Créer les règles de PBR et de filtrage utilisant des files d'attente de QoS

NOTE
Dans cette section, seule la création des règles de PBR et de filtrage utilisant des files d'attente de QoS spécifiques, autres que les files d'attente par défaut, est décrite. La création des règles de filtrage pour les flux non soumis à la QoS n'est pas abordée.

NOTE
Il est déconseillé de préciser les files d'attente acquittement (ACK) au sein des règles de filtrage.
Il est en effet préférable de laisser les flux de type ACK emprunter automatiquement les files d'attente d'acquittement (ACK) définies par défaut pour les interfaces concernées par ces flux.

Placez-vous dans le module Politique de sécurité > Filtrage et NAT > onglet Filtrage.

Créer la règle de filtrage vers le serveur FTP distant

  1. Dans la liste déroulante située au-dessus de la grille de filtrage, sélectionnez la politique de sécurité à modifier.
  2. Sélectionnez la règle au-dessous de laquelle vous souhaitez ajouter une nouvelle règle de filtrage.
  3. Cliquez sur Nouvelle règle et sélectionnez Règle simple.
    Une nouvelle règle inactive est ajoutée à la politique de filtrage.
    Vous pouvez déplacer cette nouvelle règle à l'aide des flèches .
  4. Double cliquez sur cette règle.

    La fenêtre de configuration de la règle s'ouvre.
  5. Cliquez sur le menu de gauche Général.
  6. Dans le champ État, sélectionnez la valeur On.
  7. Cliquez sur le menu de gauche Action.
  8. Dans l'onglet Général, pour le champ Action, choisissez passer.
  9. Dans l'onglet Qualité de service, pour le champ File d'attente du cadre QoS, sélectionnez la file d'attente créée pour les flux FTP (FTP_WAN_Q dans cet exemple).
  10. Cliquez sur le menu de gauche Source.
  11. Dans l'onglet Général, pour le champ Machines sources, sélectionnez les machines, les groupes de machines ou les réseaux autorisés à utiliser le protocole FTP (réseau LAN_Clients dans cet exemple).
  12. Cliquez sur le menu de gauche Destination.
  13. Dans l'onglet Général, pour le champ Machines destinations, cliquez sur Ajouter et sélectionnez le serveur ou le groupe de serveurs FTP (machine WAN_FTP_Server dans cet exemple).
  14. Cliquez sur le menu de gauche Port / Protocole.
  15. Dans le cadre Port, sélectionnez l'objet ftp comme Port destination.
  16. Validez la création de la règle en cliquant sur OK.

NOTE
Dans le cas d'un protocole générant des connexions filles (FTP dans cet exemple), la file d'attente précisée dans la règle de filtrage s'applique automatiquement aux connexions filles.

Créer la règle de filtrage vers le serveur de fichiers distant

  1. Sélectionnez la règle au-dessous de laquelle vous souhaitez ajouter une nouvelle règle de filtrage.
  2. Cliquez sur Nouvelle règle et sélectionnez Règle simple.
    Une nouvelle règle inactive est ajoutée à la politique de filtrage.
    Vous pouvez déplacer cette nouvelle règle à l'aide des flèches .
  3. Effectuez un double clic sur cette règle.

    La fenêtre de configuration de la règle s'ouvre.
  4. Cliquez sur le menu de gauche Général.
  5. Dans le champ État, sélectionnez la valeur On.
  6. Cliquez sur le menu de gauche Action.
  7. Dans l'onglet Général, pour le champ Action, choisissez passer.
  8. Dans l'onglet Qualité de service, pour le champ File d’attente du cadre QoS, sélectionnez la file d'attente créée pour les flux Google Drive (GD_WAN_Q dans cet exemple).
  9. Cliquez sur le menu de gauche Source.
  10. Dans l'onglet Général, pour le champ Machines sources, sélectionnez les machines, les groupes de machines ou les réseaux autorisés à accéder à Google Drive (réseau LAN_Clients dans cet exemple).
  11. Cliquez sur le menu de gauche Destination.
  12. Dans le cadre Services Web et Réputation de l'onglet Géolocalisation / Réputation, sélectionnez l'objet Google Drive.
  13. Cliquez sur le menu de gauche Port / Protocole.
  14. Dans le cadre Port, sélectionnez l'objet https comme Port destination.
  15. Validez la création de la règle en cliquant sur OK.

Créer la règle de PBR vers le serveur HTTP / HTTPS distant

  1. Sélectionnez la règle au-dessous de laquelle vous souhaitez ajouter une nouvelle règle de filtrage.
  2. Cliquez sur Nouvelle règle et sélectionnez Règle simple.

    Une nouvelle règle inactive est ajoutée à la politique de filtrage.

    Vous pouvez déplacer cette nouvelle règle à l'aide des flèches .
  3. Effectuez un double clic sur cette règle.

    La fenêtre de configuration de la règle s'ouvre.
  4. Cliquez sur le menu de gauche Général.
  5. Dans le champ État, sélectionnez la valeur On.
  6. Cliquez sur le menu de gauche Action.

    Dans l'onglet Général :
    • Dans le cadre Général, pour le champ Action, choisissez passer.
    • Dans le cadre Routage, pour le champ Passerelle - routeur, sélectionnez l'objet WAN_WAN2_Router.
  7. Dans l'onglet Qualité de service, pour le champ File d'attente du cadre QoS, sélectionnez la file d'attente créée pour les flux HTTPS / HTTPS (HTTP_WAN_Q dans cet exemple).
  8. Cliquez sur le menu de gauche Source.
  9. Dans l'onglet Général, pour le champ Machines sources sélectionnez les machines, les groupes de machines ou les réseaux autorisés à accéder au serveur de production distant (réseau LAN_Clients dans cet exemple).
  10. Cliquez sur le menu de gauche Destination.
  11. Dans l'onglet Général, pour le champ Machines destinations, cliquez sur Ajouter et sélectionnez l'objet correspondant au serveur HTTP /HTTPS distant (WAN_PROD_Server dans cet exemple).
  12. Cliquez sur le menu de gauche Port / Protocole.
  13. Dans le cadre Port, sélectionnez les objets http et https comme Port destination.
  14. Validez la création de la règle en cliquant sur OK.

Créer la règle de filtrage vers le serveur VoIP distant

Suivez la procédure détaillée dans Créer la règle de filtrage vers le serveur FTP distant avec les valeurs suivantes pour cet exemple :

État on
Action passer
File d'attente SIP_WAN_Q
Machines sources LAN_VoIP_Clients
Machines destinations l'objet correspondant au serveur VoIP distant (WAN_VoIP_Server dans cet exemple)
Port destination l'objet sip

NOTE
Dans le cas d'un protocole générant des connexions filles (SIP dans cet exemple), la file d'attente précisée dans la règle de filtrage s'applique automatiquement aux connexions filles.

Appliquer la politique de sécurité modifiée

Pour appliquer la nouvelle politique de sécurité, cliquez sur Appliquer puis sur Oui, Activer la politique.

Les règles de PBR et filtrage utilisant des files d'attente de QoS prennent donc la forme suivante :