Skip to content

Qu'est-ce qu'un pare-feu, et quelle est la différence entre un pare-feu sans état et un pare-feu à état ?

Réponse courte

Un pare-feu contrôle le trafic entre zones réseau en l'autorisant ou en le refusant selon des règles. Un pare-feu sans état évalue chaque paquet isolément par rapport aux règles ; un pare-feu à état suit l'état des connexions pour autoriser le trafic de retour des sessions qu'il a permises. Les pare-feu nouvelle génération ajoutent la connaissance de la couche applicative.

Un pare-feu est le contrôle réseau le plus familier, mais les recruteurs veulent plus que « il bloque le mauvais trafic ». La vraie réponse porte sur comment il décide et quel état il conserve.

Ce que fait un pare-feu

Un pare-feu se place entre des zones réseau — par exemple entre internet et votre réseau interne, ou entre une DMZ et des serveurs internes — et applique un ensemble de règles qui autorise ou refuse le trafic. Les règles s'appuient généralement sur l'IP source/destination, le port et le protocole. La posture la plus forte est le refus par défaut : tout bloquer, puis n'autoriser explicitement que ce qui est nécessaire.

Sans état contre à état

Un pare-feu sans état (filtrage de paquets) évalue chaque paquet à part par rapport aux règles, sans mémoire des paquets précédents. Il est rapide mais grossier — pour autoriser une réponse, il faudrait ouvrir explicitement une règle pour le trafic de retour, ce qui est source d'erreurs.

Un pare-feu à état maintient une table de connexions. Lorsqu'il autorise une connexion sortante, il mémorise cette session et autorise automatiquement le trafic de retour correspondant, tout en continuant de bloquer les paquets entrants non sollicités. C'est à la fois plus sûr et plus simple à gérer, et c'est la norme aujourd'hui.

Pare-feu nouvelle génération

Un pare-feu nouvelle génération (NGFW) ajoute la connaissance de la couche applicative : il peut identifier l'application réelle (pas seulement le port), inspecter le contenu, intégrer le renseignement sur les menaces, et inclut souvent un IPS et l'inspection TLS. C'est important car les attaquants tunnellisent à travers des ports autorisés comme le 443.

Ce qu'un pare-feu n'est pas

Un pare-feu contrôle la connectivité ; ce n'est pas un antivirus, et un modèle de base n'inspecte pas en profondeur les charges utiles. C'est une couche parmi d'autres dans la défense en profondeur.

Pourquoi c'est important

Les recruteurs évaluent si vous comprenez le mécanisme, pas seulement le mot à la mode. Expliquer l'inspection à état, le refus par défaut et où les NGFW ajoutent de la valeur montre que vous savez raisonner sur les contrôles réseau plutôt que de réciter une définition.

Questions de suivi probables

  • Que signifie une politique de refus par défaut et pourquoi est-elle préférée ?
  • Que peut faire un pare-feu nouvelle génération qu'un pare-feu traditionnel ne peut pas ?
  • En quoi un pare-feu diffère-t-il d'un IPS ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.