Vous êtes sur la page 1sur 17

LES FIREWALL

SOMMAIRE

• Définition de Firewall
• Fonctionnement d’un firewall
• Types de firewall
• Les vendors de Firewall
• Configuration d’une access list d’un firewall CISCO

2
DÉFINITION
Un Firewall (Pare feu) est un équipement de sécurité réseau qui surveille et filtre le trafic réseau
entrant et sortant s’appuyant sur la politique de sécurité définie par l’entreprise.
Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il
s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :
• une interface pour le réseau à protéger (réseau interne) ;
• une interface pour le réseau externe
 

3
FONCTIONNEMENT D’UN FIREWALL
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
• D'autoriser la connexion (allow) ;
• De bloquer la connexion (deny) ;
• De rejeter la demande de connexion sans avertir l'émetteur (drop). ( il y a une possibilité de
rejeter la demande tout en signalant à l’emetteur que c’est le pare feu qui le bloque)
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de
la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques
de sécurité permettant :
• soit d'autoriser uniquement les communications ayant été explicitement autorisées (c'est
le Principe du moindre privilège) ;
• soit d'empêcher les échanges qui ont été explicitement interdits (politique permissive).

4
CATÉGORIES DE FILTRAGE
Selon la couche utilisée et les contraintes du réseau à sécuriser on distingue:
• Le filtrage sans états (Stateless) : les plus basiques, ils interviennent sur la couches réseau et
transport.
• Le filtrage à état (statefull) qui sont une amélioration des firewall sans état
• Le filtrage applicatif ou proxy qui fonctionnent sur la couche 7 du modèle OSI donc la couche
application
• Le filtrage de paquets sur la couche transport et réseau donc la couche 3

5
TYPES DE FIREWALL
• Le Firewall BRIDGE
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus. Leurs interfaces ne
possèdent pas d’adresse Ip, et ne font que transférer les paquets d’une interface a une autre en leur
appliquant les règles définies. Ils travaillent sur la couche 2.
Avantages
• Impossible de l’éviter (les paquets passeront par ses interfaces)
• Peu coûteux
Inconvénients
• Possibilité de le contourner (il suffit de passer outre ses règles)
• Configuration souvent contraignante
• Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le plus souvent en
Stateless).
6
TYPES DE FIREWALL
Les firewall LOGICIELS
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en plusieurs catégories :
• Les firewalls personnels
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et non pas un groupe
d’ordinateurs. Souvent payants, ils peuvent être contraignants et quelque fois très peu sécurisés. En effet, ils
s’orientent plus vers la simplicité d’utilisation plutôt que vers l’exhaustivité, afin de rester accessible à l’utilisateur
final.
Avantages
• Sécurité en bout de chaîne (le poste client)
• Personnalisable assez facilement
Inconvénients
• Facilement contournable
• Difficiles à départager de par leur nombre énorme.
Parmi les vendors de cette catégorie de firewall nous avons microsoft, ASTROYA, CISCO

7
TYPES DE FIREWALL
Les firewalls plus « sérieux »
• Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un contrôle plus adéquat, ils ont
généralement pour but d’avoir le même comportement que les firewalls matériels des routeurs, à ceci prêt qu’ils sont
configurables à la main. Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute
fonctionnalité des firewalls de routeurs est potentiellement réalisable sur une telle plateforme.
Avantages
• Personnalisables
• Niveau de sécurité très bon
Inconvénients
• Nécessite une administration système supplémentaire
Du point de vue de la couche OSI
Network firewall host

8
TYPES DE FIREWALL
Les firewalls matériels
Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme
Cisco ou Nortel. Intégrés directement dans la machine, ils font office de « boite noire », et ont une
intégration parfaite avec le matériel.
Avantages
• Intégré au matériel réseau
• Administration relativement simple
• Bon niveau de sécurité
Inconvénients
• Dépendant du constructeur pour les mises à jour
• Souvent peu flexibles.
Comme équipementier qui propose ce type de firewall nous avons CISCO, JUPINER, FORTINET
9
VENDORS DE FIREWALL
• Fortinet
• CISCO
• JUPINER
• VISION SYSTEM
• TX TEAM
• INNOMINATE
• AEWIN Technologies
• MPL
• CYBERGUARD
• BLUE COAT
• AURANEXT

10
AUTRES FONCTIONNALITÉS D’UN
FIREWALL
Un pare feu peut également assurer les fonctionnalités suivantes :
• Réseau virtuel privé VPN : ils permettent de canaliser un trafic sécurisé d’un point à un autre
sur des réseau généralement hostiles.
• La traduction d’adresses NAT: ce service permet de faire une correspondance des adresses
réservées ou illégales avec des adresses valides.
• La détection des intrusions (IDS)
• L’équilibrage de charges pour segmenter un trafic de façon répartie

11
CONFIGURATION D’UNE ACCESS LIST
D’UN FIREWALL
Une access control list (ACL) est une liste donnant ou supprimant les droits d’accès à une
personne ou un groupe de personnes. Elle permet de filtrer les accès entre les différents réseaux.
Une liste d’accès est un ensemble d’instructions basées sur des protocoles de couche 3 ( 2 et de
couche supérieure pour contrôler le trafic. Grace à l’ACL il est donc possible de filtrer le trafic
réseau, pour limiter ou restreindre l’accès à une ressource réseau.
Il existe plusieurs types d’ACL:
• Les listes d’’accès standards
• Les listes d’accès étendues
Différence entre access list standard et étendue
Les configurations se font selon le type

12
CONFIGURATION D’UNE ACCESS LIST
D’UN FIREWALL DE TYPE CISCO
Pour nommer une ACL on utilise la commande access-list standard/extended nom selon que
l’ACL soit étendue ou standard.
La commande access-list permet de créer une entrée ACL
La commande show access list permet d’afficher les ACL qui sont déjà configurées
Pour supprimer une ACL c’est la commande no access list + numéro ACL
pour appliquer une ACL sur une interface on utilise la commande
IP access-group + numéro de l’ACL out`/ in (selon que c’est l’interface de sortie ou l’interface
d’entrée)

13
EVOLUTION DES FIREWALL
La première génération a été celle de filtre de paquets pare-feu ou pare-feu sans état, dont le
premier a été développé en 1988 par le Digital Equipment Corporation.Leur fonctionnement
était de filtrer le trafic selon un ensemble de règles fondées sur des informations présentes dans
le  package.Ces filtres simples, souvent utilisés dans les routeurs et interrupteur, Ils pourraient
être contournés en utilisant l'usurpation d'adresse IP et ils ne pouvaient pas détecter les
vulnérabilités dans les niveaux de modèle OSI plus élevé que le troisième.

La deuxième génération de pare-feu introduit, que la première, la possibilité d'enregistrer et de


suivre l'état d'un lien.la première pare-feu dynamique (Aussi appelé passerelle au niveau du
circuit) Il a été développé entre 1989 et 1990. ils étaient aussi sensibles aux attaques DoS qui
pointait à remplir le tableau d'état de connexion.

14
EVOLUTION DES FIREWALL

La croissance de l'Internet a conduit à la propagation des attaques incorporées dans le trafic Web auquel le pare-
feu stateful n'étaient pas en mesure de faire face. En fait, la deuxième génération de pare-feu, comme le premier,
n'a pas la capacité d'identifier les menaces dans le trafic car ils pourraient simplement classer sur la base de porte
et protocole. Le problème a conduit au développement de pare-feu d'application (Aussi appelé pare-feu proxy
ou passerelle d'application) Une nouvelle génération de pare-feu peut fournir une protection à couche
d'application (OSI 7).Parmi les pare-feu de ce type décembre SEAL FWTK et ont été parmi les premiers à être
mis au point dans la première moitié des années 1990. Cependant ce type de pare-feu pourrait soutenir un seul
protocole d'application et affecté négativement sur le trafic réseau.
Cycle UTM

Ips

Web filtring

Aapplication control

15
EVOLUTION DES FIREWALL

Dans la seconde moitié des années 2000, ils ont été les premiers faits pare-feu de nouvelle
génération qui ils rassemblent les anciens et les nouvelles technologies de sécurité dans une
solution unique, ce qui évite la dégradation des performances et l'amélioration de la configuration
et la gestion. Une telle fonctionnalité est le filtrage des technologies auparavant ou le filtrage du
pare-feu sans état, stateful inspection, l'analyse des paquets au niveau de l'application
(introspection profonde) paquet et d'autres fonctionnalités supplémentaires comme NAT et le
soutien des VPN.
Le but de cette technologie simplifie la configuration du pare-feu et la gestion d'un ensemble
hétérogène d'outils de sécurité et en améliorant leur impact sur les performances du système.

16
• La particularité des firewall next genration
Recherche sur les VPN comment configurer un VPN

17

Vous aimerez peut-être aussi