Vous avez un compte ?

  •   Contenu personnalisé
  •   Vos produits et votre assistance

Besoin d'un compte ?

Créer un compte

Participez à la conférence Cisco Secure Insights le 7 juillet pour écouter les experts en cybersécurité parler des problèmes majeurs actuels.

Un événement à ne pas manquer

Comment configurer votre pare-feu en 6 étapes

Suivez ces bonnes pratiques simples pour protéger votre réseau en toute fiabilité.

Vous avez réussi à configurer ce nouveau routeur sans fil et vous êtes maintenant prêt pour une nouvelle aventure : configurer un pare-feu. Cela semble... intimidant. Pas de panique ! Nous avons fractionné ce processus en 6 étapes simples pour vous aider à atteindre le nirvana en matière de sécurité réseau. Commençons...

Étape 1 : protéger votre pare-feu (ça semble redondant, on le sait)

Vous devez réserver l'accès administrateur à votre pare-feu uniquement aux utilisateurs de confiance. Pour tenir les éventuels hackers à distance, vérifiez que votre pare-feu est sécurisé en effectuant au moins une des actions de configuration suivantes :

  • Mettez à jour votre pare-feu en installant le dernier micrologiciel recommandé par le fournisseur.
  • Supprimez, désactivez ou renommez les comptes utilisateur par défaut et modifiez tous les mots de passe par défaut. Assurez-vous d'utiliser uniquement des mots de passe sécurisés et complexes.
  • Si plusieurs utilisateurs doivent gérer le pare-feu, créez des comptes supplémentaires avec des privilèges limités en fonction de leurs responsabilités. N'utilisez jamais de comptes utilisateur partagés. Vérifiez qui a apporté des modifications et pourquoi. La responsabilité favorise la vérification préalable des modifications.
  • Limitez les possibilités de modification des utilisateurs pour réduire la surface d'exposition aux attaques. Par exemple, n'autorisez des changements que depuis des sous-réseaux fiables de votre entreprise.

Étape 2 : concevoir des zones de pare-feu et des adresses IP (aucun travail de fond nécessaire)

Pour protéger au mieux les ressources de votre réseau, vous devez d'abord les identifier. Choisissez une structure dans laquelle les ressources sont regroupées en réseaux (ou zones) en fonction des besoins des applications et de l'entreprise, de leur niveau de sensibilité et de leurs fonctionnalités. Ne choisissez pas la facilité en optant pour un réseau non hiérarchique unique. Si c'est simple pour vous, ça l'est aussi pour les hackers !

Tous les serveurs qui fournissent des services en ligne (par exemple, la messagerie, le VPN) doivent être réunis dans une zone dédiée qui limite le trafic entrant provenant d'Internet, qu'on appelle souvent zone démilitarisée ou zone DMZ. Les serveurs qui ne sont pas accessibles directement depuis Internet doivent être placés dans des zones de serveurs internes. Ces zones englobent habituellement les serveurs de bases de données, les ordinateurs et tous les périphériques VoIP (voix sur IP) ou du point de vente.

Si vous utilisez IPv4, les adresses IP internes doivent être utilisées pour tous vos réseaux internes. La traduction d'adresses réseau (NAT) doit être configurée pour autoriser les périphériques internes à communiquer sur Internet, si nécessaire.

Après avoir conçu la structure de votre zone de réseau et choisi le schéma d'adressage IP adapté, vous êtes prêt à créer les zones du pare-feu et à les affecter aux interfaces ou aux sous-interfaces de votre pare-feu. Lorsque vous concevez votre infrastructure de réseau, les commutateurs qui prennent en charge les LAN virtuels (VLAN) doivent être utilisés pour préserver la séparation de niveau 2 entre les réseaux.

Étape 3 : configurer les listes de contrôle d'accès (à vous de voir, invitez qui vous voulez)

Après avoir défini les zones du réseau et les avoir affectées aux interfaces, vous allez créer des règles de pare-feu appelées listes de contrôle d'accès, ou ACL. Les ACL déterminent quel type de trafic a besoin d'une autorisation pour entrer et sortir de chaque zone. Ce sont elles qui définissent qui peut parler à quoi et bloquent le reste. Appliquées à chaque interface ou sous-interface du pare-feu, vos ACL doivent correspondre très précisément aux adresses IP source et/ou de destination et aux numéros de port, le cas échéant. Pour exclure le trafic non approuvé, créez une règle « Tout refuser » à la fin de chaque ACL. Appliquez ensuite des ACL entrantes et sortantes à chaque interface. Si possible, désactivez l'accès public aux interfaces d'administration de votre pare-feu. Souvenez-vous, vous devez être le plus précis possible lors de cette phase. Vérifiez que vos applications fonctionnent comme prévu, mais testez aussi les éléments que vous n'avez pas autorisés. Contrôlez la capacité des pare-feu à gérer les flux de nouvelle génération : peuvent-ils bloquer le trafic en fonction des catégories web ? Pouvez-vous activer une fonction d'analyse avancée des fichiers ? Proposent-ils certaines fonctionnalités IPS ? Vous avez payé pour ces fonctionnalités avancées, alors n'oubliez pas de suivre ces étapes suivantes.

Étape 4 : configurer les autres services de votre pare-feu et la journalisation (votre collection de dossiers)

Si vous le souhaitez, activez votre pare-feu de sorte qu'il joue le rôle de serveur DHCP (Dynamic Host Configuration Protocol), de serveur NTP (Network Time Protocol), de système de prévention des intrusions (IPS), etc. Désactivez les services que vous n'utiliserez pas.

Pour respecter les exigences PCI DSS (Payment Card Industry Data Security Standard), configurez votre pare-feu de sorte qu'il envoie des informations à votre serveur de journalisation et assurez-vous d'inclure suffisamment de détails pour vous conformer aux versions 10.2 à 10.3 du standard PCI DSS.

Étape 5 : tester la configuration du pare-feu (ne vous inquiétez pas, c'est facile)

Vérifiez d'abord que votre pare-feu bloque le trafic conformément à vos ACL. Cette procédure doit inclure l'analyse des vulnérabilités et les tests d'intrusion. Assurez-vous de conserver une sauvegarde sécurisée de la configuration de votre pare-feu en cas de problème. Si tout fonctionne comme prévu, votre pare-feu est prêt pour l'environnement de production. Testez et retestez la restauration d'une configuration. Avant d'apporter des modifications, documentez et testez votre procédure de récupération.

Étape 6 : gestion du pare-feu (alimenter le feu)

Lorsque votre pare-feu est configuré et fonctionne, vous devez le gérer pour préserver un fonctionnement optimal. Mettez à jour le micrologiciel, surveillez les journaux, analysez les vulnérabilités et contrôlez vos règles de configuration tous les six mois.

Étapes suivantes

Et voilà, c'est terminé ! Si vous avez réussi à suivre jusque là, vous êtes presque un expert en sécurité du réseau. Toutefois, si vous avez besoin d'aide, visitez notre communauté dédiée aux PME. Vous y trouverez les réponses aux questions fréquentes et vous pourrez entrer en contact avec d'autres dirigeants de PME confrontés aux mêmes difficultés en matière d'IT.

Commencez par une évaluation de l'intégrité de la sécurité de votre réseau !

Vous voulez en savoir plus ?

Sécurité

Nos ressources sont conçues pour vous aider à identifier les différentes menaces et à choisir des technologies pour la protection de votre entreprise.

Collaboration

Ces outils et ces articles vous aideront à prendre d'importantes décisions en matière de communication pour faire évoluer votre entreprise et renforcer sa connectivité.

Réseau

Découvrez comment prendre les bonnes décisions en matière de conception et de gestion du réseau pour soutenir le développement de votre activité.

Centre de ressources

Tirez parti des tutoriels, des listes de vérification et autres conseils pour satisfaire la demande, et stimuler l'évolutivité et la réussite de votre entreprise.