Critères d`évaluation pour les pare-feu nouvelle
Transcription
Critères d`évaluation pour les pare-feu nouvelle
Critères d’évaluation pour les pare-feu nouvelle génération Ce document définit un grand nombre des caractéristiques et fonctionnalités importantes à prendre en compte dans l’appréciation des pare-feu nouvelle génération pour que les évaluateurs de produits puissent procéder à une comparaison précise des fournisseurs. Sommaire 1 Comment évaluer un pare-feu nouvelle génération 3 2 Critères d’évaluation pour les pare-feu nouvelle génération 4 3 Fonctionnalités de filtrage dynamique 3.1 Contrôle des règles à base de zones 3.2 Règles de refus par défaut 3.3 Gestion de la bande passante 3.4 Limitation des connexions 3.5 Prévention par la détection 3.6 Ports dynamiques 3.7 Vérification des checksums IP 3.8 Protection contre les attaques par inondation 3.9 Prise en charge de la multidiffusion 3.10 Prise en charge QoS 3.11 Contrôle SSL 3.12 Règles de filtrage dynamique flexibles 5 5 5 5 5 5 5 5 5 5 5 5 5 4 Prise en charge des VPN 4.1 Prise en charge des VPN site à site 4.2 Prise en charge des VPN client 6 6 6 5 Prise en charge VoIP 5.1 Fonctionnalités VoIP 7 7 6 Sécurité 6.1 Filtrage applicatif 6.2 Services de sécurité supplémentaires 6.3 Équipe de recherche en sécurité 8 8 9 9 7 Prise en charge complète de l’intelligence applicative 7.1 Intelligence, contrôle et visualisation applicatifs 10 10 8 Diverses caractéristiques importantes 8.1 Caractéristiques importantes 11 11 9 Facilité de configuration et de gestion 9.1 Facilité de configuration 9.2 Facilité de gestion 9.3 Facilité de surveillance/journaux 12 12 12 12 0 1 Fonctionnalités sans fil 10.1 Prise en charge sans fil 13 13 11 Stabilité et maturité de l’entreprise 11.1 Références de clients 11.2Brevets 11.3 Reconnaissance des analystes 11.4 Certifications de l’industrie 11.5 Support global 13 13 13 13 13 13 2 1 Comment évaluer un pare-feu nouvelle génération Les pare-feu nouvelle génération offrent toutes les caractéristiques des pare-feu à filtrage dynamique classiques ainsi que des fonctionnalités supplémentaires d’identification, de visualisation et de contrôle applicatifs, quels que soient le port ou le protocole. Au lieu d’autoriser l’accès sur la base de ports ou d’adresses connus, les règles peuvent désormais être fixées au niveau applicatif pour un utilisateur ou un groupe particulier. Le problème des pare-feu proxy traditionnels est que la surveillance et le contrôle ne concernent que les ports pouvant fonctionner avec un proxy, tels que le port 80 (Web) ou le port 25 (SMTP). Cependant, la majorité du trafic malveillant passe par le pare-feu sur des ports non utilisables avec un proxy ou est chiffré en SSL. Le défi consiste à concevoir un pare-feu nouvelle génération capable d’offrir une protection complète contre les menaces sur n’importe quel port, des performances élevées et une latence minimale grâce à un seul moteur de filtrage applicatif incluant le filtrage SSL pensé par une équipe intégrée de recherche en sécurité. Les critères listés ci-dessous sont des prérequis s’appliquant à tout pare-feu nouvelle génération utilisé pour le contrôle applicatif. Les entreprises doivent savoir que de nombreuses solutions de pare-feu nouvelle génération n’offrent que quelques-unes des fonctionnalités rendues possibles par cette technologie. Ces solutions peuvent proposer des caractéristiques intéressantes pour certaines entreprises, mais ne peuvent pas être considérées comme des solutions de pare-feu nouvelle génération entièrement fonctionnelles, polyvalentes et évolutives. 1. Fonctionnalités exhaustives de filtrage dynamique. Il s’agit avant tout d’égaler tous les contrôles et fonctionnalités du pare-feu à filtrage dynamique existant basé sur proxy. Cela 3 comprend la création et le contrôle de règles, la prise en charge de VPN site à site, le basculement et l’équilibrage de charge WAN, le basculement 3G/4G WAN, la prise en charge d’accès distant IPSec et VPN SSL, la gestion centralisée, les rapports et la haute disponibilité, clustering inclus. 2. Prévention des intrusions. Les fonctionnalités de filtrage applicatif exhaustif offrent une protection contre les vulnérabilités applicatives, les dépassements de mémoire tampon et les menaces multiformes qui peuvent exposer le réseau à des exploits. Le système de prévention des intrusions (IPS) protège contre une série de vulnérabilités applicatives et d’exploits sur le réseau liés à des menaces internes et externes. Ce système surveille le réseau pour détecter tout trafic malveillant ou anormal, bloque le trafic ou établit des rapports en fonction de conditions prédéfinies et actualisées automatiquement. Les mises à jour automatiques garantissent un blocage dynamique des menaces. 3. Identification et contrôle applicatifs. Les pare-feu de nouvelle génération sont en mesure d’identifier les applications par des signatures individuelles, quels que soient le port ou le protocole utilisés. Les applications peuvent être visualisées en temps réel pour garantir la hiérarchisation de la bande passante, ainsi qu’une sécurité réseau et une productivité maximales. Les administrateurs peuvent définir des contrôles granulaires au niveau applicatif, hiérarchiser les applications, limiter la bande passante ou refuser l’accès. 4. Déchiffrement et filtrage SSL. De nombreuses menaces sont aujourd’hui propagées par le biais de canaux sécurisés et utilisent le chiffrement SSL. Par conséquent, la capacité à déchiffrer, analyser et rechiffrer le trafic SSL constitue une fonction vitale pour un pare-feu nouvelle génération. 5. Identification des utilisateurs. Non seulement l’identification et le contrôle applicatifs sont une nécessité vitale pour un pare-feu nouvelle génération, mais ces fonctionnalités doivent aussi être liées à l’infrastructure LDAP ou Active Directory d’une entreprise. Il n’est plus nécessaire de relier une adresse IP source à un utilisateur physique. Les pare-feu nouvelle génération peuvent prendre en charge la signature unique et relier automatiquement un identifiant d’utilisateur à un terminal pour le contrôle d’accès et les rapports. Les pare-feu de nouvelle génération ne visent pas uniquement le contrôle applicatif. De nombreuses entreprises considèrent les pare-feu nouvelle génération comme un moyen de sécuriser l’accès depuis des points de connexion externes publics. Dans l’environnement actuel, de nombreuses menaces émergent de l’intérieur par le biais d’utilisateurs sur le réseau de l’entreprise qui accèdent à des sites publics comme Facebook ou YouTube. Les pare-feu de nouvelle génération permettent aux services informatiques d’authentifier, d’autoriser et d’analyser le trafic réseau dans les deux directions afin d’assurer un accès sûr à toutes les ressources. Les avantages des pare-feu nouvelle génération face aux pare-feu traditionnels basés sur proxy • Latence faible • Gestion de tous les débits jusqu'aux débits des réseaux câblés • Filtrage applicatif sur tous les ports et protocoles • Filtrage SSL • Prise en charge IPSec et VPN SSL • Contrôle applicatif de couche 7 1 Comment évaluer un pare-feu nouvelle génération (suite) 6. Antivirus et protection contre les logiciels espions au niveau de la passerelle. Si l’on s’en tient à la stricte définition d’un pare-feu nouvelle génération, l’éradication des programmes malveillants à la passerelle n’est pas requise. Cependant, la meilleure solution offre une analyse bidirectionnelle du trafic, indépendamment de la taille des contenus ou du nombre de sessions actives, avec des mises à jour automatiques des signatures. 7. Équipe de recherche en sécurité. La qualité d’un pare-feu nouvelle génération dépend des signatures d’applications, IPS et anti-malware créées. Les fournisseurs doivent disposer d’une équipe intégrée de recherche en sécurité qui recueille manuellement et automatiquement les nouveaux échantillons d’applications et de malwares, crée de nouvelles signatures et envoie automatiquement les signatures aux pare-feu abonnés. De plus, cette équipe doit participer activement à différents organismes de sécurité comme le Microsoft Active Protections Program. 8. Prise en charge d’intelligence hors pare-feu. Le pare-feu doit être capable de consulter des sources de données hors appliance pour renforcer encore l’état de sécurité de l’entreprise. Par exemple, la réputation IP et le filtrage 2 Web entre autres peuvent être complétés par le recours à l’intelligence sur le cloud. 9. Hautes performances, disponibilité et évolutivité. Le filtrage applicatif se solde par une réduction significative des performances sur les pare-feu traditionnels basés sur proxy. En outre, les limitations sont nombreuses en ce qui concerne les protocoles, ports et tailles de fichiers pouvant être analysés. Un véritable pare-feu nouvelle génération doit pouvoir procéder à un filtrage applicatif pratiquement à vitesse de ligne, à travers tous les ports et protocoles. De plus, il doit pouvoir supporter la charge des réseaux 10 GbE d’aujourd’hui. Cela ne se limite pas à la présence de ports 10 GbE sur le parefeu, ce dernier doit aussi prendre en charge des débits du type 10 GbE et exécuter un filtrage applicatif exhaustif. 10. Certifications et critiques indépendantes. Les critiques et certifications indépendantes issues d’organismes leaders dans le secteur comme l’ICSA (certification pour les pare-feu d’entreprise) et IPv6 Forum sont déterminantes pour tout pare-feu nouvelle génération. D’autres certifications, telles que FIPS et Critères communs, seront aussi requises pour les déploiements au bénéfice de services publics. 11. Stabilité, maturité et support de l’entreprise. Enfin, la stabilité et la maturité du fournisseur sont des données cruciales pour n’importe quel achat à long terme. Les performances de l’entreprise, l’appui financier et la clientèle sont autant de facteurs clés qui définissent la santé d’un fournisseur. Les options telles que le support 24 x 7, des techniciens de langue maternelle et des offres de services partenaire/ professionnel comptent aussi dans la réussite de tous les grands déploiements et implémentations. Mises à jour automatiques = réduction des coûts administratifs Les pare-feu nouvelle génération offrent des mises à jour automatisées des signatures pour les applications, systèmes de prévention des intrusions et malwares. Cela signifie que les administrateurs réseau n’ont pas besoin de perdre du temps à rechercher et à charger les nouvelles mises à jour. Critères d’évaluation pour les pare-feu nouvelle génération Pare-feu nouvelle génération testé : Version de pare-feu nouvelle génération : Date du test : 4 3 Fonctionnalités de filtrage dynamique Des règles de contrôle d’accès extrêmement flexibles et d’autres caractéristiques clés doivent former la base des fonctionnalités de filtrage dynamique de tous les pare-feu nouvelle génération examinés. Fonctionnalités de filtrage dynamique des paquets 3.1 Contrôle des règles à base de zones Les zones de sécurité, qu’elles soient physiques ou virtuelles, offrent une couche supplémentaire de sécurité plus flexible pour le pare-feu. Avec la sécurité à base de zones, l’administrateur peut regrouper des interfaces similaires et leur appliquer les mêmes règles au lieu d’avoir à écrire les mêmes règles pour chaque interface. 3.2 Règles de refus par défaut Par défaut, la solution doit refuser l’accès depuis le LAN vers Internet et bloquer ou refuser tous les accès WAN ou DMZ vers le réseau LAN privé. 3.3 Gestion de la bande passante La fonctionnalité de gestion de la bande passante doit permettre aux administrateurs d’assigner une bande passante garantie et maximale aux services et hiérarchiser le trafic sur toutes les interfaces du pare-feu. Grâce aux règles de contrôle d’accès, la gestion de la bande passante peut s’appliquer à un trafic réseau spécifique. 3.4 Limitation des connexions La limitation des connexions offre une couche supplémentaire de sécurité et de contrôle pour réduire les connexions sur le pare-feu au moyen des règles de contrôle d’accès. Cette fonctionnalité peut servir à limiter les cas de déni de service ou la prolifération de certaines classes de programmes malveillants qui se propagent en initiant des connexions à des adresses aléatoires à des débits inhabituellement élevés. 3.5 Prévention par la détection La solution doit fournir plusieurs méthodes afin de contourner les différents outils de détection de pare-feu. 3.6 Ports dynamiques Prise en charge des transformations de ports dynamiques pour les applications pouvant utiliser des ports non standard comme FTP, Oracle SQLNET et RSTP. 3.7 Vérification des checksums IP Option de vérification des checksums pour les en-têtes IP et les paquets UDP. 3.8 Protection contre les attaques par inondation La protection contre les attaques par inondation de type SYN/RST/FIN contribue à protéger les hôtes derrière un pare-feu des attaques de déni de service (DoS) ou de déni de service distribué (DDoS) qui essayent de consommer les ressources disponibles de l’hôte. 3.9 Prise en charge de la multidiffusion Prise en charge de la multidiffusion IP pour permettre à un paquet IP d’être envoyé simultanément à plusieurs hôtes dans le cadre d’applications multimédia et de vidéoconférence. 3.10 Prise en charge QoS Un mécanisme de qualité de service (QoS) doit être disponible, comprenant la prise en charge bidirectionnelle pour DSCP et 802.1p. 3.11 Contrôle SSL Le pare-feu doit offrir la visibilité nécessaire lors du handshake des sessions SSL et une méthode de composition des règles pour pouvoir contrôler l’établissement de ces connexions. 3.12 Règles de filtrage dynamique flexibles Les règles du pare-feu doivent prendre en charge l’utilisation de la planification temporelle, l’inclusion et l’exclusion d’utilisateurs/groupes, la gestion de la bande passante, la limitation des connexions, le contrôle par géolocalisation des IP, le mapping QoS avec objets d’adresse dynamique qui peuvent définir les hôtes, les réseaux, les plages d’adresses IP, les FQDN et les adresses MAC. 5 Oui Non 4 Prise en charge des VPN La prise en charge des VPN, site à site ou client à site, est un composant essentiel de tout pare-feu nouvelle génération. La prise en charge de VPN site à site sur IPsec est la norme habituelle dans l’industrie, alors que IPSec et VPN SSL sont utilisés pour les accès client à site. 4.1 Prise en charge des VPN site à site Oui Non Oui Non 4.1.1 Interopérabilité avec des produits tiers La solution est-elle compatible avec d’autres fournisseurs de pare-feu pour permettre un fonctionnement multifournisseur ? 4.1.2 DHCP par VPN Le DHCP par VPN permet au pare-feu d’obtenir un bail d’adresse IP depuis un serveur DHCP à l’autre bout d’un tunnel VPN. Dans certains déploiements, il est désirable d’avoir tous les réseaux VPN sous un seul sousréseau IP logique et de créer l’impression que tous les réseaux VPN résident sur un seul espace d’adresses de sous-réseau IP. Cela facilite la gestion des adresses IP pour les réseaux utilisant des tunnels VPN. 4.1.3 VPN à base de routes Le VPN à base de routes utilise une configuration de routage statique ou dynamique pour les VPN au lieu d’une configuration avec des règles fixes. Cela simplifie la configuration et la maintenance des règles VPN et permet également de définir de nombreuses voies à des fins de redondance et de sauvegarde. 4.2 Prise en charge des VPN client 4.2.1 Client IPSec Un client IPSec doit être disponible pour prendre en charge à la fois Windows® et Mac OS® et fournir des fonctionnalités d’authentification forte (par ex. identification à deux facteurs). 4.2.2 Client VPN SSL Un client VPN SSL doit être disponible pour prendre en charge à la fois Windows® et Mac OS® et fournir des fonctionnalités d’authentification forte et de contrôle d’accès granulaire. 4.2.3 Terminaux mobiles Les terminaux mobiles utilisant les systèmes d’exploitation Android™ ou iOS doivent aussi être pris en charge. 4.2.4 Terminaison L2TP Le L2TP est une méthode VPN optionnelle qui doit également être disponible sur la plate-forme du pare-feu. 4.2.5 Virtual Assist La technologie Virtual Assist offre dépannage et assistance aux utilisateurs distants. Cette fonctionnalité représente un gain de temps considérable pour le personnel de support tout en offrant une flexibilité supplémentaire quant à la manière de répondre aux besoins. Les utilisateurs peuvent autoriser ou inviter les clients à joindre une « file d’attente » pour bénéficier d’une assistance, puis assister virtuellement chacun d’entre eux en prenant le contrôle à distance de l’ordinateur du client pour diagnostiquer et résoudre les problèmes techniques. 6 5 Prise en charge VoIP Un pare-feu nouvelle génération doit offrir une prise en charge complète des services de voix sur IP (VoIP). Étant donné les complexités de la signalisation et des protocoles VoIP ainsi que les incohérences introduites lorsqu’un pare-feu modifie les informations liées à l’adresse source et au port source par NAT (Network Address Translation), il est difficile pour la VoIP de traverser efficacement un pare-feu standard. 5.1 Fonctionnalités VoIP 5.1.1 SIP et H.323 La prise en charge totale de SIP et H.323 est requise pour la fonctionnalité VoIP. 5.1.2 Légitimité du trafic Le filtrage dynamique de chaque signalisation VoIP et des paquets média traversant le pare-feu doit avoir lieu pour garantir que tout le trafic est légitime. 5.1.3 Protection de la couche applicative pour les protocoles VoIP Une protection complète contre les exploits au niveau applicatif doit être fournie par le biais de signatures spécifiques VoIP conçues pour empêcher le trafic malveillant de parvenir aux téléphones et serveurs VoIP protégés. 5.1.4 Prévention des attaques DoS et DDoS Prévention des attaques DoS et DDoS du type inondation SYN, Ping of Death, et LAND (IP) visant à immobiliser un réseau ou un service. 5.1.5 Surveillance des états Garantit que les paquets, même s’ils sont eux-mêmes valides, conviennent à l’état actuel de leur connexion VoIP associée. 5.1.6 Prise en charge chiffrée des terminaux La solution doit pouvoir recourir au chiffrage pour protéger les échanges médias dans le cadre d’une conversation VoIP ou sécuriser les terminaux VoIP qui ne prennent pas en charge la transmission chiffrée. 5.1.7 Protection de la couche applicative Le moteur de filtrage applicatif doit détecter et empêcher les attaques par des exploits VoIP au niveau de la couche applicative. 5.1.8 Suivi des appels et surveillances de la qualité L’administrateur doit pouvoir visualiser un tableau de statut des appels affichant des informations concernant les connexions VoIP actives. 5.1.9 Contrôle des appels non autorisés ou indésirables Garantit que les appels entrants soient autorisés et authentifiés par le portier H.323 ou le proxy SIP et que la solution puisse bloquer les appels non autorisés et indésirables. 7 Oui Non 6Sécurité Un pare-feu nouvelle génération doit fournir différentes fonctionnalités intégrées de sécurité et de filtrage applicatif. La meilleure solution peut protéger un réseau contre les vecteurs d’attaques et les exploits modernes. 6.1 Filtrage applicatif 6.1.1 SIP et H.323 La prise en charge totale de SIP et H.323 est requise pour la fonctionnalité VoIP. 6.1.2 Traitement des paquets basé sur les flux La solution doit comporter une architecture basée sur les flux ou avant réassemblage qui n’implique pas de proxy pour l’analyse des paquets. 6.1.3 Pas de limitations de la taille des fichiers Le moteur de filtrage applicatif ne doit pas présenter de limitations quant à la taille des fichiers, il doit pouvoir analyser des fichiers de n’importe quelle taille, quel que soit le protocole, sans mise en tampon des paquets. 6.1.4 Prévention des intrusions Protection bidirectionnelle contre les intrusions pour les principaux services réseau : Web, messagerie électronique, transferts de fichiers, services Windows et DNS. 6.1.5 Antivirus à la passerelle Protection antivirus en temps réel qui inspecte de manière bidirectionnelle tout le trafic traversant le parefeu. Cette fonctionnalité doit prendre en charge de nombreux protocoles d’applications ainsi que les flux TCP classiques et le trafic compressé. 6.1.6 Protection contre les logiciels espions à la passerelle La solution doit offre une protection contre les intrusions de logiciels espions en bloquant leur installation et leur action au niveau du pare-feu et en empêchant ceux précédemment installés de transmettre les informations collectées vers l’extérieur. 6.1.7 Filtrage de contenu/URL Applique les règles pour bloquer les contenus Web indésirables, inappropriés ou non productifs en fonction de catégories sélectionnées ou de définitions personnalisées. 6.1.8 Filtrage SSL Déchiffrage et filtrage de tout le trafic SSL entrant et sortant. 6.1.9 Intégration de la signature unique La solution offre la prise en charge de la surveillance des connexions aux domaines Windows pour collecter les informations sur l’identifiant des utilisateurs à des fins de rapports et d’analyse. Elle doit inclure : • la prise en charge de Windows, Mac et Linux, • la signature unique sur agent, • la signature unique NTLM par navigateur, • l’authentification manuelle par navigateur. 8 Oui Non 6Sécurité (suite) 6.2 Services de sécurité supplémentaires Oui Non Oui Non 6.2.1 Prévention des attaques de DNS rebinding La solution doit empêcher les attaques de DNS rebinding qui enregistrent un domaine au serveur DNS d’un attaquant, contournant ainsi la politique de même origine du navigateur. 6.2.2 Protection contre l’usurpation d’adresses MAC La protection contre l’usurpation d’adresses MAC doit être fournie pour éliminer les attaques de spoofing au niveau des couches 2 et 3 du modèle OSI. Cela doit être réalisé grâce à des fonctionnalités de contrôle des accès et le blocage des tentatives d’usurpation d’adresses. 6.2.3 Client antivirus intégré Le pare-feu doit pouvoir surveiller constamment chaque terminal pour vérifier la version du fichier de définitions virales et déclencher automatiquement le téléchargement et l’installation de nouveaux fichiers de définitions le cas échéant. En outre, l’accès de l’utilisateur à Internet peut être bloqué jusqu’à ce que le terminal soit en conformité avec les règles de l’entreprise en matière de protection contre les virus. 6.2.4 Listes noires en temps réel Le filtrage RBL est une fonctionnalité anti-spam requise sur un pare-feu nouvelle génération. 6.2.5 Filtrage par géolocalisation des IP Des fonctionnalités de filtrage doivent permettre de contrôler les connexions vers et depuis une localisation géographique. 6.2.6 Filtrage des botnets Le filtrage des botnets permet de bloquer les connexions vers et depuis un serveur C&C de botnets. 6.2.7 Prévention des fuites de données La prévention des fuites de données doit être fournie afin d’analyser tous les paquets sortants à la recherche de marquages, signets ou modèles confidentiels, à l’aide d’un processeur utilisant les expressions régulières. 6.3 Équipe de recherche en sécurité 6.3.1 Recherche contrôlée par l’entreprise Le fournisseur du pare-feu nouvelle génération doit disposer d’une équipe de recherche en sécurité reposant sur les employés de la société et la propriété intellectuelle. 6.3.2 Environnement sandbox automatisé L’équipe de recherche en sécurité doit disposer d’un environnement sandbox et de processus automatisés pour collecter, analyser et créer des signatures pour les nouveaux programmes malveillants dans un délai de quelques minutes après leur détection. 6.3.3 Mises à jour dynamiques Les mises à jour de signatures doivent être envoyées automatiquement au pare-feu nouvelle génération sans intervention administrative. 6.3.4 Signatures sur le cloud Une offre de sécurité sur le cloud doit être disponible pour fournir un nombre illimité de signatures pouvant être analysé en temps réel depuis le pare-feu. 6.3.5 Statistiques en temps réel Des statistiques en temps réel du pare-feu doivent être consultables et indiquer les menaces, virus, intrusions et logiciels espions actifs d’après les spécifications de l’équipe de recherche en sécurité. 6.3.6 Transmission d’échantillons Une méthode simple doit être proposée pour transmettre des échantillons de programmes malveillants ou de traces réseau à l’équipe de recherche en sécurité afin de créer des signatures. 9 7 Prise en charge complète de l’intelligence applicative Les pare-feu nouvelle génération doivent offrir un contrôle applicatif total dans le domaine de l’intelligence, du contrôle et de la visualisation au niveau applicatif. 7.1 Intelligence, contrôle et visualisation applicatifs 7.1.1 SIP et H.323 La prise en charge totale de SIP et H.323 est requise pour la fonctionnalité VoIP. 7.1.2 Surveillance en temps réel Surveillance en temps réel des applications passant par le pare-feu nouvelle génération en plus de la bande passante en entrée et en sortie, des débits des paquets, de la taille des paquets et des vitesses de connexion. 7.1.3 Analyse des données Les fonctionnalités intégrées d’analyse des données facilitent les rapports sur les données applicatives ou le filtrage par utilisateur ou application spécifique. 7.1.4 Exportation de données Méthode facile d’exportation de données pour des rapports rapides au format CSV. 7.1.5 Rapports détaillés Les rapports détaillés de toutes les données collectées doivent être facilement accessibles depuis la console de gestion ou le mécanisme de reporting externe. 7.1.6 Tableaux/diagrammes circulaires Des tableaux linéaires, des diagrammes circulaires ou des graphiques de toutes les données collectées doivent être disponibles pour faciliter l’analyse visuelle. 7.1.7 Paramétrage facile des règles applicatives Afin de pouvoir changer rapidement les règles, la création de règles doit permettre de bloquer une application particulière ou de gérer la bande passante pour celle-ci. 7.1.8 Contrôle applicatif Au-delà de la simple identification et du contrôle d’une application, les fonctions spécifiques au sein d’une application doivent aussi être contrôlables (par ex. autoriser la messagerie instantanée Yahoo, mais pas l’échange de fichiers par la messagerie). 10 Oui Non 8 Diverses caractéristiques importantes La meilleure solution doit posséder plusieurs autres caractéristiques requises pour des déploiements haut de gamme. 8.1 Caractéristiques importantes 8.1.1IPv6 Prise en charge IPv6 certifiée par IPv6 Forum. 8.1.2Multi-WAN Possibilité de prendre en charge deux connexions WAN ou plus sans coûts ou licences supplémentaires. 8.1.3 Basculement WAN Basculement automatique vers des interfaces WAN de secours en cas de panne du WAN principal. 8.1.4 Équilibrage de charge WAN La prise en charge de l’équilibrage de charge en sortie sur plusieurs liens WAN est une autre fonctionnalité importante. 8.1.5 DNS dynamiques Prise en charge de DNS dynamiques pour liens WAN. 8.1.6 Haute disponibilité Prise en charge de configurations actif/passif, actif/actif et cluster haute disponibilité avec synchronisation d’état. De plus, les pare-feu nouvelle génération de premier plan offrent l’UTM active/active : les connexions sont gérées par un nœud principal alors que les cœurs de processeurs des deux nœuds sont utilisés pour le filtrage applicatif. 8.1.7 Basculement sur modem 3G/4G En cas de panne du WAN principal, un modem 3G/4G de secours intégré est fourni pour permettre une transition transparente vers un fournisseur de réseau de téléphonie mobile. 8.1.8 Intégration de l’accélération WAN Des offres d’accélération WAN intégrée sont déployées sur un pare-feu nouvelle génération à un bras. Des services de filtrage applicatif sont fournis pour tout le trafic accéléré passant à travers le pare-feu. 8.1.9 Prise en charge 10 GbE La prise en charge 10 GbE est impérative pour satisfaire les principales et futures exigences réseau de pointe. La présence de ports 10 GbE ne suffit pas, puisque le pare-feu nouvelle génération doit être capable de prendre en charge le débit 10 GbE avec tous les services de sécurité activés. 8.1.10Console de gestion centralisée Pour les environnements distribués, une console de gestion centralisée doit être fournie pour centraliser la surveillance, la gestion, la journalisation et le reporting. 11 Oui Non 9 Facilité de configuration et de gestion La meilleure solution offre une interface intuitive pour configurer le pare-feu nouvelle génération et la gestion en continu fournit facilement et efficacement les informations nécessaires à l’administrateur. 9.1 Facilité de configuration Oui Non Oui Non Oui Non 9.1.1 Assistants de configuration La configuration s’effectue rapidement et simplement en tirant parti d’un assistant de configuration Web qui guide l’administrateur à travers les tâches de configuration habituelles. 9.1.2 Architecture orientée objet Des objets administratifs peuvent être créés et groupés pour faciliter l’administration et éviter les tâches répétitives. 9.1.3 Configuration en mode sans échec Possibilité de placer le pare-feu nouvelle génération en mode sans échec pour un rétablissement rapide depuis un état de configuration instable. 9.2 Facilité de gestion 9.2.1 Gestion Web Les tâches administratives sont gérées par le biais d’une interface Web sans nécessiter de clients et d’agents matériels ou logiciels supplémentaires. 9.2.2 Mises à jour simples Les mises à jour simples sont intégrées à la console de gestion avec des fonctionnalités de retour fiables. 9.2.3 Utilitaire d’importation/exportation La solution offre un utilitaire d’importation/exportation pour synchroniser les informations de configuration sur plusieurs appliances nouvelle génération. 9.3 Facilité de surveillance/journaux 9.3.1 Afficheur de journaux La solution doit proposer un afficheur de journaux pour faciliter la visualisation et le filtrage des fichiers journaux. 9.3.2 Export de journaux L’exportation par simple bouton des fichiers journaux filtrés ou l’exportation de fichiers journaux entiers par syslog doivent être disponibles. 9.3.3 MIB entreprise Une MIB spécifique au produit fournissant des chiffres aux outils de gestion tiers doit être fournie. 9.3.4 Surveillance graphique La solution doit prendre en charge l’affichage graphique des données du système depuis la console de gestion principale pour que l’administrateur puisse rapidement et facilement visualiser et analyser les chiffres clés. 9.3.5 Rapports de flux La solution doit prendre en charge les standards NetFlow et IPFIX pour le reporting des flux applicatifs et du filtrage applicatif vers des systèmes de collecte tiers externes. 12 10 Fonctionnalités sans fil La meilleure solution comprend la prise en charge des déploiements sans fil avec des services de sécurité complets disponibles pour les utilisateurs sans fil. 10.1 Prise en charge sans fil Oui Non 10.1.1 Sans fil intégré Prise en charge des protocoles sans fil de dernière génération intégrée au pare-feu nouvelle génération pour les petites structures et bureaux distants. 10.1.2 Sans fil distribué Le pare-feu nouvelle génération fait office de contrôleur sans fil pour les déploiements de points d’accès sans fil distribués. 10.1.3Multi-SSID Capable de fournir plusieurs SSID isolés pour le trafic sans fil interne et externe. 10.1.4 Accès invité Possibilité de fournir une authentification invités personnalisée par le biais de référentiels internes et/ou externes. 10.1.5 Sécurité sans fil Filtrage et contrôle applicatifs pour tout le trafic sans fil, systèmes de détection des intrusions sans fil et contrôle des adresses MAC. 10.1.6Équité Capacité à garantir à tous les utilisateurs sans fil une proportion égale de bande passante disponible (équilibrage de charge des clients sans fil). 11 Stabilité et maturité de l’entreprise La meilleure solution est conçue par un fournisseur de technologies réputé, reconnu par les analystes et offrant un support client solide. Stabilité et maturité de l’entreprise 11.1 Références de clients L’entreprise fournit sans problème des références de clients et des études de cas. 11.2Brevets L’entreprise possède un solide portefeuille de brevets protégeant les technologies clés utilisées dans ses pare-feu nouvelle génération. 11.3 Reconnaissance des analystes L’entreprise bénéficie d’une validation constante de la part d’analystes reconnus pour sa vision des produits et sa capacité opérationnelle globale. 11.4 Certifications de l’industrie L’entreprise possède des certifications issues de sources réputées telles que l’ICSA pour sa technologie de pare-feu nouvelle génération. 11.5 Support global L’entreprise propose des options de support global assuré par des techniciens compétents 24x7. Copyright 2012 Dell Inc. Tous droits réservés. Dell SonicWALL est une marque de Dell Inc. Tous les autres noms et slogans de produits et de services Dell SonicWALL sont des marques de Dell Inc. Tous les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques commerciales, déposées ou non, propriété de leurs sociétés respectives. 07/12 DSNWL 0215TM Oui Non