Règles implicites

Par défaut, le pare-feu SNS est configuré avec des règles implicites de filtrage, évaluées avant les règles de filtrage définies manuellement. Ces règles ont pour but de simplifier la configuration en autorisant des requêtes ou des accès particuliers. Le menu Configuration > Politique de sécurité > Filtrage et NAT ne contient alors pas toutes les règles appliquées par le pare-feu SNS. Par conséquent, il est possible qu’une règle créée par un administrateur ne soit jamais évaluée à cause de la présence d’une règle implicite contraire.

R30 | SNS | Désactiver les règles implicites
Il est recommandé de désactiver la totalité des règles de filtrage implicites, sauf la règle "Autoriser l’accès mutuel entre les membres d’un groupe de firewalls (cluster HA)". Cela se réalise dans le menu Configuration > Politique de sécurité > Règles implicites.

ATTENTION
Afin d’éviter de perdre les capacités d’administration, il est nécessaire de créer de nouvelles règles de filtrage avant de désactiver les règles implicites correspondantes. Ces règles doivent autoriser, en fonction des besoins, le trafic HTTPS, NSRPC ou SSH entre le pare-feu SNS et les groupes définis dans le chapitre Configuration des adresses IP d'administration sur les interfaces définies dans le chapitre Interface web d'administration dédiée.
De plus, afin d'éviter de dégrader les performances de certaines fonctionnalités du pare-feu SNS, il est nécessaire de créer de nouvelles règles de filtrage avant de désactiver les règles implicites des options et paramètres utilisés. Par exemple pour les flux ESP, l'option "Suivi des états (stateful)" est indispensable pour ne pas dégrader les performances VPN IPsec.

INFORMATION
La commande NSRPC monitor filter permet d’afficher l’ensemble des règles de filtrage appliquées. En l’occurrence, il est possible de constater que la désactivation des flux implicites des services hébergés ne bloque pas les requêtes DNS émises par le pare-feu SNS. L’application de la recommandation R26 limite ces flux.