Pare-feu nouvelle génération Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?
Un pare-feu nouvelle génération (NGFW) autorise ou bloque le trafic entre les réseaux. Outre les fonctionnalités traditionnelles de filtrage de paquets assurés par les pare-feux traditionnels, les NGFW fournissent des compétences avancées telles que l’inspection des paquets au niveau des applications et la prévention des intrusions.
- Comprendre le pare-feu nouvelle génération
- Quelles sont les caractéristiques d’un NGFW ?
- Quels sont les avantages d’un pare-feu nouvelle génération ?
- Quelle est la différence entre un NGFW et une gestion unifiée des menaces ?
- Principe de fonctionnement d’un pare-feu nouvelle génération
- Qu’est-ce qu’un pare-feu nouvelle génération ?
Comprendre le pare-feu nouvelle génération
Un pare-feu nouvelle génération est aussi appelé pare-feu de nouvelle génération ou NGFW. Il analyse le trafic entre les réseaux, et autorise ou bloque le passage en fonction des politiques de pare-feu définies concernant les caractéristiques du trafic. Il peut ingérer des informations provenant d’autres systèmes, mais aussi inspecter des caractéristiques de trafic supplémentaires et ainsi appliquer des politiques de pare-feu sur des couches de communication TCP/IP (Transmission Control Protocol/Internet Protocol) plus élevées qu’un pare-feu traditionnel. Les informations supplémentaires et le niveau d’inspection approfondi utilisés par les NGFW leur permettent d’identifier et de prévenir les attaques.
Quelles sont les caractéristiques d’un NGFW ?
Un NGFW présente des caractéristiques bien plus sophistiquées qu’un pare-feu réseau traditionnel ou hérité. Voici une liste non exhaustive des caractéristiques courantes d’un NGFW :
- Inspection approfondie des paquets – Les pare-feux réseau examinent les données dans les quatre couches de communication TCP/IP (de la plus élevée à la plus basse) : application, transport, IP/réseau et matériel/liaison de données. Les NGFW peuvent inspecter le trafic dans les couches de communication TCP/IP supérieures, y compris la couche d’application. Cela leur fournit des informations sur les applications comme le contexte dans lequel le trafic des applications transite, les bases de référence du comportement attendu des utilisateurs et des applications, et leur permet de comparer ces informations avec les modèles de transit.
- Détection et prévention des intrusions – L’inspection du trafic dans les couches TCIP/IP supérieures améliore la capacité des NGFW à détecter et à prévenir les cyberattaques. Les NGFW peuvent surveiller le trafic et y déceler les éventuelles activités malveillantes à partir des signatures de comportement ou des anomalies, puis empêcher tout trafic suspect de transiter par le réseau. Ces fonctionnalités sont réunies sous les acronymes IDS (services de détection des intrusions) et IPS (service de prévention des intrusions).
- Protection contre les attaques par déni de service distribué – Les attaques par déni de service (DoS) sont des tentatives malveillantes de rendre un service indisponible en le submergeant de requêtes illégitimes, de sorte qu’il ne puisse plus répondre aux requêtes légitimes des utilisateurs. Les attaques par déni de service distribué (DDoS) s’exécutent à partir de plusieurs ordinateurs afin de générer l’afflux de requêtes illégitimes. Les NGFW étant dynamiques, ils sont plus aptes à prévenir les attaques de ce type que les pare-feux traditionnels. Un pare-feu dit « avec état » (stateful) contrôle davantage de caractéristiques des demandes de connexion en les comparant avec celles des connexions établies, ce qui facilite la détection des demandes illégitimes, même si elles sont formées différemment ou proviennent d’ordinateurs différents.
Quels sont les avantages d’un pare-feu nouvelle génération ?
Un pare-feu nouvelle génération offre divers avantages, soit :
- Une protection renforcée contre les cyberattaques – Les NGFW assurent une inspection et une analyse approfondies du trafic comparés aux pare-feux traditionnels, et peuvent notamment détecter et prévenir une plus grande variété de cyberattaques. Un NGFW pourra par exemple détecter tout trafic ciblant de façon malveillante le réseau et empêchera toute intrusion, en bloquant le trafic ou en le plaçant en quarantaine.
- Respect des mandats de conformité réglementaire – Les NGFW empêchent tout utilisateur non autorisé à accéder aux ressources sur le réseau. C’est une clause importante des réglementations en matière de confidentialité et de protection des données, comme la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis et le RGPD (Règlement général sur la protection des données) en UE.
- Architecture réseau rationalisée – Les NGFW offrent une protection avancée contre les menaces ainsi que des fonctionnalités de pare-feu classique. Le fait de réunir les fonctionnalités de plusieurs appareils et appliances sur une seule plateforme contribue à réduire la complexité de l’infrastructure réseau.
Quelle est la différence entre un NGFW et une gestion unifiée des menaces ?
La gestion unifiée des menaces (UTM) englobe des services de sécurité comme la détection et l’atténuation des programmes malveillants (antivirus, hameçonnage, chevaux de Troie, logiciels espions, etc.) ou encore le filtrage de contenu web (restriction de l’accès des utilisateurs à des types spécifiques de contenu ou de site web). Les NGFW, quant à eux, combinent des services UTM et des fonctionnalités de pare-feu afin d’offrir une protection complète via une seule et même plateforme.
Principe de fonctionnement d’un pare-feu nouvelle génération
Les pare-feux nouvelle génération proposent des fonctionnalités améliorées d’inspection des données et d’application des politiques, ainsi que des services de sécurité supplémentaires tels que l’IDS/l’IPS, un antivirus et le filtrage du contenu.
Qu’est-ce qu’un pare-feu nouvelle génération ?
Un pare-feu nouvelle génération protège l’entreprise du risque de fuite de données et des cyberattaques. Il convient, par conséquent, de s’assurer que le NGFW choisi puisse tenir ses promesses. Les meilleurs NGFW sont rigoureusement testés et homologués par des organismes indépendants de certification de produits technologiques, comme ICSA Labs. Vérifiez que le laboratoire d’essais applique des critères de test objectifs pour évaluer les performances des produits.
Lors de l’étude des solutions, notez que le meilleur NGFW peut être intégré à une solution étendue. Ainsi, la plateforme HPE Aruba Networking EdgeConnect SD-WAN associe des fonctionnalités SD-WAN avancées à une segmentation du trafic basée sur l’identité et les rôles, renforcée par un pare-feu nouvelle génération intégré (comprenant l’IDS/IPS et d’autres fonctions de sécurité). HPE Aruba Networking a également été le premier fournisseur SD-WAN à obtenir la certification ICSA Labs Secure SD-WAN, validant son pare-feu intégré nouvelle génération et ses fonctionnalités de sécurité avancées.
Pare-feu nouvelle génération et pare-feu traditionnel
Capacité | Pare-feu traditionnel | Pare-feu nouvelle génération | Avantages d’un pare-feu nouvelle génération |
|---|---|---|---|
| Inspection | Sans état (stateless) | Avec état (stateful) | Bloque le trafic qui s’écarte de la norme attendue par rapport aux connexions établies |
| Visibilité | Fonctionnalités élémentaires, uniquement les couches TCP/IP inférieures | Fonctionnalités approfondies, toutes les couches TCP/IP | Permet une analyse plus fine et robuste du trafic |
| Services | Basique | Complet | Outre le filtrage des paquets, propose des services UTM tels qu’un antivirus, un filtrage du contenu, des systèmes IDS/IPS et la journalisation |
| Protection | Limitée | Renforcée | Identifie, prévient et signale un large éventail d’attaques |
