Un firewall constitue la première ligne de défense de tout serveur dédié connecté à Internet. Sans lui, chaque port de votre serveur est potentiellement accessible par n'importe qui, où qu'il se trouve. Un firewall correctement configuré contrôle quel trafic réseau est autorisé à atteindre votre serveur, bloque les tentatives d'accès non autorisées et réduit considérablement la surface d'attaque de votre serveur. Ce guide explique ce qu'est un firewall de serveur dédié, comment définir les bonnes règles, quels ports ouvrir et en quoi les firewalls diffèrent les uns des autres.
⚡ Difficulté : Débutant à intermédiaire
🖥 S'applique à : serveurs dédiés Linux (UFW / iptables / firewalld) et Windows Firewall
Points clés à retenir
- Un firewall de serveur dédié contrôle le trafic réseau entrant et sortant selon un jeu de règles que vous définissez. C'est le mécanisme principal pour empêcher les accès non autorisés à votre serveur.
- UFW (Uncomplicated Firewall) est l'outil standard pour les serveurs Ubuntu/Debian. firewalld est utilisé sur les systèmes AlmaLinux/RHEL. Les deux reposent sur le framework netfilter iptables du noyau Linux.
- Le jeu de règles par défaut devrait être : refuser tout le trafic entrant, autoriser tout le trafic sortant, puis ouvrir explicitement uniquement les ports requis par vos services.
- Tous les serveurs dédiés Kimsufi incluent la protection anti-DDoS de niveau réseau d'OVHcloud sans coût supplémentaire, qui opère au niveau de l'infrastructure, indépendamment du firewall de votre serveur.
Qu'est-ce qu'un firewall de serveur dédié ?
Un firewall de serveur dédié est un logiciel (ou un matériel) qui surveille et contrôle le trafic réseau atteignant votre serveur en s'appuyant sur un jeu de règles prédéfini. Chaque paquet de données entrant est confronté aux règles : si le trafic correspond à une règle autorisée, il passe ; sinon, il est rejeté ou refusé.
Sur un serveur dédié Linux, le firewall est généralement implémenté à l'aide d'iptables (un framework de filtrage de paquets au niveau du noyau) géré via un outil de plus haut niveau comme UFW (Ubuntu/Debian) ou firewalld (AlmaLinux/RHEL). Sur Windows Server, le Windows Firewall intégré assure la même fonction via une interface graphique ou PowerShell.
Un firewall de niveau serveur est distinct d'un firewall de niveau réseau exploité par votre hébergeur. L'infrastructure Kimsufi inclut la protection anti-DDoS et de réseau périphérique d'OVHcloud, qui opère avant même que le trafic n'atteigne votre serveur. Votre firewall de niveau serveur ajoute une seconde couche de contrôle pour les règles d'accès propres à vos applications.
Pourquoi avez-vous besoin d'un firewall de serveur dédié ?
Sans firewall, chaque service tournant sur votre serveur est exposé par défaut à l'Internet public. Une installation Linux fraîche avec un serveur web et une base de données en fonctionnement exposerait les ports 80, 443 et 3306 à quiconque connaît votre adresse IP. Le firewall garantit que seul le trafic que vous souhaitez autoriser peut atteindre vos services.
- Bloquer les accès non autorisés : des bots automatisés scrutent en permanence Internet à la recherche de ports ouverts et de vulnérabilités connues. Un firewall rejette ce trafic avant qu'il n'atteigne vos applications.
- Protéger les données sensibles : les ports de base de données (MySQL 3306, PostgreSQL 5432) ne devraient jamais être ouverts sur l'Internet public. Un firewall restreint l'accès à des adresses IP de confiance spécifiques uniquement.
- Réduire la surface d'attaque : chaque port ouvert est un point d'entrée potentiel. Fermer les ports inutilisés limite le nombre de moyens par lesquels un attaquant peut cibler votre serveur.
- Exigences de conformité : PCI DSS, HIPAA et le RGPD imposent tous des contrôles d'accès réseau. Un firewall configuré est un composant essentiel de la conformité pour tout serveur traitant des données sensibles.
Quels sont les 5 types de firewalls ?
| Type de firewall | Fonctionnement | Idéal pour |
|---|---|---|
| Filtrage de paquets | Inspecte les paquets individuels en fonction de l'IP source/destination et du port. Sans état. | Contrôle d'accès basique sur des réseaux de confiance. |
| Inspection avec état | Suit l'état des connexions. Autorise automatiquement le trafic retour pour les connexions établies. | Protection serveur générale. Utilisé par UFW/iptables. |
| Applicatif (WAF) | Inspecte le trafic HTTP/HTTPS au niveau de la couche applicative. Bloque les injections SQL, le XSS et les autres attaques web. | Serveurs web et API exposés sur l'Internet public. |
| Proxy | Agit comme intermédiaire pour tout le trafic, masquant l'IP du serveur. | Environnements à haute sécurité nécessitant une inspection complète du trafic. |
| Nouvelle génération (NGFW) | Combine inspection avec état, inspection approfondie des paquets, IDS/IPS et reconnaissance applicative. | Environnements d'entreprise avec des exigences de conformité complexes. |
Pour un serveur dédié, l'inspection avec état (via UFW/iptables) combinée à une protection anti-DDoS au niveau réseau couvre la grande majorité des cas d'usage. Les serveurs web traitant du trafic public bénéficient d'un WAF (Web Application Firewall) de niveau applicatif supplémentaire, tel que ModSecurity ou Cloudflare.
Quelle est la différence entre un firewall partagé et un firewall dédié ?
Un firewall partagé est un équipement de niveau réseau géré par l'hébergeur qui protège simultanément les serveurs de plusieurs clients. Les règles sont généralement prédéfinies et limitées. Un firewall dédié est soit un équipement physique, soit un logiciel de niveau serveur protégeant exclusivement un seul serveur ou segment de réseau. Il vous donne un contrôle complet sur le jeu de règles, la journalisation et la configuration.
Sur les serveurs dédiés Kimsufi, vous disposez des deux : la protection de niveau réseau d'OVHcloud (infrastructure partagée) gère les attaques DDoS et volumétriques, tandis que le firewall propre à votre serveur (UFW, iptables ou firewalld) vous offre un contrôle dédié et granulaire sur l'accès au niveau applicatif.
Comment configurer un firewall de serveur dédié (UFW sur Ubuntu/Debian)
UFW est l'outil de firewall recommandé pour les serveurs Ubuntu et Debian. Si vous ne l'avez pas encore mis en place, notre guide de configuration de serveur Linux couvre l'ensemble du processus de durcissement du serveur. Voici la configuration essentielle du firewall :
Étape 1 : installer UFW (s'il n'est pas déjà présent)
sudo apt install ufw -yÉtape 2 : définir les règles par défaut
sudo ufw default deny incoming
sudo ufw default allow outgoingÉtape 3 : autoriser SSH avant l'activation (critique)
⚠️ Avertissement Ajoutez la règle SSH avant d'activer UFW. Omettre cette étape vous coupera l'accès au serveur. Utilisez la console KVM Kimsufi pour récupérer l'accès si cela se produit.
sudo ufw allow OpenSSHÉtape 4 : ajouter les règles pour vos services
sudo ufw allow 80/tcp # HTTP
sudo ufw allow 443/tcp # HTTPSDatabase: restrict to specific IP only
sudo ufw allow from 203.0.113.10 to any port 3306Étape 5 : activer et vérifier
sudo ufw enable
sudo ufw status verbose✅ Résultat attendu UFW est actif. Le statut affiche vos règles : SSH, HTTP et HTTPS autorisés. Tout autre trafic entrant est bloqué.
Comment configurer un firewall sur AlmaLinux (firewalld)
sudo systemctl enable --now firewalld
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
sudo firewall-cmd --list-allQuels ports dois-je ouvrir pour mon firewall ?
N'ouvrez que les ports dont vos services ont activement besoin. Ce tableau couvre les services les plus courants sur les serveurs dédiés :
| Service | Protocole | Port | Quand l'ouvrir |
|---|---|---|---|
| SSH | TCP | 22 | Toujours. Changez pour un port non standard pour plus de sécurité. |
| HTTP | TCP | 80 | Serveurs web. Requis pour la validation des certificats Let's Encrypt. |
| HTTPS | TCP | 443 | Serveurs web avec SSL/TLS. |
| MySQL | TCP | 3306 | Uniquement si l'accès distant à la base de données est requis. Restreindre aux IP de confiance. |
| PostgreSQL | TCP | 5432 | Uniquement si l'accès distant à la base de données est requis. Restreindre aux IP de confiance. |
| Minecraft | TCP | 25565 | Serveurs de jeu Minecraft Java Edition. |
| Ark Survival | UDP | 7777 | Serveurs de jeu Ark Survival Evolved. |
| Palworld | UDP | 8211 | Serveurs de jeu Palworld. |
| RDP | TCP | 3389 | Bureau à distance Windows Server. Restreindre uniquement aux IP de confiance. |
En règle générale : si un port n'a pas besoin d'être accessible publiquement, restreignez-le à des adresses IP spécifiques ou fermez-le entièrement. Les ports de base de données, en particulier, ne devraient jamais être ouverts sur l'Internet public sans contrôles d'accès basés sur l'IP.
Configurations de firewall courantes
Serveur web (stack LAMP/LEMP)
sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcpServeur de jeu (Ark Survival Evolved)
sudo ufw allow OpenSSH
sudo ufw allow 7777/udp
sudo ufw allow 27015/udp # Steam query portServeur de base de données (accès restreint)
sudo ufw allow OpenSSH
sudo ufw allow from YOUR_APP_SERVER_IP to any port 3306Un serveur a-t-il besoin d'un firewall ?
Oui, sans exception. Tout serveur connecté à l'Internet public a besoin d'un firewall. La question n'est pas de savoir s'il faut en avoir un, mais de le configurer correctement. Même si votre hébergeur propose une protection anti-DDoS au niveau réseau (comme le fait Kimsufi via OVHcloud), un firewall de niveau serveur reste essentiel pour contrôler l'accès propre aux applications et protéger les services sensibles tels que les bases de données et les panneaux d'administration.
UFW est-il un véritable firewall ?
Oui. UFW (Uncomplicated Firewall) est une interface frontale pour iptables, le framework de filtrage de paquets intégré au noyau Linux. UFW n'ajoute pas une nouvelle couche de firewall : il simplifie la gestion des règles iptables grâce à une interface en ligne de commande plus claire. Le filtrage de paquets réel se produit au niveau du noyau via netfilter. Pour les cas d'usage avancés nécessitant des jeux de règles très granulaires, vous pouvez interagir directement avec iptables ou nftables.
FAQ
À quoi sert un firewall dédié ?
Un firewall dédié inspecte les paquets réseau entrants et sortants et les autorise ou les bloque en fonction d'un jeu de règles configuré. Il contrôle quelles adresses IP et quels ports peuvent accéder à votre serveur, empêchant les accès non autorisés, bloquant le trafic malveillant et limitant l'exposition aux attaques réseau.
Comment sécuriser un serveur dédié au-delà du firewall ?
La configuration du firewall n'est qu'un composant de la sécurité du serveur. Une posture de sécurité complète inclut également : l'authentification par clé SSH (désactiver la connexion par mot de passe), Fail2ban pour la protection contre les attaques par force brute, des mises à jour régulières du système d'exploitation et des logiciels, des politiques de contrôle d'accès strictes et des sauvegardes chiffrées.
Notre guide de maintenance de serveur dédié couvre l'intégralité de la checklist de sécurité au quotidien.
Quelle est la différence entre un firewall et une protection anti-DDoS ?
Un firewall de niveau serveur contrôle l'accès de niveau applicatif selon les règles que vous définissez. La protection anti-DDoS opère au niveau réseau, détectant et atténuant les attaques volumétriques (trafic de saturation conçu pour submerger la connexion réseau de votre serveur) avant qu'elles n'atteignent votre serveur. Les deux sont nécessaires : la protection anti-DDoS gère les attaques réseau à grande échelle ; le firewall gère les accès non autorisés à des services spécifiques.
Puis-je utiliser un WAF avec un serveur dédié ?
Oui. Un Web Application Firewall (WAF) inspecte le trafic HTTP et HTTPS au niveau de la couche applicative, bloquant les injections SQL, le cross-site scripting et d'autres attaques de couche web qu'un firewall réseau ne peut pas détecter. Des outils comme ModSecurity (qui s'intègre à Nginx et Apache) ou le service WAF de Cloudflare peuvent être combinés avec votre firewall de niveau serveur pour une protection en couches.
Conclusion
Un firewall de serveur dédié correctement configuré est l'une des mesures de sécurité les plus importantes que vous puissiez mettre en œuvre. Définissez les valeurs par défaut pour refuser tout le trafic entrant, n'ouvrez que les ports requis par vos services, restreignez les ports sensibles (bases de données, panneaux d'administration) à des adresses IP de confiance et revoyez vos règles régulièrement. Combiné à la protection anti-DDoS intégrée à tous les serveurs Kimsufi via OVHcloud, cela offre à votre infrastructure une sécurité réseau solide et multicouche.
Pour l'intégralité du processus de configuration d'un serveur, consultez notre guide sur comment configurer un serveur Linux.
Sécurisez votre serveur dédié dès aujourd'hui Les serveurs Kimsufi à partir de 11,10 €/mois incluent une protection anti-DDoS intégrée, l'accès root et le KVM over IP. Parcourez les gammes KS, SYS et RISE.