Critères d`évaluation pour les pare-feu nouvelle

Critères d’évaluation
pour les pare-feu
nouvelle génération
Ce document définit un grand nombre des caractéristiques et
fonctionnalités importantes à prendre en compte dans l’appréciation des
pare-feu nouvelle génération pour que les évaluateurs de produits puissent
procéder à une comparaison précise des fournisseurs.
Sommaire
1
Comment évaluer un pare-feu nouvelle génération 3
2
Critères d’évaluation pour les pare-feu nouvelle génération
4
3 Fonctionnalités de filtrage dynamique
3.1 Contrôle des règles à base de zones
3.2 Règles de refus par défaut
3.3 Gestion de la bande passante
3.4 Limitation des connexions
3.5 Prévention par la détection
3.6 Ports dynamiques
3.7 Vérification des checksums IP
3.8 Protection contre les attaques par inondation
3.9 Prise en charge de la multidiffusion
3.10 Prise en charge QoS
3.11 Contrôle SSL
3.12 Règles de filtrage dynamique flexibles
5
5
5
5
5
5
5
5
5
5
5
5
5
4
Prise en charge des VPN
4.1 Prise en charge des VPN site à site
4.2 Prise en charge des VPN client
6
6
6
5
Prise en charge VoIP
5.1 Fonctionnalités VoIP
7
7
6
Sécurité
6.1 Filtrage applicatif
6.2 Services de sécurité supplémentaires
6.3 Équipe de recherche en sécurité
8
8
9
9
7
Prise en charge complète de l’intelligence applicative
7.1 Intelligence, contrôle et visualisation applicatifs
10
10
8
Diverses caractéristiques importantes
8.1 Caractéristiques importantes
11
11
9
Facilité de configuration et de gestion
9.1 Facilité de configuration
9.2 Facilité de gestion
9.3 Facilité de surveillance/journaux
12
12
12
12
0
1
Fonctionnalités sans fil
10.1 Prise en charge sans fil
13
13
11
Stabilité et maturité de l’entreprise
11.1 Références de clients
11.2Brevets
11.3 Reconnaissance des analystes
11.4 Certifications de l’industrie
11.5 Support global
13
13
13
13
13
13
2
1
Comment évaluer un pare-feu nouvelle génération
Les pare-feu nouvelle génération offrent
toutes les caractéristiques des pare-feu
à filtrage dynamique classiques ainsi que
des fonctionnalités supplémentaires
d’identification, de visualisation et de
contrôle applicatifs, quels que soient le
port ou le protocole. Au lieu d’autoriser
l’accès sur la base de ports ou d’adresses
connus, les règles peuvent désormais
être fixées au niveau applicatif pour un
utilisateur ou un groupe particulier.
Le problème des pare-feu proxy
traditionnels est que la surveillance et le
contrôle ne concernent que les ports
pouvant fonctionner avec un proxy, tels
que le port 80 (Web) ou le port 25
(SMTP). Cependant, la majorité du trafic
malveillant passe par le pare-feu sur des
ports non utilisables avec un proxy ou
est chiffré en SSL. Le défi consiste à
concevoir un pare-feu nouvelle
génération capable d’offrir une
protection complète contre les menaces
sur n’importe quel port, des
performances élevées et une latence
minimale grâce à un seul moteur de
filtrage applicatif incluant le filtrage SSL
pensé par une équipe intégrée de
recherche en sécurité.
Les critères listés ci-dessous sont des
prérequis s’appliquant à tout pare-feu
nouvelle génération utilisé pour le
contrôle applicatif. Les entreprises
doivent savoir que de nombreuses
solutions de pare-feu nouvelle
génération n’offrent que quelques-unes
des fonctionnalités rendues possibles par
cette technologie. Ces solutions peuvent
proposer des caractéristiques
intéressantes pour certaines entreprises,
mais ne peuvent pas être considérées
comme des solutions de pare-feu
nouvelle génération entièrement
fonctionnelles, polyvalentes et évolutives.
1. Fonctionnalités exhaustives de
filtrage dynamique. Il s’agit avant tout
d’égaler tous les contrôles et
fonctionnalités du pare-feu à filtrage
dynamique existant basé sur proxy. Cela
3
comprend la création et le contrôle de
règles, la prise en charge de VPN site à
site, le basculement et l’équilibrage de
charge WAN, le basculement 3G/4G
WAN, la prise en charge d’accès distant
IPSec et VPN SSL, la gestion centralisée,
les rapports et la haute disponibilité,
clustering inclus.
2. Prévention des intrusions. Les
fonctionnalités de filtrage applicatif
exhaustif offrent une protection contre
les vulnérabilités applicatives, les
dépassements de mémoire tampon et
les menaces multiformes qui peuvent
exposer le réseau à des exploits. Le
système de prévention des intrusions
(IPS) protège contre une série de
vulnérabilités applicatives et d’exploits
sur le réseau liés à des menaces internes
et externes. Ce système surveille le
réseau pour détecter tout trafic
malveillant ou anormal, bloque le trafic
ou établit des rapports en fonction de
conditions prédéfinies et actualisées
automatiquement. Les mises à jour
automatiques garantissent un blocage
dynamique des menaces.
3. Identification et contrôle applicatifs.
Les pare-feu de nouvelle génération sont
en mesure d’identifier les applications par
des signatures individuelles, quels que
soient le port ou le protocole utilisés. Les
applications peuvent être visualisées en
temps réel pour garantir la hiérarchisation
de la bande passante, ainsi qu’une
sécurité réseau et une productivité
maximales. Les administrateurs peuvent
définir des contrôles granulaires au
niveau applicatif, hiérarchiser les
applications, limiter la bande passante ou
refuser l’accès.
4. Déchiffrement et filtrage SSL. De
nombreuses menaces sont aujourd’hui
propagées par le biais de canaux
sécurisés et utilisent le chiffrement SSL.
Par conséquent, la capacité à déchiffrer,
analyser et rechiffrer le trafic SSL
constitue une fonction vitale pour un
pare-feu nouvelle génération.
5. Identification des utilisateurs. Non
seulement l’identification et le contrôle
applicatifs sont une nécessité vitale pour
un pare-feu nouvelle génération, mais
ces fonctionnalités doivent aussi être
liées à l’infrastructure LDAP ou Active
Directory d’une entreprise. Il n’est plus
nécessaire de relier une adresse IP
source à un utilisateur physique. Les
pare-feu nouvelle génération peuvent
prendre en charge la signature unique et
relier automatiquement un identifiant
d’utilisateur à un terminal pour le
contrôle d’accès et les rapports.
Les pare-feu de nouvelle
génération ne visent pas
uniquement le contrôle applicatif.
De nombreuses entreprises
considèrent les pare-feu nouvelle
génération comme un moyen de
sécuriser l’accès depuis des points
de connexion externes publics.
Dans l’environnement actuel, de
nombreuses menaces émergent de
l’intérieur par le biais d’utilisateurs
sur le réseau de l’entreprise qui
accèdent à des sites publics comme
Facebook ou YouTube. Les pare-feu
de nouvelle génération permettent
aux services informatiques
d’authentifier, d’autoriser et
d’analyser le trafic réseau dans les
deux directions afin d’assurer un
accès sûr à toutes les ressources.
Les avantages des pare-feu
nouvelle génération face aux
pare-feu traditionnels basés sur
proxy
• Latence faible
• Gestion de tous les débits
jusqu'aux débits des réseaux câblés
• Filtrage applicatif sur tous les ports
et protocoles
• Filtrage SSL
• Prise en charge IPSec et VPN SSL
• Contrôle applicatif de couche 7
1
Comment évaluer un pare-feu nouvelle génération (suite)
6. Antivirus et protection contre les
logiciels espions au niveau de la
passerelle. Si l’on s’en tient à la stricte
définition d’un pare-feu nouvelle
génération, l’éradication des
programmes malveillants à la passerelle
n’est pas requise. Cependant, la
meilleure solution offre une analyse
bidirectionnelle du trafic,
indépendamment de la taille des
contenus ou du nombre de sessions
actives, avec des mises à jour
automatiques des signatures.
7. Équipe de recherche en sécurité. La
qualité d’un pare-feu nouvelle
génération dépend des signatures
d’applications, IPS et anti-malware
créées. Les fournisseurs doivent disposer
d’une équipe intégrée de recherche en
sécurité qui recueille manuellement et
automatiquement les nouveaux
échantillons d’applications et de
malwares, crée de nouvelles signatures
et envoie automatiquement les
signatures aux pare-feu abonnés. De
plus, cette équipe doit participer
activement à différents organismes de
sécurité comme le Microsoft Active
Protections Program.
8. Prise en charge d’intelligence hors
pare-feu. Le pare-feu doit être capable
de consulter des sources de données
hors appliance pour renforcer encore
l’état de sécurité de l’entreprise. Par
exemple, la réputation IP et le filtrage
2
Web entre autres peuvent être
complétés par le recours à l’intelligence
sur le cloud.
9. Hautes performances, disponibilité et
évolutivité. Le filtrage applicatif se solde
par une réduction significative des
performances sur les pare-feu
traditionnels basés sur proxy. En outre,
les limitations sont nombreuses en ce
qui concerne les protocoles, ports et
tailles de fichiers pouvant être analysés.
Un véritable pare-feu nouvelle
génération doit pouvoir procéder à un
filtrage applicatif pratiquement à vitesse
de ligne, à travers tous les ports et
protocoles. De plus, il doit pouvoir
supporter la charge des réseaux 10 GbE
d’aujourd’hui. Cela ne se limite pas à la
présence de ports 10 GbE sur le parefeu, ce dernier doit aussi prendre en
charge des débits du type 10 GbE et
exécuter un filtrage applicatif exhaustif.
10. Certifications et critiques
indépendantes. Les critiques et
certifications indépendantes issues
d’organismes leaders dans le secteur
comme l’ICSA (certification pour les
pare-feu d’entreprise) et IPv6 Forum
sont déterminantes pour tout pare-feu
nouvelle génération. D’autres
certifications, telles que FIPS et Critères
communs, seront aussi requises pour les
déploiements au bénéfice de services
publics.
11. Stabilité, maturité et support de
l’entreprise. Enfin, la stabilité et la
maturité du fournisseur sont des
données cruciales pour n’importe quel
achat à long terme. Les performances de
l’entreprise, l’appui financier et la
clientèle sont autant de facteurs clés qui
définissent la santé d’un fournisseur. Les
options telles que le support 24 x 7, des
techniciens de langue maternelle et des
offres de services partenaire/
professionnel comptent aussi dans la
réussite de tous les grands déploiements
et implémentations.
Mises à jour automatiques =
réduction
des coûts administratifs
Les pare-feu nouvelle génération
offrent des mises à jour
automatisées des signatures
pour les applications, systèmes
de prévention des intrusions et
malwares. Cela signifie que les
administrateurs réseau n’ont
pas besoin de perdre du temps
à rechercher et à charger les
nouvelles mises à jour.
Critères d’évaluation pour les pare-feu nouvelle génération
Pare-feu nouvelle génération testé : Version de pare-feu nouvelle génération :
Date du test :
4
3
Fonctionnalités de filtrage dynamique
Des règles de contrôle d’accès extrêmement flexibles et d’autres caractéristiques clés doivent former la base des fonctionnalités de
filtrage dynamique de tous les pare-feu nouvelle génération examinés.
Fonctionnalités de filtrage dynamique des paquets
3.1 Contrôle des règles à base de zones
Les zones de sécurité, qu’elles soient physiques ou virtuelles, offrent une couche supplémentaire de sécurité
plus flexible pour le pare-feu. Avec la sécurité à base de zones, l’administrateur peut regrouper des interfaces
similaires et leur appliquer les mêmes règles au lieu d’avoir à écrire les mêmes règles pour chaque interface.
3.2 Règles de refus par défaut
Par défaut, la solution doit refuser l’accès depuis le LAN vers Internet et bloquer ou refuser tous les accès
WAN ou DMZ vers le réseau LAN privé. 3.3 Gestion de la bande passante
La fonctionnalité de gestion de la bande passante doit permettre aux administrateurs d’assigner une bande
passante garantie et maximale aux services et hiérarchiser le trafic sur toutes les interfaces du pare-feu. Grâce
aux règles de contrôle d’accès, la gestion de la bande passante peut s’appliquer à un trafic réseau spécifique.
3.4 Limitation des connexions
La limitation des connexions offre une couche supplémentaire de sécurité et de contrôle pour réduire les
connexions sur le pare-feu au moyen des règles de contrôle d’accès. Cette fonctionnalité peut servir à
limiter les cas de déni de service ou la prolifération de certaines classes de programmes malveillants qui se
propagent en initiant des connexions à des adresses aléatoires à des débits inhabituellement élevés. 3.5 Prévention par la détection
La solution doit fournir plusieurs méthodes afin de contourner les différents outils de détection de pare-feu.
3.6 Ports dynamiques
Prise en charge des transformations de ports dynamiques pour les applications pouvant utiliser des ports non
standard comme FTP, Oracle SQLNET et RSTP.
3.7 Vérification des checksums IP
Option de vérification des checksums pour les en-têtes IP et les paquets UDP.
3.8 Protection contre les attaques par inondation
La protection contre les attaques par inondation de type SYN/RST/FIN contribue à protéger les hôtes derrière
un pare-feu des attaques de déni de service (DoS) ou de déni de service distribué (DDoS) qui essayent de
consommer les ressources disponibles de l’hôte. 3.9 Prise en charge de la multidiffusion
Prise en charge de la multidiffusion IP pour permettre à un paquet IP d’être envoyé simultanément à
plusieurs hôtes dans le cadre d’applications multimédia et de vidéoconférence.
3.10 Prise en charge QoS
Un mécanisme de qualité de service (QoS) doit être disponible, comprenant la prise en charge
bidirectionnelle pour DSCP et 802.1p.
3.11 Contrôle SSL
Le pare-feu doit offrir la visibilité nécessaire lors du handshake des sessions SSL et une méthode de
composition des règles pour pouvoir contrôler l’établissement de ces connexions.
3.12 Règles de filtrage dynamique flexibles
Les règles du pare-feu doivent prendre en charge l’utilisation de la planification temporelle, l’inclusion et
l’exclusion d’utilisateurs/groupes, la gestion de la bande passante, la limitation des connexions, le contrôle
par géolocalisation des IP, le mapping QoS avec objets d’adresse dynamique qui peuvent définir les hôtes, les
réseaux, les plages d’adresses IP, les FQDN et les adresses MAC.
5
Oui
Non
4
Prise en charge des VPN
La prise en charge des VPN, site à site ou client à site, est un composant essentiel de tout pare-feu nouvelle génération. La prise en
charge de VPN site à site sur IPsec est la norme habituelle dans l’industrie, alors que IPSec et VPN SSL sont utilisés pour les accès
client à site.
4.1 Prise en charge des VPN site à site
Oui
Non
Oui
Non
4.1.1 Interopérabilité avec des produits tiers
La solution est-elle compatible avec d’autres fournisseurs de pare-feu pour permettre un fonctionnement
multifournisseur ?
4.1.2 DHCP par VPN
Le DHCP par VPN permet au pare-feu d’obtenir un bail d’adresse IP depuis un serveur DHCP à l’autre bout
d’un tunnel VPN. Dans certains déploiements, il est désirable d’avoir tous les réseaux VPN sous un seul sousréseau IP logique et de créer l’impression que tous les réseaux VPN résident sur un seul espace d’adresses de
sous-réseau IP. Cela facilite la gestion des adresses IP pour les réseaux utilisant des tunnels VPN.
4.1.3 VPN à base de routes
Le VPN à base de routes utilise une configuration de routage statique ou dynamique pour les VPN au lieu
d’une configuration avec des règles fixes. Cela simplifie la configuration et la maintenance des règles VPN et
permet également de définir de nombreuses voies à des fins de redondance et de sauvegarde.
4.2 Prise en charge des VPN client
4.2.1 Client IPSec
Un client IPSec doit être disponible pour prendre en charge à la fois Windows® et Mac OS® et fournir des
fonctionnalités d’authentification forte (par ex. identification à deux facteurs).
4.2.2 Client VPN SSL
Un client VPN SSL doit être disponible pour prendre en charge à la fois Windows® et Mac OS® et fournir des
fonctionnalités d’authentification forte et de contrôle d’accès granulaire. 4.2.3 Terminaux mobiles
Les terminaux mobiles utilisant les systèmes d’exploitation Android™ ou iOS doivent aussi être pris en
charge.
4.2.4 Terminaison L2TP
Le L2TP est une méthode VPN optionnelle qui doit également être disponible sur la plate-forme du pare-feu.
4.2.5 Virtual Assist
La technologie Virtual Assist offre dépannage et assistance aux utilisateurs distants. Cette fonctionnalité
représente un gain de temps considérable pour le personnel de support tout en offrant une flexibilité
supplémentaire quant à la manière de répondre aux besoins. Les utilisateurs peuvent autoriser ou inviter les
clients à joindre une « file d’attente » pour bénéficier d’une assistance, puis assister virtuellement chacun
d’entre eux en prenant le contrôle à distance de l’ordinateur du client pour diagnostiquer et résoudre les
problèmes techniques.
6
5
Prise en charge VoIP
Un pare-feu nouvelle génération doit offrir une prise en charge complète des services de voix sur IP (VoIP). Étant donné les
complexités de la signalisation et des protocoles VoIP ainsi que les incohérences introduites lorsqu’un pare-feu modifie les
informations liées à l’adresse source et au port source par NAT (Network Address Translation), il est difficile pour la VoIP de traverser
efficacement un pare-feu standard.
5.1 Fonctionnalités VoIP
5.1.1 SIP et H.323
La prise en charge totale de SIP et H.323 est requise pour la fonctionnalité VoIP.
5.1.2 Légitimité du trafic
Le filtrage dynamique de chaque signalisation VoIP et des paquets média traversant le pare-feu doit avoir lieu
pour garantir que tout le trafic est légitime.
5.1.3 Protection de la couche applicative pour les protocoles VoIP
Une protection complète contre les exploits au niveau applicatif doit être fournie par le biais de signatures
spécifiques VoIP conçues pour empêcher le trafic malveillant de parvenir aux téléphones et serveurs VoIP
protégés.
5.1.4 Prévention des attaques DoS et DDoS
Prévention des attaques DoS et DDoS du type inondation SYN, Ping of Death, et LAND (IP) visant à
immobiliser un réseau ou un service.
5.1.5 Surveillance des états
Garantit que les paquets, même s’ils sont eux-mêmes valides, conviennent à l’état actuel de leur connexion
VoIP associée.
5.1.6 Prise en charge chiffrée des terminaux
La solution doit pouvoir recourir au chiffrage pour protéger les échanges médias dans le cadre d’une
conversation VoIP ou sécuriser les terminaux VoIP qui ne prennent pas en charge la transmission chiffrée.
5.1.7 Protection de la couche applicative
Le moteur de filtrage applicatif doit détecter et empêcher les attaques par des exploits VoIP au niveau de la
couche applicative.
5.1.8 Suivi des appels et surveillances de la qualité
L’administrateur doit pouvoir visualiser un tableau de statut des appels affichant des informations concernant
les connexions VoIP actives.
5.1.9 Contrôle des appels non autorisés ou indésirables
Garantit que les appels entrants soient autorisés et authentifiés par le portier H.323 ou le proxy SIP et que la
solution puisse bloquer les appels non autorisés et indésirables.
7
Oui
Non
6Sécurité
Un pare-feu nouvelle génération doit fournir différentes fonctionnalités intégrées de sécurité et de filtrage applicatif. La meilleure
solution peut protéger un réseau contre les vecteurs d’attaques et les exploits modernes.
6.1 Filtrage applicatif
6.1.1 SIP et H.323
La prise en charge totale de SIP et H.323 est requise pour la fonctionnalité VoIP.
6.1.2 Traitement des paquets basé sur les flux
La solution doit comporter une architecture basée sur les flux ou avant réassemblage qui n’implique pas de
proxy pour l’analyse des paquets.
6.1.3 Pas de limitations de la taille des fichiers
Le moteur de filtrage applicatif ne doit pas présenter de limitations quant à la taille des fichiers, il doit pouvoir
analyser des fichiers de n’importe quelle taille, quel que soit le protocole, sans mise en tampon des paquets.
6.1.4 Prévention des intrusions
Protection bidirectionnelle contre les intrusions pour les principaux services réseau : Web, messagerie
électronique, transferts de fichiers, services Windows et DNS.
6.1.5 Antivirus à la passerelle
Protection antivirus en temps réel qui inspecte de manière bidirectionnelle tout le trafic traversant le parefeu. Cette fonctionnalité doit prendre en charge de nombreux protocoles d’applications ainsi que les flux
TCP classiques et le trafic compressé.
6.1.6 Protection contre les logiciels espions à la passerelle
La solution doit offre une protection contre les intrusions de logiciels espions en bloquant leur installation
et leur action au niveau du pare-feu et en empêchant ceux précédemment installés de transmettre les
informations collectées vers l’extérieur.
6.1.7 Filtrage de contenu/URL
Applique les règles pour bloquer les contenus Web indésirables, inappropriés ou non productifs en fonction
de catégories sélectionnées ou de définitions personnalisées.
6.1.8 Filtrage SSL
Déchiffrage et filtrage de tout le trafic SSL entrant et sortant.
6.1.9 Intégration de la signature unique
La solution offre la prise en charge de la surveillance des connexions aux domaines Windows pour collecter
les informations sur l’identifiant des utilisateurs à des fins de rapports et d’analyse. Elle doit inclure :
• la prise en charge de Windows, Mac et Linux,
• la signature unique sur agent,
• la signature unique NTLM par navigateur,
• l’authentification manuelle par navigateur.
8
Oui
Non
6Sécurité (suite)
6.2 Services de sécurité supplémentaires
Oui
Non
Oui
Non
6.2.1 Prévention des attaques de DNS rebinding
La solution doit empêcher les attaques de DNS rebinding qui enregistrent un domaine au serveur DNS d’un
attaquant, contournant ainsi la politique de même origine du navigateur.
6.2.2 Protection contre l’usurpation d’adresses MAC
La protection contre l’usurpation d’adresses MAC doit être fournie pour éliminer les attaques de spoofing au
niveau des couches 2 et 3 du modèle OSI. Cela doit être réalisé grâce à des fonctionnalités de contrôle des
accès et le blocage des tentatives d’usurpation d’adresses.
6.2.3 Client antivirus intégré
Le pare-feu doit pouvoir surveiller constamment chaque terminal pour vérifier la version du fichier de
définitions virales et déclencher automatiquement le téléchargement et l’installation de nouveaux fichiers
de définitions le cas échéant. En outre, l’accès de l’utilisateur à Internet peut être bloqué jusqu’à ce que le
terminal soit en conformité avec les règles de l’entreprise en matière de protection contre les virus.
6.2.4 Listes noires en temps réel
Le filtrage RBL est une fonctionnalité anti-spam requise sur un pare-feu nouvelle génération.
6.2.5 Filtrage par géolocalisation des IP
Des fonctionnalités de filtrage doivent permettre de contrôler les connexions vers et depuis une localisation géographique.
6.2.6 Filtrage des botnets
Le filtrage des botnets permet de bloquer les connexions vers et depuis un serveur C&C de botnets.
6.2.7 Prévention des fuites de données
La prévention des fuites de données doit être fournie afin d’analyser tous les paquets sortants à la recherche
de marquages, signets ou modèles confidentiels, à l’aide d’un processeur utilisant les expressions régulières.
6.3 Équipe de recherche en sécurité
6.3.1 Recherche contrôlée par l’entreprise
Le fournisseur du pare-feu nouvelle génération doit disposer d’une équipe de recherche en sécurité reposant
sur les employés de la société et la propriété intellectuelle.
6.3.2 Environnement sandbox automatisé
L’équipe de recherche en sécurité doit disposer d’un environnement sandbox et de processus automatisés
pour collecter, analyser et créer des signatures pour les nouveaux programmes malveillants dans un délai de
quelques minutes après leur détection.
6.3.3 Mises à jour dynamiques
Les mises à jour de signatures doivent être envoyées automatiquement au pare-feu nouvelle génération sans
intervention administrative.
6.3.4 Signatures sur le cloud
Une offre de sécurité sur le cloud doit être disponible pour fournir un nombre illimité de signatures pouvant
être analysé en temps réel depuis le pare-feu.
6.3.5 Statistiques en temps réel
Des statistiques en temps réel du pare-feu doivent être consultables et indiquer les menaces, virus, intrusions
et logiciels espions actifs d’après les spécifications de l’équipe de recherche en sécurité.
6.3.6 Transmission d’échantillons
Une méthode simple doit être proposée pour transmettre des échantillons de programmes malveillants ou
de traces réseau à l’équipe de recherche en sécurité afin de créer des signatures.
9
7
Prise en charge complète de l’intelligence applicative
Les pare-feu nouvelle génération doivent offrir un contrôle applicatif total dans le domaine de l’intelligence, du contrôle et de la
visualisation au niveau applicatif.
7.1 Intelligence, contrôle et visualisation applicatifs
7.1.1 SIP et H.323
La prise en charge totale de SIP et H.323 est requise pour la fonctionnalité VoIP.
7.1.2 Surveillance en temps réel
Surveillance en temps réel des applications passant par le pare-feu nouvelle génération en plus de la bande
passante en entrée et en sortie, des débits des paquets, de la taille des paquets et des vitesses de connexion.
7.1.3 Analyse des données
Les fonctionnalités intégrées d’analyse des données facilitent les rapports sur les données applicatives ou le
filtrage par utilisateur ou application spécifique.
7.1.4 Exportation de données
Méthode facile d’exportation de données pour des rapports rapides au format CSV.
7.1.5 Rapports détaillés
Les rapports détaillés de toutes les données collectées doivent être facilement accessibles depuis la console
de gestion ou le mécanisme de reporting externe.
7.1.6 Tableaux/diagrammes circulaires
Des tableaux linéaires, des diagrammes circulaires ou des graphiques de toutes les données collectées
doivent être disponibles pour faciliter l’analyse visuelle.
7.1.7 Paramétrage facile des règles applicatives
Afin de pouvoir changer rapidement les règles, la création de règles doit permettre de bloquer une
application particulière ou de gérer la bande passante pour celle-ci.
7.1.8 Contrôle applicatif
Au-delà de la simple identification et du contrôle d’une application, les fonctions spécifiques au sein d’une
application doivent aussi être contrôlables (par ex. autoriser la messagerie instantanée Yahoo, mais pas
l’échange de fichiers par la messagerie).
10
Oui
Non
8
Diverses caractéristiques importantes
La meilleure solution doit posséder plusieurs autres caractéristiques requises pour des déploiements haut de gamme.
8.1 Caractéristiques importantes
8.1.1IPv6
Prise en charge IPv6 certifiée par IPv6 Forum.
8.1.2Multi-WAN
Possibilité de prendre en charge deux connexions WAN ou plus sans coûts ou licences supplémentaires.
8.1.3 Basculement WAN
Basculement automatique vers des interfaces WAN de secours en cas de panne du WAN principal.
8.1.4 Équilibrage de charge WAN
La prise en charge de l’équilibrage de charge en sortie sur plusieurs liens WAN est une autre fonctionnalité
importante.
8.1.5 DNS dynamiques
Prise en charge de DNS dynamiques pour liens WAN.
8.1.6 Haute disponibilité
Prise en charge de configurations actif/passif, actif/actif et cluster haute disponibilité avec synchronisation
d’état. De plus, les pare-feu nouvelle génération de premier plan offrent l’UTM active/active : les connexions
sont gérées par un nœud principal alors que les cœurs de processeurs des deux nœuds sont utilisés pour le
filtrage applicatif.
8.1.7 Basculement sur modem 3G/4G
En cas de panne du WAN principal, un modem 3G/4G de secours intégré est fourni pour permettre une
transition transparente vers un fournisseur de réseau de téléphonie mobile.
8.1.8 Intégration de l’accélération WAN
Des offres d’accélération WAN intégrée sont déployées sur un pare-feu nouvelle génération à un bras. Des
services de filtrage applicatif sont fournis pour tout le trafic accéléré passant à travers le pare-feu.
8.1.9 Prise en charge 10 GbE
La prise en charge 10 GbE est impérative pour satisfaire les principales et futures exigences réseau de pointe.
La présence de ports 10 GbE ne suffit pas, puisque le pare-feu nouvelle génération doit être capable de
prendre en charge le débit 10 GbE avec tous les services de sécurité activés.
8.1.10Console de gestion centralisée
Pour les environnements distribués, une console de gestion centralisée doit être fournie pour centraliser la
surveillance, la gestion, la journalisation et le reporting.
11
Oui
Non
9
Facilité de configuration et de gestion
La meilleure solution offre une interface intuitive pour configurer le pare-feu nouvelle génération et la gestion en continu fournit
facilement et efficacement les informations nécessaires à l’administrateur.
9.1 Facilité de configuration
Oui
Non
Oui
Non
Oui
Non
9.1.1 Assistants de configuration
La configuration s’effectue rapidement et simplement en tirant parti d’un assistant de configuration Web qui
guide l’administrateur à travers les tâches de configuration habituelles.
9.1.2 Architecture orientée objet
Des objets administratifs peuvent être créés et groupés pour faciliter l’administration et éviter les tâches répétitives.
9.1.3 Configuration en mode sans échec
Possibilité de placer le pare-feu nouvelle génération en mode sans échec pour un rétablissement rapide
depuis un état de configuration instable.
9.2 Facilité de gestion
9.2.1 Gestion Web
Les tâches administratives sont gérées par le biais d’une interface Web sans nécessiter de clients et d’agents
matériels ou logiciels supplémentaires.
9.2.2 Mises à jour simples
Les mises à jour simples sont intégrées à la console de gestion avec des fonctionnalités de retour fiables.
9.2.3 Utilitaire d’importation/exportation
La solution offre un utilitaire d’importation/exportation pour synchroniser les informations de configuration
sur plusieurs appliances nouvelle génération.
9.3 Facilité de surveillance/journaux
9.3.1 Afficheur de journaux
La solution doit proposer un afficheur de journaux pour faciliter la visualisation et le filtrage des fichiers journaux.
9.3.2 Export de journaux
L’exportation par simple bouton des fichiers journaux filtrés ou l’exportation de fichiers journaux entiers par
syslog doivent être disponibles.
9.3.3 MIB entreprise
Une MIB spécifique au produit fournissant des chiffres aux outils de gestion tiers doit être fournie.
9.3.4 Surveillance graphique
La solution doit prendre en charge l’affichage graphique des données du système depuis la console de gestion
principale pour que l’administrateur puisse rapidement et facilement visualiser et analyser les chiffres clés.
9.3.5 Rapports de flux
La solution doit prendre en charge les standards NetFlow et IPFIX pour le reporting des flux applicatifs et du
filtrage applicatif vers des systèmes de collecte tiers externes.
12
10 Fonctionnalités sans fil
La meilleure solution comprend la prise en charge des déploiements sans fil avec des services de sécurité complets disponibles
pour les utilisateurs sans fil.
10.1 Prise en charge sans fil
Oui
Non
10.1.1 Sans fil intégré
Prise en charge des protocoles sans fil de dernière génération intégrée au pare-feu nouvelle génération pour
les petites structures et bureaux distants.
10.1.2 Sans fil distribué
Le pare-feu nouvelle génération fait office de contrôleur sans fil pour les déploiements de points d’accès
sans fil distribués.
10.1.3Multi-SSID
Capable de fournir plusieurs SSID isolés pour le trafic sans fil interne et externe.
10.1.4 Accès invité
Possibilité de fournir une authentification invités personnalisée par le biais de référentiels internes et/ou
externes.
10.1.5 Sécurité sans fil
Filtrage et contrôle applicatifs pour tout le trafic sans fil, systèmes de détection des intrusions sans fil et
contrôle des adresses MAC.
10.1.6Équité
Capacité à garantir à tous les utilisateurs sans fil une proportion égale de bande passante disponible
(équilibrage de charge des clients sans fil).
11 Stabilité et maturité de l’entreprise
La meilleure solution est conçue par un fournisseur de technologies réputé, reconnu par les analystes et offrant un support client
solide.
Stabilité et maturité de l’entreprise
11.1 Références de clients
L’entreprise fournit sans problème des références de clients et des études de cas.
11.2Brevets
L’entreprise possède un solide portefeuille de brevets protégeant les technologies clés utilisées dans ses
pare-feu nouvelle génération.
11.3 Reconnaissance des analystes
L’entreprise bénéficie d’une validation constante de la part d’analystes reconnus pour sa vision des produits
et sa capacité opérationnelle globale.
11.4 Certifications de l’industrie
L’entreprise possède des certifications issues de sources réputées telles que l’ICSA pour sa technologie de
pare-feu nouvelle génération.
11.5 Support global
L’entreprise propose des options de support global assuré par des techniciens compétents 24x7.
Copyright 2012 Dell Inc. Tous droits réservés. Dell SonicWALL est une marque de Dell Inc. Tous les autres noms et slogans de produits et de
services Dell SonicWALL sont des marques de Dell Inc. Tous les autres noms de produits et de sociétés mentionnés dans ce document peuvent
être des marques commerciales, déposées ou non, propriété de leurs sociétés respectives. 07/12 DSNWL 0215TM
Oui
Non