Les pare-feu dynamiques interceptent les paquets au niveau de la couche réseau, puis déduisent et analysent les données de toutes les couches de communication afin d'améliorer la sécurité. Des informations sur l'état de la connexion et d'autres données contextuelles sont stockées et mises à jour de manière dynamique. Cela fournit un contexte précieux pour évaluer les futures tentatives de communication.
Get a Personal Firewall Demo Benchmark de sécurité Miercom 2024 NGFW
Les ordinateurs utilisent des protocoles bien définis pour communiquer sur le réseau local et sur l'internet.
Il s'agit notamment des protocoles de transport de la couche inférieure, tels que TCP et UDP, et des protocoles de la couche d'application supérieure, tels que HTTP et FTP.
Les pare-feu avec état inspectent les paquets du réseau, en suivant l'état des connexions à l'aide de ce que l'on sait des protocoles utilisés dans la connexion au réseau. Par exemple, le protocole TCP est un protocole orienté connexion avec un contrôle d'erreur pour assurer la livraison des paquets.
Une connexion TCP entre un client et un serveur commence par une poignée de main à trois voies pour établir la connexion. Un paquet est envoyé par un client avec un drapeau SYN (synchronisation) placé dans le paquet. Le serveur qui reçoit le paquet comprend qu'il s'agit d'une tentative d'établissement d'une connexion et répond par un paquet avec les drapeaux SYN et ACK (acknowledge). Lorsque le client reçoit ce paquet, il répond par un ACK pour commencer à communiquer sur la connexion.
C'est le début d'une connexion que d'autres protocoles utilisent ensuite pour transmettre des données ou communiquer.
Par exemple, le navigateur du client peut utiliser la connexion TCP établie pour transmettre le protocole web, HTTP GET, afin d'obtenir le contenu d'une page web.
Lorsque la connexion est établie, on dit que l'état est établi. À la fin de la connexion, le client et le serveur mettent fin à la connexion en utilisant des drapeaux dans le protocole comme FIN (finish). Lorsque la connexion passe de l'état ouvert à l'état établi, les pare-feu dynamiques stockent les informations relatives à l'état et au contexte dans des tableaux et les mettent à jour de manière dynamique au fur et à mesure que la communication progresse. Les informations stockées dans les tables d'état fournissent des données cumulatives qui peuvent être utilisées pour évaluer les connexions futures.
Pour les protocoles sans état tels que UDP, le pare-feu dynamique crée et stocke des données contextuelles qui n'existent pas dans le protocole lui-même. Cela permet au pare-feu de suivre une connexion virtuelle au-dessus de la connexion UDP plutôt que de traiter chaque paquet de demande et de réponse entre une application client et une application serveur comme une communication individuelle.
Les sessions FTP utilisent plus d'une connexion. L'une est une connexion de commande et l'autre est une connexion de données par laquelle les données transitent.
Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4
Lorsque la connexion de données est établie, elle doit utiliser les adresses IP et les ports contenus dans cette table de connexion. Un pare-feu dynamique utilisera ces données pour vérifier que toute tentative de connexion aux données FTP répond à une requête valide. Une fois la connexion fermée, l'enregistrement est supprimé du tableau et les ports sont bloqués, ce qui empêche tout trafic non autorisé.
Un pare-feu sans état évalue chaque paquet individuellement. Il peut inspecter les adresses IP source et destination ainsi que les ports d'un paquet et le filtrer sur la base de listes de contrôle d'accès (ACL) simples. Par exemple, un pare-feu sans état peut mettre en œuvre une politique de "refus par défaut" pour la plupart du trafic entrant, n'autorisant que les connexions à des systèmes particuliers, tels que les serveurs web et de messagerie. Par exemple, autoriser les connexions à des adresses IP spécifiques sur les ports TCP 80 (HTTP) et 443 (HTTPS) pour le web et sur le port TCP 25 (SMTP) pour le courrier électronique.
Les pare-feu dynamiques, quant à eux, suivent et examinent une connexion dans son ensemble. Ils suivent l'état actuel des protocoles avec état, comme TCP, et créent une superposition de connexions virtuelles pour les connexions telles que UDP.
Les pare-feu avec état ont les mêmes capacités que les pare-feu sans état, mais ils sont également capables de détecter et d'autoriser dynamiquement les communications application, ce qui n'est pas le cas des pare-feu sans état. Les pare-feu sans état ne sont pas conscients de application, c'est-à-dire qu'ils ne peuvent pas comprendre le contexte d'une communication donnée.
Le pare-feu de Check Point est intégré dans la pile réseau du noyau du système d'exploitation. Il se situe dans la couche logicielle la plus basse, entre la carte d'interface réseau physique (couche 2) et la couche la plus basse de la pile de protocoles réseau, généralement IP.
En s'insérant entre les composants physiques et logiciels de la pile réseau d'un système, le pare-feu étatique Check Point garantit une visibilité totale sur l'ensemble du trafic entrant et sortant du système. Aucun paquet n'est traité par l'une des couches supérieures de la pile de protocoles tant que le pare-feu n'a pas vérifié que le paquet est conforme à la politique de contrôle d'accès à la sécurité du réseau.
Le pare-feu dynamique Check Point offre un certain nombre d'avantages précieux, notamment
Check Point’s next-generation firewalls (NGFW) intègrent les caractéristiques d'un pare-feu dynamique avec d'autres fonctionnalités essentielles de sécurité du réseau. Pour en savoir plus sur ce qu'il faut rechercher dans un FNGF, consultez le site suivant ce guide de l'acheteur. Vous êtes également invités à demandez un démo gratuit pour voir les NGFW de Check Point en action.