Un pare-feu de nouvelle génération (NGFW) possède des capacités supplémentaires qui le distinguent d'un pare-feu traditionnel. Les NGFW sont souvent plus à même d'identifier les dernières menaces.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un pare-feu de nouvelle génération (NGFW) est un appareil de sécurité qui traite le trafic réseau et applique des règles pour bloquer le trafic potentiellement dangereux. Les NGFW évoluent et étendent les capacités des pare-feux traditionnels. Ils font tout ce que font les pare-feux, mais de manière plus puissante et avec des fonctionnalités supplémentaires.
Prenons l'exemple de deux agences de sécurité aéroportuaire. L'une vérifie que les passagers ne figurent pas sur des listes d'interdiction de vol, que leur identité correspond à celle indiquée sur leur billet et qu'ils se rendent bien à des destinations desservies par l'aéroport. La seconde, en plus de vérifier les listes d'interdiction de vol et autres, inspecte ce que les passagers transportent, s'assurant qu'ils n'ont pas d'articles dangereux ou interdits. La première agence assure la sécurité des aéroports contre les menaces évidentes ; la seconde identifie également les menaces qui peuvent être moins évidentes.
Un pare-feu ordinaire est comme la première agence de sécurité : il bloque ou autorise les données (passagers) en fonction de leur destination, de leur appartenance ou non à une connexion réseau légitime et de leur provenance. Un NGFW ressemble davantage à la deuxième agence de sécurité : il inspecte les données à un niveau plus profond pour identifier et bloquer les menaces qui peuvent être cachées dans un trafic d'apparence normale.
Les NGFW peuvent faire tout ce que les pare-feux ordinaires peuvent faire. Cela inclut :
Les NGFW ajoutent également plusieurs capacités que les anciens pare-feu ne possèdent pas. Les NGFW utilisent l'inspection approfondie des paquets (DPI) en plus du filtrage des paquets. Et selon Gartner, une société mondiale de recherche et de conseil, un NGFW comprend :
Ces capacités sont expliquées en détail ci-dessous.
La plupart de ces fonctionnalités sont possibles, car contrairement aux pare-feu classiques, les NGFW peuvent traiter le trafic sur plusieurs couches du modèle OSI, et pas seulement sur les couches 3 (la couche réseau) et 4 (la couche transport). Les NGFW peuvent examiner le trafic de la couche 7 HTTP et identifier les applications utilisées, par exemple. Il s'agit d'une capacité importante car la couche 7 (la couche application) est de plus en plus utilisée pour des attaques visant à contourner les politiques de sécurité appliquées aux couches 3 et 4 par les pare-feux traditionnels.
(Pour en savoir plus sur les couches OSI, voir Qu'est-ce que le modèle OSI ?)
Toutes les données qui traversent un réseau ou l'Internet sont décomposées en petits morceaux appelés paquets. Étant donné que ces paquets contiennent le contenu qui entre dans un réseau, les pare-feux les inspectent et les bloquent ou les autorisent afin d'empêcher tout contenu malveillant (tel qu'une attaque de logiciel malveillant) de passer. Tous les pare-feux ont cette capacité de filtrage des paquets.
Le filtrage des paquets fonctionne en inspectant les adresses IP source et destination, ports, et les protocoles associés à chaque paquet - en d'autres termes, d'où vient chaque paquet, où il va et comment il y arrivera. Les pare-feux autorisent ou bloquent les paquets sur la base de cette évaluation, en filtrant les paquets non autorisés.
À titre d'exemple, les attaquants tentent parfois d'exploiter les vulnérabilités associées au protocole RDP (Remote Desktop Protocol) en envoyant des paquets spécialement conçus au port utilisé par ce protocole, le port 3389. Cependant, un pare-feu peut inspecter un paquet, voir à quel port il est destiné et bloquer tous les paquets dirigés vers ce port, sauf s'ils proviennent d'une adresse IP spécifiquement autorisée. Cela implique l'inspection du trafic réseau au niveau des couches 3 (pour voir les adresses IP source et destination) et 4 (pour voir le port).
Les NGFW améliorent le filtrage des paquets en effectuant une inspection approfondie des paquets (DPI). Tout comme le filtrage des paquets, l'inspection approfondie des paquets consiste à inspecter chaque paquet pour connaître l'adresse IP source et destination, le port source et destination, etc. Ces informations sont toutes contenues dans les en-têtes de couche 3 et de couche 4 d'un paquet.
Mais le DPI inspecte également le corps de chaque paquet, et pas seulement l'en-tête. Plus précisément, le DPI vérifie les signatures de logiciels malveillants et autres menaces potentielles dans le corps des paquets. Le DPI compare le contenu de chaque paquet à celui d'attaques malveillantes connues.
Les NGFW bloquent ou autorisent les paquets en fonction de l'application à laquelle ils sont destinés. Pour ce faire, ils analysent le trafic au niveau de la couche 7, la couche application. Les pare-feux traditionnels n'ont pas cette capacité car ils n'analysent le trafic qu'au niveau des couches 3 et 4.
La connaissance des applications permet aux administrateurs de bloquer les applications potentiellement risquées. Si les données d'une application ne peuvent pas passer le pare-feu, elle ne peut pas introduire de menaces dans le réseau.
Selon les définitions des termes données par Gartner, cette capacité et la prévention des intrusions (décrite ci-dessous) sont des éléments du DPI.
La prévention des intrusions analyse le trafic entrant, identifie les menaces connues et les menaces potentielles, et bloque ces menaces. Une telle fonctionnalité est souvent appelée système de prévention des intrusions (IPS). Les NGFW comprennent des IPS dans le cadre de leurs capacités DPI.
Les IPS peuvent utiliser plusieurs méthodes pour détecter les menaces, notamment :
Les renseignements sur les menaces sont des informations sur les attaques potentielles. Les techniques d'attaque et les souches de logiciels malveillants évoluant en permanence, des renseignements sur les menaces actualisés sont essentiels pour bloquer ces attaques. Les NGFW sont capables de recevoir et d'agir sur les flux de renseignements sur les menaces provenant de sources externes.
L'intelligence des menaces maintient l'efficacité de la détection des signatures IPS en fournissant les dernières signatures de logiciels malveillants.
Le renseignement sur les menaces peut également fournir des informations sur l'IP reputation. « L'IP reputation » identifie les adresses IP d'où proviennent souvent les attaques (en particulier les attaques bot ). Un flux de renseignements sur les menaces liées à la réputation IP fournit les dernières mauvaises adresses IP connues, qu'un NGFW peut alors bloquer.
Certains NGFW sont des appareils matériels conçus pour défendre un réseau privé interne. Les NGFW peuvent également être déployés sous forme de logiciels, mais il n'est pas nécessaire qu'ils soient basés sur des logiciels pour être considérés comme étant de nouvelle génération.
Enfin, un NGFW peut être déployé sous forme de service en cloud ; on parle alors de pare-feu cloud ou de pare-feu en tant que service (FWaaS). Le FWaaS est un composant important des modèles de mise en réseau secure access service edge (SASE) . (Comparer NGFW et FWaaS de manière plus approfondie.)
Cloudflare Magic Firewall est un pare-feu de niveau réseau fourni par le réseau mondial Cloudflare. Il protège les utilisateurs, les réseaux de bureaux et l'infrastructure en nuage, et il est conçu pour remplacer les pare-feux matériels par une protection avancée et évolutive.
Magic Firewall est étroitement intégré à Cloudflare One, une plateforme SASE qui combine des services de réseau et de sécurité.