🛡️

Pare-feu ZPF – 4 zones

Procédure complète · Zone-Based Policy Firewall · WAN · DMZ · STATIONS · SERVEURS · Cisco IOS

📚 Matière

Cyber-Sécurité

📅 Date

15 janvier 2026

☑️ État

✓ Terminé

🔧 Plateforme

Cisco Packet Tracer

🌐 Zones

WANDMZSTATIONSSERVEURS

🎯

Objectif : déployer un pare-feu ZPF (Zone-Based Policy Firewall) sur un routeur Cisco. Contrairement aux ACL classiques, le ZPF organise les interfaces en zones et applique des politiques par paire de zones. Tout trafic inter-zone est BLOQUÉ par défaut — seul le trafic explicitement autorisé dans une policy-map est permis.

📋 Table des matières

§1Théorie — Principe ZPF, class-map, policy-map, zone-pair §2Topologie et plan d'adressage §3Matrice de sécurité des flux §4Configuration des interfaces du routeur §5Étape 1 — Création des zones de sécurité §6Étape 2 — Création des class-maps §7Étape 3 — Création des policy-maps §8Étape 4 — Création des zone-pairs §9Étape 5 — Association des interfaces aux zones §10Filtrage IP WAN → DMZ (IP 192.168.50.1 uniquement) §11Vérifications et tests §12Configuration complète (bloc à copier) ✅Récapitulatif

🔵 Théorie — Principe ZPF

class-map · policy-map · zone-pair · Stateful

ZPFMécanismes et ordre de configuration

Le ZPF organise les interfaces en zones de sécurité. Tout trafic entre deux zones distinctes est bloqué par défaut — contrairement aux ACL qui autorisent tout sauf ce qui est bloqué.

Mécanisme	Rôle
`zone security`	Crée une zone logique — regroupement d'interfaces
`class-map type inspect`	Identifie les types de trafic par protocole (HTTP, DNS, ICMP...)
`policy-map type inspect`	Associe une class-map à une action : `inspect`, `drop` ou `pass`
`zone-pair security`	Définit le sens du trafic (source → destination) et y attache une policy-map
`zone-member security`	Rattache une interface physique à une zone

🔄

Ordre impératif : Zones → Class-maps → Policy-maps → Zone-pairs → Interfaces. Ne pas inverser les étapes.

⚠️

inspect vs drop vs pass :
— inspect : autorise ET crée une session stateful. Le trafic retour est automatiquement autorisé. Utiliser pour TCP/UDP/ICMP.
— drop : bloque silencieusement. Aucun ICMP de rejet envoyé.
— pass : autorise sans suivi de session. Déconseillé (pas de retour automatique).

🚨

Le nom des zones est case-sensitive : WAN ≠ wan. Il doit être recopié exactement dans les class-maps, policy-maps et zone-pairs. Dès qu'une interface est rattachée à une zone, tout trafic sans zone-pair correspondant est droppé silencieusement — y compris SSH/Telnet de gestion.

🟢 Topologie et plan d'adressage

4 zones · Interfaces · Hôtes

ZonesRésumé des 4 zones et leurs équipements

🔴 WAN — Fa0/0

10.0.0.254 / 255.0.0.0

PC0 : 10.0.0.2

Serveur HTTP : 10.0.0.1

🟠 DMZ — Fa0/3

192.168.50.254 / 255.255.255.0

Srv HTTP/DNS/SMTP : 192.168.50.1

Srv Syslog : 192.168.50.2

🔵 STATIONS — Fa0/1

192.168.2.254 / 255.255.255.0

PC0 & PC1 : via DHCP

GW : 192.168.2.254

🟣 SERVEURS — Fa0/2

192.168.1.254 / 255.255.255.0

Srv DHCP : 192.168.1.1

Srv DNS : 192.168.1.2

Interface	Zone	Adresse IP	Masque
FastEthernet 0/0	WAN	10.0.0.254	255.0.0.0
FastEthernet 0/1	STATIONS	192.168.2.254	255.255.255.0
FastEthernet 0/2	SERVEURS	192.168.1.254	255.255.255.0
FastEthernet 0/3	DMZ	192.168.50.254	255.255.255.0

🔴 Matrice de sécurité des flux

Tout flux non listé est BLOQUÉ par défaut

PolitiqueFlux autorisés entre zones

Source → Destination	Flux autorisés	Zone-pair
STATIONS → SERVEURS	TCPUDPICMP	ZP-STATIONS-TO-SERVEURS
STATIONS → DMZ	HTTPDNSSMTPICMPSYSLOG	ZP-STATIONS-TO-DMZ
STATIONS → WAN	HTTPHTTPSDNSICMP	ZP-STATIONS-TO-WAN
SERVEURS → DMZ	HTTPDNSSMTPICMPSYSLOG	ZP-SERVEURS-TO-DMZ
SERVEURS → WAN	HTTPHTTPSDNSICMP	ZP-SERVEURS-TO-WAN
WAN → DMZ	HTTPDNSSMTPSYSLOG IP 192.168.50.1 seulement	ZP-WAN-TO-DMZ
DMZ → tout	❌ BLOQUÉ — Aucun zone-pair	—
WAN → STATIONS	❌ BLOQUÉ — Aucun zone-pair	—
WAN → SERVEURS	❌ BLOQUÉ — Aucun zone-pair	—

⚠️

Avec inspect, le trafic retour est géré automatiquement par la table stateful. Il est inutile de créer un zone-pair inverse pour le retour.

🟢 Configuration des interfaces du routeur

IP · no shutdown · Avant toute config ZPF

Pré-requisConfigurer les 4 interfaces AVANT de créer les zones

Cisco IOS — Routeur ZPF

enable
configure terminal

! Interface WAN
interface FastEthernet0/0
  ip address 10.0.0.254 255.0.0.0
  no shutdown
exit

! Interface STATIONS
interface FastEthernet0/1
  ip address 192.168.2.254 255.255.255.0
  no shutdown
exit

! Interface SERVEURS
interface FastEthernet0/2
  ip address 192.168.1.254 255.255.255.0
  no shutdown
exit

! Interface DMZ
interface FastEthernet0/3
  ip address 192.168.50.254 255.255.255.0
  no shutdown
exit

🧪Test pré-ZPF : Depuis un PC STATIONS, pinguer le routeur (192.168.2.254) → doit répondre. Pinguer un serveur de la DMZ (192.168.50.1) → doit répondre. Si ce n'est pas le cas, corriger l'adressage avant de continuer.

➡️ Les 4 interfaces sont configurées et actives — la connectivité de base est validée avant le ZPF.

🟣 Étape 1 — Création des zones de sécurité

zone security · Case-sensitive

Étape 1/5Déclarer les 4 zones sur le routeur

Cisco IOS — Zones

! Création des 4 zones de sécurité
zone security WAN
exit
zone security DMZ
exit
zone security STATIONS
exit
zone security SERVEURS
exit

zone security NOMCrée une zone logique. Le nom est case-sensitive — WAN, DMZ, STATIONS, SERVEURS doivent être recopiés exactement dans toutes les étapes suivantes.

➡️ Les 4 zones sont créées — elles sont vides pour l'instant (aucune interface rattachée).

🟣 Étape 2 — Création des class-maps

Identification des flux par protocole · match-any

Étape 2/5Définir les 4 class-maps (identification des protocoles)

match-any = logique OR — le flux est identifié si au moins un protocole correspond. C'est le mode utilisé ici (plusieurs protocoles différents).

Cisco IOS — 4 class-maps

! CM-1 : STATIONS → SERVEURS (TCP, UDP, ICMP)
class-map type inspect match-any CM-STATIONS-TO-SERVEURS
  match protocol tcp
  match protocol udp
  match protocol icmp
exit

! CM-2 : vers DMZ (HTTP, DNS, SMTP, ICMP, SYSLOG)
! Utilisée par STATIONS→DMZ et SERVEURS→DMZ
class-map type inspect match-any CM-TO-DMZ
  match protocol http
  match protocol dns
  match protocol smtp
  match protocol icmp
  match protocol syslog
exit

! CM-3 : vers WAN (HTTP, HTTPS, DNS, ICMP)
! Utilisée par STATIONS→WAN et SERVEURS→WAN
class-map type inspect match-any CM-TO-WAN
  match protocol http
  match protocol https
  match protocol dns
  match protocol icmp
exit

! CM-4 : WAN → DMZ (services publiés)
class-map type inspect match-any CM-WAN-TO-DMZ
  match protocol http
  match protocol dns
  match protocol smtp
  match protocol syslog
exit

match-anyOR logique — le flux correspond si l'un quelconque des protocoles listés correspond. Opposé : match-all (AND logique, rarement utile pour des protocoles différents).
CM-TO-DMZClass-map réutilisée pour deux flows (STATIONS→DMZ et SERVEURS→DMZ) — permet d'éviter la duplication.
CM-TO-WANMême logique — réutilisée pour STATIONS→WAN et SERVEURS→WAN.

➡️ 4 class-maps créées — elles ne font qu'identifier les types de trafic, sans encore définir d'action.

🟣 Étape 3 — Création des policy-maps

inspect · drop · class-default

Étape 3/5Définir les 6 policy-maps (actions sur les flux)

Chaque policy-map associe une class-map à une action. Le bloc class class-default drop est une bonne pratique — il bloque explicitement tout trafic non identifié.

Cisco IOS — 6 policy-maps

! PM-1 : STATIONS → SERVEURS
policy-map type inspect PM-STATIONS-TO-SERVEURS
  class type inspect CM-STATIONS-TO-SERVEURS
    inspect
  class class-default
    drop
exit

! PM-2 : STATIONS → DMZ
policy-map type inspect PM-STATIONS-TO-DMZ
  class type inspect CM-TO-DMZ
    inspect
  class class-default
    drop
exit

! PM-3 : SERVEURS → DMZ
policy-map type inspect PM-SERVEURS-TO-DMZ
  class type inspect CM-TO-DMZ
    inspect
  class class-default
    drop
exit

! PM-4 : STATIONS → WAN
policy-map type inspect PM-STATIONS-TO-WAN
  class type inspect CM-TO-WAN
    inspect
  class class-default
    drop
exit

! PM-5 : SERVEURS → WAN
policy-map type inspect PM-SERVEURS-TO-WAN
  class type inspect CM-TO-WAN
    inspect
  class class-default
    drop
exit

! PM-6 : WAN → DMZ (services publiés)
policy-map type inspect PM-WAN-TO-DMZ
  class type inspect CM-WAN-TO-DMZ
    inspect
  class class-default
    drop
exit

inspectAutorise le trafic ET crée une entrée stateful — le retour est automatiquement autorisé sans zone-pair inverse.
class class-default dropBloque silencieusement tout ce qui ne matche aucune class-map — bonne pratique à systématiser.

➡️ 6 policy-maps créées — elles définissent les actions mais ne sont pas encore actives (pas encore attachées aux zone-pairs).

🟣 Étape 4 — Création des zone-pairs

Sens du trafic · service-policy · Retour stateful

Étape 4/5Créer les 6 zone-pairs et attacher les policy-maps

Le zone-pair définit le sens du flux (source → destination) et y attache une policy-map. Un zone-pair = un sens. Le retour est géré automatiquement par la table stateful.

Cisco IOS — 6 zone-pairs

! ZP-1 : STATIONS → SERVEURS
zone-pair security ZP-STATIONS-TO-SERVEURS source STATIONS destination SERVEURS
  service-policy type inspect PM-STATIONS-TO-SERVEURS
exit

! ZP-2 : STATIONS → DMZ
zone-pair security ZP-STATIONS-TO-DMZ source STATIONS destination DMZ
  service-policy type inspect PM-STATIONS-TO-DMZ
exit

! ZP-3 : STATIONS → WAN
zone-pair security ZP-STATIONS-TO-WAN source STATIONS destination WAN
  service-policy type inspect PM-STATIONS-TO-WAN
exit

! ZP-4 : SERVEURS → DMZ
zone-pair security ZP-SERVEURS-TO-DMZ source SERVEURS destination DMZ
  service-policy type inspect PM-SERVEURS-TO-DMZ
exit

! ZP-5 : SERVEURS → WAN
zone-pair security ZP-SERVEURS-TO-WAN source SERVEURS destination WAN
  service-policy type inspect PM-SERVEURS-TO-WAN
exit

! ZP-6 : WAN → DMZ (filtrage IP 192.168.50.1 uniquement)
zone-pair security ZP-WAN-TO-DMZ source WAN destination DMZ
  service-policy type inspect PM-WAN-TO-DMZ
exit

source ZONE destination ZONEDéfinit le sens du trafic. Un zone-pair = un sens. Le retour stateful est automatique avec inspect.
service-policy type inspectAttache la policy-map au zone-pair — c'est ici que la politique devient active.

ℹ️

Les zones DMZ→STATIONS, DMZ→WAN, WAN→STATIONS et WAN→SERVEURS n'ont pas de zone-pair → le trafic dans ces sens est automatiquement droppé.

➡️ 6 zone-pairs créés — les politiques sont actives mais les interfaces ne sont pas encore dans leurs zones.

🟣 Étape 5 — Association des interfaces aux zones

zone-member security · Une interface = une seule zone

Étape 5/5Rattacher chaque interface à sa zone

C'est l'étape qui active le ZPF. Dès qu'une interface est rattachée à une zone, le filtrage prend effet immédiatement.

🚨

Après rattachement, tout trafic sans zone-pair correspondant est droppé — y compris votre session SSH/Telnet de gestion. Configurer depuis la console ou prévoir un zone-pair de gestion.

Cisco IOS — Rattachement interfaces → zones

! Fa0/0 → zone WAN
interface FastEthernet0/0
  zone-member security WAN
exit

! Fa0/1 → zone STATIONS
interface FastEthernet0/1
  zone-member security STATIONS
exit

! Fa0/2 → zone SERVEURS
interface FastEthernet0/2
  zone-member security SERVEURS
exit

! Fa0/3 → zone DMZ
interface FastEthernet0/3
  zone-member security DMZ
exit

end
write memory

zone-member security NOMRattache l'interface à la zone. Une interface ne peut appartenir qu'à une seule zone.
write memorySauvegarde la configuration en NVRAM — indispensable pour la conserver après redémarrage.

➡️ Le ZPF est actif — les politiques de filtrage s'appliquent immédiatement sur tout le trafic inter-zone.

🔴 Filtrage IP WAN → DMZ

ACL étendue · IP 192.168.50.1 uniquement

Filtrage IPRestreindre WAN → DMZ à l'IP 192.168.50.1 uniquement

La politique impose que le WAN n'accède à la DMZ que vers le serveur 192.168.50.1 (HTTP/DNS/SMTP). Le serveur Syslog 192.168.50.2 ne doit pas être accessible depuis le WAN.

Cisco IOS — ACL de filtrage IP

! ACL étendue — autorise uniquement le serveur DMZ 192.168.50.1
ip access-list extended ACL-WAN-TO-DMZ-SERVER
  10 permit ip any host 192.168.50.1
  20 deny ip any any
exit

! Méthode 1 — IOS réel : class-map avec filtrage ACL
class-map type inspect match-all CM-WAN-TO-DMZ-FILTERED
  match access-group name ACL-WAN-TO-DMZ-SERVER
exit

📌

Note Packet Tracer : match access-group name peut être partiellement supporté selon la version. Si non disponible, appliquer l'ACL directement sur l'interface WAN en entrée comme alternative :

interface FastEthernet0/0
ip access-group ACL-WAN-TO-DMZ-SERVER in

➡️ Le WAN peut accéder uniquement à 192.168.50.1 — la DMZ Syslog (192.168.50.2) est protégée des accès WAN.

🟢 Vérifications et tests

show zone · show zone-pair · Scénarios

VérificationsCommandes de vérification ZPF

Cisco IOS — Commandes show

! Vérifier les zones et leurs interfaces membres
show zone security

! Vérifier les zone-pairs et les policy-maps associées
show zone-pair security

! Statistiques de trafic par policy (compteurs)
show policy-map type inspect zone-pair

! Lister toutes les class-maps
show class-map type inspect

! Vérifier toute la configuration ZPF
show run

! Suivi des sessions en temps réel (attention : verbeux !)
debug ip inspect events

TestsScénarios de test — flux autorisés et bloqués

Test	Action	Résultat attendu	Zone-pair
STATIONS → Srv HTTP DMZ	Ping + HTTP vers 192.168.50.1	✅ Autorisé	ZP-STATIONS-TO-DMZ
STATIONS → WAN HTTP	HTTP vers 10.0.0.1	✅ Autorisé	ZP-STATIONS-TO-WAN
STATIONS → Srv DNS	DNS vers 192.168.1.2	✅ Autorisé	ZP-STATIONS-TO-SERVEURS
WAN → Srv DMZ HTTP	HTTP vers 192.168.50.1	✅ Autorisé	ZP-WAN-TO-DMZ
DMZ → STATIONS	Ping depuis 192.168.50.1	❌ Bloqué	Aucun zone-pair
DMZ → WAN	HTTP depuis DMZ	❌ Bloqué	Aucun zone-pair
WAN → STATIONS	Ping vers 192.168.2.x	❌ Bloqué	Aucun zone-pair
WAN → Syslog DMZ	Syslog vers 192.168.50.2	❌ Bloqué	Filtrage IP — .50.2 non ciblé

🧪Test 1 : Depuis un PC STATIONS, pinguer 192.168.50.1 (DMZ) → doit répondre. Pinguer 192.168.50.2 (Syslog) → doit aussi répondre car STATIONS→DMZ autorise ICMP.

🧪Test 2 : Depuis le Srv DMZ (192.168.50.1), pinguer un PC STATIONS (192.168.2.x) → doit être bloqué. Confirmer avec show policy-map type inspect zone-pair que les compteurs drop augmentent.

🧪Test 3 : Depuis le WAN (10.0.0.2), accéder en HTTP à 192.168.50.1 → autorisé. Accéder à 192.168.50.2 → bloqué (filtrage IP). Accéder à 192.168.2.x → bloqué (pas de zone-pair WAN→STATIONS).

🔵 Configuration complète — Bloc à copier

Tout en un · Ordre correct · write memory

RécapConfiguration ZPF complète dans l'ordre

Cisco IOS — Configuration ZPF complète

enable
configure terminal

! ── 1. ZONES ─────────────────────────────────────────────
zone security WAN
exit
zone security DMZ
exit
zone security STATIONS
exit
zone security SERVEURS
exit

! ── 2. CLASS-MAPS ────────────────────────────────────────
class-map type inspect match-any CM-STATIONS-TO-SERVEURS
  match protocol tcp
  match protocol udp
  match protocol icmp
exit
class-map type inspect match-any CM-TO-DMZ
  match protocol http
  match protocol dns
  match protocol smtp
  match protocol icmp
  match protocol syslog
exit
class-map type inspect match-any CM-TO-WAN
  match protocol http
  match protocol https
  match protocol dns
  match protocol icmp
exit
class-map type inspect match-any CM-WAN-TO-DMZ
  match protocol http
  match protocol dns
  match protocol smtp
  match protocol syslog
exit

! ── 3. POLICY-MAPS ───────────────────────────────────────
policy-map type inspect PM-STATIONS-TO-SERVEURS
  class type inspect CM-STATIONS-TO-SERVEURS
    inspect
  class class-default
    drop
exit
policy-map type inspect PM-STATIONS-TO-DMZ
  class type inspect CM-TO-DMZ
    inspect
  class class-default
    drop
exit
policy-map type inspect PM-SERVEURS-TO-DMZ
  class type inspect CM-TO-DMZ
    inspect
  class class-default
    drop
exit
policy-map type inspect PM-STATIONS-TO-WAN
  class type inspect CM-TO-WAN
    inspect
  class class-default
    drop
exit
policy-map type inspect PM-SERVEURS-TO-WAN
  class type inspect CM-TO-WAN
    inspect
  class class-default
    drop
exit
policy-map type inspect PM-WAN-TO-DMZ
  class type inspect CM-WAN-TO-DMZ
    inspect
  class class-default
    drop
exit

! ── 4. ZONE-PAIRS ────────────────────────────────────────
zone-pair security ZP-STATIONS-TO-SERVEURS source STATIONS destination SERVEURS
  service-policy type inspect PM-STATIONS-TO-SERVEURS
exit
zone-pair security ZP-STATIONS-TO-DMZ source STATIONS destination DMZ
  service-policy type inspect PM-STATIONS-TO-DMZ
exit
zone-pair security ZP-STATIONS-TO-WAN source STATIONS destination WAN
  service-policy type inspect PM-STATIONS-TO-WAN
exit
zone-pair security ZP-SERVEURS-TO-DMZ source SERVEURS destination DMZ
  service-policy type inspect PM-SERVEURS-TO-DMZ
exit
zone-pair security ZP-SERVEURS-TO-WAN source SERVEURS destination WAN
  service-policy type inspect PM-SERVEURS-TO-WAN
exit
zone-pair security ZP-WAN-TO-DMZ source WAN destination DMZ
  service-policy type inspect PM-WAN-TO-DMZ
exit

! ── 5. INTERFACES → ZONES ────────────────────────────────
interface FastEthernet0/0
  zone-member security WAN
exit
interface FastEthernet0/1
  zone-member security STATIONS
exit
interface FastEthernet0/2
  zone-member security SERVEURS
exit
interface FastEthernet0/3
  zone-member security DMZ
exit

end
write memory

✅

Récapitulatif — Ordre des 5 étapes et tests

BTS SIO SISR — Cyber-Sécurité · ZPF

§	Étape	Commande clé	Vérification
4	Config interfaces	`ip address + no shutdown`	🧪 Pings inter-zones en clair
5	Zones (×4)	`zone security NOM`	`show zone security`
6	Class-maps (×4)	`class-map type inspect match-any`	`show class-map type inspect`
7	Policy-maps (×6)	`policy-map type inspect + inspect + drop`	`show run`
8	Zone-pairs (×6)	`zone-pair security + service-policy`	`show zone-pair security`
9	Interfaces → zones	`zone-member security`	🧪 Test 1, 2, 3
10	Filtrage IP WAN→DMZ	`ip access-list extended`	🧪 WAN→.50.1 ✅ / WAN→.50.2 ❌

🔑

Points clés à retenir :
— Ordre impératif : Zones → Class-maps → Policy-maps → Zone-pairs → Interfaces
— Noms case-sensitive : WAN, DMZ, STATIONS, SERVEURS — exactement tels quels
— inspect = stateful : le retour est automatique — pas de zone-pair inverse nécessaire
— class class-default drop : à toujours inclure dans chaque policy-map
— Pas de zone-pair = trafic droppé silencieusement dans ce sens
— DMZ ne peut pas initier de connexion vers les zones internes

BTS SIO SISR — Cyber-Sécurité · Pare-feu ZPF 4 zones · Cisco Packet Tracer · 15 janvier 2026