Politique de filtrage
Sur un pare-feu SNS, il peut être nécessaire d’utiliser les mêmes objets à plusieurs reprises, s’ils apparaissent dans plusieurs règles de filtrages ou lorsque ces dernières viennent en complément d’un menu de configuration. Par exemple, un même sous-réseau peut apparaître dans plusieurs règles de filtrage (réseau de postes de travail vers un serveur de mail, vers un proxy web, etc.), ou en tant que réseau d’administration (se référer au chapitre Configuration des adresses IP d'administration) et au sein d’une règle de filtrage explicite corrélée (conformément au chapitre Règles implicites).
Lors d’éventuels changements (par exemple de plan d’adressage), ajouts (nouveaux sous-réseaux pour accueillir de nouveaux postes de travail) ou suppressions (restriction du nombre de postes d’administration), les mises à jour doivent être réalisées à chacune des occurrences, ce qui augmente les risques d’erreur de configuration et d’oubli. L’utilisation d’objets et de groupes d’objets permet un traitement global et simultané sur l’ensemble de la configuration lors d’un changement.
R33 | SNS-SMC | Utiliser des groupes d'objets
Il est recommandé d’utiliser des groupes d’objets lors de la définition des règles de filtrage en cohérence avec les autres menus.
Dans ce cas, il est possible de maîtriser par exemple :
-
Un groupe d’administration comprenant les adresses IP des postes d’administration,
-
Un groupe des postes utilisateur comprenant les sous-réseaux IP utilisés,
-
Un groupe de service comprenant les adresses IP des serveurs internes,
-
Un groupe métier comprenant les ports utilisés par les applications métier,
-
etc.
Il est alors suffisant de retirer ou ajouter un élément à un groupe pour s’adapter à une nouvelle situation.
Par ailleurs, les bonnes pratiques relatives à la définition d’une politique de filtrage réseau sont détaillées dans le guide Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu. Ce document a pour objectif principal de présenter l’organisation à adopter afin de garantir une politique de filtrage pérenne et maîtrisée.