Académique Documents
Professionnel Documents
Culture Documents
Conférence 25 : Pare-feu
Page 2
Page 3
En d'autres termes…
Page 4
Page 5
Page 6
l'Internet
Page 7
Surveiller l'attaque
l'Internet
Attaque
Page 8
Technologies de pare-feu
Technologies de pare-feu courantes :
Ils peuvent être classés en quatre catégories:
Filtrage de paquets Firewalls
Circuit Niveau Firewalls
application pare - feu passerelle (ou les serveurs proxy)
Pare-feu d'inspection avec état (paquet dynamique
filtrage des pare-feux)
Ces technologies fonctionnent à différents niveaux
de détail, offrant divers degrés de réseau
protection d'accès.
Ces technologies ne s'excluent pas mutuellement
comme certains produits de pare-feu peuvent implémenter
plusieurs de ces technologies simultanément.
Page 9
Application
IP Réseau IP
BLÊME LAN
C. Ding -- COMP581 -- L25 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Diapositive 16
1 En dehors * 10.56.199* * * * Tomber
2 En dehors10,56* 10.122* TCP * 23 (Telnet) Passer
3 Dans 10.122* 10.56.199* TCP 23 (Telnet) * Passer
4 Entrée et sortie* 10.56.199* TCP * 25 (courrier)Passer
5 Dans * * TCP * 513 (rconnexion)
Tomber
6 Dans 201.32.4.76 * * * * Tomber
7 En dehors * * TCP * 20 (FTP) Passer
8 Dans * 10.56.199* TCP * 20 (FTP) Tomber
Page 16
Page 17
Production Saisir
Filtre Filtre
Interne
Réseau Réseau
Réseau
Routeur
Liaison de données Liaison de données
l'Internet
Physique Physique
Page 18
Page 19
Page 20
Page 21
Page 22
Passerelle d'applications
Pare-feu
(Pare-feu proxy)
C. Ding -- COMP581 -- L25 22
Page 23
Page 24
Passerelle d'applications
Pare-feu
Pare-feu
Mandataires d'application
Application Application
Transport Transport
Interne
Réseau Réseau
Réseau
Liaison de données
Liaison de données
l'Internet
Physique Physique
Routeur
25
Passerelle d'applications
Pare-feu
Page 26
Passerelle d'applications
Forces
Très sûr si utilisé en conjonction avec
un pare-feu de filtrage de paquets intelligent
27
Passerelle d'applications
faiblesses
Très gourmand en CPU
Nécessite un hôte haute performance
ordinateur
Système d'exploitation hôte susceptible d'être attaqué
De nombreux proxys sont transparents pour
application
Pas transparent pour les utilisateurs
cher
Page 29
Page 30
Pare-feu/routeur
Module d'inspection
Interne
Réseau
Réseau Réseau
Routeur Liaison de données
Liaison de données
l'Internet
Physique Physique
Page 31
Filtrage dynamique
Inspection avec état
pare-feu dynamiquement
ouvrir et fermer les ports
(spécifique à l'application
points de connexion)
en fonction de l'accès
Réseau privé protégé Le pare-feu vérifie les stratégies pour
Stratégies. valider l'ordinateur d'envoi
et permet au trafic de passer
Réseau public
l'Internet
L'utilisateur lance une session Web
Page 32
Page 33
Page 34
Page 35
Performances générales
C. Ding -- COMP581 -- L25 35
Page 36
Page 37
Prise en charge RADIUS
authentification à distance de l'utilisateur distant
Prestations de service
Une base de données de sécurité unique et centrale pour tou
utilisateurs du système
Gestion centralisée des listes d'accès
Page 38
Utilisateur à distance
authentifié
Siège social
Téléphonie
Prestations de service
Page 39
l'Internet
Page 40
Substituts de pare-feu
adresse privée
à l'adresse publique
et en avant
a l'Internet
l'Internet
Le pare-feu traduit
L'utilisateur communique flux de retour de
avec Internet Publier à
en utilisant un privé Adresse privée
adresse IP
Page 41
Niveau d'application
La passerelle est terminée
Serveur ftp connexion
Page 42
Page 43
Notification SNMP/SMTP
Email envoyé à
spécifié
adresse Le pare-feu détecte
attaque
(balayage des ports)
Réseau privé protégé
l'Internet
Piège SNMP
un message
SNMP : protocole de gestion de réseau simple
à la direction
Plate-forme
Page 44
Notification et reconfiguration
Serveur Web
Z
Le pare-feu détecte
M
ré attaque
(SYN Inondation)
Réseau privé protégé Serveur
l'Internet
Email envoyé à
Système
Directeur
Pare-feu automatiquement
reconfiguré pour nier tout
Accès externe au WEB
Serveur
C. Ding -- COMP581 -- L25 44
Page 45
Gestion sécurisée
Page 46
Exemples de configuration réseau
47
l'Internet
Zone semi-militarisée
Tous
Réseau privé pour
non autorisé
serveurs d'entreprise
le trafic est
et les utilisateurs
bloqué
l'Internet
LA TOILE
Serveur
SMZ Tous les autres
SMZ
entrant
Poster Limites de la politique de pare-feu
circulation
Serveur accès entrant à
bloqué
WEB et serveur de messagerie
du réseau public
Zone semi-militarisée
49
l'Internet
LA TOILE
Connexion : pirate informatique
Serveur
Mot de passe s'il vous plait
Alors ok! SMZ
Poster
Serveur
Zone semi-militarisée
50
Zone démilitarisée
Accès libre
entre
réseau local privé
et DMZ
Permettre l'Internet
SMTP,
D'ici
là-bas
LA TOILE seulement
Serveur
DMZ
Filtres statiques
Poster
entre LAN privé
Serveur et DMZ utilisé pour
contrôler l'accès
Zone démilitarisée
51
Remarques finales