains protocoles. C’est un
élément important dans le support du FTP (File Transfer Protocol, protocole de
transfert de fichiers) en mode actif, et du DNS (Domain Name System), ainsi
que pour d’autres services réseaux.

• Le filtrage des paquets en se basant sur une adresse MAC et les valeurs de
champs (flags) dans l’en-tête TCP (Transmission Control Protocol). Ceci est
utile dans la prévention des attaques utilisant des paquets malformés et en
limitant l’accès local à partir de serveurs distants.
 • La journalisation système, qui fournit une option pour ajuster le niveau de
détail des rapports.

• Une meilleure traduction des adresses réseau NAT (Network Address

Translation).

La complémentarité du Netfilter et iptables est la suivante :

• Netfilter est un module et il fonctionne en mode Noyau. C’est lui qui

intercepte et manipule les paquets IP avant et après le routage.

• iptables est la commande qui permet de configurer Netfilter en espace

Utilisateur.

2. zone alarme :

Des millions de personnes du monde entier utilisent le pare-feu de Zone

Alarme pour bénéficier d’une protection par pare-feu élémentaire. Le
logiciel bloque les pirates et empêche les virus et logiciels espions de
voler les données personnelles et de les envoyer sur Internet. Il
Fonctionne aussi parfaitement avec les logiciels antivirus.
La gamme de produit Zone Alarme est déclinée en plusieurs versions dont
certaines sont gratuit
La version gratuite comprend uniquement le pare-feu élémentaire qui
filtre le trafic entrant et sortant et permet de rester invisible sur un réseau
tant dis que les versions payante comporte les fonctions de pare-feu et
une protection contre les virus ainsi que le système "OS Firewall" qui
surveille les activités suspectes des logiciels présents sur l’ordinateur.
 Figure 2 : les services de zone alarme

En cas d'attaque, des rapports vous informent de l'adresse IP de la

machine essayant de se connecter à votre ordinateur cela est utile pour
retrouver l'auteur de cette attaque.

La Zone Alarme est très simple à utiliser et offre un contrôle très précis
sur la sécurité des machines et il a des taches bien spécifique :

 Surveille le comportement suspect des programmes et repère et arrête les

nouvelles attaques qui contournent la protection antivirus traditionnelle.
 Détecter et supprimer les virus, les logiciels espions, les chevaux de Troie…
 Protège votre ordinateur en bloquant les attaques Web avant qu'elles
n'atteignent le navigateur.
 Analyse les téléchargements et vous prévient si un téléchargement est
malveillant, tout en l’empêchant d’infecter votre PC.
 Figure 3 : présentation du logiciel

II. Le pare-feu matériel :

Le pare-feu matériel est un périphérique externe qui se branche avec un

ordinateur avant qu'il se connecte à Internet, ces Pare-feu ont l'avantage de
protéger plusieurs ordinateurs sur un réseau personnel ou protection d'un réseau
d’entreprise, Il permet d'assurer la sécurité des informations d'un réseau en
filtrant les entrées et en contrôlant les sorties selon des règles définies par son
administrateur.
 Figure 4 : rôle du pare-feu

Exemple de pare-feu matériel :

1. le fortigate :

Fortinet est une entreprise américaine qui construit du matériel de

télécommunications, elle est spécialisée dans les solutions de sécurité pour les
réseaux et les ordinateurs.

Figure 5 : les équipements de fortinet

 Elle a construit le FortiGate qui est une gamme de boitiers de sécurité
comprenant les fonctionnalités pare-feu, Antivirus, système de prévention
d'intrusion , VPN ,filtrage Web, et d'autres fonctionnalités, compression de
données, routage, policy routing… Les récents modèles comportent des ports
accélérés par ASIC (Application-Specific Integrated Circuit) qui permettent
d'optimiser le trafic au niveau des ports. Les boitiers de cette gamme sont
isofonctionnels s'adaptant à chaque besoin exemple on à FG110C, FG310B,
FG620B pour les moyennes et grosses entreprises.

Figure 6 : exemple du boitier FortiGate

Pour une meilleure sécurité des ordinateurs et du réseau informatique le

FortiGate a des fonctionnalités puissantes et bien précise qui le caractérisent
dont les suivant :

 Protection avancée contre les menaces

 Analyse de la réputation clients
 Visibilité contextuelle
 Accès sécurisé pour les invités
 Pare-feu d’entreprise
 Inspection du trafic SSL- chiffré
  Protection anti-virus
 Protection anti-spam
 Détection et prévention de l’intrusion
 Prévention des fuites de données
 Filtrage web
 Contrôle d’accès aux applications
 Contrôle de l’accès réseaux
 Journaux et rapports
 Contrôleur Wi-Fi intégré
 Haute disponibilité
 Routeur et commutateurs intégrés
 Mise à jour de sécurité Fortiguard
 Prêt pour IPv6

Avec ces fonctionnalités nous constatons que le FOrtiGate permet de bien sécurisé
les ordinateurs et les réseaux contre toutes attaques et menace provenant des virus
ou pirates qui ont comme but de s'emparer d’informations confidentielles et
sensibles comme :

- des fichiers liés aux transactions et aux contrats

- des fichiers contenant de données sensibles
- des numéros de cartes de crédit
- des informations personnelles ….

2. Cyberoam :

Le pare-feu matériel de Cyberoam fournit une inspection dynamique et

approfondie des paquets pour une sécurité basée sur le réseau de l'application et
l'identité de l'utilisateur. Ainsi, le pare-feu Cyberoam protège les entreprises des
attaques DoS, DDoS et des attaques par usurpation d'adresse IP.
 Figure 7 : exemplaire du pare-feu Cyberoam

Le cyberoam est Un Firewall qui permet de bloquer les tentatives d’intrusion

depuis Internet vers les réseaux, En plus, il contrôle également le trafic sortant
des réseaux en:

 Analysant les sites Internet consultés (Facebook, …)

 Analyse anti-virus de vos téléchargements
 Contrôle des applications (Torrent, vidéos, jeux, …)

En plus de ces actions du module Security Value, Cyberoam contient les

fonctionnalités suivantes:

 Gestion de plusieurs connexions Internet

 Analyse du trafic en temps réel
 Identification des utilisateurs
 Figure 8 : exemple d’installation

Le cyberoam a aussi plusieurs fonctionnalités qui permettent la sécurité des

ordinateurs et des réseaux contre toutes les menaces.

Conclusion :

D’après ces deux exemples on remarque que ces deux pare-feux on de bonne
fonctionnalités qui permettent la sécurité informatiques et celle des réseaux.
Ces deux pare –feux se retrouvent à plusieurs niveau ce qui met en évidence
leur grande ressemblance né en moins le fortigate se distinct par la multitude de
fonctionnalités et le niveau de sécurité qu’il assure, tout en ayant le prix le plus
abordable sur le marché.
 Et pour mieux cerner son rôle, ces taches et tous les services qu’il propose on a
choisie de s’approfondir sur l’étude du pare-feu FortiGate de fortinet pour notre
projet de fin d’étude.

III. La société technopole :

1. cahier de charge :
Le Centre de Recherche et de Technologies des Eaux de
BorjCerdia a été créé le 16 Février 2005 par le décret n° 2005-
337 du16 février 2005 portant création de centre de recherche
et de technologies des eaux à la technopole de borjcedria et
fixant son organisation et les modalités de son fonctionnement.

Figure 9 : représentation du technopole

 C’est un établissement Public à aspect scientifique et
technologique, doté de la personnalité morale de l’autonomie
financière.

Le CERTE (Centre de Recherche et des technologies des

eaux ) est situé à Borj-cedria, à 30 KM de Tunis. Il représente la
composante recherche et développement dans le domaine des
eaux.
Ce centre est constitué de plusieurs blocs qui sont les suivant :

 CERTE : Centre de Recherche et des technologies des

eaux.
 CBBC : Centre de Biotechnologie de Borj Cédria.
 CNRSM : Centre National de Recherche des Sciences des
Matériauxes des eaux
 CRTEN : Centre de Recherches et des Technologies de
l'Energie

2. architecture de technopole :

Le réseau informatique du CERTE est composé d’un

répartiteur général et de quatre sous répartiteurs relier entre
eux par fibre optique, sécurisé par un parafeur fortinet 111c
pour le contrôle et le suivi de la connexion internet et les
différentes applications utilisant les ressources web.

Le réseau du certe est relier à :

 CCK : Le Centre de Calcul El Khawarizmi pour une

connexion internet et messagerie.
 CNI : Centre National de l’Informatique pour pouvoir
accéder aux applications telles que : Insaf, rached, adab.
 Internet Topnet : le fournisseur d’internet Topnetà travers la
société de gestion du technopole de borjcedria .
 Birouni : le serveur des bibliothèques.

Figure 10 : architecture réseaux des bloques de

technopole
Internet C Internet Birou
CCK NI Topnet ni
Pare-feu
Fortinet 111c
Répartiteur
Générale
Sous Sous
Répartiteur Répartiteur
1 2 LGR
AdministratiSous Sous
on Répartiteur 3 Répartiteur
LTEN 4 LTEU

Figure 11 :

Le parc informatique du CERTE est composé de :

 Pc de bureau : 150,
 Pc Portable : 32,
 Imprimante N/B : 86,
 Imprimante couleur : 17,
 Scanner : 23,
 Photocopieur : 9.

Le tableau ci-dessous récapitule la liste des Switchs au niveau

du réseau LAN du technopole ainsi leurs emplacements :
 3. Règles d’utilisations de réseaux :

Les règles de réseau déterminent la relation entre deux

réseaux. Les réseaux peuvent avoir une relation d'itinéraires ou
de traduction d'adresse réseau.

Bien que les relations de réseau soient généralement définies

entre les réseaux, elles peuvent également être appliquées à
d'autres objets réseau, tels que des ensembles d'ordinateurs ou
des plages d'adresses IP.

Dans notre stage effectué au CERTE ils nous ont indiqué qu’ils
suivent la règle d’utilisations de réseau : RFC 1918

La RFC 1918 (Request for Comments) définit un espace

d'adressage privé permettant à toute organisation d'attribuer
des adresses IP aux machines de son réseau interne sans risque
d'entrer en conflit avec une adresse IP publique allouée par
l'IANA (Internet Assigned Number Authority). Ces adresses dites
non-routables correspondent aux plages d'adresses suivantes :

 Classe A : plage de 10.0.0.0 à 10.255.255.255 ;

 Classe B : plage de 172.16.0.0 à 172.31.255.255 ;

 Classe C : plage de 192.168.0.0 à 192.168.255.55 ;

4. plan d’adressage :

Dans le plan d’adressage standard Il existe 3 classes d'adresses

IP utilisables sans problèmes pour l'adressage privé.

Classe A : De 10.0.0.0 à 10.255.255.255 avec un masque

réseau 255.0.0.0
Classe B : De 172.16.0.0 à 172.31.255.255 avec un masque
réseau 255.255.0.0
Classe C : De 192.168.0.0 à 192.168.255.255 avec un
masque réseau de 255.255.255.0
La classe A permet d'adresser 16 000 000 machines.
La classe B permet d'adresser 65 000 machines.
La classe C permet d'adresser 255 machines.

Un réseau privé peut être numéroté librement avec les plages

d'adresses privées prévues à cet effet, Par opposition aux
adresses publiques d'Internet. Ces adresses ne sont pas uniques
car il y’a plusieurs réseaux pouvant utiliser les mêmes adresses.

Bloque Nombre d’utilisateur Plage d’adresse

CERTE 300 172.16.2.0/16
CBBC 350 192.168.2.0/16
CNRSM 120 10.10.2.0/24
CRTEN 450 10.10.8.0/16

IV. Implémentation de solution:

Avant de commencé la configuration du pare-feu FortiGate on a

passé par 3 étape :

1. Démarrage du FortiGate sur le logiciel putty*.

2. Réinitialisation du pare-feu FortiGate avec la commende :
execute factoryreset.
3. Redémarrage du pare-feu.

* Le logiciel putty permet un accès au protocole SSH et rend

la connexion plus fiable et les transferts plus sécurisés. Il se
sert de la base de registre du système pour sauvegarder des
sessions ou des clés d'hôtes. La configuration du logiciel
peut être enregistrée pour faciliter les usages ultérieurs.

Putty permet aussi d'utiliser la ligne de commandes pour

lancer la plupart de ses fonctionnalités.

1. Démarrage de FortiGate :
 Figure 12 : statut de FortiGate

On à démarrer le pare-feu sur le réseau local de l’entreprise, La

figure ci-dessus représente le statut du FortiGate a son exécution
ainsi plusieurs taches pour la configuration.

2. Changement de mode :

Le changement de mode sert de choisir le fonctionnement du

pare-feu FortiGate en mode switch (commutateur réseaux) ou en
mode interface, nous avant choisie le mode interface pour qu’on
puisse commencer la configuration des ports.

La démarche à suivre est la suivante :

Réseau → interface → clique droite → changer mode → Mode

switch
 → Mode
interface

Figure 13 : changement de mode

 Figure 14 : choix du mode

Apres la réinitialisation du FortiGate et le changement de mode

en mode interface on doit avoir un système vierge, pour voir ceci
il faut utiliser la commande show system interface sur le logiciel
putty pour en être sur que tout les ports sont non configuré.

La figure suivante représente tout cela.

 Figure 15 : voir les ports sur le logiciel putty

3. La configuration des ports :

Il existe deux méthodes pour la configuration des ports:

- Le mode CLI (commande line interface)

- Le mode graphique

Pour configurer les ports en mode CLI il faut utiliser les

commandes suivantes sur le logiciel putty, configuration du port
1:

# config system interface

# edit port 1
# set alias Certe
# set ip 172.16.2.1 255.255.0.0
# set allowaccess https ping ssh
# end.
 Figure 16 : configuration des ports avec putty

Remarque : il faut configurer le premier port avec le mode CLI

La configuration du port 2 en mode graphique :

Figure 17 : configuration de port en mode graphique

Pour configurer le deuxième port en mode graphique on a suivit
une démarche qui est la suivante :

Réseau → interface → clique droite sur port → configurer

L’interface de ligne de commande (CLI) offre les mêmes

fonctionnalités de configuration que l’interface graphique.
Cependant, les deux modes atteignent les mêmes résultats de la
configuration des ports.

On aussi crée un port WAN qui nous permet d’accéder à l’internet

avec presque la même configuration.

Figure 18 : configuration d’un port WAN

Pour la création de ce port WAN on a utilisé les étapes suivantes :

Réseaux → interface → clique droite sur le port a configuré →

configuré.

Ce port on lui a donné un nom de WAN 1 et une alias nommé

internet et on lui a attribué une adresse publique 41.229.x.x
avec un mask de 255.255.255.0

4. Le routage :

4.1. Définition : Le routage est le mécanisme par lequel des

chemins sont sélectionnés dans un réseau pour acheminer les
données d'un expéditeur jusqu'à un ou plusieurs destinataires. Ce
dernier est une tâche exécutée dans de nombreux réseaux, tels
que le réseau téléphonique, les réseaux de données électroniques
comme l'Internet, et les réseaux de transports. Sa performance
est importante dans les réseaux décentralisés, c'est-à-dire où
l'information n'est pas distribuée par une seule source, mais
échangée entre des agents indépendants.

4.2. Routage statique :

Dans notre cas on a ajouté une route statique d’où on a suivit les
étapes suivantes :

Routeur → statique → route statique → configurer.

 Figure 19 : configuration d’une route statique

Pour ce routage statique on lui a attribué une adresse destination,

une interface, une passerelle et une priorité.

5. Plage horaire :
5.1. Définition :

La plage horaire est la période de la journée pendant laquelle

l’agent doit être présent sur le lieu de travail à moins d’une
dispense dûment accordée par le chef d’administration ou son
délégué.

5.2. Création de plage horaire :

Cette plage horaire qu’on a crée dépond d’une certaine démarche
qui est la suivante :

Objet de pare-feu → plage horaire → plage horaire → modifier.

Figure 20 : création de plage horaire

Dans notre cas on a nommé cette plage horaire plage certe

administration et on a autorisé une règle de connexion pour
tous les agents de lundi au vendredi et qui débute de 8h00 et
se termine à 16h00.

Remarque : si l’heure de fin précède l’heure de début, la plage

horaire s’arrête le jour suivant et si l’heure de début est égale à
l’heure de fin la plage horaire dure 24 heures.
 6. Profil de sécurité :

La fonction des pare-feu permet de mettre en place des règles de

filtrage en toute simplicité pour n'accepter que les flux autorisés
et pour assurer une bonne sécurité du fonctionnement des
systèmes dans une société et avoir un contrôle sur tous les
agents, il faut les obliger a respecté quelque procédure afin
d’obtenir un meilleur rendement qui seras bénéfique pour la
société.

6.1. Filtrage web :

Le filtrage d'internet est un ensemble de techniques visant à

limiter l'accès à certains sites accessibles sur le réseau Internet.
 Figure 21 : le profil du filtrage web

Pour avoir le contrôle du filtrage web il faut suivre la démarche

suivante :

Profile de sécurité → filtrage web → profile → modifier

Dans notre cas on a choisie de filtré quelque page web en

nommons notre filtrage filtrage web certe et en cochant le
mode d’inspection DNS.

On a choisie de filtré les sites web de catégorie adulte/mature, la

violation de la sécurité et on a bloqué manuellement de quelques
sites communication comme le www.facebook.com …
 Figure 22 : le filtrage choisie

6.2. contrôle applicatif :

UTM : Unified threat management en français : gestion unifiée des

menaces, utilisées pour décrire des pare-feux réseau qui
possèdent de nombreuses fonctionnalités supplémentaires qui ne
sont pas disponibles dans les pare-feux traditionnels.

Le contrôle applicatif permet de filtrer directement les

applications afin de maitriser avec une très forte granularité une
politique de sécurité en tenant compte des applications qu’on
souhaite autoriser ou interdire pour une surveillance
d’applications plus efficace.

Figure 23 : blocage de l’application skype

Cette fonction permet de bloquer les applications qui sont

utilisables de nos jours dans quelques sociétés et qui empêche les
agents de ne plus faire leur travaille correctement, alors dans
l’exemple ci-dessus on a choisie de bloquer l’application skype et
pour cela on a choisie de suivre la démarche suivante :

Profile de sécurité → contrôle applicatif → serveur applicatif →

modifier → recherche → skype → bloquer .

6.3. Intrusion système :

Il existe deux types d’intrusion système :

 IDS : (Intrusion Detection System) c’est un système de

détection d’intrusion qui répare des activités anormales ou
suspectes et permettant ainsi d'avoir une action de
prévention sur les risques d'intrusion, il existe deux grandes
familles distinctes d’IDS :
 Les N-IDS (Network Based Intrusion Detection
System), ils assurent la sécurité au niveau du réseau.
 Les H-IDS (Host Based Intrusion Detection System),
ils assurent la sécurité au niveau des hôtes.

 IPS : (Intrusion Prevention System) c’est un système de

prévention d’intrusion qui est spécialiste en sécurité des
système d’information permettant de prendre des mesures
afin de diminuer les impacts d'une attaque, il bloque les
ports automatiquement a chaque fois qu’il détecte un
balayage automatisé.

De nos jours les statistiques présentent que l’IPS est plus

meilleure et utilisables que l’IDS.

La principale différence entre un IDS et un IPS se caractérise

sur le positionnement en coupure sur le réseau de l’IPS et non
plus seulement en écoute sur le réseau pour l’IDS aussi que,
l’IPS a comme avantage la possibilité de bloquer
immédiatement les intrusions et quelque soit le type de
protocole de transport utilisé, ce qui induit que l’IPS est
constitué en natif d’une technique de filtrage de paquets et de
moyens de blocages.
 Figure 24 : l’activation de l’IPS

Dans notre cas, le FortiGate fonctionne avec le système

d’intrusion IPS et on a suivit les étapes suivantes :

Profile de sécurité → détection d’intrusion → sonde IPS →

activation d’IPS.

6.4. Antivirus :
Les antivirus sont des logiciels conçus pour identifier,
neutraliser et éliminer des logiciels malveillants, il vérifie aussi
les fichiers et courriers électroniques, les secteurs de
démarrage afin de détecter les virus de boot, mais aussi
la mémoire vive de l'ordinateur, les médias amovibles (clefs
USB, CD, DVD, etc.), les données qui transitent sur les
réseaux (dont internet).

Figure 25 : profil d’antivirus

Pour activé l’antivirus sur le pare-feu FortiGate et analysé tout
les données on a passé sur quelque étapes qui sont les
suivantes :

Profile de sécurité → antivirus → profil → attribué un nom av

CERTE→ coché quelque protocole pour le scanner → appliquer .

 L’antivirus est très nécessaire pour tous les réseaux et surtout

pour les données malveillantes qui attaquent au système.

7. Policy :( politique)

Une politique de sécurité réseau définie des règles à suivre

pour les accès au réseau informatique et pour les flux autorisés
ou non, elle détermine aussi comment les politiques sont
appliquées et présente une partie de l'architecture de base de
l'environnement de sécurité.

La politique de réseau est un des éléments de la politique de

sécurité du système d'information, Cette politique est mise en
place techniquement par un administrateur sécurité.
 Figure 26 : configuration des règles

Pour notre politique de sécurité réseau sur le pare-feu FortiGate

on a suivit les étapes suivantes :

Policy → règles → règles .

On a choisie le type de politique pare-feu et le sous-type

adresse, on a aussi appliqué la configuration suivante :

Accepter toutes les adresses sources entrante par le port 1

(certe) et aussi toutes les adresses de destinations sortantes
par le port WAN 1(internet) si elles dépondent des règles
choisie.
On a attribué comme règles la plage horaire qu’on a crée
( plage certe administration ) et on a donné l’autorisation des
services ( HTTP, HTTPS , IMAP , IMAPS , POP3 , SMTP , DNS ) et
on a terminé avec l’activation des profils de sécurités qu’on a
déjà fais : antivirus ( av certe ) , filtrage web ( filtrage web
certe), contrôle applicatif ( UTM certe ) , IPS.

8. Journaux et alertes :

Une journalisation et alerte de pare-feu contient des

informations sur le trafic de réseaux entrant ou sortant, elle
nous permet de supervisé toutes les actions sur le réseau.

Il y’a deux type de journaux/alerte qui sont les suivants :

 Journaux/alerte interne : elle permet de supervisé tout les

actions sur le réseau locale. ( LAN : port1)

Pour accéder au journaux/alerte locale on a suivie la

démarche suivante :

Journaux/alerte → trafic → local traffic.

 Figure 27 : journaux/alerte des réseaux
internes

 Journaux/alerte externe : elle permet de supervisé les

actions sur le réseau externe. (WAN1).

Pour accéder au journaux/alerte locale on a suivie la

démarche suivante :

Journaux/alerte → trafic → forward traffic.

 Figure 28 : journaux/alerte des réseaux
externes

 Ces deux types de journaux/alerte nous informent de toutes

les actions sur le réseau interne ou externe, elle nous permet de
savoir l’heure et la date exacte avec l’adresse source de
propriétaire ainsi que l’adresse de destination.
Conclusion :

De nos jours, dans toutes les entreprises, l'informatique est devenue un outil
incontournable de gestion, d'organisation, de production et de communication,
d’où le réseau de l'entreprise met en œuvre des données sensibles qui sont
stocké et partagé dans le réseau interne. Et pour cela, on a besoin de protéger le
réseau de l'entreprise et de se prémunir contre tout type de risques pouvant
dégrader ses performances.

Pendant notre stage de projet fin d’étude effectué à la société technopole, on a

travaillé sur le pare-feu FOrtiGate pour assurer la protection des réseaux interne
et externe qui est nécessaire. Ce dernier est une boitiers de hot gamme
de la sécurité UTM qui a comme fonctionnalités : pare-
feu, Antivirus, filtrage Web, Antispam, système de prévention
d'intrusion (IPS), VPN ,et d'autres fonctionnalités: routage,
policy routing, virtualisation, compression de données...

Mais avec tout les outils qui sert a la protection et la sécurité de réseau
informatique il y’a toujours quelque failles pour les pirates qui menace les
réseaux de tous les entreprises.