Shunlongwei Co. Ltd

Les pare-feu et leurs fonctionnalités intéressantes

Actualité
Mise à jour : 26 juillet 2021
Les pare-feu et leurs fonctionnalités intéressantes

Les derniers pare-feu de nouvelle génération (NGFW) utilisent une inspection approfondie des paquets pour analyser l'intégralité de la charge utile des paquets afin de fournir une prévention avancée des intrusions, un anti-malware, un filtrage de contenu et un anti-spam. De nombreuses applications sont livrées sur le Web, partageant des ports communs et des protocoles HTTP ou HTTPS. Cela laisse effectivement les pare-feu traditionnels aveugles à ces applications et incapables de hiérarchiser le trafic productif et sécurisé par rapport au trafic improductif et potentiellement non sécurisé. Les pare-feu de nouvelle génération donnent un aperçu des applications elles-mêmes, offrant une capacité essentielle aux professionnels des réseaux.

Examinons certaines des choses que les pare-feu devraient faire pour la sécurité de votre réseau :

  • Contrôlez les applications autorisées sur le réseau - La visualisation des applications vous permet de voir quels navigateurs sont utilisés pour permettre l'élaboration de politiques en conséquence.

En tant qu'entreprise, vous voulez vous assurer que tous vos employés utilisent la dernière version d'Internet Explorer. Votre mission est de vous assurer que tous les employés qui lancent IE9 ou IE10 sont automatiquement redirigés vers le site de téléchargement d'IE11 et de les restreindre de tout autre accès Web.

Vos solutions possibles peuvent inclure :

  • Vérifiez physiquement chaque système chaque jour pour la version du navigateur Web
  • Écrire un script personnalisé pour vérifier automatiquement les versions du navigateur
  • Gérer la bande passante pour les applications critiques - La priorité des applications peut être basée sur la date (pensez à la priorité de fin de trimestre pour les applications de vente

De nombreuses applications critiques, telles que Live Meeting, Salesforce.com et SharePoint, sont basées sur le cloud ou s'exécutent sur des réseaux géographiquement dispersés. S'assurer que ces applications ont la priorité sur la navigation Web improductive améliore la productivité de l'entreprise.

Créez une stratégie pour donner la priorité à la bande passante à l'application Live Meeting :

  • Le moteur Deep Packet Inspection recherche la signature ou le nom de l'application
  • Attribuer à l'application Live Meeting une priorité de bande passante plus élevée
  • Bloquer les applications peer-to-peer

Les applications peer-to-peer (P2P) improductives telles que BitTorrent sont souvent utilisées pour télécharger des versions sans licence de médias protégés par le droit d'auteur et peuvent rapidement consommer de la bande passante ou transmettre des logiciels malveillants. Cependant, la création de nouvelles applications P2P ou de simples modifications (par exemple, les numéros de version) des applications P2P existantes se produisent tout le temps, il est donc difficile de bloquer manuellement une seule application P2P. Créez une politique pour bloquer l'utilisation des applications P2P :

  • Le moteur Deep Packet Inspection utilise des signatures d'application P2P prédéfinies à partir de la liste des signatures d'application
  • Choisissez les applications P2P dans la liste de signature prédéfinie
  • Appliquer la politique à tous les utilisateurs
  • Bloquer les applications P2P via des restrictions de bande passante et temporelles
  • Bloquer les composants improductifs des applications

Les applications de réseaux sociaux telles que Facebook, Instagram et YouTube sont devenues de nouveaux canaux de communication pour les particuliers et les entreprises. Bien qu'il puisse être contre-productif de bloquer toutes les applications de réseaux sociaux, vous voudrez peut-être contrôler la manière dont elles peuvent être utilisées sur le lieu de travail. Par exemple, vous pouvez laisser le personnel marketing mettre à jour la page Facebook de l'entreprise, mais ne pas leur permettre de jouer à des jeux Facebook comme Texas HoldEm Poker ou Candy Crush Saga. Avec l'intelligence et le contrôle des applications, vous pouvez créer une politique pour autoriser l'accès à Facebook, mais bloquer les jeux.

Créez une politique pour autoriser Facebook, mais bloquer les jeux Facebook :

  • Sélectionnez "Tous" les utilisateurs
  • Sélectionnez « Applications de jeux Facebook » comme catégorie
  • Créez une règle unique pour « Bloquer » tous les utilisateurs d'accéder aux jeux sur Facebook
  • Visualisez le trafic de votre application – La visualisation fournit aux administrateurs un retour instantané sur les flux de trafic réseau

Que se passe-t-il sur mon réseau ? Qui gaspille ma bande passante ? Pourquoi mon réseau est-il si lent ? Vous êtes-vous déjà posé l'une de ces questions ? Vous pouvez utiliser une combinaison d'outils distincts pour essayer d'obtenir des réponses, mais ce processus prend du temps et ne vous fournira des informations qu'après coup.

Visualisez tout le trafic en temps réel en vous connectant à Application Flow Monitor :

  • Afficher des graphiques en temps réel de tout le trafic des applications
  • Afficher des graphiques en temps réel de la bande passante d'entrée et de sortie
  • Affichez des graphiques en temps réel des sites Web visités et de toutes les activités des utilisateurs
  • Créez votre propre filtrage qui vous donne les informations les plus pertinentes
  • Gérer la bande passante pour un groupe d'utilisateurs

Que faire si votre PDG se plaint que les vidéos d'actualités économiques qu'il veut regarder chaque matin sont saccadées et ne sont pas lues correctement ? Après enquête, vous déterminez que cela est dû à une politique de gestion de la bande passante à l'échelle de l'entreprise que vous avez mise en œuvre pour toutes les vidéos en streaming ? Vous pourriez alléger les restrictions de bande passante pour tout le monde, mais il existe maintenant une meilleure réponse : la gestion de la bande passante basée sur les groupes.

Créez une règle pour exclure l'équipe de direction de la gestion de la bande passante vidéo en streaming :

  • Choisissez le groupe exécutif importé de votre serveur LDAP
  • Le moteur Deep Packet Inspection utilise des signatures d'applications vidéo en streaming prédéfinies à partir de la liste de signatures d'applications
  • Appliquer une restriction de bande passante au trafic avec cet en-tête
  • Bloquez les attaques et les brèches de logiciels malveillants - Bloquez les attaques et les intrusions de logiciels malveillants avant qu'ils n'entrent dans votre réseau !

La sécurité du réseau doit être au premier plan des préoccupations de tout administrateur informatique. La capacité de bloquer les attaques telles que les ransomwares et les brèches qui sont transmises par le biais de logiciels malveillants et de tentatives d'intrusion soulage l'organisation des risques importants et épargne des ressources potentiellement gaspillées.

  • Identifier les connexions par pays

Une connexion à une adresse IP dans un pays étranger à partir de votre bureau de quartier local ou d'un site de succursale est-elle simplement une connexion bénigne de quelqu'un qui navigue sur le Web, ou s'agit-il d'une activité de botnet ? Vous pouvez utiliser l'identification du trafic de pays GeoIP pour identifier et contrôler le trafic réseau à destination ou en provenance de pays spécifiques, soit pour vous protéger contre les attaques d'origines connues ou suspectées d'activités de menace, soit pour enquêter sur le trafic suspect provenant du réseau.

Affichez les connexions par pays ou créez des filtres spécifiques à chaque pays :

  • Vérifiez quelles applications se connectent aux adresses IP dans d'autres pays
  • Voir quels utilisateurs et quels ordinateurs se connectent aux IP d'autres pays
  • Créez des filtres pour restreindre le trafic aux pays que vous avez spécifiés, avec des listes d'exclusion
  • Empêcher les fuites de données par e-mail

Dans certaines entreprises, les e-mails sortants ne passent pas par leur système de sécurité de messagerie, ou ce système ne vérifie pas le contenu des pièces jointes des e-mails. Dans les deux cas, les pièces jointes « confidentielles à l'entreprise » peuvent facilement quitter l'organisation. Étant donné que le trafic réseau sortant passe par votre pare-feu, vous pouvez détecter et bloquer ces « données en mouvement ». Créez une politique pour bloquer les pièces jointes contenant le filigrane « confidentiel de l'entreprise »

Le moteur d'inspection approfondie des paquets recherche :

  • Contenu de l'e-mail = « Confidentiel de l'entreprise » et
  • Contenu de l'e-mail = « Propriétaire de l'entreprise » et
  • Contenu de l'e-mail = « Propriétaire privé », etc.
  • Empêchez les fuites de données via la messagerie Web

Supposons maintenant que votre protection anti-spam existante puisse détecter et bloquer un e-mail sortant normal contenant des informations « confidentielles de l'entreprise ». Mais que se passe-t-il si un employé utilise un service de messagerie Web, tel que Yahoo ou Gmail, pour envoyer des informations « confidentielles à l'entreprise » ?

Créez une politique pour bloquer les pièces jointes « confidentielles à l'entreprise » dans le trafic Web :

  • Le moteur Deep Packet Inspection recherche les « confidentiels de l'entreprise » sur les fichiers transférés via http ou https
  • Bloquer le message et informer l'expéditeur que le message est « confidentiel à l'entreprise
  • La bande passante gère le streaming audio et vidéo

L'accès à la vidéo en streaming à partir de sites tels que YouTube.com est parfois utile mais est souvent abusé. Le blocage de ces sites peut fonctionner, mais une approche préférable consiste à limiter la bande passante totale accordée au streaming vidéo, quelle que soit sa provenance. Cela s'applique également aux sites de streaming audio tels que les stations de radio musicales en ligne et les services de streaming musical comme Spotify et Apple Music. Ce trafic ne doit pas nécessairement provenir de sites connus mais peut également être hébergé par des blogs. Ainsi, le but est d'identifier ce trafic par ce qu'il est, plutôt par son origine.

Créez une politique pour limiter le streaming audio et vidéo en streaming par liste de signatures prédéfinie

  • Sélectionnez Streaming Video et Streaming Audio comme catégories d'applications
  • Définissez la quantité de bande passante que vous souhaitez allouer à ces catégories d'applications (par exemple, 10 %)
  • Créez une règle qui impose le streaming vidéo et le streaming audio pour consommer un maximum de 10 % de la bande passante pour tout le monde (peut-être à l'exclusion de groupes de services particuliers, tels que ceux du groupe de formation)
  • Facultativement, programmez la règle pour qu'elle soit effective pendant les heures ouvrables standard, mais pas pendant les heures de déjeuner ou après 6 heures
  • Confirmez l'efficacité de votre nouvelle politique avec une visualisation en temps réel en vous connectant à Application Flow Monitor.
«
»