Créer les règles de filtrage
NOTE
Cette section décrit la création des règles de filtrage utilisant des files d'attente de QoS spécifiques, autres que les files d'attente par défaut. La création des règles de filtrage pour les autres flux depuis le LAN vers le WAN ou la DMZ n'est pas abordée.
NOTE
Il est déconseillé de préciser les files d'attente acquittement (ACK) au sein des règles de filtrage.
Il est en effet préférable de laisser les flux de type ACK emprunter automatiquement les files d'attente d'acquittement (ACK) définies par défaut pour les interfaces concernées par ces flux.
Placez-vous dans le module Politique de sécurité > Filtrage et NAT > onglet Filtrage.
Créer la règle de filtrage vers le serveur FTP distant
- Dans la liste déroulante située au-dessus de la grille de filtrage, sélectionnez la politique de sécurité à modifier.
- Sélectionnez la règle au-dessous de laquelle vous souhaitez ajouter une nouvelle règle de filtrage.
- Cliquez sur Nouvelle règle et sélectionnez Règle simple.
Une nouvelle règle inactive est ajoutée à la politique de filtrage.
Vous pouvez déplacer cette nouvelle règle à l'aide des flèches
. - Effectuez un double clic sur cette règle.
La fenêtre de configuration de la règle s'ouvre. - Cliquez sur le menu de gauche Général.
- Dans le champ État, sélectionnez la valeur On.
- Cliquez sur le menu de gauche Action.
- Dans l'onglet Général, pour le champ Action, choisissez passer.
- Dans l'onglet Qualité de service, pour le champ File d'attente du cadre QoS : sélectionnez la file d'attente créée pour les flux FTP (FTP_WAN_Q dans cet exemple).
- Cliquez sur le menu de gauche Source.
- Dans l'onglet Général, pour le champ Machines sources sélectionnez les machines, les groupes de machines ou les réseaux autorisés à utiliser le protocole FTP (réseau LAN_Clients dans cet exemple).
- Cliquez sur le menu de gauche Destination.
- Dans l'onglet Général, pour le champ Machines destinations, cliquez sur Ajouter et sélectionnez le serveur ou le groupe de serveurs FTP (machine WAN_FTP_Server dans cet exemple).
- Cliquez sur le menu de gauche Port / Protocole.
- Dans le cadre Port, sélectionnez l'objet ftp comme Port destination.
- Validez la création de la règle en cliquant sur OK.
NOTE
Dans le cas d'un protocole générant des connexions filles (FTP dans cet exemple), la file d'attente précisée dans la règle de filtrage s'applique automatiquement aux connexions filles.
Créer la règle de filtrage pour les flux vers les serveurs Google Drive
- Sélectionnez la règle au-dessous de laquelle vous souhaitez ajouter une nouvelle règle de filtrage.
- Cliquez sur Nouvelle règle et sélectionnez Règle simple.
Une nouvelle règle inactive est ajoutée à la politique de filtrage.
Vous pouvez déplacer cette nouvelle règle à l'aide des flèches. - Effectuez un double clic sur cette règle.
La fenêtre de configuration de la règle s'ouvre. - Cliquez sur le menu de gauche Général.
- Dans le champ État, sélectionnez la valeur On.
- Cliquez sur le menu de gauche Action.
- Dans l'onglet Général, pour le champ Action, choisissez passer.
- Dans l'onglet Qualité de service, pour le champ File d’attente du cadre QoS, sélectionnez la file d'attente créée pour les flux Google Drive (GD_WAN_Q dans cet exemple).
- Cliquez sur le menu de gauche Source.
- Dans l'onglet Général, pour le champ Machines sources sélectionnez les machines, les groupes de machines ou les réseaux autorisés à accéder à Google Drive (réseau LAN_Clients dans cet exemple).
- Cliquez sur le menu de gauche Destination.
- Dans le cadre Services Web et Réputation de l'onglet Géolocalisation / Réputation, sélectionnez l'objet Google Drive.
- Cliquez sur le menu de gauche Port / Protocole.
- Dans le cadre Port, sélectionnez l'objet https comme Port destination.
- Validez la création de la règle en cliquant sur OK.
Créer la règle de filtrage vers le serveur HTTP / HTTPS distant
Suivez la procédure détaillée dans Créer la règle de filtrage vers le serveur FTP distant avec les valeurs suivantes pour cet exemple :
| État | on |
| Action | passer |
| File d'attente | HTTP_WAN_Q |
| Machines sources | LAN_Clients |
| Machines destinations | l'objet correspondant au serveur HTTP /HTTPS distant (WAN_PROD_Server dans cet exemple) |
| Port destination | les objets http et https |
Créer la règle de filtrage vers le serveur VoIP distant
Suivez la procédure détaillée dans Créer la règle de filtrage vers le serveur FTP distant avec les valeurs suivantes pour cet exemple :
| État | on |
| Action | passer |
| File d'attente | SIP_WAN_Q |
| Machines sources | LAN_VoIP_Clients |
| Machines destinations | l'objet correspondant au serveur SIP distant (WAN_VoIP_Server dans cet exemple) |
| Port destination | l'objet sip |
NOTE
Dans le cas d'un protocole générant des connexions filles (SIP dans cet exemple), la file d'attente précisée dans la règle de filtrage s'applique automatiquement aux connexions filles.
Créer la règle de filtrage vers le serveur HTTP / HTTPS en DMZ
Suivez la procédure détaillée dans Créer la règle de filtrage vers le serveur FTP distant avec les valeurs suivantes :
| État | on |
| Action | passer |
| File d'attente | HTTP_DMZ_Q |
| Machines sources | LAN_Clients |
| Machines destinations | l'objet correspondant au serveur HTTP /HTTPS distant (LOCAL_PROD_Server dans cet exemple) |
| Port destination | les objets http et https |
Créer la règle de filtrage vers le serveur de fichiers en DMZ
Suivez la procédure détaillée dans Créer la règle de filtrage vers le serveur FTP distant avec les valeurs suivantes pour cet exemple :
| État | on |
| Action | passer |
| File d'attente | SMB_DMZ_Q |
| Machines sources | LAN_Clients |
| Machines destinations | l'objet correspondant au serveur de fichiers local (LOCAL_FILE_Server dans cet exemple) |
| Port destination | l'objet microsoft-ds |
Appliquer la politique de sécurité modifiée
Pour valider les modifications et appliquer la nouvelle politique de sécurité, cliquez sur Appliquer puis sur Oui, Activer la politique.
Les règles de filtrage utilisant des files d'attente de QoS spécifiques prennent donc la forme suivante :
