Stormshield SN160 Manuel D'utilisation Et De Configuration page 151

Nouvelle règle
Page 149/464
Insérer une ligne prédéfinie ou à définir après la ligne sélectionnée.
5 choix sont possibles, les règles d'authentification, d'inspection SSL et de proxy HTTP
explicite seront définies via un assistant dans une fenêtre à part :
Règle simple: Cette option permet de créer une règle vide laissant à l'administrateur
l
la possibilité de remplir les différents champs de la grille de filtrage.
Séparateur – regroupement de règles : Cette option permet d'insérer un séparateur
l
au-dessus de la ligne sélectionnée.
Ce séparateur permet de regrouper des règles qui régissent le trafic vers les
différents serveurs et contribue à améliorer la lisibilité et la visibilité de la politique
de filtrage en y indiquant un commentaire.
Les séparateurs indiquent le nombre de règles regroupées et les numéros de la
première et dernière de ces règles. sous la forme : « Nom de la règle (contient
nombre total règles, de n° première à n° dernière) ».
Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le
regroupement de règle. Vous pouvez également copier/coller un séparateur d'un
emplacement à un autre.
Règle d'authentification : Cette option a pour but de rediriger les utilisateurs non
l
authentifiés vers le portail captif. En la sélectionnant, un assistant
d'authentification s'affiche.
Vous devrez choisir la Source (affichant « Network_internals » par défaut) et la
Destination (affichant « Internet » par défaut) de votre trafic parmi la liste
déroulante d'objets, puis cliquer sur Terminer. Le choix du port n'est pas proposé, le
port HTTP est choisi automatiquement.
Vous pouvez spécifier en Destination, des catégories ou groupes d'URL dérogeant à
la règle, donc accessibles sans authentification (l'objet web authentication_bypass
contient par défaut les sites de mise à jour Microsoft). L'accès à ces sites sans
authentification peut donc bénéficier comme les autres règles des inspections de
sécurité du Firewall.
Règle d'inspection SSL : Cet assistant a pour but de créer des règles inspectant le
l
trafic chiffré SSL. Il est fortement conseillé de passer par cet assistant pour la
génération des deux règles indispensables au bon fonctionnement du proxy SSL.
Vous devrez définir la Politique du trafic à déchiffrer en indiquant les Machines
sources (« Network_internals » par défaut), l'Interface d'entrée (« any » par
défaut), la Destination (« Internet » par défaut) et le Port de destination (« ssl_
srv » par défaut) parmi la liste déroulante d'objets.
Afin d'Inspecter le trafic déchiffré via la seconde zone de la fenêtre de l'assistant,
vous pourrez définir la configuration du Profil d'Inspection, en choisissant l'une de
celles que vous avez définies au préalable ou laisser en mode « Auto ». Ce mode
automatique appliquera l'inspection relative à l'origine du trafic (cf Protection
Applicative/ Profils d'inspection).
Vous pouvez également activer l'Antivirus ou l'Antispam et sélectionner des
politiques de filtrage URL, SMTP, FTP ou SSL (vérification du champ CN du certificat
présenté).
Règle de proxy HTTP explicite : Cette option permet d'activer le proxy HTTP explicite
l
et de définir qui peut y accéder. Vous devrez choisir un objet Machines et une
Interface d'entrée via le champ « Source ». Définissez ensuite l'Inspection du trafic
relayé en indiquant si vous souhaitez activer l'Antivirus et sélectionner des
politiques de filtrage URL.
NOTE
Afin de permettre une politique similaire sur un firewall hébergé dans le Cloud
et une appliance physique, le port d'écoute d'un proxy explicite HTTP peut être
configuré sur un port différent du port par défaut (8080/TCP).
Cliquez ensuite sur Terminer .
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
FILTRAGE ET NAT