Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?

Un pare-feu de nouvelle génération (NGFW) possède des capacités supplémentaires qui le distinguent d'un pare-feu traditionnel. Les NGFW sont souvent plus à même d'identifier les dernières menaces.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le pare-feu de nouvelle génération (NGFW)
  • Décrire les capacités du NGFW
  • Faire la différence entre le filtrage des paquets et l'inspection approfondie des paquets (DPI).

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?

Un pare-feu de nouvelle génération (NGFW) est un appareil de sécurité qui traite le trafic réseau et applique des règles pour bloquer le trafic potentiellement dangereux. Les NGFW évoluent et étendent les capacités des pare-feux traditionnels. Ils font tout ce que font les pare-feux, mais de manière plus puissante et avec des fonctionnalités supplémentaires.

Prenons l'exemple de deux agences de sécurité aéroportuaire. L'une vérifie que les passagers ne figurent pas sur des listes d'interdiction de vol, que leur identité correspond à celle indiquée sur leur billet et qu'ils se rendent bien à des destinations desservies par l'aéroport. La seconde, en plus de vérifier les listes d'interdiction de vol et autres, inspecte ce que les passagers transportent, s'assurant qu'ils n'ont pas d'articles dangereux ou interdits. La première agence assure la sécurité des aéroports contre les menaces évidentes ; la seconde identifie également les menaces qui peuvent être moins évidentes.

Un pare-feu ordinaire est comme la première agence de sécurité : il bloque ou autorise les données (passagers) en fonction de leur destination, de leur appartenance ou non à une connexion réseau légitime et de leur provenance. Un NGFW ressemble davantage à la deuxième agence de sécurité : il inspecte les données à un niveau plus profond pour identifier et bloquer les menaces qui peuvent être cachées dans un trafic d'apparence normale.

Quelles sont les capacités d'un NGFW ?

Les NGFW peuvent faire tout ce que les pare-feux ordinaires peuvent faire. Cela inclut :

  • Filtrage des paquets : inspecter chaque paquet de données et bloquer les paquets dangereux ou inattendus. Le filtrage des paquets est expliqué plus en détail ci-dessous.
  • Inspection dynamique : examiner les paquets dans leur contexte pour s'assurer qu'ils font partie d'une connexion réseau légitime.
  • Sensibilisation au VPN : les pare-feux sont capables d'identifier le trafic VPN chiffré et de le laisser passer.
Le pare-feu traditionnel n'a pas les capacités du pare-feu de nouvelle génération NGFW, il laisse passer les paquets.

Les NGFW ajoutent également plusieurs capacités que les anciens pare-feu ne possèdent pas. Les NGFW utilisent l'inspection approfondie des paquets (DPI) en plus du filtrage des paquets. Et selon Gartner, une société mondiale de recherche et de conseil, un NGFW comprend :

  • Sensibilisation et contrôle des applications
  • Prévention des intrusions
  • Informations sur les menaces
  • des possibilités de mise à niveau afin d'ajouter de futurs flux d'informations.
  • Techniques pour faire face aux menaces de sécurité en constante évolution
Le pare-feu de nouvelle génération NGFW bloque les paquets malveillants

Ces capacités sont expliquées en détail ci-dessous.

La plupart de ces fonctionnalités sont possibles, car contrairement aux pare-feu classiques, les NGFW peuvent traiter le trafic sur plusieurs couches du modèle OSI, et pas seulement sur les couches 3 (la couche réseau) et 4 (la couche transport). Les NGFW peuvent examiner le trafic de la couche 7 HTTP et identifier les applications utilisées, par exemple. Il s'agit d'une capacité importante car la couche 7 (la couche application) est de plus en plus utilisée pour des attaques visant à contourner les politiques de sécurité appliquées aux couches 3 et 4 par les pare-feux traditionnels.

(Pour en savoir plus sur les couches OSI, voir Qu'est-ce que le modèle OSI ?)

Que sont le filtrage des paquets et l'inspection approfondie des paquets (IAP) ?

Filtrage des paquets

Toutes les données qui traversent un réseau ou l'Internet sont décomposées en petits morceaux appelés paquets. Étant donné que ces paquets contiennent le contenu qui entre dans un réseau, les pare-feux les inspectent et les bloquent ou les autorisent afin d'empêcher tout contenu malveillant (tel qu'une attaque de logiciel malveillant) de passer. Tous les pare-feux ont cette capacité de filtrage des paquets.

Le filtrage des paquets fonctionne en inspectant les adresses IP source et destination, ports, et les protocoles associés à chaque paquet - en d'autres termes, d'où vient chaque paquet, où il va et comment il y arrivera. Les pare-feux autorisent ou bloquent les paquets sur la base de cette évaluation, en filtrant les paquets non autorisés.

À titre d'exemple, les attaquants tentent parfois d'exploiter les vulnérabilités associées au protocole RDP (Remote Desktop Protocol) en envoyant des paquets spécialement conçus au port utilisé par ce protocole, le port 3389. Cependant, un pare-feu peut inspecter un paquet, voir à quel port il est destiné et bloquer tous les paquets dirigés vers ce port, sauf s'ils proviennent d'une adresse IP spécifiquement autorisée. Cela implique l'inspection du trafic réseau au niveau des couches 3 (pour voir les adresses IP source et destination) et 4 (pour voir le port).

Une inspection des paquets en profondeur (DPI)

Les NGFW améliorent le filtrage des paquets en effectuant une inspection approfondie des paquets (DPI). Tout comme le filtrage des paquets, l'inspection approfondie des paquets consiste à inspecter chaque paquet pour connaître l'adresse IP source et destination, le port source et destination, etc. Ces informations sont toutes contenues dans les en-têtes de couche 3 et de couche 4 d'un paquet.

Mais le DPI inspecte également le corps de chaque paquet, et pas seulement l'en-tête. Plus précisément, le DPI vérifie les signatures de logiciels malveillants et autres menaces potentielles dans le corps des paquets. Le DPI compare le contenu de chaque paquet à celui d'attaques malveillantes connues.

Qu'est-ce que la sensibilisation et le contrôle des applications ?

Les NGFW bloquent ou autorisent les paquets en fonction de l'application à laquelle ils sont destinés. Pour ce faire, ils analysent le trafic au niveau de la couche 7, la couche application. Les pare-feux traditionnels n'ont pas cette capacité car ils n'analysent le trafic qu'au niveau des couches 3 et 4.

La connaissance des applications permet aux administrateurs de bloquer les applications potentiellement risquées. Si les données d'une application ne peuvent pas passer le pare-feu, elle ne peut pas introduire de menaces dans le réseau.

Selon les définitions des termes données par Gartner, cette capacité et la prévention des intrusions (décrite ci-dessous) sont des éléments du DPI.

Qu'est-ce que la prévention des intrusions ?

La prévention des intrusions analyse le trafic entrant, identifie les menaces connues et les menaces potentielles, et bloque ces menaces. Une telle fonctionnalité est souvent appelée système de prévention des intrusions (IPS). Les NGFW comprennent des IPS dans le cadre de leurs capacités DPI.

Les IPS peuvent utiliser plusieurs méthodes pour détecter les menaces, notamment :

  • Détection de signatures : Analyser les informations contenues dans les paquets entrants et les comparer aux menaces connues.
  • Détection statistique des anomalies : Analyse du trafic pour détecter les changements inhabituels de comportement, par rapport à une base de référence.
  • Détection par analyse de protocole dynamique : Similaire à la détection d'anomalie statistique, mais axée sur les protocoles de réseau utilisés et les comparant à l'utilisation typique des protocoles.

Qu'est-ce que le renseignement sur les menaces ?

Les renseignements sur les menaces sont des informations sur les attaques potentielles. Les techniques d'attaque et les souches de logiciels malveillants évoluant en permanence, des renseignements sur les menaces actualisés sont essentiels pour bloquer ces attaques. Les NGFW sont capables de recevoir et d'agir sur les flux de renseignements sur les menaces provenant de sources externes.

L'intelligence des menaces maintient l'efficacité de la détection des signatures IPS en fournissant les dernières signatures de logiciels malveillants.

Le renseignement sur les menaces peut également fournir des informations sur l'IP reputation. « L'IP reputation » identifie les adresses IP d'où proviennent souvent les attaques (en particulier les attaques bot ). Un flux de renseignements sur les menaces liées à la réputation IP fournit les dernières mauvaises adresses IP connues, qu'un NGFW peut alors bloquer.

Les pare-feux de la prochaine génération sont-ils matériels ou logiciels ?

Certains NGFW sont des appareils matériels conçus pour défendre un réseau privé interne. Les NGFW peuvent également être déployés sous forme de logiciels, mais il n'est pas nécessaire qu'ils soient basés sur des logiciels pour être considérés comme étant de nouvelle génération.

Enfin, un NGFW peut être déployé sous forme de service en cloud ; on parle alors de pare-feu cloud ou de pare-feu en tant que service (FWaaS). Le FWaaS est un composant important des modèles de mise en réseau secure access service edge (SASE) . (Comparer NGFW et FWaaS de manière plus approfondie.)

Qu'est-ce que Cloudflare Magic Firewall ?

Cloudflare Magic Firewall est un pare-feu de niveau réseau fourni par le réseau mondial Cloudflare. Il protège les utilisateurs, les réseaux de bureaux et l'infrastructure en nuage, et il est conçu pour remplacer les pare-feux matériels par une protection avancée et évolutive.

Magic Firewall est étroitement intégré à Cloudflare One, une plateforme SASE qui combine des services de réseau et de sécurité.