j'ai compris

Dimensionnement du pare-feu de nouvelle génération (cinq éléments à prendre en compte)

publié il y a  2021-5-31 17:12:26 135 0 0 0 0

Bonjour à tous,


De nos jours, la sécurité est très importante pour les réseaux d'entreprise. en particulier, j'ai vu que beaucoup de petites et moyennes entreprises n'ont pas de pare-feu et fonctionnent généralement avec des routeurs ou des commutateurs fournis par les FAI.

en fait, de nos jours, je vois que de nombreuses petites et moyennes industries sont plus intéressées par le maintien d'un pare-feu dans leur réseau et je recommande fortement de garder un pare-feu dans votre réseau

Désormais, le responsable informatique réfléchira trop au type de pare-feu dont il a besoin et au modèle qu'il doit utiliser.


laissez-moi vous donner quelques suggestions pour choisir le bon pare-feu pour votre environnement.


avant d'aborder le sujet, voyons ce qu'est un pare-feu ?


Pare-feu:


Le concept de pare-feu a été introduit pour sécuriser le processus de communication entre les différents réseaux.

Un pare-feu est un logiciel ou un périphérique matériel qui examine les données de plusieurs réseaux, puis l'autorise ou le bloque à communiquer avec votre réseau et ce processus est régi par un ensemble de directives de sécurité prédéfinies.

Un pare-feu est un appareil ou une combinaison de systèmes qui supervise le flux de trafic entre des parties distinctes du réseau. Un pare - feu est utilisé pour protéger le réseau contre les personnes malveillantes et interdire leurs actions à des niveaux limites prédéfinis.

Un pare-feu n'est pas seulement utilisé pour protéger le système contre les menaces extérieures, mais la menace peut également être interne. Par conséquent, nous avons besoin d'une protection à chaque niveau de la hiérarchie des systèmes de mise en réseau.

Un bon pare-feu devrait être suffisant pour faire face aux menaces internes et externes et être capable de faire face aux logiciels malveillants tels que les vers d'accéder au réseau. Il permet également à votre système d'arrêter de transmettre des données illégales à un autre système.


Il assure une protection 365 * 24 * 7 du réseau contre les pirates. Il s'agit d'un investissement ponctuel pour toute organisation et n'a besoin que de mises à jour en temps opportun pour fonctionner correctement. En déployant un pare-feu, il n'y a pas besoin de panique en cas d'attaques réseau.


FW





Parlons maintenant de 5 éléments à prendre en compte pour sélectionner un pare-feu approprié :


CPS (connexions par seconde):

CPS traite de la rapidité avec laquelle le pare-feu peut créer et stocker une nouvelle session qui est acceptée par une politique de pare-feu. L'endroit le plus simple pour déterminer le nombre de connexions par seconde dont votre réseau a besoin est de regarder votre pare-feu actuel si vous en avez un. Si vous n'avez pas de pare-feu en place, voici une petite technique industrielle pour déterminer ce dont vous avez besoin :

Tout d'abord, comptez le nombre total d'utilisateurs sur votre réseau.

Ensuite, comptez le nombre d'appareils sur votre réseau sans utilisateurs. Il peut s'agir d'appareils IoT, de serveurs, d'imprimantes, de téléphones et d'autres appareils.

Chaque utilisateur peut s'attendre à utiliser entre trois et sept sessions par seconde, sept étant l'exception de pointe. Les appareils doivent être plus proches d'une ou deux connexions par seconde.

Pour notre exemple, nous utiliserons 100 utilisateurs et 20 appareils. Cela signifie que nous aurions besoin de 320 CPS pendant les heures normales ou d'inactivité et d'environ 740 CPS pendant les heures de pointe. N'oubliez pas non plus de prendre en compte la croissance potentielle du nombre d'utilisateurs et d'appareils IoT, alors assurez-vous de répondre à vos besoins pour cette croissance attendue.


CPS



Débit TOTAL :

Le point de départ le plus courant pour dimensionner un pare-feu de nouvelle génération consiste à examiner le débit total de la couche 4. Mais une erreur courante est de ne pas calculer le trafic dans toutes les directions.

Par exemple, un circuit symétrique de 1 Gbit/s est généralement un téléchargement de 1 Gbit/s et un téléchargement de 1 Gbit/s. Cela signifie que sur un lien entièrement saturé, vous pouvez avoir jusqu'à 2 Gbit/s de débit théorique passant par votre pare-feu. Le trafic entre les segments de réseau tels que les utilisateurs internes qui se dirigent vers une ressource interne est souvent négligé et doit également être calculé. Un réseau correctement conçu doit avoir une segmentation entre différents réseaux, ce qui signifie que tout le trafic destiné à l'extérieur de ce segment atteindrait le pare-feu et serait pris en compte dans le débit total.

N'oubliez pas de regarder le type de trafic utilisé par le fournisseur pour calculer le débit annoncé. Souvent, le fournisseur annoncera UDP avec de grandes tailles de paquets au lieu de TCP car ils fonctionnent bien mieux. Mais avec la majorité de votre trafic probablement TCP, votre expérience dans le monde réel sera très différente.



Ae



SSL :

Selon le rapport de transparence du cryptage HTTPS de Google, 73 % des pages chargées dans Chrome sous Windows utilisaient SSL, contre 59 % il y a un an. Avec ce nombre qui devrait continuer à augmenter, l'inspection SSL devient une norme pour tout réseau.

L'inspection SSL du pare-feu se présente généralement sous deux formes : l'inspection de certificat et l'inspection approfondie des paquets (DPI).

  • L'inspection des certificats inspecte uniquement l'établissement de liaison SSL, il n'y a donc généralement pas de gros impact sur les performances car vous ne regardez pas à l'intérieur du tunnel.

  • SSL DPI effectue en fait un "homme au milieu" entre l'utilisateur et le serveur, ce qui a un impact énorme sur les performances.

Dans le rapport NSS le plus récent «Pare-feu de nouvelle génération», un fournisseur a subi une dégradation des performances allant jusqu'à 91% lorsqu'il a activé l'inspection approfondie des paquets SSL. Certains fournisseurs qui utilisent des ASIC personnalisés ont vu leurs performances baisser à seulement 14 %.

Lorsque vous examinez les chiffres de performance SSL d'un fournisseur, prenez note de la suite de chiffrement et de la taille des paquets utilisés pour l'inspection. Tous les chiffres de performance SSL ne sont pas mesurés de la même manière, et les fournisseurs de pare-feu sont connus pour publier des chiffrements faibles et des paquets volumineux pour que leurs chiffres soient meilleurs que ceux que vous obtiendriez dans le monde réel.

NG




Fonctionnalités du pare-feu de nouvelle génération:


Il y a un coût de performance pour chaque fonctionnalité de pare-feu de nouvelle génération activée. Dans le rapport de NSS, certains fournisseurs ont perdu jusqu'à 82 % en activant l'IPS et l'identification des applications. Et cela n'incluait même pas des fonctionnalités plus gourmandes en ressources telles que AV, filtrage Web et DLP.

Votre première étape consiste à décider des fonctionnalités dont vous avez besoin ou que vous prévoyez de mettre en œuvre. Ensuite, décidez où sur votre réseau ces fonctionnalités seront activées. Par exemple, si vous décidez que vous avez besoin d'un filtrage Web, vous n'aurez qu'à l'activer sur le trafic Web sortant. Si le trafic Web représente 40% de votre circuit total et que vous disposez d'un circuit de 1 Gbit / s, vous auriez effectivement besoin d'au moins 400 Mbps de capacités de filtrage Web.

La majorité des fournisseurs n'auront pas de chiffres de performance pour chaque permutation des fonctionnalités de nouvelle génération. Au lieu de cela, ils peuvent avoir un numéro de performance avec plusieurs fonctionnalités activées et l'appeler quelque chose comme « protection contre les menaces » ou « prévention contre les menaces ». Cela aussi peut varier d'un fournisseur à l'autre, alors gardez un œil sur ce qui est inclus dans cette définition.


Washington



Nombre maximum de sessions (sessions simultanées):


Comme leur nom l'indique, cela fait référence au nombre total de sessions de pare-feu qu'une boîte peut prendre en charge. Comme CPS, cela peut varier considérablement d'un réseau à l'autre en fonction d'un certain nombre de facteurs différents, notamment le type de trafic, les protocoles, les délais d'expiration des sessions, les utilisateurs, etc.

Heureusement, à mesure que la technologie a évolué, les fournisseurs de pare-feu de nouvelle génération ont ajouté beaucoup de mémoire pour prendre en charge la plupart des réseaux normaux pour leur marché cible. En fait, au cours de toutes mes années de consultation et de conception de pare-feu de nouvelle génération pour les opérateurs de télécommunications et les gros clients, je n'ai jamais vu la session maximale d'un appareil s'épuiser avant d'autres facteurs tels que le CPS ou le processeur en raison de l'activation d'autres fonctionnalités.

Mais cela peut être un problème sérieux pour les centres de données ou tout autre trafic Internet où les connexions peuvent être imprévisibles. C'est également la cible principale des attaques DDoS, qui tentent de submerger un pare-feu en envoyant trop de trafic à la fois et en épuisant les limites du CPS.

Si vous n'avez pas de pare-feu qui peut vous dire combien de sessions vous avez actuellement, le calcul de 100 sessions par utilisateur ou appareil est généralement une valeur sûre.




AW




vous devez donc tenir compte de toutes les choses ci-dessus lors du dimensionnement ou du choix d'un pare-feu.


et la sécurité dépend de la rigueur avec laquelle vous configurez votre pare-feu.


essayez toujours de définir des politiques différentes pour différents départements et d'utiliser différents VLAN pour différents départements.

limitez tout trafic indésirable et vérifiez toujours le rapport sur les menaces de sécurité.


et permettez-moi de mentionner quelques modèles de pare-feu Huawei ici,



Washington



FW





  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.