Qu’est-ce qu’un pare-feu nouvelle génération (NGFW) ?

Un pare-feu nouvelle génération (NGFW) autorise ou bloque le trafic entre les réseaux. Outre les fonctionnalités traditionnelles de filtrage de paquets des pare-feux traditionnels, les NGFW assurent des compétences avancées telles que l’inspection des paquets d’applications et la prévention des intrusions.

En savoir plus sur le NGFW EdgeConnect

Pare-feu nouvelle génération : définition

Un pare-feu nouvelle génération est aussi appelé pare-feu de nouvelle génération ou NGFW. Il analyse le trafic entre les réseaux, et autorise ou bloque le passage en fonction des politiques de pare-feu définies concernant les caractéristiques du trafic. Il peut ingérer des informations provenant d’autres systèmes, mais aussi inspecter des caractéristiques de trafic supplémentaires et ainsi appliquer des politiques de pare-feu sur des couches de communication TCP/IP (Transmission Control Protocol/Internet Protocol) plus élevées qu’un pare-feu traditionnel. Les informations supplémentaires et le niveau d’inspection approfondi utilisés par les NGFW leur permettent d’identifier et de prévenir les attaques.

Quelles sont les caractéristiques d’un NGFW ?

Un NGFW présente des caractéristiques bien plus sophistiquées qu’un pare-feu réseau traditionnel ou hérité. Voici une liste non exhaustive des caractéristiques courantes d’un NGFW :

  • Inspection approfondie des paquets – Les pare-feux réseau examinent les données dans les quatre couches de communication TCP/IP (de la plus élevée à la plus basse) : application, transport, IP/réseau et matériel/liaison de données. Les NGFW peuvent inspecter le trafic dans les couches de communication TCP/IP supérieures, y compris la couche d’application. Cela leur fournit des informations sur les applications comme le contexte dans lequel le trafic des applications transite, et les bases de référence du comportement attendu des utilisateurs et des applications, et de comparer ces informations avec les modèles de transit.
  • Détection et prévention des intrusions – L’inspection du trafic dans les couches TCIP/IP supérieures améliore la capacité des NGFW à détecter et à prévenir les cyberattaques. Les NGFW peuvent surveiller le trafic et y déceler les éventuelles activités malveillantes à partir des signatures de comportement ou des anomalies, puis empêcher tout trafic suspect de transiter par le réseau. Ces fonctionnalités sont réunies sous les acronymes IDS (services de détection des intrusions) et IPS (service de prévention des intrusions).
  • Protection contre les attaques par déni de service distribué – Les attaques par déni de service (DoS) sont des tentatives malveillantes de rendre un service indisponible en le submergeant de requêtes illégitimes, de sorte qu’il ne puisse plus répondre aux requêtes légitimes des utilisateurs. Les attaques par déni de service distribué (DDoS) s’exécutent à partir de plusieurs ordinateurs afin de générer l’afflux de requêtes illégitimes. Les NGFW étant dynamiques, ils sont plus aptes à prévenir les attaques de ce type que les pare-feux traditionnels. Un pare-feu dit « avec état » contrôle davantage de caractéristiques des demandes de connexion en les comparant avec celles des connexions établies, ce qui facilite la détection des demandes illégitimes, même si elles sont formées différemment ou proviennent d’ordinateurs différents.

Quels sont les avantages des pare-feux nouvelle génération ?

Les pare-feux nouvelle génération (NGFW) offrent divers avantages, soit :

  • Une protection renforcée contre les cyberattaques – Les NGFW assurent une inspection et une analyse approfondies du trafic comparés aux pare-feux traditionnels, et peuvent notamment détecter et prévenir une plus grande variété de cyberattaques. Un NGFW pourra par exemple détecter tout trafic ciblant de façon malveillante le réseau et empêchera toute intrusion, en bloquant le trafic ou en le plaçant en quarantaine.
  • Respect des mandats de conformité réglementaire – Les NGFW empêchent tout utilisateur non autorisé à accéder aux ressources sur le réseau. C’est une clause importante des réglementations en matière de confidentialité et de protection des données, comme la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis et le RGPD (Règlement général sur la protection des données) en UE.
  • Architecture réseau rationalisée – Les NGFW offrent une protection avancée contre les menaces ainsi que des fonctionnalités de pare-feu classique. Le fait de réunir les fonctionnalités de plusieurs appareils et appliances sur une seule plateforme contribue à réduire la complexité de l’infrastructure réseau.

Quelle est la différence entre un NGFW et une gestion unifiée des menaces ?

La gestion unifiée des menaces (UTM) englobe des services de sécurité comme la détection et l’atténuation des programmes malveillants (antivirus, hameçonnage, chevaux de Troie, logiciels espions, etc.) ou encore le filtrage de contenu web (restriction de l’accès des utilisateurs à certains types de contenu ou de site web). Les NGFW, quant à eux, combinent des services UTM et des fonctionnalités de pare-feu afin d’offrir une protection complète via une seule et même plateforme.

Pare-feu nouvelle génération et pare-feu traditionnel

CapacitéPare-feu traditionnelPare-feu nouvelle générationAvantages d’un pare-feu nouvelle génération
InspectionSans étatAvec étatBloque le trafic qui s’écarte de la norme attendue, comparé aux connexions établies
VisibilitéFonctionnalités élémentaires, uniquement les couches TCP/IP inférieuresFonctionnalités approfondies, toutes les couches TCP/IPPermet une analyse plus fine et robuste du trafic
ServicesBasiqueCompletOutre le filtrage des paquets, propose des services UTM tels qu’un antivirus, un filtrage du contenu, des systèmes IDS/IPS et la journalisation
ProtectionLimitéeRenforcéeIdentifie, prévient et signale un large éventail d’attaques

Principe de fonctionnement d’un pare-feu nouvelle génération

Les pare-feux nouvelle génération proposent des fonctionnalités améliorées d’inspection des données et d’application des politiques, ainsi que des services de sécurité supplémentaires tels qu’IDS/IPS, un antivirus et le filtrage du contenu.

Principe de fonctionnement d’un NGFW

Qu’est-ce qu’un pare-feu nouvelle génération ?

Les pare-feux nouvelle génération (NGFW) protègent l’entreprise du risque de fuite de données et des cyberattaques. Il convient, par conséquent, de s’assurer que le NGFW choisi puisse tenir ses promesses. Les meilleurs NGFW sont rigoureusement testés et homologués par des organismes indépendants de certification de produits technologiques, comme ICSA Labs. Vérifiez que le laboratoire d’essais applique des critères de test objectifs afin d’évaluer les performances des produits.

Lors de l’étude des solutions, notez que le meilleur NGFW peut être intégré à une solution étendue. Par exemple, la plateforme SD-WAN Aruba EdgeConnect combine des fonctionnalités SD-WAN avancées et des fonctions de segmentation du trafic basée sur les identités et les rôles, renforcées par un NGFW intégré (comprenant des fonctions de sécurité comme IDS/IPS). Par ailleurs, Aruba est le premier fournisseur SD-WAN à avoir été certifié Secure SD-WAN par l’agence de test ICSA Labs, qui a validé son NGFW intégré et ses fonctions de sécurité avancées.

Pare-feu nouvelle génération : ressources connexes

Aruba achieves ICSA Labs Secure SD-WAN Certification

Discover the market's first complete SD-WAN solution to receive the distinction of completed firewall-equivalent functional testing for statefulness, susceptibility to DoS attack, and ability to enforce security policy.

Lire le blog

Aruba EdgeConnect SD-WAN Solution Data Sheet (Enterprise)

In-depth product features, functionality, benefits, and specifications of Aruba EdgeConnect SD-WAN.

Lire la fiche technique

Aruba EdgeConnect SD-WAN Solution Overview lightboard video

In this video, get an overview of the main components of Aruba EdgeConnect. Learn how the solution helps solve the challenges of the modern WAN edge including cloud migration and the dissolving security perimeter with features such as path conditioning, WAN optimization, intelligent internet breakout on the first packet, automated orchestration to best-of-breed cloud security providers, and advanced UTM features including zone-based firewall, segmentation and IDS/IPS.

Voir la vidéo

Unified Threat Management

Our products can secure your network from edge to cloud. Discover the tools and solutions to manage and protect multiple distributed locations from advanced threats.

Explore Unified Threat Management

Prêts à vous lancer ?

Nous contacter

Rejoignez-nous

© Copyright 2023 Hewlett Packard Enterprise Development LP