Passer au contenu

Performants et administrés, les nouveaux coupe-feu

Grâce à l’optimisation de certains algorithmes, à la diversification des offres et à l’apparition de technologies de clustering, le coupe-feu ne crée plus nécessairement de goulets d’étranglement.

Désormais, les fournisseurs de coupe-feu se battent moins sur les mérites de leurs algorithmes de filtrage que sur leurs capacités d’administration et d’intégration. Certes, l’optimisation des techniques de filtrage de ces équipements n’améliorait guère les performances. Pour un filtrage IP statique, le ralentissement restait minime. Mais le filtrage au niveau applicatif, plus sécurisant, transformait le coupe-feu en véritable goulet d’étranglement.

Logiciels plus évolutifs, matériels plus robustes

On a donc recherché l’optimisation avec du filtrage dynamique, mis en ?”uvre, par exemple, dans SunScreen, de Sun Microsystems. Check Point Software propose l’inspection des états des connexions applicatives. Une solution performante n’est plus conditionnée par la nature des algorithmes. Sous une forme logicielle, les coupe-feu sont, en principe, évolutifs en fonction de la puissance du serveur sur lequel ils sont installés et du système d’exploitation. Ainsi, Check Point montre que Firewall-1 délivre des débits de 30 à 70 % plus élevés sur Unix ou Linux que sur NT.Les coupe-feu matériels ne pouvant revendiquer une telle capacité d’évolution, les fabricants comme Cisco Systems ou WatchGuard, ont développé une gamme complète d’équipements.En matière de disponibilité, en revanche, les solutions matérielles sont considérées comme plus robustes, car non tributaires des faiblesses du système d’exploitation.

Centraliser l’administration et la supervision

Pour les coupe-feu, la redondance est la règle. Leurs concepteurs ont travaillé sur les mécanismes de clustering. Rainfinity a développé un cluster qui bascule d’un coupe-feu à un autre en cas de défaillance. StoneSoft a lancé StoneBeat pour sécuriser FireWall-1, de Check Point, et montant jusqu’à seize serveurs. Foundry Networks et Radware offrent, respectivement, ServerIron et Fireproof, des équilibreurs de charges apportant possibilité d’évolution et disponibilité aux principaux coupe-feu.Enfin, pour gérer de multiples points d’accès à Internet, la centralisation de la supervision des coupe-feu s’imposera. Un serveur d’administration pour Firewall-1, qui remonte les alertes via des traps SNM, est disponible chez Check Point.Certains éditeurs proposent une supervision de la bande passante et la mise en ?”uvre des politiques d’accès sécurisé. Ainsi, Sygate, avec Sygate Enterprise Network ; et WebTrends, avec Firewall Suite, s’attaquent à la supervision de coupe-feu distribués.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Jacquot