Activer et configurer le Edge Network Firewall
80817 vues
06.01.2026 
Cloud / Serveur Dédié (Baremetal)
Objectif
Pour protéger les services des clients exposés sur les adresses IP publiques, OVHcloud propose un pare-feu sans état (stateless) qui est configuré et intégré à l’infrastructure anti-DDoS : le Edge Network Firewall. Il permet de limiter l’exposition des services aux attaques DDoS, en supprimant des flux réseau spécifiques qui peuvent provenir de l’extérieur du réseau OVHcloud.
Ce guide vous explique comment configurer le Edge Network Firewall pour vos services.
Pour plus d'informations sur notre solution Anti-DDoS, cliquez ici.
| Infrastructure anti-DDoS et protection DDoS Game chez OVHcloud |
|---|
 |
Prérequis
- Un service OVHcloud exposé et utilisant une adresse IP publique dédiée (Serveur Dédié, VPS,instance Public Cloud, Hosted Private Cloud, Additional IP, etc.)
- Avoir accès à votre espace client OVHcloud.
Cette fonctionnalité peut être indisponible ou limitée sur les serveurs dédiés Eco.
Consultez notre comparatif pour plus d’informations.
Le Edge Firewall Network ne prend pas en charge le protocole QUIC.
En pratique
Le Edge Network Firewall réduit l’exposition aux attaques DDoS réseau en permettant aux utilisateurs de répliquer certaines règles de pare-feu du serveur à la périphérie du réseau OVHcloud. Cela bloque les attaques entrantes au plus près de leur source, réduisant ainsi le risque de surcharge des ressources du serveur en cas d'attaque importante.
Activer le Edge Network Firewall
À date, cette fonctionnalité n'est disponible que pour les adresses IPv4.
Le Edge Network Firewall protège une IP spécifique associée à un serveur (ou service). Par conséquent, si vous avez un serveur avec plusieurs adresses IP, vous devez configurer chaque IP séparément.
Connectez-vous à votre espace client OVHcloud, cliquez sur Network dans la barre latérale de gauche puis cliquez sur Adresses IP Publiques.
Vous pouvez utiliser le menu déroulant sous Mes adresses IP publiques et services associés pour filtrer vos services par catégorie, ou taper directement l'adresse IP désirée dans la barre de recherche.
Cliquez ensuite sur le bouton ⁝ à droite de l'IPv4 concernée et sélectionnez Configurer le Edge Network Firewall (ou cliquez sur l'icône de statut dans la colonne Edge Firewall).
Vous serez amené vers la page de configuration du pare-feu.
Vous pouvez mettre en place jusqu'à 20 règles par adresse IP.
Le Edge Network Firewall est automatiquement activé lorsqu’une attaque DDoS est détectée et ne peut pas être désactivé tant que l’attaque n’est pas terminée. Par conséquent, toutes les règles configurées dans le pare-feu sont appliquées pendant la durée de l’attaque. Cette logique permet à nos clients de décharger les règles de pare-feu du serveur à la périphérie du réseau OVHcloud pendant la durée de l'attaque.
Veuillez noter que vous devez configurer vos propres pare-feux locaux même si le Edge Network Firewall a été configuré, car son rôle principal est de gérer le trafic en dehors du réseau OVHcloud.
Si vous avez configuré des règles, nous vous recommandons de les vérifier régulièrement ou lors de changements dans le fonctionnement de vos services. Comme évoqué précédemment, le Edge Network Firewall sera automatiquement activé en cas d’attaque DDoS, même s’il est désactivé dans vos paramètres IP.
- La fragmentation UDP est bloquée (DROP) par défaut. Lors de l'activation du Edge Network Firewall, si vous utilisez un VPN, n'oubliez pas de configurer correctement votre unité de transmission maximale (MTU). Par exemple, avec OpenVPN, vous pouvez le vérifier via
MTU test. - Le Edge Network Firewall (ENF), intégré aux Scrubbing Centers (VAC), gère uniquement le trafic réseau provenant de l’extérieur du réseau OVHcloud.
Configurer le Edge Network Firewall
Veuillez noter que le Edge Network Firewall d’OVHcloud ne peut pas être utilisé pour ouvrir des ports sur un serveur. Pour ouvrir des ports sur un serveur, vous devez passer par le pare-feu du système d'exploitation installé sur le serveur.
Pour plus d'informations, reportez-vous aux guides suivants : Configuration du pare-feu sous Windows et Configuration du pare-feu sous Linux avec iptables.
Pour ajouter une règle, cliquez sur le bouton + Ajouter une règle, en haut à gauche de la page.
 |
|---|
Cliquez sur + Ajouter une règle. |
Pour chaque règle (hors TCP), vous devez choisir :
 |
|---|
| • Une priorité (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres) • Une action ( Accepter ou Refuser) • Le protocole • L'adresse IP source (facultatif) |
Pour chaque règle TCP, vous devez choisir :
 |
|---|
| • Une priority (de 0 à 19, 0 étant la première règle à appliquer, suivie des autres) • Une action ( Accepter ou Refuser) • Le protocole • L'adresse IP source (facultatif) • Le port source (facultatif) • Le port de destination (facultatif) • L'état TCP (facultatif) • Fragments (facultatif) |
Nous vous conseillons d'autoriser le protocole TCP avec une option established (pour les paquets qui font partie d'une session précédemment ouverte/démarrée), les paquets ICMP (pour le ping et traceroute) et éventuellement les réponses DNS UDP des serveurs externes (si vous utilisez des serveurs DNS externes).
Exemple de configuration :
- Priorité 0 : Autoriser TCP
established - Priorité 1 : Autoriser UDP, port source 53
- Priorité 2 : Autoriser ICMP
- Priorité 19 : Refuser l'IPv4
Les configurations de pare-feu avec seulement des règles de mode « Accept » ne sont pas du tout efficaces. Une instruction doit indiquer ce qui doit être supprimé par le pare-feu. Vous recevrez un avertissement à moins qu'une règle « Refuser » ne soit créée.
Activer/désactiver le pare-feu :
 |
|---|
| Utilisez le bouton commutateur pour activer ou désactiver le pare-feu. |
Après validation, le firewall sera activé ou désactivé.
Notez que les règles sont désactivées jusqu'au moment où une attaque est détectée, puis qu'elles sont activées. Cette logique peut être utilisée pour les règles qui ne sont actives que lorsqu'une attaque répétée connue arrive.
Exemple de configuration
Pour vous assurer que seuls les ports SSH (22), HTTP (80), HTTPS (443) et UDP (53) restent ouverts lors de l'autorisation de l'ICMP, suivez les règles ci-dessous :
Les règles sont triées de 0 (la première règle lue) à 19 (la dernière). La chaîne cesse d'être analysée dès qu'une règle est appliquée au paquet.
Par exemple, un paquet pour le port TCP 80 sera intercepté par la règle 2 et les règles qui suivent ne seront pas appliquées. Un paquet pour le port TCP 25 ne sera capturé que par la dernière règle (19), ce qui le bloquera car le pare-feu n'autorise pas la communication sur le port 25 dans les règles précédentes.
La configuration ci-dessus n'est qu'un exemple et ne doit être utilisée comme référence que si les règles ne s'appliquent pas aux services hébergés sur votre serveur. Il est indispensable de configurer les règles de votre firewall pour qu'elles correspondent aux services hébergés sur votre serveur. Une configuration incorrecte de vos règles de pare-feu peut entraîner le blocage du trafic légitime et l'inaccessibilité des services du serveur.
Mitigation des attaques - Activité du centre de nettoyage (Scrubbing Center)
Notre infrastructure anti-DDoS (VAC) fonctionne automatiquement. Le processus de mitigation s'effectue via un centre de nettoyage (Scrubbing Center) automatisé. C’est là que notre technologie avancée examine en profondeur les paquets et tente de supprimer le trafic DDoS tout en permettant au trafic légitime de passer.
Toutes les adresses IP OVHcloud sont en mitigation automatique. Si un trafic malveillant est détecté, le Scrubbing Center s'active. Cet état est alors représenté par un statut « Forcé » pour une adresse IP donnée. Le Edge Network Firewall est également actif. La situation revient à la normale lorsque l’attaque est mitigée et qu’aucune autre activité suspecte n’est observée.
Astuces
Vous pouvez créer des règles de pare-feu dédiées aux attaques et qui ne s’appliquent qu’après la détection d’une attaque. Pour ce faire, des règles Edge Network Firewall doivent être créées mais désactivées.
Si notre infrastructure anti-DDoS traite une attaque, les règles de votre Edge Network Firewall finiront par être appliquées, même si vous avez désactivé le pare-feu. Si vous avez désactivé votre pare-feu, n'oubliez pas de supprimer également vos règles.
Veuillez noter que l’infrastructure anti-DDoS ne peut pas être désactivée sur un service. Tous les produits OVHcloud sont livrés avec ce dispositif et cela ne peut pas être modifié.
Network Security Dashboard
Pour un aperçu détaillé des attaques détectées et des résultats des activités du Scrubbing Center, nous vous encourageons à consulter notre guide sur le Network Security Dashboard.
Conclusion
Après avoir lu ce tutoriel, vous devriez pouvoir configurer le Edge Network Firewall pour améliorer la sécurité de vos services OVHcloud.
Aller plus loin
Échangez avec notre communauté d'utilisateurs.
Configurer le pare-feu sous Linux avec Iptables
31997