Réseaux < 4 min

Sécurité < 4 min

Comment choisir son firewall ?

Les pare-feu (firewall) sont des équipements de sécurité qui vous prémunissent des attaques extérieures. Ils permettent la gestion des flux entrants et sortants du réseau.

Si ce système a évolué avec le temps, son utilité est la même depuis toujours : introduit dans les routeurs, il compare les paquets d'informations avec une liste de règles préconfigurées par l'entreprise.

L'un des plus anciens équipements de sécurité informatique existant à ce jour, le firewall est plus que jamais d'actualité.

Il bloque notamment les logiciels malveillants et les intrusions extérieures, protégeant ainsi votre entreprise contre les hackers, les intrusions et le vol de données.

Consulter tous nos firewalls

Comment choisir son firewall ?

Il existe différentes catégories de firewall pour pouvoir répondre aux besoins de chaque entreprise.
Citons notamment :

Le pare-feu sans état (stateless firewall)

C'est le plus vieux dispositif de filtrage réseau introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées.
Ces règles peuvent avoir des noms très différents en fonction du pare-feu :
• ACL pour Access Control List (certains pare-feu CISCO)
• Politique ou Policy
• Filtres
• Règles ou rules
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feu ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation.

Le pare-feu à états (stateful firewall)

Cisco ASA 5506-X with FirePOWER Services

Certains protocoles dits « à états » introduisent une notion de connexion. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C'est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets qui servent à la signalisation des flux IP.

Le pare-feu applicatif

Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Ce traitement est très gourmand en temps de calcul dès que le débit devient important : de plus en plus de protocoles réseaux utilisent un tunnel TCP (protocole de contrôle des transmissions) afin de contourner le filtrage par ports (permettant de distinguer les utilisateurs).
Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver à la demande. La terminologie pour le concept de module est différente pour chaque type de pare-feu.
Un exemple de règle : Le protocole HTTP permet d'accéder en lecture sur un serveur par une commande GET, et en écriture par une commande PUT. Un pare-feu applicatif va être, par exemple, en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu'à un nombre restreint de machines.

Cisco ASA 5512-X Firewall Edition

Le pare-feu identifiant

Cisco ASA 5515-X Firewall Edition

Ce pare-feu réalise l'identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou MAC, et ainsi suivre l'activité réseau par utilisateur.
Plusieurs méthodes différentes existent, qui reposent sur des associations entre IP et utilisateurs réalisées par des moyens variés.
Une autre approche est l'identification connexion par connexion (sans avoir cette association IP = utilisateur et donc sans compromis sur la sécurité) qui permet d'identifier également sur des machines multi-utilisateurs.

Le pare-feu personnel

Le pare-feu personnel, généralement installé sur une machine de travail, agit comme un pare-feu à états. Bien souvent, il vérifie aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.

Cisco ASA 5525-X - dispositif de sécurité

Le portail captif

Cisco ASA 5506-X with FirePOWER Services

Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un réseau de consultation afin de leur présenter une page web spéciale (par exemple : avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer la tra?abilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. On les déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés, filaires ou Wi-Fi.

Pour bien choisir son firewall et mettre en place la solution appropriée, il est important de bien identifier, après un audit interne, quels sont les points faibles de l'entreprise en terme de sécurité informatique.

Les questions à se poser pour choisir son pare feu :

Un certain nombre de questions essentielles sont à se poser lors de l'acquisition de son pare feu pour bien cibler ses besoins, telles que :
• le nombre d'utilisateurs et de serveurs d'entreprise sur le réseau local
• le nombre de sites distants et d'utilisateurs nomades à connecter au site d'entreprise
• le type et nombre d'accès internet (fibre, adsl, vdsl..)
• le débit nécessaire pour assurer une qualité de service à l'entreprise
• la nécessité ou non de filtrer l'accès Internet des utilisateurs
• la nécessité ou non de bloquer le téléchargement illégal
• la nécessité ou non d'assurer une continuité de service des accès Internet, VPN et pare-feu

Aujourd'hui de nombreuses entreprises se sont spécialisées dans ce domaine, pour offrir de plus en plus de sécurité et de technologies. C'est le cas de CISCO.
Leader mondial sur ce marché, Cisco propose des innovations constantes pour faire face aux nouvelles agressions dont les entreprises peuvent faire preuve.
Contactez-nous pour en savoir plus sur tous les produits haute sécurité CISCO.

Ou découvrez les équipements spécialisées CISCO à partir de 495€ en cliquant ici.

Alix - Infrastructure

Par Alix

Expert Infrastructure et SI

Tout projet Infrastructure est un projet unique. Je serai là pour vous accompagner à chaque étape afin de créer ensemble une Infrastructure parfaitement adaptée à vos besoins métiers.


Retrouvez les produits présents dans l'article

ASA 5506-X with FirePOWER Services 8GE

CISCO

Cisco ASA 5506-X with FirePOWER Services - dispositif de sécurité

stock 120

873,75 € HT

prix public : 873,75 € HT

En savoir plus

ASA 5525-X WITH FIREPOWER

CISCO

Cisco ASA 5525-X - dispositif de sécurité - avec FirePOWER Services

stock 18

8162,31 € HT

prix public : 8162,31 € HT

En savoir plus

ASA 5506-X with FirePOWER Services 8GE

CISCO

Cisco ASA 5506-X with FirePOWER Services - dispositif de sécurité

stock 120

873,75 € HT

prix public : 873,75 € HT

En savoir plus


Les articles qui peuvent vous interesser

POUR SUIVRE TOUTES NOS FICHES CONSEILS

Pour être au courant des derniers conseils de nos experts, inscrivez-vous à notre newsletter spéciale contenu.