Sécurité informatique 

quelles sont les différentes

catégories de pare-feu ?
Le pare-feu sans état
Le pare-feu sans état est le plus ancien dispositif de filtrage réseau. Il agit au niveau
de la couche réseau et transport du modèle OSI, le standard de communication
entre les systèmes informatiques. Ce pare-feu inspecte chaque paquet et lui
accorde le passage uniquement s’il répond à une liste de règles prédéterminées, qui
se basent sur l’adresse IP source et destinataire, le numéro de port source et
destinataire, et les protocoles de couche 3 et 4. Le problème, c’est que
la configuration des pare-feu sans état est complexe, et que ce dispositif ne
permet pas d’obtenir une finesse de filtrage très évoluée. Il est donc en train de
devenir obsolète, même s’il est encore utilisé sur certains systèmes d’exploitation et
routeurs.

Le pare feu avec état

Les pare-feu avec état sont plus exigeants que leurs prédécesseurs sans état : ils
vérifient systématiquement la conformité des paquets à une connexion en cours,
en regardant si chaque paquet d’une connexion constitue bien la suite du
précédent. Le pare-feu avec état a également de la mémoire : il garde une trace des
sessions et des connexions, et réagit en cas d’anomalie. Contrairement à son
prédécesseur, il permet ainsi de se protéger de certaines attaques DoS.

Le pare-feu applicatif
Le pare-feu applicatif appartient à la dernière génération de firewalls. Il fonctionne
au niveau de la couche application : par exemple, chaque requête de type http est
filtrée par un processus proxy http. Le pare-feu rejette ainsi toutes les requêtes non
conformes aux spécifications du protocole. Ce type de pare-feu est plus sûr que le
pare-feu avec état, mais est très gourmand en temps de calcul dès que le débit est
important. Dans les années à venir, il devrait gagner en performance.

Le pare-feu identifiant
Le pare-feu identifiant réalise des associations entre l’IP et les utilisateurs, et
permet de suivre l’activité réseau par utilisateur. Les règles de filtrage sont ainsi
définies en fonction de l’identification, et non des adresses IP. Selon les pare-
feu, plusieurs méthodes différentes sont utilisées, dont l’identification par authpf,
les pare-feu entièrement basés sur l’identité, ou la création de règles
dynamiques prenant en compte l’identité de l’utilisateur et de son poste, ainsi que
son niveau de sécurité informatique.
Pare-feu de nouvelle génération
(NGFW)
Un pare-feu de nouvelle génération est un système de sécurité réseau –
matériel ou logiciel – capable de détecter et de bloquer les attaques
sophistiquées en appliquant des règles de sécurité au niveau applicatif,
ainsi qu’à celui du port ou de protocole de communication.

Les pare-feu de nouvelle génération embarquent trois actifs clés : des

capacités de pare-feu d’entreprise, un système de prévention d’intrusion
(IPS), et le contrôle applicatif. Les pare-feu de première génération avaient
introduit le filtrage dynamique de paquets (stateful inspection). Ceux de
nouvelle génération enrichissent d’éléments de contexte supplémentaires le
processus de prise de décision en intégrant la capacité de comprendre les
détails du trafic Web passant au travers du pare-feu pour bloquer le trafic
susceptible de relever de l’exploitation de vulnérabilités.

Les pare-feu de nouvelle génération combinent les capacités des pare-feu

traditionnels – filtrage de paquets, translation d’adresse (NAT), blocage
d’URL et VPN – avec des fonctionnalités de gestion de la qualité de service
(QoS), et des caractéristiques généralement absentes des pare-feu. Cela
recouvre notamment la prévention d’intrusion, l’inspection SSL et SSH,
l’inspection de paquets en profondeur (DPI), la détection de logiciels
malveillants basée sur la réputation, ou encore la conscience des
applications. Les fonctionnalités spécifiques aux applications sont conçues
pour protéger contre des attaques de plus en plus nombreuses visant les
couches 4 à 7 du modèle OSI.

Les pare-feu de nouvelle génération (NGFW) sont encore en activité aujourd’hui, et offrent
une foule d’avantages qui les placent au-dessus de leurs prédécesseurs pour la sécurité des
réseaux et des applications sur site.
 Contrôle des applications : les NGFW surveillent activement les applications (et les
utilisateurs) qui acheminent du trafic vers le réseau. Ils possèdent une capacité innée à
analyser le trafic réseau pour détecter le trafic applicatif, quel que soit le port ou le
protocole, ce qui augmente la visibilité globale.
 IPS : à la base, un IPS est conçu pour surveiller en permanence un réseau, y
rechercher des événements malveillants, et prendre ensuite des mesures judicieuses
pour les prévenir. L'IPS peut envoyer une alarme à un administrateur, supprimer les
paquets, bloquer le trafic ou réinitialiser complètement la connexion.
  Renseignements sur les menaces : il s’agit des données ou des informations
recueillies par divers nœuds d’un réseau ou d’un écosystème informatique qui aident
les équipes à comprendre les menaces qui ciblent ou ont déjà ciblé une entreprise. Il
s’agit d’une ressource essentielle en matière de cybersécurité.
 Antivirus : comme son nom l’indique, un logiciel antivirus détecte les virus, y répond
et met à jour les fonctionnalités de détection pour répondre à l’évolution constante du
paysage des menaces.

Le proxy

Un proxy est un serveur intermédiaire entre un client et un serveur WEB ou

FTP.
Le proxy fonctionne donc sur la touche applicative et ne peut donc
manipuler les IPs, ports et autres mais peut manipuler les pages internet.
L’usage initial est le partage de connexion au sein d’un réseau d’entreprise.
Le proxy est intéressant pour plusieurs raisons :

 Il peut connaître les pages consultés et interdit l’accès selon des

règles mises en place par l’administrateur. Par exemple, interdire
l’accès sur un mot dans l’URL ou dans la page internet visitée.
 L’accès au surf peut être sécurisée à travers un utilisateur / mot de
passe. Les pages consultées par l’utilisateur seront alors historisées
 Enfin le proxy peut mettre en cache les pages visités afin de limiter
l’usage de la bande passante. Au lieu de re-télécharger le contenu de
la page, il piochera dans le cache. Cela est intéressant pour les sites
internet les plus consultés.
Ce que peut faire un proxy

Comme le proxy est capable de manipuler les pages internet et qu’il sert de
liaison entre un ordinateur et un site internet, plusieurs usages détournés
sont utilisés.

 Un proxy peut-être installé par un logiciel malveillant pour récupérer

les pages visitées et les donner en clair qui y transitent. D’où l’intérêt
du protocole HTTPs. Un adware peut aussi utilisé un proxy pour
injecter des publicités dans les pages internet. Se référer à la
page : Les proxys et malwares et virus
 On peut aussi utiliser un proxy pour du contrôle parentale, puisque les
adresses ou mots dans les pages peuvent être récupérés. Il est alors
possible de filtrer l’accès au page par exemple pour interdire les sites
pornographiques.
 Comme le proxy fait la liaison entre un ordinateur et le site consulté, il
peut servir pour anonymiser sa connexion internet. Le site internet ne
verra alors que l’adresse IP du proxy si ce dernier est anonyme.