Pare-feu, IDS et IPS Explication et comparaison

Cet article traite des différences entre les dispositifs de sécurité réseau - pare-feu, systèmes de
prévention des intrusions (IPS) et systèmes de détection des intrusions (IDS). La principale distinction
est qu'un pare-feu bloque et filtre le trafic réseau, mais qu'un IDS/IPS détecte et alerte un
administrateur ou empêche l'attaque, selon la configuration.
Un pare-feu autorise le trafic en fonction d'un ensemble de règles qui ont été définies. Il est basé sur les
adresses source, de destination et de port. Un pare-feu peut refuser tout trafic qui ne répond pas aux
critères spécifiés. Les IDS sont des dispositifs de système de surveillance passifs qui surveillent le
trafic réseau lorsqu'ils se déplacent sur le réseau, comparent les modèles de signature et déclenchent
une alarme si une activité suspecte ou une menace de sécurité connue est détectée. D'autre part, IPS est
un dispositif actif qui empêche les attaques en les bloquant.
 

Pare-feu
Un pare-feu utilise des règles pour filtrer le trafic réseau entrant et sortant. Il utilise des adresses IP et
des numéros de port pour filtrer le trafic. Il peut être réglé sur la couche 3 ou sur le mode transparent.
Le pare-feu doit être la première ligne de défense et installé en ligne au périmètre du réseau.
Il existe également différents types de pare-feu comme le pare-feu proxy, le pare-feu d'inspection
dynamique, le pare-feu de gestion unifiée des menaces (UTM), le pare-feu de nouvelle génération
(NGFW), le pare-feu axé sur les menaces et un pare-feu virtuel.

Système de prévention des intrusions (IPS)

IPS est un appareil qui inspecte, détecte, classe et empêche de manière proactive le trafic nuisible. Il
examine les communications en temps réel pour les modèles d'attaque ou les signatures, puis bloque les

1
attaques lorsqu'elles ont été détectées. Placement et configuration en mode en ligne et généralement en
couche 2 après le pare-feu. En mode en ligne, le trafic passe dans l'un des ports Ethernet de l'appareil et
sort de l'autre.
Le système de prévention des intrusions doit fonctionner efficacement pour éviter de diminuer les
performances du réseau. Cela doit être rapide car des exploits peuvent survenir à tout moment. Pour
éliminer les menaces et les faux positifs, l'IPS doit détecter et répondre avec précision.
Certaines des actions d'IPS comprennent :
• Alerter les administrateurs réseau (détection basée sur les anomalies)
• Suppression du trafic malveillant
• Refuser le trafic de l'adresse source
• Réinitialiser la connexion

Système de détection d'intrusion (IDS)

IDS est soit un matériel soit un logiciel qui analyse le trafic réseau entrant à la recherche d'activités
malveillantes ou de violations de politique (analyse du comportement du réseau) et émet des alertes
lorsqu'elles sont détectées. Il détecte le trafic en temps réel et recherche les signatures d'attaque ou les
modèles de trafic, puis envoie des alarmes. Contrairement à l'IPS, un système de détection d'intrusion

2
réseau n'est pas aligné sur le chemin des données, il ne peut donc alerter et alerter qu'en cas de
détection d'anomalies.

https://study-ccna.com/firewalls-ids-ips-explanation-comparison/