Je me documentais sur les pare-feux et je suis tombé sur deux concepts qui m'ont troublé : le pare-feu d'application Web et le pare-feu "normal". Je ne suis pas tout à fait sûr de la différence entre ces deux concepts, qui semblent accomplir la même chose. Quelqu'un connaît-il la différence ?
Gracias.
Un pare-feu "classique" ne s'intéresse généralement qu'aux couches 3 et 4 du réseau. Modèle OSI . Par exemple, pour autoriser le port TCP 80, autoriser le port UDP 53 à partir d'adresses IP spécifiques uniquement, ou refuser le port TCP 25.
Pour les requêtes HTTP, une fois que l'obstacle "autoriser le port TCP 80" est franchi, le pare-feu ne s'intéresse pas à ce qui est transmis via cette connexion.
Un pare-feu pour applications web travaille presque exclusivement à la couche 7, traitant de la sécurité en termes de contenu des requêtes HTTP.
Ils cherchent principalement à empêcher les requêtes qui ne correspondent pas à ce qui est attendu de votre application web, en utilisant des règles appliquées aux requêtes HTTP entrantes pour empêcher les attaques telles que les scripts intersites, les injections SQL, les traversées de répertoires ou les tentatives d'authentification par force brute. Essentiellement, leur objectif est de protéger le serveur web contre les types de requêtes manipulées et malveillantes que les attaquants pourraient utiliser pour compromettre votre application web.
Pour répondre rapidement et concrètement à cette question, un pare-feu d'application web est un pare-feu (appareil et/ou logiciel) conçu pour protéger les transactions d'une application web - par exemple, les requêtes HTTP(s), les requêtes de base de données, et éventuellement d'autres trafics liés aux piles d'applications web.
Mais je voudrais m'étendre un peu sur le sujet :
Un pare-feu "standard", c'est-à-dire un pare-feu normal de la couche 4 de l'OSI, effectue un filtrage basé sur les informations de protocole - par exemple, IP, TCP, UDP et ICMP. Vous pouvez définir des règles dans le pare-feu pour autoriser des éléments tels que des plages IP, des ports TCP, des types ICMP, etc. Il s'agit généralement du type de pare-feu le plus simple que vous puissiez trouver.
Une assez grande majorité de pare-feux (au moment de la rédaction de ce document) incluent également des fonctions d'inspection plus élevées dans le modèle OSI - celles-ci peuvent et/ou vont inspecter le trafic protocolaire réel qui traverse le pare-feu. Il s'agit par exemple des protocoles AIM, HTTP, SQL, Jabber et bien d'autres. Certaines inspectent uniquement les attaques potentielles, d'autres vous permettent de définir de manière plus granulaire des règles d'autorisation/refus pour des attributs spécifiques de messages dans ce protocole. L'inspection de haut niveau et l'utilité de la base de règles tendent à être limitées en fonction de la marque ou du modèle.
Un pare-feu d'application web (ou WAF) est un pare-feu semblable à ce dernier - c'est-à-dire qu'il travaille plus haut dans la pile OSI, mais il est destiné à inspecter le flux de trafic au niveau de l'application et il est spécifiquement orienté vers l'espace commercial des applications web. La plupart des WAF (mais pas tous) ne sont pas destinés à remplacer un pare-feu traditionnel, mais à l'améliorer. Normalement, les WAFs agissent selon deux modes différents : l'inspection passive et le mode "actif". Le mode passif se contente d'écouter le trafic et peut avertir s'il détecte un "mauvais" trafic connu. Le mode actif peut bloquer activement le "mauvais" trafic lorsqu'il est repéré, tout en permettant au "bon" trafic d'accéder à l'application web. Les fournisseurs proposent généralement un service d'abonnement qui permet au WAF de tenir à jour sa liste d'exploits connus.
La plupart des WAF et des pare-feu standard peuvent faire essentiellement la même chose : créer une frontière entre deux réseaux et autoriser ou refuser le trafic sur la base d'une liste de règles. La principale différence réside dans le fait qu'un WAF est spécialement conçu pour sécuriser les applications web et que la plupart d'entre eux ne sont pas destinés à remplacer un pare-feu traditionnel.
J'ai dit plus tôt que la plupart (mais pas tous) - il y a un terme/buzzword/marketspeak - appelé NG Firewall (ou "Next Generation" firewall). Ces dispositifs sont censés être des pare-feux aux stéroïdes. Ils remplissent les fonctions de pare-feu standard, mais aussi des fonctions qui nécessitaient auparavant plusieurs appareils distincts - par exemple, le pare-feu, l'inspection des virus, le pare-feu des applications web, le filtrage des chats/messages et le pare-feu d'autres protocoles d'application. Je ne l'ai pas testé, donc YMMV ; je l'ai juste inclus comme exemple d'un appareil qui est censé faire les deux fonctions et qui s'efforce de bien les faire toutes les deux.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
