Comprendre correctement les données de performance de Sophos Firewall
Vous pouvez trouver les données de performance du pare-feu sur notre page produit, dans le tableau comparatif des pare-feu ou dans la fiche technique Sophos Firewall. Pour choisir le bon modèle, il est important de bien comprendre les caractéristiques de performance de Sophos Firewall.
Notre guide de dimensionnement Sophos Firewall vous explique ce qu’il faut prendre en compte lors du choix d’un pare-feu. Pour choisir le bon modèle, il est également important de comprendre les caractéristiques de performance de Sophos Firewall.
Les performances de votre Sophos Firewall sont un facteur déterminant pour la sécurité et l’efficacité de votre réseau. Dans ce billet de blog, nous allons examiner les différents aspects de l’analyse des performances des Sophos Firewall et expliquer comment interpréter correctement les données de performances.
Méthodologie de test de performance
Comment les données de performance de Sophos sont-elles générées ?
Les performances d’un pare-feu sont généralement mesurées dans des conditions de test idéales. Sophos utilise pour cela l’outil de test de performance Keysight-Ixia Breaking Point, leader du marché.
Ixia BreakingPoint de Keysight est un outil de test de performance reconnu, conçu pour évaluer la sécurité, la fiabilité et les performances des réseaux et des équipements réseau. Il est souvent utilisé pour tester la capacité maximale, les performances et la sécurité des équipements réseau tels que les pare-feu, les systèmes de prévention des intrusions (IPS) et les routeurs.
BreakingPoint simule un trafic réaliste ainsi que différents types de menaces, y compris les logiciels malveillants, les attaques DDoS et autres risques de sécurité. Il est capable de générer une grande quantité de trafic afin de tester comment les périphériques réseau réagissent sous une charge élevée et dans des situations de stress. Il permet également de voir comment les appareils réagissent à différents risques de sécurité et de tester l’efficacité des mécanismes de sécurité.
Pour un pare-feu tel que Sophos Firewall, BreakingPoint peut être utilisé pour déterminer comment le pare-feu fonctionne dans différentes conditions. Par exemple, il peut être utilisé pour tester la vitesse à laquelle le pare-feu peut traiter les données (débit), comment il réagit à certains types de menaces (tests de sécurité) et comment il se comporte sous une charge élevée (tests de performance).
Il est important de noter que les résultats des tests BreakingPoint sont obtenus dans des conditions de test idéales et que les performances réelles dans un environnement réseau réel peuvent varier en raison de différents facteurs.
Il est toutefois important de noter que les performances réelles de votre pare-feu peuvent être affectées par de nombreux facteurs. Ces facteurs incluent le nombre d’utilisateurs connectés simultanément, le type de trafic et les services de sécurité activés sur votre pare-feu. Pour garantir des performances optimales, il est donc important de vérifier régulièrement les performances de votre pare-feu et de les ajuster si nécessaire.
Firewall
La performance du pare-feu est mesurée par le débit du trafic HTTP. Ce débit désigne la quantité de données que le pare-feu peut traiter en un temps donné et est généralement exprimé en mégabits par seconde (Mbps) ou en gigabits par seconde (Gbps). Les mesures sont basées sur une taille de réponse de 512 Ko.
Pour replacer cela dans un contexte professionnel, imaginez que vous avez un serveur de fichiers dans votre entreprise auquel de nombreux employés doivent accéder. Chaque accès aux fichiers, téléchargement ou chargement de documents génère du trafic qui passe par votre pare-feu.
Supposons que votre pare-feu ait un débit de 1 Gbps. Cela signifie qu’il peut traiter jusqu’à 1 gigabit de données par seconde. Si un employé accède à un fichier de 512 Ko sur le serveur, votre pare-feu peut traiter ce paquet de données très rapidement, car 512 Ko est bien inférieur à la capacité maximale de 1 Gbps. Cela garantit que l’employé peut accéder rapidement et efficacement aux fichiers dont il a besoin, sans retards significatifs.
Un autre scénario pourrait être la sauvegarde nocturne des données de votre entreprise. Si de grandes quantités de données passent par votre pare-feu, la capacité du pare-feu à gérer un débit élevé devient extrêmement importante pour garantir que la sauvegarde s’effectue efficacement et dans un délai raisonnable.
Firewall-IMIX
IMIX signifie « Internet Mix » et fait référence à un type de trafic qui contient un mélange de différentes tailles de paquets. Dans le contexte des pare-feux et des réseaux, c’est un concept utile pour évaluer la performance d’un système, car il offre une représentation plus réaliste du trafic Internet typique que les tests utilisant une seule taille de paquets.
Lors de la mesure des performances de Sophos Firewall avec IMIX, le débit UDP est mesuré en utilisant une combinaison de tailles de paquets de 66, 570 et 1518 octets. Cela signifie que le pare-feu traite des paquets de données de ces trois tailles différentes qui, ensemble, représentent un trafic Internet plutôt réaliste.
Pour illustrer cela, imaginez que vos employés utilisent différents services sur votre réseau. Certains envoient ou reçoivent des e-mails (petits paquets de données), d’autres accèdent à des fichiers sur le serveur de l’entreprise (paquets de données moyens) et d’autres encore téléchargent ou envoient des fichiers ou documents plus volumineux (paquets de données plus volumineux). Ces différentes actions génèrent des paquets de données de différentes tailles qui doivent tous être traités par votre pare-feu.
En utilisant un profil de trafic IMIX, Sophos Firewall peut simuler ces tailles de paquets mixtes et mesurer ainsi les performances du pare-feu dans des conditions plus réalistes. Ce type de mesure vous donne une idée plus claire de la capacité de votre pare-feu à gérer le trafic mixte réel qu’il doit traiter dans un environnement d’entreprise réel.
IPS (Intrusion Prevention System)
Un système de prévention des intrusions (IPS) est un composant important de la sécurité du réseau qui sert à identifier et à bloquer les menaces connues. Il surveille le trafic réseau à la recherche d’anomalies ou de signatures qui pourraient indiquer des activités malveillantes et prend des mesures pour les arrêter avant qu’elles ne puissent causer des dommages.
La performance de l’IPS est mesurée à partir du trafic HTTP en utilisant un ensemble de règles IPS standard et une taille d’objet de 512 Ko. L’ensemble de règles consiste essentiellement en une liste de critères à partir desquels l’IPS examine le trafic. Si le trafic répond à ces critères, il est considéré comme potentiellement malveillant et traité en conséquence.
Pour replacer cela dans un contexte d’entreprise : Un employé ouvre un e-mail qui contient un lien malveillant. Lorsque l’employé clique sur le lien, un paquet de données contenant un code potentiellement malveillant est envoyé à votre serveur. S’il répond aux critères de l’ensemble de règles, il est considéré comme une menace et bloqué avant qu’il ne puisse nuire à votre réseau.
Il est donc essentiel de mesurer les performances IPS pour comprendre la capacité de votre pare-feu à détecter et à bloquer les menaces en temps réel. Une meilleure performance IPS signifie que plus de trafic peut être analysé en moins de temps, ce qui se traduit par une meilleure sécurité du réseau.
IPsec-VPN
La performance du VPN IPsec est mesurée par le débit HTTP, en utilisant plusieurs tunnels et une taille de réponse HTTP de 512 Ko. Un débit plus élevé signifie que plus de données peuvent être transmises en moins de temps, ce qui se traduit par une connexion VPN plus rapide et plus efficace.
TLS Inspection
La fonction d’inspection TLS sur Sophos Firewall permet de surveiller et de contrôler le trafic chiffré. Elle permet au pare-feu d’inspecter le trafic chiffré afin de détecter et de bloquer le contenu potentiellement malveillant qui serait autrement caché par le chiffrement.
A titre d’exemple, on peut imaginer qu’un employé accède à un site web chiffré. Bien que le chiffrement empêche normalement le contenu du site d’être vu par des personnes extérieures, l’inspection TLS permet à Sophos Firewall de vérifier le contenu pour s’assurer qu’il n’y a pas de malware ou autre contenu malveillant. Si le pare-feu détecte un contenu malveillant, il peut bloquer l’accès au site afin de protéger le réseau de l’entreprise.
La performance de l’inspection TLS est déterminée en mesurant la performance avec IPS lors de sessions HTTPS et différentes suites de chiffrement.
Protection contre les menaces
La protection contre les menaces sur Sophos Firewall est une solution de sécurité complète qui combine différentes technologies et fonctionnalités pour protéger votre réseau contre un large éventail de menaces. Elle comprend des fonctions telles que le pare-feu lui-même, le système de prévention des intrusions (IPS), le contrôle des applications et la défense contre les malwares.
Imaginez qu’un employé tente de télécharger un fichier d’un site Web considéré comme potentiellement dangereux. Sophos Firewall contrôlerait d’abord l’accès au site Web (fonction de pare-feu), puis vérifierait le contenu du fichier à la recherche de codes malveillants connus (IPS et défense contre les malwares) et enfin vérifierait le type de fichier et l’application utilisée pour le télécharger (contrôle des applications). Si une menace était détectée à l’une de ces étapes, Sophos Firewall bloquerait le téléchargement, protégeant ainsi le réseau de l’entreprise.
Les performances de la protection contre les menaces sont mesurées en activant le pare-feu, le système de prévention des intrusions (IPS), le contrôle des applications et la protection contre les logiciels malveillants. Les mesures sont effectuées avec une taille de réponse HTTP de 200 Ko.
NGFW (Next-Generation Firewall)
Un pare-feu de nouvelle génération (NGFW) sur Sophos Firewall est plus qu’un pare-feu traditionnel. Il inclut des fonctionnalités avancées, telles que lessystèmes de prévention des intrusions(IPS) et le contrôle des applications, afin d’assurer un niveau de sécurité réseau plus élevé. Il offre un contrôle plus approfondi et plus détaillé du trafic réseau, ce qui permet de lutter plus efficacement contre les menaces.
Par exemple, un employé tente d’accéder à une application en nuage qui n’est pas autorisée à être utilisée dans l’entreprise, comme un service de stockage personnel en nuage. Le NGFW sur Sophos Firewall détecterait cette tentative d’accès (grâce au contrôle des applications), vérifierait le contenu de la requête (grâce à l’IPS) et bloquerait ensuite l’accès au service. Ces fonctionnalités supplémentaires permettent à Sophos Firewall d’aller au-delà de la simple surveillance des ports et des protocoles et de fournir à la place une compréhension et un contrôle plus approfondis du trafic réseau.
La performance du pare-feu de nouvelle génération est mesurée en activant l’IPS et le contrôle des applications avec le trafic HTTP. Pour cela, un jeu de règles IPS standard et une taille d’objet de 512 Ko sont utilisés.