Qu'est-ce que la conception de pare-feu ?

Qu'est-ce que la conception de pare-feu ?

La conception de pare-feu désigne les décisions globales d'une entreprise en matière de stratégie de sécurité, notamment quelles fonctionnalités de pare-feu utiliser, où l'appliquer et, enfin, comment le configurer.

Checklist pour concevoir un pare-feu

 

 

Comment fonctionne la conception de pare-feu ?

Les cinq étapes séquentielles à suivre pour concevoir un pare-feu sont :

  1. Identifier les besoins de l'entreprise en matière de sécurité. Évaluer les exigences de sécurité, déterminer la posture de sécurité et utiliser ces informations pour définir les exigences de sécurité.
  2. Définir une stratégie globale de sécurité. Afin de bien définir la stratégie de sécurité, il est important de prendre en compte les ressources réseau, les stratégies d'accès et les contrôles des autorisations pour s'assurer que le pare-feu répond à toutes les exigences de sécurité.
  3. Définir une philosophie de pare-feu. Identifier les ressources, les applications et les services à protéger contre les menaces extérieures à l'entreprise et les attaques internes facilite la définition et la configuration du pare-feu.
  4. Identifier les communications autorisées. Définir une stratégie d'utilisation acceptable pour spécifier les types d'activités réseau, notamment les applications autorisées ou interdites sur le réseau local, ainsi que les services Web.
  5. Identifier les points d'application du pare-feu. Il est fondamental de définir les points d'application pour concevoir un pare-feu. Les pare-feu sont couramment déployés à la périphérie, entre le réseau local privé et un réseau public, notamment Internet.

Pour vous protégez, développez un profil de référence du trafic réseau qui identifie les schémas correspondant à un trafic normal. Définir une référence permet de mesurer les comportements irréguliers, puis de définir des seuils afin de se prémunir contre les attaques.

Problèmes résolus par la conception de pare-feu

La technologie de pare-feu a évolué, passant des pare-feu filtres de paquets aux pare-feu nouvelle génération. De nouveaux services et solutions ont émergé pour faire face à la complexité du cyber-environnement, protéger les ressources et empêcher les cyber-attaquants de franchir le pare-feu à des fins malveillantes. Déployer un pare-feu efficace pour le réseau implique bien plus qu'une simple configuration. Les meilleures pratiques contribuent à élaborer une stratégie de sécurité, en améliorant la conception de pare-feu et le processus de configuration, et en déployant un pare-feu qui répond aux exigences de sécurité du réseau.

Quel est l'intérêt de la conception de pare-feu ?

Les meilleures pratiques recommandent de caractériser le réseau, de documenter la posture de sécurité et de définir le positionnement de l'entreprise en matière de sécurité.

  • Identifier les ressources réseau et les exigences de sécurité.
  • Identifier les menaces connues et les façons de répondre aux attaques.
  • Documenter les systèmes d'exploitation, les versions et les applications.
  • Définir le flux de travail de l'entreprise pour les communications autorisées, les droits d'accès basés sur les rôles des employés et les exigences des utilisateurs.
  • Déterminer les points d'application du pare-feu : déployer un pare-feu pour protéger la périphérie (pare-feu Internet), le système central (pare-feu d'entreprise) ou la DMZ (première ligne de défense)
  • Concevez le pare-feu dans une démarche de simplicité.

Pour vous protégez, développez un profil de référence du trafic réseau qui identifie les schémas correspondant à un trafic normal. Définir une référence permet de mesurer les comportements irréguliers, puis de définir des seuils afin de se prémunir contre les attaques.

Implémentation de Juniper Networks

Les équipements SRX Series de Juniper Networks intègrent des services de sécurité, de conception et de déploiement simplifié de pare-feu. Ils permettent de concevoir des stratégies pour l'entreprise et de créer des zones spécifiques aux exigences fonctionnelles, en séparant par exemple les groupes d'utilisateurs des serveurs ou en les regroupant dans des zones en fonction de leur sous-réseau.