Choisir un firewall adapté à ses besoins

Les firewalls sont depuis de nombreuses années des éléments extrêmement critiques d’une infrastructure d’entreprise. En effet, c’est par eux que transitent la plupart des services de communication ainsi que, dans bien des cas, les données de production. Il existe des dizaines de modèles et de constructeurs différents chacun proposant une gamme de prix très large et il peut être difficile de trouver le meilleur compromis entre performance et prix sans avoir toutes les clés en mains.

firewall1

La problématique de la taille des paquets Avant l’apparition des firewalls NG (Next Generation), les firewalls stateful se contentaient principalement de filtrer les données en analysant l’en-tête des paquets. Si dans ce cas le dimensionnement d’un tel équipement pouvait sembler trivial via une simple estimation de la bande passante nécessaire, il s’avère que tout n’est pas si simple. En effet, la capacité de traitement d’un firewall évolue généralement de façon importante en fonction de la taille des paquets et du type de trafic devant transiter. Il suffit de comparer un trafic de transfert de fichiers FTP (envoyant des blocs de données de grande taille) et de la voix envoyée par un téléphone IP (SIP) pour comprendre que le firewall, pour une période donnée et sachant qu’il doit décoder l’entête MAC-IP-TCP, n’aura pas le même travail à fournir en fonction de l’application dont il doit garantir la communication.

firewall2

Une première solution : IMIX Dans le but de fournir des métriques concrètes, une étude de 2011 a relevé le profil d’utilisation Internet moyen suivant :

firewall3

Grâce à ces informations, le profil suivant a été calculé et est utilisé :

Nombre de parts Longueur de trame
7 64 octets
4 570 octets
1 1518 octets

Il a été nommé IMIX pour « Internet Mix », et il s’agit d’une des valeurs souvent fournies par les constructeurs. Certains d’entre eux proposent en plus des valeurs différenciées pour des paquets de 64, 570 et 1512 octets ce qui permet de s’approcher au plus près de l’utilisation spécifique désirée. Les nouveaux challenges L’arrivée des nouvelles fonctionnalités UTM des firewalls NG a chamboulé toutes les approches habituelles. En effet les solutions de filtrage qui y sont directement intégrées, par exemple Antivirus, URL, ou Antispam, doivent aller plus loin que leurs aïeuls en décodant les données utiles du paquet pour l’analyser.

firewall4

Ces processus touchent à la partie « libre » (non normée) du paquet qui peut donc potentiellement contenir n’importe quelle donnée brute ou flux d’application. Ceci rend impossible l’utilisation d’une ou plusieurs puces accélératrices et c’est ainsi le processeur qui supporte la charge de toutes ces opérations… le temps nécessaire à l’analyse d’un fichier par l’antivirus intégré est définitivement perdu pour les autres services. Cela implique que la bande passante n’est plus la seul métrique dont il faut tenir compte. Le nombre d’utilisateurs concurrents et leurs habitudes de travail doivent également faire partie de l’équation. Le calcul devient donc tellement complexe que très peu de constructeurs proposent un moyen adapté, préférant s’en remettre à l’expérience de ses partenaires pour effectuer cette analyse. Il s’agit bien entendu d’une des forces de KYOS qui vous proposera son expérience pour déterminer le matériel adéquat à chaque situation. Vincent VUILLEMIN, Architecte