Architecture Xstream<\/h2>\n\n
Un point fort particulier de la v18 est la nouvelle architecture de traitement des paquets. Celle-ci offre plus de performance, de s\u00e9curit\u00e9 et de visibilit\u00e9 pour le trafic crypt\u00e9. La v18 a beaucoup \u00e9volu\u00e9.<\/p>\n\n
Info<\/strong>: Le \u00ab\u00a0X\u00a0\u00bb dans \u00ab\u00a0Xstream\u00a0\u00bb signifie NextGerneation et le ‘Stream’ pour le nouveau moteur DPI, qui est une solution de num\u00e9risation bas\u00e9e sur le streaming.<\/p>\n\n Nous avons d\u00e9j\u00e0 parl\u00e9 de l’inspection SSL ou, plus souvent, du \u00ab\u00a0contr\u00f4le SSL\u00a0\u00bb ou du \u00ab\u00a0contr\u00f4le HTTPS\u00a0\u00bb : Contr\u00f4le HTTPS : pourquoi l’activer sur Sophos ?<\/a><\/p>\n\n En r\u00e9sum\u00e9<\/strong>, il n’y a pas de probl\u00e8me : Le trafic HTTP peut \u00eatre contr\u00f4l\u00e9 sans probl\u00e8me par le pare-feu, car il n’est pas crypt\u00e9. En revanche, le trafic HTTPS doit d’abord \u00eatre bris\u00e9<\/em>. Ce n’est qu’alors que le pare-feu peut le scanner. Le probl\u00e8me jusqu’\u00e0 pr\u00e9sent \u00e9tait que le proxy web ne pouvait d\u00e9crypter que le trafic HTTPS passant par le port 443. Si le trafic passait par un autre port, par exemple https:\/\/www.example.com:8000,<\/em> le pare-feu \u00e9tait \u00e0 nouveau aveugle.<\/p>\n\n Avec la v18, on est \u00e0 nouveau arm\u00e9 contre les technologies les plus r\u00e9centes et on peut v\u00e9rifier aussi bien le trafic SSL que TLS 1.3. Peu importe par quels ports ou protocoles le trafic passe. \ud83e\udd29 Mais sous le capot (architecture), beaucoup de choses ont d\u00fb changer pour cela, ce dont l’administrateur de pare-feu n’a heureusement pas \u00e0 souffrir.<\/p>\n\n D’une part, il faut un profil de d\u00e9cryptage<\/strong>, qui est \u00e0 son tour rattach\u00e9 \u00e0 une r\u00e8gle d’inspection SSL\/TLS<\/strong>. Cette r\u00e8gle d\u00e9finit ensuite quel trafic doit \u00eatre contr\u00f4l\u00e9.<\/p>\n\n <\/p>\n\n Ainsi, il est possible de d\u00e9finir quel trafic doit \u00eatre contr\u00f4l\u00e9 ind\u00e9pendamment des r\u00e8gles de pare-feu.<\/p>\n\n A ce stade, il existe \u00e9galement des profils de d\u00e9cryptage<\/strong> et des r\u00e8gles d’exception pour l’inspection SSL\/TLS<\/strong> d\u00e9j\u00e0 pr\u00e9d\u00e9finis. Dans ces r\u00e8gles d’exception, il y a une liste g\u00e9r\u00e9e par Sophos pour que les sites web et les applications qui posent probl\u00e8me ne soient pas contr\u00f4l\u00e9s.<\/p>\n\n La vid\u00e9o suivante de Sophos vous pr\u00e9sente bri\u00e8vement le moteur d’inspection SSL Xstream dans XG Firewall v18 :<\/p>\n\nInspection SSL\/TLS Xstream<\/h3>\n\n
![\"Règle](\"https:\/\/www.avanet.com\/assets\/sophos-firewall-sfos-v18-ssl-tls-inspection-rule-1024x913.jpg\")
<\/a><\/figure>\n\n\n\n![\"Profils](\"https:\/\/www.avanet.com\/assets\/sophos-firewall-sfos-v18-decryption-profiles-1024x913.jpg\")
<\/a><\/figure>\n<\/figure>\n\n