Notions de base sur les réseaux

Avant-propos
 Avec le développement de l'Internet, les attaques de réseaux ne cessent d'apparaître et la sécurité des réseaux devient d'autant plus
importante. L'application des technologies de sécurité à la communication de données est une extension des technologies de
communication de données. En effet, avant d'apprendre les technologies de sécurité, connaître les concepts de base des réseaux, tels
que les principes fondamentaux de la communication réseau, l'infrastructure réseau et les protocoles réseau courants, peut vous
aider à mieux comprendre les principes de fonctionnement et les scénarios d'application des différentes technologies de sécurité.
 Ce chapitre décrit l'architecture typique d'un réseau d'entreprise, les dispositifs de réseau classiques et leurs principes de
fonctionnement, ainsi que les modes de configuration du pare-feu basés sur l'interface CLI et l'interface graphique.

2 Huawei Confidential
 Objectifs
 À la fin de ce cours, vous serez capable de :
 Comprendre le processus de définition et de transmission des données.
 Décrire les principes de fonctionnement de la pile de protocoles TCP/IP.
 Décrire les principes de fonctionnement des protocoles communs.
 Décrire les dispositifs de réseau classiques et leurs principes de fonctionnement.

3 Huawei Confidential
 Table des matières

1. Modèle de référence du réseau

■ Modèle de référence OSI et modèle de référence TCP/IP

▫ Couche application

▫ Couche transport

▫ Couche réseau

▫ Couche liaison de données

2. Dispositifs de réseau classiques

4 Huawei Confidential
Application et données
 Les applications sont développées pour répondre aux diverses exigences des utilisateurs, comme l'accès aux pages Web, les jeux en ligne et la lecture de vidéos en ligne. Des informations sont
générées en même temps que les applications, qui sont présentées sous différents modes, tels que des textes, des images et des vidéos.
 Pour les ingénieurs réseau, les applications peuvent générer des données. Les données sont le support de toutes sortes d'informations et le symbole physique ou la combinaison de divers
symboles physiques enregistrant la nature, l'état et les relations des objets. Les données peuvent être des symboles, des textes, des chiffres, des voix, des images et des vidéos.
 Les données générées par la plupart des applications doivent être transmises entre les dispositifs. Les ingénieurs réseau doivent accorder plus d'attention au processus de transmission de
données de bout en bout.

5 Huawei Confidential
Modèle de référence OSI
 Le modèle de référence d'interconnexion de systèmes ouverts (OSI) a été proposé par l'Organisation internationale de normalisation (ISO) en 1984 pour l'interconnexion
des réseaux. Le modèle de référence OSI a une architecture à sept couches.

Couche Fonction

Couche application Fournit des interfaces réseau pour les applications.

Traduit les formats de données afin que les données de la couche application d'un système puissent être identifiées et comprises par la couche d'application d'un autre
Couche de présentation
système.

Couche de session Établit, gère et termine les sessions entre les parties communicantes.

Couche transport Établit, maintient et annule un processus de transmission de données de bout en bout. Contrôle les vitesses de transmission et ajuste les séquences de données.

Couche réseau Définit les adresses logiques et transfère les données des sources aux destinations.

Couche liaison de données Encapsule les paquets dans des trames, transmet les trames en mode point à point ou point à multipoint, et met en œuvre la détection d'erreurs.

Couche physique Transmet des flux binaires sur des supports de transmission et définit les spécifications électriques et physiques.

6 Huawei Confidential
Modèle de référence TCP/IP
 Le modèle de référence OSI est complexe, et les protocoles TCP et IP sont largement utilisés dans l'industrie. Par conséquent, le modèle de
référence TCP/IP est devenu le modèle de référence actuel de l'Internet.

Couche application

Couche application Couche de présentation Couche application

Couche de session

Couche transport Couche transport

Couche hôte à hôte
Couche réseau
Couche réseau
Couche Internet
Couche liaison de données
Couche liaison de données
Couche d'interface réseau Couche physique
Couche physique

Modèle standard TCP/IP Modèle de référence OSI Modèle équivalent TCP/IP

7 Huawei Confidential
Protocoles communs de la pile de protocoles TCP/IP
 La pile de protocoles TCP/IP définit une série de protocoles standard.

Telnet FTP TFTP SNMP

Couche application
HTTP SMTP DNS DHCP
Couche transport TCP UDP
ICMP IGMP
Couche réseau
IP
PPPoE
Couche liaison de données
Ethernet PPP
Couche physique ...

8 Huawei Confidential
 Table des matières

1. Modèle de référence du réseau

▫ Modèle de référence OSI et modèle de référence TCP/IP
■ Couche application

▫ Couche transport

▫ Couche réseau

▫ Couche liaison de données

2. Dispositifs de réseau classiques

10 Huawei Confidential
Couche application
 La couche application fournit des interfaces pour les logiciels d'application afin que les applications puissent utiliser les services du réseau. Sur la
base d'un protocole de la couche transport, les applications définissent le numéro de port utilisé au niveau de la couche transport.

Couche application Protocoles typiques de la couche application

(données)  HTTP : le protocole HTTP qui fournit des services de navigation sur le web.
 Telnet : un protocole de connexion à distance, qui fournit des services de gestion à
Couche transport distance.
 FTP : le protocole de transfert de fichiers, qui fournit des services de partage de
Couche réseau ressources de fichiers sur Internet.
 SMTP : le protocole de transfert de courrier simple, qui fournit des services de courrier
Couche liaison de données électronique sur Internet.
 TFTP : le protocole trivial de transfert de fichiers, qui fournit des services simples de
Couche physique transfert de fichiers.

11 Huawei Confidential
FTP
 Le protocole de transfert de fichiers (FTP) permet de transférer des fichiers d'un hôte à un autre pour mettre en œuvre le téléchargement et l'envoi de fichiers. Ce
protocole adopte la structure client/serveur (C/S). Lorsque FTP est utilisé pour transmettre des données, la connexion de contrôle et la connexion de données sont
établies entre le serveur et le client.
 La connexion FTP peut être configurée en mode proactif ou passif. La différence entre les deux modes réside dans le fait que la connexion de données est initiée par le
serveur ou le client. Par défaut, le mode proactif est utilisé. Les utilisateurs peuvent passer en mode passif par le biais de commandes.

Connexion de contrôle Connexion de contrôle

Port temporaire Port 21 Port temporaire Port 21
Connexion de données Connexion de données
Port temporaire Port 20 Port temporaire Port temporaire

Client FTP Serveur FTP Client FTP Serveur FTP

Mode proactif Mode passif

12 Huawei Confidential
SFTP
 Le protocole de transfert de fichiers sécurisés (SFTP) transmet les fichiers en toute sécurité sur la base d'un Secure Shell (SSH).
 FTP transmet les données en clair, ce qui n'est pas sécurisé. Le SFTP crypte les informations d'authentification et les données à transmettre, avec
une sécurité supérieure à celle du FTP.
 SFTP est un protocole à canal unique et son numéro du port de destination par défaut est 22. Le client et le serveur sont connectés de manière
sécurisée en utilisant SSH pour transférer les fichiers. FTP est un protocole à double canal, comprenant le canal de contrôle et le canal de données.

Client SFTP Serveur SFTP

Chiffré Chiffré
Internet

Plus de
sécurité

14 Huawei Confidential
Telnet
 Telnet est un protocole standard qui fournit des services de connexion à distance sur un réseau.
 Il permet aux utilisateurs de faire fonctionner des appareils distants à partir de PC locaux.
 Les utilisateurs se connectent à un serveur Telnet par le biais d'un programme client Telnet. Les commandes saisies sur le client Telnet sont
exécutées sur le serveur Telnet, comme si les commandes étaient saisies sur la console du serveur.

Connexion Telnet Pare-feu Serveur

Internet
Commutateur Routeur
Client

Point d'accès

Serveur Telnet

15 Huawei Confidential
STelnet
 Secure Telnet (STelnet) est un service Telnet sécurisé permettant aux utilisateurs de se connecter à distance et en toute sécurité à des appareils. Grâce à STelnet,
toutes les données échangées sont cryptées, ce qui permet de mettre en place des sessions sécurisées. Telnet transmet les données en clair, ce qui n'est pas sûr. La
sécurité du réseau peut être considérablement améliorée grâce à STelnet.
 STelnet est implémenté sur la base de SSH et le numéro du port de destination est 22 par défaut. Les négociations entre un serveur STelnet et un client STelnet
comprennent les phases suivantes :
 Négociation de versions
 Négociation d'algorithme
 Échange de clés
Connexion STelnet Pare-feu Serveur
 Authentification utilisateur
Chiffré Chiffré
 Interaction avec la session Internet
Commutateur Routeur
Client

Point d'accès

Serveur STelnet

16 Huawei Confidential
HTTP
 Le protocole HTTP est l'un des protocoles de réseau les plus utilisés sur l'internet. HTTP a été conçu à l'origine pour fournir une méthode de
publication et de réception de pages en langage de balisage hypertexte (HTML).

Internet

Client d'HTTP Serveur HTTP

Visitez www.huawei.com.

Les fichiers HTML de la page sont renvoyés.

17 Huawei Confidential
HTTPS
 Protocole HTTP sécurisé (HTTPS) : fournit des canaux HTTP sécurisés.
 Le protocole de sécurité de la couche transport (TLS) est ajouté à HTTPS sur la base du protocole HTTP pour permettre l'authentification d'identité, le cryptage de
données et la vérification de l'intégrité des transmissions de données. Le numéro du port de destination de HTTPS est 443 et le numéro de port de destination de HTTP
est 80 par défaut. Actuellement, la plupart des sites web utilisent le protocole HTTPS pour assurer une transmission sécurisée des données.

Communication en texte
Communication de texte en
chiffré
clair Client d'HTTPS Serveur HTTPS
Client d'HTTP Serveur HTTP

HTTP
HTTP  Authentification d'identité
TLS  Cryptage de données
TCP  Vérification d'intégrité
TCP
IP
IP

18 Huawei Confidential
DNS
 Pour visiter un site web, les utilisateurs doivent saisir la chaîne de caractères de l'adresse du site. Toutefois, un ordinateur doit connaître l'adresse IP correspondant au
nom de domaine du site web pour y accéder. Dans ce cas, un système de noms de domaine (DNS) est nécessaire.
 Le DNS est classé en résolution de noms de domaine dynamique et statique. La résolution statique de noms de domaine est d'abord utilisée pour résoudre un nom de
domaine. Si la résolution échoue, la résolution dynamique du nom de domaine est utilisée.

Client Serveur DNS local

Internet

Envoyez une demande pour l'adresse IP de

www.huawei.com.

L'adresse IP renvoyée est X.X.X.X.

Accès X.X.X.X.

19 Huawei Confidential
 Table des matières

1. Modèle de référence du réseau

▫ Modèle de référence OSI et modèle de référence TCP/IP

▫ Couche application
■ Couche transport

▫ Couche réseau

▫ Couche liaison de données

2. Dispositifs de réseau classiques

20 Huawei Confidential
Couche transport
 Un protocole de la couche transport reçoit des données d'un protocole de la couche application, encapsule les données avec l'en-tête du protocole de
la couche transport correspondant, et aide à établir une connexion de bout en bout.

Couche application

Couche transport
(segment) Protocoles de la couche de transport :
 TCP : un protocole de communication fiable orienté connexion de la couche transport
Couche réseau défini par l'IETF dans la RFC 793.
 UDP : protocole de la couche transport sans connexion simple défini par l'IETF dans la
RFC 768.
Couche liaison de données

Couche physique

21 Huawei Confidential
TCP et UDP – Formats de paquets

Port d'origine (16) Port de destination (16)

Numéro de séquence (32)
Numéro d'accusé de réception (32)

Longueur de l'en-tête Bits de contrôle En-tête de paquet TCP

Réservé (6) Fenêtre (16)
(4) (6)

Somme de contrôle (16) Urgent (16)

Options (variable)
Données (le cas échéant)

Port d'origine (16) Port de destination (16)

En-tête de paquet UDP
Longueur (16) Somme de contrôle (16)
Données (le cas échéant)

22 Huawei Confidential
TCP et UDP – Nombre de ports
 TCP et UDP distinguent différents services en utilisant des numéros de port différents. En général, le port d'origine utilisé par un client est attribué de manière aléatoire, et le port de destination
est spécifié par l'application d'un serveur. Le numéro de port d'origine est généralement supérieur à 1023 et n'est pas utilisé. Le numéro du port de destination indique le numéro du port
d'écoute de l'application (service) activé sur le serveur. Par exemple, le numéro de port par défaut pour HTTP est 80.

Navigateur web Serveur HTTP

Application HTTP Telnet Application HTTP Telnet

Port TCP 1024 Port TCP 1231 Port TCP 80 Port TCP 23
Numéro de maison : 2.2.2.2
1.1.1.1 (adresse IP)
(adresse IP)

Client d'HTTP Serveur HTTP

Numéro de port d'origine :
Adresse IP source : 1.1.1.1
1024
Adresse IP de destination : Charge utile HTTP
Numéro du port de
2.2.2.2
destination : 80
En-tête IP En-tête TCP

24 Huawei Confidential
 Table des matières

1. Modèle de référence du réseau

▫ Modèle de référence OSI et modèle de référence TCP/IP

▫ Couche application

▫ Couche transport
■ Couche réseau

▫ Couche liaison de données

2. Dispositifs de réseau classiques

25 Huawei Confidential
Couche réseau
 La couche transport établit des connexions entre les processus sur différents hôtes, et la couche réseau transmet les données d'un hôte à l'autre.

Couche application

Couche transport
La couche réseau envoie des paquets d'un hôte de source à un hôte de
Couche réseau destination, fournit des adresses logiques pour les périphériques réseau et met
(paquet)
en œuvre le routage et la transmission des paquets de données. Les protocoles
courants de la couche de réseau comprennent IPv4, IPv6, ICMP et IGMP.
Couche liaison de données

Couche physique

26 Huawei Confidential
En-tête du paquet IP

Queue de trame
En-tête Ethernet En-tête IP En-tête TCP Données d'utilisateur
Ethernet

0 16 31

Version Longueur de l'en-tête Champ DS Longueur totale

Identification Drapeaux Décalage du fragment

20 octets (longueur
Durée de vie Protocole Somme de contrôle d'en-tête

fixe)
Adresse IP source

Adresse IP de destination

Options IP (variable)

27 Huawei Confidential
Transfert de paquets IP
 L'en-tête de la couche de réseau d'un paquet envoyé par un dispositif source porte les adresses de la couche de réseau des dispositifs source et de destination. Chaque
dispositif réseau (tel qu'un routeur) ayant des fonctions de routage maintient une table de routage. Après avoir reçu un paquet, le dispositif réseau lit l'adresse de
destination de la couche de réseau du paquet, recherche l'adresse dans la table de routage pour l'entrée correspondante, et transmet le paquet selon l'instruction de
l'entrée correspondante.

Réseau Interface sortante

Table de routage Réseau A GE0/0/1
… …

Routeur
GE0/0/0
PC1

GE0/0/1
Le PC 1 encapsule l'en-tête IP, y compris les adresses
IP source et de destination.

Réseau A

PC2

28 Huawei Confidential
ICMP
 Le protocole de message de contrôle Internet (ICMP) est un protocole IP auxiliaire.

 ICMP est utilisé pour transmettre des informations d'erreur et de contrôle entre les périphériques du réseau. Il joue un rôle important dans la collecte d'informations
sur le réseau ainsi que dans le diagnostic et la correction des défauts du réseau.

Type Code Description

Queue de trame
En-tête Ethernet En-tête IP Paquet ICMP 0 0 Réponse de l'écho
Ethernet
3 0 Réseau inaccessible
3 1 Hôte inaccessible
Type Code Somme de contrôle 3 2 Protocole inaccessible

Contenu du paquet ICMP 3 3 Port inaccessible

5 0 Redirection
8 0 Demande d'écho

29 Huawei Confidential
Contrôle d'erreur ICMP
 Le message ICMP Echo Request et le message ICMP Echo Reply sont généralement utilisés pour vérifier la connectivité du réseau entre les adresses source et
destination, et pour fournir d'autres informations, telles que la durée du cycle des paquets.
 La commande ping est une application typique du protocole ICMP. Ping est un outil courant pour vérifier la connectivité du réseau et recueillir des informations connexes.
Dans la commande ping, les utilisateurs peuvent attribuer différents paramètres, tels que la longueur et le nombre de paquets ICMP, ainsi que le délai d'attente de la
réponse. Les appareils construisent et envoient des paquets ICMP en fonction des paramètres pour effectuer des tests ping.

Demande d'écho

10.0.0.0/24 20.0.0.0/24
.1 .2 .1 .2
Routeur Routeur Réponse de Serveur A
l'écho

30 Huawei Confidential
Rapport d'erreur ICMP
 ICMP définit divers messages d'erreur pour le diagnostic des défauts de connectivité du réseau. Sur la base des messages d'erreur, le dispositif source peut déterminer
la cause d'un échec de transmission de données. Par exemple, lorsqu'un dispositif réseau ne peut pas accéder à un réseau cible, il envoie automatiquement un message
ICMP de destination inaccessible au périphérique émetteur.
 Tracert trace le chemin de transfert des paquets, saut après saut, en se basant sur la valeur du temps de vie (TTL) dans l'en-tête de paquet. Il s'agit d'une méthode
efficace pour vérifier la perte et le retard des paquets et pour aider les administrateurs à trouver les boucles de routage sur un réseau.

Paquet de données

10.0.0.0/24 20.0.0.0/24
.1 .2 .1 .2
RTA RTB Serveur A

Message ICMP de destination inaccessible

31 Huawei Confidential
OSPF
 Les communications entre les différents réseaux sont mises en œuvre par le biais de routes. Il existe trois types de routes, à savoir les routes directes, les routes
statiques et les routes dynamiques. Les routes dynamiques ont été largement utilisées sur les réseaux pour leur grande flexibilité, leur fiabilité et leur évolutivité.
 OSPF est le protocole de routage dynamique le plus utilisé sur les réseaux d'entreprise.

OSPF

Synchronisation LSDB
de chaque routeur

Commutateur

Hôte

32 Huawei Confidential
Zone de l'OSPF
 Un ID de zone OSPF est utilisé pour identifier une zone OSPF.
 Une zone OSPF est considérée comme un groupe logique de dispositifs.
 Les réseaux à zone unique ou à zones multiples peuvent être déployés dans les entreprises en fonction des échelles et des besoins.

Pare-feu
Grappe de serveurs
Commutateur central
Zone 0

Commutateur
d'agrégation
Commutateur Commutateur
d'agrégation d'agrégation

OSPF est configuré sur le commutateur central et les

commutateurs d'agrégation dans la même zone OSPF
pour permettre l'accessibilité des routes du réseau
d'entreprise.
Bâtiment de bureaux 1 Bâtiment de bureaux 2

33 Huawei Confidential
Table de routage OSPF
 Les incontournables des tables de routage OSPF :
 Une table de routage OSPF contient les informations utilisées pour guider le transfert des paquets, notamment l'adresse de destination, le coût et le prochain saut.
 Vous pouvez exécuter la commande display ospf routing pour vérifier les informations relatives à la table de routage OSPF.

ID de routeur : 1.1.1.1 ID de routeur : 2.2.2.2

GE1/0/0 GE1/0/0
Routeur 1 10.1.1.1/30 10.1.1.2/30 Routeur 2

34 Huawei Confidential
 Table des matières

1. Modèle de référence du réseau

▫ Modèle de référence OSI et modèle de référence TCP/IP

▫ Couche application

▫ Couche transport

▫ Couche réseau
■ Couche liaison de données

2. Dispositifs de réseau classiques

35 Huawei Confidential
Couche liaison de données
 La couche liaison de données est située entre la couche de réseau et la couche physique, fournissant des services pour des protocoles tels que IP et
IPv6 au niveau de la couche réseau.
 Ethernet est le protocole de couche liaison de données le plus courant.

Couche application
La couche liaison de données est située entre la couche réseau et la couche physique.
Couche transport  La couche liaison de données assure la communication intra-segment pour la couche
réseau.
Couche réseau
 Les fonctions de la couche liaison de données comprennent le cadrage, l'adressage
Couche liaison de
données physique et la boucle de protection contre les erreurs.
(cadre)  Les protocoles courants de la couche liaison de données comprennent Ethernet, PPPoE et
Couche physique PPP.

36 Huawei Confidential
Structure de la trame Ethernet
 Les trames utilisées par la technologie Ethernet sont appelées trames Ethernet. Les trames Ethernet se présentent sous deux formats, à savoir
Ethernet II et IEEE 802.3.
 Une adresse de contrôle d'accès au support (MAC) identifie de manière unique une carte d'interface réseau (NIC). Les adresses MAC sont utilisées
pour la communication intra-segment, avec une longueur de 48 bits, comme 00-1E-10-DD-DD-02.

Longueur totale d'une trame de données : 64 à 1 518 octets

6B 6B 2B 46-1500B 4B

Ethernet_II format DMAC SMAC Type Données d'utilisateur FCS

6B 6B 2B 3B 5B 38-1492B 4B
Format IEEE 802.3 DMAC SMAC Longueur LLC SNAP Données d'utilisateur FCS

3B 2B

Code Org Type

37 Huawei Confidential
ARP
 Pour permettre le transfert normal des paquets, il est recommandé d'obtenir l'adresse de destination ou l'adresse MAC de la passerelle. Ainsi, le
protocole de résolution d'adresses (ARP) est utilisé pour obtenir l'adresse MAC correspondante sur la base de l'adresse IP connue.

Paquet de requête ARP

Adresse IP de destination : 192.168.1.2
Adresse MAC de destination : ?
Hôte A Hôte B
192.168.1.1/24 192.168.1.2/24
3C-52-82-49-7E-9D 48-A4-72-1C-8F-4F
Paquet de réponse ARP
Adresse IP source : 192.168.1.2
Adresse MAC source : 48-A4-72-1C-8F-4F

38 Huawei Confidential
Encapsulation de données d'un expéditeur

www.huawei.com
Données Couche application Données

En-tête TCP Données Couche transport Segment

En-tête IP Charge utile Couche réseau Paquet

Couche liaison de
En-tête Ethernet Charge utile FCS Cadre
données

...
Couche physique Bit
0 1 1 0 0 1 0 1 0 1 ...
Média de
transmission

39 Huawei Confidential
Décapsulation de données d'un récepteur

Couche application Données Données

Serveur Web

Couche transport Données Segment

Couche réseau Charge utile Paquet

Couche liaison de Charge utile Cadre

données

Couche physique ... Bit

Média de transmission 0 1 1 0 0 1 0 1 0 1 ...

41 Huawei Confidential
 Table des matières

1. Modèle de référence du réseau

2. Dispositifs de réseau classiques

42 Huawei Confidential
Architecture typique d'un réseau de campus d'entreprise
 Un réseau de campus d'entreprise typique se compose de commutateurs, de routeurs, de pare-feu et de serveurs.

Couche de sortie

Couche
principale

Couche d'agrégation

Couche d'accès

43 Huawei Confidential
Commutateur
 Le commutateur est le dispositif le plus proche des utilisateurs finaux. Il est utilisé pour connecter les terminaux au réseau, permettant ainsi la transmission des
trames de données sur le même segment de réseau.
 Les commutateurs fonctionnent au niveau de la couche liaison de données et transmettent les trames de données sur la base des tables d'adresses MAC qui
stockent le mappage entre les adresses MAC et les ports des commutateurs.

Réseau

Hôte A Hôte B
GE 0/0/1 GE 0/0/2

IP A : 192.168.1.1/24 IP B : 192.168.1.2/24
Commutateur
MAC A : 0050-5600-0001 MAC B : 0050-5600-0002
Trames de données envoyées par Tableau d'adresses MAC du
l'hôte A commutateur

Adresse source Adresse de destination Adresse MAC Port

MAC A GE0/0/1
Adresse MAC source : MAC A Adresse MAC de destination : MAC B
MAC B GE0/0/2
Adresse IP source : IP A Adresse IP de destination : IP B … …

44 Huawei Confidential
Routeur
 Les routeurs travaillent au niveau de la couche réseau pour garantir la transmission des paquets entre les différents réseaux.

Hôte A Routeur A Routeur B Routeur C Hôte B

Couche application
Couche application
Couche transport Routeur A Routeur B Routeur C
Couche transport
Couche réseau Couche réseau Couche réseau Couche réseau
Couche réseau
Couche liaison de Couche liaison de Couche liaison de
Couche liaison de données données données données Couche liaison de données
Couche physique Couche physique Couche physique Couche physique Couche physique

45 Huawei Confidential
Pare-feu
 Les pare-feu sont principalement déployés aux frontières du réseau pour contrôler les comportements d'accès réseau, la protection de la sécurité étant la
caractéristique principale.
 Les pare-feu considèrent que les flux de données dans la même zone de sécurité ne présentent pas de risques pour la sécurité et qu'aucune politique de
sécurité n'est nécessaire. Les contrôles de sécurité des dispositifs ne sont déclenchés que lorsque les données circulent entre différentes zones de sécurité
et que des politiques de sécurité sont mises en œuvre.

DMZ Zone Priorité de sécurité par défaut

Zone Untrust 5 (niveau de sécurité bas)

DMZ 50 (niveau de sécurité moyen)

Trust Untrust Zone sécurisée 85 (niveau de sécurité élevé)

100 (niveau de sécurité le plus élevé). Une zone locale définit

Zone locale
un dispositif lui-même, y compris les interfaces du dispositif.

46 Huawei Confidential
Historique du développement du pare-feu
 Au fur et à mesure que les technologies progressent, les pare-feu sont passés d'un niveau bas à un niveau plus élevé, les fonctions associées
évoluant de manière simple à complexe. Le développement des technologies de réseau et la prolifération des demandes continuent de favoriser la
mise à niveau du pare-feu.
 Sur la base de l'historique de développement, les pare-feu peuvent être classés comme suit :
 Pare-feu à filtrage de paquets
 Pare-feu à inspection dynamique
 Pare-feu de nouvelle génération
Pare-feu de nouvelle génération (
NGFW)
Inspection
UTM
dynamique
Filtrage des Application
paquets proxy

1989 1990-1991 1994-1995 2004-2005 2009

47 Huawei Confidential
Fonctions d'un pare-feu
 Les pare-feu protègent un réseau contre les attaques et les intrusions provenant Utilisateurs Employés en
Partenaires Branche 2
d'un autre réseau. Grâce aux attributs d'isolation et de défense, les pare-feu d'Internet déplacement
peuvent être déployés aux sorties des réseaux d'entreprise, aux frontières des
sous-réseaux des réseaux à grande échelle et aux frontières des centres de
données (DC).
Pare-feu de sortie Internet
 Les fonctions des pare-feu sont les suivantes :
 Isoler des réseaux de différents niveaux de sécurité Branche 1 DMZ

Pare-feu dans la zone d'accès

Ligne privée
 Mettre en œuvre le contrôle d'accès (à l'aide de politiques de sécurité) entre des réseaux
de niveaux de sécurité différents Commutateur central

interne
 Mettre en œuvre l'authentification d'identité d'utilisateur RADIUS Contrôleur eSight

 Mettre en œuvre l'accès à distance ...

 Mise en œuvre les services de cryptage de données et de VPN LogCenter Sandbox
 Mettre en œuvre de la traduction d'adresses de réseau
DC Pare-feu de sortie DC
 Mettre en œuvre d'autres fonctions de sécurité

Zone de service 1 Zone de service 2 Zone de service 3

49 Huawei Confidential
Comparaison entre les pare-feux, les commutateurs et les routeurs

 Les fonctions principales des commutateurs, des routeurs et des pare-feu sont différentes : les commutateurs servent à construire des réseaux locaux, les routeurs à connecter différents
réseaux et les pare-feu sont déployés aux frontières des réseaux.
 La caractéristique principale des routeurs et des commutateurs est le transfert de paquets, tandis que celle des pare-feu est le contrôle d'accès réseau.

Pare-feu
Contrôle de la transmission des
paquets, défense contre les
attaques, prévention des virus et
des chevaux de Troie
Routeur
Adressage et transfert de données, ainsi que
garantie d'interconnexion des réseaux

Trafic d'accès réseau

externe
Commutateur
Construction LAN Trafic d'accès réseau
Transfert rapide de paquets des couches 2 interne
Hôte et 3

50 Huawei Confidential
Connexion et configuration des dispositifs réseau
 La configuration des dispositifs réseau intervient dans les processus de déploiement, d'exploitation et de maintenance. Vous devez vous connecter à un dispositif avant
de le configurer.
 Les administrateurs peuvent configurer les périphériques réseau sur l'interface utilisateur Web ou par le biais de l'interface CLI.

Connexion de la Ouverture de
Connexion SSH Connexion Web
console session Telnet

51 Huawei Confidential
Commandes de configuration de base (1/2)
 Configurer une adresse IP d'interface.

Cette commande permet de configurer une adresse IP pour une interface physique ou logique sur un dispositif.
 Afficher les configurations actuelles.

 Sauvegarder un fichier de configuration.

 Afficher les données de configuration enregistrées.

52 Huawei Confidential
Commandes de configuration de base (2/2)
 Effacez les données de configuration enregistrées.

 Afficher les paramètres de configuration du démarrage du système.

Cette commande est utilisée pour afficher le logiciel système associé, le logiciel système de sauvegarde, les fichiers de configuration, les fichiers de licence, les
fichiers de correction et les fichiers vocaux pour le démarrage actuel et le prochain démarrage.

 Configurer le fichier de configuration pour le prochain démarrage.

Le dispositif charge un fichier de configuration spécifié pour le prochain démarrage pendant une mise à niveau en exécutant cette commande.

 Redémarrez le dispositif.

53 Huawei Confidential
GUI (1/2)
 Les interfaces graphiques du pare-feu comprennent l'onglet des fonctions, l'arbre de navigation du menu, la zone d'action, la zone des boutons d'actions communes et la console CLI.

Onglet de fonction Zone de boutons d'opération commune

Zone d'action

Arbre de navigation du menu

Console CLI

54 Huawei Confidential
GUI (2/2)
 L'onglet fonction de l'interface graphique affiche les fonctions du pare-feu en fonction des types et est généralement utilisé lors de la configuration
du pare-feu sur l'interface utilisateur Web.

Onglet de fonction Description

Tableau de bord Permet de visualiser rapidement l'état des périphériques et de surveiller l'état de fonctionnement du système.

Fournit des méthodes complètes d'exploitation et maintenance (O&M), vous permettant de visualiser les journaux et les statistiques ainsi que
Écran
de diagnostiquer les pannes des appareils.

Permet de configurer des politiques de service telles que des politiques de sécurité et de bande passante pour contrôler la transmission du
Politique
trafic et se défendre contre les menaces du réseau.

Permet de configurer des éléments communs tels que des adresses et des services qui sont référencés par diverses politiques de service,
Objet
ce qui simplifie la configuration des services.

Permet de configurer les fonctions de communication réseau, telles que les interfaces, les routes et les VPN, qui constituent la base de
Réseau
l'accès des dispositifs au réseau.

Permet de configurer les fonctions de gestion de dispositifs, telles que l'administrateur, l'horloge, le SNMP et la mise à niveau du système,
Système
fournissant une base pour le fonctionnement normal du système.

55 Huawei Confidential
Gestion des fichiers de configuration
 Sélectionnez System > Configuration File Management pour visualiser le fichier de configuration actuel et spécifier un fichier de configuration pour
le prochain démarrage.

56 Huawei Confidential
Mise à niveau de version
 Sélectionnez System > System Upgrade pour mettre à jour le logiciel du système, les fichiers de correctifs et les fichiers du paquet de
fonctionnalités.

57 Huawei Confidential
 Quiz

1. (Question à réponses multiples) Lequel des protocoles suivants peut être appliqué à la couche application ? ( )

A. HTTP

B. DNS

C. FTP

D. OSPF

2. (Vrai ou faux) La connexion des données est initiée par le client en mode FTP actif. ( )

A. Vrai

B. Faux

58 Huawei Confidential
 Sommaire
 Ce cours décrit le modèle de référence TCP/IP, composé de cinq couches, à savoir la couche application, la couche transport, la
couche réseau, la couche liaison de données et la couche physique. Chaque couche fournit des services à la couche de surface,
chacun étant appliqué avec des protocoles différents. Le cours présente également certains protocoles courants, tels que ARP, ICMP,
FTP et HTTPS.
 Ce cours décrit l'architecture typique d'un réseau d'entreprise, les dispositifs de réseau classiques, tels que les commutateurs, les
routeurs et les pare-feu, ainsi que les modes de configuration des pare-feu basés sur l'interface CLI et l'interface graphique.

59 Huawei Confidential
 Recommandations
 Visitez les sites officiels de Huawei :
 Service d'entreprise : https://e.huawei.com/en/
 Assistance technique : https://support.huawei.com/enterprise/en/index.html
 Apprentissage en ligne : https://learning.huawei.com/en/

60 Huawei Confidential
Acronymes et abréviations (1/3)
Sigle et abréviation Nom complet
ACK Accusé de réception
ARP Protocole de résolution d'adresses
C/S Client/Serveur
CLI Interface de ligne de commande
FIN Terminer
FTP Protocole de transfert de fichiers
HTTP Protocole de transfert hypertexte
HTTPS Protocole HTTP sécurisé
ICMP Protocole de message de contrôle Internet
IGMP Protocole IGMP (Internet Group Management Protocol)
IP Protocole Internet

61 Huawei Confidential
Acronymes et abréviations (2/3)
Sigle et abréviation Nom complet
IS-IS Système intermédiaire à système intermédiaire
MAC Contrôle d'accès au média
OSI Interconnexion de systèmes ouverts
PPP Protocole point à point
PPPoE Protocole point à point sur Ethernet
SFTP Protocole de transfert sécurisé de fichiers
SMTP Protocole de transfert de courrier simple
SSH Secure Shell Protocol
STelnet Telnet sécurisé
SYN Synchronize Sequence Numbers
TCP Protocole de contrôle de transmission

62 Huawei Confidential
Acronymes et abréviations (3/3)
Sigle et abréviation Nom complet
TFTP Protocole trivial de transfert de fichiers
TLS Sécurité de la couche transport
TTL Durée de vie
UDP Protocole de datagramme utilisateur
URL Localisateur de ressources universel
UTM Gestion unifiées des menaces
VPN Réseau privé virtuel
WAF Pare-feu d'application Web
WWW World Wide Web
OSPF Ouvrir le chemin le plus court en premier
LSDB Base de données d'état de liaison

63 Huawei Confidential
Thank you. 把数字世界带入每个人、每个家庭、
每个组织，构建万物互联的智能世界。
Bring digital to every person, home, and
organization for a fully connected,
intelligent world.

Copyright©2023 Huawei Technologies Co., Ltd.

All Rights Reserved.

The information in this document may contain predictive

statements including, without limitation, statements regarding
the future financial and operating results, future product
portfolio, new technology, etc. There are a number of factors that could cause actual results
and developments to differ materially from those expressed or implied in the predictive
statements. Therefore, such information is provided for reference purpose only and
constitutes neither an offer nor an acceptance. Huawei may change the information at any
time without notice.