Un pare-feu est une structure de sécurité réseau qui peut aider à protéger votre réseau en surveillant le trafic réseau et en bloquant l’acquisition par des personnes extérieures d’un accès non autorisé à des données privées sur votre système informatique en fonction de règles préméditées. Un pare-feu de réseau établit une barrière entre un réseau de confiance et un réseau non fiable.
De plus, un pare-feu de réseau ne bloque pas seulement le trafic non fiable, mais il bloque également les logiciels malveillants qui peuvent infecter votre ordinateur, tout en laissant passer le trafic légitime. Les pare-feu de réseau servent généralement de première ligne de défense dans la sécurité de votre réseau domestique.
- 8 Types de pare-feu
- Pare-feu à filtrage de paquets
- Passerelles de niveau circuit
- Passerelles de niveau application/ Couche 7
- Pare-feu à inspection statique
- Pare-feu en nuage
- Pare-feu matériel
- Pare-feu logiciel
- Pare-feu de nouvelle génération
- Comment configurer et gérer un pare-feu sécurisé?
- 1. Assurez-vous que votre pare-feu est sécurisé
- 2. Créez vos zones de pare-feu et les adresses IP correspondantes
- 3. avoir une liste de contrôle d’accès (ACL)
- 4. Configurez les autres services de pare-feu aux normes requises
- 5. Effectuez des tests de configuration du pare-feu réseau
- 6. Gestion constante du pare-feu
- Conseils supplémentaires pour configurer un pare-feu de manière sécurisée
- Conseils supplémentaires pour gérer un pare-feu de manière sécurisée
- En savoir plus sur la création d’un pare-feu réseau sécurisé
- FAQS
8 Types de pare-feu
Il existe différents types de pare-feu ; cependant, ils sont normalement classés comme un système basé sur l’hôte ou un système basé sur le réseau. De même, les appareils de sécurité de type pare-feu réseau peuvent offrir des fonctions autres que le pare-feu, notamment le réseau privé virtuel (VPN) ou le protocole de configuration dynamique des hôtes (DHCP). Voici les types de pare-feu les plus courants.
Pare-feu à filtrage de paquets
C’est le type le plus ancien et le plus basique
qui crée un point de contrôle pour les paquets transférés entre les ordinateurs. Les paquets sont filtrés par le protocole source et destination, l’adresse IP, les ports de destination et d’autres informations de surface sans ouvrir le paquet pour inspecter son contenu.
Si le paquet d’informations ne répond pas à la norme d’inspection, il est abandonné. Ces types de pare-feu ne sont pas extrêmement gourmands en ressources. Cependant, ils sont relativement faciles à contourner par rapport aux pare-feu dotés d’une compétence d’inspection plus robuste.
Passerelles de niveau circuit
Contrairement aux pare-feu de filtrage de paquets, les passerelles de niveau circuit sont extrêmement gourmandes en ressources. Ce type de pare-feu fonctionne en vérifiant la poignée de main TCP (Transmission Control Protocol). La poignée de main TCP est une vérification conçue pour s’assurer que le paquet de session provient d’une source authentique.
Les passerelles de niveau circuit sont des types de pare-feu simplistes destinés à refuser ou approuver rapidement et simplement le trafic sans consommer de ressources informatiques importantes. Néanmoins, ce type de pare-feu n’inspecte pas le paquet lui-même. Si un paquet comporte des logiciels malveillants mais inclut la bonne poignée de main TCP, il passerait à travers.
Passerelles de niveau application/ Couche 7
Les pare-feu proxy fonctionnent au niveau de la couche de niveau application pour filtrer le trafic entrant entre la source du réseau et votre réseau. Ces types de pare-feu sont fournis par une solution basée sur le cloud ou d’autres systèmes de proxy. Les pare-feu proxy examinent à la fois le paquet et le protocole de poignée de main TCP. Bien qu’il puisse également effectuer des inspections de paquets en couche profonde pour valider qu’il n’y a pas de logiciel malveillant.
Le principal avantage du filtrage en couche application est qu’il peut comprendre des applications et des protocoles spécifiques, notamment le protocole de transfert hypertexte (HTTP), le système de nom de domaine (DNS) ou le protocole de transfert de fichiers (FTP).
Pare-feu à inspection statique
Les pare-feu à inspection statique fusionnent à la fois l’authentification de la poignée de main TCP et l’inspection des paquets pour établir une sécurité réseau que ce que les pare-feu à filtrage de paquets ou les passerelles de niveau circuit peuvent garantir seuls. Bien que, ce type de pare-feu ralentit le transfert des paquets authentiques, contrairement aux deux autres architectures.
Pare-feu en nuage
Le principal avantage des pare-feu en nuage est qu’il est étonnamment facile d’évoluer avec votre organisation. Les pare-feu en nuage sont également appelés pare-feu en tant que service (FaaS). Les pare-feu cloud sont considérés comme similaires aux pare-feu proxy car les serveurs cloud sont souvent déployés dans une configuration de pare-feu.
Pare-feu matériel
Ce type de pare-feu met en œuvre un dispositif physique qui se comporte de manière similaire à un routeur de trafic pour vérifier les demandes de trafic et les paquets de données avant d’être connectés au serveur du réseau.
Pare-feu logiciel
Cela inclut tout pare-feu installé sur un système local au lieu d’une pièce distincte de matériel ou d’une solution basée sur le cloud. Les pare-feu logiciels sont extrêmement bénéfiques lorsqu’il s’agit d’établir une défense en profondeur en séparant les points d’extrémité distincts du réseau les uns des autres.
Pare-feu de nouvelle génération
Les pare-feu de « nouvelle génération » comprennent la plupart des produits de pare-feu récemment lancés. Bien qu’il n’y ait pas beaucoup de consensus sur ce qui caractérise un pare-feu de nouvelle génération, certaines caractéristiques communes comprennent l’inspection de la poignée de main TCP, l’inspection approfondie des paquets et l’inspection des paquets au niveau de la surface.
Comment configurer et gérer un pare-feu sécurisé?
Il existe plusieurs normes de pare-feu appropriées que vous pouvez déployer pour assurer la défense du réseau informatique. Nonobstant, les étapes suivantes sont cruciales, quelle que soit la plateforme de pare-feu que vous sélectionnez.
1. Assurez-vous que votre pare-feu est sécurisé
Sécuriser votre pare-feu est la première étape pour configurer et gérer un pare-feu sécurisé. Ne permettez jamais à votre pare-feu d’effectuer des actions qui ne sont pas correctement sécurisées, au lieu de cela :
- Désactiver le protocole de gestion de réseau simple (SNMP)
- Renommer, désactiver ou supprimer tout compte utilisateur par défaut et modifier tous vos mots de passe par défaut
- Etablir des comptes administrateurs supplémentaires en fonction des responsabilités, en particulier si plusieurs administrateurs gèrent votre pare-feu.
2. Créez vos zones de pare-feu et les adresses IP correspondantes
Plus vous établirez de zones, plus votre réseau sera sécurisé. Avant de procéder à la défense de vos biens précieux, vous devez identifier quels sont ces biens et ensuite planifier la structure de votre réseau pour positionner les réseaux en fonction de leur fonctionnalité et de leur sensibilité.
Après avoir conçu une structure sécurisée et créé la structure d’adresses IP équivalente, vous êtes tout à fait prêt à architecturer vos zones de pare-feu et à les attribuer aux interfaces et/ou aux sous-interfaces de pare-feu.
3. avoir une liste de contrôle d’accès (ACL)
Après avoir établi vos zones de réseau et les avoir allouées à leurs interfaces de pare-feu, l’étape suivante consiste à déterminer quel trafic doit entrer et sortir de chaque zone. Cela serait possible grâce aux listes de contrôle d’accès (ACL). Utilisez des ACL sortantes et entrantes à chaque interface et sous-interface sur votre pare-feu réseau pour permettre uniquement le trafic approuvé entrant et sortant de chaque zone.
4. Configurez les autres services de pare-feu aux normes requises
Selon la capacité de votre pare-feu à agir comme un système de prévention des intrusions (IPS), un protocole de temps réseau (NTP), DHCP, et ainsi de suite, vous pouvez configurer les services dont vous avez besoin et désactiver tous les services supplémentaires qui ne vous concernent pas.
Vous devez consulter les exigences de la norme PCI DSS et satisfaire aux exigences de 10.2 à 10.3 de la norme PCI DSS pour configurer votre pare-feu afin qu’il rende compte correctement à votre serveur de journalisation.
5. Effectuez des tests de configuration du pare-feu réseau
Vous devez tester votre pare-feu pour vérifier que votre pare-feu fonctionne comme prévu. Vous devriez inclure à la fois des tests de pénétration et des analyses de vulnérabilité pour tester la configuration de votre pare-feu. N’oubliez pas de toujours sauvegarder votre configuration de pare-feu.
6. Gestion constante du pare-feu
Une fois votre configuration de pare-feu terminée, vous devez assurer une gestion sécurisée du pare-feu. Pour le faire efficacement, vous devez
- Faire des analyses de vulnérabilité
- Surveiller les journaux
- Réviser régulièrement les règles du pare-feu
- Maintenir le micrologiciel à jour
- Documenter les progrès
.
Conseils supplémentaires pour configurer un pare-feu de manière sécurisée
- Répondre aux mandats réglementaires standard tels que NIST, PCI DSS, ISO, et NERC
- Modifier fréquemment la configuration du pare-feu
- Bloquer le trafic par défaut et surveiller l’accès des utilisateurs
- Établir et utiliser uniquement une connexion sécurisée
- Rationaliser les changements de configuration et éliminer les failles de configuration
- Tester constamment la configuration de votre pare-feu
- Enregistrer tous les changements de configuration en temps réel.temps réel
Conseils supplémentaires pour gérer un pare-feu de manière sécurisée
- Ayez un plan de gestion des changements du pare-feu clairement défini
- Testez l’impact du changement de politique du pare-feu
- Nettoyez et optimisez la base de règles du pare-feu
- Mettez régulièrement à jour le logiciel du pare-feu
- Centralisez la gestion du pare-feu pour les pare-feu multifournisseurs
En savoir plus sur la création d’un pare-feu réseau sécurisé
Le Certified Network Defender (CND) est un programme de certification qui crée des administrateurs réseau avertis et bien formés pour identifier, la défense, la réponse et l’atténuation de toutes les vulnérabilités et attaques liées au réseau. Le programme de certification CND comprend des exercices pratiques réalisés à l’aide de logiciels, d’outils et de techniques de sécurité réseau de premier plan, qui permettront à l’administrateur réseau certifié d’acquérir des compétences réelles et actualisées sur les technologies et les opérations de sécurité réseau. Cliquez ici pour plus d’informations sur le programme CND d’EC-Council.
FAQS
- Chaque règle de pare-feu devrait être enregistrée pour reconnaître quelle action la règle était censée faire
- Avant d’ajouter ou de modifier une règle de pare-feu, vous devriez créer une procédure de changement formelle
- Bloquer tout le trafic par défaut et n’autoriser que le trafic spécifique aux services reconnus
- Définir des règles de pare-feu précises et claires
- Définir une règle de suppression explicite (Cleanup Rule)
- Audit les journaux
- Assurez-vous que les anciennes règles de pare-feu sont examinées et supprimées si nécessaire
- Assurez-vous de sécuriser les ressources critiques avant toute autre chose
- N’oubliez jamais qu’il existe une différence entre la sécurité du périmètre et la sécurité interne
- Ne donnez pas à chaque utilisateur de VPN libre accès à l’ensemble du réseau interne.
- Etablissez des périmètres de style Internet-Internet pour les extranets des partenaires
- Créer des périmètres virtuels
- Surveiller automatiquement la politique de sécurité
- Justifier les décisions de sécurité
- Désactiver les services réseau inutilisés services
- Éliminer les points d’accès sans fil indésirables et établir un accès sans fil sécurisé
- Construire un accès visiteur sécurisé
Cependant, il est nécessaire de procéder à une révision des règles du pare-feu pour évaluer votre politique de sécurité et éliminer les services obsolètes, les règles, la conformité aux politiques et le repositionnement pour la performance. Vous devez passer en revue les règles du pare-feu l’une après l’autre pour vous assurer qu’elles sont dans le bon ordre. Le responsable de la sécurité du réseau ou le pare-feu effectue souvent l’examen des règles du pare-feu.