Qu'est-ce qu'un pare-feu de nouvelle génération (NGFW) ? | NGFW vs FWaaS

Un pare-feu de dernière génération (NGFW) est un pare-feu avec des fonctionnalités modernes puissantes. Les pare-feu de dernière génération peuvent être hébergés dans le cloud, mais ils ne le sont pas tous.

Share facebook icon linkedin icon twitter icon email icon

Pare-feu de dernière génération

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir « pare-feu de dernière génération »
  • Comparer les pare-feu classiques avec les pare-feu de dernière génération
  • Découvrez comment les pare-feu en nuage se chevauchent avec les pare-feu de nouvelle génération

Qu'est-ce qu'un pare-feu de nouvelle génération (NGFW) ?

Un pare-feu de nouvelle génération (NGFW) est plus puissant qu'un pare-feu traditionnel. Les NGFW ont les capacités des pare-feux traditionnels, mais ils ont également une multitude de fonctionnalités supplémentaires pour répondre à une plus grande variété de besoins organisationnels et bloquer plus de menaces potentielles. Ils sont appelés « nouvelle génération » pour les différencier des anciens pare-feux qui n'ont pas ces capacités.

La différence entre un pare-feu de nouvelle génération et des pare-feux plus anciens ressemble un peu à la différence entre un smartphone et un téléphone portable à l'ancienne. Les deux ont des caractéristiques en commun : SMS, appels vocaux, liste de contacts, etc.

Que fait un pare-feu ?

Un pare-feu est un produit de sécurité qui surveille et contrôle le trafic réseau en fonction d'un ensemble de règles de sécurité. Les pare-feux peuvent être des applications logicielles installées sur un serveur ou un ordinateur, ou ils peuvent être des équipements matériels physiques qui se connectent à un réseau interne. Les pare-feux se situent généralement entre un réseau sécurisé et un réseau non sécurisé ; souvent, le réseau sécurisé est le réseau interne d'une entreprise et le réseau non sécurisé est Internet.

Les capacités typiques d'un pare-feu traditionnel incluent le filtrage de paquets, l'inspection dynamique, fonction proxy, le blocage IP, le blocage des noms de domaine et le blocage des ports.

  • Le filtrage de paquets fait référence à la possibilité de filtrer le trafic réseau potentiellement dangereux. Toutes les données qui transitent sur un réseau (comme Internet) sont divisées en plus petits fragments appelés paquets. Un pare-feu peut examiner chaque paquet individuel et, s'il correspond à certaines règles prédéterminées, l'empêcher d'entrer ou de sortir d'un réseau interne.
  • Une inspection dynamique approfondit le filtrage des paquets. Grâce à l'inspection dynamique, les pare-feux peuvent examiner les paquets de données dans le contexte d'autres paquets qui ont traversé le pare-feu. Un paquet de données peut sembler inoffensif en soi, mais s'il se dirige vers une destination inhabituelle au sein du réseau, il peut être malveillant. (Par exemple, une requête SQL n'est pas malveillante en soi, mais si elle est envoyée via un formulaire Web, elle peut faire partie d'une attaque par injection SQL.)
  • La fonction proxy dans la mise en réseau, fait référence à une machine qui envoie ou reçoit du trafic réseau au nom d'une autre machine. Un pare-feu peut agir en tant que proxy en effectuant des demandes et en recevant des réponses du réseau au nom des appareils utilisateur sur son réseau interne, filtrant les données malveillantes avant qu'elles n'aient la possibilité d'atteindre ces appareils.
  • Le blocage des adresses IP et des noms de domaine signifie que le pare-feu peut empêcher complètement aux utilisateurs d'accéder à certains sites Web ou applications.
  • Le blocage des ports permet aux pare-feux de filtrer certains types de trafic réseau. En réseau, un port est un endroit où une connexion entre une machine et une autre se termine. Les ports sont virtuels ou basés sur des logiciels et ne correspondent pas aux composants physiques de la machine. Certains ports sont réservés à certains types de connexions réseau : les connexions HTTPS, par exemple, ont lieu sur le port 443.

Quelles caractéristiques différencient un pare-feu de nouvelle génération d'un pare-feu traditionnel ?

Les NGFW ont toutes les fonctionnalités ci-dessus. Mais au-delà, ils incluent des technologies qui n'étaient pas disponibles dans les produits de pare-feu antérieurs :

Système de prévention des intrusions (IPS) : un système de prévention des intrusions détecte et bloque activement les cyberattaques. C'est comme avoir un gardien de sécurité qui patrouille activement dans un bâtiment, au lieu d'un qui se trouve juste à côté de l'entrée principale.

Inspection approfondie des paquets (DPI) : les anciens pare-feux inspectent généralement uniquement les en-têtes* des paquets de données qui transitent. Les NGFW inspectent à la fois les en-têtes de paquets de données et la charge utile des paquets, afin de mieux détecter les logiciels malveillants et autres types de trafic malveillant. Cela ressemble un peu à un point de contrôle de sécurité où les agents de sécurité inspectent réellement le contenu des bagages d'une personne, au lieu de simplement demander à cette personne de dire aux agents quels sont les articles dans leurs bagages.

*Un en-tête de paquet contient des informations sur le paquet dans son ensemble, telles que sa longueur et sa provenance.

Contrôle des applications : en plus d'analyser le trafic réseau, les NGFW peuvent identifier les applications d'où provient le trafic. Sur cette base, les NGFW peuvent contrôler les ressources auxquelles différentes applications peuvent accéder ou bloquer complètement certaines applications.

Intégration d'annuaire : les annuaires d'utilisateurs permettent aux équipes internes d'une organisation de suivre les privilèges et autorisations dont dispose chaque utilisateur. Certains NGFW peuvent filtrer le trafic réseau ou les applications en fonction de ces répertoires d'utilisateurs internes. Si un utilisateur n'est pas autorisé à accéder à une certaine application, cette application est bloquée pour cet utilisateur par le pare-feu, même si l'application n'est pas identifiée comme malveillante.

Inspection du trafic crypté : certains NGFW peuvent décrypter et analyser le trafic crypté avecSSL / TLS. Un pare-feu est capable de le faire en agissant en tant que proxy pour le processus TLS. Tout le trafic vers et depuis le site Web est décrypté par le pare-feu, analysé et crypté à nouveau. Du point de vue d'un utilisateur, cette fonction proxy est pratiquement transparente et il peut interagir avec des sites Web HTTPS sécurisés comme d'habitude.

Les NGFW sont-ils déployés dans le cloud ou sur site ?

Les NGFW peuvent s'exécuter dans le cloud ou sur site. La seule différence entre un pare-feu plus ancien et un pare-feu de nouvelle génération est de savoir si ce dernier possède ou non des capacités de nouvelle génération comme celles répertoriées ci-dessus.

Qu'est-ce qu'un Firewall-as-a-Service (FWaaS) ?

Le Firewall-as-a-Service (FWaaS) est un pare-feu hébergé dans le cloud par un fournisseur tiers. « Pare-feu cloud » est un autre terme pour ce type de service.

FWaaS n'est pas un dispositif physique, ni hébergé dans les locaux d'une organisation. Comme les autres catégories de « as-a-Service », tels que les Software-as-a-Service ou Platform-as-a-Service, FWaaS fonctionne dans le cloud et est accessible via Internet.

Avant l'avènement du cloud computing, un pare-feu se situait entre un réseau sécurisé et un réseau non sécurisé, et il y avait une frontière claire entre les réseaux sécurisés et non sécurisés. Mais dans le cloud computing, cette frontière, appelée « périmètre réseau », n'existe pas nécessairement, car les actifs cloud de confiance sont accessibles via un réseau non sécurisé (Internet). Les pare-feux hébergés dans le cloud gardent ces actifs en sécurité malgré ce manque de périmètre réseau.

Quelle est la différence entre les FWaaS (pare-feu cloud) et les NGFW ?

Next-Generation Firewall vs Cloud Firewall

La plupart des pare-feu modernes, y compris les pare-feu FWaaS / cloud, sont de nouvelle génération. Toutefois, « FWaaS » et « nouvelle génération » décrivent deux caractéristiques différentes d'un pare-feu. FWaaS décrit où se trouve un pare-feu. La « nouvelle génération » décrit ce qu'un pare-feu peut faire.

Tout pare-feu doté de capacités de nouvelle génération est un NGFW, peu importe où il est hébergé. Un pare-feu cloud, ou FWaaS est hébergé dans le cloud, qu'il ait ou non des capacités de nouvelle génération. De plus, les pare-feux hébergés dans le cloud sont configurés, maintenus et mis à jour par un fournisseur, ce qui les rend plus faciles à entretenir par les clients et généralement plus à jour et plus sûrs.

Quel type de pare-feu propose Cloudflare ?

Le Cloudflare WAF (pare-feu d'application web) est un pare-feu basé sur le cloud qui protège les actifs cloud ainsi que les applications web. Le Cloudflare WAF est unique en ce qu'il identifie et bloque continuellement les nouvelles menaces potentielles. Pour ce faire, il analyse les données de trafic de l'ensemble du réseau Cloudflare mondial.