TechLeague

    AWS

    AWS Network Firewall vs. GWLB : Pourquoi Palo Alto/Fortinet déciment Suricata à l'échelle

    TechLeague Editorial··14 min de lecture

    En 2024, AWS Network Firewall (ANFW) a largement évolué pour devenir une implémentation sophistiquée du moteur Suricata, mais pour les charges de travail d'entreprise à haute conformité en 2026, le vrai débat n'est pas de savoir si ANFW est « suffisamment bon » – c'est un compromis calculé entre la simplicité opérationnelle d'un service managé et les capacités d'inspection avancées d'une Palo Alto VM-Series ou d'un Fortinet FortiGate déployé via Gateway Load Balancer (GWLB).

    L'architecture : service managé Suricata vs. le surcouche GWLB

    Pour comprendre la friction, nous devons d'abord disséquer la plomberie. AWS Network Firewall est un service managé qui s'adapte horizontalement au sein d'une AZ. Vous ne voyez pas les instances ; vous interagissez avec une politique et un ensemble d'endpoints. En interne, c'est Suricata. Il utilise le plan de contrôle AWS standard pour la propagation des règles, ce qui est sa plus grande force et sa plus grande faiblesse.

    Inversement, l'approche GWLB (Gateway Load Balancer) utilise GENEVE (Generic Network Virtualization Encapsulation) pour acheminer le trafic de manière transparente vers une flotte d'appliances virtuelles tierces. Lorsque vous déployez un Palo Alto PA-VM ou un FortiGate VM64, vous optez pour une architecture complexe de type « bump-on-the-wire ». Le GWLB gère le hachage des flux et les vérifications de l'état de santé, garantissant que le trafic de retour atteint la même instance de firewall pour maintenir l'état de la session.

    Pour la plupart des ingénieurs, le choix se résume à la profondeur d'inspection. ANFW est fantastique pour le filtrage Layer 3/4 et l'inspection TLS de base basée sur SNI. Cependant, si vous avez besoin d'une véritable identification d'application Layer 7 (App-ID) ou d'une analyse de sandbox sophistiquée (WildFire/FortiSandbox), l'implémentation Suricata d'ANFW donne l'impression d'apporter un couteau à une fusillade.

    Réalité des performances : débit et pénalités de latence

    AWS commercialise ANFW comme étant capable de gérer des dizaines de gigabits par seconde. Bien que cela soit vrai, ce débit a un coût significatif en termes de dollars et de latence. Lors de nos benchmarks synthétiques utilisant iperf3 et h2load via des interconnexions TGW, nous observons ce qui suit :

    • AWS Network Firewall : Augmentation de la latence de base d'environ 0,8 ms à 1,2 ms. La mise à l'échelle est transparente jusqu'à 100 Gbps par endpoint, mais les performances se dégradent linéairement à mesure que vous ajoutez des signatures Suricata complexes.
    • GWLB + Palo Alto PA-VM (C6in.4xlarge) : Augmentation de la latence d'environ 1,5 ms à 2,2 ms. L'overhead d'encapsulation/désencapsulation GENEVE n'est pas négligeable. Cependant, avec DPDK activé sur les VM-Series, la gigue est significativement plus faible qu'avec ANFW lors des pics de taux de connexion élevés.

    Si votre charge de travail est sensible aux micro-bursts — pensez au trading haute fréquence ou à la télémétrie en temps réel — l'overhead de double encapsulation du GWLB peut être un facteur décisif. Mais pour l'application web d'entreprise moyenne, l'écart de 1 ms est une erreur d'arrondi comparée aux avantages de sécurité de l'ensemble des fonctionnalités de Palo Alto PAN-OS 11.x.

    Analyse des coûts : le coût caché de la commodité « managée »

    En 2026, les tarifs AWS pour ANFW restent agressifs. À 0,395 $ par heure d'endpoint de firewall plus 0,065 $ par Go traité, les coûts variables sont supérieurs aux coûts fixes. Voyons un environnement soutenu de 1 Gbit/s (environ 324 000 Go/mois) :

    
# AWS Network Firewall mensuel (approx.)
Endpoint : 0,395 $ * 730 * 3 AZ = 865 $
Données : 324 000 Go * 0,065 $ = 21 060 $
TOTAL : ~21 925 $ / mois

    Comparez cela à un cluster GWLB + Fortinet FortiGate VM04 (BYOL ou PAYG) :

    
# GWLB + FortiGate (C6in.2xlarge)
EC2 (3 nœuds) : 0,52 $ * 730 * 3 = 1 138 $
Données GWLB : 324 000 Go * 0,008 $ = 2 592 $
Licence Fortinet : ~3 000 $ (amortie mensuellement)
TOTAL : ~6 730 $ / mois

    L'écart est stupéfiant. À l'échelle, ANFW coûte près de 3 fois plus cher que l'exécution d'un firewall fournisseur via GWLB. Vous payez une prime massive pour le privilège de ne pas gérer le kernel Linux et le binaire Suricata sous-jacents. Pour plus d'informations sur l'optimisation de vos coûts de transit cloud, consultez notre guide sur AWS Transit Gateway vs VPC Peering.

    Le fardeau opérationnel : « Managé » est un terme relatif

    Les partisans d'ANFW soutiennent qu'il réduit l'« overhead opérationnel ». Je ne suis pas d'accord. Bien que vous ne patchiez pas l'OS, vous devez gérer les ensembles de règles Suricata. Si quelqu'un a géré un fichier .rules de plusieurs milliers de lignes, il sait que c'est un cauchemar. AWS fournit des « Managed Rule Groups », mais ils sont souvent opaques et manquent de la granularité d'une Security Policy Palo Alto.

    Avec GWLB et une NVA (Network Virtual Appliance) de fournisseur, vous avez accès à des plans de gestion matures comme Panorama ou FortiManager. Ces outils ont des années-lumière d'avance sur la console AWS en termes d'audit de règles, de gestion des versions et de vérification des dépendances croisées entre les règles. Si vous exécutez déjà Palo Alto on-prem, le fardeau opérationnel d'ajouter des endpoints GWLB est en fait plus faible car votre équipe n'a pas à apprendre une nouvelle syntaxe de policy.

    Le piège de la complexité du routage

    Le déploiement de GWLB n'est pas pour les âmes sensibles. Il exige une compréhension approfondie du Ingress Routing, des VPC Endpoint Services et du modèle « Appliance VPC ». Vous détournez essentiellement la table de routage pour la pointer vers un GWLBE (Gateway Load Balancer Endpoint). Si un ingénieur junior supprime une route ou un tag de sous-réseau, vous pouvez isoler une région entière. ANFW partage ce risque, car son intégration repose également sur le routage basé sur les endpoints, mais l'exigence de GENEVE du GWLB ajoute une couche supplémentaire de complexité de dépannage pour les captures de paquets.

    Inspection SSL/TLS : la dernière frontière

    AWS Network Firewall prend désormais en charge l'inspection TLS, mais celle-ci est maladroite. Vous devez gérer les certificats dans ACM (AWS Certificate Manager) et les performances du three-way handshake sont strictement moyennes. Le « SSL Forward Proxy » de Palo Alto et l'accélération matérielle de Fortinet (via les déchargements CP9/CP10 dans certains cas) sont significativement plus robustes.

    En 2026, plus de 95 % du trafic sortant est chiffré. Si vous ne décryptez pas, votre IPS est effectivement un filtre de port glorifié. Les performances de Suricata chutent de 60 à 70 % une fois que vous activez le déchiffrement TLS complet sur ANFW. Les appliances des fournisseurs, en particulier les FortiGates avec des instances C6in haute performance, gèrent cela beaucoup plus gracieusement grâce à des crypto-libraries optimisées qui contournent la pile de kernel standard.

    Gestion des règles et Threat Intelligence

    C'est là que Palo Alto (PAN-DB) et Fortinet (FortiGuard) gagnent. Leurs flux de Threat Intelligence sont organisés et mis à jour toutes les heures avec des renseignements propriétaires sur les zero-days. ANFW s'appuie sur un mélange de règles gérées par AWS et de règles Open Source (OSSF). Bien que les « Managed Rule Groups » pour ANFW s'améliorent, ils manquent du contexte (User-ID, Device-ID) qu'un NGFW fournit.

    Si vous devez bloquer « tout le trafic des utilisateurs RH vers des sites SaaS non autorisés », Palo Alto le fait nativement via GlobalProtect et User-ID. ANFW n'a pas de concept d'« utilisateur ». Il voit une adresse IP. Dans un environnement dynamique et auto-scalé où les IP changent toutes les heures, ANFW est souvent un instrument trop grossier.

    Conclusion : Lequel choisir ?

    Je serai franc : Si votre transfert de données dépasse 10 To par mois et que vous avez besoin d'une inspection approfondie des paquets, AWS Network Firewall est un mauvais choix financier et technique. Les frais de traitement des données sont une taxe sur les personnes mal informées. Vous devriez déployer une flotte d'appliances basée sur GWLB utilisant Palo Alto ou Fortinet.

    Cependant, si vous êtes une startup de 10 personnes ayant besoin de cocher une case de conformité « Firewall » pour un audit SOC2 et que votre trafic est minime, la simplicité d'ANFW est imbattable. Vous pouvez le configurer en 20 minutes et l'oublier. Mais pour l'ingénieur de TechLeague — celui qui construit pour une disponibilité de 99,99 % et un débit de 10 Gbit/s et plus — le modèle GWLB + NVA reste la référence.

    Nous avons aidé des dizaines d'entreprises du Fortune 500 à passer de factures ANFW astronomiques à des architectures GWLB rationalisées. Si votre facture AWS devient incontrôlable en raison des frais de « Data Transfer Out » ou des frais de firewall managés, consultez nos conseils d'experts sur techleague.io.

    Questions fréquentes

    Pourquoi AWS Network Firewall est-il significativement plus cher à l'échelle ?+

    À 1 Gbit/s soutenu, ANFW peut coûter plus de 20 000 $/mois en raison des frais de traitement de 0,065 $/Go. Une configuration GWLB + Fortinet coûte généralement 1/3 de ce montant, car les frais de données GWLB sont bien inférieurs (0,008 $/Go) et les coûts EC2 sont fixes.

    Quelle est la principale différence technique entre ANFW et une Palo Alto VM-Series ?+

    AWS Network Firewall est essentiellement un Suricata géré. Il est excellent pour l'IDS/IPS basé sur des signatures, mais il lui manque l'identification avancée de la couche applicative (App-ID), l'intégration de Sandbox et les fonctionnalités User-ID que l'on trouve chez Palo Alto ou Fortinet.

    Le GWLB introduit-il une latence significative par rapport à ANFW ?+

    Le GWLB introduit environ 1,5 ms à 2,5 ms de latence car il utilise l'encapsulation GENEVE et nécessite un saut supplémentaire via un endpoint et un Load Balancer. Bien que l'ANFW soit légèrement plus rapide (~1 ms), la différence est négligeable pour la plupart des applications d'entreprise.

    AWS Network Firewall peut-il effectuer le déchiffrement SSL/TLS ?+

    Oui, mais c'est plus restrictif. Vous devez stocker les certificats dans AWS Certificate Manager (ACM) et les associer au firewall. Comparé aux NVA des fournisseurs, ANFW a un surcoût de performance plus élevé lorsque le déchiffrement TLS est actif.

    Quand devrais-je choisir GWLB plutôt qu'AWS Network Firewall ?+

    Utilisez GWLB si vous avez besoin d'une inspection Layer 7 avancée, si vous avez des volumes de trafic élevés (pour économiser de l'argent), ou si vous utilisez déjà Palo Alto/Fortinet on-prem et que vous souhaitez une parité de politiques. Utilisez ANFW si vous avez des exigences de règles simples et un faible trafic.

    Quel protocole le GWLB utilise-t-il pour communiquer avec les firewalls ?+

    Le GWLB utilise le protocole GENEVE (port UDP 6081). Votre firewall fournisseur doit prendre en charge GENEVE pour décapsuler le trafic, l'inspecter et le renvoyer au GWLB. Toutes les images modernes de Palo Alto et Fortinet prennent cela en charge nativement.