Académique Documents
Professionnel Documents
Culture Documents
1.1 Définition :
Un pare-feu est un appareil de sécurité des réseaux qui contrôle le trafic réseau entrant et
sortant et décide s’il bloque ou autorise le trafic selon un ensemble défini de règles de
sécurité.
Les pare-feu sont sur la première ligne de défense de la sécurité des réseaux. Ils établissent
une barrière entre les réseaux internes sécurisés et contrôlés et les réseaux externes dites de
non confiance, comme Internet.
Un pare-feu peut être matériel, logiciel ou les deux.
S0 : interface routeur 0
S1 interface routeur 1
Permit : autoriser
Deny : interdire
Les listes de contrôle d’accès sont des instructions qui expriment une liste de règles sur les paquets
reçus et transmis par le routeur.
Exemple :
Dans cet exemple on va définir une ACL standard qui va autoriser le réseau 10.0.0.0/8 à accéder au
serveur situer à l'interface Fa0/1.
access-list 1 permit 10.0.0.0 0.255.255.255
Il ya par défaut à la fin de chaque ACL un deny ip any (pour bloquer tout autre accès)
L’ACL Standard est placée près de la destination pour ne pas sanctionner d’autres paquets.
0.255.255.255 représente le masque générique (wildcard mask) ou masque inverse.
Quelques opérateurs:
eq : égal
neq : différent
gt : plus grand que
lt : moins grand que
Exemple :
Empêcher le trafic FTP du réseau 10.0.0.0/8 vers le serveur et autoriser tout le reste
N.B: FTP utilise TCP et les ports 20 & 21.
1ème méthode
access-list 101 deny tcp 10.0.0.0 0.255.255.255 187.100.1.6 0.0.0.0 eq 21
access-list 101 deny tcp 10.0.0.0 0.255.255.255 187.100.1.6 0.0.0.0 eq 20
access-list 101 permit ip any any
2ème method.
Access-list 101 deny tcp 10.0.0.0 0.255.255.255 host 187.100.1.6 eq 20
Access-list 101 deny tcp 10.0.0.0 0.255.255.255 host 187.100.1.6 eq 21
Access-list permit ip any any.
Exemple 02 :
172.23.16.0/255.255.240.0
Le masque inverse est :
255.255.255.255 – 255.255.240.0 = 0.0.15.255
Exemple 02 :
autoriser le réseau 172.23.16.0/255.255.240.0
access-list 1 permit 172.23.16.0 0.0.15.255
172.23.16.0 0.0.15.255
172.23.16.0 (début)
+
0.0.15.255
------------------
172.23.31.255 (fin)
Donc de 172.23.16.0 à 172.23.31.255
Exemple 03 :
Access-list 2 permit 172.16.1.3 0.0.0.252
Question :
Est-ce que les adresses IP suivante seront autorisées par cette ACL
a) 172.16.1.5
b) 172.16.1.51
c) 712.16.1.13
Ip : 172.16.1. 00 00 00 11
Masque inverse 0.0.0.11 11 11 11 00 --------- xx xx xx 00
Les règles suivantes :
1&&0 =1
0&&0=0
X&&1=x
X&&0=x
Donc on aura :
172.16.1.00000011 && 0.0.0.xxxxxx00 donne 172.16.1.xxxxxx11
Reste à vérifier pour a, b et c.
Bibliographie
https://www.cisco.com/c/fr_ca/products/security/firewalls/what-is-a-firewall.html
https://routeur.clemanet.com/acl-cisco.php