Exemples de cas d'usage
Gérer un parc sans partage de règles
Prenons l'exemple d'un prestataire qui administre des firewalls SNS pour plusieurs clients :
- Chaque client ne possède qu'un seul firewall,
- Tous les firewalls se trouvent dans le dossier racine MySMC, on n'utilise pas les sous-dossiers,
- Les firewalls ne possèdent aucune règle de filtrage ou de translation en commun,
- Le prestataire ne veut pas se connecter sur chaque firewall en direct pour définir des règles.
Le prestataire doit donc :
- Définir des règles spécifiques sur chaque firewall dans SMC, en se rendant dans l'onglet Filtrage et translation du firewall.
- Éventuellement, définir une règle dite "Block all" en tant que dernière règle sur chacun des firewalls pour ignorer les règles présentes dans la politique de sécurité locale des firewalls.
- Déployer la configuration sur les firewalls. Ces règles sont déployées dans la politique de sécurité globale des firewalls.
Gérer un parc avec des règles partagées et des règles spécifiques
Prenons l'exemple d'un prestataire qui administre également des firewalls SNS pour plusieurs clients :
- Chaque client ne possède qu'un seul firewall,
- Les firewalls sont classés dans des sous-dossiers aux noms des clients,
- Les firewalls possèdent des règles de filtrage ou de translation en commun et des règles spécifiques.
Le prestataire doit donc :
- Définir les règles partagées par tous les firewalls dans le dossier MySMC, par exemple pour donner à tous les firewalls l'accès à son datacenter. Il utilise pour cela un objet variable : un objet Machine représentant une interface des firewalls. Ainsi une seule règle et un seul objet suffisent pour tous les firewalls. Pour plus d'informations, reportez-vous à la section Gérer les objets.
- Définir des règles spécifiques sur chaque firewall depuis SMC, en se rendant dans l'onglet Filtrage et translation du firewall.
- Éventuellement, définir une règle dite "Block all" en tant que dernière règle de priorité basse dans le dossier MySMC pour ignorer les règles présentes dans la politique de sécurité locale des firewalls.
- Déployer la configuration sur les firewalls. Ces règles sont déployées dans la politique de sécurité globale des firewalls.
Gérer un parc multi-sites avec des règles partagées et spécifiques et délégation de filtrage
Prenons l'exemple d'une entreprise de grande distribution possédant un entrepôt, des bureaux et des magasins de type hypermarchés et supermarchés sur plusieurs sites :
- L'administrateur central utilise deux niveaux de sous-dossiers sous le dossier racine pour classer ses firewalls,
- Des règles de filtrage et de translation s'appliquent à tous les firewalls, d'autres sont propres à certains dossiers,
- L'administrateur veut déléguer l'administration de certains flux aux administrateurs locaux afin de leur laisser la possibilité de mettre en place des règles locales sur des services, des protocoles, des utilisateurs ou des réseaux spécifiques. Un magasin pourrait par exemple avoir besoin de communiquer avec un prestataire de vidéo-surveillance.
L'administrateur central doit donc :
- Définir les règles partagées par tous les firewalls dans le dossier MySMC en utilisant les objets variables. Pour plus d'informations, reportez-vous à la section Gérer les objets.
- Définir des règles partagées par les entrepôts/bureaux/magasins dans les dossiers et sous-dossiers correspondants.
- Définir éventuellement des règles spécifiques sur certains firewalls depuis SMC, en se rendant dans l'onglet Filtrage et translation du firewall.
- Choisir l'action Déléguer pour les règles concernées dans le menu Action de la règle.
- Définir une règle "Block all" en tant que dernière règle de priorité basse sur le dossier racine MySMC.
- Déployer la configuration sur les firewalls. Ces règles sont déployées dans la politique de sécurité globale des firewalls.
Gérer un parc multi-sites avec des jeux de règles partagés
Prenons l'exemple d'une entreprise implantée sur plusieurs sites. Sur chaque site il existe un nombre de services identique dont les réseaux et les firewalls doivent être configurés de manière homogène. Les sites ne sont pas nécessairement configurés dans le même dossier sur SMC.
- L'administrateur central veut définir l'ensemble des règles de filtrage et de translation pour un service particulier.
- L'administrateur ne veut pas se connecter sur chaque firewall du service en direct pour définir des règles.
L'administrateur central doit donc :
- Créer un jeu de règles contenant toutes les règles de filtrage et de translation communes à un service dans le menu Configuration > Jeux de règles.
- Sélectionner les firewalls sur lesquels il veut déployer le jeu de règles.
- Lors du prochain déploiement le jeu de règles sera appliqué à tous les firewalls sélectionnés. Pour plus d'informations, reportez-vous à la section Créer des jeux de règles.