REGLES IMPLICITES

Règles de filtrage implicites

Cet écran vous informe qu’il est possible de générer automatiquement différentes règles de filtrage IP pour autoriser l’utilisation des services du firewall. Si vous activez un service, le firewall crée de lui-même les règles de filtrage nécessaires, sans avoir besoin de créer des règles « explicites » dans la politique de filtrage.

La grille de règles

La grille présente les colonnes suivantes :

Activé

Etat de la règle :

Activé/ Désactivé : Cliquez dans la case pour activer/désactiver la création d’une ou plusieurs règles implicites.

La règle Autoriser l’accès au portail d’authentification et au VPN SSL pour les interfaces externes (non protégées (Auth_ext) est désactivée par défaut.

Nom

Nom de la règle implicite : celui-ci n’est pas modifiable.

Les règles suivantes figurent dans la colonne « Nom » :

  • Autoriser l’accès au portail d’authentification et au VPN SSL pour les interfaces associées aux profils d'authentification(Authd): une règle autorisant l’accès au service https (port 443) est créée pour chaque interface associée à un profil d'authentification ayant activé le portail captif. Les utilisateurs peuvent donc s’authentifier et accéder au VPN SSL depuis les réseaux correspondant à ces interfaces.
  • Bloquer et réinitialiser les requêtes ident (port 113) pour les interfaces modems (dialup).
  • Bloquer et réinitialiser les requêtes ident (port 113) pour les interfaces ethernet.
  • Autoriser l’accès au service DNS (port 53) du Firewall pour les interfaces protégées : les utilisateurs peuvent joindre le service DNS, et donc utiliser le proxy cache DNS, si ce dernier est activé.
  • Autoriser l’accès mutuel entre les membres d’un groupe de firewalls (cluster H.A) : cela permet aux différents membres du cluster HA de communiquer entre eux.
  • Autoriser l’accès au serveur PPTP : les utilisateurs peuvent contacter le firewall via le protocole PPTP pour accéder au serveur, s’il est activé.
  • Autoriser l’accès au serveur d’administration (port 1300) du firewall pour les interfaces protégées (Serverd) : les administrateurs pourront se connecter via les réseaux internes sur le port 1300 du firewall. Ce service est utilisé notamment par le Stormshield Network Real-Time Monitor.
  • Autoriser l’accès au port ssh du Firewall pour les interfaces protégées: permet d'ouvrir l'accès au firewall par SSH afin de pouvoir se connecter dessus en lignes de commande à partir d’une machine située sur les réseaux internes.
  • Autoriser ISAKMP (port 500 UDP) et le protocole ESP pour les correspondants VPN IPSec: les correspondants VPN IPSec pourront contacter le firewall via ces deux protocoles permettant de sécuriser les données circulant sur le trafic IP.
  • Autoriser l'accès au serveur d'administration web du firewall (WebAdmin) : les administrateurs pourront se connecter à l’interface d’administration web.

    NOTE

    Cette règle autorise l’accès au portail captif, et donc à l’interface d’administration web pour tous les utilisateurs connectés depuis une interface protégée. Pour restreindre l’accès à l’administration web (répertoire « /admin/ »), il faut indiquer une ou plusieurs machines depuis l’écran Système \ Configuration \ onglet Administration du Firewall. Un tableau permet de restreindre l’accès à ces pages au niveau applicatif web.

  • Autoriser les requêtes "Bootp" avec une adresse IP spécifiée pour relayer les requêtes DHCP : les requêtes du service BOOTP (Bootstrap Protocol) vers un serveur DHCP relayé par le firewall sont autorisées lorsqu’elles utilisent une adresse IP spécifiée dans la configuration du relai DHCP (option « adresse IP utilisée pour relayer les requêtes DHCP »). Cette option est utilisée pour relayer les requêtes DHCP d’utilisateurs distants au travers d’un tunnel IPsec vers un serveur interne.
  • Autoriser les clients à joindre le service VPN SSL du firewall sur le port HTTPS : les connexions relatives à l'établissement de tunnel VPN SSL sont autorisées sur le port HTTPS.
  • Autoriser les sollicitations de routeur (RS) en multicast ou à destination du firewall :
    si le support d’IPv6 est activé sur le Firewall, les nœuds IPv6 peuvent envoyer des sollicitations de routeur (RS) en multicast ou au firewall.
  • Autoriser les requêtes au serveur DHCPv6 et les sollicitations multicast DHCPv6 : si le support d’IPv6 est activé sur le Firewall, les clients DHCPv6 peuvent émettre des requêtes de sollicitations au serveur ou relai DHCPv6 présent sur le firewall.
  • Ne pas tracer les paquets IPFIX dans le trafic IPFIX : cette règle permet de ne pas inclure les paquets nécessaires au fonctionnement du protocole IPFIX dans les traces envoyées vers le (s) collecteur(s) IPFIX.

AVERTISSEMENTS

Deux cas peuvent être dangereux :

  • Désactiver la règle « Serverd » : peut amener, en cas d’absence de règle explicite, à ne plus avoir d’accès avec les outils utilisant le port 1300, à savoir Stormshield Network RealTime Monitor, GlobalAdmin, Stormshield Network Centralized Management et Stormshield Network Event Analyzer.
  • Désactiver la règle « WebAdmin » : vous n’aurez plus accès à l’interface d’administration web, sauf si une règle explicite l’autorise.

Configuration avancée

Inclure les règles implicites de sortie des services hébergés (indispensable)

Cette case, cochée par défaut, active les règles implicites de sortie pour les services hébergés par le firewall.

 

Cette fonctionnalité, qui était présente dans les versions antérieures de firmware, ne pouvait jusqu’à présent être modifiée qu’à l’aide d’une commande CLI.

IMPORTANT

Ces règles sont indispensables au bon fonctionnement du firewall. Elles devront être explicitement définies dans la politique de filtrage si cette case a été décochée.