Un pare-feu surveille et filtre le trafic réseau entrant et sortant sur la base d'une politique de sécurité, en autorisant le trafic approuvé et en refusant tout autre trafic. Les pare-feu protègent tout appareil connecté au réseau et peuvent être déployés sous la forme d'un pare-feu logiciel sur les hôtes, d'un pare-feu matériel sur un appareil de réseau séparé et d'un pare-feu virtuel dans le réseau privé ou public cloud.
Voyons comment fonctionne un logiciel de pare-feu, quels sont les avantages et les différences entre un pare-feu logiciel et un pare-feu matériel, et quel est le pare-feu qui vous convient le mieux.
Les deux principales façons de déployer un pare-feu sont un logiciel de pare-feu fonctionnant comme une application sur un hôte ou un pare-feu matériel fonctionnant sur un appareil réseau dédié. Les logiciels de pare-feu sont largement utilisés sur les ordinateurs portables des particuliers et des entreprises fonctionnant sous Windows, macOS et d'autres systèmes d'exploitation de type Unix.
Les logiciels de pare-feu sont également disponibles dans des distributions de pare-feu qui peuvent être déployées sur du matériel dédié, mais pour cette discussion, nous différencions un pare-feu logiciel d'un pare-feu matériel en termes de déploiement du pare-feu, c'est-à-dire sur l'hôte ou en tant qu'appareil de réseau dédié.
Outre les pare-feu logiciels Windows, macOS et Linux, on trouve également des pare-feu intégrés aux appareils IoT (L'internet des objets), en particulier ceux qui sont basés sur Linux et qui utilisent l'utilitaire iptables.
Lorsqu'un logiciel de pare-feu est installé sur un hôte, tel que Windows, il peut prendre des décisions granulaires en matière d'accès au réseau, jusqu'au niveau de l'application. Par exemple, une application de serveur web peut être autorisée à recevoir des connexions entrantes sur les ports TCP standard pour le trafic HTTP : les ports 80 (HTTP) et 443 (HTTPS).
Seuls certains services nécessaires au fonctionnement normal du réseau seront autorisés à traverser le pare-feu, et la politique peut être définie sur la base de profils. Par exemple, un profil de domaine peut être utilisé pour les connexions au contrôleur de domaine d'une organisation, un profil privé pour les connexions à la maison et un profil public pour les connexions à un réseau public et non protégé, comme le réseau Wi-Fi du café du coin.
Les règles de sécurité sont généralement prédéfinies pour chaque profil et peuvent être personnalisées si nécessaire. Par défaut, toutes les connexions sortantes sont autorisées. En raison du nombre d'appareils, il sera difficile de gérer la politique logicielle du pare-feu de manière centralisée si cette fonctionnalité n'est pas incluse dans la conception du produit.
Les pare-feu logiciels doivent présenter certaines caractéristiques communes, notamment
Les différents lieux de déploiement signifient que l'ensemble des fonctionnalités est légèrement différent entre le pare-feu logiciel et le pare-feu matériel. Les deux ont les mêmes capacités de base de pare-feu, mais ce qu'ils contrôlent diffère légèrement.
Les pare-feu matériels sont déployés sur le réseau, ce qui leur permet de fournir des fonctionnalités au niveau du réseau, telles que
Les pare-feu logiciels s'exécutent généralement sur l'hôte, ce qui leur confère certaines capacités, telles que :
Par rapport au pare-feu matériel, le pare-feu logiciel offre les avantages suivants :
Le choix entre un pare-feu logiciel et un pare-feu matériel doit dépendre de ce que le pare-feu est censé sécuriser. Si vous avez des utilisateurs mobiles ou des utilisateurs qui travaillent à domicile, le logiciel de pare-feu est probablement le meilleur choix par rapport à un pare-feu matériel. En revanche, si vous avez un site distant, un pare-feu matériel pouvant être utilisé comme passerelle périmétrique est un choix logique.
Si vous devez sécuriser à la fois les utilisateurs et les sites distants, mais que vous n'avez pas besoin d'un accès granulaire au niveau de l'appareil ou d'un contrôle d'accès granulaire au niveau du site, envisagez une troisième option : un pare-feu en tant que service (FWaaS) déployé dans un modèle SASE (Secure Access Service Edge). Si vous devez sécuriser l'infrastructure privée ou publique cloud, envisagez un pare-feucloud .
Les Pare-feu de nouvelle génération (NGFW) modernes d'aujourd'hui vous offrent une solution qui s'adapte à tous les choix de déploiement. Pour en savoir plus sur le choix d'un pare-feu, consultez le guide d'achat NGFW. Vous pouvez également demander une démo gratuite pour découvrir par vous-même les capacités de Check Point NGFWs.