Modification d’un Vlan

Onglet « Configuration de l’interface »

Nom (obligatoire)

Nom associé au Vlan. (Voir l’avertissement en introduction de la section Interfaces)

Commentaire

Permet de donner un commentaire pour le Vlan.

Interface parente

Nom physique de l’interface à laquelle est attaché le Vlan.

Couleur

Couleur attribuée au Vlan.

Identifiant de VLAN

Identifiant du Vlan qui peut être compris entre 1 et 4094 et doit être unique (sauf s’il s’agit d’un Vlan associé à un autre bridge dans un vlan traversant).

Priorité (CoS) Cette priorité de type CoS (champ Classe de Service) sera forcée sur tous les paquets émis par le VLAN.
Cette interface est

Une interface peut être « interne (protégée) » ou « externe (publique) ».

 

Si vous sélectionnez « interne (protégée) », vous indiquez le caractère protégé de l’interface. Cette protection comprend une mémorisation des machines connectées sur cette interface, des mécanismes de sécurisation du trafic conventionnel (TCP) et des règles implicites pour les services proposés par le Firewall comme le DHCP (voir la section Règles Implicites). Le caractère protégé de l’interface est matérialisé par un bouclier ().

 

Si vous sélectionnez l’option « externe (publique) », vous indiquez que cette partie du réseau est reliée à Internet. Dans la majorité des cas, l'interface externe, reliée à Internet, doit être en mode externe. L’icône du bouclier disparaît lorsque cette option est cochée.

Plan d’adressage

Aucun (interface désactivée)

En cochant/décochant cette option on active/désactive l’interface. En désactivant une interface, on la rend inutilisable. En terme d’utilisation cela peut correspondre à une interface que l’on a prévu de déployer dans un futur proche ou éloigné mais qui n’est pas en activité. Une interface désactivée car non utilisée est une mesure de sécurité supplémentaire contre les intrusions.

IP dynamique (obtenue par DHCP)

Lorsque votre firewall ne possède pas d’adresse IP statique (son adresse IP est renouvelée régulièrement par votre fournisseur d’accès, DHCP, etc.), il est possible d’associer via un fournisseur de services DNS (dyndns.org par exemple) l’adresse IP allouée et un nom de domaine (qui lui est fixe) afin de pouvoir contacter ce firewall sans pour autant connaître son adresse IP.

 

Cette option vous permet d’activer cette fonctionnalité en sélectionnant un compte DNS dynamique que vous avez préalablement configuré. Pour plus d’informations au sujet du client DNS dynamique, veuillez-vous référer au module DNS dynamique.

 

Ce champ permet donc de spécifier au firewall que la configuration du bridge (adresse IP et masque) est définie par DHCP. Dans ce cas, la zone « DHCP » de l’onglet Configuration avancée est active.

Plan d’adressage hérité du Bridge

Si l’interface fait partie d’un bridge, dans ce cas, il est possible de récupérer le plan d’adressage du bridge. La zone est grisée si l’interface n’appartient pas à un bridge.

IP fixe (statique)

En cochant cette option, l’interface a un adressage statique. Il faut dans ce cas indiquer son adresse IP et le masque de réseau du sous-réseau auquel appartient l’interface.

 

Ici, plusieurs adresses IP et masques associés peuvent être définis pour le même bridge (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.

Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Onglet « Configuration avancée »

MTU

Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (donc sans fragmentation). Ce choix n’est pas disponible pour une interface contenue dans un bridge.

Adresse physique (MAC)

AVERTISSEMENT

Cette option n’est pas accessible pour les firewalls en Haute Disponibilité.

 

Cette option vous permet de spécifier une adresse MAC pour une interface plutôt que d’utiliser l’adresse allouée par le firewall. Cela vous permet de faciliter d’autant plus l’intégration en mode transparent de votre firewall Stormshield Network dans votre réseau (en spécifiant l’adresse MAC de votre routeur plutôt que d’avoir à reconfigurer tous les postes utilisant cette adresse MAC).

 

Si l’interface est contenue dans un bridge, dans ce cas, elle possède la même adresse MAC que lui.

NOTE

Ce champ est grisé lorsque l'interface appartient à un bridge.

DHCP

NOTE

Indication « désactivé » si l’option IP dynamique (obtenue par DHCP) n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées.

 

Nom DNS (facultatif)

Nom du serveur DNS (FQDN) pour la connexion.

 

Ce champ facultatif, n’identifie pas le serveur DHCP mais le firewall. Si le champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met à jour automatiquement le serveur DNS avec le nom fourni par le firewall et l’adresse IP qui lui a été fournie.

 

Ce nom se compose de 6 octets en hexadécimal séparés par des :

Durée de bail demandée

Période de conservation de l'adresse IP avant renégociation.

Demander les serveurs DNS au serveur DHCP et créer les objets machine associés

Lorsque cette option est cochée, le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qu’il contacte pour obtenir son adresse IP.

 

Dès que cette option est cochée deux objets sont dynamiquement créés dans la base d’objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.

 

NOTE

Cette option est désactivée si l’option IP dynamique (obtenue par DHCP) n’est pas activée dans l’onglet Configuration de l’interface.

Routage sans analyse

NOTE

Indication « désactivé » si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées.

 

Autoriser sans analyser

Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer).

Routage par interface

NOTE

Indication « désactivé » si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées.

 

Préserver la priorité 802.1p du VLAN

Cette option impose au firewall de conserver la priorité 802.1p (Qualité de service) des paquets issus du VLAN et traversant le firewall à destination d’un tunnel IPSec ou d’une autre interface du firewall, par exemple.

Préserver le routage initial

Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne.

Limitations connues

Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :

  • la réinitialisation des connexions induite par une alarme,
  • le proxy SYN (activé dans le filtrage),
  • la demande de réémission de paquets perdus afin d’accélérer l’analyse,
  • la réécriture de paquets par les analyses applicatives (SMTP, HTTP et web 2.0, FTP et NAT, SIP et NAT).
Adresse de la passerelle

Ce champ sert au routage par interface. Tous les paquets arrivant sur cette interface seront routés via une passerelle.

Bande passante de l’interface (informatif)

Bande passante

Définit le débit sur une interface. Il s‘agit d’une entrée automatique, non obligatoire : sert au monitoring pour le calcul de la bande passante).