Qu’est-ce qu’un pare-feu de dernière génération (NGFW) ? | NGFW vs. FWaaS

Un pare-feu de dernière génération (NGFW) est un pare-feu avec des fonctionnalités modernes puissantes. Les pare-feu de dernière génération peuvent être hébergés dans le cloud, mais ils ne le sont pas tous.

Share facebook icon linkedin icon twitter icon email icon

Pare-feu de dernière génération

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir « pare-feu de dernière génération »
  • Comparer les pare-feu classiques avec les pare-feu de dernière génération
  • Découvrez comment les pare-feu en nuage se chevauchent avec les pare-feu de nouvelle génération

Qu’est-ce qu’un pare-feu de dernière génération (NGFW) ?

Un pare-feu de dernière génération (NGFW) est plus puissant qu’un pare-feu traditionnel. Les NGFW ont les capacités des pare-feu traditionnels, mais ils ont aussi une foule de fonctionnalités supplémentaires pour répondre à une plus grande variété de besoins organisationnels et bloquer plus de menaces potentielles. Ils sont dits « de dernière génération » pour les différencier des pare-feu plus anciens qui n’ont pas ces capacités.

La différence entre un pare-feu de dernière génération et un pare-feu plus ancien est un peu comme la différence entre un smartphone et un téléphone cellulaire à l'ancienne. Ils ont quelques caractéristiques en commun - SMS, appels vocaux, liste de contacts, etc. Mais un smartphone ajoute tellement de fonctionnalités avancées qu'il s'agit pratiquement d'un produit différent, et par conséquent, il y a un terme différent pour le désigner.

Qu’est-ce que fait un pare-feu ?

Un pare-feu est un produit de sécurité qui surveille et contrôle le trafic réseau en fonction d'un ensemble de règles de sécurité. Les pare-feu peuvent être des applications logicielles installées sur un serveur ou un ordinateur, ou encore des appareils matériels physiques qui se connectent à un réseau interne. Les pare-feu se situent généralement entre un réseau fiable et un réseau non fiable ; souvent, le réseau fiable est le réseau interne d'une entreprise, et le réseau non fiable est Internet.

Les capacités typiques d'un pare-feu traditionnel comprennent le filtrage de paquets, l'inspection dynamique, le proxying, le blocage d'IP, le blocage de nom de domaine et le blocage de port.

  • Le filtrage de paquet désigne la capacité à filtrer le trafic réseau potentiellement dangereux. Toutes les données qui circulent sur un réseau (Internet, par exemple) sont divisées en petits morceaux appelés paquets. Un pare-feu peut examiner chaque paquet individuel et, s'il correspond à certaines règles prédéterminées, l'empêcher d'entrer ou de sortir d'un réseau interne.
  • L'inspection dynamique approfondit le filtrage des paquets. Avec l'inspection dynamique, les pare-feu peuvent examiner les paquets de données dans le contexte d'autres paquets qui ont traversé le pare-feu. Un paquet de données peut sembler inoffensif, mais s'il se dirige vers une destination inhabituelle au sein du réseau, il pourrait être malveillant. (Par exemple, une requête SQL n'est pas malveillante en soi, mais si elle est envoyée via un formulaire internet, elle peut faire partie d'une attaque par injection SQL.)
  • Un proxy, en réseau, est une machine qui envoie ou reçoit du trafic réseau pour le compte d'une autre machine. Un pare-feu peut agir comme un proxy en faisant des requêtes et en recevant des réponses réseau au nom des dispositifs utilisateurs au sein de son réseau interne, filtrant les données malveillantes avant qu'elles n'aient la possibilité d'atteindre ces dispositifs.
  • Le blocage des adresses IP et des noms de domaine signifie que le pare-feu peut empêcher les utilisateurs d'accéder à certains sites internet ou applications.
  • Le blocage de ports permet aux pare-feu de filtrer certains types de trafic réseau. En réseau, un port est un endroit où une connexion entre une machine et une autre se termine. Les ports sont virtuels ou logiciels - ils ne correspondent pas aux composants physiques de la machine. Certains ports sont réservés à certains types de connexions réseau : Les connexions HTTPS, par exemple, ont lieu sur le port 443.

Quelles sont les caractéristiques qui différencient un pare-feu de dernière génération d'un pare-feu traditionnel ?

Les NGFW ont toutes les fonctionnalités ci-dessus. De plus, ils incluent des technologies qui n'étaient pas disponibles dans les produits de pare-feu précédents :

Système de prévention des intrusions (IPS) : Un système de prévention des intrusions qui détecte activement et bloque les cyber-attaques. C'est comme si un agent de sécurité patrouillait activement dans un immeuble au lieu de s'asseoir à côté de l'entrée principale.

Inspection des paquets en profondeur (DPI) : Les pare-feu plus anciens n'inspectent généralement que les en-têtes* des paquets de données qui les traversent. Les NGFW inspectent à la fois les en-têtes de paquets de données et leur charge utile afin de mieux détecter les logiciels malveillants et autres types de trafic malveillant. C'est un peu comme un point de contrôle de sécurité où les agents de sécurité inspectent le contenu des bagages d'une personne, au lieu de simplement demander à cette personne de lui dire quels articles se trouvent dans ses bagages.

*Un en-tête de paquet contient des informations sur le paquet dans son ensemble, comme sa longueur et d'où il provient.

Contrôle des applications : En plus d'analyser le trafic réseau, les NGFW peuvent identifier de quelles applications le trafic provient. Sur cette base, les NGFW peuvent contrôler les ressources auxquelles différentes applications peuvent accéder, ou bloquer certaines applications.

Intégration des répertoires : Les répertoires d'utilisateurs permettent aux équipes internes d'une organisation de suivre les privilèges et permissions de chaque utilisateur. Certaines NGFWs peuvent filtrer le trafic réseau ou les applications basées sur ces répertoires d'utilisateurs internes. Si un utilisateur n'a pas la permission d'accéder à une application, cette application est bloquée pour cet utilisateur par le pare-feu, même si l'application n'est pas identifiée comme malveillante.

Inspection du trafic chiffré : Certaines NGFW peuvent décrypter et analyser le trafic qui est chiffré avecSSL/TLS. Un pare-feu peut faire cela en agissant comme un proxy pour le processus TLS. Tout le trafic à destination et en provenance du site internet est décrypté par le pare-feu, analysé et crypté à nouveau. Du point de vue de l'utilisateur, ce proxying est harmonieux, et ils peuvent interagir avec des sites internetHTTPS sécurisés comme d'habitude.

Les NGFW sont-ils déployés dans le cloud ou sur site ?

Les NGFW peuvent être exécutés sur le cloud or sur site. La seule chose qui distingue un pare-feu plus ancien d'un pare-feu de nouvelle génération est de savoir s'il possède ou non des capacités de nouvelle génération comme celles énumérées ci-dessus.

Qu’est-ce qu’un Firewall-as-a-Service (FWaaS) ?

Un Firewall-as-a-Service (FWaaS) est un pare-feu hébergé sur le cloud par un fournisseur tiers. Ce type de service est également appelé « pare-feu dans le cloud ».

Un FWaaS n'est pas un appareil physique, ni hébergé dans les locaux d'une organisation. Comme d’autres catégories « en tant que service », telles que Software-as-a-Service ou Platform-as-a-Service, le FWaaS fonctionne dans le cloud et on y accède par le biais d’Internet.

Avant le développement de l'informatique sur le cloud, un pare-feu se trouvait entre un réseau fiable et un réseau non fiable, et il y avait une frontière claire entre les réseaux fiables et non fiables. Mais dans l’informatique sur le cloud, cette limite, appelée «périmètre réseau» n’existe pas nécessairement, car les éléments fiables sur le cloud sont accessibles via un réseau non fiables (internet). Les pare-feu hébergés en cloud assurent la sécurité de ces actifs malgré l'absence d'un périmètre réseau.

Quelle est la différence entre le FWaaS (pare-feu dans le cloud) et les NGFW ?

Next-Generation Firewall vs Cloud Firewall

La plupart des pare-feu modernes, y compris les pare-feu FWaaaS/sur le cloud, sont de dernière génération. Cependant, « FWaaS » et « dernière génération » sont deux caractéristiques différentes d’un pare-feu. FWaaS décrit où se trouve le pare-feu. « Dernière génération » définit ce qu’un pare-feu peut faire.

Tout pare-feu doté de capacités de dernière génération est un NGFW, quel que soit l'endroit où il est hébergé. Un pare-feu dans le nuage, ou FWaaaS, est hébergé dans le cloud, qu'il dispose ou non de capacités de nouvelle génération. De plus, les pare-feu hébergés sur le cloud sont configurés, maintenus et mis à jour par un fournisseur, ce qui les rend plus faciles à maintenir pour les clients et généralement plus à jour et plus sûrs.

Quel type de pare-feu Cloudflare offre-t-il ?

Cloudflare WAF (application internet de pare-feu) est un pare-feu basé sur le cloud qui protège les actifs du cloud ainsi que les applications internet. Cloudflare WAF est unique car il identifie et bloque de nouvelles menaces potentielles en continu. Pour ce faire, il analyse les données relatives au trafic provenant de l'ensemble du réseau mondial Cloudflare.