Qu'est-ce qu'un pare-feu nouvelle génération (NGFW) ? | NGFW ou FWaaS

Un pare-feu de dernière génération (NGFW) est un pare-feu avec des fonctionnalités modernes puissantes. Les pare-feu de dernière génération peuvent être hébergés dans le cloud, mais ils ne le sont pas tous.

Share facebook icon linkedin icon twitter icon email icon

Pare-feu nouvelle génération

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir ce qu'est un pare-feu nouvelle génération
  • Comparer les pare-feu classiques avec les pare-feu nouvelle génération
  • Découvrir comment les pare-feu cloud recouvrent les pare-feu nouvelle génération

Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?

Un pare-feu nouvelle génération (NGFW) est plus puissant qu’un pare-feu traditionnel. Les NGFW ont les capacités des pare-feu traditionnels, mais ils ont aussi un grand nombre de fonctionnalités supplémentaires pour répondre à une plus grande variété de besoins organisationnels et bloquer plus de menaces potentielles. Ils sont dits « de dernière génération » pour les différencier des pare-feu plus anciens qui n’ont pas ces capacités.

La différence entre un pare-feu nouvelle génération et des pare-feu plus anciens ressemble un peu à la différence entre un smartphone moderne et un ancien téléphone portable. Les deux ont des caractéristiques en commun : SMS, appels vocaux, liste de contacts, etc. Mais un smartphone a tellement de fonctionnalités avancées qu’il s’agit pratiquement d’un type de produit différent, et qu’il existe donc un terme différent pour le désigner

Que fait un pare-feu ?

Un pare-feu est un produit de sécurité qui surveille et contrôle le trafic réseau en fonction d’un ensemble de règles de sécurité. Les pare-feu peuvent être des applications logicielles installées sur un serveur ou un ordinateur, ou des appareils matériels physiques qui se connectent à un réseau interne. Les pare-feu se situent généralement entre un réseau de confiance et un réseau non fiable. Souvent, le réseau de confiance est le réseau interne d’une entreprise, et le réseau non fiable est Internet.

Les capacités typiques d’un pare-feu traditionnel comprennent le filtrage de paquets, l’inspection dynamique, la mise en proxy, le blocage IP, le blocage des noms de domaine et le blocage des ports.

  • Lefiltrage de paquets fait référence à la capacité de filtrer le trafic réseau potentiellement dangereux. Toutes les données qui circulent sur un réseau (Internet, par exemple) sont divisées en petits morceaux appelés paquets. Un pare-feu peut examiner chaque paquet individuel et, s’il correspond à certaines règles prédéterminées, l’empêcher d’entrer ou de sortir d’un réseau interne.
  • L’inspection avec état permet d’approfondir le filtrage des paquets. Avec l’inspection avec état, les pare-feu peuvent examiner les paquets de données dans le contexte d’autres paquets qui ont traversé le pare-feu. Un paquet de données peut sembler inoffensif, mais s’il se dirige vers une destination inhabituelle au sein du réseau, il peut être malveillant. (Par exemple, une requête SQL n’est pas malveillante en soi, mais si elle est envoyée via un formulaire web, elle peut faire partie d’une attaque par injection SQL).
  • la mise en proxy, dans les réseaux, désigne une machine qui envoie ou reçoit du trafic réseau au nom d’une autre machine. Un pare-feu peut agir comme un proxy en faisant des requêtes et en recevant des réponses réseau au nom des dispositifs utilisateurs au sein de son réseau interne, filtrant les données malveillantes avant qu’elles n’aient la possibilité d’atteindre ces dispositifs.
  • Le blocage des noms de domaines et des adresses IP signifie que le pare-feu peut empêcher complètement les utilisateurs d’accéder à certains sites web ou applications.
  • Leblocage des ports permet aux pare-feu de filtrer certains types de trafic réseau. Dans un réseau, un port est un endroit où une connexion entre une machine et une autre se termine. Les ports sont virtuels ou logiciels : ils ne correspondent pas aux composants physiques de la machine. Certains ports sont réservés à certains types de connexions réseau : les connexions HTTPS, par exemple, ont lieu sur le port 443.

Quelles fonctionnalités différencient un pare-feu nouvelle génération d’un pare-feu traditionnel ?

Les NGFW ont toutes les fonctionnalités ci-dessus. Mais ils incluent aussi des technologies qui n’étaient pas disponibles dans les produits de pare-feu antérieurs :

Système de prévention des intrusions (IPS) : un système de prévention des intrusions détecte et bloque activement les cyberattaques. C’est comme si un agent de sécurité patrouillait activement dans un immeuble au lieu de s’asseoir à côté de l’entrée principale.

Inspection approfondie des paquets (DPI) : Les anciens pare-feu n’inspectent généralement que les en-têtes* des paquets de données qui passent. Les NGFW inspectent à la fois les en-têtes de paquets de données et leur payload afin de mieux détecter les logiciels malveillants et autres types de trafic malveillant. C’est un peu comme un point de contrôle de sécurité où les agents de sécurité inspectent le contenu des bagages d’une personne, au lieu de simplement lui demander de déclarer les objets qui se trouvent dans ses bagages.

* Un en-tête de paquet contient des informations sur le paquet comme un tout, telles que sa longueur et sa provenance.

Contrôle des demandes : en plus d’analyser le trafic du réseau, les NGFW peuvent identifier les applications d’où provient le trafic. Sur cette base, les NGFW peuvent contrôler les ressources auxquelles différentes applications peuvent accéder, ou bloquer certaines applications.

Intégration de l’annuaire : les annuaires d’utilisateurs permettent aux équipes internes d’une organisation de suivre les privilèges et les autorisations dont dispose chaque utilisateur. Certaines NGFWs peuvent filtrer le trafic réseau ou les applications basées sur ces répertoires d’utilisateurs internes. Si un utilisateur n’a pas la permission d’accéder à une application, cette application est bloquée pour cet utilisateur par le pare-feu, même si l’application n’est pas identifiée comme malveillante.

Inspection du trafic chiffré : quelques NGFW peuvent réellement déchiffrer et analyser le trafic qui est chiffré avec SSL/TLS. Un pare-feu peut faire cela en agissant comme un proxy pour le processus TLS. Tout le trafic à destination et en provenance du site internet est déchiffré par le pare-feu, analysé et chiffré à nouveau. Du point de vue de l’utilisateur, cette mise en proxy est pratiquement transparente et l’utilisateur peut interagir avec des sites web HTTPS sécurisés comme d’habitude.

Les NGFW sont-ils déployés dans le cloud ou sur site ?

Les NGFW peuvent fonctionner soit dans le cloud, soit sur site. La seule chose qui distingue un pare-feu plus ancien d’un pare-feu nouvelle génération est de savoir s’il possède ou non des capacités de nouvelle génération comme celles énumérées ci-dessus.

Qu’est-ce qu’un Firewall-as-a-Service (FWaaS) ?

Un Firewall-as-a-Service (FWaaS) est un pare-feu hébergé sur le cloud par un fournisseur tiers. « Pare-feu dans le cloud » est un autre terme pour ce type de service.

Un FWaaS n’est pas un appareil physique, et il n’est pas hébergé dans les locaux d’une organisation. Comme d’autres catégories de « as-a-Service » (en tant que service), telles que « Software-as-a-Service » ou « Platform-as-a-Service », FWaaS fonctionne dans le cloud et est accessible sur Internet.

Avant l’avènement du cloud computing, un pare-feu se dressait entre un réseau sécurisé et un réseau non sécurisé, et il y avait une frontière claire entre les réseaux sécurisés et non sécurisés. Mais dans le cloud computing, cette frontière, appelée « périmètre réseau », n’existe pas nécessairement, car les actifs cloud de confiance sont accessibles via un réseau non sécurisé (Internet). Les pare-feu hébergés dans le cloud gardent ces actifs en sécurité malgré ce manque de périmètre réseau.

Quelle est la différence entre les FWaaS (pare-feu dans le cloud) et les NGFW ?

Pare-feu nouvelle génération contre pare-feu dans le cloud

La plupart des pare-feu modernes, y compris les pare-feu FWaaS/cloud, sont de nouvelle génération. Toutefois, « FWaaS » et « nouvelle génération » décrivent deux caractéristiques différentes d’un pare-feu. FWaaS décrit où se trouve un pare-feu. L’expression « nouvelle génération » décrit ce qu’un pare-feu peut faire.

Tout pare-feu doté de capacités nouvelle génération est un NGFW, peu importe l’endroit où il est hébergé. Un pare-feu dans le cloud, ou FWaaS, est hébergé dans le cloud, qu’il ait ou non des capacités nouvelle génération. De plus, les pare-feu hébergés dans le cloud sont configurés, maintenus et mis à jour par un fournisseur, ce qui les rend plus faciles à entretenir par les clients et généralement plus à jour et plus sûrs.

Quel type de pare-feu propose Cloudflare ?

Le WAF de Cloudflare (web application firewall) est un pare-feu basé sur le cloud qui protège les ressources du cloud ainsi que les applications web. Le WAF de Cloudflare est unique, car il identifie et bloque de nouvelles menaces potentielles en continu. Pour ce faire, il analyse les données relatives au trafic provenant de l’ensemble du réseau mondial Cloudflare.