Son principe de fonctionnement est le même que celui d’un routeur avec des listes d’accès. Son action porte surtout sur les niveaux 3 et 4 de la couche OSI, c’est-à-dire sur les adresses TCP/IP et les ports d’attaque.
Il se configure toujours avec les particularités de chaque réseau et l’administrateur système doit avoir une idée très précise des flux de données qui vont transiter par cette forteresse.
Un Firewall peut être de plusieurs sortes mais il conserve toujours les mêmes particularités : Il possède au moins 2 cartes réseaux, 1 pour le réseau Interne (le cœur de l’entreprise )et 1 pour le réseau Externe ( la DMZ et l’Internet ), de nombreuses règles de passage sont établies et gérées par un OS particulier sécurisé. Par exemple une machine sous Linux avec 2 cartes réseaux et IPChain pour établir des routes, le NAT et les règles de passage. Mais il existe aussi des sociétés spécialisées qui ont des offres très intéressantes et surtout qui assurent une certaine garantie de fonctionnement, d’évolution et de support. CISCO PIX, Check Point FireWall-1, …
Un petit mot pour se donner une idée du tarif de ces solutions ; CISCO PIX = 65000 HT ; FireWall-1 = 37000 FHT ; Linux = 10000 FHT ;… Sans la main d'oeuvre pour la mise en service.
Le Firewall concentre la sécurité réseau en un seul point (chocke point). C'est aussi l’endroit idéal pour déployer un translateur d’adresse réseau (NAT), l'avantage c'est que depuis quelques temps l’Internet subit une crise due au manque d’extension des adresses IP. Une des solutions consiste bien sûr à tout passer en IP v6 mais si l'on regarde bien autour de nous, beaucoup d'entreprises viennent juste de mettre en place leur architecture. Elle a souvent été coûteuse et les budgets ne sont pas extensibles à l'infini pour modifier autant les structures. Grâce aux différents filtrages sur les services disponibles et les cibles qui desservent ces mêmes services, le Firewall peut permettre un accès sécurisé dans la DMZ sans pour autant laisser rentrer d'éventuels intrus dans le réseau privé.
Le principal avantage, et qui soutient parfaitement les règles de sécurités, c'est que le Firewall est un point de centralisation ;
Tout le monde passe par lui pour sortir du réseau Interne / Privé pour consulter l'Internet, c'est le seul élément donnant cet accès, donc en cas de panne ce n'est pas la peine de chercher ailleurs, si l'on multiplie les points de sortie, on multiplie aussi les points d'entrée. Le meilleur argument pour les distributeurs de Firewall c'est la phrase suivante :
"Rien ne sert de mettre une porte blindée si vous laissez la porte de derrière ouverte".
Une des méthodes d'infiltration les plus utilisée est celle de l'IP spoofing. Cette méthode est très astucieuse puisqu'elle consiste à se faire passer pour quelqu'un du réseau privé interne alors que l'on vient de l'extérieur. A la base, c'est plutôt logique de laisser passer une adresse connue qui vient de l'intérieur, mais c'est pour cela que sur la carte réseau représentant le OUT, on droppe tout paquet provenant directement sur cette carte. Si un paquet est identifié par une adresse interne, il ne peut arriver que sur la carte IN du Firewall.
D'autres méthodes, plus astucieuses, consistent à envoyer, par mail, des programmes de type "cheval de Troie". En profitant de la curiosité et de la crédulité des employés, l'intrus peut transmettre un programme qui va se lancer automatiquement et de façon invisible sur la machine de sa victime afin que l'ordinateur privé soit celui qui offre une multitude de services vers la machine de l'intrus. Ce contournement est redoutable car le Firewall ne peut pas déterminer ou trier ce genre de trafic.
L'éducation, la sensibilisation et la bonne formation des utilisateurs internes est un investissement primordial. De ce fait, il est beaucoup plus facile de contrôler les victimes car on a un retour d'informations directement de la part des utilisateurs.