RAPPORT DE STAGE

PROJET: FORTIGATE

RÉALISÉ PAR : AZEDDINE ABID

ENCADRÉ PAR : MR SAID BELARBI

1
 Sommaire
1. INTRODUCTION……………………………………………………………….
1.1 CONTEXTE DU PROJET
1.2 OBJECTIFS DU RAPPORT
1.3 MÉTHODOLOGIE DE LA RECHERCHE

2. CADRE CONCEPTUEL………………………………………………………….
2.1 DÉFINITION DE LA GESTION DE PROJET
2.2 IMPORTANCE DE LA GESTION DE PROJET
2.3 MÉTHODOLOGIES DE GESTION DE PROJET

3. PLANIFICATION DU PROJET…………………………………………………….
3.1 ÉTABLISSEMENT DES OBJECTIFS DU PROJET
3.2 DÉFINITION DES LIVRABLES
3.3 IDENTIFICATION DES PARTIES PRENANTES
3.4 ÉTABLISSEMENT DU CALENDRIER DU PROJET

4. EXÉCUTION DU PROJET……………………………………………………………………….
4.1 AFFECTATION DES RESSOURCES
4.2 SUIVI DE L'AVANCEMENT
4.3 GESTION DES RISQUES
4.4 COMMUNICATION AVEC LES PARTIES PRENANTES

5. IPOS…………………………………………………………………………………
5.1 ÉVALUATION DE LA PERFORMANCE
5.2 CORRECTION DES DÉVIATIONS
5.3 RÉAJUSTEMENT DU PLAN

6. ADRESSAGE IP…………………………………………………………………………………………………
6.1 RÉCAPITULATION DES RÉSULTATS
6.2 LEÇONS APPRISES
6.3 RECOMMANDATIONS POUR L'AVENIR

7. FORTIGATE…………………………………………………………………………………………………………
7.1 DIAGRAMMES GANTT
7.2 MATRICE DE RESPONSABILITÉS
8.CONCLUSION………………………………………………………………………………………………………

2
 Introduction
Fortinet est une entreprise de technologie de l'information spécialisée dans la
cybersécurité. Fondée en 2000 par Ken Xie, Fortinet s'est rapidement imposée comme
l'un des leaders mondiaux dans le domaine de la sécurité informatique. L'entreprise
est particulièrement connue pour ses solutions de sécurité réseau et de pare-feu
nouvelle génération (NGFW), qui offrent une protection avancée contre les menaces
en ligne pour les entreprises, les fournisseurs de services et les organisations
gouvernementales.

Les produits et services de Fortinet couvrent un large éventail de besoins en matière

de cybersécurité, notamment la prévention des intrusions, la détection des menaces,
la sécurisation des réseaux sans fil, la sécurité des applications, la sécurité des
clouds, la gestion unifiée des menaces (UTM), et bien plus encore. La société est
reconnue pour son approche intégrée de la sécurité, qui combine diverses
technologies et services pour offrir une protection complète contre les attaques
informatiques.

Fortinet propose également des solutions de sécurité adaptées aux entreprises de

toutes tailles, de la petite entreprise aux grandes organisations globales. Sa
plateforme de sécurité Fortinet Security Fabric est conçue pour aider les clients à
gérer efficacement leur infrastructure de sécurité et à réagir rapidement aux menaces
émergentes.

L'entreprise Fortinet est cotée en bourse (NASDAQ : FTNT) et son siège social est
situé à Sunnyvale, en Californie. Elle dispose d'une présence mondiale avec des
bureaux dans de nombreux pays et une vaste base de clients dans le monde entier.
Fortinet est engagée dans la recherche continue en matière de cybersécurité et dans
la fourniture de solutions innovantes pour faire face aux défis croissants de la
sécurité informatique à l'ère numérique.

De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en
général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les
divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets
communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier
pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est
à dire Internet. En effet, une entreprise n'est jamais complètement fermée sur elle-même. Il est
par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise.
Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte à divers acteurs
étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées,
peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de
telles actions sont nombreux et variés : attaque visant le vol de données, passetemps, ...

3
1 .1- INTRODUCTION SUR LES FIREWALLS :

Dans le monde numérique en constante évolution d'aujourd'hui, la sécurité

informatique est devenue une préoccupation majeure pour les individus, les
entreprises et les organisations du monde entier. Les cybermenaces, telles que les
attaques de logiciels malveillants, les intrusions et les violations de données, sont
devenues monnaie courante, entraînant des pertes financières importantes et des
atteintes à la confidentialité des données. Pour contrer ces menaces, les pare-feux,
ou firewalls, jouent un rôle central en tant que première ligne de défense dans la
protection des réseaux informatiques.

Un pare-feu est un dispositif ou un logiciel conçu pour surveiller et contrôler le flux

de données entrant et sortant d'un réseau informatique. Son objectif principal est de
filtrer le trafic réseau pour permettre ou bloquer certaines communications en
fonction de règles prédéfinies. Les pare-feux sont essentiels pour garantir la sécurité
d'un réseau en empêchant l'accès non autorisé, en bloquant les menaces connues et
en minimisant les risques potentiels.

Les pare-feux peuvent être mis en œuvre à différents niveaux d'un réseau, y compris
au niveau du matériel (pare-feu matériel) ou au niveau logiciel (pare-feu logiciel), et
ils peuvent fonctionner en utilisant différentes méthodes de filtrage, telles que
l'inspection des paquets, l'inspection de l'état, la détection d'intrusions, et plus
encore.

Au fil des années, les pare-feux ont évolué pour devenir des pare-feux nouvelle
génération (NGFW) plus avancés, capables de détecter des menaces plus
sophistiquées, de gérer des règles de sécurité complexes et de fournir une visibilité
accrue sur le trafic réseau. Ils sont devenus un élément essentiel de la stratégie de
sécurité informatique, permettant aux entreprises et aux organisations de protéger
leurs actifs numériques et de garantir la continuité de leurs opérations.

Dans cette introduction, nous explorerons plus en détail le fonctionnement des pare-
feux, leurs types, leurs caractéristiques et leur importance dans la sécurisation des
réseaux informatiques modernes. Nous verrons également comment ils s'intègrent
dans un écosystème de sécurité plus large pour faire face aux menaces numériques
en constante évolution.

4
1.2- L’IMPLÉMENTATION DES PARE-FEU :
Il est possible de distinguer les techniques pare-feu d’après la couche réseau où elles
sont implémentées. - La couche réseau. Par exemple le code pare-feu des routeurs
filtrants est implémenté au niveau du pilote IP. - La couche transport. Par exemple,
la technologie SOCKS s’appuie sur la couche transport. Elle permet de filtrer de
manière transparente tout transfert TCP. -La couche applicative. Ici, le filtrage est
effectué soit directement par l’application réseau (le serveur) ou par une application
intermédiaire (un wrapper). Par exemple les directives Allow ou Deny du serveur
Web Apache limite les échanges à certains clients.

1.3. LES COMPOSANTS D’UN PARE-FEU :

Routeur filtrant Le routeur filtrant transfère les paquets IP d’un réseau à un autre. Il
utilise essentiellement deux techniques pare-feu : - Le filtrage des paquets IP. - Le
NAT (la translation d’adresse)

Proxy :
Un proxy est une application qui sert d’intermédiaire entre un client et un serveur.
Le client envoie sa requête au proxy, et celui-ci la réémet en direction du serveur. De
même, la réponse du serveur est reçue par le proxy qui la retransmet au client. Un
proxy peut être configure pour filtrer les requêtes. Des logiciels proxys peuvent
posséder de la mémoire cache, RAM et disque, qui améliore les performances
d’accès des postes du réseau intérieur. Il y a essentiellement deux types de proxy : -
Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP) - Les
proxys transparents qui sont des intermédiaires pour tout type de protocole TCP. La
technologie SOCKS est de ce type.

Rempart :
Un rempart (Bastion Host) est un ordinateur accessible de l’extérieur, cote Internet,
et qui est donc vulnérable aux attaques. Il doit être plus particulièrement protégé.
Les remparts abritent les logiciels Proxy et les services.

DMZ :
5
Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau accessible à
partir du réseau extérieur et qui abrite les remparts. L’accès au réseau est contrôle
par des routeurs filtrant.

II. IPTABLES : THÉORIE ET IMPLÉMENTATION :

Dans le domaine de la sécurité informatique et du contrôle des réseaux, les pare-
feux (firewalls) jouent un rôle crucial pour garantir la protection des systèmes et des
données. Iptables est l'un des outils les plus puissants et les plus utilisés pour mettre
en œuvre des pare-feux sur les systèmes basés sur Linux. Cette technologie offre un
contrôle granulaire sur le trafic réseau entrant et sortant, permettant aux
administrateurs système de définir des règles de filtrage et de sécurité pour
renforcer la résilience de leurs réseaux.

1- Les concepts de tables, chaines et règles :

a-Les chaines et les règles :

Une chaine est composée d’une pile de règles. Chaque règle d’une chaine est
composée de deux parties : un critère et une politique. Le critère précise les cas
d’application. La politique elle, précise l’action accomplie. Exemple : la chaine INPUT
est composée des règles qui filtrent les paquets destinés aux processus locaux. Une
des règles peut avoir comme critère la provenance du paquet, par exemple, le
serveur DNS et comme politique l’acceptation du paquet. Si un paquet provient du
serveur DNS il est accepté, il sera donc transmis à l’application locale qui l’attend. Si
le critère ne s’applique pas au paquet, on examine la règle suivante de la chaine.
L’ordre des règles est donc primordial. Si aucune règle ne s’applique, on exécute la
politique associée à la chaine. Dans le cas de la chaine INPUT, cette politique
pourrait être par exemple de rejeter le paquet.

6
B) LES POLITIQUES DES RÈGLES DE FILTRAGE :
Les politiques natives :

Les politiques spécifient ce que l’on fait d’un paquet : - ACCEPT on laisse passer le
paquet. - DROP le paquet est abandonné. - QUEUE le paquet est transféré dans
l’espace utilisateur (si le noyau le permet). - RETURN la politique finale de la règle
s’applique sans exploiter les règles suivantes.

Les politiques rajoutées :

Iptables peut utiliser des modules qui offrent un certain nombre d’extensions
spécifiant notamment de nouvelles cibles. Voici les cibles rajoutées par les
extensions standards : - LOG le paquet est écrit dans le journal de bord (les logfiles) -
REJECT le paquet est abandonné comme DROP, mais un message d’erreur ICMP est
envoyé à la source du paquet.

C) LES TABLES :

Les chaines gérées par Netfilter sont en fait incluses dans des entités plus
vastes appelées « tables ». Chaque table correspond aux différentes
possibilités d’iptables : - La table filter filtre les paquets IP. Elle est
constituée des chaines INPUT, OUTPUT et FORWARD. - La table nat
effectue le NAT et de manière plus globale elle permet de rediriger des
paquets. Elle est constituée des chaines PREROUTING, OUTPUT et
POSTROUTING. - La table mangle peut modifier certains champs des
paquets IP, par exemple leur priorité. Elle est constituée des chaines
PREROUTING et OUTPUT.

7
D) LES DIFFÉRENTES CHAINES PRÉDÉFINIES INPUT :
les paquets destinés aux processus locaux passent par la chaine INPUT. OUTPUT : les
paquets réseaux issus des processus locaux passent par la chaine OUTPUT.
FORWARD : les paquets en transit provenant d’un réseau et destinés à un autre
réseau passent par la chaine FORWARD. PREROUTING : la chaine PREROUTING peut
modifier un paquet dès qu’il entre dans le système avant qu’il soit routé.
POSTROUTING : la chaine POSTROUTING peut modifier un paquet juste avant sa
sortie du système après être passé par le module de routage.

1. INPUT (Entrée) : Cette chaîne est responsable du filtrage du trafic entrant vers
la machine Linux elle-même. Cela signifie que toutes les connexions entrantes,
telles que les demandes de connexion à des services, les paquets ICMP, etc.,
sont traitées par cette chaîne. Vous pouvez configurer des règles pour
autoriser ou bloquer spécifiquement le trafic entrant en fonction de l'adresse
IP source, du port de destination, de l'état de la connexion, etc.

2. FORWARD (Transit) : Contrairement à INPUT, la chaîne FORWARD est utilisée

pour filtrer le trafic transitant par la machine Linux. Cela intervient
généralement lorsque la machine agit en tant que routeur ou passerelle. Elle
décide si les paquets doivent être redirigés vers une autre interface réseau ou
bloqués.

3. OUTPUT (Sortie) : La chaîne OUTPUT gère le filtrage du trafic sortant généré

par la machine Linux elle-même. Cela comprend les paquets envoyés par des
processus en cours d'exécution sur la machine vers des destinations externes.
Vous pouvez contrôler le trafic sortant en fonction de l'adresse IP de
destination, du port source, etc.

E) LES CHAINES UTILISATEUR :

Souvent, un ensemble de règles sont identiques d’une chaine à l’autre. Pour
simplifier la maintenance, il est possible de créer des chaines utilisateurs. Ces
chaines, dont le nom est à la discrétion de l’administrateur.

8
III. MISE EN PLACE D’UN FIREWALL LOGICIEL AVEC LA DISTRIBUTION IPCOP :

La mise en place d'un pare-feu logiciel avec la distribution IPCop est une étape
importante pour sécuriser un réseau. IPCop est une distribution Linux open-source
spécialement conçue pour créer des pare-feux et des passerelles réseau. Voici un
guide étape par étape pour vous aider à mettre en place un pare-feu logiciel avec
IPCop :

Prérequis :

 Un ordinateur avec au moins deux cartes réseau (une pour la connexion

Internet et une pour le réseau local).

 Une clé USB ou un CD/DVD bootable contenant l'image d'installation d'IPCop.

 Connaissance de base de la configuration réseau.

Étapes de la mise en place d'IPCop :

Étape 1 : Téléchargement d'IPCop

Étape 2 : Création d'un support d'installation bootable 2. Gravez l'image ISO

téléchargée sur un CD/DVD bootable ou créez une clé USB bootable à l'aide d'un
utilitaire tel que Rufus (Windows) ou dd (Linux).

Étape 3 : Installation d'IPCop 3. Insérez le support d'installation bootable dans

l'ordinateur sur lequel vous souhaitez installer IPCop, puis démarrez l'ordinateur à
partir du support.

4. Suivez les instructions à l'écran pour installer IPCop. Vous devrez configurer les
interfaces réseau pendant le processus d'installation. Une interface sera
connectée à Internet et l'autre à votre réseau local.

Étape 4 : Configuration initiale 5. Une fois l'installation terminée, retirez le support

d'installation et redémarrez l'ordinateur. Vous devrez accéder à IPCop via une
interface web à l'aide de l'adresse IP que vous avez configurée lors de l'installation .

6. Connectez-vous à l'interface web d'IPCop en utilisant les identifiants par

défaut (admin/passe).

9
 7. Suivez l'assistant de configuration initiale pour configurer les paramètres de
base, tels que le fuseau horaire, le mot de passe administrateur, etc.

Étape 5 : Configuration du pare-feu 8. Accédez à l'interface web d'IPCop en utilisant

l'adresse IP que vous avez configurée lors de l'installation.

9. Naviguez vers la section "Firewall" pour configurer les règles de pare-feu. Vous
pouvez définir des règles pour autoriser ou bloquer le trafic entrant et sortant
en fonction de vos besoins.

Étape 6 : Configuration des services réseau 10. Configurez les services réseau tels
que DHCP, DNS, et VPN selon vos besoins. Ces services peuvent être configurés via
l'interface web d'IPCop.

Étape 7 : Surveillance et maintenance 11. IPCop offre des fonctionnalités de

surveillance et de journalisation qui vous permettent de surveiller le trafic réseau et
de générer des rapports. Assurez-vous de surveiller régulièrement les journaux pour
détecter d'éventuelles anomalies.

Cela conclut la mise en place d'un pare-feu logiciel avec la distribution IPCop. Il est
essentiel de garder IPCop et ses règles de pare-feu à jour pour garantir la sécurité
continue de votre réseau.

2- POSSIBILITÉ DE MISE EN PLACE D’IPCOP :

IPCOP permet de fonctionner sous plusieurs configurations possibles :
Partage d’une connexion Internet :
IPCOP sert alors de passerelle entre Internet et le réseau interne. Partage
d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert de
passerelle et gère une DMZ (il faut donc 3 interfaces réseau).
Les serveurs dans la DMZ doivent être en ip fixes, il suffit ensuite de
configurer IPCOP pour qu’il route les demandes venant d’Internet vers les
serveurs adaptés selon les ports.
Partage d’une connexion Internet + DMZ + point d’accès wifi : IPCOP peut
gérer des clients wifi, ils sont séparés du réseau interne. Dans la philosophie
IPCOP, les zones sont schématisées par des couleurs :
10
 - La zone RED représente internet.
- La zone ORANGE représente la DMZ .
- La zone BLEU représente les clients wifi (qui sont dans un réseau séparé).
- La zone GREEN représente le réseau interne. Le schéma ci-dessous
représente la configuration par défaut du pare-feu de la passerelle, à savoir :
- Le réseau interne (le LAN) peut accéder à toutes les zones.
- La zone wifi peut accéder internet et à la DMZ.
- La zone DMZ pourra accéder à internet. - Aucun accès depuis Internet Pour
autoriser un accès à un serveur situé dans la DMZ (zone orange), il faudra le
spécifier au travers de l’interface web d’IPCOP.

11
3- LISTE DE SERVICES OFFERTS PAR IPCOP VOICI LA LISTE DES SERVICES
OFFERTS PAR IPCOP :
Voici la liste des services offerts par IPCOP :

- Interface web pour l'administration et la configuration d’IPCOP en français.

- Affichage de l'état du système et graphiques CPU/Mémoire/Disque/trafic sur

période journalière/semaine/mois/année. - Informations sur les connexions en
cours. - Serveur SSH pour accès distant sécurisé.

- Proxy HTTP/HTTPS. - Serveur DHCP.- - Cache DNS. - Renvoi de ports TCP/UDP/GRE.

- Support des DNS dynamiques.

- Système de détection d'intrusion (interne et externe).

- Support VPN pour relier des réseaux distants entre eux ou se connecter à distance
avec un poste.

- Accès aux logs par interface web : du système, de la connexion vers Internet, du
proxy, du firewall, de la détection des tentatives d'intrusion.

- Mise à jour d'IPCOP par l'interface web.

- Sauvegarde de la configuration du système sur disquette.

- Synchronisation sur serveur de temps, peut servir le temps aux machines internes.

- Arrêt/Redémarrage à distance.

- Support des modems RTC/RNIS.

- Support de la quasi-totalité des modems ADSL USB et PCI (Voir la liste du matériel
compatible dans la section documentation de www.IPCOP.org).

- Possibilité d'utiliser une DMZ avec gestion des accès. - Possibilité de sécuriser un
réseau sans fil.

12
CONFIGURATIONS RÉSEAUX POSSIBLES :
IPCOP peut fonctionner sous plusieurs configurations possibles :

‐> Partage d’une connexion Internet (Fonction NAT) : IPCOP sert alors de passerelle
entre Internet et le réseau interne

‐>Partage d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert
de passerelle et gère une DMZ. (il faut donc 3 interfaces réseau). Les serveurs dans la
DMZ doivent être en IP fixes, il suffit ensuite de configurer IPCOP pour qu’il route les
demandes venant d’Internet vers les serveurs adaptés selon les ports.

‐> Partage d’une connexion Internet + DMZ + Point d’accès WIFI: IPCOP peut gérer
des clients wifi, il sont séparés du réseau interne.

Dans la philosophie IPCOP, les zones sont schématisées par des couleurs :

‐ la zone RED représente internet.

‐ La zone ORANGE représente la DMZ.

‐ La zone BLEU représente les clients wifi (qui sont dans un réseau séparé).

‐ La zone GREEN représente le réseau interne.

‐ Enfin, la zone BLACK représente IPCOP lui‐même.

13
SERVICES OFFERTS PAR IPCOP :
Interface web pour l'administration et la configuration d'IPCOP en français (ports 81
et 445 sur l’interface verte) .

• affichage de l'état du système et graphique CPU | Mémoire | Disque | trafic sur

période journalière | semaine | mois | année.

• Informations sur les connexions en cours.

• Serveur SSH pour accès distant sécurisé.

• Proxy HTTP / HTTPS

. • Serveur DHCP.

• Cache DNS.

Lissage de trafic.

• Renvoi de ports TCP/UDP.

• Support des DNS dynamiques.

• système de détection d'intrusion (interne et externe).

• Support VPN pour relier des réseaux distants entre eux ou se connecter à distance
à un poste.

‐ Accès aux logs par interface web : du système, de la connexion vers Internet, du
proxy, du firewall, de la détection des tentatives d'intrusion.

‐ Mise à jour d'IPCOP par l'interface web.

‐ Sauvegarde de la configuration du système sur disquette.

‐ Arrêt/Redémarrage à distance.

‐ Support des modems RTC/RNIS.

14
III-ADRESSAGE IP :
1. Introduction :
Un système de communication doit pouvoir permettre à n'importe quel hôte de se
mettre en relation avec n'importe quel autre. Afin qu'il n'y ait pas d'ambiguïté
pour la reconnaissance des hôtes possibles, il est absolument nécessaire
d'admettre un principe général d'identification :
1. Le nom de la machine distante,
2. son adresse,
3. la route à suivre pour y parvenir.
Le nom dit « qui » est l'hôte distant, l'adresse nous dit « où » il se trouve et la
route « comment » on y parvient.
Les adresses IP (version 4) sont standardisées sous forme d'un nombre de 32
bits qui permet à la fois l'identification de chaque hôte et du réseau auquel il
appartient. Chaque adresse IP contient donc deux informations basiques, une
adresse de réseau et une adresse d'hôte. La combinaison des deux désigne de
manière unique une machine et une seule sur l'Internet.

2. Délivrance des adresses IPv4 :

On distingue deux types d'adresses IP. Les adresses privées que tout
administrateur de réseau peut s'attribuer librement pourvu qu'elle ne soient pas
routées sur l'Internet, et les adresses publiques, délivrées par une structure
mondiale qui en assure l'unicité.
C'est L'ICANN (Internet Corporation for Assigned Names and Numbers) qui
est chargé au niveau mondial de la gestion de l'espace d'adressage IP. Il définit
les procédures d'attribution et de résolution de conflits dans l'attribution des
adresses, mais délègue le détail de la gestion de ces ressources à des instances
régionales puis locales, dans chaque pays, appelées « Regional Internet
Registries » ou RIR.
Il y a actuellement trois « Regional Internet Registries » opérationnels :
• l'APNIC pour la région Asie-Pacifique
• l'ARIN pour l'Amérique
• le RIPE NCC pour l'Europe
• l'AfriNIC pour l'Afrique
• le LACNIC pour l'Amérique Latine
15
3. Anatomie d'une adresse IP :
À l'origine, plusieurs groupes d'adresses ont été définis dans le but d'optimiser
le cheminement (ou le routage) des paquets entre les différents réseaux. Ces
groupes ont été baptisés classes d’adresses IP. Ces classes correspondent à des
regroupements en réseaux de même taille. Les réseaux de la même classe ont le
même nombre d'hôtes maximum.
Une adresse IP est un nombre de 32 bits que l'on a coutume de représenter sous
forme de quatre entiers de huit bits, séparés par des points.
La partie réseau de l'adresse IP vient toujours en tête, la partie hôte est donc
toujours en queue. L'intérêt de cette représentation est immédiat quand on sait
que la partie réseau et donc la partie

16
hôte sont presque toujours codées sur un nombre entier d'octets. Ainsi, on a
principalement les trois formes suivantes :
• Classe A : Un octet réseau, trois octets d'hôtes.
• Classe B : Deux octets réseau, deux octets d'hôtes.
• Classe C : Trois octets réseau, un octet d'hôte.

3.1. Décomposition en classes :

Pour distinguer les classes A, B, C, D et E il faut examiner les bits de poids fort
de l'octet de poids fort. Ce premier octet désigne le numéro de réseau (NetID) et
les 3 autres correspondent à l'adresse de l'hôte (HostID).
• Si le premier bit est 0, l'adresse est de classe A. On dispose de 7 bits pour
identifier le réseau et de 24 bits pour identifier l'hôte. On a donc les réseaux
de 1 à 127 et 224 hôtes possibles, c'est à dire 16 777 216 machines
différentes (de 0 à 16 777 215).
Remarque : l'adresse réseau 0.0.0.0 n’existe pas et le NetID « 127 » est
réservée pour les communications en boucle locale (loopback), ce qui réduit
de deux unités le nombre des machines nommables. Il reste donc seulement
16 777 214 machines adressables dans une classe A !
• Si les deux premiers bits sont 10, l'adresse est de classe B. Il reste 14 bits
pour identifier le réseau et 16 bits pour identifier la machine. Ce qui fait
214= 16 384 réseaux (128.0 à 191.255) et 65 534 (65 536 - 2) machines.
• Si les trois premiers bits sont 110, l'adresse est de classe C. Il reste 21 bits
pour identifier le réseau et 8 bits pour identifier la machine. Ce qui fait
221=2 097 152 réseaux (de 192.0.0 à 223.255.255) et 254 (256 - 2)
machines.

17
3.2. Adresses particulières :
Il existe un certain nombre d'adresses IP réservées :
• hostid = 0 désigne le réseau lui même
L'hostid égal à 0 ne sera jamais affecté à un hôte mais il désigne le réseau
lui même.
Exemple : 192.145.56.0 est un réseau de classe C dont l'hostid est à 0 donc
cette adresse désigne le réseau lui même.
• 0.0.0.0 désigne l'hôte lui même
Lorsque tous les bits d'une adresse IP sont à 0, cela signifie "cet hôte-ci sur
ce réseau". Cette adresse spéciale est utilisée par un hôte afin d'obtenir une
adresse IP de manière dynamique dans le cas du protocole BOOTP.
• Tous les bits de l'hostid = 1 indique une diffusion dirigée
Lorsque tous les bits de l'hostid sont égaux à 1, on est en présence non pas
d'une adresse d'hôte mais d'une adresse de diffusion dirigée (direct
broadcast) c'est à dire un message destiné à tous les hôtes d'un réseau sans
exception.
Exemple : 192.145.56.255 est une adresse de classe C dont la partie
réservée à l'hostid est égale à 255 donc pour laquelle tous les bits sont à
1, on est donc en présence d'un message destiné à l'ensemble des hôtes
du réseau 192.145.56.0.
18
• 255.255.255.255 = diffusion limitée
Une diffusion limitée (limited broadcast) est un message qui est envoyé à
tous les hôtes du réseau dont fait partie l'expéditeur. La diffusion limitée est
représentée par l'adresse spéciale 255.255.255.255.
• Exemple : L'adresse de destination 255.255.255.255 indique que le message
doit être envoyé à tous les hôtes du réseau dont fait partie l'expéditeur.

19
 • netid = 0 indique que l'hôte fait partie du réseau
Lorsque que la partie netid est égale à 0 et que la partie hostid est non
nulle, cela signifie qu'on est en présence d'un message issu du même
réseau.
Exemple : Si un hôte d'adresse 192.14.25.56 reçoit un paquet à
destination de 0.0.0.56, il considérera que ce paquet lui est bien destiné.
• 127.x.x.x = adresse de bouclage
Le netid 127.0.0.0 qui aurait du normalement faire partie de la classe A
est en fait utilisé pour désigner l'adresse de bouclage (loopback), peut
importe le hostid utilisé. Un paquet envoyé à cette adresse ne passe pas
par les interfaces réseau mais est déposé directement sur le tampon de
réception de la machine elle même. Cette adresse de bouclage permet de
vérifier la configuration de la couche logicielle TCP/IP d'une machine.
Exemple : 127.0.0.1 désigne l'adresse de bouclage sur la machine elle même.
Quelques exemples d'adresses avec une signification particulière :

• 0.0.0.0 Hôte inconnu, sur ce réseau

• 0.0.0.1 L'hôte 1 de ce réseau
• 255.255.255.255 Tous les hôtes
• 138.195.52.1 L'hôte 52.1 du réseau
138.195.0.0
• 138.195.0.0 Cet hôte sur le 138.195.0.0
• 193.104.1.255 Tous les hôtes du
193.104.1.0
• 127.0.0.1 Cet hôte (boucle locale).
Au sein de chacune des classes, il
existe un sous-espace d'adresses
appelées adresses RFC1918. Ces
adresses ne sont pas routées sur
l'Internet, on les appelle
également adresses IP privées.

20
3.3. Sous-réseaux :
Pour compenser les problèmes de distribution de l'espace d'adressage IP, la
première solution utilisée a consisté à découper une classe d'adresses IP A, B
ou C en sous-réseaux. Cette technique appelée « subnetting » a été formalisée
en 1984.
Le « subnet » utilise les bits de poids fort de la partie hôte de l'adresse IP, pour
désigner un réseau. Le nombre de bits employés est laissé à l'initiative de
l'administrateur.
Pour illustrer le fonctionnement du découpage en sous-réseaux, nous allons
utiliser un exemple pratique. On reprend l'exemple de la classe C : 192.168.1.0
dont le masque de sous-réseau par défaut est 255.255.255.0. Sans découpage, le
nombre d'hôtes maximum de ce réseau est de 254.
Considérant qu'un domaine de diffusion unique pour 254 hôtes est trop
important, on choisit de diviser l'espace d'adressage de cette adresse de classe C.
On réserve 3 bits supplémentaires du 4ème octet en complétant le masque de

21
sous-réseau. De cette façon on augmente la partie réseau de l'adresse IP et on
diminue la partie hôte.
On peut remarquer que le nombre maximum d'adresses d'hôtes disponibles
correspond à l'espace d'adressage du sous-réseau moins deux. C'est parce que la
première adresse désigne le réseau et que la dernière est l'adresse de diffusion
(broadcast) vers tous les hôtes du sous-réseau.
3.4. CIDR :
En 1992 la moitié des classes B étaient allouées, et si le rythme avait continué, au
début de 1994 il n'y aurait plus eu de classe B disponible et l'Internet aurait bien
pu mourir par asphyxie ! De plus la croissance du nombre de réseaux se
traduisait par un usage « aux limites » des routeurs.
Deux considérations qui ont conduit l'IETF1 a mettre en place le CIDR2 basé sur
une constatation de simple bon sens :
• S'il est courant de rencontrer une organisation ayant plus de 254 hôtes, il
est moins courant d'en rencontrer une de plus de quelques milliers.
Les adresses allouées sont donc des classes C contiguës, attribuées par
région ou par continent. En générale, 8 à 16 classes C mises bout à bout
suffisent pour une entreprise.
Ainsi par exemple il est courant d'entendre les administrateurs de réseaux
parler d'un « slash 22 » (/22) pour désigner un bloc de quatre classes C
consécutives...
• Il est plus facile de prévoir une table de routage pour un bloc d'adresses
contiguës qu'adresse par adresse, en plus cela allège les tables.

4. Le routage :
Deux hôtes ne se situant pas dans le même sous-réseau ne peuvent pas
communiquer directement. Il faut une passerelle entre les deux pour transmettre
à l’un, les données au nom de l’autre.
Dans un réseau comprenant plusieurs routeurs, la passerelle par défaut3 est
l'interface du routeur vers laquelle sont dirigés tous les paquets dont on ne
connaît pas la route à emprunter pour atteindre le réseau dans lequel se trouve
le destinataire. Chaque routeur a une table de routage constituée d'une liste des
différentes "routes" (chemins) vers d'autres sous-réseaux.
Soient 2 ordinateurs : Azur-PC et Safran-PC dont les cartes réseau sont
configurées ainsi :
Nom Adresse IP Masque de sous-réseau
22
Azur-PC 192.0.1.5 255.255.255.0
Safran-PC 72.40.2.1 255.0.0.0

Azur-PC a recours à un processus nommé ANDing, pour déterminer si Safran-

PC, avec qui il veut communiquer, est dans le même sous-réseau que lui. Il réalise
que ce n'est pas le cas, il va donc transférer son message à la passerelle en lui
indiquant l'adresse du destinataire.
Supposons que ce soit un routeur qui offre ce service. Il a 2 interfaces. Pour que
la communication puisse avoir lieu, une de ses interfaces doit être dans le même
sous-réseau que Azur-PC et l'autre dans le même que Safran-PC. Voici une
configuration possible pour ce routeur :
Interface Adresse IP Masque de sous-réseau
A 192.0.1.6 255.255.255.0
B 72.40.1.1 255.0.0.0

23
Avec une telle configuration, Azur-PC et Safran-PC peuvent à présent
communiquer. Quand Azur- PC voudra parler à Safran-PC, il vérifiera grâce au
ANDing si le destinataire est dans le même sous- réseau. Si oui, il enverra son
message directement à son adresse IP, sinon, il l'envoie à la passerelle en lui
demandant de transmettre à bon port.

Déterminer si l'adresse IP du destinataire est dans le même sous-réseau que

celle de l'émetteur est assez simple. La carte réseau de l'émetteur connaît son
adresse IP, son masque de sous-réseau et l'adresse IP du destinataire. Elle fait
un ET logique (AND) entre l'adresse IP de l'émetteur et son masque de sous-
réseau pour trouver son network ID. Ensuite, elle fait un ET logique entre
l'adresse IP du destinataire et le masque de sous-réseau de l'émetteur et
compare le résultat avec le network ID obtenu précédemment. Si les deux
valeurs sont identiques, alors l'émetteur et le destinataire sont dans le même
sous-réseau. Sinon, ils sont dans des sous-réseaux différents. Adresse ip
concernant le routage demande pour acceder a cette configuration metalique
pour donner une bonne config aux routage neccessaire pour non d’adresse et
masque donner 255.255.255.0/192.168.1.14
Nom Azur-PC
Adresse IP 192.0.1.5 11000000.00000000.00000001.00000101
masque 255.255.255.0 11111111.11111111.11111111.00000000
AND 11000000.00000000.00000001.00000000
Adresse réseau 192.1.0.0

24
Nom Safran-PC
Adresse IP 72.40.2.1 10010000.00101000.00000010.00000001
masque 255.0.0.0 11111111.00000000.00000000.00000000
AND 10010000.00000000.00000000.00000000
Adresse réseau 72.0.0.0
Nous n'obtenons pas les mêmes valeurs. Par conséquent, ces deux adresses IP
(142.20.1.15 et 92.40.1.14) ne sont pas dans le même sous-réseau.

25
4.1. Les réseaux privés :
Une adresse Internet doit être unique dans un inter réseau. Cette considération,
qui ne posait pas trop de problèmes pour des réseaux d'entreprise coupés du reste
du monde, devient très restrictive à l'échelle de l'Internet où chaque adresse IP
doit être unique à l'échelle planétaire.
Pour permettre aux entreprises désirant construire un réseau privé, il a donc été
réservé dans chaque classe A, B et C des adresses de réseaux qui ne sont jamais
attribuées sur l'Internet. Tout paquet de données contenant une adresse
appartenant à ces réseaux doit être éliminé par le premier routeur établissant une
connexion avec l'Internet.
Ces réseaux privés sont:
Classe Réseaux privés Identification
A 10.0.0.0 Pour les réseaux privés
127.0.0.0 Pour l'interface de boucle locale "localhost"
B 172.16.0.0 à 172.31.0.0 Pour les réseaux privés
C 192.168.0.0 à 192.168.255.0 Pour les réseaux privés

Les classes :
Les classes d'adresses IP sont une méthode de classification des
adresses IP en fonction de leur plage de numéros de réseau. Elles ont
été utilisées dans le passé pour définir les différentes tailles de réseaux
en fonction du nombre d'adresses IP disponibles. Cependant, avec
l'avènement du CIDR (Classless Inter-Domain Routing), l'utilisation
stricte des classes d'adresses IP est devenue moins courante.
Néanmoins, il est utile de comprendre les concepts liés aux classes IP
pour appréhender les adresses IP et leur structure.

Les classes d'adresses IP sont divisées en cinq classes principales : A, B,

C, D et E. Chaque classe a une plage de numéros de réseau spécifique
et une structure d'octets différente. Voici un aperçu des différentes
classes :

1. Classe A :
- Plage de numéros de réseau : 1.0.0.0 à 126.0.0.0

26
- Premier octet réservé pour le numéro de réseau, les trois autres octets
pour l'adresse de l'hôte
- Offre un grand nombre d'adresses IP disponibles (environ 16,8 millions)
- Les adresses IP de classe A sont généralement utilisées pour les grandes
organisations ou les fournisseurs de services Internet.

2. Classe B :
- Plage de numéros de réseau : 128.0.0.0 à 191.255.0.0
- Deux premiers octets réservés pour le numéro de réseau, les deux autres
octets pour l'adresse de l'hôte
- Offre un nombre modéré d'adresses IP disponibles (environ 65 536)
- Les adresses IP de classe B sont souvent utilisées pour les réseaux de
taille moyenne à grande.

3. Classe C :
- Plage de numéros de réseau : 192.0.0.0 à 223.255.255.0
- Trois premiers octets réservés pour le numéro de réseau, le dernier octet
pour l'adresse de l'hôte
- Offre un nombre limité d'adresses IP disponibles (environ 254)
- Les adresses IP de classe C sont couramment utilisées pour les petits
réseaux locaux.

4. Classe D :
- Plage de numéros de réseau : 224.0.0.0 à 239.255.255.255
- Réservée pour un usage multicast (transmission de données à un groupe
d'adresses IP)
- Les adresses IP de classe D sont utilisées pour la diffusion de contenu à
plusieurs destinataires.

27
 IV-LE FORTIGATE :

Fortinet est une entreprise américaine qui construit du matériel de

télécommunications, elle est spécialisée dans les solutions de sécurité
pour les réseaux et les ordinateurs.

Figure 5 : les équipements de fortinet

28
 Elle a construit le FortiGate qui est une gamme de boitiers de sécurité
comprenant les fonctionnalités pare-feu, Antivirus, système de prévention
d'intrusion , VPN ,filtrage Web, et d'autres fonctionnalités, compression de
données, routage, policy routing… Les récents modèles comportent des
ports accélérés par ASIC (Application-Specific Integrated Circuit) qui
permettent d'optimiser le trafic au niveau des ports. Les boitiers de cette
gamme sont isofonctionnels s'adaptant à chaque besoin exemple on à
FG110C, FG310B, FG620B pour les moyennes et grosses entreprises.

Figure 6 : exemple du boitier FortiGate

Pour une meilleure sécurité des ordinateurs et du réseau informatique le

FortiGate a des fonctionnalités puissantes et bien précise qui le
caractérisent dont les suivant :

 Protection avancée contre les menaces

 Analyse de la réputation clients
 Visibilité contextuelle
 Accès sécurisé pour les invités
 Pare-feu d’entreprise
29
 Inspection du trafic SSL- chiffré

30
  Protection anti-virus
 Protection anti-spam
 Détection et prévention de l’intrusion
 Prévention des fuites de données
 Filtrage web
 Contrôle d’accès aux applications
 Contrôle de l’accès réseaux
 Journaux et rapports
 Contrôleur Wi-Fi intégré
 Haute disponibilité
 Routeur et commutateurs intégrés
 Mise à jour de sécurité Fortiguard
 Prêt pour IPv6

Avec ces fonctionnalités nous constatons que le FOrtiGate permet de bien sécurisé les
ordinateurs et les réseaux contre toutes attaques et menace provenant des virus ou pirates qui ont
comme but de s'emparer d’informations confidentielles et sensibles comme :

- des fichiers liés aux transactions et aux contrats

- des fichiers contenant de données sensibles
- des numéros de cartes de crédit
- des informations personnelles ….

1. Cyberoam :

Le pare-feu matériel de Cyberoam fournit une inspection dynamique et

approfondie des paquets pour une sécurité basée sur le réseau de
l'application et l'identité de l'utilisateur. Ainsi, le pare-feu Cyberoam
protège les entreprises des attaques DoS, DDoS et des attaques par
usurpation d'adresse IP.

31
 Figure 7 : exemplaire du pare-feu Cyberoam

Le cyberoam est Un Firewall qui permet de bloquer les tentatives

d’intrusion depuis Internet vers les réseaux, En plus, il contrôle
également le trafic sortant des réseaux en:

 Analysant les sites Internet consultés (Facebook, …)

 Analyse anti-virus de vos téléchargements
 Contrôle des applications (Torrent, vidéos, jeux, …)

En plus de ces actions du module Security Value, Cyberoam contient les

fonctionnalités suivantes:

 Gestion de plusieurs connexions Internet

 Analyse du trafic en temps réel
 Identification des utilisateurs

32
 Figure 8 : exemple d’installation

Le cyberoam a aussi plusieurs fonctionnalités qui permettent la sécurité

des ordinateurs et des réseaux contre toutes les menaces.

CONCLUSION :
D’après ces deux exemples on remarque que ces deux pare-feux on de bonne
fonctionnalités qui permettent la sécurité informatiques et celle des réseaux.

Ces deux pare –feux se retrouvent à plusieurs niveau ce qui met en

évidence leur grande ressemblance né en moins le fortigate se distinct par
la multitude de fonctionnalités et le niveau de sécurité qu’il assure, tout en

33
ayant le prix le plus abordable sur le marché.

V-DÉMARRAGE DE FORTIGATE :

34
 Figure 12 : statut de FortiGate

On à démarrer le pare-feu sur le réseau local de l’entreprise, La figure ci-dessus

représente le statut du FortiGate a son exécution ainsi plusieurs taches pour la
configuration.

1. Changement de mode :

Le changement de mode sert de choisir le fonctionnement du pare-feu FortiGate

en mode switch (commutateur réseaux) ou en mode interface, nous avant choisie
le mode interface pour qu’on puisse commencer la configuration des ports.

La démarche à suivre est la suivante :

Réseau → interface → clique droite → changer mode → Mode switch

35
 → Mode interface

Figure 13 : changement de mode

36
 Figure 14 : choix du mode

Apres la réinitialisation du FortiGate et le changement de mode en mode interface

on doit avoir un système vierge, pour voir ceci il faut utiliser la commande show
system interface sur le logiciel putty pour en être sur que tout les ports sont non
configuré.

La figure suivante représente tout cela.

37
 Figure 15 : voir les ports sur le logiciel putty

2. La configuration des ports :

Il existe deux méthodes pour la configuration des ports:

- Le mode CLI (commande line interface)

- Le mode graphique

Pour configurer les ports en mode CLI il faut utiliser les commandes suivantes
sur le logiciel putty, configuration du port 1 :

# config system interface # edit

port 1
# set alias Certe
# set ip 172.16.2.1 255.255.0.0
# set allowaccess https ping ssh # end.

38
 Figure 16 : configuration des ports avec putty

Remarque : il faut configurer le premier port avec le mode CLI La

configuration du port 2 en mode graphique :

Figure 17 : configuration de port en mode graphique

39
Pour configurer le deuxième port en mode graphique on a suivit une démarche
qui est la suivante :

Réseau → interface → clique droite sur port → configurer

L’interface de ligne de commande (CLI) offre les mêmes fonctionnalités de

configuration que l’interface graphique. Cependant, les deux modes atteignent les
mêmes résultats de la configuration des ports.

On aussi crée un port WAN qui nous permet d’accéder à l’internet avec presque la
même configuration.

Figure 18 : configuration d’un port WAN

40
Pour la création de ce port WAN on a utilisé les étapes suivantes :

Réseaux → interface → clique droite sur le port a configuré → configuré.

Ce port on lui a donné un nom de WAN 1 et une alias nommé

internet et on lui a attribué une adresse publique 41.229.x.x
avec un mask de 255.255.255.0

3. Le routage :

3.1. Définition : Le routage est le mécanisme par lequel des

chemins sont sélectionnés dans un réseau pour acheminer les données
d'un expéditeur jusqu'à un ou plusieurs destinataires. Ce dernier est
une tâche exécutée dans de nombreux réseaux, tels que le réseau
téléphonique, les réseaux de données électroniques comme l'Internet,
et les réseaux de transports. Sa performance est importante dans les
réseaux décentralisés, c'est-à-dire où l'information n'est pas distribuée
par une seule source, mais échangée entre des agents indépendants.

3.2. Routage statique :

Dans notre cas on a ajouté une route statique d’où on a suivit les étapes suivantes :

Routeur → statique → route statique → configurer.

41
 Figure 19 : configuration d’une route statique

Pour ce routage statique on lui a attribué une adresse destination, une interface, une
passerelle et une priorité.

4. Plage horaire :
4.1. Définition :

La plage horaire est la période de la journée pendant laquelle l’agent doit être
présent sur le lieu de travail à moins d’une dispense dûment accordée par le
chef d’administration ou son délégué.

4.2. Création de plage horaire :

42
Cette plage horaire qu’on a crée dépond d’une certaine démarche qui est la suivante
:

Objet de pare-feu → plage horaire → plage horaire → modifier.

Figure 20 : création de plage horaire

Dans notre cas on a nommé cette plage horaire plage certe

administration et on a autorisé une règle de connexion pour tous
les agents de lundi au vendredi et qui débute de 8h00 et se
termine à 16h00.

Remarque : si l’heure de fin précède l’heure de début, la plage horaire s’arrête le

jour suivant et si l’heure de début est égale à l’heure de fin la plage horaire dure
24 heures.

43
 5. Profil de sécurité :

La fonction des pare-feu permet de mettre en place des règles de filtrage en toute
simplicité pour n'accepter que les flux autorisés et pour assurer une bonne sécurité
du fonctionnement des systèmes dans une société et avoir un contrôle sur tous les
agents, il faut les obliger a respecté quelque procédure afin d’obtenir un meilleur
rendement qui seras bénéfique pour la société.

5.1. Filtrage web :

Le filtrage d'internet est un ensemble de techniques visant à limiter l'accès à certains
sites accessibles sur le réseau Internet.

44
 Figure 21 : le profil du filtrage web

Pour avoir le contrôle du filtrage web il faut suivre la démarche suivante :

Profile de sécurité → filtrage web → profile → modifier

Dans notre cas on a choisie de filtré quelque page web en nommons notre
filtrage filtrage web certe et en cochant le mode d’inspection DNS.

On a choisie de filtré les sites web de catégorie adulte/mature, la violation de la

sécurité et on a bloqué manuellement de quelques sites communication comme le
www.facebook.com …

45
 Figure 22 : le filtrage choisie

5.2. contrôle applicatif :

UTM : Unified threat management en français : gestion unifiée des menaces,

utilisées pour décrire des pare-feux réseau qui possèdent de nombreuses
fonctionnalités supplémentaires qui ne sont pas disponibles dans les pare-feux
traditionnels.

Le contrôle applicatif permet de filtrer directement les applications afin de

maitriser avec une très forte granularité une politique de sécurité en tenant compte
des applications qu’on

46
souhaite autoriser ou interdire pour une surveillance d’applications plus
efficace.

Figure 23 : blocage de l’application skype

Cette fonction permet de bloquer les applications qui

sont
utilisables de nos jours dans quelques sociétés et qui empêche les agents de ne plus faire
leur travaille correctement, alors dans l’exemple ci-dessus on a choisie de bloquer
l’application skype et pour cela on a choisie de suivre la démarche suivante :

Profile de sécurité → contrôle applicatif → serveur applicatif → modifier →

recherche → skype → bloquer .

5.3. Intrusion système :

47
Il existe deux types d’intrusion système :

 IDS : (Intrusion Detection System) c’est un système de

détection d’intrusion qui répare des activités anormales ou
suspectes et permettant ainsi d'avoir une action de
prévention sur les risques d'intrusion, il existe deux grandes
familles distinctes d’IDS :
➢ Les N-IDS (Network Based Intrusion Detection
System), ils assurent la sécurité au niveau du réseau.
➢ Les H-IDS (Host Based Intrusion Detection System), ils
assurent la sécurité au niveau des hôtes.

 IPS : (Intrusion Prevention System) c’est un système de

prévention d’intrusion qui est spécialiste en sécurité des
système d’information permettant de prendre des mesures
afin de diminuer les impacts d'une attaque, il bloque les ports
automatiquement a chaque fois qu’il détecte un balayage
automatisé.

De nos jours les statistiques présentent que l’IPS est plus meilleure et utilisables
que l’IDS.

La principale différence entre un IDS et un IPS se caractérise sur le

positionnement en coupure sur le réseau de l’IPS et non plus seulement en écoute
sur le réseau pour l’IDS aussi que, l’IPS a comme avantage la possibilité de
bloquer immédiatement les intrusions et quelque soit le type de protocole de
transport utilisé, ce qui induit que l’IPS est constitué en natif d’une technique de
filtrage de paquets et de moyens de blocages.

48
CONCLUSION :

De nos jours, dans toutes les entreprises, l'informatique est devenue un

outil incontournable de gestion, d'organisation, de production et de
communication, d’où le réseau de l'entreprise met en œuvre des données
sensibles qui sont stocké et partagé dans le réseau interne. Et pour cela, on
a besoin de protéger le réseau de l'entreprise et de se prémunir contre tout
49
type de risques pouvant dégrader ses performances.

Pendant notre stage de projet fin d’étude effectué à la société technopole,

on a travaillé sur le pare-feu FOrtiGate pour assurer la protection des
réseaux interne et externe qui est nécessaire. Ce dernier est une boitiers
de hot gamme de la sécurité UTM qui a comme fonctionnalités :
pare-
feu, Antivirus, filtrage Web, Antispam, système de prévention
d'intrusion (IPS), VPN ,et d'autres fonctionnalités: routage,
policy routing, virtualisation, compression de données...

Mais avec tout les outils qui sert a la protection et la sécurité de réseau
informatique il y’a toujours quelque failles pour les pirates qui menace
les réseaux de tous les entreprises.

50
51
52
53
54
55