Avec la saturation croissante des réseaux, il est de plus en plus important de disposer des outils nécessaires pour optimiser vos applications professionnelles critiques.
Dans ce troisième volet de notre série d’articles visant à expliquer comment exploiter au maximum les nouvelles fonctionnalités de XG Firewall v18, nous allons nous concentrer sur les outils à votre disposition pour optimiser le trafic de vos applications professionnelles à l’aide de la nouvelle fonctionnalité Xstream Network Flow FastPath et des nouvelles options PBR (Policy Based Routing) SD-WAN.
Xstream FastPath : Accélération des applications
Dans nos deux précédents articles, nous avons abordé l’architecture Xstream et le nouveau moteur DPI ainsi que la nouvelle inspection TLS présents dans XG Firewall v18. Network Flow FastPath est un autre composant clé de cette nouvelle architecture Xstream qui permet d’accélérer les applications au niveau du trafic de confiance.
La fonctionnalité Network Flow FastPath peut diriger le trafic de confiance, qui ne nécessite pas d’analyse de sécurité, vers une voie plus rapide au sein du système. Non seulement cette approche minimise la latence et accélère le trafic de cette application à travers le pare-feu, mais elle présente également l’avantage supplémentaire de ne pas solliciter le moteur DPI et les ressources d’inspection TLS pour du trafic qui ne nécessite pas d’inspection particulière.
Ainsi, ces ressources pourront être utilisées pour le trafic qui en a réellement besoin, offrant ainsi une marge de manœuvre supplémentaire en termes de performances au niveau du processus.
Comment cette fonctionnalité fonctionne ?
Au départ, tous les flux de trafic sont traités par la pile du pare-feu et transmis au moteur DPI pour une identification plus approfondie. Une fois qu’un flux de trafic d’application est considéré comme étant “de confiance”, Network Flow FastPath est utilisé pour gérer directement le flux de paquets et acheminer les paquets via FastPath, en contournant le moteur DPI.
Le trafic peut être accéléré grâce à Network Flow FastPath de deux manières différentes :
- Automatiquement : si l’application correspond à un SNI (Server Name Indication) des SophosLabs concernant du trafic considéré comme fiable et non altéré, comme les services de streaming vidéo et audio (Netflix, Spotify, Pandora, etc.), les mises à jour sécurisées récupérées directement à partir d’une application (de Microsoft, Apple, Adobe, Sophos, etc.) ou le VoIP ainsi que d’autres protocoles de streaming (tels que SIP, FIX, RDP, etc.).
- A l’aide d’une politique : si, par exemple, il existe une règle de pare-feu, associée à ce trafic d’application spécifique, qui permet de l’accélérer via FastPath, en le dispensant du coup de toute analyse de sécurité.
Vous vous demandez peut-être quand il serait judicieux d’accélérer le trafic des applications à l’aide de FastPath, ou dit plus simplement, à quel trafic pouvons-nous faire confiance ? Le trafic tel que le streaming multimédia, qui n’est pas basé sur un code actif, est un parfait exemple de trafic auquel on peut faire confiance.
En raison de la structure de type streaming du trafic considéré et de la façon dont il est réassemblé pour la lecture, il n’est pas possible d’injecter des malwares dans ce type de flux de trafic, ce qui en fait un candidat idéal pour l’accélération FastPath. Ce type de trafic comprend tous les services de streaming populaires tels que Netflix et Spotify, mais également les applications VoIP et collaboratives telles que Zoom, GotoMeeting, Skype Entreprise, Microsoft Teams Calls, entre autres.
De plus, ces applications de communication et collaboratives étant quasiment incontournables dans n’importe quel entreprise à l’heure actuelle, elles seront éligibles pour une accélération FastPath sans aucun soucis.
Les applications qui permettent aux utilisateurs de télécharger des mises à jour ou des fichiers ne sont PAS de bonnes candidates pour une accélération FastPath car les fichiers peuvent sans surprise contenir du code actif et être au final malveillants. En général, et pour la sécurité de tous, ne créez jamais de règle FastPath ciblant la navigation Web classique ou concernant les sites ou applications de partage de fichiers.
Les règles de pare-feu dans XG Firewall v18
Les règles de pare-feu dans XG Firewall v18 sont très similaires dans leur construction aux versions précédentes, facilitant ainsi les migrations. Cette vidéo vous donnera un aperçu détaillé de la configuration du pare-feu et des règles NAT dans XG Firewall v18 :
Nous aborderons les règles NAT dans un prochain article de cette série, mais aujourd’hui, examinons comment créer une règle de pare-feu pour accélérer le trafic de confiance à l’aide de FastPath. En réalité, cette tâche ne pourrait être plus simple et intuitive : en effet, il vous suffit d’identifier tout simplement les réseaux d’application (FQDN) ou les services de destination …
Ensuite, sélectionnez “None” au niveau des fonctionnalités de sécurité (Security Features) et ne cochez aucune des autres cases. Une telle précaution garantira que le trafic sera bien accéléré via FastPath et non redirigé vers le moteur DPI pour une analyse de sécurité inutile.
Vérifiez ensuite que l’accélération FastPath est activée sous Advanced threat > Advanced threat protection comme indiqué ci-dessous (elle doit être activée par défaut). C’est aussi simple que cela !
PBR (Policy Based Routing) SD-WAN pour les applications
Une autre fonctionnalité nouvelle et améliorée de XG Firewall v18 est le PBR (routage basé sur les politiques) SD-WAN. Tout comme vous souhaitez que le chemin emprunté par une de vos applications professionnelles critiques à travers le pare-feu soit optimisé et accéléré via FastPath, vous souhaitez également vous assurer que le chemin emprunté par votre application vers le Cloud ou une succursale soit optimisé de la même manière. C’est là que le PBR SD-WAN entre en jeu.
XG Firewall v18 ajoute des critères de sélection de trafic, basés sur les utilisateurs, les groupes et les applications, à la configuration du routage SD-WAN de XG Firewall. Cette possibilité vous permet de diriger le trafic important des applications professionnelles vers une liaison WAN spécifique d’un FAI ou vers une connexion VPN d’une succursale tandis que le trafic moins important utilisera, quant à lui, un itinéraire différent.
Cette vidéo vous donnera un excellent aperçu de la manière d’exploiter au maximum les nouvelles capacités PBR SD-WAN de XG Firewall v18 pour l’optimisation des applications et le routage SD-WAN.
SD-WAN synchronisé
XG Firewall v18 a encore fait évoluer le SD-WAN avec l’introduction du SD-WAN synchronisé, une nouvelle fonctionnalité de sécurité synchronisée de Sophos qui offre des avantages supplémentaires avec le routage d’application SD-WAN. Le SD-WAN synchronisé s’appuie sur une clarté et une fiabilité optimisées au niveau de l’identification des applications grâce au partage d’informations, en provenance du Contrôle Synchronisé des Applications (Synchronized Application Control), entre les systèmes Endpoint gérés par Sophos et XG Firewall.
Le Contrôle Synchronisé des Applications (Synchronized Application Control) peut identifier de manière positive 100% de toutes les applications en réseau, y compris les applications évasives, chiffrées, obscures et personnalisées. Désormais, ces applications, jusque-là non identifiées, peuvent également être ajoutées aux politiques de routage SD-WAN. Cette possibilité offre un niveau de contrôle et de fiabilité du routage des applications avec lequel les autres pare-feu ne peuvent rivaliser.
Voici un résumé des ressources disponibles pour vous aider à profiter au maximum des nouvelles fonctionnalités de XG Firewall v18, notamment l’accélération FastPath des applications et les politiques de routage SD-WAN :
- Guide de démarrage de XG Firewall.
- Documentation XG Firewall complète en ligne.
- Vidéos explicatives sur les nouveautés de la v18.
- Documentation sur les politiques de routage SD-WAN.
- Une liste complète d’articles de la communauté à lire concernant la v18.
Découvrez les autres articles de la série
Si vous débutez avec Sophos XG Firewall, découvrez les avantages et les fonctionnalités que XG Firewall peut offrir à votre réseau.
Billet inspiré de Making the most of XG Firewall v18 – Part 3, sur le Blog Sophos.