Il est important de protéger les ordinateurs individuels et les serveurs reliés au réseau, mais il convient également de contrôler le trafic en direction et en provenance du réseau.
Le pare-feu est l'un des outils de sécurité les plus efficaces pour protéger les utilisateurs internes du réseau des menaces externes. Un pare-feu se trouve entre deux réseaux, ou plus, et contrôle le trafic entre eux tout en contribuant à éviter les accès non autorisés. Les pare-feu emploient diverses techniques pour déterminer les accès autorisés à un réseau ou les accès à interdire. Ces techniques sont les suivantes :
- Filtrage des paquets : interdit ou autorise l'accès selon les adresses IP ou MAC.
- Filtrage des applications : interdit ou autorise l'accès à des types d'applications spécifiques en fonction des numéros de ports.
- Filtrage d'URL : interdit ou autorise l'accès à des sites Web en fonction d'URL ou de mots clés spécifiques.
- Inspection dynamique de paquets (SPI) : les paquets entrants doivent constituer des réponses légitimes aux requêtes d'hôtes internes. Les paquets non sollicités sont bloqués, sauf s'ils sont expressément autorisés. L'inspection SPI peut éventuellement reconnaître et filtrer des types d'attaques spécifiques telles que le déni de service.
Les pare-feu peuvent prendre en charge une ou plusieurs possibilités de filtrage, parmi celles décrites. En outre, les pare-feu effectuent souvent une traduction d'adresses réseau (NAT). Ce mécanisme consiste à traduire (ou convertir) une adresse IP ou un groupe d'adresses IP internes en une adresse IP publique externe envoyée sur le réseau. Cela permet de dissimuler les adresses IP internes aux utilisateurs externes.
Les pare-feu sont disponibles sous plusieurs formes, comme l'illustre la figure.
- Pare-feu matériel - Un pare-feu matériel est intégré à un périphérique matériel dédié appelé appareil de sécurité.
- Pare-feu basé sur un serveur : un pare-feu basé sur un serveur est constitué d'une application de pare-feu qui s'exécute sur un système d'exploitation réseau tel qu'UNIX ou Windows.
- Pare-feu intégré : un pare-feu intégré est mis en œuvre par l'ajout d'une fonction de pare-feu à un périphérique existant, comme un routeur.
- Pare-feu personnel - Un pare-feu personnel se trouve sur un ordinateur hôte et n'est pas conçu pour une mise en œuvre sur un réseau local. Il peut être disponible par défaut dans le système d'exploitation ou obtenu auprès d'un vendeur externe.