Cahier Des Charges Firewall Prevention Intrusion

SÉCURITÉ IT : FIREWALL, FILTRAGE URL, GESTION DE LOGS PRÉVENTION D’INTRUSIONS...
SÉCURITÉ IT
Firewall, filtrage url, gestion de logs prévention d’intrusions...
Ce guide vous assistera tout au long du cycle de réalisation de

Grâce
votre à ceITguide,
projet bénéficiez
: Assistance d’uned’ouvrage,
à maîtrise base solide, indispensable
rédaction pour
de cahier
élaborer
des un cahier
charges, des charges
évaluation personnalisé
des technologies, aideenau
fonction de vos be-
choix, vérification
soins
des et de vos objectifs.
fonctionnalités nécessaires…
CAHIER DES CHARGES

1/24 PAGES | WWW.GUIDESCOMPARATIFS.COM
A PROPOS DE CE GUIDE
Les solutions de sécurité informatique
1 UTILISER CE GUIDE 2 DROITS D’USAGE 3 COMMUNAUTÉ

La structure et le contenu de guidescomparatifs.com Partagez votre expertise,
ces guides constituent une autorise toute personne échangez autour de vos
excellente base pour préparer physique ou morale à utiliser projets IT et faites-nous part
un cahier des charges ou un et reproduire ce document de vos retours d’expérience
comparatif. pour son propre usage à sur l’utilisation des modèles
condition d’en citer la source. de cahiers des charges.
En savoir plus En savoir plus En savoir plus
4 INFOGRAPHIES 5 INTERVIEWS 6 FORMATIONS

Des statistiques, comptes Les responsables Une gamme de sessions
rendus d’étude, éléments de informatiques s’expriment d’une journée destinées à
réflexion sur une cinquantaine sur la mise en œuvre approfondir un sujet et à
de sujets IT. Téléchargez opérationnelle de leurs matérialiser la démarche de
librement ces infographies sur projets : conseils, anecdotes préparation d’un projet.
guidescomparatifs.com. pratiques, pièges à éviter…
En savoir plus En savoir plus En savoir plus
GUIDES COMPARATIFS
Le portail collaboratif du cahier des charges

INTRODUCTION :
Contexte technologique, méthodologie et éléments de cadrage
Les menaces sur les systèmes informatiques ne cessent de se mul-

tiplier, suivant en cela la complexité et l’ouverture des SI, le rythme
d’évolution des technologies… et l’erreur ou la négligence humaines,
première source de menace.
Le succès grandissant des « appliances » de sécurité depuis 2004

repose sur un traitement des différents aspects de la sécurité à partir
d’une seule et même plateforme mutualisant et homogénéisant les
traitements.
Une « appliance » de sécurité se compose d’éléments matériels et

logiciels, qui peuvent être mis en œuvre et administrés à partir d’une
console unique et/ou centralisée.
Couverture fonctionnelle
Leur couverture fonctionnelle diffère d’une « appliance » à l’autre :

• Passerelle VPN
• Firewall
• Analyse des flux réseau
• Chiffrement des flux
• Filtrage d’url
• Prévention d’intrusion
• Détection des vulnérabilités
• Authentification des utilisateurs
• Antivirus
• Antispam et antiphishing
• Analyse de logs…
L’atout central des « appliances » est d’éviter l’assemblage de briques

technologiques, la simplification des infrastructures de sécurité,
l’allègement des charges de mises à jour, du pilotage du système de
sécurité et de l’acquisition des compétences.
La gestion des sites distants est par exemple particulièrement sen-

sible aux bénéfices apportés par les

« appliances » et les perspectives d’une gestion centralisée des ré-
seaux distribués.
En contrepartie, on peut noter les risques attachés à ces

« appliances », risque de ralentissement du trafic et centralisation des
risques de défaillance ou de vulnérabilité.
Critères de choix
Les critères de choix d’une « appliance » de sécurité prendront donc

en compte plus particulièrement certaines caractéristiques :
• La couverture fonctionnelle et les capacités d’intégration ou d’in-
terface avec l’ensemble du SI et de l’infrastructure de gestion de la
sécurité.
• La performance : La mise à jour continue doit permettre de disposer
de versions toujours actualisées garantissant la plus grande efficacité
possible. La performance passe par la puissance de traitement mais
aussi par les différentes méthodes mises en œuvre et leur combinai-
son.
• La simplicité de configuration, de mise à jour et de reporting, élé-
ments clés de la maîtrise des coûts d’infrastructure.
Enfin, domaine fréquemment sous-estimé, la certification des « ap-

pliances » :
Des certifications sont éditées, relevant de règles de conformité régle-

mentaire, et recouvrent différents niveaux de sécurité en France ou
en Europe.
Il est important d’étudier et de sélectionner les
« appliances » capables d’assurer la conformité aux certificats que
l’entreprise doit ou peut devoir appliquer.

SOMMAIRE :
Firewall, filtrage URL, gestion de logs et prévention d’intrusions
1 DESCRIPTIF DU PROJET
1.1. Etude de l’existant
1.1.1. Schéma architecture
1.1.2. Eléments de volumétrie
1.1.3. Equipements actuels en matière de sécurité
1.2. Evolutions souhaitées
1.2.1. Architecture cible
1.2.2. Utilisation de nouvelles fonctionnalités
2 GESTION DES CONFIGURATIONS DE L’APPLIANCE DE

SÉCURITÉ
2.1. Configuration réseau
2.2. Translation d’adresses
2.3. Gestion VPN
2.3.1. VPN IPSEC
2.3.2. VPN SSL
2.4. Serveur/relais DHCP
2.5. Serveur/cache DNS
3 PRÉVENTION DES INTRUSIONS

3.1. Filtrage - Politique de sécurité
3.2. Prévention d’intrusion (IPS)
3.3. Analyse des vulnérabilités
3.4. Authentification des utilisateurs
4 FONCTIONNALITÉS UTM INTÉGRÉES – FIREWALL MUL-

TI-FONCTIONS
4.1. Filtrages URLs
4.2. Antivirus
4.3. Antispam
4.4. Analyse des flux chiffrés (SSL)

5 PERFORMANCES DE L’APPLIANCE DE SÉCURITÉ

5.1. Performances IPS
5.2. Performances IMIX
6 MAINTENANCE DE L’APPLIANCE DE SÉCURITÉ

6.1. Mises à jour
6.2. Backup/restauration
7 DIMENSIONNEMENT HARDWARE ET GESTION DE LA

DISPONIBILITÉ
7.1. Interfaces souhaitées
7.1.1. Nombre d’interfaces
7.1.2. Type d’interfaces (cuivre, fibre 1Gbps, fibre 10Gbps…)
7.2. Options Hardware
7.2.1. Redondance alimentation
7.2.2. Redondance disques durs (RAID1)
7.2.3. Carte 3G/USB
7.3. Haute Disponibilité (HA)
8 ADMINISTRATION, SUPERVISION ET REPORTING

8.1. Administration du Firewall
8.2. Supervision :
8.2.1. Supervision Appliance
8.2.2. Supervision SNMP
8.3. Analyse des logs
8.4. Génération automatique de rapports
8.5. Administration centralisée (pour projet multi sites)
9 CERTIFICATIONS EN MATIÈRE DE SÉCURITÉ DES

SYSTÈMES D’INFORMATION

TEXTES ET QCM
Firewall, filtrage URL, gestion des logs et prévention d’intrusions
1. Descriptif du projet
1.1. Etude de l’existant
1.1.1. Schéma architecture
Décrivez l’organisation générale de l’infrastructure IT :
1.1.2. Eléments de volumétrie
Combien de sites seront concernés par ce projet de sécurisation réseau

?
Combien de postes de travail sont connectés au(x) réseau(x) ?
Hébergez-vous des serveurs applicatifs ?

□ Oui
□ Non
Si oui, combien ?
Quel est le parc informatique nomade ? Combien y a-t-il de connexions

simultanées ?
Quels sont les paramètres de débit des connexions ?
1.1.3. Equipements actuels en matière de sécurité
Décrivez l’architecture du système de sécurité informatique en place :
Quels sont les équipements et les fonctionnalités en œuvre

actuellement, destinés à assurer la sécurité du système d’information ?

1.2. Evolutions souhaitées
1.2.1. Architecture cible
Quelles évolutions de l’architecture sécurité sont prévues ? Quelles

autres évolutions sont prévues ?
1.2.2. Utilisation de nouvelles fonctionnalités :
Quelles nouvelles fonctionnalités souhaitez-vous mettre en place ?

□ Solutions de Sécurité Unifiées (UTM)
□ Filtrage URLs
□ Pare-feu / Firewall IPS
□ Réseau Privé Virtuel (VPN)
□ Anti-virus
□ Logiciel anti-espion / Antispyware
□ Logiciel anti-pourriel / Antispam
□ Anti-rootkit
□ Phishing
□ Spam image
□ Proxy
□ Cryptage
□ Protocole SSL (Secure Sockets Layers)
□ Chiffrement/Certificats
□ Autre(s):
2. Gestion des configurations de l’appliance

de sécurité
2.1. Configuration réseau
La solution est-elle en mesure de gérer la répartition de charge sur

plusieurs liens opérateurs ?
□ Oui
□ Non
La solution peut-elle gérer le backup sur plusieurs liens opérateurs ?

□ Oui
□ Non

Le mode de gestion de réseau « Policy Based Routing » (PBR) est-il

supporté par la solution ?
□ Oui
□ Non
Si oui, selon quels critères :

□ IP source
□ IP destination
□ Interface
□ Protocole
□ Interface d’entrée
□ Application et du tag DSCP
Les interfaces peuvent-elles être configurées en mode :

□ Routé
□ Bridge
□ Mixte (association du mode routé et du mode bridge)
La solution gère-t-elle les « VLANs » (Virtual LAN) ?

□ Oui
□ Non
Si oui supporte-t-elle le mode bridge avec les « VLANs » ?

□ Oui
□ Non
Le DynDNS peut-il être configuré sur une interface (publication de

son IP sur des serveurs DynDNS - dynamic dns) ?
□ Oui
□ Non
2.2. Translation d’adresses
La solution supporte-t-elle :
□ Les translations dynamiques (N -> 1) ?
□ Les translations statiques (N -> N) ?
□ Les redirections en fonction des ports ?
□ Autre (s), préciser :
La solution offre-t-elle la possibilité de translater source et

destination d’un paquet en une seule règle de translation ?
□ Oui
□ Non

La solution permet-elle de créer des règles de NAT en fonction :

□ De l’interface d’entrée et de sortie ?
□ Du tag DSCP ?
□ Autre (s), préciser
2.3. Gestion VPN
2.3.1. VPN IPSEC
Est-il possible de créer des tunnels site à site et nomades ?

□ Oui
□ Non
La solution permet-elle de monter des tunnels avec des produits

concurrents (respect normes IPsec) ?
□ Oui
□ Non
Les architectures maillées sont-elles supportées par la solution ?

□ Oui
□ Non
La solution supporte-t-elle les architectures Hub’n Spoke (étoile avec

rebond sur site central pour communiquer entre les sites distants) ?
□ Oui
□ Non
La solution permet-elle d’activer le DPD (détection de chute de

tunnels VPN IPsec) ?
□ Oui
□ Non
L’analyse des flux déchiffrés par l’IPS et le module de filtrage est-elle

gérée par la solution ?
□ Oui
□ Non
Les protocoles de chiffrement suivants sont-ils supportés par la

solution :
□ 3DES
□ AES256

La solution fonctionne-t-elle avec :

□ Des clefs pré partagées
□ Des certificats
La redondance de tunnels VPN automatique avec la configuration

d’un tunnel de Backup est-elle gérée par la solution ?
□ Oui
□ Non
2.3.2. VPN SSL
La solution possède-t-elle un VPN SSL intégré ?

□ Oui
□ Non
L’accès au système d’information de façon sécurisée via un portail

https d’authentification est-il possible ?
□ Oui
□ Non
La solution offre-t-elle à chaque utilisateur (ou groupe d’utilisateurs)

la possibilité d’avoir un profil spécifique donnant droit à l’accès à
certaines applications ?
□ Oui
□ Non
Les liens de redirection vers les applications web seront-ils

directement accessibles depuis le portail ?
□ Oui
□ Non
Pour les autres applications, sera-t-il possible de lancer directement

l’application via un simple « click » sur un bouton (ex : lancement
d’un telnet, du client TSE…) ?
□ Oui
□ Non
La solution offre-t-elle la possibilité de lancer des scripts à

l’ouverture et à la fermeture du tunnel (ex : purge des traces dans le
navigateur…) ?
□ Oui
□ Non

2.4. Serveur/relais DHCP
Le firewall peut-il être utilisé comme serveur DHCP ?

□ Oui
□ Non
Si oui, que peut récupérer le client auprès du serveur DHCP ?

□ La passerelle par défaut
□ Le serveur DNS D Le serveur WINS D L’IPbx
□ Le serveur de News
Un fichier de configuration de proxy peut-il être récupéré sur le

navigateur (.pac) ?
□ Oui
□ Non
Relais DHCP : Les requêtes reçues par le firewall peuvent-elles être

relayées vers un serveur DHCP tiers ?
□ Oui
□ Non
2.5. Serveur/cache DNS
La solution possède-t-elle une fonction serveur DNS ?

□ Oui
□ Non
Si oui, ce serveur est-il :

□ Transparent
□ Explicite
Est-il possible d’optimiser l’utilisation grâce à un cache DNS ?

□ Oui
□ Non
3. Prévention des intrusions

3.1. Filtrage - Politique de sécurité
La solution permet-elle un filtrage en fonction de :

□ L’adresse source
□ L’adresse destination
□ L’utilisateur
□ Le service

□ Le protocole
□ L’interface d’entrée D L’interface de sortie D Les tags DSCP
La solution permet-elle de gérer :

□ Des plages d’adresses
□ Des groupes d’IPs (machines, réseaux, plages d’adresses)
□ Des groupes d’utilisateurs
□ Des groupes de services
La qualité de service peut-elle être associée à une règle de filtrage ?

□ Oui
□ Non
La solution permet-elle de gérer :

□ Une politique de filtrage à deux niveaux « politique globale »
□ Une « politique locale »
Est-ce que chacune de ces politiques peut-être associée à :

□ Une base d’objets globale et une base d’objets locale
□ Un administrateur global et un administrateur local
La solution possède-t-elle une fonction de filtrage bloquant par

défaut : tout ce qui n’est pas autorisé est interdit ?
□ Oui
□ Non
La solution possède-t-elle un outil de test de cohérence des règles

(pour vérifier que des règles identiques ou contradictoires ne
cohabitent dans la politique) ?
□ Oui
□ Non
Est-il possible de donner un nom à une règle (l’objectif est de

faciliter son suivi dans les logs sur des longues périodes) ?
□ Oui
□ Non
La solution permet-elle de choisir le mode d’analyse (filtrage, IDS,

IPS) dans les règles de filtrage (donc en fonction de la source, de la
destination, du protocole, du service…) ?
□ Oui
□ Non
Des fonctionnalités applicatives (filtrage URLs, Antivirus…) peuvent-

elles être activées directement dans la politique de sécurité ?
□ Oui
□ Non
3.2. Prévention d’intrusion (IPS)
La solution possède-t-elle un équipement IPS (sonde de prévention

d’intrusion): Système de Prévention/Protection contre
les intrusions ?
□ Oui
□ Non
Quels types d’analyses la solution permet-elle de réaliser :

□ Une analyse comportementale : analyse statistique du trafic qui
détermine si le comportement peut être considéré comme
« normal » (ex : détection de scan de ports, identification de
machines infectées par un cheval de Troie…) ?
□ Une analyse protocolaire avec attachement automatique de
l’analyse des protocoles (pas nécessaire d’affecter manuellement
une analyse à un service)
□ Une analyse par signatures : analyse complémentaire qui
permet de détecter le détournement d’utilisation de protocole
(ex : encapsulation dans le http des peer-to-peer, messageries
instantanées, des flux multimédia…), les scanners de
vulnérabilités (Nessus, Qualys…), les injections SQL, les
vulnérabilités de certaines applications…
Pour chaque événement, est-il possible de :

□ Laisser passer ou bloquer
□ Envoyer une alarme
□ Envoyer un mail
□ Faire une mise en quarantaine automatique (IP totalement
bloquée pendant un temps donné)
Des flux applicatifs tels que Peer to peer, messagerie instantanée

peuvent-ils être identifiés avec la possibilité de les bloquer ?
□ Oui
□ Non
Les flux HTTPS non chiffrés sont-ils détectés avec possibilité de les
interdire ?
□ Oui
□ Non

La détection d’applications (MSN, Yahoo Messenger, TeamViewer,

LogMeIn) avec possibilité de bloquer/passer et de remontées des
alarmes est-elle gérée par la solution ?
□ Oui
□ Non
La solution permet-elle de gérer des profils IPS avec association à

certains trafics dans la politique de filtrage ?
□ Oui
□ Non
Si oui, pour quelles politiques de filtrage :

□ IP source
□ IP destination
□ Service
□ Protocole
□ Réseau
La détection du Javascript à la volée (sans proxy) et l’analyse

(décodage tel que le fait le navigateur) sont-ils possibles ?
□ Oui
□ Non
La solution offre-t-elle la possibilité :

□ De bloquer la page
□ De supprimer la fonction Javascript suspecte (par la mise en
commentaire dans le code).
3.3. Analyse des vulnérabilités
L’équipement permet-il :
□ La détection et l’affichage des machines
□ La détection et l’affichage des serveurs du réseau avec l’OS
□ La détection et l’affichage des services activés
En cas de détection de l’activation d’un nouveau service (nouveau

serveur SMTP, http…), un mail d’alerte est-il envoyé ?
□ Oui
□ Non
Les vulnérabilités associées aux machines sont-elles remontées

automatiquement avec un niveau de criticité plus ou moins élevé ?
□ Oui
□ Non
Un rapport par mail est-il envoyé en fonction de la criticité des

alarmes ?
□ Oui
□ Non
3.4. Authentification des utilisateurs
La solution permet-elle d’authentifier des utilisateurs sur une base

interne au produit (annuaire LDAP)
□ Oui
□ Non
La solution offre-t-elle la possibilité de s’interconnecter avec un

annuaire externe (LDAP « classique » ou AD) avec récupération des
utilisateurs ainsi que des groupes ?
□ Oui
□ Non
L’authentification est-elle possible pour l’ensemble des protocoles

(demande d’authentification intégrée à la règle de filtrage) ?
□ Oui
□ Non
Les droits spécifiques aux administrateurs (accès à tels ou tels

modules de la configuration en lecture ou en écriture) sont-ils gérés
dans la solution ?
□ Oui
□ Non
L’équipement est-il capable de générer :

□ Des certificats (être Autorité de Certification dans le cadre d’une
PKI)
□ Une liste de révocation
Ces certificats respectent-ils le standard X509 pour être utilisés avec

tous types d’applications (notamment VPN, authentification des
utilisateurs…) ?
□ Oui
□ Non
L’équipement est-il capable de gérer plusieurs niveaux de CA ?

□ Oui
□ Non

La solution permet-elle l’authentification transparente des

utilisateurs de l’Active Directory par utilisation du protocole
SPNEGO ?
□ Oui
□ Non
Les droits spécifiques aux utilisateurs (droits d’administration,

droits VPN…) peuvent-ils être gérés sans modification du schéma de
l’annuaire externe ?
□ Oui
□ Non
4. Fonctionnalités UTM intégrées – Firewall

multi- fonctions
4.1. Filtrages URLs
Le proxy http peut-il être activé en mode :

□ Transparent
□ Explicite
Les URLs peuvent-elles être filtrées par catégories (pornographie,

loisirs, multimédia…) ?
□ Oui
□ Non
Des catégories de filtrage sont-elles disponibles par défaut ?

□ Oui, combien ?
□ Non
Est-il possible de disposer de catégories d’un éditeur spécialisé dans

le filtrage d’URLs ?
□ Oui, lesquelles ? (exemple Optenet)
□ Non
Est-il possible d’ajouter ses propres catégories ?

□ Oui
□ Non
Est-il possible de donner des droits en fonction des utilisateurs

(après authentification sur un portail captif) ?
□ Oui
□ Non

Le blocage des pages interdites est-il accompagné de l’affichage

d’une page d’information personnalisable ?
□ Oui
□ Non
4.2. Antivirus
La solution dispose-t-elle d’un antivirus pour les protocoles

suivants :
□ HTTP
□ FTP
□ SMTP
□ POP3
□ HTTPs après déchiffrement
□ FTPs après déchiffrement
□ SMTPs après déchiffrement
□ POP3s après déchiffrement
La solution dispose-t-elle d’un antivirus du « monde libre »

(OpenSource) disponible par défaut ?
□ Oui
□ Non
Si oui, cet antivirus peut-il évoluer vers un standard du marché ?

□ Oui
□ Non
Est-il possible d’analyser des fichiers compressés ?

□ Oui
□ Non
Si oui, lesquels :
□ Zip
□ RAR
□ Tar
□ Gzip
□ Bzip2
□ OLE2
□ Cabinet
□ CHM
□ BinHex
□ UPX
□ FSG
□ Petite

□ NsPack
□ wwpack32
□ MEW
Les fichiers chiffrés ou protégés par un mot de passe peuvent-ils être

refusés ?
□ Oui
□ Non
4.3. Antispam
La solution permet-elle l’utilisation d’un Antispam pour les protocoles

suivants:
□ SMTP
□ POP3
La solution permet-elle :
□ L’analyse par listes noires DNS
□ L’analyse heuristique
Est-il possible de déterminer plusieurs niveaux de SPAM (probabilité

qu’un mail soit un SPAM suite à l’analyse) ?
□ Oui
□ Non
En fonction du niveau de SPAM :
Le sujet du mail peut-il être « taggé » ?

□ Oui
□ Non
L’email peut-il être supprimé ?

□ Oui
□ Non
4.4. Analyse des flux chiffrés (SSL)
Les flux SSL (peuvent-ils être déchiffrés (méthode « man in the middle
»)sur tous les protocoles (IMAPs, POP3s, HTTPs, SMTPs…) ?
□ Oui
□ Non

La solution permet-elle de gérer une liste blanche des domaines

qu’on ne veut pas déchiffrer ?
□ Oui
□ Non
Est-il possible d’activer les analyses applicatives ?

□ Oui
□ Non
L’antivirus peut-il être activé sur les flux déchiffrés ?

□ Oui
□ Non
Les applications peuvent-elles être détectées dans les flux HTTPs

déchiffrés (détection de SKYPE, Facebook…) ?
□ Oui
□ Non
5. Performances de l’appliance de sécurité

5.1. Performances Firewall/IPS
L’appliance permet-elle d’obtenir les performances suivantes avec la

fonctionnalité IPS (sonde de prévention d’intrusion) activée ?
□ 0,5 Gbps
□ 1 Gbps
□ 5 Gbps
□ 10 Gbps
□ Autre performance maximale :
5.2. Performances Firewall/IPS avec traffic IMIX
L’appliance permet-elle d’obtenir les performances suivantes en

mode Firewall/IPS en flux IMIX (flux mixte qui correspond à une
utilisation classique de l’Internet) ?
□ 0,5 Gbps
□ 1 Gbps
□ 5 Gbps
□ 10 Gbps
□ Autre performance maximale :

6. Maintenance de l’appliance de sécurité

6.1. Mises à jour
La mise à jour du firmware du boitier se fait-elle par l’envoi d’un

fichier unique depuis l’interface graphique ?
□ Oui
□ Non
Les mises à jour de sécurité (Antivirus, Antispam, Analyse

Vulnérabilités, IPS…) peuvent-elles être programmées (pendant la
nuit par exemple) à une fréquence donnée ?
□ Oui
□ Non
Si oui, à quelle fréquence ?
6.2. Backup/restauration
La sauvegarde de la configuration peut-elle être récupérée dans un

fichier de façon simple avec les outils d’administration graphique ?
□ Oui
□ Non
La restauration peut-elle se faire sur tout produit de la même

version majeure ?
□ Oui
□ Non
La restauration peut-elle être :

□ Totale
□ Partielle
La solution possède-t-elle deux partitions « système » ?

□ Oui
□ Non
La solution peut-elle être bootée sur l’une ou l’autre des partitions ?

□ Oui
□ Non
La partition de backup peut-elle permettre de :

□ Conserver une configuration après modification
□ Permettre un retour en arrière en cas de mise à jour du produit

7. Dimensionnement hardware et gestion de

la disponibilité
7.1. Interfaces
7.1.1. Nombre d’interfaces
Quel est le nombre d’interfaces physiques minimum gérés par la

solution ?
7.1.2. Type d’interfaces (cuivre, fibre 1Gbps, fibre 10Gbps…)
Quels types d’interfaces sont gérés par la solution ?

□ 1 Gbps cuivre
□ 1 Gbps FO
□ 10 Gbps FO
7.2. Options Hardware

7.2.1. Redondance alimentation
La solution possède-t-elle des alimentations redondantes ?

□ Oui
□ Non
7.2.2. Redondance disques durs (RAID1)
La solution gère-t-elle la redondance des disques durs (en RAID1) ?

□ Oui
□ Non
7.2.3. Carte 3G/USB
Est-il possible d’ajouter à la solution un modem 3G connecté à une

interface USB ?
□ Oui
□ Non
Le modem 3G peut-il être utilisé, pour pallier l’indisponibilité d’une

connexion à haut débit, comme :
□ Lien primaire
□ Lien secondaire

7.3. Haute Disponibilité (HA)
Est-ce que les équipements peuvent être mis en Haute

Disponibilité ?
□ Oui
□ Non
La solution propose-t-elle une synchronisation de la configuration

des deux équipements dès qu’une modification est réalisée ?
□ Oui
□ Non
En cas de basculement :
Les connexions sont-elles conservées ?

□ Oui
□ Non
Les translations sont-elles conservées ?

□ Oui
□ Non
Les utilisateurs authentifiés sont-ils conservés ?

□ Oui
□ Non
Est-ce que chaque firewall analyse son propre état et vérifie celui de
l’autre équipement ?
□ Oui
□ Non
Le lien de Haute Disponibilité peut-il être affecté à :

□ Une interface physique
□ Un Vlan
La solution offre-t-elle la possibilité de doubler le lien de Haute

Disponibilité ?
□ Oui
□ Non
La solution permet-elle de mettre des poids à chacune des

interfaces (cette valeur sera prise en compte pour déterminer si une
bascule automatique doit avoir lieu ou non) ?
□ Oui
□ Non
Le seuil de déclenchement (nombre d’échecs, temps entre chaque

tentative…) de la bascule est-il paramétrable dans l’interface
graphique ?
□ Oui
□ Non
8. Administration, supervision et reporting

8.1. Administration du Firewall
La solution dispose-t-elle d’un outil d’administration du firewall en

français ?
□ Oui
□ Non
La solution dispose-t-elle d’une interface graphique HTTPs simple et

ergonomique (possibilité de faire des Drag and drop depuis la base
d’objets, recherche simple dans la politique de filtrage…) ?
□ Oui
□ Non
Les différentes politiques et les différents modules peuvent-ils

être configurés en mode « objet » (machines, réseaux, services,
protocoles…) avec possibilité de faire des groupes ?
□ Oui
□ Non
8.2. Supervision :
8.2.1. Supervision Appliance
La solution possède-t-elle un outil de monitoring permettant de

suivre l’activité de plusieurs Firewalls simultanément ?
□ Oui
□ Non
La solution offre-t-elle la possibilité de faire des filtres sur des mots

clefs afin de faciliter la lecture des nouvelles informations (exemple
: voir uniquement les alarmes bloquantes par un filtre sur l’action de
l’alarme) ?
□ Oui
□ Non

La solution dispose-t-elle d’un tableau de bord général présentant de

façon globale l’état de l’équipement ?
□ Oui
□ Non
Le tableau de bord permet-il de visionner en temps réel :

□ Les remontés d’alarmes
□ Les vulnérabilités
□ Le débit sur chacune des interfaces
□ Les utilisateurs authentifiés
□ L’état des tunnels VPN
□ La charge CPU
□ Les sessions actives
□ L’état de la quarantaine,
□ Le suivi des mises à jour des différentes bases (IPS, Antivirus,
Antispam…)
8.2.2. Supervision SNMP
La solution supporte-t-elle le protocole SNMP ?

□ Oui
□ Non
En quelles versions ?
□ 1
□ 2
□ 3
La solution supporte-t-elle la MIB II et une MIB du constructeur qui

permet de remonter des informations comme les alarmes « IPS » et «
système » ?
□ Oui
□ Non
8.3. Analyse des logs
Les traces de l’activité peuvent-elles être exportées ?

□ Oui
□ Non
Si oui,
□ Vers un serveur syslog
□ Dans une base SQL externe aux boitiers Firewalls

La solution met-elle à disposition différents types de logs ?

□ Oui
□ Non
Si oui, lesquels :
□ Alarmes
□ Vulnérabilités
□ Connexions
□ Sites web visités
□ Actions de l’antivirus
□ Actions de l’antispam
La solution offre-t-elle la possibilité de visualiser différents logs sur

une période donnée ?
□ Oui
□ Non
La solution permet-elle de créer des filtres sur chacune des

informations de la ligne de logs ?
□ Oui
□ Non
Est-il possible de réaliser un filtre croisé dynamique par un copier-

coller d’une colonne de la ligne de logs ?
□ Oui
□ Non
La charge CPU, le débit sur les interfaces, le niveau de sécurité…,

peuvent-ils être visualisés sous forme graphique ?
□ Oui
□ Non
Les logs d’administration sont-ils disponibles afin de savoir quel

administrateur a fait quoi et quand ?
□ Oui
□ Non
Les logs de suivi des tunnels VPN sont-ils disponibles afin de pouvoir
savoir si un tunnel est « tombé » et pour quelle raison ?
□ Oui
□ Non

8.4. Génération automatique de rapports
La solution permet-elle de générer des rapports graphiques de façon

automatique (à une fréquence donnée et sur une période d’analyse
donnée) et sous forme de fichiers PDF ?
□ Oui
□ Non
La solution propose-t-elle une agrégation automatique des logs ?

□ Oui
□ Non
Si oui, à quelle fréquence (afin de pouvoir faire des rapports/

analyses sur de longues périodes) ?
□ Journalière
□ Hebdomadaire
□ Mensuelle
Ces rapports synthétisent-ils les données de :

□ L’IPS
□ Du Firewall
□ De l’Antivirus
□ Du Filtrage d’URLs
Tous les rapports peuvent-ils être pré-configurés ?

□ Oui
□ Non
8.5. Administration centralisée (pour projet multi sites)
La solution offre-t-elle la possibilité d’administrer plusieurs

équipements à partir du même outil d’administration ?
□ Oui
□ Non
La solution permet-elle la représentation graphique de l’architecture

dans des maps (possibilité de représenter les boîtiers Firewall ainsi
que d’autres équipements : switchs, routeurs…) ?
□ Oui
□ Non

La solution propose-t-elle une supervision des équipements (avec

indicateur visuel rouge/vert) et suivi des niveaux d’alarmes ?
□ Oui
□ Non
Est-il possible de réaliser de façon centralisée :

□ La sauvegarde
□ La mise à jour
□ Le backup
□ Le déploiement de politique
□ L’envoi de scripts de configuration
9. Certifications en matière de sécurité des

systèmes d’information
La solution est-elle certifiée par l’ANSSI (Agence nationale de la
sécurité des systèmes d’information) au niveau EAL4+ sur le cœur de
la technologie (firewall/IPS) ?
□ Oui
□ Non
La solution est-elle certifiée par l’ANSSI au niveau EAL3+ sur les

fonctionnalités VPN, authentification et administration ?
□ Oui
□ Non
La solution est-elle certifiée RESTREINT UE, niveau « Diffusion

Restreinte » ?
□ Oui
□ Non

Cahier Des Charges Firewall Prevention Intrusion

Transféré par

Droits d'auteur :

Formats disponibles

Cahier Des Charges Firewall Prevention Intrusion

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cahier Des Charges Firewall Prevention Intrusion

Transféré par

Droits d'auteur :

Formats disponibles

SÉCURITÉ IT : FIREWALL, FILTRAGE URL, GESTION DE LOGS PRÉVENTION D’INTRUSIONS...

Ce guide vous assistera tout au long du cycle de réalisation de

CAHIER DES CHARGES

1 UTILISER CE GUIDE 2 DROITS D’USAGE 3 COMMUNAUTÉ

En savoir plus En savoir plus En savoir plus

4 INFOGRAPHIES 5 INTERVIEWS 6 FORMATIONS

En savoir plus En savoir plus En savoir plus

2/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

Les menaces sur les systèmes informatiques ne cessent de se mul-

Le succès grandissant des « appliances » de sécurité depuis 2004

Une « appliance » de sécurité se compose d’éléments matériels et

Leur couverture fonctionnelle diffère d’une « appliance » à l’autre :

L’atout central des « appliances » est d’éviter l’assemblage de briques

La gestion des sites distants est par exemple particulièrement sen-

3/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

sible aux bénéfices apportés par les

En contrepartie, on peut noter les risques attachés à ces

Les critères de choix d’une « appliance » de sécurité prendront donc

Enfin, domaine fréquemment sous-estimé, la certification des « ap-

Des certifications sont éditées, relevant de règles de conformité régle-

4/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

2 GESTION DES CONFIGURATIONS DE L’APPLIANCE DE

3 PRÉVENTION DES INTRUSIONS

4 FONCTIONNALITÉS UTM INTÉGRÉES – FIREWALL MUL-

5/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

5 PERFORMANCES DE L’APPLIANCE DE SÉCURITÉ

6 MAINTENANCE DE L’APPLIANCE DE SÉCURITÉ

7 DIMENSIONNEMENT HARDWARE ET GESTION DE LA

8 ADMINISTRATION, SUPERVISION ET REPORTING

9 CERTIFICATIONS EN MATIÈRE DE SÉCURITÉ DES

6/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

1.1.1. Schéma architecture

Décrivez l’organisation générale de l’infrastructure IT :

1.1.2. Eléments de volumétrie

Combien de sites seront concernés par ce projet de sécurisation réseau

Combien de postes de travail sont connectés au(x) réseau(x) ?

Hébergez-vous des serveurs applicatifs ?

Quel est le parc informatique nomade ? Combien y a-t-il de connexions

Quels sont les paramètres de débit des connexions ?

1.1.3. Equipements actuels en matière de sécurité

Décrivez l’architecture du système de sécurité informatique en place :

Quels sont les équipements et les fonctionnalités en œuvre

7/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

1.2. Evolutions souhaitées

1.2.1. Architecture cible

Quelles évolutions de l’architecture sécurité sont prévues ? Quelles

1.2.2. Utilisation de nouvelles fonctionnalités :

Quelles nouvelles fonctionnalités souhaitez-vous mettre en place ?

2. Gestion des configurations de l’appliance

La solution est-elle en mesure de gérer la répartition de charge sur

La solution peut-elle gérer le backup sur plusieurs liens opérateurs ?

8/24 PAGES | WWW.GUIDESCOMPARATIFS.COM

Le mode de gestion de réseau « Policy Based Routing » (PBR) est-il

Si oui, selon quels critères :

Les interfaces peuvent-elles être configurées en mode :

La solution gère-t-elle les « VLANs » (Virtual LAN) ?

Si oui supporte-t-elle le mode bridge avec les « VLANs » ?

Le DynDNS peut-il être configuré sur une interface (publication de

2.2. Translation d’adresses