Mode de fonctionnement entre interfaces

Vous pouvez configurer le fonctionnement entre interfaces du firewall suivant trois modes différents:

  • Mode avancé (Routeur)
  • Mode Bridge (ou mode transparent)
  • Mode hybride

Mode avancé

En avancé : avec ce mode de configuration, le firewall fonctionne comme un routeur entre ses différentes interfaces.

Chaque interface activée porte une adresse IP du réseau auquel elle est directement connectée. Cela permet de configurer des règles de translation pour accéder à une autre zone du firewall.

Cela implique certains changements d'adresses IP sur les routeurs ou serveurs lorsque vous les déplacez dans un réseau différent (derrière une interface du firewall différente).

Les avantages de ce mode sont :

  • La possibilité de faire de la translation d'adresses entre les différents réseaux
  • Seul le trafic passant d'un réseau à l'autre traverse le firewall (réseau interne vers Internet par exemple). Cela allège considérablement le firewall et fournit de meilleurs temps de réponse.
  • Une meilleure distinction des éléments appartenant à chaque zone (interne, externe et DMZ). La distinction se fait par les adresses IP qui sont différentes pour chaque zone. Cela permet d'avoir une vision plus claire des séparations et de la configuration à appliquer pour ces éléments.

Mode Bridge ou mode transparent

En transparent (Bridge) : les interfaces font partie du même plan d'adressage déclaré sur le bridge.

Le mode transparent, aussi appelé "Bridge" en anglais, permet de conserver le même adressage entre les interfaces.

Il simule un pont (BRIDGE) filtrant, c'est-à-dire qu'il est traversé par l'ensemble du trafic du réseau.

Cependant, vous pouvez ensuite filtrer les flux qui le traversent, en utilisant les objets interfaces ou les plages d’adresses suivant vos besoins et donc protéger telle ou telle partie du réseau.

Les avantages de ce mode sont multiples :

  • Facilité d'intégration du produit car pas de changement de la configuration des postes client (routeur par défaut, routes statiques...) et aucun changement d'adresse IP sur votre réseau.
  • Compatibilité avec IPX (réseau Novell), NetBIOS sous Netbeui, Appletalk ou IPv6.
  • Pas de translation d'adresses, donc gain de temps au niveau du traitement des paquets par le firewall.

Ce mode est donc préconisé entre la zone externe et la / les DMZ. Il permet de conserver un adressage public sur la zone externe du firewall et les serveurs publics de la DMZ.

Mode hybride

En mode hybride : certaines interfaces possèdent la même adresse IP et d'autres ont une adresse distincte.

Le mode hybride utilise une combinaison des deux modes précédents. Ce mode ne peut être employé que pour les produits Stormshield Network possédant plus de deux interfaces réseau. Vous pouvez définir plusieurs interfaces en mode transparent.

Exemple

Zone interne et DMZ, ou zone externe et DMZ, et certaines interfaces dans un plan d'adressage différent. Ainsi vous avez une plus grande flexibilité dans l'intégration du produit.

Agrégation de liens (LACP) – SN510, SN710, SN910, SN2000, SN3000 et SN6000.

La fonction d’agrégation de liens LACP (IEEE 802.3ad - Link Aggregation Control Protocol) d’améliorer la bande passante de l’appliance tout en maintenant un niveau de disponibilité élevé (redondance des liens).

Plusieurs ports physiques des appliances peuvent être regroupés pour être considérés comme une unique interface logique. Ainsi, en agrégeant n liens, on peut établir une liaison de n fois 1 Gbps ou 10 Gbps entre deux équipements.

Cette fonctionnalité est uniquement disponible sur les modèles SN510, SN710, SN910, SN2000, SN3000 et SN6000.

NOTE

Assurez-vous que les équipements distants supportent le protocole LACP.

Conclusion

Le choix d'un mode se fait uniquement au niveau de la configuration des interfaces réseau. La configuration du firewall est ensuite la même pour tous les modes.

Au niveau sécurité, tous les modes de fonctionnement sont identiques. On filtre les mêmes choses et la détection d'attaques est identique.