Firewalls et leur Application avec pfSense : Mise en Oeuvre pour les PME
pfSense est la solution firewall open source de référence. Guide complet : types de firewalls, installation, VPN, IDS/IPS.
Francois Salinier
Expert INNOSYS
pfSense : le firewall open source de référence pour les PME
pfSense est une distribution FreeBSD spécialisée en sécurité réseau, développée depuis 2004 par Netgate. C'est aujourd'hui la solution de pare-feu open source la plus déployée au monde dans les PME et ETI, avec plus de 1 million d'installations actives. pfSense CE (Community Edition) est entièrement gratuit ; pfSense Plus (anciennement pfSense+) est la version commerciale proposée par Netgate avec support.
Contrairement aux firewalls constructeurs (Fortinet, Palo Alto, Cisco ASA) qui coûtent entre 3 000 € et 20 000 €, un déploiement pfSense sur matériel dédié Netgate revient à moins de 1 000 € avec des fonctionnalités comparables.
Architecture de sécurité réseau pfSense typique pour une PME — zones, règles et supervision
Les types de firewalls
Firewall à filtrage de paquets (stateless)
Le type le plus basique : chaque paquet est analysé individuellement (adresse IP source/destination, port, protocole) sans mémoriser l'état des connexions. Limité et dépassé pour la sécurité d'entreprise.
Firewall stateful (inspection d'état)
pfSense implémente le filtrage stateful : il maintient une table des connexions actives et n'autorise les paquets entrants que s'ils correspondent à une connexion initiée de l'intérieur. C'est le mode standard pour la protection LAN→WAN.
Firewall applicatif (UTM)
pfSense avec les packages Squid (proxy), Snort/Suricata (IDS/IPS) et Pfblockerng (blocage de domaines malveillants) devient un UTM (Unified Threat Management) capable d'inspecter le contenu des connexions, de détecter les intrusions et de bloquer les malwares.
Déploiement pfSense : étapes clés
Choix du matériel
Netgate 2100 (549$, 1 Gbps, ARM Cortex-A72) pour une PME de moins de 50 postes. Netgate 4100 (699$, multi-Gbps) pour 50-200 postes. PC Engines APU4 (300€) pour un déploiement DIY. Les firewalls logiciels peuvent aussi tourner sur Proxmox (VM pfSense) pour les environnements virtualisés.
Configuration des zones réseau (VLAN)
La segmentation réseau est la fonctionnalité la plus critique. Une PME typique définit 4 VLANs : VLAN 10 (postes de travail), VLAN 20 (serveurs et NAS), VLAN 30 (WiFi collaborateurs), VLAN 40 (WiFi invités — isolé du réseau interne). Les règles inter-VLAN sont aussi restrictives que possible (whitelist, pas de blacklist).
Configuration du VPN (OpenVPN ou WireGuard)
pfSense embarque OpenVPN et WireGuard pour les accès distants sécurisés. WireGuard est recommandé pour les nouveaux déploiements : protocole plus simple, performances supérieures, clients disponibles sur tous les OS. L'authentification peut être intégrée avec Active Directory via FreeRADIUS ou LDAP.
IDS/IPS avec Suricata
Le package Suricata transforme pfSense en système de détection/prévention d'intrusions. Les règles Emerging Threats (mises à jour quotidiennement) couvrent les signatures de malwares connus, les tentatives d'exploitation de vulnérabilités et les comportements de botnet. En mode IPS, Suricata bloque automatiquement les connexions malveillantes.
Haute disponibilité avec CARP
Pour les environnements critiques, pfSense supporte la haute disponibilité avec CARP (Common Address Redundancy Protocol) : deux appliances pfSense avec synchronisation en temps réel de l'état des connexions. Si le firewall principal tombe, la bascule est transparente en moins de 1 seconde.
Comparatif pfSense vs solutions commerciales
Pour une PME de 50 postes sur 3 ans : pfSense CE sur Netgate 4100 coûte environ 700 € de matériel + 0 € de licence + ~500 €/an de MCO = 2 200 € sur 3 ans. Un Fortinet FortiGate 80F équivalent coûte environ 2 500 € de matériel + 1 500 €/an de licence UTM = 7 000 € sur 3 ans. La solution open source coûte 3 fois moins cher avec des fonctionnalités comparables.
💡 INNOSYS a déployé plus de 50 firewalls pfSense et OPNsense pour ses clients PME. Nous réalisons l'audit de votre réseau, la conception de l'architecture de sécurité, le déploiement et la configuration, et assurons le MCO en contrat mensuel. Intervention sur site en Île-de-France en moins de 4h.