Un pare-feu (firewall) est une barrière de sécurité essentielle qui filtre et contrôle le trafic réseau entrant et sortant d’un système. Il protège une application web, un serveur ou un réseau contre les cyberattaques en bloquant les connexions non autorisées et en appliquant des règles de sécurité.
Dans cet article, nous allons voir :
✅ Les types de pare-feu
✅ Comment configurer un pare-feu sous Linux (iptables, UFW) et Windows
✅ Les bonnes pratiques pour protéger une application
1. Pourquoi un Pare-feu est Essentiel ?
Un pare-feu permet de :
🔹 Empêcher les attaques externes (DDoS, injections, tentatives d’intrusion).
🔹 Filtrer le trafic réseau (autoriser uniquement les connexions nécessaires).
🔹 Protéger les ports sensibles (SSH, HTTP, base de données).
🔹 Prévenir les fuites de données en contrôlant les connexions sortantes.
📌 Exemple : Un serveur web (Apache, Nginx) doit accepter uniquement les connexions sur le port 80 (HTTP) et 443 (HTTPS) et bloquer toutes les autres.
2. Types de Pare-feu
Il existe plusieurs types de pare-feu :
1️⃣ Pare-feu Matériel
🚀 Filtre le trafic au niveau du routeur ou d’un boîtier de sécurité.
✔️ Utilisé dans les entreprises et datacenters.
2️⃣ Pare-feu Logiciel
🖥️ Installé sur un serveur ou un PC (ex. iptables sous Linux, Windows Firewall).
✔️ Idéal pour protéger une application ou un serveur web.
3️⃣ Web Application Firewall (WAF)
🌐 Spécialisé dans la protection des applications web contre les attaques XSS, injections SQL.
✔️ Exemples : Cloudflare WAF, ModSecurity (Apache, Nginx).
3. Configurer un Pare-feu sous Linux (UFW et iptables)
Si vous utilisez un serveur Linux (Ubuntu, Debian, CentOS), vous avez deux options :
🔹 1. UFW (Uncomplicated Firewall) – Facile à utiliser
📌 Installation et activation :
bashCopierModifiersudo apt update && sudo apt install ufw -y
sudo ufw enable
📌 Autoriser uniquement le trafic web (HTTP/HTTPS) :
bashCopierModifiersudo ufw allow 80/tcp # HTTP
sudo ufw allow 443/tcp # HTTPS
📌 Autoriser SSH (pour se connecter au serveur) :
bashCopierModifiersudo ufw allow 22/tcp
📌 Vérifier l’état du pare-feu :
bashCopierModifiersudo ufw status verbose
📌 Bloquer tout le reste (règle par défaut) :
bashCopierModifiersudo ufw default deny incoming
sudo ufw default allow outgoing
🔹 2. iptables – Pour un Contrôle Avancé
📌 Bloquer tout le trafic entrant sauf HTTP/HTTPS et SSH :
bashCopierModifieriptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
📌 Bloquer une adresse IP suspecte :
bashCopierModifieriptables -A INPUT -s 192.168.1.100 -j DROP
📌 Sauvegarder les règles pour redémarrage :
bashCopierModifiersudo iptables-save > /etc/iptables/rules.v4
4. Configurer un Pare-feu sous Windows
Sur Windows Server ou Windows 10/11, utilisez le pare-feu Windows Defender.
📌 Autoriser une application spécifique :
- Ouvrez « Pare-feu Windows Defender avec sécurité avancée ».
- Allez dans « Règles de trafic entrant » → « Nouvelle règle ».
- Choisissez « Programme », puis sélectionnez l’application à autoriser.
- Autorisez le trafic sur les ports nécessaires (80, 443, 3306 pour MySQL, etc.).
📌 Bloquer une adresse IP spécifique :
- Dans « Règles de trafic entrant », cliquez sur « Nouvelle règle ».
- Choisissez « Personnalisé », puis « Tous les programmes ».
- Dans « Scope », ajoutez l’adresse IP à bloquer.
- Sélectionnez « Bloquer la connexion ».
5. Sécuriser un Pare-feu pour une Application Web
🔐 1️⃣ Autoriser uniquement les ports nécessaires
✔ HTTP (80), HTTPS (443), SSH (22), et bloquer tout le reste.
🔐 2️⃣ Protection contre les attaques DDoS
✔ Installer fail2ban (Linux) pour bloquer les IP suspectes :
bashCopierModifiersudo apt install fail2ban
sudo systemctl enable fail2ban
🔐 3️⃣ Utiliser un WAF (Web Application Firewall)
✔ Protéger une application contre les attaques XSS, injections SQL avec ModSecurity :
bashCopierModifiersudo apt install libapache2-mod-security2
🔐 4️⃣ Activer le journal des connexions
✔ Surveiller les tentatives de connexion suspectes :
bashCopierModifiersudo ufw logging on
🔐 5️⃣ Mettre à jour régulièrement les règles
✔ Toujours appliquer les dernières mises à jour de sécurité.
6. Vérifier l’Efficacité du Pare-feu
📌 Tester les ports ouverts avec nmap :
bashCopierModifiernmap -p- -T4 -A -v <IP_du_serveur>
📌 Vérifier les tentatives d’attaques dans les logs :
bashCopierModifiersudo cat /var/log/auth.log | grep "Failed password"
📌 Simuler une attaque pour tester la protection (Pentest) :
Utilisez fail2ban pour bloquer automatiquement les IP après plusieurs tentatives de connexion échouées.
Conclusion
Un pare-feu bien configuré est indispensable pour protéger une application web ou un serveur contre les cyberattaques.
✅ Sur Linux, utilisez UFW pour une configuration simple ou iptables pour un contrôle avancé.
✅ Sur Windows, le pare-feu Windows Defender offre une protection efficace.
✅ Ajoutez un WAF (Web Application Firewall) comme Cloudflare, ModSecurity pour protéger votre application contre les attaques web.
