PfSense

PfSense est un système d'exploitation open source ayant pour but la mise en place

de routeur/pare-feu basé sur le système d'exploitation FreeBSD. À l'origine
un fork de m0n0wall, il utilise le pare-feu à états Packet Filter ainsi que des fonctions de
routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. PfSense convient pour la sécurisation d'un réseau
domestique ou d'entreprise.
Après l'installation manuelle nécessaire pour assigner les interfaces réseaux, il s'administre
ensuite à distance depuis l'interface web. pfSense gère nativement les VLAN (802.1q).
Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy ou un serveur de voix sur IP.

Zone démilitarisée
En informatique, une zone
démilitarisée, ou DMZ (en
anglais, demilitarized zone)
est un sous-réseau séparé
du réseau local et isolé de
celui-ci ainsi que d'Internet
(ou d'un autre réseau) par
un pare-feu. Ce sous-réseau
contient les machines étant
susceptibles d'être accédées
depuis Internet, et qui n'ont pas besoin d'accéder au réseau local.
Les services susceptibles d'être accédés depuis Internet seront situés en DMZ, et tous
les flux en provenance d'Internet sont redirigés par défaut vers la DMZ par le pare-
feu. Le pare-feu bloquera donc les accès au réseau local à partir de la DMZ pour
garantir la sécurité. En cas de compromission d'un des services dans la DMZ, le pirate
n'aura accès qu'aux machines de la DMZ et non au réseau local.
Le nom provient à l'origine de la zone coréenne démilitarisée.
La figure ci-contre représente une architecture DMZ avec un pare-feu à trois
interfaces. L'inconvénient est que si cet unique pare-feu est compromis, plus rien
n'est contrôlé. Il est cependant possible d'utiliser deux pare-feux en cascade afin
d'éliminer ce risque. Il existe aussi des architectures de DMZ où celle-ci est située
entre le réseau Internet et le réseau local, séparée de chacun de ces réseaux par un
pare-feu.

Les deux types de pare-feu

Deux types de firewall existent : le pare-feu matériel et le pare-feu logiciel. En
fonction de la situation, il est possible d’installer l’un ou l’autre, ou de cumuler
les deux pour accroître la sécurité du réseau.
Le pare-feu matériel. Ce type de firewall est installé à l’entrée et à la sortie du
réseau local. Son installation est généralement plus coûteuse que le firewall logiciel,
mais il garantit davantage de protection en terme de sécurité. Cette solution est
notamment privilégiée pour les réseaux comportant plusieurs ordinateurs, par
exemple dans le cadre de sociétés privées (le pare-feu matériel se révèle alors moins
onéreux qu’un pare-feu logiciel, et il assure une plus grande protection pour le
réseau).

Le pare-feu logiciel. Installé directement sur l’ordinateur, le pare-feu logiciel joue un

rôle similaire au pare-feu matériel mais de façon locale. Il contrôle les paquets de
données entrants et sortants et peut les bloquer si nécessaire. Son prix est moins élevé
qu’un pare-feu matériel, et son utilisation est privilégiée lorsqu’il s’agit de protéger
uniquement un ordinateur.