.

Livre Blanc

Pare-feux
feux de nouvelle gnration.
gnration
Retrouver lefficacit par la visibilit
et le contrle des applications.
applications

avec

MIEL . LIVRE BLANC

Pare-feux de nouvelle gnration

Retrouver lefficacit par la visibilit
et le contrle des applications

Pourquoi une nouvelle gnration de firewall ? ..................................................................................... 4

La professionnalisation des menaces .................................................................................................. 4
Ripostes positives contre Ripostes ngatives ..................................................................................... 5
Le danger au coeur des applications ................................................................................................... 5
Les matriels actuels sont dpasss........................................................................................................ 7
Faible visibilit ..................................................................................................................................... 7
Mcanismes de rponse inadquats................................................................................................... 8
Performances insuffisantes ................................................................................................................. 9
Le nouveau firewall ............................................................................................................................... 10
Linspection des applications au cur du dispositif ......................................................................... 10
Identification et inspection puissantes ............................................................................................. 10
Une protection totalement intgre contre les menaces................................................................. 11
Une gestion des rgles rationalise .................................................................................................. 12
Un matriel pour rendre possible, sans freiner ................................................................................ 12
Fonctions essentielles pour une solution complte.............................................................................. 13
En rsum .............................................................................................................................................. 14

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Pare-feux de nouvelle gnration

Retrouver lefficacit par la visibilit
et le contrle des applications

Les passerelles de scurit rseau sont assiges. De nouvelles menaces sont lances plus
rapidement que jamais et ciblent de plus en plus des vulnrabilits la couche applicative.
Dans le mme temps les applications centres sur lutilisateur et les applications
dentreprises profitent des ports et services communment autoriss pour assurer leur
passage travers les primtres de scurit et pour faciliter leur fonctionnement dans la plus
large gamme possible de scenarii rseaux. Il en rsulte aujourdhui une rosion continue de
lefficacit des firewalls et, par consquent, la mise en lumire de dfauts fondamentaux
dans leur conception initiale, tout comme la ncessit dapporter des modifications
importantes dans le fondement mme des stratgies de scurit.

Ce document va dabord explorer la combinaison des facteurs connus et mergents rvlant les dficiences de
conception des firewalls actuels. Ces problmes et dfauts seront par la suite utiliss pour tablir les critres qui
dfinissent la solution idale : un firewall de nouvelle gnration qui incorpore en son cur linspection de
lapplication.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Pourquoi une nouvelle gnration de firewall ?

Plusieurs tendances nuisent lefficacit des produits firewalls conventionnels et appellent
finalement une solution de nouvelle gnration. Dune manire gnrale, ces tendances sont
lies deux volutions : lvolution des menaces dune part, et lvolution des applications
dautre part.

La professionnalisation des menaces

Le changement net du paysage des menaces provient dabord dun glissement significatif de la motivation du
hacker. Cest simple : les hackers ne hackent plus pour btir leur rputation. Ils le font maintenant pour de
largent. En consquence, il nest plus dans leur intrt dinventer des menaces rapides et bruyantes, sans
consquence sur le rseau. Le but du jeu est le vol dinformations. Ceci conduit deux routes distinctes, que
nous appellerons la route haute et la route basse.
Sur la route haute, le but nest pas seulement de commettre le crime, mais de le maintenir non dtect le plus
longtemps possible, prservant ainsi la valeur des donnes voles et permettant aussi des rpter les mmes
mcanismes dattaque. De tels objectifs ont fait bondir la sophistication des menaces qui sont gnres. Les
Rootkits (outils de dissimulation dactivit) sont par exemple largement rpandus. Ces lments de
programme exploitent les failles au niveau du kernel pour masquer dautres types de malware, leur permettant
daccomplir de manire persistante les taches nuisibles pour les lesquelles ils ont t conus. (e.g. interceptions
de frappes clavier).
Dans le cas particulier dune attaque cible, les hackers portent toute leur attention sur une organisation la fois,
construisant des mcanismes dattaque sur mesure pour tirer parti des quipements, systmes, applications et
configurations spcifiques, voire du personnel dans un endroit prcis.
La sophistication des attaques augmente pour attaquer la couche applicative car les hackers ont raliss depuis
bien longtemps que la majorit des ripostes dployes se concentrent sur la protection de la couche rseau. Il
nest ds lors pas surprenant que plus de 80% de tous les nouveaux malwares et tentatives dintrusion exploitent
les faiblesses des applications et non celles des composants et services rseaux.
A contrario, les aventuriers de la route basse dlaissent la sophistication pour la vitesse- vitesse dans la
gnration de la menace, vitesse de modification, et vitesse de propagation. Le but est de dvelopper, lancer et
rapidement rpandre de nouvelles menaces ds la connaissance dune nouvelle vulnrabilit. Les attaques de
type zero-day ou near-zero day qui en rsultent connaissent ainsi un certain succs car les mesures de
ripostes comme les patches et les outils bass sur les signatures (ex. logiciels antivirus et systmes de dtection
dintrusion), sont ractives et incapables de suivre au moins dans les premires phases dune nouvelle attaque.

Cette approche base sur la vitesse est largement facilites par la prolifration de sites web de dveloppement
de menaces, de kit de dveloppement et autres frameworks . Pire, un effet multiplicateur de ces ressources

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

est la capacit de facilement transformer une menace connue en une menace inconnue, au moins du point de
vue des outils bass signatures. Cette transformation peut tre accomplie soit en faisant une petite modification
du code, soit en ajoutant des mcanismes complets de nouvelle propagation ou dentre. On se rfre alors
une attaque dite combine.
A chaque occasion, la sophistication et la vitesse croissantes des menaces soulignent le besoin de ripostes
proactives sur un modle positif, avec un contrle et une visibilit tendue aux couches suprieures du rseau.

Ripostes positives contre Ripostes ngatives

Les ripostes sur le modle ngatif fonctionnent sur la
base de lnumration de toutes les communications

Contrle
Positif

Contrle
Ngatif

Firewall
Conventionnel
stateful

IPS/DPI
Antivirus
Antispyware

et de tout le contenu rputs mauvais en vertu de

leur potentiel de nuisance. Les logiciels antivirus et
les systmes de dtection dintrusion (IPS) sont des

Technologies
de scurit

exemples classiques de ce type doutils. Mais les

nouvelles menaces ne peuvent tre stoppes tant

quelles ne sont pas identifies et tant que les outils ne sont pas mis jour par des moyens spcifiques pour les
dtecter (e.g. une signature).
A linverse, les ripostes sur le modle positif fonctionnent sur la base dautorisation de communications reconnues
comme appropries ou ncessaires dans une situation donne, excluant ainsi tout le reste. Lavantage est que de
telles communications peuvent tre dfinies lavance, permettant ainsi aux outils associs comme les firewalls,
de bloquer automatiquement une large gamme de menaces connues et inconnues.

Le danger au coeur des applications

Le besoin de ripostes ayant une meilleure connaissance des applications est amen par les changements
continuels du paysage applicatif. En premier lieu, les applications dites centres sur lutilisateur (user-centric)
englobant les communications personnelles comme la messagerie instantane, le partage de fichiers poste-poste (P2P), la messagerie web, et la collaboration voix/vido sur IP., lancent plusieurs dfis dun point de vue
informatique et scurit :

Leur forte popularit impose la prsence de ces applications sur le poste de travail, mme si les rgles
gnrales en dcident autrement. Cette prgnance est rendue possible par la capacit de ces applications
ajuster dynamiquement leurs moyens de communications. Pour tre plus prcis : nombre de ces applications
chappent aux mcanismes traditionnels de scurit en changeant alatoirement les ports et protocoles de

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

communication, ou en se masquant derrire des services communment utiliss (ex. : http, https). On parle
alors, respectivement, de techniques dvasion et de tunneling .

Elles attirent de plus en plus lattention des hackers, la fois en tant que moyen de transport des malwares
mais aussi en tant que cible en elles-mmes. Ainsi, le classement SANS TOP 20 des attaques de scurit
e

Internet a class les applications P2P et de messageries instantanes respectivement 10 et 11 .

Dans de nombreux cas, elles servent maintenant des objectifs mtiers lgitimes, pas uniquement rcratifs.
Mais si les outils rseau et scurit ne sont pas capables de faire une distinction suffisamment granulaire, on en
vient au choix du tout ou rien : soit les deux types dutilisation sont supportes, soit aucune.

Les applications mtiers prsentent, elles, un autre problme inhrent leur nature. Pour des questions de
productivit et dorganisation, comme un dploiement et un dveloppement plus simple, dconomies potentielles,
ou une meilleure accessibilit, de nombreuses applications client-serveur sont migres vers des technologies
web. Certaines de ces applications sont mme remplaces maintenant par des services web hbergs (SaaS
Software as a Service), comme Salesforce.com ou la suite dapplications bureautiques de Google. Le problme
est que ces applications essentielles lentreprise ne sont plus diffrentiables de la plthore dapplications
beaucoup moins importantes qui utilisent HTTP pour les communications rseaux. Elles ne peuvent alors plus
tre contrles par des rgles distinctes, ni tre traites diffrents niveaux de service.
Ces nouveaux aspects du paysage applicatif renforcent par consquent le besoin pour des solutions de scurit
ayant une connaissance et un contrle approfondis de chaque application. Sans de telles capacits, une quantit
significative de trafic non dsir et potentiellement vecteur de menaces envahit les rseaux dentreprise.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Les matriels actuels sont dpasss

Quils soient autonomes ou composant de base des solutions de gestion unifie des
menaces (UTM), les firewalls sont de loin la solution de scurit rseau la plus
communment dploye. Parce que les firewalls fondent leurs contrles sur le modle
positif, on peut raisonnablement penser quils seront capables dadresser les problmes
voqus ci-dessus. En pratique, la plupart des firewalls doivent rapidement, en premier
lieu cause de la combinaison de trois facteurs : une visibilit faible, des mcanismes de
rponse inadquats et des performances insuffisantes.

Faible visibilit
La plupart des firewalls sont hypermtropes. Ils peuvent discerner les formes gnrales des choses, mais les
dtails les plus fins de ce qui se passe vraiment leur chappent. En dautres termes, la plupart des firewalls
peuvent distinguer des services la couche applicative sur la base de numros de port tablis (ex. port TCP 80
= HTTP), mais ils sont incapables dobserver et, a fortiori, de contrler les applications individuelles qui utilisent
ces services.
En effet, de nombreux firewalls filtrent en inspectant ltat du paquet (on parle dinspection stateful ). Ils
prsentent 2 dfauts : (1) ils estiment quun service applicatif donn est en cours dutilisation en se basant sur le
numro de port TCP/UDP apparaissant dans len-tte du paquet, et (2) ils ne regardent que le premier paquet
dune session pour dterminer le type de trafic actuellement en traitement. En gnral, ces tactiques sont
utilises pour amliorer les performances. Elles sont cependant trompeuses. La relation entre le numro de port
et lapplication nest quune convention ; ladhsion cette convention nest pas ncessaire pour tablir les
communications de bout en bout. De plus, le premier paquet contient en gnral une quantit limite
dinformations. Seul lexamen des paquets suivants permettrait dtablir avec fiabilit lapplication, les fonctions
spcifiques ou les commandes en cours dutilisation. En pratique, les firewalls qui prsentent ces dfauts ne
peuvent pas :

Prendre correctement en compte les applications qui utilisent des ports non-standard, comme les serveurs web
fonctionnant sur un port autre que ceux associs HTTP (i.e., 80 et 443), ou quand par exemple Yahoo!
Messenger fonctionne sur le port TCP 80 au lieu du port TCP 5050.

Prendre correctement en compte le tunneling comme quand le P2P est vu comme un partage de fichier
autoris, ou quand un client de messagerie instantane comme Meebo fonctionne dans HTTP.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Fournir un contrle granulaire de chaque fonction,

comme tre capable de bloquer un transfert de fichier
effectu lintrieur dune application de messagerie
instantane qui, elle, est autorise.

Finalement, le problme ne se situe pas dans le filtrage

par inspection de ltat du paquet, mais dans
limplmentation de cette technologie. Etre stateful
signifie simplement que les sessions sortantes sont
suivies de manire ce que les ports de communication
pour le trafic retour soient dynamiquement ouverts la
demande au lieu dtre ouverts en permanence. Les
dficiences dcrites prcdemment viennent de la faon
dont ces sessions/applications sont initialement
classifies, ce qui est une fonctionnalit spare bien
qutroitement lie.

Figure 1: le filtrage stateful est incapable didentifier

certaines applications qui utilise des techniques dvasion
pour communiquer

Mcanismes de rponse inadquats

A leur crdit, les constructeurs de firewalls ont reconnu la ncessit damliorer leurs produits quand le problme
de la migration des menaces vers des couches suprieures a merg, il y a maintenant plusieurs annes. Cest
ainsi que sont ns le concept et la fonction largement connus sous le nom dinspection approfondie des paquets
(DPI pour Deep Packet Inspection). Malheureusement, en dpit de ce que laisse entendre cette dnomination,
cette approche nimplique pas une correction de la vision du firewall. La DPI compense la faible visibilit en
ajoutant au produit un ou plusieurs moteurs de scurit sur le modle ngatif. Ces moteurs ont certes lavantage
davoir une couverture assez significative de la couche applicative : ce sont les logiciels antivirus et autres
systmes de prvention dintrusion (IPS).
En gnral, apporter du renfort dans la cohue du champ de bataille est une stratgie qui sentend. Cependant,
dans ce cas, la situation sapparente plutt la construction dune maison sur des fondations de sable. Tout
semble bien au premier regard. Mais rapidement lerreur critique se rvle quand la structure commence ne pas
rsister aux lments auxquels elle est expose. De manire similaire, ajouter une solution DPI un firewall va
dabord donner un coup dacclrateur lefficacit de la scurit, mais le degr damlioration sera limit dans la
plupart des cas parce que dune part, la fonction additionnelle est effectivement rajout par-dessus, et dautre
part, les fondations sur lesquelles elle sappuie sont trop faibles pour construire.
En effet, si lon regarde de plus prs les problmes et les limitations communes aux passerelles de scurit qui
sappuie sur une solution DPI au dessus de firewalls pauvres en visibilit applicative, lon saperoit que :

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Tout ce qui doit tre inspect nest pas ncessairement inspect. Le trafic rseau est prsent au moteur DPI
seulement sil correspond une rgle du firewall et si cette rgle un attribut associ qui active linspection des
menaces. A cet gard, les DPI peuvent donner un faux sentiment de scurit, dans la mesure o des applications
dangereuses peuvent ne pas tre vrifies lorsquelles passent en tunnel de services gnralement
considrs comme srs.
Tout autre moteur de scurit faisant partie du systme global (e.g. antivirus, anti-spyware) est soumis des
situations similaires. Encore une fois, le moteur de classification de base reste le firewall. Ainsi, mme si le
moteur DPI a une visibilit intressante sur les applications, linformation qui dclenche une inspection plus
approfondie des donnes nest pas forcment fiable.
La gestion des rgles peut vite devenir complexe. Idalement, les outils de scurit ont une table de rgles
pour contrler les flux et une autre qui spcifie ce qui est fait quand une menace est dtecte. Dans ce cas,
fournir un contrle plus granulaire impliquerait dimbriquer les rgles de contrle daccs avec la partie de gestion
des menaces du produit qui nest elle-mme quune partie dune rgle encore plus globale de contrle daccs.
Les ressources systmes sont souvent inefficacement utilises. Ce problme apparait dabord quand la solution
firewall incorpore des moteurs multiples de dtection de menaces qui sappuient fondamentalement sur des
techniques dinspection similaires. (e.g. antivirus, anti-spyware, et DPI). Dans de tels cas, la quantit de
traitements redondants peut tre considrable.
Et bien sr, les traitements redondants ne font quexacerber le troisime facteur qui impacte lefficacit des
firewalls actuels : lincapacit obtenir les performances adquates.

Performances insuffisantes
Quelle que soit la technique utilise, fournir une connaissance granulaire des applications est un processus trs
intense pour la CPU et la mmoire. Ainsi, moins quun firewall soit conu la base avec linspection de la
couche applicative comme pr-requis, il rencontrera des problmes de performance. Par consquent, des choixou plutt des compromis devront tre faits. Pour assurer les niveaux de performances adquats, les fonctions
dinspection la couche applicative devront tre implmentes slectivement, et ce sera le cas de toute autre
fonction avance de filtrage de ce type. Ainsi, limpact sur les performances est une des raisons premires pour
lesquelles les fonctions des solutions DPI simplement rajoutes au-dessus du firewall ne peuvent pas tre
actives pour toutes les rgles.
Clairement, avoir juste lobjectif dinspecter la couche applicative ne suffit pas. Pour rpondre ce problme,
certains fabricants essaieront davoir un matriel identique mais beaucoup plus gros et rapide. Cela finira
probablement par fonctionner tant bien que mal, mais dune manire trs peu optimale et assurment onreuse.
En revanche, une architecture matrielle sur mesure, qui rpartit les ressources entre les tches prdfinies
assurera que les niveaux de performances seront atteints.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Le nouveau firewall
Le paragraphe prcdent a commenc mettre en lumire des proprits et fonctions qui
caractriseraient une solution pour venir bout des dfauts des firewalls actuellement
disponibles. Allons plus loin dans cette section. Globalement, pour tre efficace, un firewall
de nouvelle gnration doit inclure la gestion de lapplication au cur de sa conception, tout
en possdant la gamme complte de fonctions gnralement associes aux robustes
plateformes de scurit.

Linspection des applications au cur du dispositif

Malgr la combinaison prometteuse entre des ripostes sur le modle ngatif et positif, rajouter une solution DPI
au dessus dun firewall moiti aveugle est clairement loin dtre idal. Dmarrer avec un firewall qui possde
une meilleure vision la base est une approche largement plus efficace. Des techniques puissantes bases sur
le modle positif peuvent alors tre appliques dans une mesure beaucoup plus large, ne ncessitant plus de
faire appel aux fonctions dinspection sur le modle ngatif pour sassurer que les sessions sont effectivement
libres de menaces. Mais comme toujours, le diable est dans les dtails.

Identification et inspection puissantes

Le but est de contrler le flux de sessions de faon plus granulaire sur la base des applications spcifiquement
utilises plutt que de pointer une gamme de services rseaux souvent indiffrencis. Cet objectif repose sur une
approche multi-facteurs de linspection et de lidentification de lapplication. Comme nous lavons vu
prcdemment, tablir un port et un protocole est un premier pas, mais insuffisant. La prsence et la bonne mise
en valeur dune bibliothque tendue de signatures dapplications sont beaucoup plus importantes.
Une signature est une suite dindicateurs qui caractrisent une application et, par extension, la distingue
dfinitivement de toutes les autres. Dtecter les signatures signifie notamment disposer des ressources
ncessaires pour conduire des inspections avances comme : regarder au-del de len-tte et dans le payload
de chaque paquet ; regarder au-del du premier paquet dune session donne ; et mme, parfois, reconstruire
des portions de session pour permettre des analyses de plus haut niveau. Pour les sessions rputes autorises
notamment, un dcodage de lapplication et des inspections avances devront tre ralises en continu : dune
part pour permettre la mise en uvre de rgles spcifiques lapplication (ex. empcher les transferts de fichiers
raliss lintrieur dune application de messagerie instantanes autorise), et dautre part pour faciliter la
prcision et lefficacit de lutilisation des signatures de menaces (discut dans la prochaine section).

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Une dernire considration dans ce domaine

concerne la capacit grer le trafic crypt,
un problme particulirement pertinent tant
donn la prvalence dapplications
protges par SSL. Or les firewalls
conventionnels ne peuvent inspecter un tel
trafic. Ils sont limits appliquer des rgles
sur la base de petites informations situs
dans les en-ttes de paquets (ex. adresse IP
source et destination). Pour passer outre
cette ccit, le firewall de prochaine
gnration doit tre idalement quip dune
option de dchiffrement et re-chiffrement du
trafic SSL, permettant ainsi un contrle
daccs granulaire et une inspection plus
prcise des menaces
encapsules.

Figure 2: la classification centre sur lapplication identifie spcifiquement chaque

application traversant le rseau, quel que soit le port et le protocole utilis.

Une protection totalement intgre contre les menaces

Quune session soit autorise par une rgle ne signifie pas quelle est libre de menaces. Ceci est vraie quelle que
soit la granularit avec laquelle la rgle est applique, et cest pourquoi il est tout fait pertinent dapporter des
fonctions dinspection dtailles dans le cur de lapplication. Cependant, ajouter simplement un firewall une
srie de moteurs de protection spars est la bonne recette pour avoir des problmes. Bien que cette approche
doive amliorer la scurit, le systme se grippe forcment dun point de vue performance, forant les socits
faire un compromis entre les deux.
Par contraste, avoir une protection totalement intgre contre les menaces rduit significativement le fardeau
pesant sur les performances, sans plus faire de compromis sur la scurit. Cette approche prvoit en effet un
unique moteur de protection, au lieu den ddier un lantivirus, un lantispyware, un la dtection/prvention
dintrusion, etc. Il en rsulte moins dallers-retours entre les processus internes, et plus significativement, les
paquets ne sont plus traits de manire redondante. Bien-sr, le pr-requis pour un moteur unique est davoir un
format de signature standard. Les socits bnficient ainsi dune rduction du nombre de comptences diverses
ncessaires pour administrer les solutions autant que pour le dveloppement de signatures sur mesure.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Une gestion des rgles rationalise

Concentrer linspection de lapplication au cur du firewall conduit un modle beaucoup plus intuitif de rgles.
Les rgles de contrle daccs peuvent tre implmentes beaucoup plus efficacement et avec moins de chance
dintroduire des erreurs dans la mesure o elles peuvent maintenant tre contenues dans un seul endroit de
linterface dadministration. Dans un souci de rationalisation, une autre fonction pertinente est la capacit dfinir,
en un seul paramtre, une suite de rponses par dfaut pour un groupe de signatures de dtection correspondant
une mme menace.

Un matriel pour rendre possible, sans freiner

On a dj largement insist sur le fait que le firewall ne devait pas tre un frein la productivit. Dune manire
gnrale, il ne devrait pas tre ncessaire de faire des compromis, en restreignant les fonctions de scurit
implmenter, pour maintenir les niveaux adquats de performance. Un bon dbit et des latences raisonnables
devraient tre maintenus y compris lorsque toutes les fonctions dinspection des menaces et des applications
sont engages simultanment. Dun point de vue scurit, cest la configuration idale. A cet gard, ce nest
typiquement pas un bon signe de voir un firewall implment dans un matriel bas sur un simple serveur. Ceci
tant dit lintention nest pas dexiger un silicone spcialis (i.e., ASICs). En fait, le point critique est vraiment
davoir une architecture matrielle conue pour lobjectif. Par exemple, maintenir deux plateformes spares pour
le contrle et la donne ainsi quutiliser des silicones tudis (i.e. des puces ddies pour acclrer des
processus spcifiques) sont deux signes clairs que le fabricant a fait un effort concert pour btir une solution
disposant de ressources suffisantes.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Fonctions essentielles pour une solution complte

Bien sr, liminer les dfauts et les manques des firewalls actuels avec le design nest que le point de dpart de
la solution de prochaine gnration. Mais limpact de la connaissance des applications, de la protection intgre
et de la gestion des rgles la vole sera diminu sans la conception de plateformes spcifiquement destines
recevoir ces fonctions. Au-del davoir un matriel hautes performances, les fonctions et caractristiques
essentielles dune telle plateforme comprennent :

La flexibilit rseau permet dassurer la compatibilit avec nimporte quel environnement. Implmenter une
solution sans avoir reconcevoir ou reconfigurer dpend de sa capacit supporter une large gamme doption et
de fonctions rseaux comme 802.1Q, les VLANs bas ports, les ports trunk, le mode transparent et de
nombreuses interfaces haute capacit.

La fiabilit assure un fonctionnement continu et passe par des fonctions comme la redondance active-passive
et/ou active-active, la synchronisation des tats et des configurations, et des composants redondants (e.g, double
alimentation).

Lvolutivit dpend dabord de fonctions dadministration volues et de matriel hautes performances, mais
peut aussi tre facilite par le support de systmes virtuels o un seul firewall peut tre configur pour agir
comme plusieurs firewalls indpendants.

Enfin lergonomie ne se rsume pas la facilit dutilisation. Elle implique des fonctions comme ladministration
locale et centralise, une administration dlgue, des mises jour de signatures automatiques, une supervision
temps rel la fois pour le matriel et les vnements de scurit, ainsi quun reporting et un enregistrement de
logs robustes.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

En rsum
Le firewall est la pierre angulaire de la stratgie de scurit du systme dinformation.
Cependant, lefficacit de ce soldat de la scurit diminue ostensiblement en mme temps
que les menaces continuent migrer vers les couches suprieures et que les applications de
tous types profitent des technologies web et des services habituellement autoriss par les
rgles de lentreprise. Contrecarrer ces tendances en rajoutant au firewall conventionnel des
couches de fonctionnalits comme linspection en profondeur des paquets nest pas
suffisant. Trop de trafic non voulu, dont une partie transporte potentiellement des menaces,
peut encore passer. Les socits ont plutt besoin dun systme firewall de prochaine
gnration des modles qui incorporent la connaissance de lapplication au cur de leur
design, qui possdent une protection intgre contre les menaces, et proposent une
architecture matrielle sur-mesure qui vite de choisir entre la performance et la scurit.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Traduit de langlais. Septembre 2010.

A propos de Palo Alto

Palo Alto Networks a t fonde en 2005 par le visionnaire de la
scurit, Nir Zuk, avec pour mission de r-inventer le pare-feu afin quil
soit de nouveau lquipement le plus stratgique dans le dispositif de
scurit dun rseau d'entreprise.
Son conseil d'administration et son quipe de direction sont constitus
danciens dirigeants et/ou fondateurs parmi les plus importantes
socits de scurit rseau et technologies connexes, incluant
l'invention du Stateful Inspection, les matriels de scurit et de
prvention d'intrusion.
Quant son quipe de recherche et dveloppement, elle a fait la
preuve de ses comptences dans des fonctions similaires dans des
entreprises telles que Check Point, Cisco, NetScreen, McAfee, Juniper
Networks et d'autres.
La socit a commenc distribuer sa famille de Nouvelle gnration
de pare-feu en 2007 et a install cette solution dans des centaines
d'entreprises et organisations du monde entier, y compris de
nombreuses entreprises classes Fortune 500 et compte ce jour plus
de 1200 clients actifs dans le Monde.
Palo Alto Networks a ouvert des bureaux de vente rpartis en
Amrique du Nord, Europe, Asie-Pacifique, et au Japon, et
commercialise ses pare-feu par l'intermdiaire d'un rseau mondial de
distributeurs et de revendeurs.

A propos de Miel
Depuis 1985, Miel dcouvre et distribue en France les nouvelles
technologies pour l'informatique des entreprises dans les domaines
des rseaux, des systmes, de la scurit et de l'informatique
industrielle. Ses ingnieurs s'appuient sur un rseau de partenaires
intgrateurs pour diffuser ces produits sur le march.
APPELEZ LE 01 60 19 34 52

et

vous proposent le pare-feu de nouvelle gnration