1. Le concept de pare-feu
Le pare-feu, également connu sous le nom de mur de protection, a été inventé par le fondateur de Check Point Gil Shwed en 1993 et introduit sur l'Internet international (US5606668(A) 1993-12-15). Il s'agit d'un système de sécurité réseau qui se situe entre le réseau interne et le réseau externe.
Il s'agit d'un système de protection de la sécurité de l'information qui permet ou restreint le passage des données transmises selon des règles précises.
Dans le monde des réseaux, ce sont les paquets de communication qui transportent les données de communication qui sont filtrés par le pare-feu. Dans le réseau, le « firewall » fait référence à une méthode de séparation de l'intranet du réseau d'accès public (Internet), qui est en fait une technologie d'isolation. Un pare-feu est une échelle de contrôle d'accès mise en œuvre lorsque deux réseaux communiquent, ce qui permet aux personnes et aux données avec lesquelles vous « êtes d'accord » d'entrer dans votre réseau tout en gardant les personnes et les données avec lesquelles vous « n'êtes pas d'accord », maximisant les chances d'empêcher les pirates dans le réseau d'accéder à votre réseau. En d'autres termes, si vous ne traversez pas le pare-feu, les personnes à l'intérieur de votre entreprise ne peuvent pas accéder à Internet et les autres sur Internet ne peuvent pas communiquer avec les personnes à l'intérieur de votre entreprise.
2. L'histoire du pare-feu
Depuis sa naissance, le pare-feu est passé par quatre étapes de développement.
- Pare-feu basé sur le routeur
- Ensembles d'outils de pare-feu personnalisés
- Pare-feu construit sur un système d'exploitation à usage général
- Pare-feu avec un système d'exploitation sécurisé
Les pare-feux courants sont désormais des pare-feux avec des systèmes d'exploitation sécurisés, tels que NETEYE, NETSCREEN, TALENTIT, etc.
3. Les types de pare-feu
Pare-feu au niveau du réseau
Un pare-feu au niveau du réseau peut être considéré comme un filtre de paquets IP qui fonctionne sur la pile de protocoles TCP/IP sous-jacente. Il peut être énuméré pour autoriser uniquement le passage des paquets qui correspondent à certaines règles, tandis que les autres ne peuvent pas traverser le pare-feu (à l'exception des virus, qui ne peuvent pas être empêchés). Ces règles peuvent généralement être définies ou modifiées par l'administrateur, bien que certains dispositifs de pare-feu ne puissent appliquer que les règles intégrées.
Pare-feu d'application
Le pare-feu applicatif fonctionne au niveau de la « couche application » de la pile TCP/IP, à laquelle appartiennent les flux de données que vous générez lors de l'utilisation d'un navigateur ou lors de l'utilisation de FTP. Un pare-feu de couche application intercepte tous les paquets vers et depuis une application et bloque les autres (généralement en les supprimant simplement). En théorie, ce type de pare-feu peut complètement bloquer le flux de données de l'extérieur vers la machine protégée.
Pare-feu de base de données
Un pare-feu de base de données est un système de sécurité de base de données basé sur une technologie d'analyse et de contrôle de protocole de base de données. Basé sur un mécanisme de défense actif, il réalise l'accès à la base de données et le contrôle du comportement, le blocage des opérations dangereuses et l'audit des comportements suspects. Grâce à l'analyse du protocole SQL, le pare-feu de base de données permet aux opérations SQL légales de passer et bloque les opérations illégales et non conformes selon des politiques d'interdiction et d'autorisation prédéfinies, formant le cercle de défense périphérique de la base de données et réalisant une prévention active et un audit en temps réel de SQL dangereux. opérations. Le pare-feu de base de données fournit une interdiction d'injection SQL et une fonction de package de correctifs virtuels de base de données face à l'invasion de l'extérieur.
4. Linux Firwall
Les pare-feu Linux sont très utiles dans les applications d'entreprise, les exemples sont les suivants.
- Les petites et moyennes entreprises et les cafés Internet ont iptables comme routeur NAT, qui peut être utilisé pour remplacer les routeurs traditionnels afin de réduire les coûts.
- Les salles de serveurs IDC n'ont généralement pas de pare-feu matériels et les serveurs dans IDC les salles de serveurs peuvent utiliser des pare-feu Linux au lieu de pare-feu matériels.
- iptables combiné avec squid peut être utilisé comme proxy transparent pour l'accès interne à Internet. Les proxys traditionnels doivent configurer les informations du serveur proxy dans le navigateur, tandis que le proxy transparent iptables + squid peut rediriger la demande du client vers le port du serveur proxy. Le client n'a aucun paramétrage à effectuer et ne ressent pas la présence du proxy.
- Lorsque vous utilisez iptables comme routeur NAT d'entreprise, vous pouvez utiliser l'extension iptables pour bloquer le trafic P2P et également bloquer les pages Web illégales.
- iptables peut être utilisé pour mapper une adresse IP externe à une adresse IP interne.
- Iptables peut facilement empêcher les attaques DOS légères telles que les attaques ping et les inondations SYN.
- En résumé, Iptables dispose de deux modes d'application : pare-feu hôte et routeur NAT.
5. Le principe de base du pare-feu
Correspondant au flux de transmission d'octets dans la figure ci-dessous, il peut être divisé en les couches suivantes :
- Filtrage de paquets : fonctionne au niveau de la couche réseau, il détermine s'il faut autoriser ou non le passage des paquets en se basant uniquement sur l'adresse IP, le numéro de port, le type de protocole et d'autres indicateurs dans l'en-tête du paquet.
- Proxy d'application : fonctionne au niveau de la couche d'application et, en écrivant différents proxys d'application, il réalise la détection et l'analyse des données de la couche d'application.
- Stateful Inspection : fonctionne à la couche 2 ~ 4, le contrôle d'accès est identique à 1, mais l'objet du traitement n'est pas un seul paquet, mais l'ensemble de la connexion, via la table des règles et la table d'état de la connexion, un jugement complet s'il faut autoriser le paquet passer.
- Inspection complète du contenu : fonctionne aux couches 2 à 7, il analyse non seulement les informations d'en-tête de paquet et les informations d'état, mais restaure et analyse également le contenu des protocoles de la couche application pour prévenir efficacement les menaces de sécurité hybrides.
6. Netfilter et iptables
Netfilter est un framework de pare-feu du noyau Linux 2.4 proposé par Rusty Russell, qui est à la fois simple et flexible et peut implémenter de nombreuses fonctions dans les applications de stratégie de sécurité. Tels que le filtrage de paquets, le traitement de paquets, le masquage d'adresse IP, le proxy transparent, la traduction d'adresses réseau dynamique (NAT), ainsi que le filtrage basé sur l'adresse utilisateur et le contrôle d'accès au support (MAC) et le filtrage basé sur l'état, la limitation du débit de paquets, etc. Les règles d'Iptables/Netfilter peuvent être combinées de manière flexible pour former un très grand nombre de fonctions et couvrir divers aspects, tout cela grâce à ses excellentes idées de conception. Le système de filtrage de paquets Netfilter/Iptables peut être traité comme un tout, avec netfilter comme implémentation de module noyau et iptables comme outil pour les opérations de niveau supérieur. Sans distinction stricte, sous Linux, netfilter et iptables peuvent être considérés comme faisant référence au pare-feu Linux. En fait, Iptables est un outil qui gère le filtrage des paquets du noyau et peut être utilisé pour configurer des règles dans le formulaire de filtrage des paquets du noyau. Il s'exécute dans l'espace utilisateur.
La différence est que netfilter est un nouveau moteur de filtrage de paquets introduit dans le noyau Linux 2.4, appelé Netfilter, qui fait référence à la structure interne du pare-feu de filtrage de paquets dans le noyau Linux, et non sous la forme de programmes ou de fichiers, et appartient à "l'état du noyau". système de fonction de pare-feu. iptables fait référence au programme de commande utilisé pour gérer le pare-feu Linux, généralement situé dans /sbin/iptables, qui fait partie du système de gestion du pare-feu « user state ». iptables est l'outil qui contrôle Netfilter, l'aîné de la commande ipchains dans le noyau Linux 2.2. Le iptables est l'outil qui contrôle Netfilter et est le frère aîné de la commande ipchains dans le noyau Linux 2.2.
Les règles définies par Netfilter sont stockées dans la mémoire du noyau, tandis qu'iptables est une application au niveau de l'application qui modifie les XXtables (table de configuration de Netfilter) stockées dans la mémoire du noyau via l'interface fournie par Netfilter. Ces XXtables se composent de tables, de chaînes et de règles. iptables se charge de modifier ce fichier de règles au niveau de la couche application. firewalld lui ressemble.
Quel est le lien entre iptables et netfilter ?
Beaucoup de gens pensent immédiatement à iptables comme un pare-feu, mais en fait iptables n'est pas un pare-feu, c'est juste un logiciel ou un outil qui peut écrire certaines règles et enregistrer les règles écrites dans la base de données de règles de netfilter. Par conséquent, la véritable "prévention des incendies" est Netfilter, pas iptables. netfilter est un framework dans le noyau, qui contient quatre tables et cinq chaînes, et ces chaînes contiennent beaucoup de règles. Les règles auxquelles les paquets sont comparés sont les règles définies dans cette chaîne.
Dans ce qui suit, nous désignerons le pare-feu Linux par iptables.
7. Les performances du pare-feu
Cadence de production : Cette métrique affecte directement les performances du réseau.
Latence: l'intervalle de temps entre l'arrivée du dernier bit de la trame d'entrée à l'entrée et la sortie du premier bit de la trame de sortie à la sortie.
Taux de perte de paquets: le pourcentage de trames qui devraient être transmises par les périphériques réseau sous une charge en régime permanent, mais qui sont abandonnées en raison d'un manque de ressources.
Dos à dos: A partir de l'état de repos, un nombre important de trames de longueur fixe sont émises à un débit de transmission qui atteint la limite d'intervalle minimum légal du support de transmission. Le nombre de trames envoyées en cas de perte de la première trame.
Connexions de navigateur simultanées: nombre maximal de connexions simultanées pouvant être établies entre des hôtes traversant le pare-feu ou entre un hôte et le pare-feu.
8. La limitation du pare-feu
Bien que le pare-feu soit une installation de base pour protéger la sécurité du réseau, il comporte également certaines menaces de sécurité qui ne sont pas faciles à prévenir : tout d'abord, le pare-feu ne peut pas empêcher les attaques qui ne traversent pas le pare-feu ou ne contournent pas le pare-feu. Par exemple, certains utilisateurs peuvent établir une connexion directe à Internet s'ils sont autorisés à composer un numéro depuis l'intérieur du réseau protégé. Les pare-feu sont basés sur des méthodes de détection et de blocage des informations d'en-tête de paquet, principalement le contrôle d'accès aux services fournis ou demandés par les hôtes, et ne peuvent pas bloquer le trafic nuisible passant par les ports ouverts, et ne constituent pas une solution aux vers ou aux attaques de piratage. De plus, il est difficile pour les pare-feu d'empêcher les attaques ou les abus depuis l'intérieur du réseau.
Produits associés:
- Palo Alto Networks PAN-SFP-PLUS-SR Module émetteur-récepteur 10G SFP + SR 850nm 300m LC MMF DDM compatible $12.00
- Palo Alto Networks PAN-SFP-PLUS-LR Compatible 10G SFP + LR 1310nm 10 km LC SMF DDM Module émetteur-récepteur $18.00
- Palo Alto Networks PAN-SFP-PLUS-T Compatible 10G Cuivre SFP+ 30m RJ45 sans module émetteur-récepteur DDM $45.00
- Module émetteur-récepteur Fortinet FG-TRAN-QSFP + SR compatible 40G QSFP + SR4 850nm 150m MTP / MPO MMF DDM $25.00
- Fortinet FG-TRAN-QSFP+LR Compatible 40G QSFP+ LR 1310nm (CWDM4) 10km LC SMF DDM Module Émetteur $149.00
- Fortinet FG-TRAN-QSFP-4XSFP-5 Compatible 5m (16ft) 40G QSFP+ à quatre 10G SFP+ Câble de Déploiement Optique Actif $89.00
- Palo Alto Networks PAN-QSFP-AOC-5M Compatible 5m (16ft) 40G QSFP + vers QSFP + Câble optique actif $75.00