IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Règles implicites
Par défaut, le pare-feu est configuré avec des règles implicites de filtrage, évaluées avant les règles de filtrage définies manuellement. Ces règles ont pour but de simplifier la configuration en autorisant des requêtes ou des accès particuliers. Le menu Politique de sécurité > Filtrage et NAT ne contient alors pas toutes les règles appliquées par le pare-feu. Par conséquent, il est possible qu’une règle créée par un administrateur ne soit jamais évaluée à cause de la présence d’une règle implicite contraire.
R30 | Désactiver les règles implicites
Il est recommandé de désactiver la totalité des règles de filtrage implicites, incluant celles concernant les flux sortants issus des services hébergés par le pare-feu. Cela se réalise dans le menu Politique de sécurité > Règles implicites.
ATTENTION
Afin d’éviter de perdre les capacités d’administration, il est nécessaire de créer de nouvelles règles de filtrage avant de désactiver les règles implicites correspondantes. Ces règles doivent autoriser, en fonction des besoins, le trafic HTTPS, NSRPC ou SSH entre le pare-feu et les groupes définis dans le chapitre Configuration des adresses IP d'administration sur les interfaces définies dans le chapitre Interface d'administration dédiée.
INFORMATION
La commande NSRPC monitor filter permet d’afficher l’ensemble des règles de filtrage appliquées. En l’occurrence, il est possible de constater que la désactivation des flux implicites des services hébergés ne bloque pas les requêtes DNS émises par le SNS. L’application de la recommandation R26 limite ces flux.