Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dernière mise à jour le 07 juin 2004
Sur cette page
Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Instructions de conception
Attaques et défense du système
Définition du dispositif
Fonctionnalités du pare-feu
Catégories de pare-feu
Catégorie 1 – Pare-feu personnel
Catégorie 2 – Pare-feu/routeur
Catégorie 3 – Pare-feu matériel d'entrée de gamme
Catégorie 4 – Pare-feu matériel haut de gamme
Catégorie 5 – Pare-feu/serveur haut de gamme
Conditions matérielles
Disponibilité
Sécurité
Capacité d'évolution
Consolidation
Standards et conseils
Résumé
Références
Dans ce module
Ce module vous aide à sélectionner un produit de pare-feu adapté au réseau interne de votre entreprise. Il présente les différentes catégories de pare-feu disponibles et décrit leurs fonctionnalités principales. Il fournit également des conseils sur la conception afin de vous aider à déterminer vos propres besoins et à sélectionner le produit le plus approprié.
Objectifs
Ce module vous permettra d'effectuer les opérations suivantes :
identifier les fonctionnalités nécessaires de votre pare-feu interne ;
classifier les produits de pare-feu ;
sélectionner le meilleur produit pour votre pare-feu interne.
S'applique à
Ce module s'applique aux technologies suivantes :
- les produits de pare-feu basés sur Ethernet/IP.
Comment utiliser ce module
Avant de lire ce module, familiarisez-vous avec le protocole TCP/IP (voir liens en bas de page), ainsi qu'avec votre propre architecture de réseau. Il peut également s'avérer utile de savoir quel trafic entrant et sortant par votre pare-feu interne peut être considéré comme valide ou non.
Les conseils de conception fournis dans ce module vous aideront à sélectionner les fonctionnalités dont vous avez besoin pour votre pare-feu en tenant compte de certains aspects essentiels, tels que la croissance et le coût. Ce module définit également les différentes catégories de pare-feu. Ainsi, grâce aux conseils de conception, vous devriez être en mesure de sélectionner la catégorie de pare-feu qui correspond le mieux à vos besoins. Enfin, les connaissances et la terminologie technique contenues dans ce module vous permettront de discuter avec les fabricants de pare-feu des produits qu'ils proposent et d'évaluer s'ils répondent à vos attentes.
Instructions de conception
Ce module passe en revue les exigences liées à la mise en œuvre d'un pare-feu interne au sein d'un réseau d'entreprise, les types de dispositifs capables de satisfaire ces exigences et les options de déploiement disponibles. Les entreprises doivent se protéger contre les intrusions d'utilisateurs internes et externes dans les réseaux, qui sont malheureusement devenues courantes. Or, comme les pare-feu sont onéreux et qu'ils ralentissent le trafic, vous devez vous assurer que le vôtre est conçu pour être aussi rentable et efficace que possible.
Architecture réseau
L'architecture de réseau d'une entreprise comprend généralement trois zones :
Réseau de frontière
Ce réseau donne directement accès à Internet par le biais d'un routeur, qui doit fournir une couche initiale de protection sous la forme d'un filtrage simple du trafic réseau. Ce routeur alimente en données le réseau du périmètre par l'intermédiaire d'un pare-feu de périmètre.Réseau du périmètre
Ce réseau, souvent appelé réseau démilitarisé (DMZ) ou réseau périphérique, relie les utilisateurs entrants aux serveurs Web et autres services. Les serveurs Web assurent alors la liaison avec les réseaux internes par l'intermédiaire d'un pare-feu interne.Réseaux internes
Les réseaux internes relient les serveurs internes, tels que SQL Server, et les utilisateurs internes.
Les réseaux d'entreprise comprennent généralement deux pare-feu distincts : le pare-feu du périmètre et le pare-feu interne. Bien qu'exécutant des tâches similaires, ces pare-feu n'ont pas la même vocation. En effet, le pare-feu du périmètre a pour fonction principale d'imposer une limite aux utilisateurs externes non approuvés, tandis que le pare-feu interne a pour fonctions principales d'empêcher les utilisateurs externes d'accéder au réseau interne et de délimiter le champ d'action des utilisateurs internes. Pour plus d'informations sur la conception du pare-feu du périmètre, voir « Conception de pare-feu de périmètre ».
Ces réseaux sont illustrés dans la Figure 1
.gif)
Figure 1 Architecture du réseau de l'entreprise
Impératifs de la conception
Un pare-feu vérifie les paquets IP entrants et bloque les tentatives d'intrusion qu'il détecte. Le blocage peut s'effectuer par défaut, en identifiant le caractère illégal de certains paquets. Vous pouvez également configurer le pare-feu pour qu'il bloque certains paquets. Le protocole TCP/IP, conçu il y a plusieurs années, n'intègre pas le concept de piratage ou d'intrusion et comporte de nombreuses déficiences. Par exemple, le protocole ICMP a été conçu comme un mécanisme de signalisation dans TCP/IP. Cependant, il peut être détourné de sa fonction première et engendrer des problèmes tels que des attaques par déni de Service. Les exigences envers un pare-feu interne sont beaucoup plus strictes que pour un pare-feu de périmètre, car le trafic interne est plus difficile à contrôler, sa destination légitime pouvant être n'importe quel serveur du réseau interne.
Il existe plusieurs types de pare-feu différents. Ils se distinguent notamment par leur prix, mais surtout par leurs fonctionnalités et leurs performances. En règle générale, plus le pare-feu coûte cher, plus il est puissant et riche en fonctionnalités. Les pare-feu sont regroupés par catégories plus loin dans ce module afin de les différencier, mais avant de sélectionner un pare-feu, vous devez déterminer vos exigences. Les considérations suivantes doivent être prises en compte :
Budget
Dispositifs existants
Disponibilité
Capacité d'évolution
Fonctions requises
Budget
De quel budget disposez-vous ? Chaque pare-feu présent dans l'environnement doit offrir le meilleur niveau de service tout en restant économique. Pensez néanmoins aux possibles conséquences néfastes sur votre activité si vous optez pour un pare-feu trop bon marché. Tenez compte des coûts d'indisponibilité qui peuvent être désastreux pour votre organisation en cas d'interruption du service suite à une attaque par déni de Service.
Dispositifs existants
Existe-t-il des dispositifs qui peuvent être utilisés pour réduire les coûts ? Des pare-feu réutilisables et des routeurs ayant une fonction de pare-feu activée peuvent être déjà installés dans le réseau.
Disponibilité
Est-il vital pour votre entreprise que le pare-feu soit disponible en permanence ? Si vous gérez un serveur Web public accessible en permanence, vous avez besoin d'une disponibilité quasiment à 100 %. Comme aucun pare-feu n'est à l'abri d'une panne, comment pouvez-vous minimiser les risques ? Deux méthodes permettent d'améliorer la disponibilité d'un pare-feu :
Composants redondants
La duplication de certains des composants les plus exposés aux pannes, tels que l'alimentation, améliore la résilience du pare-feu. Le premier composant peut tomber en panne sans que cela n'affecte les opérations. En général, les pare-feu d'entrée de gamme n'offrent pas d'options redondantes. L'ajout de la résilience entraîne un surcoût important, car cela suppose généralement d'augmenter la puissance de traitement.Dispositifs dupliqués
La duplication du dispositif de pare-feu permet certes d'obtenir un système entièrement résilient, mais au détriment du prix, car elle exige également un câblage réseau et une connectivité en double au niveau des routeurs et des commutateurs auxquels le pare-feu est connecté. Toutefois, selon les pare-feu utilisés, cette opération peut également avoir pour effet de doubler le débit. En principe, tous les pare-feu, du plus petit au plus grand, peuvent être dupliqués, mais en réalité vous devez disposer d'un mécanisme de basculement par logiciel, qui peut faire défaut dans les pare-feu de faible capacité.
Capacité d'évolution
Quel débit les pare-feu doivent-ils offrir ? Il existe deux façons de calculer le débit : en nombre de bits par seconde ou en nombre de paquets transférés par seconde. Si l'entreprise est nouvelle, il se peut que vous ne connaissiez pas le débit. Si l'entreprise est en plein essor, le débit provenant d'Internet peut augmenter rapidement. Comment faire face à une augmentation du débit ? Vous devez opter pour une solution de pare-feu capable d'évoluer à mesure que le débit augmente. Pouvez-vous augmenter la capacité du pare-feu en ajoutant de nouveaux composants ou installer un autre pare-feu en parallèle ?
Fonctionnalités requises
De quelles fonctions de pare-feu avez-vous besoin ? L'évaluation des risques liés aux différents services proposés au sein de votre entreprise vous permet de déterminer les types de fonctionnalités de pare-feu nécessaires à la protection des ressources qui fournissent les services. Aurez-vous besoin de réseaux privés virtuels (VPN, Virtual Private Network), sachant que ces derniers affectent la conception ?
Attaques et défense du système
Cette section fournit un aperçu des attaques système les plus répandues et explique pourquoi il est judicieux d'utiliser le service de pare-feu en tant que première ligne de défense.
Attaques externes
Certaines personnes utilisent Internet pour nuire aux intérêts des entreprises ou subtiliser des secrets de fabrication et ainsi obtenir un avantage concurrentiel. Si vous installez un pare-feu de périmètre, consultez le journal des intrusions. Vous serez surpris par le nombre d'événements qui y sont consignés. La plupart de ces intrusions n'ont pour seul but que de tester les réactions de votre machine et de découvrir les services que vous exécutez. Loin d'être anodines, ces agressions visent à percer à jour votre machine et ses points faibles en prévision d'une attaque.
Attaques internes
Toutes les attaques ne proviennent pas d'Internet. Vous devez également protéger vos informations sensibles contre les utilisateurs internes du réseau d'entreprise. La plupart des entreprises détiennent des informations sensibles qui ne doivent pas être communiquées à certains utilisateurs du réseau interne (employés, fournisseurs, sous-traitants ou clients).
Menaces d'intrusion
Les menaces d'intrusion peuvent revêtir diverses formes qu'il serait vain de chercher à décrire de manière exhaustive, car il en apparaît de nouvelles quotidiennement. Certaines intrusions, qui consistent à envoyer un ping à l'adresse d'un serveur, peuvent sembler inoffensives. Cependant, une fois qu'il a détecté la présence du serveur, le pirate peut tenter de lancer une attaque plus sérieuse. En d'autres termes, toutes les intrusions doivent être considérées comme potentiellement dangereuses. Voici quelques exemples d'intrusions, parmi les plus répandues :
Renifleurs de paquets
Un renifleur est une application logicielle ou un dispositif matériel connecté au réseau local qui capture des informations provenant de trames Ethernet. La fonction initiale de ces systèmes était de détecter les dysfonctionnements du trafic Ethernet ou de passer au crible les trames afin d'étudier chaque paquet IP. Les renifleurs fonctionnent en mode « promiscuous » : ils examinent tous les paquets sur le câble physique. De nombreuses applications, telles que Telnet, transmettent en clair des noms d'utilisateur et des mots de passe, qui peuvent être interceptés par les renifleurs. En d'autres termes, un pirate équipé d'un renifleur peut accéder à de nombreuses applications.Un pare-feu ne peut pas contrer un renifleur, car d'une part ce dernier ne génère pas de trafic réseau et, d'autre part, la plupart des intrus potentiels seraient vos propres utilisateurs à l'intérieur du pare-feu. Des logiciels de reniflage peuvent être téléchargés gratuitement depuis Internet et vos utilisateurs peuvent les exécuter sur leurs PC afin d'examiner les paquets transmis. Si vous exécutez des systèmes d'exploitation Microsoft® Windows® sur vos PC, vos utilisateurs ont normalement besoin d'un accès administrateur pour exécuter un renifleur. Le nombre d'utilisateurs pouvant exécuter un renifleur est donc limité. Cependant, ceux de vos utilisateurs qui possèdent un accès administrateur, et ils sont parfois nombreux, peuvent exécuter un renifleur. Ils peuvent non seulement accéder à des données confidentielles, mais également lire des mots de passe en clair, comme indiqué plus haut. Or, comme la plupart des utilisateurs choisissent le même mot de passe pour toutes leurs applications, les intrus peuvent en déduire les mots de passe codés et accéder là où ils veulent. Différentes mesures permettent de contrer le reniflage, la principale d'entre elles consistant à utiliser des mots de passe fortement cryptés, mais cela sort du cadre de ce module.
Usurpation d'adresse IP
L'usurpation d'adresse IP consiste à modifier l'adresse source d'un paquet IP afin de masquer l'identité de l'expéditeur. Le processus de routage via Internet n'utilise que l'adresse de destination pour acheminer un paquet et ignore l'adresse source. Un pirate peut donc envoyer à votre système un paquet malicieux en falsifiant la source afin que ne puissiez pas savoir d'où il vient. Bien que l'usurpation ne fasse pas forcément de dégâts, elle n'en constitue pas moins une intrusion. L'adresse peut être externe au réseau (pour masquer l'identité de l'intrus) ou il peut s'agir d'une adresse interne approuvée disposant de privilèges d'accès. L'usurpation est couramment utilisée pour perpétrer des attaques par déni de Service (DoS, Denial of Service), décrites plus loin dans ce module.Attaques par Déni de Service
Les attaques par déni de Service (DoS) comptent parmi les plus difficiles à prévenir. Elles diffèrent des autres types d'attaques en cela qu'elles n'occasionnent pas de dommages irréversibles sur votre réseau. Au lieu de cela, elles tentent de mettre le réseau hors service en bombardant un ordinateur particulier (un serveur ou un dispositif du réseau) ou en ralentissant le débit des liaisons réseau jusqu'à ce que les performances soient suffisamment médiocres pour irriter les clients et occasionner un manque à gagner pour l'entreprise. Une attaque DoS distribuée (DDoS, Distributed DoS) est lancée depuis plusieurs autres ordinateurs qui concentrent leur bombardement sur votre système. Les ordinateurs qui mènent l'attaque n'en sont pas les instigateurs, mais ils se sont laissés infiltrer en raison de leur sécurité déficiente.Attaques de la couche applicative
Les attaques de la couche applicative comptent parmi les plus fréquentes. Elles profitent généralement des failles bien connues des applications, telles que les serveurs Web et les serveurs de base de données. Le problème, en particulier pour les serveurs Web, est qu'ils sont accessibles au public, et par conséquent à des utilisateurs inconnus à qui vous ne pouvez pas faire confiance. La plupart des attaques profitent des failles du produit. En règle générale, la meilleure défense consiste à installer les dernières mises à jour fournies par les fabricants. Le tristement célèbre ver Slammer, associé au langage SQL (Structured Query Language), a touché plus de 35 000 systèmes en un laps de temps très court après sa diffusion en janvier 2003. Il a profité d'un problème connu de Microsoft® SQL Server™ 2000 pour lequel Microsoft avait déjà fourni un correctif quatre mois plus tôt, en août 2002. En fait, de nombreux administrateurs n'avaient pas installé la mise à jour recommandée et ne disposaient pas des pare-feu adéquats (qui auraient permis de bloquer les paquets destinés au port utilisé par le ver). Notez que le pare-feu n'intervient qu'en dernier ressort dans ce cas ; les fabricants recommandent d'installer les mises à jour de tous les produits, ne serait-ce que pour empêcher les attaques de la couche applicative.Reconnaissance du réseau
La reconnaissance du réseau consiste à balayer les réseaux afin de repérer des adresses IP valables, des noms de DNS (système de nom de domaine) et des ports IP avant de lancer une attaque. Bien qu'inoffensive en elle-même, la reconnaissance du réseau peut aider une personne malveillante à découvrir les adresses utilisées en vue d'une attaque hostile. Si vous consultez les journaux d'un pare-feu, vous vous apercevrez que la plupart des intrusions sont de cette nature. La plupart des sondages consistent à balayer les ports de réception TCP (Transport Control Protocol) et UDP (User Datagram Protocol), ainsi que d'autres ports de réception connus, tels que ceux utilisés par Microsoft SQL Server, NetBIOS (Network Basic Input/Output System), HTTP (HyperText Transfer Protocol) et SMTP (Simple Mail Transport Protocol). Ce type de sondage attend une réponse, qui indique au pirate que le serveur existe, et exécute un de ces services. La plupart des sondages peuvent être bloqués par le routeur de frontière ou par un pare-feu, mais la désactivation de certains de ces services peut restreindre les capacités de diagnostic du réseau.
Définition du dispositif
Un pare-feu est un mécanisme qui contrôle le flux du trafic IP entre deux réseaux. Les dispositifs de pare-feu fonctionnent au niveau de la couche 3 du modèle OSI (interconnexion de systèmes ouverts), bien que certains modèles puissent également fonctionner à des niveaux supérieurs.
Un pare-feu interne offre généralement les avantages suivants :
Défense des serveurs internes contre des attaques provenant du réseau
Mise en œuvre de politiques d'accès et d'utilisation du réseau
Surveillance du trafic et génération d'alertes en cas de détection de schémas suspects
Il est important de noter que les pare-feu ne peuvent atténuer que certains types de risques. En particulier, ils sont incapables d'empêcher les dommages infligés à un serveur à cause d'une faille du logiciel. Les pare-feu font partie de l'architecture de protection globale d'une organisation.
Fonctionnalités du pare-feu
Selon les fonctionnalités prises en charge par le pare-feu, le trafic peut être autorisé ou bloqué par diverses techniques qui offrent différents niveaux de protection. Les fonctionnalités de pare-feu suivantes sont présentées de la plus simple à la plus complexe :
Filtrage des entrées de la carte réseau
Filtrage statique de paquets
Traduction d'adresses réseau (NAT)
Inspection dynamique
Analyse des circuits
Filtrage applicatif
En général, les pare-feu qui offrent des fonctionnalités complexes prennent également en charge les fonctionnalités les plus simples. Toutefois, lisez attentivement les instructions du fournisseur avant de choisir un produit, car des différences subtiles peuvent exister entre les capacités réelles et supposées d'un pare-feu. La sélection d'un pare-feu suppose généralement de se renseigner sur ses fonctionnalités et de les tester afin de s'assurer que le produit est bien conforme à ses spécifications.
Filtrage des entrées de la carte réseau
Le filtrage des entrées de la carte réseau consiste à examiner les adresses source ou destination et d'autres informations contenues dans le paquet entrant, puis à bloquer le paquet ou l'autoriser à continuer. Il ne s'applique qu'au trafic entrant et ne peut pas contrôler le trafic sortant. Il examine les adresses IP et les numéros de port afin d'identifier les protocoles UDP et TCP, ainsi que le protocole du trafic, TCP, UDP et GRE (Generic Routing Encapsulation). Le filtrage des entrées de la carte réseau permet de refouler rapidement et efficacement les paquets entrants standard qui répondent aux critères configurés dans le pare-feu. Cependant, ce type de filtrage est facile à contourner, car il n'examine que les en-têtes du trafic IP, partant du principe que le trafic filtré est conforme aux standards IP et qu'il n'a pas été manipulé pour contourner le filtrage.
Filtrage statique de paquets
Le filtrage statique de paquets ressemble au filtrage des entrées de la carte réseau dans la mesure où il n'examine que les en-têtes IP afin de déterminer si le trafic doit être autorisé à traverser l'interface ou non. Toutefois, ce type de filtrage permet de contrôler les communications entrantes et sortantes. De plus, il permet de vérifier que le bit ACK (ACKnowledged) est défini dans l'en-tête IP. Le bit ACK identifie le paquet comme une nouvelle requête ou comme un retour d'une requête initiale. Il ne vérifie pas que le paquet a été envoyé par la carte qui le reçoit. Il contrôle simplement si le trafic qui arrive au niveau de la carte est un trafic de retour, suivant les conventions applicables aux en-têtes IP.
Cette technique ne s'applique qu'au protocole TCP, et non au protocole UDP. À l'instar du filtrage des entrées de la carte réseau, ce type de filtrage est extrêmement rapide, mais ses capacités sont limitées et il peut être contourné en manipulant le trafic.
Translation des adresses réseau
Dans la gamme mondiale des adresses IP, certaines adresses sont désignées comme des adresses privées. Ces adresses sont destinées à être utilisées au sein de votre entreprise et ne représentent rien vis-à-vis d'Internet. Le trafic à destination de ces adresses IP ne pouvant pas être acheminé par Internet, l'affectation d'adresses privées aux périphériques internes permet de limiter les risques d'intrusion. Cependant, ces périphériques internes ayant souvent besoin d'accéder à Internet, la technologie NAT (Network Address Translation) convertit les adresses privées en adresses Internet.
Bien que la technologie NAT ne constitue pas à proprement parler une technologie de pare-feu, la dissimulation de l'adresse IP réelle d'un serveur empêche les agresseurs d'obtenir des informations précieuses sur le serveur.
Inspection dynamique
L'inspection dynamique consigne la totalité du trafic sortant dans une table des états. Lorsque le trafic de connexion retourne à l'interface, la table des états est contrôlée afin de vérifier qu'il provenait bien de cette interface. L'inspection dynamique est légèrement plus lente que le filtrage statique des paquets. Cependant, elle garantit que le trafic ne passe que s'il correspond aux requêtes de trafic sortant. La table des états contient des informations telles que l'adresse IP de destination, l'adresse IP source, le port appelé et l'hôte d'origine.
La quantité d'informations (telles que les fragments IP envoyés et reçus) consignées dans la table des états varie d'un pare-feu à l'autre. Le pare-feu peut vérifier que le trafic est traité lorsque tout ou partie des informations fragmentées revient. Lisez attentivement la documentation du pare-feu, car tous les fournisseurs ne mettent pas en œuvre l'inspection dynamique de la même façon. En général, la fonctionnalité d'inspection dynamique contribue à atténuer les risques engendrés par la reconnaissance du réseau et l'usurpation d'adresse IP.
Analyse des circuits
Le filtrage des circuits permet d'analyser les sessions, et non plus seulement les connexions ou les paquets. Une session peut comprendre plusieurs connexions. À l'instar du filtrage de paquets dynamique, les sessions sont uniquement établies en réponse à une demande d'un utilisateur. Le filtrage de circuit prend en charge les protocoles avec connexions secondaires, comme FTP et le flux multimédia en continu. Il contribue à réduire les risques d'attaque par reconnaissance du réseau, DoS et usurpation d'adresse IP.
Filtrage de la couche applicative
Le filtrage de la couche applicative constitue le niveau d'inspection du trafic le plus sophistiqué. Des filtres d'application performants permettent d'analyser un flux de données pour une application particulière et de proposer un traitement spécifique à l'application. Ce traitement comprend l'inspection, le filtrage ou le blocage, le réacheminement et la modification des données qui traversent le pare-feu. Ce mécanisme permet notamment de se protéger contre des commandes SMTP non sécurisées ou des attaques contre des DNS (Domain Name System) internes. Vous pouvez généralement ajouter à votre pare-feu des outils de filtrage de contenu provenant d'autres fournisseurs, par exemple pour la détection des virus, l'analyse lexicale et la catégorisation des sites.
Un pare-feu applicatif est capable d'examiner de nombreux protocoles différents en fonction du trafic qui le traverse. Contrairement à un pare-feu proxy qui examine généralement le trafic Internet, comme HTTP, FTP en lecture seule et SSL, le pare-feu applicatif contrôle de manière plus précise le trafic qui le traverse. Par exemple, un pare-feu applicatif est capable de n'autoriser que le passage du trafic UDP provenant de l'intérieur de la frontière du pare-feu. Supposons qu'un hôte Internet soit sur le point d'analyser les ports d'un pare-feu dynamique pour savoir s'il autorise le trafic DNS dans l'environnement. L'analyse des ports montrerait certainement que le port associé au DNS est ouvert, mais dès qu'une attaque serait lancée, le pare-feu applicatif refuserait les requêtes, car elles ne proviendraient pas de l'intérieur. Un pare-feu applicatif pourrait ouvrir les ports dynamiquement, selon que le trafic provient de l'intérieur ou non.
Le pare-feu applicatif contribue à réduire les risques liés aux attaques par usurpation d'adresse IP, DoS, reconnaissance du réseau, chevaux de Troie et certaines attaques de la couche applicative. Les inconvénients d'un pare-feu applicatif sont qu'il nécessite une capacité de traitement importante et qu'il est généralement plus lent à acheminer le trafic que les pare-feu par filtrage dynamique ou statique. Les performances du pare-feu au niveau de la couche applicative sont déterminantes dans l'utilisation d'un pare-feu applicatif.
Le filtrage de la couche applicative est couramment utilisé pour protéger les services accessibles au public. Si votre entreprise possède une boutique en ligne qui collecte des numéros de carte de crédit et d'autres informations personnelles sur les clients, la prudence exige de prendre un maximum de précautions pour protéger ces informations. Le filtrage de la couche applicative garantit que le trafic qui passe par un port est acceptable. Contrairement au filtrage statique ou dynamique des paquets, qui se contente d'examiner le port et l'adresse IP source et destination, le filtrage de la couche applicative examine les données et les commandes entrantes et sortantes.
La plupart des pare-feu qui prennent en charge le filtrage de la couche applicative ne peuvent filtrer que le trafic en clair, tel que le service de messagerie de type proxy, HTTP et FTP. Il est important de se rappeler qu'un pare-feu qui prend en charge cette fonctionnalité peut contrôler le trafic qui entre et sort de l'environnement. Un autre avantage de cette fonctionnalité réside dans sa capacité à examiner le trafic DNS et les commandes qui lui sont propres. Ce niveau de protection supplémentaire empêche aux utilisateurs ou à d'éventuels agresseurs de dissimuler des informations dans les types de trafic autorisés.
Catégories de pare-feu
La section qui suit présente différentes catégories de pare-feu, ainsi que les fonctionnalités qu'elles proposent. Des catégories de pare-feu spécifiques peuvent être utilisées afin de satisfaire des exigences propres à la conception d'une architecture informatique.
Le regroupement des pare-feu en catégories permet de faire abstraction du matériel afin d'identifier les exigences liées au service. Il est ensuite possible d'associer ces exigences aux fonctionnalités d'une catégorie. Dès lors qu'un pare-feu appartient à une catégorie particulière, il prend en charge tous les services de cette catégorie.
Catégories existantes :
Catégorie 1 – Pare-feu personnel
Catégorie 2 – Pare-feu/routeur
Catégorie 3 – Pare-feu matériel d'entrée de gamme
Catégorie 4 – Pare-feu matériel haut de gamme
Catégorie 5 – Pare-feu/serveur haut de gamme
Il est important de comprendre que certaines de ces catégories se chevauchent. Cela a été voulu, afin qu'un même type de solution de pare-feu puisse englober plusieurs catégories. En outre, plusieurs solutions matérielles d'un même fournisseur sont ainsi compatibles avec plusieurs catégories, ce qui permet à votre entreprise de sélectionner la solution la mieux adaptée à ses exigences actuelles et futures. Outre le prix et la richesse fonctionnelle, les performances (ou le débit) constituent un critère de catégorisation des pare-feu. Cependant, les fabricants ne communiquent pas les débits atteignables par la plupart des catégories de pare-feu. Lorsque ces chiffres sont fournis (en général pour les dispositifs de pare-feu matériel), aucun processus de mesure standard n'est appliqué, ce qui rend difficiles les comparaisons entre les fabricants. Par exemple, l'une des mesures utilisées est le nombre de bits par seconde (bps), mais comme le pare-feu transmet en fait des paquets IP, cette mesure n'est pas significative si la taille du paquet utilisé pour mesurer le débit n'est pas indiquée.
Les paragraphes qui suivent décrivent plus en détail les différentes catégories de pare-feu.
Catégorie 1 – Pare-feu personnel
Il s'agit d'un service logiciel exécuté dans un système d'exploitation qui fournit une capacité de pare-feu simple à un ordinateur personnel. Ces derniers temps, l'utilisation de pare-feu personnels a connu une forte croissance avec l'augmentation du nombre de connexions Internet permanentes (qui diffèrent des connexions par modem).
Bien qu'il soit conçu pour protéger un seul ordinateur personnel, un pare-feu personnel peut également protéger un réseau de faible envergure si l'ordinateur sur lequel il est installé partage sa connexion Internet avec d'autres ordinateurs du réseau interne. Toutefois, un pare-feu personnel s'avère peu efficace et ralentit les performances de l'ordinateur personnel sur lequel il est installé. Les mécanismes de protection sont souvent moins efficaces qu'une solution de pare-feu spécialisée, car ils se contentent de bloquer les adresses IP et les ports. Cependant, le niveau de protection requis sur un ordinateur personnel est généralement moins élevé.
Les pare-feu personnels peuvent être intégrés gratuitement au système d'exploitation ou moyennant un coût modique. Bien que parfaitement opérationnels, il est déconseillé de les utiliser dans une entreprise, même dans une petite succursale, étant données leurs fonctions et leurs performances réduites. Ils sont néanmoins particulièrement bien adaptés pour les utilisateurs mobiles travaillant sur des ordinateurs portables.
Le tableau ci-dessous présente les fonctionnalités que les pare-feu peuvent proposer. Les capacités et les prix des pare-feu sont extrêmement variables d'un produit à l'autre. Cependant, l'absence d'une fonctionnalité particulière, surtout sur un ordinateur portable, ne revêt pas nécessairement une grande importance.
Tableau 1 : Catégorie 1 – Pare-feu personnels
| Attribut du pare-feu | Valeur |
|---|---|
| Fonctions élémentaires prises en charge | La plupart des pare-feu personnels prennent en charge le filtrage statique des paquets, la technologie NAT et le filtrage dynamique. Certains d'entre eux prennent également en charge l'analyse des circuits et/ou le filtrage de la couche applicative. |
| Configuration | Automatique (l'option manuelle est également disponible) |
| Blocage ou autorisation des adresses IP | Oui |
| Blocage ou autorisation du protocole ou des numéros de ports | Oui |
| Blocage ou autorisation des messages ICMP entrants | Oui |
| Contrôle de l'accès sortant | Oui |
| Protection applicative | Éventuellement |
| Alertes sonores ou visibles | Éventuellement |
| Journalisation des attaques | Éventuellement |
| Alertes en temps réel | Selon le produit |
| Prise en charge des VPN | En général non |
| Gestion à distance | En général non |
| Assistance du fabricant | Grande disparité d'un produit à l'autre |
| Option de grande disponibilité | Non |
| Nombre de sessions simultanées | De 1 à 10 |
| Mise à niveau par module (matériel ou logiciel) | Non, ou restreinte |
| Gamme de prix | Coût peu élevé (gratuit dans certains cas) |
| Attribut du pare-feu | Valeur |
|---|---|
| Fonctions élémentaires prises en charge | La plupart des pare-feu/routeurs prennent en charge le filtrage statique des paquets. En principe, les routeurs d'entrée de gamme prennent en charge la technologie NAT et les routeurs haut de gamme le filtrage dynamique et/ou le filtrage de la couche applicative. |
| Configuration | En général, automatique sur les routeurs d'entrée de gamme (avec des options manuelles). Souvent manuelle sur les routeurs haut de gamme. |
| Blocage ou autorisation des adresses IP | Oui |
| Blocage ou autorisation du protocole ou des numéros de ports | Oui |
| Blocage ou autorisation des messages ICMP entrants | Oui |
| Contrôle de l'accès sortant | Oui |
| Protection applicative | Éventuellement |
| Alertes sonores ou visibles | En général |
| Journalisation des attaques | Dans la plupart des cas |
| Alertes en temps réel | Dans la plupart des cas |
| Prise en charge des VPN | Fréquente sur les routeurs d'entrée de gamme, moins courante sur les routeurs haut de gamme. Des dispositifs ou serveurs spécialisés distincts sont disponibles pour cette tâche. |
| Gestion à distance | Oui |
| Assistance du fabricant | Généralement limitée pour les routeurs d'entrée de gamme et satisfaisante pour les routeurs haut de gamme. |
| Option de grande disponibilité | Entrée de gamme : non Haut de gamme : oui |
| Nombre de sessions simultanées | 10 – 1 000 |
| Mise à niveau par module (matériel ou logiciel) | Entrée de gamme : non Haut de gamme : limitée |
| Gamme de prix | De faible à élevé |
| Attribut du pare-feu | Valeur |
|---|---|
| Fonctions élémentaires prises en charge | La plupart des pare-feu matériels d'entrée de gamme prennent en charge le filtrage statique des paquets et la technologie NAT. Ils peuvent également proposer le filtrage dynamique et/ou le filtrage de la couche applicative. |
| Configuration | Automatique (l'option manuelle est également disponible) |
| Blocage ou autorisation des adresses IP | Oui |
| Blocage ou autorisation du protocole ou des numéros de ports | Oui |
| Blocage ou autorisation des messages ICMP entrants | Oui |
| Contrôle de l'accès sortant | Oui |
| Protection applicative | En général non |
| Alertes sonores ou visibles | En général non |
| Journalisation des attaques | En général non |
| Alertes en temps réel | En général non |
| Prise en charge des VPN | Parfois |
| Gestion à distance | Oui |
| Assistance du fabricant | Limitée |
| Option de grande disponibilité | En général non |
| Nombre de sessions simultanées | > 10–7 500 |
| Mise à niveau par module (matériel ou logiciel) | Limitée |
| Gamme de prix | Faible |
| Attribut du pare-feu | Valeur |
|---|---|
| Fonctions élémentaires prises en charge | La plupart des pare-feu matériels haut de gamme prennent en charge le filtrage statique des paquets et la technologie NAT. Ils peuvent également proposer le filtrage dynamique et/ou le filtrage de la couche applicative. |
| Configuration | Manuelle, en général |
| Blocage ou autorisation des adresses IP | Oui |
| Blocage ou autorisation du protocole ou des numéros de ports | Oui |
| Blocage ou autorisation des messages ICMP entrants | Oui |
| Contrôle de l'accès sortant | Oui |
| Protection applicative | Éventuellement |
| Alertes sonores ou visibles | Oui |
| Journalisation des attaques | Oui |
| Alertes en temps réel | Oui |
| Prise en charge des VPN | Éventuellement |
| Gestion à distance | Oui |
| Assistance du fabricant | Bonne |
| Option de grande disponibilité | Oui |
| Nombre de sessions simultanées | > 7 500–500 000 |
| Mise à niveau par module (matériel ou logiciel) | Oui |
| Gamme de prix | Élevée |
| Attribut du pare-feu | Valeur |
|---|---|
| Fonctions prises en charge | La plupart des pare-feu/serveurs haut de gamme prennent en charge le filtrage statique des paquets et la technologie NAT. Ils peuvent également proposer le filtrage dynamique et/ou le filtrage de la couche applicative. |
| Configuration | Manuelle, en général |
| Blocage ou autorisation des adresses IP | Oui |
| Blocage ou autorisation du protocole ou des numéros de ports | Oui |
| Blocage ou autorisation des messages ICMP entrants | Oui |
| Contrôle de l'accès sortant | Oui |
| Protection applicative | Éventuellement |
| Alertes sonores/visuelles | Oui |
| Journalisation des attaques | Oui |
| Alertes en temps réel | Oui |
| Prise en charge des VPN | Éventuellement |
| Gestion à distance | Oui |
| Assistance du fabricant | Bonne |
| Option de grande disponibilité | Oui |
| Nombre de sessions simultanées | > 50 000 (sur plusieurs segments de réseau) |
| Mise à niveau par module (matériel ou logiciel) | Oui |
| Autres | Système d'exploitation courant |
| Gamme de prix | Élevée |
| Aspect | Caractéristiques habituelles d'un pare-feu mis en œuvre dans cette capacité |
|---|---|
| Fonctions de pare-feu requises par l'administrateur de sécurité. | Il s'agit d'un compromis entre le niveau de sécurité requis, le coût et la baisse éventuelle de performances résultant du renforcement de la sécurité. Tandis qu'un grand nombre d'entreprises recherchent une sécurité maximale pour leur pare-feu interne, certaines d'entre elles ne sont pas disposées à accepter la réduction de performances qui en résulte. Ce peut être le cas, par exemple, des sites Web qui génèrent un important trafic et ne pratiquent pas de commerce électronique. Ces sites peuvent privilégier le débit par rapport au niveau de sécurité, en mettant en place un filtrage statique des paquets au lieu d'un filtrage de la couche applicative. |
| Choix d'un type de dispositif (physique dédié à la fonction de pare-feu ou disposant d'autres fonctions ou pare-feu logique sur un dispositif physique). | Cela dépend du niveau de performance requis, de la sensibilité des données et de la fréquence d'accès requise depuis la zone du périmètre. |
| Facilité de gestion du dispositif, conformément aux spécifications de l'architecture de gestion de l'entreprise | Une certaine forme de journalisation est généralement effectuée et un mécanisme de surveillance des événements est souvent nécessaire. Vous pouvez décider de ne pas autoriser l'administration à distance afin d'éviter qu'un utilisateur malveillant ne prenne le contrôle du dispositif à distance. |
| Les conditions de débit seront probablement déterminées par les administrateurs de service et de réseau à l'intérieur de l'organisation. | Ces conditions peuvent varier d'un environnement à l'autre, mais le débit global du réseau disponible dépend de la puissance du matériel du dispositif ou du serveur et des fonctions de pare-feu utilisées. |
| Conditions de disponibilité. | Là encore, cela dépend des exigences d'accès à partir des serveurs Web. S'ils ont pour fonction principale de traiter les demandes d'informations satisfaites en fournissant des pages Web, le flux vers les réseaux internes sera lent. Cependant, de hauts niveaux de disponibilité seront nécessaires pour un site de commerce électronique. |