Qu'est-ce qu'un pare-feu ? Comment fonctionnent les pare-feux de réseau

Un pare-feu est érigé entre un réseau et Internet. Il contrôle le flux de données à l'intérieur et à l'extérieur du réseau afin de stopper les menaces de sécurité potentielles.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir un pare-feu
  • Expliquez pourquoi un pare-feu doit inspecter les données entrantes et sortantes
  • Comprendre les différences entre un pare-feu proxy, un WAF et d'autres types de pare-feu.

Copier le lien de l'article

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un système de sécurité qui surveille et contrôle le trafic réseau en fonction d'un ensemble de règles de sécurité. Les pare-feux se dressent généralement entre un réseau de confiance et un réseau sans relation de confiance. Le réseau non fiable est souvent Internet. Par exemple, les réseaux de bureaux utilisent souvent un pare-feu pour protéger leur réseau des menaces en ligne.

Qu'est-ce qu'un pare-feu

Les pare-feux décident d'autoriser ou non le trafic entrant et sortant. Ils peuvent être intégrés au matériel, aux logiciels ou à une combinaison des deux. Le terme « pare-feu » est en fait inspiré de la pratique de construction qui consiste à construire des murs entre les bâtiments ou au milieu des bâtiments pour contenir un incendie. De même, les pare-feux réseau sont destinés à contenir les menaces en ligne.

Pourquoi utiliser un pare-feu ?

L'utilisation principale d'un pare-feu est la sécurité. Les pare-feux peuvent intercepter le trafic malveillant entrant avant qu'il n'atteigne le réseau et empêcher les informations sensibles de quitter le réseau.

Les pare-feux peuvent également être utilisés pour le filtrage de contenu. Par exemple, une école peut configurer un pare-feu pour empêcher les utilisateurs de son réseau d'accéder à du matériel pour adultes. De même, dans certains pays, le gouvernement gère un pare-feu qui peut empêcher des personnes à l'intérieur de ce pays d'accéder à certaines parties d'Internet.

Cet article se concentrera sur les pare-feux configurés pour la sécurité, dont il existe plusieurs types.

Quels sont les différents types de pare-feux ?

Pare-feux basés sur un proxy :

Ce sont des proxys* qui se dressent entre les clients et les serveurs. Les clients se connectent au pare-feu et le pare-feu inspecte les paquets sortants, après quoi il crée une connexion avec le destinataire prévu (le serveur web). De même, lorsque le serveur web tente d'envoyer une réponse au client, le pare-feu intercepte cette requête, inspecte les paquets, puis livre cette réponse dans une connexion distincte entre le pare-feu et le client. Un pare-feu basé sur un proxy empêche efficacement une connexion directe entre le client et le serveur.

Un pare-feu basé sur proxy est un peu comme un videur dans un boîte de nuit. Ce videur contrôle les clients avant qu'ils n'entrent dans l'établissement pour s'assurer qu'ils ne sont pas mineurs, qu'ils n'ont pas d'armes ou qu'ils ne constituent une menace de quelque nature pour la boîte de nuit et ses clients. Le videur contrôle également les clients qui sortent de l'établissement pour s'assurer qu'ils ont un moyen sûr de rentrer chez eux et qu'ils n'ont pas l'intention de conduire en état d'ivresse.

L'inconvénient d'avoir un videur tient au fait que lorsque beaucoup de personnes essaient d'entrer ou de quitter le bar simultanément, une longue file se crée et plusieurs personnes doivent attendre. De même, l'inconvénient majeur d'un pare-feu basé sur un proxy est qu'il peut provoquer une latence, en particulier pendant les périodes de trafic intense.

*Un proxy est un ordinateur qui sert de passerelle entre un réseau local et un réseau plus vaste, comme Internet.

Pare-feux avec état :

En informatique, une application « dynamique » est une application qui enregistre les données des événements et interactions précédents. Un pare-feu dynamique enregistre les informations concernant les connexions ouvertes et utilise ces informations pour analyser le trafic entrant et sortant, plutôt que d'inspecter chaque paquet. Parce qu'ils n'inspectent pas chaque paquet, les pare-feux dynamiques sont plus rapides que les pare-feux basés sur proxy.

Les pare-feux dynamiques s'appuient sur beaucoup de contexte pour prendre des décisions. Par exemple, si le pare-feu enregistre les paquets sortants sur une connexion demandant un certain type de réponse, il n'autorisera les paquets entrants sur cette connexion que s'ils fournissent le type de réponse demandé.

Les pare-feux avec état peuvent également protéger les ports* en les gardant tous fermés, sauf si les paquets entrants demandent l'accès à un port spécifique. Cela peut atténuer une attaque dite de balayage de ports (port scanning).

L'une des vulnérabilités connues des pare-feux dynamiques est qu'ils peuvent être manipulés en incitant un client à demander un certain type d'informations. Une fois que le client demande cette réponse, le pirate peut alors envoyer des paquets malveillants correspondant à ces critères via le pare-feu. Par exemple, les sites web non sécurisés peuvent utiliser un code JavaScript pour créer ce type de demandes falsifiées à partir d'un navigateur web.

*Un port réseau est un emplacement où les informations sont envoyées. Il ne s'agit pas d'un lieu physique mais plutôt d'un point d'extrémité de communications. En savoir plus sur les ports>>

Pare-feux nouvelle génération (NGFW) :

Les NGFW sont des pare-feux qui ont les capacités des pare-feux traditionnels mais qui utilisent également une multitude de fonctionnalités supplémentaires pour faire face aux menaces sur d'autres couches du modèle OSI. Certaines fonctionnalités spécifiques à NGFW sont les suivantes :

  • Inspection approfondie des paquets (DPI) - Les NGFW effectuent une inspection beaucoup plus approfondie des paquets que les pare-feux traditionnels. Cette inspection approfondie peut examiner des éléments tels que les payloads des paquets et l'application à laquelle les paquets accèdent. Cela permet au pare-feu d'appliquer des règles de filtrage plus granulaires.
  • Identification des applications (Application awareness) - L'activation de cette fonctionnalité permet au pare-feu de savoir quelles applications sont en cours d'exécution et quels ports ces applications utilisent. Cela peut protéger contre certains types de logiciels malveillants qui visent à tuer un processus en cours puis à s'emparer de son port.
  • Prise en charge des identités (Identity awareness) - Cela permet à un pare-feu d'appliquer des règles basées sur l'identité, par exemple quel ordinateur est utilisé, quel utilisateur est connecté, etc.
  • Sandboxing - Les pare-feux peuvent isoler des parties de code associées aux paquets entrants et les exécuter dans un environnement dit de « Bac à sable » (sandbox) pour garantir qu'ils ne se comportent pas de manière malveillante. Les résultats de ce test de bac à sable peuvent ensuite être utilisés comme critères pour décider de laisser ou non les paquets entrer dans le réseau.

Pare-feu d'applications web (WAF)

Alors que les pare-feux traditionnels aident à protéger les réseaux privés contre les applications web malveillantes, les WAF aident à protéger les applications web contre les utilisateurs malveillants. Un WAF permet de protéger les applications web en filtrant et en surveillant le trafic HTTP entre une application web et Internet. Il protège généralement les applications web des attaques notamment de type cross-site forgery, script de site à site (XSS), d’inclusion de fichier et d’injection SQL.

Pare-feu d'application Web bloquant le trafic HTTP malveillant

En déployant un WAF devant une application web, un bouclier est placé entre l’application web et Internet. Un serveur proxy pare-feu protège l’identité d’une machine client en utilisant un intermédiaire ; un WAF est un type de proxy inversé qui protège le serveur en faisant passer les clients par le WAF avant d’atteindre le serveur.

Un WAF fonctionne à travers un ensemble de règles souvent appelées politiques. Ces politiques visent à se protéger des vulnérabilités dans l’application en filtrant le trafic malveillant. La valeur d’un WAF provient en partie de la rapidité et de la facilité avec laquelle la modification de politique peut être appliquée, permettant une réponse plus rapide aux différents vecteurs d’attaque. Lors d’une attaque DDoS, le mécanisme de limitation du taux peut être rapidement activé en modifiant les politiques du WAF. Les produits WAF commerciaux comme le pare-feu applicatif web de Cloudflare protègent quotidiennement des millions d’applications web contre les attaques.

Pare-feu en tant que service (FWaaS) :

Firewall-as-a-service (FWaaS) est un modèle plus récent de fourniture de fonctionnalités de pare-feu via le cloud. Ce service peut également être appelé un « pare-feu en nuage ». FWaaS forme une barrière virtuelle autour des plateformes, de l'infrastructure et des applications en nuage, tout comme les pare-feu traditionnels forment une barrière autour du réseau interne d'une organisation. Le FWaaS est souvent mieux adapté que les pare-feu traditionnels à la protection des actifs en nuage et multi-cloud.

Qu'est-ce qu'un « pare-feu de réseau » ?

Un « pare-feu réseau » est tout pare-feu qui défend un réseau. Par définition, presque tous les pare-feu de sécurité sont des pare-feu de réseau, bien que les pare-feu puissent également protéger des machines individuelles.

Si les pare-feux sont un élément important de la sécurité des réseaux, ce domaine comporte également de nombreux autres aspects, dont le contrôle d'accès, l'authentification des utilisateurs et l'atténuation des attaques DDoS. En savoir plus sur la sécurité des réseaux.

Les pare-feux sont-ils logiciels ou matériels ?

À l'origine, les pare-feux étaient des appareils matériels (voir la section sur l'histoire des pare-feu ci-dessous). Bien que certains pare-feux matériels soient encore utilisés, de nombreux pare-feux modernes sont logiciels, ce qui signifie qu'ils peuvent fonctionner sur plusieurs types de matériel différents. Le FWaaS, quant à lui, est hébergé dans le cloud.

Quelle est l'histoire des pare-feux
?

Les pare-feux remontent à la fin des années 1980. Les premiers pare-feu autorisaient ou bloquaient des paquets de données individuels. Ils décidaient des paquets à autoriser et à bloquer en inspectant leurs en-têtes de la couche réseau et de la couche transport pour voir leur adresse IP source et destination et leur port (comme lorsqu'on consulte les sections « à » et «  » d'un e-mail). Cela a empêché le trafic illégitime de passer et a stoppé de nombreuses attaques de logiciels malveillants.

La génération suivante de pare-feux a ajouté des capacités avec état. Et les générations plus récentes (comme les NGFW) ont ajouté la capacité d'inspecter le trafic au niveau de la couche application.

Les capacités des pare-feux ont évolué au fil du temps, tout comme la manière dont ils sont déployés. À l'origine, les pare-feux étaient des appareils matériels physiques qui se branchaient sur l'infrastructure réseau d'une entreprise. Mais à mesure que les processus commerciaux se sont déplacés vers le cloud, il est devenu inefficace de faire transiter tout le trafic réseau par un boîtier physique. Aujourd'hui, les pare-feux peuvent également fonctionner sous forme de logiciel ou virtuellement dans le cloud.

Qu'est-ce que Magic Firewall ?

Magic Firewall est un pare-feu de niveau réseau déployé à partir du réseau Cloudflare. Il est conçu pour remplacer les pare-feu matériels pour les réseaux sur site. Les pare-feu matériels ne s'adaptent que si les services informatiques en achètent davantage ; Magic Firewall s'adapte plus facilement à la gestion de grandes quantités de trafic. En savoir plus sur Magic Firewall.

Service commercial