Connaissances de base sur la protection contre les attaques
NAT (Network Address Translation)
La fonction NAT traduit l'adresse IP publique obtenue par le fournisseur d'accès en adresses internes (privées). L'adresse IP des différents ordinateurs n'est ainsi pas visible via Internet et, par conséquent, n'est pas accessible. La fonction NAT offre donc une protection de base. Tous les routeurs ZyXEL sont équipés de la fonction NAT.
Filtrage des paquets
Le filtrage des paquets analyse les paquets de données par rapport à l'adresse cible et d'origine ainsi qu'au type de protocole. De plus, les restrictions d'accès sont réalisées selon la configuration. Les avantages sont une transparence totale et une haute vitesse. L'inconvénient : les ports sont soit bloqués soit activés. Avec les méthodes des pirates telles qu'IP Spoofing (simuler une adresse IP autorisée) ou Source Routing (dévier des paquets de données) le filtrage des paquets peut être facilement contourné. Tous les routeurs ZyXEL intègrent le filtrage des paquets.
Stateful Packet Inspection
La fonction Stateful Packet Inspection protège le réseau contre les accès non autorisés venant d'Internet. En même temps, elle contrôle les connexions à Internet, c'est-à-dire qu'elle vérifie si une demande venant du réseau interne doit être acceptée. Un tableau interne permet de surveiller et gérer les contrôles des connexions. C'est sur la base de ce tableau que le pare-feu décide s'il permettra à un paquet de données de passer ou s'il le bloquera. Le pare-feu contrôle uniquement les adresses IP et les protocoles ce qui le distingue des systèmes de prévention et de détection d'intrusion.
Déni de service DoS (DoS = Denial of Service)
Les attaques par déni de service DoS provoquent la saturation du routeur ou du serveur. Une telle attaque peut causer l'arrêt de réseaux entiers. DoS est implémenté dans tous les pare-feu ZyXEL et les routeurs ADSL professionels.
DMZ (zone démilitarisée)
Contrairement aux serveurs locaux, les serveurs publics et les serveurs Web doivent être accessibles par Internet. Afin de répondre à ces besoins différents, les serveurs publics sont installés dans un segment réseau séparé. La zone dite démilitarisée est séparée d'Internet et du réseau local moyennant des règles de pare-feu permettant d'augmenter la sécurité vu qu'un serveur infecté dans la DMZ rend l'accès au réseau local impossible.