Un pare-feu matériel est un dispositif de filtrage matériel qui inspecte les paquets de données en provenance du réseau avant que ceux-ci n'atteignent les ordinateurs et les autres périphériques connectés. C'est un équipement autonome qui n'utilise pas les ressources des ordinateurs qu'il protège ; les performances ne sont donc pas affectées. Il peut être configuré pour bloquer plusieurs ports distincts, une plage de ports ou même le trafic spécifique d'une application. Le routeur sans fil Linksys E2500 fait également office de pare-feu matériel.
Un pare-feu matériel transmet deux types de trafic différents dans votre réseau :
- Les réponses au trafic provenant de votre réseau.
- Le trafic destiné à un port que vous avez intentionnellement laissé ouvert.
Plusieurs types de configurations sont possibles :
- Filtrage des paquets : seuls les paquets respectant les règles définies et configurées dans le pare-feu peuvent le traverser. Le trafic peut être filtré en fonction de différents attributs tels que l'adresse IP et le port source ou l'adresse IP et le port de destination. Le trafic peut également être filtré selon les services ou protocoles de destination (par exemple, WWW ou FTP).
- Inspection dynamique de paquets : le pare-feu conserve une trace de l'état des connexions réseau qui le traversent. Les paquets qui n'appartiennent pas à une connexion connue sont rejetés.
- Couche Application : tous les paquets ayant comme source ou destination une application sont interceptés. Tout le trafic externe indésirable est bloqué et ne peut pas atteindre les périphériques protégés.
- Proxy : pare-feu installé sur un serveur proxy, vérifiant tout le trafic et autorisant ou interdisant les paquets selon des règles configurées. Un serveur proxy fait office d'intermédiaire entre un client et un serveur de destination sur Internet.
Les pare-feu matériels et logiciels protègent les données et les équipements du réseau contre les accès non autorisés. Un pare-feu doit être utilisé en plus des logiciels de sécurité. La figure 1 compare les pare-feu logiciels et matériels.
Pour configurer les paramètres du pare-feu matériel sur le routeur Linksys E2500, procédez comme suit (voir la figure 2) :
Sélectionnez Security > Firewall, puis Enable pour activer la protection par un pare-feu SPI. Sélectionnez les autres filtres Internet et filtres Web requis pour sécuriser le réseau. Cliquez sur Save Settings > Continue.
REMARQUE : même sur un réseau sécurisé, vous devez activer le pare-feu interne du système d'exploitation pour bénéficier d'un niveau de sécurité supplémentaire. Certaines applications risquent de ne pas fonctionner correctement si le pare-feu n'est pas configuré pour elles.
Zone démilitarisée
Une zone démilitarisée (DMZ) est un sous-réseau qui fournit des services à un réseau non fiable. Souvent, un serveur FTP, Web ou de messagerie est placé dans la zone DMZ de façon à ce que son trafic n'entre pas dans le réseau local. Cela permet de protéger le réseau interne des attaques provenant de ce trafic. Toutefois, les serveurs situés dans la zone DMZ ne sont pas du tout protégés. Souvent, le pare-feu ou le proxy gère le trafic en provenance ou à destination de la zone DMZ.
Sur le routeur Linksys E2500, vous pouvez créer une zone DMZ pour un périphérique en redirigeant tous les ports dont le trafic Internet est envoyé vers une adresse MAC ou IP spécifique. Un serveur, une console de jeu ou une webcam peuvent être placés dans une zone DMZ pour être accessibles par n'importe quel utilisateur. Cependant, le périphérique situé dans cette zone est exposé aux attaques des pirates informatiques.