{"id":1764,"date":"2020-08-05T11:18:43","date_gmt":"2020-08-05T11:18:43","guid":{"rendered":"https:\/\/partnernews.sophos.com\/fr-fr\/?p=1676"},"modified":"2020-08-18T12:55:50","modified_gmt":"2020-08-18T12:55:50","slug":"making-the-most-of-xg-firewall-v18-part-3","status":"publish","type":"post","link":"https:\/\/partnernews.sophos.com\/fr-fr\/2020\/08\/products\/making-the-most-of-xg-firewall-v18-part-3\/","title":{"rendered":"Comment exploiter au maximum XG Firewall\u00a0v18\u00a0: 3\u00e8me\u00a0Partie"},"content":{"rendered":"

Acc\u00e9l\u00e9ration des applications via FastPath et routage SD-WAN.<\/h2>\n

Avec la saturation croissante des r\u00e9seaux, il est de plus en plus important de disposer des outils n\u00e9cessaires pour optimiser vos applications professionnelles critiques. Dans ce troisi\u00e8me volet de notre s\u00e9rie d\u2019articles visant \u00e0 expliquer comment exploiter au maximum les nouvelles fonctionnalit\u00e9s de XG Firewall\u00a0v18, nous allons nous concentrer sur les outils \u00e0 votre disposition pour optimiser le trafic de vos applications professionnelles \u00e0 l\u2019aide de la nouvelle fonctionnalit\u00e9 Xstream Network Flow FastPath et des nouvelles options PBR (Policy Based Routing) SD-WAN.<\/p>\n

Xstream FastPath\u00a0: Acc\u00e9l\u00e9ration des applications<\/h2>\n

Dans nos deux pr\u00e9c\u00e9dents articles, nous avons abord\u00e9 l\u2019architecture Xstream et le nouveau moteur DPI<\/a> ainsi que la nouvelle inspection TLS<\/a> pr\u00e9sents dans XG Firewall\u00a0v18. \u00a0 Network Flow FastPath est un autre composant cl\u00e9 de cette nouvelle architecture Xstream qui permet d\u2019acc\u00e9l\u00e9rer les applications au niveau du trafic de confiance. \"\" La fonctionnalit\u00e9 Network Flow FastPath peut diriger le trafic de confiance, qui ne n\u00e9cessite pas d\u2019analyse de s\u00e9curit\u00e9, vers une voie plus rapide au sein du syst\u00e8me.\u00a0 Non seulement cette approche minimise la latence et acc\u00e9l\u00e8re le trafic de cette application \u00e0 travers le pare-feu, mais elle pr\u00e9sente \u00e9galement l\u2019avantage suppl\u00e9mentaire de ne pas solliciter le moteur DPI et les ressources d\u2019inspection TLS pour du trafic qui ne n\u00e9cessite pas d\u2019inspection particuli\u00e8re. \u00a0Ainsi, ces ressources pourront \u00eatre utilis\u00e9es pour le trafic qui en a r\u00e9ellement besoin, offrant ainsi une marge de man\u0153uvre suppl\u00e9mentaire en termes de performances au niveau du processus.<\/p>\n

Comment cette fonctionnalit\u00e9 fonctionne\u2009?<\/h2>\n

Au d\u00e9part, tous les flux de trafic sont trait\u00e9s par la pile du pare-feu et transmis au moteur DPI pour une identification plus approfondie.\u00a0 Une fois qu\u2019un flux de trafic d\u2019application est consid\u00e9r\u00e9 comme \u00e9tant \u00ab\u00a0de confiance\u00a0\u00bb, Network Flow FastPath est utilis\u00e9 pour g\u00e9rer directement le flux de paquets et acheminer les paquets via FastPath, en contournant le moteur DPI. Le trafic peut \u00eatre acc\u00e9l\u00e9r\u00e9 gr\u00e2ce \u00e0 Network Flow FastPath de deux mani\u00e8res diff\u00e9rentes\u00a0:<\/p>\n

    \n
  1. Automatiquement\u00a0: si l\u2019application correspond \u00e0 un SNI (Server Name Indication) des SophosLabs concernant du trafic consid\u00e9r\u00e9 comme fiable et non alt\u00e9r\u00e9, comme les services de streaming vid\u00e9o et audio (Netflix, Spotify, Pandora, etc.), les mises \u00e0 jour s\u00e9curis\u00e9es r\u00e9cup\u00e9r\u00e9es directement \u00e0 partir d\u2019une application (de Microsoft, Apple, Adobe, Sophos, etc.) ou le VoIP ainsi que d\u2019autres protocoles de streaming (tels que SIP, FIX, RDP, etc.).<\/li>\n
  2. \u00c0 l\u2019aide d\u2019une politique\u00a0: si, par exemple, il existe une r\u00e8gle de pare-feu, associ\u00e9e \u00e0 ce trafic d\u2019application sp\u00e9cifique, qui permet de l\u2019acc\u00e9l\u00e9rer via FastPath, en le dispensant du coup de toute analyse de s\u00e9curit\u00e9.<\/li>\n<\/ol>\n

    Vous vous demandez peut-\u00eatre quand il serait judicieux d\u2019acc\u00e9l\u00e9rer le trafic des applications \u00e0 l\u2019aide de FastPath, ou dit plus simplement, \u00e0 quel trafic pouvons-nous faire confiance\u00a0?\u00a0 Le trafic tel que le streaming multim\u00e9dia, qui n\u2019est pas bas\u00e9 sur un code actif, est un parfait exemple de trafic auquel on peut faire confiance.\u00a0 En raison de la structure de type streaming du trafic consid\u00e9r\u00e9 et de la fa\u00e7on dont il est r\u00e9assembl\u00e9 pour la lecture, il n\u2019est pas possible d\u2019injecter des malwares dans ce type de flux de trafic, ce qui en fait un candidat id\u00e9al pour l\u2019acc\u00e9l\u00e9ration FastPath.\u00a0 Ce type de trafic comprend tous les services de streaming populaires tels que Netflix et Spotify, mais \u00e9galement les applications VoIP et collaboratives telles que Zoom, GotoMeeting, Skype Entreprise, Microsoft Teams Calls, entre autres.\u00a0 De plus, ces applications de communication et collaboratives \u00e9tant quasiment incontournables dans n\u2019importe quelle entreprise \u00e0 l\u2019heure actuelle, elles seront \u00e9ligibles pour une acc\u00e9l\u00e9ration FastPath sans aucun souci. Les applications qui permettent aux utilisateurs de t\u00e9l\u00e9charger des mises \u00e0 jour ou des fichiers ne sont PAS de bonnes candidates pour une acc\u00e9l\u00e9ration FastPath, car les fichiers peuvent sans surprise contenir du code actif et \u00eatre au final malveillants.\u00a0\u00a0 En g\u00e9n\u00e9ral, et pour la s\u00e9curit\u00e9 de tous, ne cr\u00e9ez jamais de r\u00e8gle FastPath ciblant la navigation Web classique ou concernant les sites ou applications de partage de fichiers.<\/p>\n

    Les r\u00e8gles de pare-feu dans XG Firewall\u00a0v18<\/h2>\n

    Les r\u00e8gles de pare-feu dans XG Firewall\u00a0v18 sont tr\u00e8s similaires dans leur construction aux versions pr\u00e9c\u00e9dentes, facilitant ainsi les migrations.\u00a0 Cette vid\u00e9o vous donnera un aper\u00e7u d\u00e9taill\u00e9 de la configuration du pare-feu et des r\u00e8gles NAT dans XG Firewall\u00a0v18\u00a0: Nous aborderons les r\u00e8gles NAT dans un prochain article de cette s\u00e9rie, mais aujourd\u2019hui, examinons comment cr\u00e9er une r\u00e8gle de pare-feu pour acc\u00e9l\u00e9rer le trafic de confiance \u00e0 l\u2019aide de FastPath.\u00a0 En r\u00e9alit\u00e9, cette t\u00e2che ne pourrait \u00eatre plus simple et intuitive\u00a0: en effet, il vous suffit d\u2019identifier tout simplement les r\u00e9seaux d\u2019application (FQDN) ou les services de destination\u2026 \"\" \u00a0 Ensuite, s\u00e9lectionnez \u00ab\u00a0None\u00a0\u00bb au niveau des fonctionnalit\u00e9s de s\u00e9curit\u00e9 (Security Features) et ne cochez aucune des autres cases. Une telle pr\u00e9caution garantira que le trafic sera bien acc\u00e9l\u00e9r\u00e9 via FastPath et non redirig\u00e9 vers le moteur DPI pour une analyse de s\u00e9curit\u00e9 inutile. V\u00e9rifiez ensuite que l\u2019acc\u00e9l\u00e9ration FastPath est activ\u00e9e sous Advanced threat > Advanced threat protection comme indiqu\u00e9 ci-dessous (elle doit \u00eatre activ\u00e9e par d\u00e9faut). \"\" C\u2019est aussi simple que cela\u00a0!<\/p>\n

    PBR (Policy Based Routing) SD-WAN pour les applications<\/h2>\n

    Une autre fonctionnalit\u00e9 nouvelle et am\u00e9lior\u00e9e de XG Firewall\u00a0v18 est le PBR (routage bas\u00e9 sur les politiques) SD-WAN.\u00a0 Tout comme vous souhaitez que le chemin emprunt\u00e9 par une de vos applications professionnelles critiques \u00e0 travers le pare-feu soit optimis\u00e9 et acc\u00e9l\u00e9r\u00e9 via FastPath, vous souhaitez \u00e9galement vous assurer que le chemin emprunt\u00e9 par votre application vers le Cloud ou une succursale soit optimis\u00e9 de la m\u00eame mani\u00e8re.\u00a0 C\u2019est l\u00e0 que le PBR SD-WAN entre en jeu. XG Firewall\u00a0v18 ajoute des crit\u00e8res de s\u00e9lection de trafic, bas\u00e9s sur les utilisateurs, les groupes et les applications, \u00e0 la configuration du routage SD-WAN de XG Firewall. Cette possibilit\u00e9 vous permet de diriger le trafic important des applications professionnelles vers une liaison WAN sp\u00e9cifique d\u2019un FAI ou vers une connexion VPN d\u2019une succursale tandis que le trafic moins important utilisera, quant \u00e0 lui, un itin\u00e9raire diff\u00e9rent. Cette vid\u00e9o vous donnera un excellent aper\u00e7u de la mani\u00e8re d\u2019exploiter au maximum les nouvelles capacit\u00e9s PBR SD-WAN de XG Firewall\u00a0v18 pour l\u2019optimisation des applications et le routage SD-WAN.<\/p>\n

    SD-WAN synchronis\u00e9<\/h2>\n

    XG Firewall\u00a0v18 a encore fait \u00e9voluer le SD-WAN avec l\u2019introduction du SD-WAN synchronis\u00e9, une nouvelle fonctionnalit\u00e9 de s\u00e9curit\u00e9 synchronis\u00e9e de Sophos qui offre des avantages suppl\u00e9mentaires avec le routage d\u2019application SD-WAN. Le SD-WAN synchronis\u00e9 s\u2019appuie sur une clart\u00e9 et une fiabilit\u00e9 optimis\u00e9es au niveau de l\u2019identification des applications gr\u00e2ce au partage d\u2019informations, en provenance du Contr\u00f4le Synchronis\u00e9 des Applications, entre les syst\u00e8mes Endpoint g\u00e9r\u00e9s par Sophos et XG Firewall. Le Contr\u00f4le Synchronis\u00e9 des Applications peut identifier de mani\u00e8re positive 100\u00a0% de toutes les applications en r\u00e9seau, y compris les applications \u00e9vasives, chiffr\u00e9es, obscures et personnalis\u00e9es. D\u00e9sormais, ces applications, jusque-l\u00e0 non identifi\u00e9es, peuvent \u00e9galement \u00eatre ajout\u00e9es aux politiques de routage SD-WAN. Cette possibilit\u00e9 offre un niveau de contr\u00f4le et de fiabilit\u00e9 du routage des applications avec lequel les autres pare-feu ne peuvent rivaliser. Voici un r\u00e9sum\u00e9 des ressources disponibles pour vous aider \u00e0 profiter au maximum des nouvelles fonctionnalit\u00e9s de XG Firewall\u00a0v18, notamment l\u2019acc\u00e9l\u00e9ration FastPath des applications et les politiques de routage SD-WAN\u00a0:<\/p>\n