Quelle est la différence réelle entre le transfert de port et un pare-feu ?
Alors, ces soi-disant pare-feu intégrés dans les routeurs ADSL domestiques font-ils réellement quelque chose pour protéger votre réseau ?
Transfert de port est l'une des nombreuses choses qu'un pare-feu est capable de faire. Quant à votre deuxième question, elle dépend du modem. Votre question place la barre assez bas, c'est-à-dire qu'ils sont mieux que rien. Je dirais que oui, la plupart offrent une protection. Seront-ils aussi robustes et riches en fonctionnalités qu'un Cisco ASA 5505 ? Non. Cela signifie-t-il que vous devez dépenser 400 dollars pour un ASA 5505 ? Cela dépend également. Si vous êtes un particulier, le pare-feu intégré au routeur/modem adsl est probablement suffisant, à condition qu'il soit activé et correctement configuré. Si vous avez un bureau à domicile et que vous souhaitez disposer d'un ensemble robuste de fonctions de sécurité, d'une assistance et d'une fiabilité, alors n'hésitez pas à dépenser 400 dollars. Sinon, assurez-vous simplement que le pare-feu est bien activé et qu'il n'est pas trop ouvert.
En passant, je viens d'utiliser Cisco comme exemple. Il existe d'autres options que vous pourriez envisager comme Watchguard, Fortinet, etc. si vous étiez intéressé par un véritable pare-feu Soho.
J'irais dépenser 400 unités monétaires universelles pour un ASA5505 pour ma maison. En fait, je le ferai dans quelques semaines.
D'après mon expérience, les routeurs domestiques n'ont pas la capacité, la journalisation, la responsabilité (support RADIUS ou TACACS), la complexité du jeu de règles, la redondance, la fiabilité du matériel, le nombre de réseaux physiques supportés, les VLAN, les concentrateurs VPN, les capteurs de détection d'intrusion et tout un tas d'autres choses dont vous n'avez pas besoin dans un réseau domestique.
Les routeurs domestiques sont difficiles à mal configurer, et la complexité est l'ennemi de la sécurité... Je dirais donc qu'ils sont généralement meilleurs que les gros routeurs... à moins que vous n'ayez besoin de certaines des fonctions que j'ai énumérées.
D'un autre côté, j'ai récemment installé un routeur Juniper SRX pour remplacer mon NetGear et j'ai oublié toutes les choses agréables qu'un routeur de qualité grand public fait pour vous et que vous tenez pour acquises. 15 règles NAT plus tard, XBOX live et Playstation fonctionnaient à nouveau. Les routeurs grand public ne sont pas si mauvais que ça !
Pour répondre à votre deuxième question. La seule chose que font les routeurs grand public est de fournir une couche NAT à votre réseau. La plupart d'entre eux utilisent ce qu'on appelle Stateful Packet Inspection pour le faire. C'est une façon élégante de dire qu'ils gardent la trace de toutes les connexions qui ont été initiées depuis le réseau local jusqu'à ce qu'elles soient détruites par les moyens normaux de TCP/IP ou qu'elles expirent après une période d'inactivité. Cela offre à un réseau un certain niveau de sécurité, car le seul trafic laissé passer est celui qui provient de l'intérieur du réseau. Il existe quelques exceptions à cette règle avec l'UPNP et le transfert de port qui permettent au trafic non sollicité d'être transféré.
Ce que les dispositifs grand public n'offrent pas et qu'un pare-feu d'entreprise offre à un niveau de base, c'est la possibilité d'établir des règles sur le trafic entrant et sortant. Par exemple, si vous souhaitez bloquer le trafic en provenance ou à destination d'un certain port ou hôte. Il est également possible d'avoir des programmes qui définissent quand les règles sont appliquées. Mais comme d'autres l'ont mentionné, dans certains cas, le matériel d'entreprise peut également avoir des fonctionnalités supplémentaires au-delà d'un pare-feu, mais cela dépasse vraiment le cadre de la question que vous posez ici.
Sans entrer dans un débat sur les pare-feu et la protection, votre meilleure protection est une sécurité régulière Parcheando et un pare-feu. Les pare-feu intégrés aux routeurs domestiques fonctionnent comme des pare-feu mais ne peuvent pas arrêter beaucoup de virus/exploits/trojans auto-infligés qui peuvent infecter un ordinateur à partir d'une simple navigation sur le Web. Il en va de même pour les logiciels antivirus, dont la plupart sont pratiquement inutiles pour les nouveaux exploits ou les exploits infligés par l'utilisateur (c'est-à-dire que vous cliquez ou visitez des sites où vous ne devriez pas). Dans une installation domestique, une redirection de port expose l'ordinateur qui reçoit cette redirection de port à toute attaque potentielle sur ce port.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
Les questions sur les réseaux domestiques appartiennent à SuperUser . Si vous envisagez d'utiliser un routeur SOHO pour une entreprise et que vous ne connaissez pas la différence, vous ne devriez probablement pas être la personne qui prend la décision.
0 votes
@Chris S Bien sûr, s'il s'agit d'un administrateur système débutant qui conseille un patron ignorant les différences, alors Server Fault est l'endroit idéal pour être éduqué par des personnes plus sages et plus expérimentées qui sont prêtes à guider ceux qui sont jeunes et désireux d'apprendre dans l'espoir de devenir un jour de grands administrateurs système comme beaucoup de bonnes personnes ici, sans crainte d'être ridiculisé parce qu'ils ont posé une question "de base", "simple" ou "de débutant". Chaque administrateur système a commencé quelque part, et beaucoup d'entre eux ont commencé par "vous pouvez épeler IP, donc ici, vous dirigez les choses", par opposition à une "éducation" plus formelle de valeur discutable.