Filtrage de paquets

Les firewalls à filtrage de paquets ou de niveau 3 (L3, couche réseau) prennent des décisions fondées sur les adresses d’origine et de destination, et sur les ports contenus dans les paquets IP. Cette forme élémentaire de protection par firewall correspond en fait à un simple algorithme de tri. Ce type de firewall vous permet généralement d’avoir une forme de contrôle par le biais de listes d’accès. Le filtrage des paquets peut aussi être effectué par d’autres équipements réseau, comme les routeurs, et c’est généralement le type de protection dont  vous bénéficiez lorsque vous téléchargez des firewalls logiciels gratuits.
Le filtrage de paquets convient bien pour les réseaux de petite taille, mais il peut devenir rapidement complexe et difficile à configurer si on l’applique à des réseaux plus étendus. En outre, le filtrage de paquets ne peut pas être utilisé pour le filtrage basé sur le contenu, de même qu’il ne peut pas, par exemple, supprimer les pièces jointes à des e-mails. Ce type de firewall n’offre que peu, voire pas de capacité de journalisation, ce qui complique le diagnostic en cas d’attaque pirate.

Proxy

Les firewalls plus sophistiqués de type proxy (couche application) traitent le trafic sur le réseau en faisant passer tous les paquets par une application « proxy » distincte qui examine les données au niveau de l’application.
Un proxy firewall n’autorise pas de connexion directe entre votre réseau et Internet. Il accepte les requêtes et les exécute pour le compte de l’utilisateur. Par exemple, si vous vous trouvez derrière un proxy firewall et que vous tapez  http://www.blackbox.com, la requête est transmise au firewall, qui accède à la page pour votre compte et vous la transmet. Ce processus est transparent pour les utilisateurs. Ce système de proxy vous permet de configurer un firewall pour qu’il accepte ou refuse des paquets en fonction des adresses, des informations de connectivité et des informations sur l’application. Par
exemple, vous pouvez configurer un firewall pour qu’il élimine par filtrage tous les paquets entrants appartenant à des fichiers EXE qui sont souvent infectés par des virus ou des vers. Les firewalls proxy tiennent généralement des journaux très détaillés qui incluent des informations sur les portions de données des paquets. Les proxy firewalls sont plus lents et requièrent plus de composants matériels que le filtrage de paquets ; néanmoins, leur plus grande polyvalence vous permet de faire appliquer des règles de sécurité plus strictes.

Firewall dynamique (Stateful Inspection)

Lorsqu’un firewall est décrit comme étant dynamique, cela signifie qu’il examine les paquets au niveau de la couche réseau comme le filtrage de paquets mais, au lieu d’appliquer des règles de filtrage simples sur ces informations, il utilise une méthode intelligente pour bloquer le trafic non autorisé. Il analyse les données pour s’assurer que les requêtes de connexion sont soumises dans le bon ordre. Ce type de firewall suit chaque session de communication du début à la fin et applique des règles déterminées en fonction du protocole, du port et des adresses d’origine et de destination. En gérant toutes les données d’une session, le firewall peut rapidement vérifier que les nouveaux paquets entrants satisfont les critères pour le trafic autorisé. Les paquets qui ne font pas partie d’une session autorisée sont rejetés. Les firewalls dynamiques ont  l’avantage d’être à la fois intelligents et rapides.

Hybride

Les firewalls de type à filtrage de paquets, proxy et dynamiques constituaient jusqu’à présent des types de firewall tout à fait différents, mais aujourd’hui, pratiquement tous les équipements firewalls sont des hybrides qui assurent tous ces types de protection.