Avant de commencer

Produit concerné : SNS 2.1 et versions supérieures

Dernière mise à jour : novembre 2016

La version de firmware 2.x des Firewalls Stormshield Network offre la possibilité de mettre en œuvre des tunnels VPN IPsec routés. Ce ne sont plus les informations définies dans la Security Policy Database (SPD) mais les instructions de routage (routage statique, dynamique ou routage défini par le filtrage) qui déterminent si les paquets doivent transiter par ce tunnel IPsec.

Dans la définition d'un tunnel IPsec routé, des interfaces virtuelles jouent le rôle d’extrémités de trafic. Il n'est donc plus nécessaire de préciser les réseaux distants dans la politique IPsec.

L’utilisation combinée d’objets routeurs dans les règles de filtrage et de tunnels routés permet alors de mettre en œuvre différents types de configurations.

Basculement (Failover)

En cas de perte de lien, les flux (chiffrés ou non) passant par un réseau MPLS par exemple, peuvent maintenant être redirigés vers un tunnel VPN de secours, monté entre les sites via un accès Internet.

Load-Balancing

Les objets routeurs permettent notamment d’implémenter le partage de charge sur plusieurs passerelles d’accès à Internet. Une répartition de charge par type de flux peut également être mise en œuvre, à l’aide d’instructions de routage des paquets vers des tunnels IPsec différenciés.

Qualité de Service (QoS)

La valeur du champ DSCP (Differentiated Services Code Point) affecté aux paquets IP permet de les diriger vers des tunnels IPsec différenciés en fonction des instructions de routage définies.

Sécurisation d’un trafic non chiffré

Un trafic non chiffré (exemple : HTTP) peut ainsi être sécurisé en empruntant un tunnel IPsec basé sur le routage, tandis que le trafic chiffré (HTTPS) à destination du même serveur n’emprunte pas de tunnel.