L'objectif d'un pare-feu est de gérer les types de trafic qui peuvent entrer et sortir d'un réseau protégé. Le pare-feu se trouve à la frontière du réseau et inspecte tout le trafic qui tente de franchir cette frontière, qu'il soit entrant ou sortant. En fonction des règles définies, le pare-feu autorise ou bloque le trafic qui franchit cette frontière.
Les pare-feu se présentent sous diverses formes et peuvent être classés de plusieurs manières. S'il est important de connaître la différence entre un pare-feu de petite entreprise et un pare-feu d 'entreprise, il existe des critères de distinction encore plus fondamentaux, comme le fait de savoir si un pare-feu est avec ou sans état.
Un pare-feu dynamique est un pare-feu qui maintient un "état" ou stocke des informations sur les connexions réseau actives. Lorsqu'une connexion est ouverte, le pare-feu commence à la suivre et met à jour son état interne au fur et à mesure que de nouveaux paquets sont inspectés et traités par le pare-feu.
La capacité de maintenir un état permet au pare-feu d'identifier des paquets apparemment légitimes qui sortent de la séquence et ne sont pas valides. Par exemple, la plupart des organisations autorisent le trafic DNS entrant parce que les ordinateurs de l'organisation doivent effectuer des requêtes DNS pour déterminer l'adresse IP associée à divers sites web. Un pare-feu dynamique inspectant l'en-tête d'un paquet de réponses DNS entrant verra qu'il a un numéro de port de 53, qui est un numéro de port autorisé pour le trafic entrant en vertu des règles qu'il a définies.
Toutefois, un paquet de réponses DNS n'est valide que s'il répond à une requête correspondante. Un pare-feu dynamique aura un enregistrement des requêtes DNS effectuées par le système cible qui n'ont pas reçu de réponse. Si un pare-feu dynamique voit une réponse DNS sans demande correspondante, il sait qu'il doit bloquer cette réponse malveillante.
Un pare-feu sans état diffère d'un pare-feu avec état en ce sens qu'il ne conserve pas d'état interne d'un paquet à l'autre. Au lieu de cela, chaque paquet est évalué sur la base des données qu'il contient dans son en-tête.
Cela permet au pare-feu d'effectuer un filtrage de base des connexions entrantes et sortantes. L'inspection de l'adresse IP d'un paquet permet de déterminer s'il est autorisé ou non par la politique. De même, un pare-feu sans état bloque les paquets utilisant des protocoles réseau qui ne sont pas autorisés à entrer dans le réseau protégé ou à le quitter.
Les pare-feu avec et sans état se distinguent principalement par le fait qu'un type de pare-feu suit l'état entre les paquets, tandis que l'autre ne le fait pas. Sinon, les deux types de pare-feu fonctionnent de la même manière : ils inspectent les en-têtes des paquets et utilisent les informations qu'ils contiennent pour déterminer si le trafic est valide ou non, sur la base de règles prédéfinies. L'état maintenu par les pare-feu avec état leur permet d'identifier diverses menaces, ce que les pare-feu sans état ne peuvent pas faire.
Certains types d'attaques utilisent et abusent de paquets légitimes pour atteindre leurs objectifs, notamment les suivants :
Dans ces deux cas, chaque paquet est légitime, ce qui signifie qu'un pare-feu sans état le laissera passer. L'identification de l'attaque nécessite un contexte, que seul un pare-feu dynamique possède.
Un pare-feu avec état peut faire tout ce qu'un pare-feu sans état peut faire, mais l'inverse n'est pas vrai. Certaines attaques ne peuvent être détectées que grâce au contexte fourni par le suivi des états. Les entreprises devraient donc toujours choisir un pare-feu avec état plutôt qu'un pare-feu sans état.
Cependant, lors du choix d'un pare-feu, il est également important de prendre en compte d'autres facteurs. Par exemple, les pare-feu avec ou sans état n'inspectent généralement que les en-têtes des paquets lorsqu'ils prennent leurs décisions. Par conséquent, ils peuvent être aveugles aux attaques dans lesquelles un contenu malveillant est transporté dans la charge utile du paquet. Dans le paysage moderne des cybermenaces, la plupart des cyberattaques entrent dans cette catégorie.
Par conséquent, un Pare-feu de nouvelle génération (NGFW) - qui a la capacité d'inspecter le contenu des paquets et intègre d'autres fonctions de sécurité telles qu'un système de prévention des intrusions (IPS) - est le bon choix pour les organisations qui cherchent à se protéger contre les cybermenaces modernes.
Il existe plusieurs types de pare-feu, et le choix de celui qui convient à votre organisation est essentiel pour une cybersécurité efficace. Bien qu'un NGFW soit essentiel pour se protéger contre les menaces modernes, il est important de savoir ce qu'il faut rechercher et comment évaluer vos options. Pour en savoir plus, consultez ce guide d'achat des NGFW.
La gamme de NGFW de Check Point comprend une solution pour chaque organisation. Pour en savoir plus sur la façon dont un Check Point NGFW peut améliorer la cybersécurité de votre organisation et obtenir de l'aide pour choisir celui qui convient à vos cas d'utilisation, inscrivez-vous dès aujourd'hui à une démo gratuite.