· Filtrage
simple de paquets
Un système pare-feu fonctionne sur le principe du
filtrage simple de paquets (stateless packet filtring). Il
analyse les en-têtes de chaque paquet de données (datagramme)
échangé entre une machine du réseau interne et une machine
extérieure.
Ainsi, les paquets de données échangés
entre une machine du réseau extérieur et une machine du
réseau interne transitent par le pare-feu et possèdent les
en-têtes suivants, systématiquement analysés par le
pare-feu :
Ø Adresse IP de la machine émettrice ;
Ø Adresse IP de la machine réceptrice ;
Ø Type de paquet (TCP, UDP, etc.) ;
Ø Numéro de port (rappel : un port est un
numéro associé à un service ou une application
réseau).
Les adresses IP contenues dans les paquets permettent
d'identifier la machine émettrice et la machine cible, tandis que le
type de paquet et le numéro de port donnent une indication sur le type
de service utilisé.
· Filtrage
dynamique
Le filtrage simple de paquets ne s'attache qu'à
examiner les paquets IP indépendamment les uns des autres, ce qui
correspond au niveau 3 du modèle OSI. Or, la plupart des connexions
reposent sur le protocole TCP, qui gère la notion de session, afin
d'assurer le bon déroulement des échanges. D'autre part, de
nombreux services initient une connexion sur un port statique, mais ouvrent
dynamiquement (c'est-à-dire de manière aléatoire) un port
afin d'établir une session entre la machine faisant office de serveur et
la machine client.
Ainsi, il est impossible avec un filtrage simple de paquets de
prévoir des ports à laisser passer ou à interdire. Pour y
remédier, le système de filtrage dynamique de paquets
est basé sur l'inspection des couches 3 et 4 du modèle
OSI, permettant d'effectuer un suivi des transactions entre le client et le
serveur.
· Filtrage
applicatif
Le filtrage applicatif permet comme son nom l'indique de
filtrer les communications application par application. Ce filtrage
opère donc au niveau 7 (couche application) du modèle OSI. Le
filtrage applicatif suppose donc, une connaissance des applications
présentes sur le réseau, et notamment de la manière dont
les données sont échangées (ports, etc.).
Un pare-feu effectuant un filtrage applicatif est
appelé généralement passerelle applicative (ou
Proxy), car il sert de relais entre deux réseaux en
s'interposant et en effectuant une validation fine du contenu des paquets
échangés. Le proxy représente donc un intermédiaire
entre les machines du réseau interne et le réseau externe,
subissant les attaques à leur place. De plus, le filtrage applicatif
permet la destruction des en-têtes, précédent le message
applicatif, ce qui permet de fournir un niveau de sécurité
supplémentaire. Il s'agit d'un dispositif performant, assurant une bonne
protection du réseau, pour peu qu'il soit correctement
administré. En contrepartie, une analyse fine des données
applicatives requiert une grande puissance de calcul et se traduit donc souvent
par un ralentissement des communications, chaque paquet devant être
finement analysé. Par ailleurs, le proxy doit nécessairement
être en mesure d'interpréter une vaste gamme de protocoles et
connaître les failles afférentes pour être efficace.
11.5.8.2 Les
différentes catégories de pare-feu[12]
Depuis leur création, les pare-feu ont grandement
évolué. Ils sont effectivement la première
solution
technologique utilisée pour la sécurisation des réseaux.
De ce fait, il existe maintenant
différentes catégories de
pare-feu. Chacune d'entre-elles disposent des avantages et des
inconvénients quilui sont propres. Le choix d'un type de pare-feu
plutôt qu'un autre dépendra de l'utilisationque l'on souhaite en
faire, mais aussi des différentes contraintes imposées par le
réseau devant êtreprotégé.
| 
