Configurer la politique de filtrage
La configuration de la politique de filtrage s'effectue dans le module Configuration > Politique de sécurité > Filtrage et NAT, onglet Filtrage.
Pour répondre aux besoins de notre architecture d'exemple, créez les règles suivantes :
-
Une règle permettant la résolution DNS des noms,
-
Une règle permettant au réseau "in" d'accéder à "Internet" en HTTP,
-
Une règle permettant au réseau "in" d'accéder à "Internet" en HTTPS,
-
Une règle permettant au réseau "in" d'accéder au serveur web en HTTPS,
-
Une règle permettant à "Internet" de joindre le serveur web en HTTPS.
ASTUCE
Ajoutez des séparateurs dans votre politique de filtrage afin d'optimiser son organisation.
Permettre la résolution DNS des noms
- Cliquez sur Nouvelle règle > Règle simple.
- Double-cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.
- Dans l'onglet Général, champ État : sélectionnez On.
- Dans l'onglet Action, champ Action : sélectionnez passer.
- Dans l'onglet Source, champ Machines sources : sélectionnez Network_in.
- Dans l'onglet Destination, champ Machines destinations : sélectionnez Internet.
- Dans l'onglet Port / Protocole, champ Port : sélectionnez dns_udp.
- Cliquez sur OK.
Permettre au réseau "in" d'accéder à "Internet" en HTTP
- Cliquez sur Nouvelle règle > Règle simple.
- Double-cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.
- Dans l'onglet Général, champ État : sélectionnez On.
- Dans l'onglet Action, champ Action : sélectionnez passer.
- Dans l'onglet Source, champ Machines sources : sélectionnez Network_in.
- Dans l'onglet Destination, champ Machines destinations : sélectionnez Internet.
- Dans l'onglet Port / Protocole, champ Port : sélectionnez http.
- Dans l'onglet Inspection, zone Inspection applicative, champ Filtrage URL : sélectionnez une politique de filtrage URL (URLFilter_00 dans notre exemple).
- Cliquez sur OK.
Permettre au réseau "in" d'accéder à "Internet" en HTTPS
- Cliquez sur Nouvelle règle > Règle simple.
- Double-cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.
- Dans l'onglet Général, champ État : sélectionnez On.
- Dans l'onglet Action, champ Action : sélectionnez passer.
- Dans l'onglet Source, champ Machines sources : sélectionnez Network_in.
- Dans l'onglet Destination, champ Machines destinations : sélectionnez Internet.
- Dans l'onglet Port / Protocole, champ Port : sélectionnez https.
- Cliquez sur OK.
Permettre au réseau "in" d'accéder au serveur web en HTTPS
- Cliquez sur Nouvelle règle > Règle simple.
- Double-cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.
- Dans l'onglet Général, champ État : sélectionnez On.
- Dans l'onglet Action, champ Action : sélectionnez passer.
- Dans l'onglet Source, champ Machines sources : sélectionnez Network_in.
- Dans l'onglet Destination, champ Machines destinations : sélectionnez l'objet définissant le serveur web (srv_web_private dans notre exemple).
- Dans l'onglet Port / Protocole, champ Port : sélectionnez https.
- Cliquez sur OK.
Permettre à "Internet" de joindre le serveur web en HTTPS
- Cliquez sur Nouvelle règle > Règle simple.
- Double-cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.
- Dans l'onglet Général, champ État : sélectionnez On.
- Dans l'onglet Action, champ Action : sélectionnez passer.
- Dans l'onglet Source :
- Champ Machines sources : sélectionnez Internet.
- Champ Interface d'entrée : sélectionnez out.
- Dans l'onglet Destination, champ Machines destinations : sélectionnez Firewall_out.
- Dans l'onglet Port / Protocole, champ Port : sélectionnez https.
- Cliquez sur OK.
Pour sauvegarder les modifications, cliquez sur Appliquer.