Inspection de paquets dynamique
Pare-feu

Ces mécanismes d’inspection dynamique (stateful inspection ), aussi connus sous le nom de filtres de paquets dynamiques, offrent un niveau de filtrage équivalent aux passerelles de niveau applicatif (figure 2), mais avec des performances bien meilleures. Il est en effet possible d’effectuer du filtrage d’URL par exemple comme le font les proxy HTTP 5.1. Les performances sont dues uniquement à une astuce de mise en œuvre du filtre. Pour les passerelles de niveau applicatif, les paquets IP reçus subissent le traitement de la couche IP, puis TCP ou UDP jusqu’à l’application de filtrage. Les traitements comprennent la vérification du contrôle d’intégrité du message, les mécanismes de contrôle de flux, la décapsulation, le réassemblage, etc. En cas d’autorisation du trafic, il faut ensuite le réémettre sur le réseau, avec tout ce que cela induit : ajout d’en-tête, calcul de contrôle d’intégrité, fragmentation, etc. Pour les mécanismes à états, tout le traitement est fait directement sur les paquets IP, donc dans la couche réseau. L’information pertinente pour le filtrage (par exemple, l’URL) est localisée directement dans le paquet. Le traitement effectué sur les paquets est donc plus léger. La valeur du champ recherché est testée et aboutira au refus ou à l’autorisation de ce paquet. Si ces mécanismes violent le principe d’indépendance des couches du modèle OSI du fait qu’ici, la couche IP pousse son analyse du paquet IP jusqu’à la couche applicative, les vitesses de filtrage sont suffisantes pour envisager de filtrer du trafic IP à la volée. La plupart des implémentations de filtres de paquets dynamiques mettent en œuvre le filtrage d’URL, la vérification de contenu de trafic HTTP (en vue de la détection de tunnels HTTP, § ...