Configurer le Network Firewall
Découvrez comment configurer votre Network Firewall
Dernière mise à jour le 20/12/2022
Objectif
Pour protéger son infrastructure globale et les serveurs de ses clients, OVHcloud propose un pare-feu paramétrable et intégré à la solution Anti-DDoS : le Network Firewall. Cette option vous permet de limiter l'exposition de votre service aux attaques provenant du réseau public.
Ce guide vous explique comment configurer votre Network Firewall.
Pour plus d'informations sur notre solution Anti-DDoS, cliquez ici : https://www.ovhcloud.com/fr/security/anti-ddos/.
Prérequis
- Posséder un service OVHcloud bénéficiant d’un Network Firewall (Serveur Dédié, VPS,instance Public Cloud, Hosted Private Cloud, Additional IP, etc.)
- Avoir accès à votre espace client OVHcloud.
Cette fonctionnalité peut être indisponible ou limitée sur les serveurs dédiés Eco.
Consultez notre comparatif pour plus d’informations.
En pratique
Activer le Network Firewall
Le Network Firewall protège les adresses IP associées à une machine. Vous devez donc configurer chaque adresse IP indépendamment. Une configuration globale du serveur est impossible.
Connectez-vous à l’espace client OVHcloud, accédez à la section Bare Metal Cloud et cliquez sur IP.
Vous pouvez utiliser le menu déroulant sous « Mes adresses IP publiques et services associés » pour filtrer vos services par catégorie.
Cliquez ensuite sur le bouton ... pour activer le pare-feu sur une adresse IPv4.
Confirmez votre action.
Cliquez ensuite sur Activer le firewall (1), puis sur Configurer le firewall (2) pour commencer le paramétrage.
Vous pouvez configurer jusqu'à 20 règles par adresse IP.
Le pare-feu s’active automatiquement à chaque attaque DDoS et ne peut pas être désactivé avant la fin de l'attaque. C'est pourquoi il est important de maintenir à jour les règles de pare-feu. Par défaut, vous n’avez pas de règles configurées. Toutes les connexions peuvent donc être établies. Si vous avez déjà des règles, nous vous recommandons de les vérifier régulièrement, même si le pare-feu est désactivé.
- La fragmentation UDP est bloquée (DROP) par défaut. Lorsque vous activez le Network Firewall, n'oubliez pas de configurer correctement votre unité de transmission maximale (Maximum Transmission Unit ou MTU) si vous utilisez un VPN. Par exemple, sur OpenVPN, vous pouvez cocher
MTU test. - Le Network Firewall n'est pas pris en compte au sein du réseau OVHcloud. Par conséquent, les règles configurées n'affectent pas les connexions de ce réseau interne.
Configurer le Network Firewall
Veuillez noter que le Network Firewall d'OVHcloud ne peut pas être utilisé pour ouvrir des ports sur un serveur. Pour ouvrir des ports sur un serveur, vous devez passer par le pare-feu du système d'exploitation installé sur le serveur.
Pour plus d'informations, consultez les guides suivants : Configurer le pare-feu sous Windows et Configurer le pare-feu sous Linux avec Iptables.
Pour ajouter une règle, cliquez sur Ajouter une règle.
Pour chaque règle, vous devez choisir :
- une priorité (de 0 à 19, 0 étant la première règle à appliquer) ;
- une action (
AutoriserouRefuser) ; - le protocole ;
- une adresse IP (facultatif) ;
- le port source (TCP uniquement) ;
- le port de destination (TCP uniquement) ;
- les options TCP (TCP uniquement).
- Priorité 0 : nous vous conseillons d'autoriser le protocole TCP sur toutes les adresses IP avec une option
établie. Celle-ci vous permet de vérifier que le paquet fait partie d'une session précédemment ouverte (déjà initiée). Si vous ne l'autorisez pas, le serveur ne recevra pas les retours du protocole TCP des requêtes SYN/ACK. - Priorité 19 : nous vous conseillons de refuser tout trafic de protocole IPv4 qui n'a été accepté par aucune règle antérieure.
Exemple de configuration
Pour vous assurer que seuls les ports SSH (22), HTTP (80), HTTPS (443) et UDP (10 000) restent ouverts lors de l'autorisation de l'ICMP, suivez les règles ci-dessous :
Les règles sont triées de 0 (la première règle lue) à 19 (la dernière). La chaîne cesse d'être analysée dès qu'une règle est appliquée au paquet reçu.
Par exemple, un paquet pour le port 80/TCP sera capturé par la règle 2 et les règles qui suivent ne seront pas appliquées. Un paquet pour le port 25/TCP ne sera attrapé qu'à la dernière règle (19) qui le bloquera, car le pare-feu n'autorise pas la communication sur le port 25 dans les règles précédentes.
Comme indiqué, la configuration ci-dessus n’est qu’un exemple et doit être utilisée comme référence si les règles ne s'appliquent pas aux services hébergés sur votre serveur. Il est absolument nécessaire de configurer les règles de votre firewall en fonction des services hébergés sur votre serveur. Une mauvaise configuration de vos règles de firewall peut entrainer le blocage du trafic légitime et l'inaccessibilité des services du serveur.
Mitigation
Il existe trois modes de mitigation : automatique (détection permanente), permanente ou forcée.
Mitigation automatique (détection permanente) : Avec ce mode, le trafic ne passe par le système de mitigation que s'il est détecté comme « inhabituel » par rapport au trafic normal habituellement reçu par le serveur.
Mitigation permanente : En activant la mitigation permanente, vous appliquez un premier niveau de filtrage constant à travers notre Shield hardware.
Tout le trafic passe en permanence par le système de mitigation avant d'atteindre le serveur. Nous recommandons ce mode pour les services faisant l'objet d'attaques fréquentes.
Veuillez noter que le Network Firewall ne doit pas être créé/activé pour activer la mitigation permanente sur votre IP.
Pour l'activer, cliquez sur le menu Bare Metal Cloud et ouvrez IP. Cliquez ensuite sur les ... à droite de l'IPv4 concernée et sélectionnez Mitigation : mode permanent.
Mitigation forcée : Ce mode est activé automatiquement dès qu'une attaque est détectée sur le serveur. Une fois activé, ce mode ne peut être désactivé. Afin de protéger notre infrastructure, la protection sera activée pendant toute la durée de l’attaque, jusqu’à ce qu’elle soit totalement mitigée.
Si notre solution anti-DDoS limite une attaque, votre Network Firewall s'activera automatiquement, même si vous l'avez désactivé par défaut. Si vous souhaitez qu'aucune règle ne soit appliquée durant une attaque, vous devez supprimer toute règle préalablement créée.
Configurer le pare-feu Armor (Firewall Game)
Par défaut, le pare-feu Armor est préconfiguré avec certaines règles qu'OVHcloud a déterminé fonctionner avec les jeux les plus courants. Cependant, pour les clients disposant d’un serveur dédié Game, nous vous permettons d’aller plus loin et de configurer également des règles pour les ports.
Afin de configurer les règles de vos ports sur Armor, vous devez d'abord vous connecter à votre espace client OVHcloud.
Ensuite, rendez-vous dans le menu Bare Metal Cloud et cliquez sur la section IP dans la barre latérale de gauche. Cliquez sur ... à côté de l'adresse IP de votre serveur de jeu puis sur Configurer le firewall game.
Sur l’écran suivant, cliquez sur le bouton Ajouter une règle pour ajouter une règle à Armor.
Vous pouvez configurer jusqu'à 30 règles par adresse IP.
Activez les ports selon vos besoins sur l'écran suivant et cliquez sur le bouton Confirmer lorsque vous avez fini d'ajouter vos règles. Le pare-feu Armor a maintenant été configuré avec succès.
Aller plus loin
Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com.
Cette documentation vous a-t-elle été utile ?
N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.
Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !
Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..