Créer les règles de filtrage

Le tunnel VPN est destiné à mettre en relation de manière sécurisée les deux sites distants, mais il n’a pas pour vocation de filtrer les flux entre ces deux entités. Des règles de filtrage doivent donc être mises en place afin de :

  • n’autoriser que les flux nécessaires entre des machines sources et destinations identifiées,
  • optimiser les performances (ressources machines, bande passante de l’accès Internet) en évitant que des paquets inutiles ne déclenchent l’établissement d’un tunnel.
  1. Dans le menu Configuration > Politique de Sécurité > Filtrage et NAT, sélectionnez votre politique de filtrage.
  2. Dans l’onglet Filtrage, cliquez sur le menu Nouvelle règle > Règle standard.
    Pour une sécurité accrue, il est possible de créer une règle plus restrictive sur le Firewall hébergeant le serveur intranet en précisant l’origine des paquets. Pour cela, lors de la sélection de la source du trafic, indiquez la valeur « Tunnel VPN IPSec » dans le champ Via (onglet Configuration avancée) :
    Fenêtre de configuration avancée d'une règle de filtrage pour la source du trafic

    Dans le cas présenté, un poste client situé sur le réseau local du site distant doit pouvoir se connecter en HTTP au serveur intranet situé sur le réseau local du site principal (règle N°1). Vous pouvez également y ajouter temporairement, par exemple, le protocole ICMP afin de tester plus facilement l’établissement du tunnel (règle N°2). La règle de filtrage prend la forme suivante :
    Exemple de filtrage pour un tunnel site-à-site

NOTE

Les fonctionnalités avancées des Firewalls (utilisation de proxies, profils d’inspection de sécurité…) peuvent bien évidemment être mises en œuvre dans ces règles de filtrage.