Comprendre le fonctionnement des FW

Introduction sur le firewall

De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques
qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger
des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler
en équipe sur des projets communs.

La possibilité de travail collaboratif apportée par un réseau local constitue un premier

pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde
extérieur, c'est à dire internet.

En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par
exemple nécessaire de pouvoir partager des informations avec les clients de
l'entreprise.

Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte a
divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne
sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...).
Les mobiles pour effectuer de tel actions sont nombreux et variés : attaque visant le vol
de données, passe-temps,…
 Introduction sur le firewall

Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant essentiel qui est
le firewall. Cette outil a pour but de sécuriser au maximum le réseau local de
l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela
permet de rendre le réseau ouvert sur Internet beaucoup plus sûr.

De plus, il peut également permettre de restreindre l'accès interne vers l'extérieur. En

effet, des
employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme
par exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès
à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant
dans son enceinte.

Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il

permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau
de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités
inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de
données.
Principe de fonctionnement des FW
Le Fw est un dispositif logiciel ou matériel permet de surveiller , tracer et contrôler le trafic
réseau entrant et sortant (gardant une traçabilité) d’une machine ou un réseau local.

Un pare-feu externe est un élément physique de l'équipement relié à un ordinateur (tandis

que le pare-feu logiciel est installé dans un ordinateur), c'est donc pour cela que l'on parle
aussi de pare-feu matériel.

Pourquoi le FW ? Pourquoi ne pas se limiter à l’antivirus

Réseau local
Echange d’information entre les membres (peuvent être des données confidentielles)
Tentatives d’accès non autorisés (employeur accède au service de comptabilité)

Connecté au monde extérieur (Internet)

Besoins d’ouvrir des portes de connexion)
Types des FW
3 classifications des pare-feu:
Types de pare-feu:
•Physique
•Logiciel

Couche OSI interaction

•Niveau réseau
•Niveau applicatif
•Pare-feu d’applications

Mode d’execution
•Pare-feu sans états (stateless)
•Pare-feu à état (stateful)
•Pare-feu applicatif (proxy)
•Pare-feu authentifiant
•Pare-feu personnel
Première classification

2
Exemple :
Pare-feu sous
windows

Le pare feu physique: est une machine qui ressemble à un switch qui s’installe à coté
d’un serveur Web et qui possède son propre système d’exploitation (Linux), il
possède plusieurs ports, chaque port possede une adresse IP et qui peut e^tre
configuré sur un sous réseau
La différence entre un pare-feu matériel et un logiciel
pare-feu

Cloison et pare-feu logiciel protège les ordinateurs en bloquant le trafic suspect à partir
d'Internet . Un pare-feu matériel est un élément physique de l'équipement relié à un
système d'ordinateur , tandis que le pare-feu logiciel est un programme installé dans un
ordinateur. Pare-feu matériels ont l'avantage de protéger plusieurs ordinateurs sur un
réseau , tandis que les pare-feu logiciel peut être suffisant pour répondre aux besoins
d'un utilisateur individuel .

Hardware Firewall:
Un pare-feu matériel est un périphérique externe qui est branché sur un ordinateur avant
qu'il se connecte à Internet . Un routeur à large bande est un exemple d'un pare-feu
matériel .

Pare-feu logiciel
pare-feu logiciels sont des programmes qui peuvent être installés sur votre ordinateur en
les téléchargeant directement à partir d'un site Web ou les charger à partir d'un CD ou
d'un DVD . Pare-feu logiciels sont parfois inclus dans le cadre d'un package de sécurité
Internet . Norton Internet Security et Kaspersky Internet Security, par exemple , les deux
sont livrés avec un pare-feu.
La différence entre un pare-feu matériel et un logiciel
pare-feu

Comparaisons

pare-feu matériels sont plus chers que les logiciels et sont couramment utilisé sur les
réseaux accessibles par plusieurs ordinateurs. Les Evalue Website notes qu'ils « ont
l'avantage d'être séparé de votre ordinateur , si votre ordinateur ramasser un virus qui
pourrait désactiver votre pare-feu . " Pare-feu logiciels sont adaptés à la plupart des
utilisateurs à domicile , et un logiciel de pare-feu peuvent inclure un bon niveau de
protection contre les virus et les logiciels espions .
Deuxième classification

FW des applications: Permet de bloquer les ports

Troisième classification: Firewall sans état (stateless)
C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde
chaque paquet indépendamment des autres et le compare à une liste de règles
préconfigurées.
 Firewall sans état
Ce sont les firewall les plus anciens mais surtout les plus basiques qui existent. Ils font un
contrôle de chaque paquets indépendamment des autres en se basant sur les règles
prédéfinies par l'administrateur (généralement appelées ACL, Access Control Lists).

Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages
s'appliquent alors par rapport à une d'adresses IP sources ou destination, mais aussi par
rapport à un port source ou destination.
Les limites :
Lors de la création des règles de filtrage, il est d'usage de commencer à spécifier que le
firewall ne doit laisser passer aucun paquets. Ensuite, il faut ajouter les règles
permettant de choisir les flux que nous souhaitons laisser passer. Il suffit alors d'autoriser
l'ouverture des ports des serveurs devant
être accessible depuis l'extérieur. Mais les connexions des postes vers l'extérieur
poseront problèmes. Effectivement, il faudrait autoriser les ports utilisés par les postes
clients lors des connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports
supérieurs à 1024. Ceci pose donc un réel problème de sécurité.

Il n'est pas possible non plus de se préserver des attaques de type ip-spoofing (technique
consistant à se faire passer pour une machine de confiance) ou SYN Flood (surcharge de
demande de connexion sans attente de la réponse.)
 Firewall sans état
Les limites :

Les règles de filtrage de ces firewalls sont basées que sur des adresses IP, il suffit donc au
pirate de trouver les règles de ce firewall pour pouvoir utiliser cette technique de
piratage. Une solution pour se protéger des attaques de type ip-spoofing est de mettre
en place une règle interdisant les paquets provenant du réseau extérieur dont l'adresse
IP source correspond à une adresse valide du réseau local

Exemple d'attaque pas ip-spoofing:

Une connexion est établie entre le client A et le serveur B. Un pirate C souhaite attaquer
cette connexion.
 Firewall sans état
Exemple d'attaque pas ip-spoofing:
Une connexion est établie entre le client A et le serveur B. Un pirate C souhaite attaquer
cette connexion.
 Firewall sans état
Exemple d'attaque pas ip-spoofing:
Une connexion est établie entre le client A et le serveur B. Un pirate C souhaite attaquer
cette connexion.

Une autre limite de ce type de firewall se trouve au niveau des protocoles

fonctionnant de manière similaire au FTP. Effectivement, certains protocoles ont
besoin d'ouvrir un autre port que celui dédié . Ce port est choisi aléatoirement avec
une valeur supérieure à 1024. Dans le cas du protocole FTP, l'utilisation de deux ports
permet d'avoir un flux de contrôle et un flux de données pour les
connexions.
Le problème posé viens du fait que ce port est choisi aléatoirement, il n'est donc pas
possible de créer des règles pour permettre les connexions FTP avec les firewalls
sans états.
 Firewall à états (stateful)
Les firewalls à états sont une évolution des firewalls sans états. La différence entre ces
deux types de firewall réside dans la manière dont les paquets sont contrôlés. Les
firewalls à états prennent en compte la validité des paquets qui transitent par rapport
aux paquets précédemment reçus. Ils gardent alors en mémoire les différents attributs
de chaque connexions, de leur commencement jusqu'à leur fin, c'est le mécanisme de
stateful inspection.

De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les
règles définies par l'administrateur, mais également par rapport à l'état de la session :
– NEW : Un client envoie sa première requête.
– ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW.
– RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct
avec une connexion déjà connue.
– INVALID : Correspond à un paquet qui n'est pas valide.

Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de
séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors
capables de déceler une anomalie protocolaire de TCP. De plus, les connexions actives
sont sauvegardées dans une table des états de connexions. L'application des règles est
alors possible sans lire les ACL à chaque fois, car l'ensemble des paquets appartenant à
une connexion active seront acceptés.
 Firewall à états (stateful)
Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre
certaines attaques DoS comme par exemple le Syn Flood. Cette attaque très courante
consiste à envoyer en masse des paquets de demande de connexion (SYN) sans en
attendre la réponse (c'est ce que l'on appel flood). Ceci provoque la surcharge de la
table des connexions des serveurs ce qui les rend incapable d'accepter de nouvelles
connexions. Les firewalls stateful étant capables de vérifier l'état des sessions, ils sont
capables de détecter les tentatives excessives de demande de connexion. Il est
possible, en autre, ne pas accepter plus d'une demande de connexion par seconde
pour un client donné .

Un autre atout de ces firewalls est l'acceptation d'établissement de connexions à la

demande. C'est à dire qu'il n'est plus nécessaire d'ouvrir l'ensemble des ports
supérieurs à 1024. Pour cette fonctionnalité, il existe un comportement différent
suivant si le protocole utilisé est de type orienté connexion ou non.

Pour les protocoles sans connexion (comme par exemple UDP), les paquets de
réponses légitimes aux paquets envoyés sont acceptés pendant un temps donné. Par
contre, pour les protocoles fonctionnant de manière similaire à FTP, il faut gérer l'état
de deux connexions (donnée et contrôle). Ceci implique donc que le firewall connaisse
le fonctionnement du protocole FTP (et des protocoles analogues), afin qu'il laisse
passé le flux de données établi par le serveur.
 Firewall à états (stateful)

Les limites :
• La première limite de ce type de firewall ce situe au niveau du contrôle de la validité
des protocoles (les protocoles à plusieurs flux ne passent pas) .
• cout elevé de la mise à jour des règles (le firewall doit mettre à jour la table des états,
les protocoles à plusieurs flux ne passent pas)
• ne protège pas contre les attaques d’exploration des failles applicatives)

Effectivement, les protocoles « maisons » utilisant plusieurs flux de données ne

passeront pas, puisque le système de filtrage dynamique n'aura pas connaissance du
fonctionnement de ces protocoles particuliers.

Ensuite, il existe un coût supplémentaire lors de la modification des règles du firewall.

Il faut que les firewalls réinitialisent leurs tables à état.
Pour finir, ce type de firewall ne protège pas contre l'exploitation des failles
applicatives, qui représentent la part la plus importante des risques en terme de
sécurité.
Quatrième classification
 Firewall applicatif
Les firewall applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative)
fonctionne sur la couche 7 du modèle OSI. Cela suppose que le firewall connaisse
l'ensemble des protocoles utilisés par chaque application. Chaque protocole dispose
d'un module spécifique à celui-ci. C'est à dire que, par exemple, le protocole HTTP sera
filtré par un processus proxy HTTP.

Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des
informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requêtes non
conformes aux spécifications du protocole. Ils sont alors capables de vérifier, par
exemple, que seul le protocole HTTP transite à travers le port 80.

Il est également possible d'interdire l'utilisation de tunnels TCP permettant de

contourner le filtrage par ports. De ce fait, il est possible d'interdire, par exemple, aux
utilisateurs d'utiliser certains services, même s'ils changeant le numéro de port
d'utilisation du services (comme par exemple les protocoles de peer to peer).
 Firewall applicatif
Les limites :

La première limitation de ces firewalls réside sur le fait qu'ils doivent impérativement
connaître toutes les règles des protocoles qu'ils doivent filtrer. Effectivement, il faut
que le module permettant le filtrage de ces protocoles soit disponible.

Ensuite, ce type de firewall est très gourmand en ressource. Il faut donc s'assurer
d'avoir une machine suffisamment puissante pour limiter les possibles ralentissements
dans les échanges.
Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des règles de filtrage suivant
les utilisateurs et non plus uniquement suivant des machines à travers le filtre IP. Il est
alors possible de suivre l'activité réseau par utilisateur.

Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur
connecté et l'adresse IP de la machine qu'il utilise. Il existe plusieurs méthode
d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue
l'authentification par connexion.

Firewall personnel
Les firewalls personnels sont installés directement sur les postes de travail. Leur
principal but est de contrer les virus informatiques et logiciels espions (spyware).
Leur principal atout est qu'ils permettent de contrôler les accès aux réseaux des
applications installés sur la machines. Ils sont capables en effet de repérer et
d'empêcher l'ouverture de ports par des applications non autorisées à utiliser le réseau.
 Proxy

Le proxy : il inspecte les paquets au niveau de la couche application du modèle de

référence OSI (Open Systems Interconnection) Contre les attaques de réseau de plus
en plus nombreuses, il devint évident de les protéger au niveau de la couche
d’application, car les pares-feux de filtrage de paquets, et de filtrage de paquets à état
ne peuvent pas distinguer les données et les trafics malveillants encapsulés dans un
trafic de protocole apparemment valide. Les proxys peuvent, eux, faire la distinction.
C’est une approche beaucoup plus fine et efficace. Un serveur proxy est une machine
servant d’intermédiaire entre les appareils d’un réseau et d’un autre réseau. Il permet
de filtrer les logiciels malveillants et certains contenus web indésirables
Exemple de Firewall : ASA
 Exemple de Firewall : ASA niveaux de sécurité

• Pour distinguer les réseaux internes et externes, l’ASA leur assigne un

niveau de sécurité (Security-level)
• Le niveau de sécurité définit la confiance accordée à une interface (ou
plusieurs interfaces dans le cas de l’ASA 5505)
• Plus le niveau est élevé, plus la confiance accordée est importante
• Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100
(confiance totale)
• Chaque interface opérationnelle doit avoir :
• ๏ Un nom
• ๏ Un niveau de sécurité entre 0 et 100
• ๏ Une adresse IP (si on place l’ASA en mode Routed)
• ๏ Par défaut :
• ๏ Toute interface nommée inside se verra automatiquement attribué un
niveau de sécurité = 100
• ๏ Toute interface nommée outside se verra automatiquement attribué
un niveau de sécurité = 0
 Exemple de Firewall : ASA niveaux de sécurité
Inside Network
๏ Réseau protégé et placé derrière le firewall
๏ DMZ
๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles
par les clients (Visibilité
limitée)
๏ Outside network
๏ Réseau en dehors de la protection du firewall

๏ Le trafic issu du réseau

Outside à destination du
réseau Inside est refusé
๏ Le trafic issu du réseau
DMZ à destination du réseau
Inside est refusé
 Exemple de Firewall : ASA dans une petite entreprise

In a small branch deployment, a common

deployment would include:
 An Inside network (VLAN 1) with security level 100.
 An Outside network (VLAN 2) with security level 0
 Exercice 1

1. Démontrer que le FW sans états ne peut pas bloquer les attaques Ipspoofing
2. Réaliser une simulation
 FW de nouvelle génération utilisé par Data center
1.Définition du NGFW
Un pare-feu de nouvelle génération (NGFW) est un « pare-feu d’inspection des
paquets profonds » qui va au-delà de l’inspection et du blocage des ports et des
protocoles pour ajouter l’inspection au niveau de l’application, la prévention des
intrusions et l’apport de renseignements de l’extérieur du pare-feu ».

2. Comparaison entre Pare-feu traditionnel et pare-feu de nouvelle génération

Comme leur nom l’indique, les pares feux de nouvelle génération sont une version
plus avancée du pare-feu traditionnel, et ils offrent les mêmes avantages. Comme les
pare-feu réguliers, NGFW utilise à la fois le filtrage statique et dynamique des paquets
et la prise en charge VPN pour s’assurer que toutes les connexions entre le réseau,
Internet et le pare-feu sont valides et sécurisées.

Les deux types de pare-feu devraient également être en mesure de traduire les
adresses réseau et portuaire afin de cartographier les adresses IP.
 FW de nouvelle génération utilisé par Data center

2. Comparaison entre Pare-feu traditionnel et pare-feu de nouvelle génération

Il existe également des différences fondamentales entre le pare-feu traditionnel et les
pares-feux de prochaine génération. La différence la plus évidente entre les deux est
la capacité d’un NGFW à filtrer les paquets en fonction des applications.

Ces pares-feux ont un contrôle et une visibilité étendus des applications qu’il est en
mesure d’identifier à l’aide de l’analyse et de l’appariement des signatures. Ils peuvent
utiliser des listes blanches ou un IPS basé sur la signature pour faire la distinction
entre les applications sûres et les applications indésirables, qui sont ensuite identifiées
à l’aide du décryptage SSL.

Contrairement à la plupart des pare-feu traditionnels, les NGFW incluent également

un chemin par lequel les futures mises à jour seront reçues.
 FW de nouvelle génération utilisé par Data center

3. Avantages de l’utilisation d’un pare-feu de nouvelle génération

 Les caractéristiques différenciant des pares-feux de nouvelle génération créent des
avantages uniques pour les entreprises qui les utilisent.

 NGFWs sont en mesure d’empêcher les logiciels malveillants d’entrer dans un

réseau, quelque chose que les pare-feu traditionnels ne serait jamais en mesure
d’atteindre. Ils sont mieux équipés pour faire face aux menaces persistantes
avancées (API).

 NGFWs peut être une option à faible coût pour les entreprises qui cherchent à
améliorer leur sécurité de base, car ils peuvent intégrer le travail des antivirus,
pare-feu, et d’autres applications de sécurité dans une solution. Les
caractéristiques de ceci incluent la sensibilisation d’application, les services
d’inspection, aussi bien qu’un système de protection et un outil de conscience qui
bénéficient à l’offre à toutes les chances.
 FW de nouvelle génération utilisé par Data center

4. L’importance d’un pare-feu de nouvelle génération

 L’installation d’un pare-feu est une exigence pour toute entreprise.
 Dans l’environnement d’aujourd’hui, avoir un pare-feu de nouvelle génération est
presque aussi important.
 Les menaces qui pèsent sur les appareils personnels et les grands réseaux
changent chaque jour.
 Avec la flexibilité d’un NGFW, il protège les appareils et les entreprises contre un
spectre beaucoup plus large d’intrusions. Bien que ces pare-feu ne soient pas la
bonne solution pour toutes les entreprises, les professionnels de la sécurité
devraient examiner attentivement les avantages que les NGFW peuvent offrir, car
ils ont un très grand avantage.
 FW de nouvelle génération utilisé par Data center
5. Caractéristiques d’un pare-feu de nouvelle génération
Les appliances de pare-feu de nouvelle génération (NGFW) ont toujours été conçues
pour assurer un ensemble bien particulier de services de sécurité : pare-
feu, prévention des intrusions et contrôle des applications. Depuis
leur introduction, les menaces qui pèsent sur la sécurité et la technologie qui permet
de les combattre ont fortement évolué, et cela crée aujourd'hui une demande pour
des services de sécurité réseau supplémentaires.

D'autres techniques et services ont donc dû être intégrés aux appliances NGFW de
base, par exemple l'analyse SSL, le filtrage des sites Web, la qualité de service, l'analyse
antivirus, voire la mise en sandbox. Bien que précieux pour les utilisateurs, ces autres
services suscitent également de la confusion, car certaines personnes ne comprennent
pas bien la différence entre NGFW et UTM (Gestion unifiée des menaces).

Actuellement, les entreprises ne devraient pourtant pas rechercher une

appliance NGFW ou UTM particulière, mais l'appliance de sécurité réseau adéquate,
capable de répondre à leurs besoins spécifiques en matière de
sécurité, de déploiement et de gestion.
 FW de nouvelle génération utilisé par Data center
6. Exemple d’un pare-feu de nouvelle génération: WatchGuard
Notre approche novatrice de la sécurité réseau s'efforce de fournir une
protection de pointe à toutes les organisations, indépendamment de leur taille et de
leur niveau d'expertise technique. Idéales pour les PME, les entreprises de taille
intermédiaire et les grandes entreprises distribuées, nos appliances de sécurité réseau
sont conçues dès le départ pour faciliter leur déploiement, leur utilisation et leur gestion
en continu, en plus du niveau de sécurité le plus élevé possible.

WatchGuard réunit non seulement le plus vaste éventail de services de sécurité réseau
sur une même plateforme, mais il le fait de la manière la plus dynamique possible, en
étant capable de s'adapter plus rapidement que toute autre solution à tous les vecteurs
de menaces, même nouvelles et en évolution.
Notre domaine de prédilection est la sécurité, et notre souhait
est que chaque client bénéficie à tout instant de la meilleure protection possible. C'est
pourquoi nous recommandons fortement aux clients d'opter pour une suite de sécurité
complète. Lorsqu'elles fonctionnent avec WatchGuard Total Security Suite, nos
appliances de sécurité réseau Firebox offrent la meilleure sécurité possible contre les
menaces qui pèsent sur le réseau. Chaque Firebox est disponible sous forme
d'appliance NGFW autonome. Cependant, comme nous sommes des spécialistes de la
sécurité, nous ne recommandons jamais le déploiement d'un pare-feu de nouvelle
génération (NGFW) en l'absence d'autres mécanismes de sécurité. La meilleure approche
à adopter en matière de sécurité est une approche à plusieurs couches.
Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?
Un pare-feu de nouvelle génération (NGFW) est un appareil de sécurité qui
traite le trafic réseau et applique des règles pour bloquer le trafic potentiellement
dangereux. Les NGFW évoluent et étendent les capacités des pare-
feux traditionnels. Ils font tout ce que font les pare-feux, mais de manière plus
puissante et avec des fonctionnalités supplémentaires.

Prenons l'exemple de deux agences de sécurité aéroportuaire. L'une vérifie que

les passagers ne figurent pas sur des listes d'interdiction de vol, que leur identité
correspond à celle indiquée sur leur billet et qu'ils se rendent bien à des
destinations desservies par l'aéroport.

La seconde, en plus de vérifier les listes d'interdiction de vol et autres, inspecte

ce que les passagers transportent, s'assurant qu'ils n'ont pas d'articles
dangereux ou interdits. La première agence assure la sécurité des aéroports
contre les menaces évidentes ; la seconde identifie également les menaces qui
peuvent être moins évidentes.

Un pare-feu ordinaire est comme la première agence de sécurité : il bloque ou

autorise les données (passagers) en fonction de leur destination, de leur
appartenance ou non à une connexion réseau légitime et de leur provenance.
Un NGFW ressemble davantage à la deuxième agence de sécurité : il inspecte
les données à un niveau plus profond pour identifier et bloquer les menaces qui
peuvent être cachées dans un trafic d'apparence normale.
 Quelles sont les capacités d'un NGFW ?

Les NGFW peuvent faire tout ce que les pare-feux ordinaires peuvent faire. Cela
inclut :
•Filtrage des paquets : inspecter chaque paquet de données et bloquer les
paquets dangereux ou inattendus. Le filtrage des paquets est expliqué plus en
détail ci-dessous.
•Inspection dynamique : examiner les paquets dans leur contexte pour
s'assurer qu'ils font partie d'une connexion réseau légitime.
•Sensibilisation au VPN : les pare-feux sont capables d'identifier le trafic
VPN chiffré et de le laisser passer.
 Quelles sont les capacités d'un NGFW ?
Les NGFW ajoutent également plusieurs capacités que les anciens pare-feu ne
possèdent pas. Les NGFW utilisent l'inspection approfondie des paquets (DPI) en plus du
filtrage des paquets. Et selon Gartner, une société mondiale de recherche et de conseil,
un NGFW comprend :
 Sensibilisation et contrôle des applications
 Prévention des intrusions
 Informations sur les menaces
 des possibilités de mise à niveau afin d'ajouter de futurs flux d'informations.
 Techniques pour faire face aux menaces de sécurité en constante évolution
 Quelles sont les capacités d'un NGFW ?
Ces capacités sont expliquées en détail ci-dessous.
La plupart de ces fonctionnalités sont possibles, car contrairement aux pare-feu
classiques, les NGFW peuvent traiter le trafic sur plusieurs couches du modèle OSI, et
pas seulement sur les couches 3 et 4 (la couche transport).

Les NGFW peuvent examiner le trafic de la couche 7 HTTP et identifier les applications
utilisées, par exemple. Il s'agit d'une capacité importante car la couche 7 (couche
application) est de plus en plus utilisée pour des attaques visant à contourner les
politiques de sécurité appliquées aux couches 3 et 4 par les pare-feux traditionnels.
Que sont le filtrage des paquets et
l'inspection approfondie des paquets
(IAP) ?
 Filtrage des paquets
Toutes les données qui traversent un réseau ou l'Internet sont décomposées en
petits morceaux appelés paquets. Étant donné que ces paquets contiennent le
contenu qui entre dans un réseau, les pare-feux les inspectent et les bloquent ou
les autorisent afin d'empêcher tout contenu malveillant (tel qu'une attaque de
logiciel malveillant) de passer. Tous les pare-feux ont cette capacité de filtrage des
paquets.

Le filtrage des paquets fonctionne en inspectant les adresses IP source et

destination, ports, et les protocoles associés à chaque paquet (en d'autres termes,
d'où vient chaque paquet, où il va et comment il y arrivera. Les pare-feux
autorisent ou bloquent les paquets sur la base de cette évaluation, en filtrant les
paquets non autorisés.

À titre d'exemple, les attaquants tentent parfois d'exploiter les vulnérabilités

associées au protocole RDP (Remote Desktop protocol) en envoyant des paquets
spécialement conçus au port utilisé par ce protocole, le port 3389.

Cependant, un pare-feu peut inspecter un paquet, voir à quel port il est destiné et
bloquer tous les paquets dirigés vers ce port, sauf s'ils proviennent d'une adresse
IP spécifiquement autorisée. Cela implique l'inspection du trafic réseau au niveau
des couches 3 (pour voir les adresses IP source et destination) et 4 (pour voir le
 Une inspection des paquets en profondeur (DPI)

Les NGFW améliorent le filtrage des paquets en effectuant une inspection approfondie
des paquets (DPI). Tout comme le filtrage des paquets, l'inspection approfondie des
paquets consiste à inspecter chaque paquet pour connaître l'adresse IP source et
destination, le port source et destination, etc. Ces informations sont toutes contenues
dans les en-têtes de couche 3 et de couche 4 d'un paquet.
Mais le DPI inspecte également le corps de chaque paquet, et pas seulement l'en-tête.
Plus précisément, le DPI vérifie les signatures de logiciels malveillants et autres
menaces potentielles dans le corps des paquets. Le DPI compare le contenu de chaque
paquet à celui d'attaques malveillantes connues.

Qu'est-ce que la sensibilisation et le contrôle des

applications ?
Les NGFW bloquent ou autorisent les paquets en fonction de l'application à laquelle ils sont
destinés. Pour ce faire, ils analysent le trafic au niveau de la couche 7, la couche application.
Les pare-feux traditionnels n'ont pas cette capacité car ils n'analysent le trafic qu'au niveau
des couches 3 et 4.
La connaissance des applications permet aux administrateurs de bloquer les applications
potentiellement risquées. Si les données d'une application ne peuvent pas passer le pare-
feu, elle ne peut pas introduire de menaces dans le réseau.
Selon les définitions des termes données par Gartner, cette capacité et la prévention des
intrusions (décrite ci-dessous) sont des éléments du DPI.
 Qu'est-ce que la prévention des intrusions ?

La prévention des intrusions analyse le trafic entrant, identifie les menaces connues et les
menaces potentielles, et bloque ces menaces. Une telle fonctionnalité est souvent appelée
système de prévention des intrusions (IPS). Les NGFW comprennent des IPS dans le cadre
de leurs capacités DPI.

Les IPS peuvent utiliser plusieurs méthodes pour détecter les menaces, notamment :

 Détection de signatures : Analyser les informations contenues dans les paquets entrants
et les comparer aux menaces connues

 Détection statistique des anomalies : Analyse du trafic pour détecter les changements
inhabituels de comportement, par rapport à une base de référence.

 Détection par analyse de protocole dynamique : Similaire à la détection d'anomalie

statistique, mais axée sur les protocoles de réseau utilisés et les comparant à l'utilisation
typique des protocoles.
 Qu'est-ce que le renseignement sur les menaces ?

les renseignements sur les menaces sont des informations sur les attaques potentielles.
Les techniques d'attaque et les souches de logiciels malveillants évoluant en permanence,
des renseignements sur les menaces actualisés sont essentiels pour bloquer ces attaques.
Les NGFW sont capables de recevoir et d'agir sur les flux de renseignements sur les
menaces provenant de sources externes.

L'intelligence des menaces maintient l'efficacité de la détection des signatures IPS en

fournissant les dernières signatures de logiciels malveillants.
Le renseignement sur les menaces peut également fournir des informations sur l'IP
reputation.

« L'IP reputation » identifie les adresses IP d'où proviennent souvent les attaques (en
particulier les attaques bot ). Un flux de renseignements sur les menaces liées à la
réputation IP fournit les dernières mauvaises adresses IP connues, qu'un NGFW peut alors
bloquer.
 Qu'est-ce que le renseignement sur les menaces ?
Les pare-feux de la prochaine génération sont-ils matériels ou logiciels ?
Certains NGFW sont des appareils matériels conçus pour défendre un réseau privé
interne. Les NGFW peuvent également être déployés sous forme de logiciels, mais il n'est
pas nécessaire qu'ils soient basés sur des logiciels pour être considérés comme étant de
nouvelle génération.

Enfin, un NGFW peut être déployé sous forme de service en cloud; on parle alors de pare-
feu cloud (ou FW en tant que service FWaas). Le FWaaS est un composant important des
modèles de mise en réseau secure access service edge (SASE). Qu'est-ce que Cloudflar

Qu'est-ce que Cloudflare Magic Firewall ?

est un pare-feu de niveau réseau fourni par le réseau mondial Cloudflare. Il
protège les utilisateurs, les réseaux de bureaux et l'infrastructure en nuage, et il est
conçu pour remplacer les pare-feux matériels par une protection avancée et
évolutive.
Magic Firewall est étroitement intégré à cloudflare One, une plateforme SASE qui
combine des services de réseau et de sécurité.
Fire wall Nouvelle generation

Le firewall Next Gen peut bloquer les attaques DOS

Attaque DDoS : comment l’expliquer et l’éviter ?

Sur la toile, de très nombreux sites internet possèdent une architecture distribuée :
les ressources ne se trouvent pas au même endroit, sur une même machine par
exemple. De ce fait, contrairement aux architectures centralisées, ce type de réseau
est beaucoup plus faible face aux attaques, et plus particulièrement face
aux attaques DDoS, pour Distributed Denial of Service.

Ainsi, il est indispensable de comprendre la nature de cette attaque, pour se

protéger plus efficacement.

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS vise directement les sites qui disposent d’une architecture
distribuée, un type de réseau qui souffre d’une capacité limitée en termes
d’infrastructure. Aussi, il devient beaucoup plus facile de l’immobiliser, de le bloquer
et donc de rendre le site web inutilisable.
Fire wall Nouvelle generation

Comment se protéger d’une attaque DDoS ?

Plusieurs solutions sont à la portée des webmasters pour se protéger contre de
telles attaques. La première consiste à choisir consciencieusement l’hébergeur. En
effet, de nombreux prestataires offrent la possibilité de lutter efficacement contre
les cybercriminels, en filtrant les botnets ou réseaux zombie.

Mettre en place un site miroir, voici encore une procédure efficace pour se
prémunir des attaques de ce type. Il s’agit de créer, sur un nom de domaine différent
(avec une autre extension par exemple), une copie conforme du site, qui sera
opérationnelle en cas d’immobilisation de la plateforme originelle.

Disposer d’une interface plus rapide à charger et offrant une réponse appropriée en
cas de requêtes massives est également une solution à envisager. Créer une version
plus légère de la plateforme ou installer un système d’alerte, voilà également qui
pourra permettre aux entreprises de se protéger plus efficacement contre les
attaques DDoS.