le filtrage de flux va etre de plus en plus intégrer ds le filtrage de paquet dédié niveau "3", donc attendons a voir arriver des firewall capablent d'avoir l'IDS embarqué.
source : http://www.securityfocus.com/infocus/1716
 
ps : des produits comme les netscreen sont en fait des fw + ids (snort) + filtrage virale et code malicieux (style trend micro virus interscan) , Dos , attaque stdards.

je poste parce que je trouve ça interessant et que je voudrais pas que ça fasse un bide, mais j'ai rien à rajouter alors =>

Ca a l'ere interressant effectivement mais ne m'etant pas poser dessus je comprend pas tout. Si tu pouvais donner un peu plus d'explications ce serais simpa.

bien sure   ,
 
en clair les firewall dédiés vont de plus en plus travailler (ou travail deja pour certain) sur les couches superieur. Cad que dans un check point, un netscreen , un pix, un firebox tu vas avoir un module dit filtrant au niveau contenu de paquet, plus simplement :
une trame http avec une commande malicieuse sera detecté et le paquet droppé ET un module IDS , le tout sur le meme produits sans disociation !
 
en clair c une fusion de produit de type firewall stateful, ids (detection d'intrusion ET reaction contre/attaque) et filtrage niveau applicatif (interscan virus wall , fsecure ).

Mouais bof...  
 
Si je m'appuye sur ta description je trouve ca vraiment bof.
 
Au lieu de faire remonter des modules difffernets ils feraient mieux de creer une couche d'abstraction de ce filtrage de haut niveau, cachant son fonctionnement tant a l'utilisateur qu'au developpeur.
 
L'appli communique via cette couche et ne recoit de paquets QUE s'il n'ont pas ete filtres. La couche se demerde de son cote.
 
Car la avec cette approche a chaque fois qu'ils vont vouloir changer quoi que ce soit, ajouter des modules particuliers, de l'IA, etc... ca va etre la galere pour changer les applis.
 
Un peu de transparence que diable !
 
Enfin bon je me base sur ta description hein

ben non , le pont filtrant est au choix , il est donc modulaire, l'ids embarqué aussi !
 

justement le changement/l'evolution/la combinaison de modules sont tout sauf transparents...
 

ce sera dans quelle version du kernel/iptables ?

pas si ton fw bosse en bridge ... IL EST  dans ce cas transparent. (et c le but d'ailleurs !!)

tu prends netfilter des noyals 2.4.x + trendmicro interscan VirusWall + snort et tu t'en rapproches deja pas mal

 
Alors tu expliques mal car si tu dois CHOISIR un module selon ce que tu dois faire alors ce n'est pas transparent.  
 
Bon je ne vais pas t'expliquer mon boulot non plus...