Qu’est-ce qu’un Firewall?
Les firewalls – Définition, explication et analyse
Définition d’un firewall
Un firewall est un appareil de sécurité réseau qui surveille le trafic réseau entrant et sortant et autorise ou bloque les paquets de donnés en se basant sur un ensemble de règles de sécurité. Il est chargé de dresser une barrière entre votre réseau interne et le trafic entrant provenant de sources externes (comme Internet) afin de bloquer le trafic malveillant des virus et des pirates.
Comment fonctionne un firewall ?
Les firewalls analysent soigneusement le trafic entrant en fonction de règles préétablies et filtrent le trafic provenant de sources non sécurisées ou suspectes pour empêcher les attaques. Les firewalls surveillent le trafic au point d’entrée d’un ordinateur, appelé port, qui est l’endroit où les informations sont échangées avec des appareils externes. Par exemple, “L’adresse source 172.18.1.1 est autorisée à atteindre la destination 172.18.2.1 par le port 22”.
Considérez les adresses IP comme des maisons, et les numéros de port comme des pièces de cette maison. Seules les personnes de confiance (adresses sources) sont autorisées à entrer dans la maison (adresse de destination). Il y a ensuite un filtrage ultérieur, afin que les personnes présentes dans la maison ne puissent accéder qu’à certaines pièces (ports de destination), selon qu’il s’agit du propriétaire, d’un enfant ou d’un invité. Le propriétaire est autorisé à accéder à n’importe quelle pièce (n’importe quel port), tandis que les enfants et les invités sont autorisés à accéder à un certain ensemble de pièces (ports spécifiques).
Types de Firewall
Les firewalls peuvent être logiciels ou matériels, mais il est préférable d’avoir les deux. Un firewall logiciel est un programme installé sur chaque ordinateur, qui régule le trafic par le biais de numéros de port et d’applications. Un firewall physique est un équipement installé entre votre réseau et la passerelle d’accès.
Les firewalls à filtrage de paquets, le type le plus courant, examinent les paquets et leur interdisent de passer s’ils ne correspondent pas à un ensemble de règles de sécurité établies. Ce type de firewall vérifie les adresses IP source et destination du paquet. Si les paquets correspondent à ceux d’une règle "autorisée" sur le firewall, alors on lui fait confiance pour entrer sur le réseau.
Les firewalls à filtrage de paquets sont divisés en deux catégories : les stateful et les stateless (avec statut ou sans statut). Les firewalls stateless examinent les paquets indépendamment les uns des autres et manquent de contexte, ce qui en fait des cibles faciles pour les pirates informatiques. En revanche, les firewalls stateful retiennent les informations sur les paquets précédemment transmis et sont considérés comme beaucoup plus sûrs.
Si les firewalls à filtrage de paquets peuvent être efficaces, ils fournissent en fin de compte une protection très élémentaire et peuvent être très limités - par exemple, ils ne peuvent pas déterminer si le contenu de la demande envoyée aura un effet négatif sur l’application qu’elle atteint. Si une requête malveillante autorisée à partir d’une adresse de source fiable entraînait, par exemple, la suppression d’une base de données, le firewall n’aurait aucun moyen de le savoir. Les firewalls de nouvelle génération et les firewalls à proxy sont mieux équipés pour détecter ces menaces.
Les firewalls nouvelle génération (NGFW) combinent la technologie traditionnelle des firewalls avec des fonctionnalités supplémentaires, telles que l’inspection du trafic crypté, des systèmes de prévention des intrusions, des antivirus, etc. Ils effectuent notamment une inspection approfondie des paquets (DPI, ou deep packet inspection). Alors que les firewalls de base n’examinent que les en-têtes de paquets, l’inspection approfondie examine les données contenues dans le paquet lui-même, ce qui permet aux utilisateurs d’identifier, de classer ou d’arrêter plus efficacement les paquets contenant des données malveillantes. Retrouvez ici plus d’informations sur le NGFW Forcepoint.
Les firewalls à proxy filtrent le trafic réseau au niveau de l’application. Contrairement aux firewalls de base, le proxy agit comme un intermédiaire entre deux terminaux. Le client doit envoyer une demande au firewall, où elle est ensuite évaluée en fonction d’un ensemble de règles de sécurité, puis autorisée ou bloquée. Plus particulièrement, les firewalls à proxy surveillent le trafic pour les protocoles de la couche 7 tels que HTTP et FTP, et utilisent à la fois l’inspection stateful et l’inspection approfondie des paquets pour détecter le trafic malveillant.
Les firewalls à traduction d’adresses (NAT) permettent à plusieurs appareils avec des adresses réseau indépendantes à se connecter à l’Internet en utilisant une seule adresse IP, tout en dissimulant les adresses IP individuelles. Par conséquent, les attaquants qui scannent un réseau à la recherche d’adresses IP ne peuvent pas capturer de détails spécifiques, ce qui assure une plus grande sécurité contre les attaques. Les firewalls NAT sont similaires aux firewalls proxy en ce sens qu’ils servent d’intermédiaire entre un groupe d’ordinateurs et le trafic extérieur.
Les firewalls d’inspection de statut multicouches (SMLI) filtrent les paquets au niveau des couches réseau, transport et application, en les comparant à des paquets dont la confiance est connue. Comme les firewalls nouvelle génération, les SMLI examinent également l’ensemble du paquet et ne leur permettent de passer que s’ils sont validés individuellement à chaque couche. Ces firewalls examinent les paquets pour déterminer le statut de la communication afin de s’assurer que toute communication initiée n’a lieu qu’avec des sources fiables.