L’onglet « Configuration générale »

L'onglet Configuration générale permet la modification des paramètres suivants :

Configuration générale

Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Nom du firewall

Ce nom est utilisé dans les mails d'alarmes envoyés à l'administrateur et est affiché sur la fenêtre principale du firewall. Il peut également être utilisé comme nom DNS du portail captif lorsque celui-ci est activé et que l’option « Utiliser le nom du firewall ou le CN du certificat comme FQDN » est cochée.

La taille maximale du nom du firewall est de 127 caractères.

Langue du Firewall (traces)

Choix de la langue du boitier, limité à Français et Anglais.

Ceci est utilisé pour les traces de types log, syslog et la configuration CLI.

Clavier (console)

Type de clavier supporté par le firewall. 5 langues sont disponibles : Anglais, Français, Italien, Polonais, Suisse.

Paramètres cryptographiques

Activer la récupération régulière des listes de révocation de certificats (CRL)

Lorsque cette option est cochée, le firewall vérifie régulièrement la date de validité de chaque CRL téléchargée depuis les points de distribution spécifiés dans la PKI. Lorsqu’une CRL est proche de son expiration ou expirée, une alarme est alors générée.

Activer le mode « Diffusion Restreinte (DR) »

L’option Activer le mode « Diffusion Restreinte (DR) » impose au firewall  de respecter la doctrine de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) concernant l’usage des coprocesseurs et accélérateurs cryptographiques dans les produits visant une qualification. Elle est impérative sur les réseaux répondant à la classification « Diffusion Restreinte ».

Ce mode repose notamment sur l’utilisation de versions logicielles pour les algorithmes de cryptographie (asymétrique, génération d'aléa et symétrique). Concernant les algorithmes de cryptographie symétrique, les instructions dites "AES-NI", disponibles sur certains produits, bénéficient d'une dérogation car elles sont uniquement constituées d'« instructions simples d’accélération » de certaines opérations cryptographiques.

L’activation du mode « Diffusion Restreinte (DR) » en version SNS 3.8.0 implique les comportements suivants :

  • IPSec : vérification que le firewall utilise bien la version 2 du protocole IKE. Dans le cas contraire, un avertissement est affiché afin d'inviter l'administrateur à modifier la configuration IPSec.
  • IPSec : vérification que les algorithmes de chiffrement utilisés appartiennent bien aux groupes DH19 et DH20 (ECP 256 et ECP384). Dans le cas contraire, un avertissement est affiché afin d'inviter l'administrateur à modifier la configuration IPSec.
  • IPSec : vérification que l'algorithme de chiffrement utilisé est bien AES_GCM_16 (associé par défaut à une authentification SHA256).
  • Sur les firewalls équipés de processeurs Intel, le mode « Diffusion Restreinte (DR) » force l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Sur les firewalls équipés d'autres types de processeurs, le mode « Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.
  • Le mode « Diffusion Restreinte (DR) » restreint les suites de chiffrement utilisables pour le portail d'authentification et le VPN SSL : seules les suites de chiffrement AES, SHA256, SHA384 et GCM sont autorisés.

Notez également que l’activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage du firewall.

Politique de mots de passe

Les paramètres indiqués s’appliqueront à l’ensemble des mots de passe et clés pré-partagées définis dans le firewall (VPN PPTP, VPN IPSec, annuaire LDAP interne, etc.). Ces paramètres sont :

Longueur minimale des mots de passe

Indiquez le nombre minimum de caractères devant être respecté pour chaque mot de passe défini dans le firewall.

NOTE

La valeur définie par défaut est 1 pour des raisons de compatibilité en cas de migration en version 2 de configurations existantes.

Types de caractères obligatoires

Sélectionnez les types de caractères obligatoires à inclure dans chaque mot de passe :

  • Aucun : le mot de passe n’est soumis à aucune obligation de présence de caractères alphanumériques ou spéciaux,
  • Alphanumériques : le mot de passe doit contenir au minimum un caractère alphabétique et un chiffre,
  • Alphabétiques et spéciaux : le mot de passe doit contenir au minimum un caractère alphanumérique et un caractère spécial (‘#’, ‘@’, etc…)

NOTE

Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Paramètres de date et d'heure

Date

Date du firewall. Choisissez la date sur le calendrier.

Ce champ est grisé si la configuration NTP est activée.

Heure

Heure du firewall.

Ce champ est grisé si la configuration NTP est activée.

Synchroniser avec votre machine

En cliquant sur ce bouton, le firewall se mettra à l’heure de votre machine.

Ce champ est grisé si la configuration NTP est activée.

Fuseau horaire

Fuseau horaire défini pour le firewall (GMT par défaut).

AVERTISSEMENT

Un changement de fuseau horaire entraîne un redémarrage du firewall.

Maintenir le firewall à l’heure (NTP)

Le protocole NTP (Network Time Protocol) permet de synchroniser l'horloge locale de vos machines sur une référence d'heure via votre réseau.

 

En cochant cette option, votre firewall sera automatiquement synchronisé à l’heure locale.

NOTE

La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.

Liste des serveurs NTP

Ce tableau n’est accessible que si vous avez coché l’option Maintenir le firewall à l’heure (NTP). Si vous n’avez pas effectué cette manipulation au préalable, la liste des serveurs NTP sera grisée.

Serveurs NTP (machine ou groupe-plages d’adresses) (15 max)

Le serveur NTP représente l’horloge distante sur laquelle on va choisir de synchroniser son firewall.

Vous pouvez en Ajouter ou en Supprimer en cliquant sur les boutons correspondants.

Lorsque vous cliquez sur Ajouter, une ligne vierge vient s’ajouter à la liste des serveurs NTP. Vous pouvez choisir un objet au sein de la liste déroulante ou en créer un en cliquant sur cette icône . Il sera ainsi possible de créer une machine, une plage d’adresses IP ou un groupe.

Cliquez sur Appliquer une fois les données du nouvel objet renseignées.

Mot de passe (ASCII)

Bien que cela soit optionnel, vous pouvez renseigner un mot de passe pour votre serveur NTP, avec lequel vous pourrez vous authentifier.

Matériel

L’option de surveillance de l’activité matérielle Watchdog est disponible sur tous les Firewalls physiques MODÈLES "S" de la série U.

Les autres Firewalls de la série U peuvent bénéficier de cet outil pouvant améliorer le diagnostic et l’assistance ; par défaut, ce mécanisme est implémenté mais doit s’activer via le système BIOS. Consultez la Base de connaissance du Support technique pour connaître la démarche.

 

Seuil d'inactivité de la surveillance matérielle (watchdog)

Ce dispositif teste l’activité du système du Firewall. La fréquence de ce test est fixée par ce seuil. En cas d’inactivité, ce « chien de garde » redémarre le Firewall et déclenche un évènement système (24).

Pour stopper la surveillance, choisissez la valeur Désactiver.

Firewalls industriels uniquement (modèles SNi40)

Afin d’assurer une continuité de service dans les milieux industriels, le firewall SNi40 est équipé d’un bypass matériel qui permet, une fois activé, de faire passer le trafic réseau sans qu'aucune analyse ne soit mise en oeuvre.

NOTE

Ce mécanisme ne peut être activé que sur les deux premières interfaces du firewall.

 

Deux modes de fonctionnement du firewall sont proposés :

  • Le mode Sécurité : ce mode privilégie la sécurité et la protection du réseau. Le mécanisme de bypass ne peut pas être activé. C’est le mode de fonctionnement par défaut du firewall.
  • Le mode Sûreté : ce mode privilégie la continuité de service. Le mécanisme de bypass sera activé en cas de coupure ou de défaillance du boitier.
 

Lorsque le mode Sûreté est activé, trois types de déclenchements du bypass peuvent être distingués :

  • Le bypass de type SystemOff : il se déclenche lors d’une défaillance électrique du boitier ou lors d’une coupure de courant.
  • Le bypass de type JustOn : il se déclenche lors d’un redémarrage du produit et se désactive ensuite.
  • Le bypass de type OnTimer : lorsque le produit est soumis à une surcharge de connexions, le bypass se déclenche après écoulement du délai précisé dans la configuration du mode Sureté. Une fois le bypass déclenché, le mode Sûreté peut alors être réarmé par l’administrateur du firewall.

IMPORTANT

Une vérification du fonctionnement correct des flux réseau doit être réalisée immédiatement après un réarmement manuel. En effet, les connexions initiées pendant la phase active du bypass ne seront pas reconnues par le firewall et donc systématiquement rejetées.

 

Lorsque le bypass est déclenché, les deux premières interfaces du firewall sont représentées de la manière suivante :

 
Activer le mode sûretéLorsque vous cochez cette case, vous activez le mécanisme de bypass du firewall. Les trois modes de déclenchement sont automatiquement disponibles.
Seuil d'inactivité du mode sûreté

Sélectionnez le délai au delà duquel le bypass de type OnTimer doit se déclencher. Les valeurs proposées sont :

  • 1 min
  • 1 min 30 sec
  • 2 min
  • 2 min 30 sec
  • 3 min
  • 3 min 30 sec
  • 4 min
Réarmement du mode sûretéLorsque le bypass de type OnTimer s'est déclenché, vous pouvez cliquer sur ce bouton afin de le désactiver pour repasser le firewall en mode sûreté.

Configuration avancée

Redirection vers le portail captif

Cette option permet de choisir la dénomination du firewall utilisée lors de la génération des URI de redirection vers le portail captif. Quatre valeurs sont proposées :

  • Utiliser l'adresse IP du firewall.
  • Utiliser le nom du firewall

NOTE
Il s'agit du nom indiqué dans le champ Nom du firewall de la section Configuration générale ou du numéro de série du firewall si aucun nom n'a été précisé dans ce champ.

 
  • Utiliser le certificat du portail captif

NOTE
Il s'agit du nom du firewall précisé dans le certificat du portail.

 
  • Préciser un nom de domaine (FQDN)
Nom de domaine (FQDN)Saisissez un nom DNS pleinement qualifié pour le firewall (ex. : firewall.company.org). Ce champ n'est accessible que lorsque la valeur "Préciser un un nom de domaine (FQDN)" a été sélectionnée dans le champ Redirection vers le portail captif.