A Secure Next-Generation Firewall Architecture Against DDoS Attacks

Dans un monde de systèmes et de technologies qui évolue rapidement, la sécurité des réseaux n'est pas seulement une priorité, c'est une nécessité absolue. Les infrastructures de réseau et les systèmes d'information doivent continuer à se concentrer sur la manière de les sécuriser contre les cyberattaques. Le nombre de cybercriminels a considérablement augmenté au cours des dernières années, et il est de la plus haute importance de renforcer les mesures de cybersécurité et d'accroître la sensibilisation afin de protéger les actifs sensibles contre les menaces potentielles. La demande indéniable de solutions de sécurité efficaces ne cesse de croître, car les cyberattaques se sont généralisées, affectant les systèmes et les réseaux de divers secteurs d'activité. Cette tendance souligne l'urgence de mettre en oeuvre des méthodes et des stratégies avancées pour contrer le nombre croissant et la sophistication des cyberattaques, qui constituent une menace sérieuse pour les individus et les organisations à l'échelle mondiale. L'objectif principal des mesures de sécurité actuelles est d'anticiper et de gérer les cybermenaces courantes, en particulier les attaques par déni de service “Denial of Service” (DoS) et par déni de service distribué “Distributed Denial of Service” (DDoS). Il s'agit de tirer parti de scénarios prédictifs et d'outils de sécurité avancés pour identifier les vulnérabilités et prévoir les schémas d'attaque. Lorsqu'une menace est détectée, des mécanismes de défense automatisés et en temps réel sont immédiatement mis en oeuvre pour atténuer l'impact de l'attaque. Cette recherche vise à développer une stratégie globale de cybersécurité contre les attaques DDoS. Elle intègre l'utilisation d'un pare-feu de nouvelle generation “Next-Generation Firewall” (NGFW), du trafic “Voice over Internet Protocol” (VoIP), de la gestion des informations et des événements de sécurité “Security Information and Event Management” (SIEM), d'un serveur Web, de Kali Linux, et de commutateurs et routeurs de couche 2 sur trois couches distinctes du réseau : l'accès, la zone démilitarisée “Demilitarized Zone” (DMZ) et le coeur. En combinant ces technologies, le mécanisme assure une protection solide et une atténuation efficace des menaces à chaque couche du réseau. Dans un premier temps, nous configurons une topologie de réseau sur la plateforme EVE-NG et sur VMware Workstation. La configuration et la politique du pare-feu de nouvelle génération sont essentielles pour la détection en temps réel et les stratégies d'atténuation des attaques DDoS, en vi établissant une architecture de réseau sécurisée. Il empêche les accès non autorisés, applique des contrôles d'accès stricts et utilise des techniques avancées de prévention des menaces, qui protègent l'intégrité et garantissent la disponibilité des ressources critiques du réseau. Le trafic VoIP, un service essentiel est très sensible et fait souvent l'objet d'attaques DDoS. En raison de sa dépendance à l'égard des communications en temps réel et des exigences strictes en matière de latence, les interruptions des services VoIP peuvent avoir un impact considérable sur la disponibilité opérationnelle. La gestion SIEM dote de la sécurité des réseaux d'informations exploitables et d'une intelligence axée sur l'analyse, permettant une surveillance de la sécurité en temps réel, une identification avancée des menaces, une gestion des incidents et une détection des anomalies basée sur l'analyse comportementale. Le serveur web sert d'interface web dans la couche DMZ et constitue une autre cible de choix pour les attaquants DDoS. Le système Kali Linux joue le rôle de l'attaquant DDoS dans l'environnement simulé et génère un trafic d'inondation pour submerger et perturber les services. Les commutateurs relient les dispositifs du réseau à différentes couches, principalement à la couche 2 (couche de liaison de données) pour transmettre les trames sur la base des adresses “Media Access Control” (MAC). Les routeurs acheminent les paquets de la source à la destination par l’intermédiaire des chemins optimaux grâce à des protocoles de routage, afin d'assurer une transmission efficace des données sur les réseaux interconnectés. Après une évaluation approfondie de toutes les exigences en matière de sécurité, l’infrastructure réseau devance les attaquants DDoS potentiels, ayant construit un modèle de défense adaptatif conçu pour protéger ses services. L'intégration du NGFW et du SIEM fonctionne en tandem pour créer un cadre de sécurité dynamique et résilient qui non seulement détecte et atténue les menaces, mais évolue également en permanence pour faire face aux risques émergents dans le paysage cybernétique en constante évolution. L'évaluation des deux scénarios, l'un sans mesures de sécurité et l'autre avec des mécanismes de défense en place, a révélé des différences significatives dans les performances des ressources de Firepower. La charge du processeur a considérablement diminué, passant d'un pic de 88 % à une utilisation moyenne de 23 % sur tous les coeurs de traitement. L'utilisation de la mémoire du système a légèrement baissé à 59 %, tandis que la consommation de bande passante réseau a fortement chuté, avec un débit sortant passant de 352,86 kbit/s à 10,77 kbit/s. Les journaux de prévention des intrusions ont confirmé que Firepower a détecté et bloqué les modèles d'attaque dès les premières phases, ce qui a réduit le temps nécessaire pour identifier les menaces et éliminer le trafic non autorisé. Une comparaison directe de ces scénarios a démontré les risques d’un réseau non protégé, où le trafic d’attaque non filtré surchargeait les ressources et exposait des services critiques. En revanche, le déploiement des politiques de sécurité multi-niveaux de Firepower, associé à l’analyse des points de terminaison de Wazuh SIEM, a constitué une architecture de protection efficace, garantissant la stabilité du réseau, optimisant l'utilisation des ressources et maintenant la disponibilité des services. Ces résultats ont validé la robustesse du cadre de sécurité proposé pour prévenir les attaques DDoS à grande échelle et protéger les infrastructures réseau.

Abstract

In the rapidly advancing world of systems and technologies, evolving network security is not just a priority, it is a critical necessity. The focus of network infrastructures and information systems should remain on how to make them secure against cyberattacks. The rate of cyber criminals has significantly risen over the past few years, and it is of the utmost importance to strengthen cybersecurity measures and raise awareness to protect sensitive assets from potential threats. The undeniable demand for effective security solutions continues to grow, as cyber breaches have become widespread, affecting systems and networks across various industries. This trend emphasizes the urgency to implement advanced methods and strategies to counter the rising number and sophistication of cyberattacks, which pose serious threats to both individuals and organizations globally. The primary goal of current security metrics is to anticipate and manage common cyber threats, particularly Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks. This involves leveraging predictive scenarios and advanced security tools to identify vulnerabilities and forecast attack patterns. When a threat is detected, automated, real-time defense mechanisms are immediately employed to mitigate the attack's impact. This research aims to develop a secure Next-Generation Firewall architecture against DDoS attacks. It incorporates the use of Next-Generation Firewall (NGFW), Voice over Internet Protocol (VoIP) Traffic, Security Information and Event Management (SIEM), Web Server, Kali Linux, and Layer 2 Switches and Routers across three distinct network layers of Access, Demilitarized Zone (DMZ), and Core. By combining these technologies, the mechanism ensures robust protection and efficient threat mitigation at each network layer. Initially, we will configure a network topology on the EVE-NG platform and VMware Workstation. The Next-Generation Firewall configuration and policy are pivotal in real-time detection and mitigation strategies against DDoS attacks, establishing a secure network architecture. It prevents unauthorized access, enforces strict access controls, and uses advanced threat prevention techniques, which protect the integrity and ensure the availability of critical network resources. VoIP traffic, an essential service within organizations, is highly sensitive and often subjected to DDoS attacks. Due to its reliance on real-time communication and strict latency requirements,disruptions in VoIP services can severely impact operational availability. SIEM management equips the network and data security ecosystem with actionable insights and analytics-driven intelligence, enabling real-time security monitoring, advanced threat identification, incident management, and anomaly detection based on behavioral analytics. The Web Server serves as the web interface in the DMZ layer and counts as another prime target for DDoS attackers. Kali Linux system plays the role of the DDoS attacker in the simulated environment and generates flooding traffic to overwhelm and disrupt services. Switches connect network devices at different layers, primarily at Layer 2 (Data Link Layer) to forward frames based on “Media Access Control” (MAC) addresses. Routers deliver packets from source to destination by optimal paths through routing protocols to provide efficient data transmission across interconnected networks. After thoroughly assessing all security requirements, the network infrastructure advances ahead of potential DDoS attackers, having built an adaptive defense architecture designed to protect its services. The integration of the NGFW and SIEM work in tandem to create a dynamic, resilient security architecture that not only detects and mitigates threats but also continuously evolves to address emerging risks in the ever-changing cyber landscape. The evaluation of both scenarios, one without security controls and the other with defense mechanisms in place, revealed substantial differences in Firepower’s resource metrics. Processor load dropped significantly, from a peak of 88% to an average utilization of 23% across all processing cores. System memory usage declined slightly to 59%, while network bandwidth demand decreased sharply, with outbound data flow falling from 352.86 kbit/s to 10.77 kbit/s. Intrusion prevention logs confirmed that Firepower detected and blocked attack patterns at an early stage, which minimized the time required to identify threats and remove unauthorized traffic. A direct comparison of these scenarios demonstrated the risks of an unprotected network, where unrestricted attack traffic overwhelmed resources and exposed critical services. In contrast, the deployment of Firepower’s multi-layered security policies, alongside Wazuh SIEM’s endpoint analysis, provided a strong mitigation strategy that preserved network stability, optimized resource usage, and ensured uninterrupted service. These results validated the strength of the proposed security architecture to prevent large-scale DDoS flood attacks and protect network infrastructures.