Follow Us

Comment dimensionner votre pare-feu

imageByThanTech22 février 2023 0
Comment dimensionner votre pare-feu

Le pare-feu est sans aucun doute l’élément clé de votre réseau, car il assure la surveillance et le contrôle des flux entrants et sortants.

Cependant, un pare-feu sous-dimensionné peut causer plusieurs préjudices, tels que :

  • Des pertes financières
  • Des dysfonctionnements ou des pannes du réseau
  • Des vulnérabilités à des attaques malveillantes

L’installation ou la mise à jour d’un pare-feu au sein de son entreprise ou de son domicile peut être une tâche complexe. Elle nécessite la prise en compte de plusieurs facteurs importants, parmi lesquels les suivants :

1. Session maximum (session simultanée)

La session maximum, également appelée nombre maximum de sessions simultanées, est une mesure de la capacité d’un pare-feu à gérer le nombre de sessions ouvertes en même temps. Elle indique le nombre maximal de connexions réseau que le pare-feu peut traiter simultanément.

Le nombre maximum de sessions simultanées dépend de plusieurs facteurs, tels que la puissance de traitement du pare-feu, la quantité de mémoire vive (RAM) disponible, la complexité des règles de pare-feu et le type de trafic réseau.

Les sessions simultanées sont importantes car elles déterminent la capacité du pare-feu à gérer le trafic réseau entrant et sortant de manière efficace, en permettant une utilisation fluide du réseau tout en protégeant contre les menaces potentielles. Si le nombre de sessions simultanées est trop faible, cela peut entraîner une baisse des performances du réseau, des retards dans les connexions et des temps d’arrêt.

Les pare-feux modernes ont une capacité de sessions simultanées très élevée, souvent de l’ordre de plusieurs milliers, voire de plusieurs dizaines de milliers de sessions simultanées, en fonction de la configuration matérielle et logicielle du pare-feu. Cependant, pour les environnements de réseau très exigeants, il peut être nécessaire d’utiliser des pare-feux plus puissants pour garantir une protection efficace tout en maintenant des performances optimales, avec une capacité de sessions simultanées plus élevée.

2. NG-FW

Les fonctionnalités NGFW incluent IPS, l’identification des applications, l’antivirus/anti-malware, le filtrage web, ainsi que de nombreuses autres options. Chaque activation de ces fonctionnalités peut avoir un impact sur les performances du pare-feu. Selon un rapport de NSS, certains vendeurs ont vu leur performance chuter jusqu’à 80% lors de l’activation de l’IPS et de l’identification des applications, sans même inclure d’autres fonctionnalités telles que l’antivirus, la prévention de la perte de données (DLP) et d’autres. Votre première étape consiste à choisir quelles fonctionnalités doivent être activées ou prévues pour être implémentées sur votre pare-feu. Ensuite, vous devez déterminer où ces fonctionnalités doivent être activées sur votre réseau. Par exemple, si vous choisissez d’activer le filtrage web, il ne doit être activé que sur votre trafic web sortant. Les chiffres fournis par les vendeurs peuvent parfois être trompeurs, car ils peuvent fournir des chiffres en ayant activé plusieurs fonctionnalités à la fois. Il est important de bien vérifier ces chiffres avant de faire votre choix. Lors de la comparaison des pare-feux, il est important de regarder le type de trafic et la taille des paquets utilisés lors des tests effectués par le vendeur.

3. SSL/TLS

Selon Google, plus de 70% des pages qui sont chargées avec Chrome utilisent le protocole SSL (Secure Socket Layer) ou TLS. Ce pourcentage d’utilisation ne cesse d’augmenter au fil des années. L’inspection SSL est devenue un standard pour tous types de réseaux, l’inspection SSL sur les pare-feux se présente sous deux visages :

  • Certificat seulement : La vérification de certificat regarde seulement le handshake SSL et ne requiert pas une grande performance de la part du pare-feu car elle ne nécessite pas d’analyser le contenu du paquet.
  • Deep Packet Inspection (DPI) : Le DPI joue le rôle d’un médiateur entre l’utilisateur et le serveur, mais il peut grandement impacter les ressources du pare-feu. Lorsque vous choisissez un pare-feu, il est important de prendre en compte la suite logicielle de chiffrement et la taille du paquet utilisé lors des tests. Il est important de noter que tous les tests SSL ne sont pas effectués de la même manière et que certains fabricants peuvent utiliser des chiffrements faibles et de gros paquets afin d’afficher des résultats impressionnants qui ne sont pas représentatifs de l’utilisation quotidienne.

4. Débit total

Lors du dimensionnement d’un pare-feu, l’erreur la plus courante consiste à examiner uniquement le débit total de la couche 4, sans tenir compte du trafic dans toutes les directions. Par exemple, pour un circuit symétrique de 1 Gb, le débit est généralement de 1 Gb en téléchargement et 1 Gb en upload. Cela signifie qu’en cas de saturation complète du circuit, vous pouvez avoir jusqu’à 2 Gb de débit théorique passant par votre pare-feu. N’oubliez pas non plus le trafic interne, tel que les utilisateurs WiFi accédant à votre serveur DNS ou les utilisateurs internes accédant à votre portail interne. Un réseau bien construit doit être segmenté en différents réseaux, ce qui signifie que tout le trafic destiné vers l’extérieur atteindra la politique de sécurité du pare-feu et sera pris en compte dans le calcul du débit. Lorsque vous regardez le type de trafic utilisé par votre constructeur pour le calcul du débit annoncé, gardez à l’esprit que la plupart des constructeurs communiqueront sur du trafic UDP avec de grandes tailles de paquets, plutôt que du TCP, car cela fournit un meilleur débit. Toutefois, dans le monde réel, la majorité du trafic est constituée en grande partie de TCP, ce qui signifie que le débit annoncé par le constructeur sera bien moins important.

5. Connexion par seconde (CPS)

Le CPS, ou nouvelle connexion par seconde, correspond à la vitesse à laquelle un pare-feu peut créer et enregistrer de nouvelles sessions conformément à une politique de sécurité donnée. Pour les administrateurs de pare-feu travaillant pour un opérateur, la sélection du CPS peut s’avérer complexe. Dans ce cas, la méthode la plus simple pour dimensionner un pare-feu est de se baser sur celui déjà en place, si possible. Si cette information n’est pas disponible ou si vous ne pouvez pas l’obtenir, il existe une technique alternative.

  • Déterminez le nombre d’utilisateurs présents sur votre réseau en comptabilisant l’ensemble des utilisateurs actifs.
  • En parallèle, identifiez le nombre d’appareils ne disposant pas d’utilisateurs actifs, tels que des objets connectés (IoT), des serveurs, des imprimantes, des téléphones IP ou tout autre équipement dépourvu d’utilisateur.
  • Nous pouvons supposer qu’un utilisateur moyen établit entre 3 à 7 connexions par seconde, tandis qu’un appareil sans utilisateur établit entre 1 et 2 connexions par seconde.

Conclusion

La sécurité dans les entreprises doit être considérée comme une priorité absolue, sans compromis, afin d’assurer une continuité optimale des activités. Un pare-feu inadapté en termes de capacité peut avoir des répercussions sur la disponibilité et la continuité des activités. Il est donc crucial de choisir le pare-feu adéquat pour votre organisation, afin de prévenir les attaques et éviter toute mauvaise surprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Than Tech
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.