Filtrage, segmentation, NAC et Zero Trust

Construire une défense réseau par zones, politiques explicites, filtrage stateful, segmentation, NAC, 802.1X, microsegmentation et principes Zero Trust.

Chapitre 36 Intermédiaire · Expert 32 pages

Objectif du chapitre

Construire une défense réseau par zones, politiques explicites, filtrage stateful, segmentation, NAC, 802.1X, microsegmentation et principes Zero Trust.

Notions à couvrir

routeur filtrant.
pare-feu.
ACL.
stateless/stateful.
conntrack.
nftables.
proxy.
WAF.
DMZ.
zones.
microsegmentation.
nord-sud/est-ouest.
NAC.
802.1X.
RADIUS.
VLAN dynamique.
quarantaine.
ZTNA.
SASE, SSE.
bastions.
default deny.
dette de règles.

Sous-sections

Filtrer explicitement [Intermédiaire]

Décrire source, destination, port, protocole, état, interface et direction.
Comparer ACL, pare-feu, proxy et WAF.
Construire une politique default deny exploitable.

Segmenter et contrôler [Expert]

Concevoir zones, DMZ, administration, invités et IoT.
Utiliser NAC, 802.1X, RADIUS, VLAN dynamique et quarantaine.
Prévoir exceptions, pannes NAC et secours.

Zero Trust moderne [Expert]

Présenter moindre privilège et vérification explicite.
Situer ZTNA, SASE, SSE et bastions.
Relier microsegmentation, identité et flux autorisés.

Exemples et ateliers

Écrire une politique entre trois zones.
Lire des règles nftables simples.
Dessiner poste → switch → RADIUS.

Pièges classiques

Ouvrir largement pour dépanner.
Segmenter sans inventaire de flux.
Appliquer Zero Trust comme slogan.

À ne pas confondre

Pare-feu et routeur.
Proxy et reverse proxy.
NAC et authentification applicative.

Points à vérifier

à vérifier : terminologie SASE/SSE/ZTNA.
à vérifier : exemples nftables récents.