What Is a Stateful Packet Inspection Firewall?

Un pare-feu à inspection des paquets avec état (SPI) suit en interne l'état des connexions réseau en cours. Cela lui permet d'identifier un trafic anormal qui échapperait à un pare-feu dépourvu de cette capacité de suivi de l'état.

Demander une démo Miercom 2024, le point de référence en matière de sécurité

Fonctionnement des pare-feu à inspection dynamique des paquets

Les premiers pare-feu étaient des systèmes sans état qui déterminaient s'il fallait ou non autoriser le passage d'un paquet entrant en se basant sur les en-têtes du paquet. Ils peuvent bloquer le trafic en provenance ou à destination de certaines adresses IP ou utiliser certains protocoles de réseau pour empêcher l'entrée ou la sortie du réseau.

Toutefois, ces premiers pare-feu n'étaient pas en mesure de déterminer si un paquet était valide dans le contexte d'une connexion active existante. Par exemple, le Déni de service distribué (DDoS) amplification attaque cybernétique envoie une requête avec une adresse IP source usurpée à un service légitime, qui envoie la réponse à l'adresse indiquée, la spammant avec du trafic entrant indésirable. Bien que le contenu de cette réponse soit valide et ne viole aucune règle de pare-feu, il s'agit d'une réponse sans demande correspondante.

Cependant, il n'est possible de le déterminer qu'en connaissant les paquets précédents.

Les pare-feu SPI suivent en interne l'état des connexions réseau sur la base des adresses IP source et destination et des numéros de port. Ces informations identifient de manière unique une connexion et permettent au pare-feu d'enregistrer son état actuel.

Lorsque le pare-feu voit un nouveau paquet, il vérifie l'état actuel de la connexion réseau et détermine si le paquet est valide ou non dans le contexte de cette connexion. Cette vérification supplémentaire - au-delà des règles de pare-feu utilisées par le pare-feu sans état - lui permet d'identifier et de bloquer différents types d'attaques telles que les attaques d'amplification DDoS, les balayages ACK et d'autres trafics malveillants qui ne sont pas valides dans leur contexte.

Principales caractéristiques d'un pare-feu SPI

La croissance des applications modèle SaaS signifie qu'un pourcentage important d'entre elles communiquent via HTTPS, ce qui limite l'efficacité du filtrage du trafic basé sur les ports et les protocoles.

Le pare-feu SPI offre certaines caractéristiques et fonctions essentielles à une organisation, notamment

  • Filtrage dynamique des paquets : Le filtrage dynamique des paquets est la principale caractéristique qui différencie les pare-feu avec et sans état. La possibilité de suivre l'état d'une connexion réseau et d'autoriser ou de bloquer des paquets en fonction de cet état permet à ces pare-feu d'identifier le trafic malveillant qu'un pare-feu sans état ne verrait pas.
  • Inspection de la couche application : Certains pare-feu SPI ont la capacité d'effectuer une inspection limitée du trafic au niveau de la couche application (couche 7 de l'OSI) afin de renforcer leurs capacités de suivi de l'état. Cela leur permet de déterminer si un paquet est légitime dans le contexte d'une session HTTP, DNS ou d'une autre couche d'application.
  • évolutivité et performance : L'inspection avec état du trafic réseau nécessite plus de ressources qu'un pare-feu sans état. Les pare-feu SPI doivent disposer des ressources nécessaires pour analyser et sécuriser le trafic du réseau d'entreprise à grande échelle tout en minimisant la latence et les impacts sur les performances.
  • Journalisation et surveillance : Les pare-feu offrent une visibilité vitale sur le trafic qui tente d'entrer ou de sortir du réseau d'une organisation. Les pare-feu SPI doivent offrir des fonctions de journalisation et de surveillance pour permettre aux équipes de sécurité de détecter les tentatives d'intrusion.
  • Intégration de la sécurité : Les pare-feu sont l'un des éléments de l'architecture de sécurité de l'entreprise. Ils devraient s'intégrer à d'autres solutions de sécurité pour renforcer les capacités de prévention des menaces et simplifier la gestion de la sécurité.

Mise en œuvre de pare-feu SPI dans l'infrastructure du réseau

Les pare-feu sont généralement déployés à la périphérie du réseau de l'entreprise, séparant les environnements internes de l'entreprise de l'Internet public. Dans certains cas, un pare-feu SPI peut incorporer une fonctionnalité de routage et agir comme une solution multifonctionnelle.

Lors de la sélection et du déploiement d'un pare-feu réseau, il est important de prendre en compte les besoins de votre entreprise et les fonctionnalités requises. Voici quelques éléments à prendre en compte :

  • Pare-feu de nouvelle génération (NGFW) : Tous les NGFW offrent des capacités d'inspection avec état, mais tous les pare-feu SPI n'ont pas les fonctionnalités d'un NGFW. L'éventail plus large de capacités de sécurité intégrées des NGFW les rend mieux à même d'identifier les cybermenaces plus modernes et plus sophistiquées.
  • Pare-feu alimenté par l'IA: L'intelligence artificielle et l'apprentissage machine (IA/ML) sont bien adaptés à l'analyse d'une multitude de données relatives au réseau et à la sécurité afin d'identifier les menaces probables pour le réseau. Au fur et à mesure que la technologie évolue, les NGFW intégrant l'IA et le ML dépasseront leurs homologues en termes de prévention des menaces, de capacités de réponse et d'efficacité.
  • Capacités de l'informatique en nuage: Avec l'expansion de l'informatique en nuage, les entreprises ont besoin d'un pare-feu capable d'évoluer pour répondre aux besoins de ces environnements en mutation rapide. En outre, cloud-native pare-feu peut tirer parti de cloud évolutivité pour minimiser les impacts de performance et de latence de l'inspection de sécurité pour les solutions sur site et basées sur cloud.

Quantum Force - Pare-feu et passerelle de sécurité alimentés par l'IA

Check Point Quantum Force Les NGFW offrent des capacités de prévention des menaces alimentées par l'IA afin d'identifier et de bloquer plus rapidement et plus précisément les tentatives d'attaques contre les actifs informatiques d'une organisation. Pour en savoir plus sur ce qu'il faut rechercher dans un NGFW, téléchargez ce guide de l'acheteur.

Avec une sécurité renforcée par l'IA et des renseignements intégrés sur les menaces, Quantum Force offre une prévention des menaces à la pointe de l'industrie pour les centres de données, le cœur de l'entreprise, le périmètre et les succursales. Pour découvrir les avantages de Quantum Force pour la cybersécurité de votre organisation, demandez une démonstration gratuite dès aujourd'hui.

Pour sécuriser vos environnements de réseau cloud, demandez une démo de Check Point CloudGuard réseau pare-feu.

Commencez

Quantum NGFW
Sécurité réseau hyperscale
Petites entreprises pare-feu

Sujets connexes

Pare-feu avec état
Top 4 Pare-feu de nouvelle génération
Logiciel pare-feu
Meilleures pratiques en matière de pare-feu

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK