Vous êtes sur la page 1sur 12

.

Livre Blanc

10

choses

que votre prochain


firewall doit faire.

avec

MIEL . LIVRE BLANC

Introduction
La question dapporter du contrle et de la visibilit des applications dans la scurit rseau
sest rcemment beaucoup pose. La raison est vidente : les applications peuvent
facilement contourner les firewalls classiques bass sur les ports et les employs utilisent
toutes les applications possibles leur permettant deffectuer leur tche. Ils sont de fait
souvent indiffrents aux risques quils font prendre lentreprise.

La grande majorit des diteurs de scurit rseau saccordent sur le fait que le contrle des applications prend
une part centrale dans la scurit. Alors que le firewall de nouvelle gnration (Next Generation FireWall:
NGFW) est bien dfini par Gartner comme un lment nouveau, concentr sur lentreprise et distinct du firewall
classique, de nombreux diteurs de scurit prsentent le NGFW comme un sous-ensemble de fonctions quils
proposent dj ( UTM, IPS). La plupart des vendeurs de scurit rseau essaient de fournir de la visibilit et du
contrle applicatifs en utilisant un nombre limit de signatures dapplications supportes dans leur IPS ou dans
une base de donnes externe. La ralit derrire cette faade est que ces fonctions sont faiblement intgres et
que leurs produits sont encore bass sur une technologie classique de blocage de port et non pas sur la
technologie NGFW.

Encore plus important, ces gens ratent lessentiel : il ne sagit pas de bloquer des applications, mais de scuriser
leur utilisation. En fait, les produits proposs par les diteurs traditionnels ignorent pour beaucoup ce que les
entreprises font aujourdhui des applications elles sont l pour faire tourner lentreprise et par consquent,
les entreprises ont besoin de sassurer quelles sexcutent en toute scurit. Il est vident quun firewall de
nouvelle gnration reprsente une classe de produits diffrente et rvolutionnaire, mais la demande venant des
entreprises pour ce type de produit est tellement forte que les acteurs traditionnels de la scurit se servent de
cet intrt et essaient de faire diversion en tentant de ressembler un firewall de nouvelle gnration.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Dfinition : Le firewall de nouvelle gnration


Pour une entreprise la recherche dun firewall nouvelle gnration, la considration la plus
importante est : cette technologie permettra-t-elle aux administrateurs de scuriser
lutilisation de toutes les applications de lentreprise ? Voici un florilge de questions cls
se poser :

La visibilit et la comprhension des applications sera-t-elle suprieure ?


Les options de contrle du trafic iront-elle au-del du simplissime autoriser/bloquer ?
Les menaces seront-elles bloques ?
Le compromis entre les performances et la scurit sera-t-il enfin limin ?
Les cots seront-ils rduits ?
La gestion des risques sera-t-elle simplifie ?

Si les rponses aux questions ci dessus sont oui alors la transition vers un firewall nouvelle gnration est
facile justifier.
Il existe des diffrences substantielles ente des NGFWs et des produits de type UTM en termes dentreprises
cibles, ainsi quen termes darchitecture et de modle de scurit. Ces diffrences ont un impact crucial sur les
proprits, les fonctions, la production et les performances, comme nous le montrons dans la section suivante.

5 exigences (Dfinition du Gartner dans Defining The Next Generation Firewall)

Identifier les
applications
indpendamment
du port, du
protocole, du
chiffrement SSL ou
toute autre
technique
d'vasion

Identifier les
utilisateurs
indpendamment
de leur adresse IP

et

Protger en temps
rel contre les
menaces
embarques dans
les applications

Visibilit et
contrle des rgles
granulaires sur
l'accs aux
applications et
leurs
fonctionnalits

Dploiement en
ligne multigigabits, sans
dgradation de
performance

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Architecture et modle de scurit : La meilleure


classification du trafic se fait dans le firewall.
En concevant les firewalls de nouvelle gnration, les diteurs de scurit ont forcment une des deux
approches suivantes:
Faire lidentification des applications dans le firewall, qui devient alors le moteur primaire de
classification.
Ajouter des signatures dapplication un IPS ou un moteur de recherche de type IPS qui est ensuite
ajout un firewall bas sur les ports.

Les deux peuvent reconnaitre les applications mais diffrent beaucoup dans la qualit de
reconnaissance, la facilit dutilisation et la pertinence. Plus important : ces approches
architecturales imposent un modle de scurit spcifique concernant lapplication des
rgles : Soit positif (bloquer par dfaut), soit ngatif (autoriser par dfaut).

Les firewalls utilisent un modle de scurit positif. Un autre terme employ est default deny : blocage par
dfaut. Ce qui signifie que les administrateurs crivent des rgles pour AUTORISER un trafic (id. autoriser
WebEx) et tout le reste est alors refus ou bloqu. Les rgles ngatives (id. Bloquer Limewire) peuvent tre
utilises dans ce modle, mais le point le plus important est que la fin dune rgle dans un modle de scurit
positif soit toujours : refuser tout le reste. Une implication cl de cette approche est que tout trafic doit tre
classifi afin que lon soit certain dautoriser le bon trafic. Ainsi la visibilit du trafic est simple et complte. Les
rgles activent les applications. Une consquence fondamentale de cette approche est que tout trafic inconnu est
bloqu par dfaut. En dautres termes, le meilleur firewall de nouvelle gnration est un firewall...
Les IPS (Intrusion Prevention Systems) utilisent typiquement un modle de scurit ngatif, qui autorise par
dfaut. Ceci signifie que lIPS identifie et bloque un trafic spcifique (traditionnellement les menaces) et tout le
reste passe. Les diteurs de scurit rseau traditionnels ajoutent des signatures dapplications un moteur de
style IPS et les mlangent un firewall classique bas sur le port. Le rsultat est un APS, Application
Prevention System : le contrle de lapplication se fait sur un modle de scurit ngatif en dautres mots, ca
ne se passe pas dans le firewall. La consquence ? On ne voit que le trafic quon cherche expressment et le
trafic inconnu est autoris par dfaut.
Alors que ce document sattache aux 10 choses que votre prochain firewall doit faire, il est important davoir en
tte les considrations darchitecture et de modle voques ci-dessus. Elles sont en effet ncessaires pour
comprendre les diffrentes fonctions des divers produits du march et leur capacit fournir ces fonctions.
Les 10 choses voques ci-dessous regroupent les besoins et exigences spcifiques de milliers dquipes de
scurit avec lesquelles Palo Alto Networks a t en contact depuis 2007 au sujet des firewalls de nouvelle
gnration. Il sagit dexemples du monde rel de besoins clients permettant de rendre la scurisation des
rseaux plus pratique, plus efficace et plus simple. Rien voir avec du buzz marketing.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

Les 10 choses que votre prochain firewall (de nouvelle


gnration) doit faire
Il existe trois zones de rflexion: les fonctions de scurit, loprationnel, et la performance.
Les fonctions de scurit correspondent lefficacit des contrles et la capacit grer
les risques associs au trafic rseau. Dun point de vue oprationnel, la grande question est
o se passe lapplication des rgles, et quel est le niveau de complexit de
ladministration? . La rflexion sur les performances est simple : le firewall est-il capable de
faire ce quil est cens faire au dbit o il est suppos le faire ? Les dix choses que votre
prochain firewall (de nouvelle gnration) doit faire sont :

1
Votre prochain firewall doit identifier et contrler les applications sur nimporte quel
port, pas seulement les ports standard (y compris les applications utilisant http ou
dautres protocoles).
Cas Client : les dveloppeurs de lentreprise ne travaillent plus sur le modle standard port/protocole/application.
De plus en plus dapplications sont capables doprer sur des ports non standards ou peuvent changer
dynamiquement de port (id. la messagerie instantane, le partage de fichiers peer-to-peer, ou la VoIP). De plus,
les utilisateurs sont aujourdhui de plus en plus capables dutiliser des mthodes pour forcer les applications
fonctionner sur des ports non standards (id. MS RDP, SSH). Afin dappliquer des rgles spcifiques aux
applications alors que les ports utiliss sont de moins en moins significatifs, vous devez supposer que nimporte
quelles application peut utiliser nimporte quel port. Cest un de ces changements technologiques fondamentaux
qui ont fait du NGFW une absolue ncessit. Cest aussi ce qui a rendu obsolte le contrle positif bas sur les
ports des firewalls traditionnels. Ce point souligne galement pourquoi un modle de contrle ngatif ne peut pas
rsoudre le problme. Si une application peut passer par nimporte quel port, un produit bas sur un contrle
ngatif devra faire fonctionner toutes les signatures sur des dizaines de milliers de ports !
Besoin : Il est simple dans ce cas. Si nimporte quelle application peut fonctionner sur nimporte quel port, votre
prochain firewall doit classifier le trafic par application, sur tous les ports, tout le temps (voir points 4 et 7). Dans
le cas contraire, les contrles de scurit continueront tre tromps par les mmes techniques qui ont eu cours
pendant des annes.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

2
Votre prochain firewall doit identifier les techniques dvasion et les
contournements : proxy, accs distant, applications dans un tunnel chiffr.
Cas client : Toutes les socits ou presque ont une politique de scurit et des contrles mis en place pour
appliquer cette politique. Les applications qui rebondissent sur des proxys, les applications daccs distant, et
celles qui utilisent des tunnels chiffrs sont prcisment utilises pour contourner les points de contrles que sont
les firewalls, le filtrage URL, les IPS et les passerelles web scurises. Sans la capacit contrler ces
techniques dvasion, les rgles de scurit ne peuvent tre appliques, et les socits sexposent des risques
dont elles pensaient tre labri. Plus prcisment, ces applications ne sont pas toutes de mme valeur : les
applications daccs distant ont des utilisations lgitimes, tout comme certaines applications qui passent dans des
tunnels chiffrs. Par contre, les proxys anonymes externes qui communiquent avec SSL ou travers des ports
choisis au hasard ainsi que des applications comme Ultrasurf ou Tor nont quun seul objectif : contourner les
contrles de scurit.
Besoins : Plusieurs types dapplications de contournement svissent, chacune utilisant des techniques
lgrement diffrentes. Il existe des proxys externes publics et privs. (Voir proxy.org pour une base largie de
proxys publics). Ces proxys utilisent la fois HTTP et HTTPS. Les proxys privs sont souvent installs avec des
adresses IP non classifies (id. PC domestiques) et utilisent des applications comme PHProxy ou CGIProxy. Les
applications daccs distants comme MS RDP ou GoToMyPC peuvent avoir une utilisation lgitime mais doivent
tre grs cause des risques associs leur utilisation. Les applications de masquage comme Ultrasurf, Tor
ou Hamachi, elles, nont pas dutilisation professionnelle. Il y a aussi videmment des applications de ce type qui
sont inconnues : voir la partie 6 plus bas dans ce cas. Quelle que soit la politique choisie, votre prochain firewall
doit avoir des techniques spcifiques pour grer toute ces applications indpendamment du port, du protocole, du
chiffrement ou de toute autre technique dvasion. Une considration supplmentaire : ces applications sont
rgulirement mises jour pour les rendre encore plus difficiles dtecter. Cest pourquoi il est important de
comprendre que votre prochain firewall doit non seulement tre capable didentifier ces applications mais aussi
que son intelligence applicative doit tre constamment maintenue et mise jour.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

3
Votre prochain firewall doit dchiffrer les flux SSL sortants
Cas client : Aujourdhui, plus de 15% du trafic rseau est chiffr par SSL (selon une tude effectue sur des
chantillons de trafic rseau de plus de 2400 entreprises : voir le rapport intitul Palo Alto Networks Application
Usage and Risk Report pour plus de dtails). Dans certains secteurs (la finance notamment), cest plus de 50%.
Etant donn lutilisation de plus en plus frquente de HTTPS pour des applications succs mais hauts risque
comme Gmail ou Facebook , et la possibilit quoffre le chiffrement de forcer laccs de nombreux sites web, les
quipes scurit ont un angle mort qui sagrandira toujours plus si elles ne sont pas en mesure de dchiffrer,
classifier, contrler et scanner le trafic SSL. Bien sr, un NGFW doit tre suffisamment flexible pour que certains
types de flux chiffrs par SSL ne soient pas traits. Cest souvent le cas par exemple pour les services financiers
ou les organisations mdicales. A linverse, dautres types de flux comme du SSL sur des ports non standard ou
en provenance de sites web non classifis en Europe de lest doivent tre dchiffrs par des rgles.
Besoins : la capacit dchiffrer le trafic SSL sortant est un lment fondateur, non seulement parce que cela
reprsente une partie du trafic de plus en plus importante, mais aussi parce que cest ncessaire pour utiliser
dautres fonctions cls par la suite (Contrler les contournements - n2, contrle des fonctions des applications n4, scanner les applications autorises - n5, et contrler des applications partageant la mme connexion - n7).
Il faut donc considrer un certain nombre dlments cls : la reconnaissance et le dchiffrement de SSL sur
nimporte quel port, le dchiffrement soumis des rgles, et les lments matriels et logiciels ncessaires pour
dchiffrer des milliers de connexions SSL simultanment sans dgradation de performance haut dbit.

4
Votre prochain firewall doit permettre un contrle des diffrentes fonctions dune
mme application (ex. : SharePoint Admin face SharePoint Docs)
Cas client : De nombreuses applications ont en elles plusieurs fonctions nettement distinctes, qui de fait nont pas
le mme profil de risque ni la mme valeur pour lactivit de lentreprise. Citons entre autres exemples WebEx
face WebEx Desktop Sharing, Yahoo Instant Messaging face la fonction incluse de transfert de fichier, et
Gmail face lenvoi de pices jointes. Dans les environnements rguls ou dans les socits dont lactivit
repose sur la proprit intellectuelle, ce problme est significatif.
Besoins : une classification continue et une comprhension granulaire de chaque application. Votre prochain
firewall doit continuellement valuer le trafic et scruter les changements si une nouvelle fonction est introduite
pendant la session, le firewall doit noter le changement et effectuer une vrification de rgle. Diffrencier les
diffrentes fonctions dune mme application et les diffrents risques associs est tout aussi important.
Malheureusement, pour des raisons de performance, de nombreux firewalls classifie le trafic une fois au dbut de
la session, puis laisse passer tout le reste sans regarder nouveau (on parle de fast path). Cette mthode date
davant lavnement des applications modernes et empche les firewalls classiques qui datent de la mme
poque de rpondre ces besoins.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

5
Votre prochain firewall doit dtecter les menaces dans les applications
collaboratives autorises (ex. : SharePoint, Box.net, MS Office Online...)
Cas client : les entreprises optent de plus en plus pour des applications collaboratives hberges lextrieur de
leur emplacement physique. Que ce soient des applications hberges comme SharePoint, Box.net, Google
Docs, ou Microsoft Office Live, ou une application extranet hberge par un partenaire, de nombreuses
entreprises doivent utiliser une application qui partage des fichiers ce qui reprsente un vecteur de menaces
haut risque. De nombreux documents infects se situent dans des applications collaboratives, et coexistent avec
des documents contenant des informations sensibles (id. des donnes personnelles clients). De plus, certaines
de ces applications comme SharePoint, par exemple, reposent sur des technologies qui sont des cibles
rgulires dinfections et dintrusions (IIS, SQL Server). Bloquer lapplication nest pas appropri, mais autoriser
une menace ne lest pas non plus.
Besoins : Une composante importante de la scurisation des applications est dautoriser une application mais de
scanner la prsence de menaces. Ces applications peuvent communiquer grce une combinaison diverse de
protocoles (id., SharePoint HTTPS et CIFS, voir le cas n3), et requirent une rgle beaucoup plus
sophistique que bloquer lapplication . La premire tape est didentifier lapplication (indpendamment du
port ou du chiffrement), lautoriser, puis de scanner tout type de menace potentielle : vulnrabilits,
virus/malware, spyware ou mme une donne confidentielle sensible.

6
Votre prochain firewall doit grer le trafic inconnu avec des rgles et ne pas
simplement les laisser passer
Cas client : Il y aura toujours un trafic qui nest pas connu et il reprsentera toujours un risque significatif pour
toute entreprise. Deux lments principaux sont considrer concernant le trafic inconnu : dabord le minimiser
en caractrisant les applications propritaires de manire ce quelles deviennent connues, puis avoir une
visibilit et des rgles de contrle prvisibles sur le trafic qui reste inconnu.
Besoins : dabord, par dfaut, votre prochain firewall doit essayer de classifier tout le trafic : sur ce point, la
discussion prcdente sur larchitecture et la scurit prend tout son sens. Les modles positifs (default deny)
classifient tout, les modles ngatifs (default allow) ne classifient que ce quon leur demande de classifier.
Deuximement, concernant les applications propritaires, il devrait toujours y avoir un moyen de dvelopper un
identifiant sur mesure pour que le trafic soit comptabilis comme connu . Troisimement, le modle de
scurit change radicalement la donne : un modle positif (default deny) peut refuser tout le trafic inconnu, et ce
que vous ne connaissez pas ne vous menace pas. Un modle ngatif (default allow) autorise tout le trafic
inconnu, et ce que vous ne connaissez pas peut vous menacer. Par exemple, de nombreux botnets vont utiliser
le port 53 (DNS) pour la communication retour vers leurs serveurs de contrle. Si votre prochain firewall na pas
la capacit voir et contrler le trafic inconnu, les bots pourront traverser librement.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

7
Votre prochain firewall doit identifier et contrler les applications partageant une
mme connexion
Cas client : les applications partagent les sessions. Pour sassurer que les utilisateurs utilisent en permanence
une plateforme applicative, que ce soit Google, Facebook, Microsoft, Salesforce, LinkedIn, ou Yahoo !, les
dveloppeurs intgrent de nombreuses applications diffrentes qui ont des profils de risque diffrents et une
valeur diffrente pour lentreprise. Regardons notre exemple prcdent de Gmail : cette application a la
possibilit de lancer une session Google Talk depuis linterface Gmail. Ces deux applications sont
fondamentalement diffrentes, et votre prochain firewall doit les distinguer pour appliquer chacune la rgle
approprie.
Besoins : Une simple classification de la plateforme ou du site web ne fonctionne pas. En dautres termes, le
fast path nest pas une option : une classification une fois pour toutes ignore le fait que des applications
diffrentes peuvent partager une mme session. Il faut en fait continuellement valuer le trafic pour comprendre
lapplication et ses changements (voir n5), dtecter quand lutilisateur change dapplication dans sa session et
appliquer alors les contrles appropris. Regardons brivement notre exemple Gmail/Google Talk : Gmail utilise
par dfaut HTTPS (voir n3). Donc la premire tape est de dchiffrer, puis de dtecter lapplication. Cependant
ce mcanisme doit tre constant car nimporte quel moment, lutilisateur peut dmarrer un chat qui est alors
classifi diffremment et peut tre soumis une rgle totalement diffrente.

8
Votre prochain firewall doit disposer du mme contrle et de la mme visibilit sur
les utilisateurs distants que sur les utilisateurs internes
Cas client: Les utilisateurs se trouvent de plus en plus hors des murs de lentreprise. Outre les nomades, une part
significative du personnel travaille distance. Depuis un caf, le domicile ou un site client, les utilisateurs
sattendent pouvoir se connecter leurs applications par Wifi, large bande ou tout autre moyen ncessaire.
Quel que soit lemplacement de lutilisateur ou mme celui de lapplication quils utilisent, le mme standard de
contrle devrait sappliquer. Si votre prochain firewall permet la visibilit et le contrle du trafic entre les 4 murs de
lentreprise, mais pas lextrieur, il rate les flux parmi les plus gnrateurs de risques.
Besoins : conceptuellement, cest simple : votre prochain firewall doit avoir une visibilit et un contrle constant
sur le trafic, que lutilisateur soit lintrieur ou lextrieur du rseau. Il ne sagit pas de dire que les entreprises
auront exactement les mmes rgles pour les 2 types dutilisateur. Certaines socits peuvent vouloir que leurs
employs utilisent Skype lorsquils sont en dplacement, mais pas lintrieur du sige. En revanche dautres
pourraient avoir une rgle qui dit que lorsque les utilisateurs sont hors rseau, ils ne peuvent tlcharger les
documents de salesforce.com moins que le chiffrement du disque dur soit activ. Bien sr, votre prochain
firewall doit tre capable de faire cela sans introduire de latence pour lutilisateur final, sans que ladministrateur
soit inutilement ou trop sollicit et sans cot supplmentaire significatif.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

10

9
Votre prochain firewall doit simplifier la scurit rseau. Pouvoir contrler les
applications ne doit pas ajouter de complexit.
Cas client : de nombreuses entreprises luttent contre lajout dinformations, de rgles et dinterfaces
dadministration pour des administrateurs et des processus de scurit dj totalement surchargs. Si les
quipes ne peuvent grer ce quelles ont dj, ajouter des rgles, des informations et de ladministration naidera
pas du tout. De plus, plus la rge est distribue, plus elle est difficile grer (le firewall bas sur le port autorise le
port 80, lIPS regarde/bloque les menaces et les applications, la passerelle web scurise applique le filtrage
URL). O les administrateurs doivent-ils aller pour autoriser Webex ? Comment grent-ils les conflits de rgles
travers ces diffrents matriels? Ceci tant dit, certaines installations de firewall bas sur le port comportent des
milliers de rgles, ajoutant des milliers de signatures dapplication chacun des dizaines de milliers de ports (voir
n3 ci-dessus). Dans ce cas, la complexit est dcuple.
Besoins : la rgle de firewall doit tre base sur lutilisateur et lapplication. Lanalyse de contenu qui en rsulte
nest alors active que pour le trafic autoris. Leffet de simplification peut tre significatif. Une rgle de firewall
base sur le port et ladresse IP, suivi dune analyse pour comprendre lapplication, rend les choses nettement
plus compliques quelles ne le seraient au sein du firewall nouvelle gnration.

10
Votre prochain firewall doit fournir le mme dbit et les mmes performances
malgr l'activation de tous les contrles applicatifs
Cas client : nombre dentreprises doivent faire un compromis insatisfaisant entre les performances et la scurit.
Trop souvent, lactivation de toutes les protections signifie un effondrement des performances. Si votre firewall de
nouvelle gnration est conu de la bonne manire, le compromis nest pas ncessaire.
Besoins : l aussi, limportance de larchitecture est vidente, mais dune autre manire. Associer un firewall bas
sur les ports avec dautres fonctions de scurit dorigines technologiques diffrentes signifie quil y aura
forcment des redondances dans les couches de traitement rseau, dans les moteurs de scan et dans les rgles.
Les performances sen trouvent forcment fortement rduites. Dun point de vue logiciel, le firewall de nouvelle
gnration doit tre conu la base pour ses fonctions. De plus, les tches exiges comme par exemple
lidentification des applications sont particulirement consommatrices de ressources. Si on y ajoute le fait quelles
doivent seffectuer sur des hauts dbits et avec une faible tolrance la latence, il apparait ncessaire que la
partie matrielle doive galement tre conue spcifiquement dans cet objectif. La plateforme doit traiter
spcifiquement et de manire distincte le rseau, la scurit (incluant la terminaison SSL- voir n3) et le scanning
du contenu.

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

11

Conclusion :
Votre prochain firewall doit scuriser les applications
et lentreprise.
Les utilisateurs adoptent continuellement de nouvelles applications et technologies, et les
menaces qui vont avec. Pour beaucoup dentreprises, restreindre ladoption de ces nouvelles
technologies freine leur dveloppement. Pouvoir utiliser une application donne est parfois
une ncessit pour effectuer une tche ou gagner en productivit. La consquence ? La
scurisation des applications plutt que leur blocage devient la bonne rgle appliquer. Mais
pour cela, les quipes de scurit doivent mettre en place la structure qui va dfinir les
bonnes rgles et les contrles qui les activeront.

Les 10 choses dcrites ci dessus sont les fonctions critiques permettant la mise en place des
contrles ncessaires dans un environnement toujours plus riche en applications et en
menaces. Sans linfrastructure de scurit capable de faire face cette varit et cette
dynamique, il est impossible de scuriser les applications ncessaires et de grer les risques
pour lentreprise.

Les 10 choses
1

10

Identifier et contrler les applications sur n'importe quel port


Identifier et contrler les trafics d'vasion et de contournement
Dchiffrer le trafic SSL sortant
Fournir un contrle des applications par fonction

Dtecter les virus et les malwares dans les applications collaboratives autorises
Grer le trafic inconnu avec des rgles
Identifier et contrler les applications qui partagent la mme connexion
Permettre la mme visibilit et le mme contrle pour les utilisateurs distants
Simplifier l'infrastructure de scurit. Que l'addition du contrle des applications n'ajoute pas de complexit
Fournir le mme dbit et les mmes performances malgr l'activation de tous les contrles applicatifs

et

vous proposent le pare-feu de nouvelle gnration

MIEL . LIVRE BLANC

12

Traduit de langlais. Avril 2011.

A propos de Palo Alto Networks


Palo Alto Networks a t fonde en 2005 par le visionnaire de la scurit, Nir Zuk, avec pour mission de rinventer le pare-feu afin quil soit de nouveau lquipement le plus stratgique dans le dispositif de scurit dun
rseau d'entreprise.
Son conseil d'administration et son quipe de direction sont constitus danciens dirigeants et/ou fondateurs
parmi les plus importantes socits de scurit rseau et technologies connexes, incluant l'invention du Stateful
Inspection, les matriels de scurit et de prvention d'intrusion.
Quant son quipe de recherche et dveloppement, elle a fait la preuve de ses comptences dans des fonctions
similaires dans des entreprises telles que Check Point, Cisco, NetScreen, McAfee, Juniper Networks et d'autres.
La socit a commenc distribuer sa famille de Nouvelle gnration de pare-feu en 2007 et a install cette
solution dans des centaines d'entreprises et organisations du monde entier, y compris de nombreuses entreprises
classes Fortune 500 et compte ce jour plus de 1200 clients actifs dans le Monde.
Palo Alto Networks a ouvert des bureaux de vente rpartis en Amrique du Nord, Europe, Asie-Pacifique, et au
Japon, et commercialise ses pare-feu par l'intermdiaire d'un rseau mondial de distributeurs et de revendeurs.

A propos de Miel
Depuis 1985, Miel dcouvre et distribue en France les nouvelles technologies pour l'informatique des entreprises
dans les domaines des rseaux, des systmes, de la scurit et de l'informatique industrielle. Ses ingnieurs
s'appuient sur un rseau de partenaires intgrateurs pour diffuser ces produits sur le march.
APPELEZ LE 01 60 19 34 52

et

vous proposent le pare-feu de nouvelle gnration