Vous êtes sur la page 1sur 49

SCURIT IT

Slectionnez et pondrez les critres suivants en fonction de votre pro

1. Descriptif du projet
1.1. Etude de lexistant
1.1.1. Schma architecture
Dcrivez lorganisation gnrale de linfrastructure IT :

1.1.2. Elments de volumtrie


Combien de sites seront concerns par ce projet de scurisation rseau ?

Combien de postes de travail sont connects au(x) rseau(x) ?

Hbergez-vous des serveurs applicatifs ?


Oui
Non
Si oui, combien ?

Quel est le parc informatique nomade ? Combien y a-t-il de connexions simultanes ?

Quels sont les paramtres de dbit des connexions ?

1.1.3. Equipements actuels en matire de scurit


Dcrivez larchitecture du systme de scurit informatique en place :

Quels sont les quipements et les fonctionnalits en uvre actuellement, destins assurer la scurit du systm

1.2. Evolutions souhaites


1.2.1. Architecture cible
Quelles volutions de larchitecture scurit sont prvues ? Quelles autres volutions sont prvues ?

1.2.2. Utilisation de nouvelles fonctionnalits :


Quelles nouvelles fonctionnalits souhaitez-vous mettre en place ?
Solutions de Scurit Unifies (UTM)
Filtrage URLs
Pare-feu / Firewall IPS
Rseau Priv Virtuel (VPN)
Anti-virus
Logiciel anti-espion / Antispyware
Logiciel anti-pourriel / Antispam
Anti-rootkit
Phishing
Spam image
Proxy
Cryptage
Protocole SSL (Secure Sockets Layers)
Chiffrement/Certificats
Autre(s):

2. Gestion des configurations de lappliance de scurit


2.1. Configuration rseau
La solution est-elle en mesure de grer la rpartition de charge sur plusieurs liens oprateurs ?
Oui
Non
La solution peut-elle grer le backup sur plusieurs liens oprateurs ?
Oui
Non
Le mode de gestion de rseau Policy Based Routing (PBR) est-il support par la solution ?
Oui
Non
Si oui, selon quels critres :
IP source
IP destination
Interface
Protocole
Interface dentre
Application et du tag DSCP
Les interfaces peuvent-elles tre configures en mode :
Routes
Bridge
Mixtes (association du mode routage et du mode bridge)
La solution gre-t-elle les VLANs (Virtual LAN) ?
Oui
Non
Si oui supporte-t-elle le mode bridge avec les VLANs ?
Oui
Non
Le DynDNS peut-il tre configur sur une interface (publication de son IP sur des serveurs DynDNS - dynamic dns)
Oui
Non

2.2. Translation dadresses


La solution supporte-t-elle :
Les translations dynamiques (N -> 1) ?
Les translations statiques (N -> N) ?
Les redirections en fonction des ports ?
Autre (s), prcisez :
La solution offre-t-elle la possibilit de translater source et destination dun paquet en une seule rgle de translati
Oui
Non
La solution permet-elle de crer des rgles de NAT en fonction :
De linterface dentre et de sortie ?

Du tag DSCP ?
Autre(s), prcisez

2.3. Gestion VPN


2.3.1. VPN IPSEC
Est-il possible de crer des tunnels site site et nomades ?
Oui
Non
La solution permet-elle de monter des tunnels avec des produits concurrents (respect normes IPsec) ?
Oui
Non
Les architectures mailles sont-elles supportes par la solution ?
Oui
Non
La solution supporte-t-elle les architectures Hubn Spoke (toile avec rebond sur site central pour communiquer en
Oui
Non
La solution permet-elle dactiver le DPD (dtection de chute de tunnels VPN IPsec) ?
Oui
Non
Lanalyse des flux dchiffrs par lIPS et le module de filtrage est-elle gre par la solution ?
Oui
Non
Les protocoles de chiffrement suivants sont-ils supports par la solution :
3DES
AES256
Autre(s), prcisez :
La solution fonctionne-t-elle avec :
Des clefs pr partages
Des certificats
Autre (s), prcisez :
La redondance de tunnels VPN automatique avec la configuration dun tunnel de Backup est-elle gre par la soluti
Oui
Non

2.3.2. VPN SSL


La solution possde-t-elle un VPN SSL intgr ?
Oui
Non
Laccs au systme dinformation de faon scurise via un portail https dauthentification est-il possible ?
Oui
Non
La solution offre-t-elle chaque utilisateur (ou groupe dutilisateurs) la possibilit davoir un profil spcifique donn
Oui
Non
Les liens de redirection vers les applications web seront-ils directement accessibles depuis le portail ?
Oui
Non
Pour les autres applications, sera-t-il possible de lancer directement lapplication via un simple click sur un bou
Oui
Non
La solution offre-t-elle la possibilit de lancer des scripts louverture et la fermeture du tunnel (ex : purge des t
Oui
Non

2.4. Serveur/relais DHCP


Le firewall peut-il tre utilis comme serveur DHCP ?
Oui
Non
Si oui, que peut rcuprer le client auprs du serveur DHCP ?
La passerelle par dfaut
Le serveur DNS
Le serveur WINS
LIPbx
Le serveur de News
Autre (s), prcisez :
Un fichier de configuration de proxy peut-il tre rcupr sur le navigateur (.pac) ?
Oui
Non
Relais DHCP : les requtes reues par le firewall peuvent-elles tre relayes vers un serveur DHCP tiers ?
Oui
Non

2.5. Serveur/cache DNS


La solution possde-t-elle une fonction serveur DNS ?
Oui
Non
Si oui, ce serveur est-il :
Transparent
Explicite
Est-il possible doptimiser lutilisation grce un cache DNS ?
Oui
Non

3. Prvention des intrusions


3.1. Filtrage - Politique de scurit
La solution permet-elle un filtrage en fonction de :
Ladresse source
Ladresse destination
Lutilisateur
Le service

Le protocole
Linterface dentre
Linterface de sortie
Les tags DSCP
Autre (s), prcisez :
La solution permet-elle de grer :
Des plages dadresses
Des groupes dIPs (machines, rseaux, plages dadresses)
Des groupes dutilisateurs
Des groupes de services
Autre(s), prcisez :
La qualit de service peut-elle tre associe une rgle de filtrage ?

La solution permet-elle de grer :


Une politique de filtrage deux niveaux politique globale
Une politique locale
Autre(s), prcisez :

Est-ce que chacune de ces politiques peut-tre associe :


Une base dobjets globale et une base dobjets locale
Un administrateur global et un administrateur local
Autre(s), prcisez :
La solution possde-t-elle une fonction de filtrage bloquant par dfaut tout ce qui nest pas autoris est interdit ?
Oui
Non
La solution possde-t-elle un outil de test de cohrence des rgles (pour vrifier que des rgles identiques ou cont
Oui
Non
Est-il possible de donner un nom une rgle (lobjectif est de faciliter son suivi dans les logs sur des longues priod
Oui
Non
La solution permet-elle de choisir le mode danalyse (filtrage, IDS, IPS) dans les rgles de filtrage (donc en fonction
Oui
Non
Des fonctionnalits applicatives (filtrage URLs, Antivirus) peuvent-elles tre actives directement dans la politiqu
Oui
Non

3.2. Prvention dintrusion (IPS)


La solution possde-t-elle un quipement IPS (sonde de prvention dintrusion) : systme de prvention/protectio
Oui
Non
Quels types danalyses la solution permet-elle de raliser :
Une analyse comportementale : analyse statistique du trafic qui dtermine si le comportement peut tre considr comm
Une analyse protocolaire avec attachement automatique de lanalyse des protocoles (pas ncessaire daffecter manuellem
Une analyse par signatures : analyse complmentaire qui permet de dtecter le dtournement dutilisation de protocole (
Pour chaque vnement, est-il possible de :
Laisser passer ou bloquer
Envoyer une alarme
Envoyer un mail
Faire une mise en quarantaine automatique (IP totalement bloque pendant un temps donn)
Autre(s), prcisez :
Des flux applicatifs tels que Peer to peer, messagerie instantane peuvent-ils tre identifis avec la possibilit de le
Oui
Non
Les flux HTTPS non chiffrs sont-ils dtects avec possibilit de les interdire ?
Oui
Non
La dtection dapplications (MSN, Yahoo Messenger, TeamViewer, LogMeIn) avec possibilit de bloquer/passer et de remont
Oui
Non
La solution permet-elle de grer des profils IPS avec association certains trafics dans la politique de filtrage ?
Oui
Non
Si oui, pour quelles politiques de filtrage :
IP source
IP destination
Service
Protocole
Rseau
Autre(s), prcisez :
La dtection du Javascript la vole (sans proxy) et lanalyse (dcodage tel que le fait le navigateur) sont-ils possib
Oui
Non
La solution offre-t-elle la possibilit :
De bloquer la page
De supprimer la fonction Javascript suspecte (par la mise en commentaire dans le code).

3.3. Analyse des vulnrabilits


Lquipement permet-il :
La dtection et laffichage des machines
La dtection et laffichage des serveurs du rseau avec lOS
La dtection et laffichage des services activs
Autre(s), prcisez : :
En cas de dtection de lactivation dun nouveau service (nouveau serveur SMTP, http), un mail dalerte est-il env
Oui
Non
Les vulnrabilits associes aux machines sont-elles remontes automatiquement avec un niveau de criticit plus
Oui
Non
Un rapport par mail est-il envoy en fonction de la criticit des alarmes ?
Oui
Non

3.4. Authentification des utilisateurs


La solution permet-elle dauthentifier des utilisateurs sur une base interne au produit (annuaire LDAP)
Oui
Non
La solution offre-t-elle la possibilit de sinterconnecter avec un annuaire externe (LDAP classique ou AD) avec
Oui
Non
Lauthentification est-elle possible pour lensemble des protocoles (demande dauthentification intgre la rgle
Oui
Non
Les droits spcifiques aux administrateurs (accs tels ou tels modules de la configuration en lecture ou en critur
Oui
Non
Lquipement est-il capable de gnrer :
Des certificats (tre Autorit de Certification dans le cadre dune PKI)
Une liste de rvocation
Ces certificats respectent-ils le standard X509 pour tre utiliss avec tous types dapplications (notamment VPN, a
Oui
Non
Lquipement est-il capable de grer plusieurs niveaux de CA ?
Oui
Non
La solution permet-elle lauthentification transparente des utilisateurs de lActive Directory par utilisation du proto
Oui
Non
Les droits spcifiques aux utilisateurs (droits dadministration, droits VPN) peuvent-ils tre grs sans modificatio
Oui
Non

4. Fonctionnalits UTM intgres Firewall multi-fonctions


4.1. Filtrages URLs
Le proxy http peut-il tre activ en mode :
Transparent
Explicite
Les URLs peuvent-elles tre filtres par catgories (pornographie, loisirs, multimdia) ?
Oui
Non
Des catgories de filtrage sont-elles disponibles par dfaut ?
Oui, combien ?
Non
Est-il possible de disposer de catgories dun diteur spcialis dans le filtrage dURLs ?
Oui, lesquelles ? (exemple Optenet)
Non
Est-il possible dajouter ses propres catgories ?
Oui
Non
Est-il possible de donner des droits en fonction des utilisateurs (aprs authentification sur un portail captif) ?
Oui
Non
Le blocage des pages interdites est-il accompagn de laffichage dune page dinformations personnalisable ?
Oui
Non

4.2. Antivirus
La solution dispose-t-elle dun antivirus pour les protocoles suivants :
HTTP

FTP
SMTP
POP3
HTTPs aprs dchiffrement
FTPs aprs dchiffrement
SMTPs aprs dchiffrement
POP3s aprs dchiffrement
Autre(s), prcisez :
La solution dispose-t-elle dun antivirus du monde libre (OpenSource) disponible par dfaut ?
Oui
Non
Si oui, cet antivirus peut-il voluer vers un standard du march ?
Oui
Non
Est-il possible danalyser des fichiers compresss ?
Oui
Non
Si oui, lesquels :
Zip
RAR
Tar
Gzip
Bzip2
OLE2
Cabinet
CHM
BinHex
UPX
FSG
Petite
NsPack
wwpack32
MEW
Autre(s), prcisez :
Les fichiers chiffrs ou protgs par un mot de passe peuvent-ils tre refuss ?
Oui
Non

4.3. Antispam
La solution permet-elle lutilisation dun Antispam pour les protocoles suivants :
SMTP
POP3
Autre(s), prcisez :
La solution permet-elle :
Lanalyse par listes noires DNS
Lanalyse heuristique
Est-il possible de dterminer plusieurs niveaux de SPAM (probabilit quun mail soit un SPAM suite lanalyse) ?
Oui
Non
En fonction du niveau de SPAM :

Le sujet du mail peut-il tre tagg ?


Oui
Non
Lemail peut-il tre supprim ?
Oui
Non

4.4. Analyse des flux chiffrs (SSL)


Les flux SSL (peuvent-ils tre dchiffrs (mthode man in the middle sur tous les protocoles (IMAPs, POP3s, HT
Oui
Non
La solution permet-elle de grer une liste blanche des domaines quon ne veut pas dchiffrer ?
Oui
Non
Est-il possible dactiver les analyses applicatives ?
Oui
Non
Lantivirus peut-il tre activ sur les flux dchiffrs ?
Oui
Non
Les applications peuvent-elles tre dtectes dans les flux HTTPs dchiffrs (dtection de SKYPE, Facebook) ?
Oui
Non

5. Performances de lappliance de scurit


5.1. Performances Firewall/IPS
Lappliance permet-elle dobtenir les performances suivantes avec la fonctionnalit IPS (sonde de prvention dintr
0,5 Gbps
1 Gbps
5 Gbps
10 Gbps
Autre performance maximale :

5.2. Performances Firewall/IPS avec traffic IMIX


Lappliance permet-elle dobtenir les performances suivantes en mode Firewall/IPS en flux IMIX (flux mixte qui cor
0,5 Gbps
1 Gbps
5 Gbps
10 Gbps
Autre performance maximale :

6. Maintenance de lappliance de scurit


6.1. Mises jour
La mise jour du firmware du boitier se fait-elle par lenvoi dun fichier unique depuis linterface graphique ?
Oui
Non
Les mises jour de scurit (Antivirus, Antispam, Analyse Vulnrabilits, IPS) peuvent-elles tre programmes (p
Oui
Non
Si oui, quelle frquence ?

6.2. Backup/restauration
La sauvegarde de la configuration peut-elle tre rcupre dans un fichier de faon simple avec les outils dadmini
Oui
Non
La restauration peut-elle se faire sur tout produit de la mme version majeure ?
Oui
Non

La restauration peut-elle tre :


Totale
Partielle
La solution possde-t-elle deux partitions systme ?
Oui
Non
La solution peut-elle tre boote sur lune ou lautre des partitions ?
Oui
Non
La partition de backup peut-elle permettre de :
Conserver une configuration aprs modification
Permettre un retour en arrire en cas de mise jour du produit
Autre(s), prcisez :

7. Dimensionnement hardware et gestion de la disponibilit


7.1. Interfaces
7.1.1. Nombre dinterfaces
Quel est le nombre dinterfaces physiques minimum gres par la solution ?

7.1.2. Type dinterfaces (cuivre, fibre 1Gbps, fibre 10Gbps)


Quels types dinterfaces sont grs par la solution ?
1 Gbps cuivre
1 Gbps FO
10 Gbps FO
Autre(s), prcisez :

7.2. Options Hardware


7.2.1. Redondance alimentation
La solution possde-t-elle des alimentations redondantes ?
Oui
Non
7.2.2. Redondance disques durs (RAID1)
La solution gre-t-elle la redondance des disques durs (en RAID1) ?
Oui
Non

7.2.3. Carte 3G/USB


Est-il possible dajouter la solution un modem 3G connect une interface USB ?
Oui
Non
Le modem 3G peut-il tre utilis, pour pallier lindisponibilit dune connexion haut dbit, comme :
Lien primaire
Lien secondaire
Autre(s), prcisez :

7.3. Haute Disponibilit (HA)


Est-ce que les quipements peuvent tre mis en Haute Disponibilit ?
Oui
Non
La solution propose-t-elle une synchronisation de la configuration des deux quipements ds quune modification
Oui

Non

En cas de basculement :

Les connexions sont-elles conserves ?


Oui
Non
Les translations sont-elles conserves ?
Oui
Non
Les utilisateurs authentifis sont-ils conservs ?
Oui
Non
Est-ce que chaque firewall analyse son propre tat et vrifie celui de lautre quipement ?
Oui
Non
Le lien de Haute Disponibilit peut-il tre affect :
Une interface physique
Un Vlan
Autre(s), prcisez :
La solution offre-t-elle la possibilit de doubler le lien de Haute Disponibilit ?
Oui
Non
La solution permet-elle de mettre des poids chacune des interfaces (cette valeur sera prise en compte pour dte
Oui
Non
Le seuil de dclenchement (nombre dchecs, temps entre chaque tentative) de la bascule est-il paramtrable da
Oui
Non

8. Administration, supervision et reporting


8.1. Administration du Firewall
La solution dispose-t-elle dun outil dadministration du firewall en franais ?
Oui
Non
La solution dispose-t-elle dune interface graphique HTTPs simple et ergonomique (possibilit de faire des Drag an
Oui
Non
Les diffrentes politiques et les diffrents modules peuvent-ils tre configurs en mode objet (machines, rsea
Oui
Non

8.2. Supervision :
8.2.1. Supervision Appliance
La solution possde-t-elle un outil de monitoring permettant de suivre lactivit de plusieurs Firewalls simultanm
Oui
Non
La solution offre-t-elle la possibilit de faire des filtres sur des mots clefs afin de faciliter la lecture des nouvelles in
Oui
Non
La solution dispose-t-elle dun tableau de bord gnral prsentant de faon globale ltat de lquipement ?
Oui
Non
Le tableau de bord permet-il de visionner en temps rel :
Les remontes dalarmes
Les vulnrabilits
Le dbit sur chacune des interfaces
Les utilisateurs authentifis
Ltat des tunnels VPN
La charge CPU
Les sessions actives
Ltat de la quarantaine,
Le suivi des mises jour des diffrentes bases (IPS, Antivirus, Antispam)

8.2.2. Supervision SNMP


La solution supporte-t-elle le protocole SNMP ?
Oui
Non
En quelles versions ?
1

2
3
La solution supporte-t-elle la MIB II et une MIB du constructeur qui permet de remonter des informations comme
Oui
Non

8.3. Analyse des logs


Les traces de lactivit peuvent-elles tre exportes ?
Oui
Non
Si oui,
Vers un serveur syslog
Dans une base SQL externe aux boitiers Firewalls
Autre(s), prcisez :

La solution met-elle disposition diffrents types de logs ?


Oui
Non
Si oui, lesquels :
Alarmes
Vulnrabilits
Connexions
Sites web visits
Actions de lantivirus
Actions de lantispam
Autre(s), prcisez :
La solution offre-t-elle la possibilit de visualiser diffrents logs sur une priode donne ?
Oui
Non
La solution permet-elle de crer des filtres sur chacune des informations de la ligne de logs ?
Oui
Non
Est-il possible de raliser un filtre crois dynamique par un copier-coller dune colonne de la ligne de logs ?
Oui
Non
La charge CPU, le dbit sur les interfaces, le niveau de scurit, peuvent-ils tre visualiss sous forme graphique
Oui
Non
Les logs dadministration sont-ils disponibles afin de savoir quel administrateur a fait quoi et quand ?
Oui
Non
Les logs de suivi des tunnels VPN sont-ils disponibles afin de pouvoir savoir si un tunnel est tomb et pour que
Oui
Non

8.4. Gnration automatique de rapports


La solution permet-elle de gnrer des rapports graphiques de faon automatique ( une frquence donne et sur
Oui
Non
La solution propose-t-elle une agrgation automatique des logs ?
Oui
Non
Si oui, quelle frquence (afin de pouvoir faire des rapports/analyses sur de longues priodes) ?
Journalire
Hebdomadaire
Mensuelle
Ces rapports synthtisent-ils les donnes de :
LIPS
Du Firewall
De lAntivirus
Du Filtrage dURLs
Autre(s), prcisez :
Tous les rapports peuvent-ils tre pr-configurs ?
Oui
Non

8.5. Administration centralise (pour projet multi-sites)


La solution offre-t-elle la possibilit dadministrer plusieurs quipements partir du mme outil dadministration ?
Oui
Non
La solution permet-elle la reprsentation graphique de larchitecture dans des maps (possibilit de reprsenter les
Oui
Non
La solution propose-t-elle une supervision des quipements (avec indicateur visuel rouge/vert) et suivi des niveau
Oui
Non
Est-il possible de raliser de faon centralise :
La sauvegarde
La mise jour
Le backup
Le dploiement de politique
Lenvoi de scripts de configuration

9. Certifications en matire de scurit des systmes dinformation


La solution est-elle certifie par lANSSI (Agence nationale de la scurit des systmes dinformation) au niveau EA
Oui
Non
La solution est-elle certifie par lANSSI au niveau EAL3+ sur les fonctionnalits VPN, authentification et administra
Oui
Non
La solution est-elle certifie RESTREINT UE, niveau Diffusion Restreinte ?
Oui
Non
drez les critres suivants en fonction de votre projet pour orienter vos choix

de linfrastructure IT :

ns par ce projet de scurisation rseau ?

nt connects au(x) rseau(x) ?

omade ? Combien y a-t-il de connexions simultanes ?

bit des connexions ?

n matire de scurit
me de scurit informatique en place :

es fonctionnalits en uvre actuellement, destins assurer la scurit du systme dinformation ?

ure scurit sont prvues ? Quelles autres volutions sont prvues ?

fonctionnalits :
nalits souhaitez-vous mettre en place ?

urations de lappliance de scurit

e grer la rpartition de charge sur plusieurs liens oprateurs ?

ckup sur plusieurs liens oprateurs ?

Policy Based Routing (PBR) est-il support par la solution ?

e configures en mode :
outage et du mode bridge)
Ns (Virtual LAN) ?

ridge avec les VLANs ?

sur une interface (publication de son IP sur des serveurs DynDNS - dynamic dns) ?

lit de translater source et destination dun paquet en une seule rgle de translation ?

des rgles de NAT en fonction :

els site site et nomades ?

er des tunnels avec des produits concurrents (respect normes IPsec) ?

elles supportes par la solution ?


rchitectures Hubn Spoke (toile avec rebond sur site central pour communiquer entre les sites distants) ?

r le DPD (dtection de chute de tunnels VPN IPsec) ?

lIPS et le module de filtrage est-elle gre par la solution ?

uivants sont-ils supports par la solution :

automatique avec la configuration dun tunnel de Backup est-elle gre par la solution ?

N SSL intgr ?

n de faon scurise via un portail https dauthentification est-il possible ?

utilisateur (ou groupe dutilisateurs) la possibilit davoir un profil spcifique donnant droit laccs certaines applications

applications web seront-ils directement accessibles depuis le portail ?

a-t-il possible de lancer directement lapplication via un simple click sur un bouton (ex : lancement dun telnet, du client T
lit de lancer des scripts louverture et la fermeture du tunnel (ex : purge des traces dans le navigateur) ?

mme serveur DHCP ?

ent auprs du serveur DHCP ?

roxy peut-il tre rcupr sur le navigateur (.pac) ?

s par le firewall peuvent-elles tre relayes vers un serveur DHCP tiers ?

onction serveur DNS ?

ation grce un cache DNS ?

rusions

ge en fonction de :
seaux, plages dadresses)

tre associe une rgle de filtrage ?

x niveaux politique globale

ques peut-tre associe :


ne base dobjets locale
administrateur local

onction de filtrage bloquant par dfaut tout ce qui nest pas autoris est interdit ?

til de test de cohrence des rgles (pour vrifier que des rgles identiques ou contradictoires ne cohabitent dans la politique)

m une rgle (lobjectif est de faciliter son suivi dans les logs sur des longues priodes) ?

ir le mode danalyse (filtrage, IDS, IPS) dans les rgles de filtrage (donc en fonction de la source, de la destination, du protoco
(filtrage URLs, Antivirus) peuvent-elles tre actives directement dans la politique de scurit ?

uipement IPS (sonde de prvention dintrusion) : systme de prvention/protection contre les intrusions ?

on permet-elle de raliser :
: analyse statistique du trafic qui dtermine si le comportement peut tre considr comme normal (ex : dtection de scans de ports, i
attachement automatique de lanalyse des protocoles (pas ncessaire daffecter manuellement une analyse un service)
nalyse complmentaire qui permet de dtecter le dtournement dutilisation de protocole (ex : encapsulation dans le http des peer-to-peer
possible de :

automatique (IP totalement bloque pendant un temps donn)

r to peer, messagerie instantane peuvent-ils tre identifis avec la possibilit de les bloquer ?

-ils dtects avec possibilit de les interdire ?

Yahoo Messenger, TeamViewer, LogMeIn) avec possibilit de bloquer/passer et de remonter des alarmes est-elle gre par la solution ?

des profils IPS avec association certains trafics dans la politique de filtrage ?
ole (sans proxy) et lanalyse (dcodage tel que le fait le navigateur) sont-ils possibles ?

cript suspecte (par la mise en commentaire dans le code).

serveurs du rseau avec lOS


services activs

on dun nouveau service (nouveau serveur SMTP, http), un mail dalerte est-il envoy ?

machines sont-elles remontes automatiquement avec un niveau de criticit plus ou moins lev ?

en fonction de la criticit des alarmes ?

tilisateurs
ntifier des utilisateurs sur une base interne au produit (annuaire LDAP)

lit de sinterconnecter avec un annuaire externe (LDAP classique ou AD) avec rcupration des utilisateurs ainsi que des

le pour lensemble des protocoles (demande dauthentification intgre la rgle de filtrage) ?

nistrateurs (accs tels ou tels modules de la configuration en lecture ou en criture) sont-ils grs dans la solution ?
e Certification dans le cadre dune PKI)

tandard X509 pour tre utiliss avec tous types dapplications (notamment VPN, authentification des utilisateurs) ?

rer plusieurs niveaux de CA ?

tification transparente des utilisateurs de lActive Directory par utilisation du protocole SPNEGO ?

teurs (droits dadministration, droits VPN) peuvent-ils tre grs sans modification du schma de lannuaire externe ?

M intgres Firewall multi-fonctions

es par catgories (pornographie, loisirs, multimdia) ?

lles disponibles par dfaut ?

tgories dun diteur spcialis dans le filtrage dURLs ?

res catgories ?

oits en fonction des utilisateurs (aprs authentification sur un portail captif) ?

est-il accompagn de laffichage dune page dinformations personnalisable ?


ntivirus pour les protocoles suivants :

ntivirus du monde libre (OpenSource) disponible par dfaut ?

er vers un standard du march ?

hiers compresss ?
par un mot de passe peuvent-ils tre refuss ?

tion dun Antispam pour les protocoles suivants :

usieurs niveaux de SPAM (probabilit quun mail soit un SPAM suite lanalyse) ?

chiffrs (mthode man in the middle sur tous les protocoles (IMAPs, POP3s, HTTPs, SMTPs) ?

une liste blanche des domaines quon ne veut pas dchiffrer ?

ses applicatives ?

les flux dchiffrs ?


tre dtectes dans les flux HTTPs dchiffrs (dtection de SKYPE, Facebook) ?

appliance de scurit

r les performances suivantes avec la fonctionnalit IPS (sonde de prvention dintrusion) active ?

/IPS avec traffic IMIX


r les performances suivantes en mode Firewall/IPS en flux IMIX (flux mixte qui correspond une utilisation classique de lInte

appliance de scurit

oitier se fait-elle par lenvoi dun fichier unique depuis linterface graphique ?

tivirus, Antispam, Analyse Vulnrabilits, IPS) peuvent-elles tre programmes (pendant la nuit par exemple) une frquen

n peut-elle tre rcupre dans un fichier de faon simple avec les outils dadministration graphique ?
e sur tout produit de la mme version majeure ?

partitions systme ?

e sur lune ou lautre des partitions ?

permettre de :
prs modification
en cas de mise jour du produit

hardware et gestion de la disponibilit

physiques minimum gres par la solution ?

re, fibre 1Gbps, fibre 10Gbps)


rs par la solution ?

imentations redondantes ?

urs (RAID1)
ance des disques durs (en RAID1) ?
tion un modem 3G connect une interface USB ?

, pour pallier lindisponibilit dune connexion haut dbit, comme :

vent tre mis en Haute Disponibilit ?

ynchronisation de la configuration des deux quipements ds quune modification est ralise ?

t-ils conservs ?

se son propre tat et vrifie celui de lautre quipement ?

eut-il tre affect :


lit de doubler le lien de Haute Disponibilit ?

re des poids chacune des interfaces (cette valeur sera prise en compte pour dterminer si une bascule automatique doit avo

mbre dchecs, temps entre chaque tentative) de la bascule est-il paramtrable dans linterface graphique ?

pervision et reporting

util dadministration du firewall en franais ?

interface graphique HTTPs simple et ergonomique (possibilit de faire des Drag and drop depuis la base dobjets, recherche s

diffrents modules peuvent-ils tre configurs en mode objet (machines, rseaux, services, protocoles) avec possibilit

til de monitoring permettant de suivre lactivit de plusieurs Firewalls simultanment ?

lit de faire des filtres sur des mots clefs afin de faciliter la lecture des nouvelles informations (exemple : voir uniquement les

ableau de bord gnral prsentant de faon globale ltat de lquipement ?

visionner en temps rel :


iffrentes bases (IPS, Antivirus, Antispam)

otocole SNMP ?

B II et une MIB du constructeur qui permet de remonter des informations comme les alarmes IPS et systme ?

elles tre exportes ?

x boitiers Firewalls

n diffrents types de logs ?


lit de visualiser diffrents logs sur une priode donne ?

des filtres sur chacune des informations de la ligne de logs ?

e crois dynamique par un copier-coller dune colonne de la ligne de logs ?

nterfaces, le niveau de scurit, peuvent-ils tre visualiss sous forme graphique ?

s disponibles afin de savoir quel administrateur a fait quoi et quand ?

N sont-ils disponibles afin de pouvoir savoir si un tunnel est tomb et pour quelle raison ?

ue de rapports
rer des rapports graphiques de faon automatique ( une frquence donne et sur une priode danalyse donne) et sous for

grgation automatique des logs ?

e pouvoir faire des rapports/analyses sur de longues priodes) ?

donnes de :
e pr-configurs ?

ise (pour projet multi-sites)


lit dadministrer plusieurs quipements partir du mme outil dadministration ?

sentation graphique de larchitecture dans des maps (possibilit de reprsenter les botiers Firewall ainsi que dautres quipem

upervision des quipements (avec indicateur visuel rouge/vert) et suivi des niveaux dalarmes ?

on centralise :

matire de scurit des systmes dinformation


lANSSI (Agence nationale de la scurit des systmes dinformation) au niveau EAL4+ sur le cur de la technologie (firewall/

lANSSI au niveau EAL3+ sur les fonctionnalits VPN, authentification et administration ?

TREINT UE, niveau Diffusion Restreinte ?


pour orienter vos choix technologiques

ormation ?
s sites distants) ?

oit laccs certaines applications ?

x : lancement dun telnet, du client TSE) ?


dans le navigateur) ?
oires ne cohabitent dans la politique) ?

source, de la destination, du protocole, du service) ?


re les intrusions ?

mal (ex : dtection de scans de ports, identification de machines infectes par un cheval de Troie) ?
e analyse un service)
apsulation dans le http des peer-to-peer, messageries instantanes, des flux multimdias), les scanners de vulnrabilits (Nessus, Qualys

alarmes est-elle gre par la solution ?


ins lev ?

ration des utilisateurs ainsi que des groupes ?

t-ils grs dans la solution ?


tification des utilisateurs) ?

schma de lannuaire externe ?


nd une utilisation classique de lInternet) ?

nt la nuit par exemple) une frquence donne ?

n graphique ?
si une bascule automatique doit avoir lieu ou non) ?

terface graphique ?

depuis la base dobjets, recherche simple dans la politique de filtrage) ?

vices, protocoles) avec possibilit de faire des groupes ?

tions (exemple : voir uniquement les alarmes bloquantes par un filtre sur laction de lalarme) ?
armes IPS et systme ?
riode danalyse donne) et sous forme de fichiers PDF ?
rs Firewall ainsi que dautres quipements : switchs, routeurs) ?

r le cur de la technologie (firewall/IPS) ?


vulnrabilits (Nessus, Qualys), les injections SQL, les vulnrabilits de certaines applications