Firewall ou pare-feu : guide de la sécurité informatique

Des firewalls un peu plus complets vous permettrons de protéger votre réseau à toutes les couches : de la couche Liaison de Données ( Ethernet ) à la couche Application ( HTTP… ). Cela veut dire, entre autres, qu’ils sont capables de bloquer des requêtes par filtrage de contenu. Le filtrage par contenu consiste à analyser un trafic non seulement au niveau de la formation des paquets réseaux sous-jacents ( IP – TCP - … ) mais aussi au niveau du contenu que véhiculent les paquets de la couche Application. Cela va demander au pare-feu de posséder une base d’analyse antivirale pour bloquer par exemple des codes ActiveX, Javascript, VBS, Java… La possibilité de créer des réseaux VPN ( Virtual Private Network ou encore Réseau virtuel privé ) peut être une option non négligeable des firewalls.

« Le Réseau privé virtuel ( VPN ou Virtual Private Network, en anglais ), est une extension des réseaux locaux qui procure une norme de sécurité en télécommunications.

Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de « tunnelisation » ( en anglais tunneling ), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel ( aussi appelé VPN, acronyme de Virtual Private Network ) pour désigner le réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux « physiques » ( réseaux locaux ) par une liaison non fiable ( Internet ), et privée car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent « voir » les données.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux. En contrepartie, il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti. »



Un autre élément non négligeable est la tolérance aux pannes : un peu comme certaines configurations en RAID des disques durs, les firewalls fonctionnent par deux, un des firewalls servant à assurer la sécurité du réseau si un problème arrive au premier firewall.

Ne pensez pas que je sois d’accord avec le principe d’ajouter des fonctionnalités de jour en jour aux firewalls : je suis un inconditionnel du principe KISS ( Keep It Simple, Stupid ), un principe ( certains disent aussi une maxime ) repris par bon nombre de développeurs et professionnels en architecture réseau qui prônent qu’un logiciel / système simple et dédié à une tâche précise est plus simple à comprendre / administrer. Mais pouvoir intégrer par défaut la tolérance aux pannes, le filtrage par contenu ( sans pour autant oublier d’installer des antivirus dans le réseau ) serait une bonne chose.

Mais avant de partir dans toutes ces considérations purement théoriques et sujettes à polémiques, revenons quelques secondes sur les trois architectures de base des firewalls.