· Pare-feu
sans états (stateless)
Ce sont les pare-feu les plus anciens mais surtout les plus
basiques qui existent. Ils font un contrôlede chaque paquets
indépendamment des autres en se basant sur les règles
prédéfinies parl'administrateur (généralement
appelées ACL, Access Control Lists).Ces pare-feu interviennent sur les
couches réseau et transport. Les règles de filtrages
s'appliquentalors par rapport à une des adresses IP source ou
destination, mais aussi par rapport à un port sourceou destination.
· Pare-feu
à états (stateful)
Les pare-feu à états sont une évolution
des pare-feu sans états. La différence entre ces deux typesde
pare-feu réside dans la manière dont les paquets sont
contrôlés. Ils prennent encompte la validité des paquets
qui transitent par rapport aux paquets précédemment reçus.
Ilsgardent alors en mémoire les différents attributs de chaque
connexion, de leur commencementjusqu'à leur fin, c'est le
mécanisme de « stateful inspection ». De ce fait,
ils seront capables de traiter lespaquets non plus uniquement suivant les
règles définies par l'administrateur, mais également
parrapport à l'état de la session :
Ø NEW : Un client envoie sa
première requête ;
Ø ESTABLISHED : Connexion
déjà initiée. Elle suit une connexion
NEW ;
Ø RELATED : Peut-être une
nouvelle connexion, mais elle présente un rapport direct avec
uneconnexion déjà connue ;
Ø INVALID : Correspond à un
paquet qui n'est pas valide.
· Pare-feu
applicatif
Le pare-feu applicatif (aussi nommé pare-feu de type
proxy ou passerelle applicative) fonctionne sur la couche 7 du modèle
OSI. Cela suppose que le pare-feu connaisse l'ensemble des
protocolesutilisés par chaque application. Chaque protocole dispose d'un
module spécifique à celui-ci. C'est à dire que, par
exemple, le protocole HTTP sera filtré par un processus proxy HTTP.Ce
type de pare-feu permet alors d'effectuer une analyse beaucoup plus fine des
informations qu'ilsfont transiter. Ils peuvent ainsi rejeter toutes les
requêtes non conformes aux spécifications duprotocole. Ils sont
alors capables de vérifier, par exemple, que seul le protocole HTTP
transite àtravers le port 80. Il est également possible
d'interdire l'utilisation de tunnels TCP permettant decontourner le filtrage
par ports. De ce fait, il est possible d'interdire par exemple aux
utilisateursd'utiliser certains services, même s'ils changent le
numéro de port d'utilisation des services (commepar exemple les
protocoles de peer to peer).
|