Way To Learn AcademyKnowledge Assessment

Pare Feu Et ACL

CCST Networking (Cisco Certified Support Technician)Security

Pare-feu et ACL

Définition

Un pare-feu (firewall) est un dispositif réseau ou logiciel qui applique des politiques de filtrage sur le trafic entrant et sortant, autorisant ou refusant les flux selon des règles prédéfinies. Les ACL (Access Control Lists) sont des listes de règles configurées sur les routeurs et commutateurs Cisco pour contrôler le passage du trafic en se basant sur les adresses IP source/destination, les protocoles et les numéros de port.

Contexte

Le filtrage du trafic est la première ligne de défense dans toute architecture réseau. Les pare-feu protègent les périmètres (Internet ↔ réseau interne) tandis que les ACL permettent un filtrage granulaire directement sur les équipements réseau. La certification CCST attend du candidat qu'il distingue pare-feu stateful et stateless, comprenne la logique des ACL standard et étendues, et sache les appliquer aux interfaces.

Détails techniques

Pare-feu stateless vs stateful

Critère Stateless Stateful
Analyse Chaque paquet individuellement Suit l'état des connexions (sessions)
Contexte Aucun — règles appliquées paquet par paquet Maintient une table de sessions (state table)
Exemple ACL sur un routeur Cisco ASA, pare-feu de nouvelle génération (NGFW)
Avantage Simple, rapide Plus sécurisé, autorise automatiquement les réponses

ACL standard (numérotées 1-99)

  • Filtrent uniquement sur l'adresse IP source.
  • Syntaxe : access-list 10 permit 192.168.1.0 0.0.0.255 (wildcard mask).
  • Application : interface Gi0/1ip access-group 10 in.
  • Règle implicite : deny any à la fin de toute ACL (tout ce qui n'est pas explicitement autorisé est refusé).
  • Bonne pratique : les placer proche de la destination.

ACL étendues (numérotées 100-199)

  • Filtrent sur IP source, IP destination, protocole (TCP/UDP/ICMP) et ports.
  • Syntaxe : access-list 110 permit tcp 192.168.1.0 0.0.0.255 host 10.0.1.100 eq 443.
  • Permettent un contrôle beaucoup plus fin qu'une ACL standard.
  • Bonne pratique : les placer proche de la source pour éviter de transporter du trafic inutile.

ACL nommées

  • Plus lisibles : ip access-list extended FILTRAGE_WEB.
  • Permettent l'insertion et la suppression de lignes individuelles (par numéro de séquence).

Application sur les interfaces

  • in : filtre le trafic entrant sur l'interface.
  • out : filtre le trafic sortant de l'interface.
  • Une seule ACL par interface, par direction, par protocole.

Exemple concret

Scénario : le réseau d'administration (192.168.1.0/24) doit pouvoir accéder en SSH au serveur 10.0.1.5, mais tout autre trafic vers ce serveur doit être bloqué.

ip access-list extended SSH_ADMIN
 permit tcp 192.168.1.0 0.0.0.255 host 10.0.1.5 eq 22
 deny   ip any host 10.0.1.5
 permit ip any any
!
interface Gi0/1
 ip access-group SSH_ADMIN in

Vérification : show access-lists SSH_ADMIN montre les compteurs de hits pour chaque ligne.

Concepts liés

Authentification, Autorisation et Audit (AAA)Segmentation réseau et Zero TrustChiffrement (TLS) et VPNAccès et modes CLIRouteurs et routage
Menaces Et Types D Attaques ReseauPolitiques De Securite Et Conformite