Les pare-feu analysent soigneusement le trafic entrant en fonction de règles préétablies et filtrent le trafic provenant de sources non sécurisées ou suspectes afin de prévenir les attaques. Les pare-feu surveillent le trafic au point d’entrée d’un ordinateur, appelé port, qui est l’endroit où les informations sont échangées avec des dispositifs externes. Par exemple, « l’adresse source 172.18.1.1 est autorisée à atteindre la destination 172.18.2.1 par le port 22 ».
Pensez aux adresses IP comme des maisons, et aux numéros de port comme des pièces de la maison. Seules les personnes de confiance (adresses sources) sont autorisées à entrer dans la maison (adresse de destination), puis celle-ci est filtrée de manière à ce que les personnes à l’intérieur de la maison ne puissent accéder qu’à certaines pièces (ports de destination), selon qu’il s’agit du propriétaire, d’un enfant ou d’un invité. Le propriétaire est autorisé à accéder à n’importe quelle chambre (n’importe quel port), tandis que les enfants et les invités sont autorisés à accéder à un certain nombre de chambres (ports spécifiques).

Types de pare-feu

Les pare-feu peuvent être logiciels ou matériels, mais il est préférable d’avoir les deux. Un pare-feu logiciel est un programme installé sur chaque ordinateur et qui régule le trafic par le biais de numéros de port et d’applications, tandis qu’un pare-feu physique est un équipement installé entre votre réseau et la passerelle.
Les pare-feu à filtrage de paquets, le type de pare-feu le plus courant, examinent les paquets et les empêchent de passer s’ils ne correspondent pas à un ensemble de règles de sécurité établies.

Ce type de pare-feu vérifie les adresses IP source et destination du paquet.

Si les paquets correspondent à ceux d’une règle « autorisée » sur le pare-feu, il est alors autorisé à entrer sur le réseau.
Les pare-feu à filtrage de paquets sont divisés en deux catégories : les pare-feu avec ou sans état. Les pare-feux apatrides examinent les paquets indépendamment les uns des autres et manquent de contexte, ce qui en fait des cibles faciles pour les pirates. En revanche, les pare-feux avec état se souviennent des informations sur les paquets transmis précédemment et sont considérés comme beaucoup plus sûrs.
Bien que les pare-feux filtrant les paquets puissent être efficaces, ils fournissent en fin de compte une protection très élémentaire et peuvent être très limités – par exemple, ils ne peuvent pas déterminer si le contenu de la demande envoyée aura un effet négatif sur l’application qu’elle atteint. Si une requête malveillante autorisée à partir d’une adresse de source fiable entraînait, par exemple, la suppression d’une base de données, le pare-feu n’aurait aucun moyen de le savoir. Les pare-feu et les pare-feu proxy de nouvelle génération sont mieux équipés pour détecter de telles menaces.
Les pare-feu de nouvelle génération (NGFW) combinent la technologie traditionnelle des pare-feu avec des fonctionnalités supplémentaires, telles que l’inspection du trafic crypté, les systèmes de prévention des intrusions, l’anti-virus, etc. Il comprend notamment l’inspection approfondie des paquets (DPI). Alors que les pare-feu de base ne prennent en compte que les en-têtes de paquets, l’inspection approfondie des paquets examine les données contenues dans le paquet lui-même, ce qui permet aux utilisateurs d’identifier, de classer ou d’arrêter plus efficacement les paquets contenant des données malveillantes.

Les pare-feu proxy filtrent le trafic réseau au niveau des applications.

Contrairement aux pare-feu de base, le proxy agit comme un intermédiaire entre deux systèmes d’extrémité. Le client doit envoyer une demande au pare-feu, où elle est ensuite évaluée en fonction d’un ensemble de règles de sécurité, puis autorisée ou bloquée. Les pare-feu de proxy surveillent notamment le trafic pour les protocoles de la couche 7 tels que HTTP et FTP, et utilisent l’inspection des paquets par état et l’inspection approfondie pour détecter le trafic malveillant.
Les pare-feu de traduction d’adresse réseau (NAT) permettent à plusieurs dispositifs ayant des adresses réseau indépendantes de se connecter à l’internet en utilisant une seule adresse IP, en gardant les adresses IP individuelles cachées. Par conséquent, les attaquants qui analysent un réseau à la recherche d’adresses IP ne peuvent pas saisir de détails spécifiques, ce qui renforce la sécurité contre les attaques. Les pare-feu NAT sont similaires aux pare-feu proxy en ce sens qu’ils agissent comme un intermédiaire entre un groupe d’ordinateurs et le trafic extérieur.
Les pare-feux SMLI (Stateful multilayer inspection) filtrent les paquets au niveau des couches réseau, transport et application, en les comparant à des paquets de confiance connus. Comme les pare-feu NGFW, les SMLI examinent également l’ensemble du paquet et ne leur permettent de passer que s’ils passent chaque couche individuellement. Ces pare-feu examinent les paquets pour déterminer l’état de la communication (donc le nom) afin de s’assurer que toutes les communications initiées n’ont lieu qu’avec des sources fiables. Voir cette page https://fr.wikipedia.org/wiki/Pare-feu_(informatique)