Publicité
Stratégies de pare-feu
Voici un exemple d'utilisation d'une stratégie : supposons que l'administrateur réseau d'une société souhaite
activer une connexion de services de terminal Windows au serveur Web public de sa société, via l'interface
approuvée de Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop.
Parallèlement, il souhaite s'assurer qu'aucun autre utilisateur du réseau ne pourra accéder aux services de
terminal RDP via Firebox. Pour ce faire, l'administrateur réseau ajoute une stratégie qui autorise les
connexions RDP uniquement pour l'adresse IP de son propre PC à l'adresse IP du serveur Web public.
Règles de stratégie
Une stratégie Firebox X Edge regroupe une ou plusieurs règles qui, conjuguées, permettent de surveiller et de
contrôler le trafic. Ces règles définissent les actions de pare-feu d'une stratégie :
Autoriser laisse les données ou une connexion transiter via Edge.
Refuser empêche les données ou une connexion de transiter via Edge et envoie une réponse à la
source.
Aucune règle désactive la règle.
Il n'est pas toujours facile de décider si vous devez sélectionner Refuser ou Aucune règle pour une stratégie.
Lorsque vous affectez la valeur Aucune règle à la règle, l'action entreprise par Edge pour ce paquet dépend
des règles de priorité inférieures de cette stratégie. S'il n'existe aucune autre règle pour la stratégie, Edge
refuse le paquet par défaut.
Utilisez la règle Refuser si une règle de priorité plus faible a la valeur Autoriser, mais que vous souhaitez
refuser les paquets provenant d'une adresse IP ou d'un réseau spécifique. Par exemple, si vous souhaitez
autoriser la plupart du trafic HTTP, vous devez affecter la valeur Autoriser à la stratégie de filtre de paquets
commune. Si vous souhaitez refuser le trafic HTTP provenant d'une adresse IP spécifique, créez un filtre de
paquets personnalisé pour cette adresse IP et affectez la valeur Refuser à la règle. Lorsque vous sélectionnez
Refuser, la stratégie utilise des ressources réseau légèrement supérieures. Une ou deux règles Refuser
n'affectent pas les performances du système, mais si vous définissez toutes les règles de filtre de paquets
communes sur Refuser plutôt que d'utiliser la règle par défaut Aucune règle, les performances du système
peuvent en être profondément affectées.
Trafic entrant et sortant
Le trafic en provenance du réseau externe constitue le trafic entrant. Le trafic à destination du réseau externe
constitue le trafic sortant. Par défaut, les périphériques Firebox X Edge e-Series refusent le trafic entrant afin
de protéger vos réseaux approuvés et facultatifs.
La configuration par défaut d'Edge autorise le trafic suivant :
Du réseau approuvé vers le réseau externe
Du réseau approuvé vers le réseau facultatif
Du réseau facultatif vers le réseau externe
La configuration par défaut d'Edge refuse le trafic suivant :
Du réseau externe vers le réseau approuvé
Du réseau facultatif vers le réseau approuvé
Du réseau externe vers le réseau facultatif
Les filtres de paquets sont définis séparément pour les stratégies entrantes et sortantes.
116
Firebox X Edge e-Series
Publicité
