Paramétrer le Firewall FW1

Le paramétrage de FW1 consiste à :

Bien que dans cette configuration le firewall effectue du routage au sein de la politique de filtrage (Policy Based Routing), il est nécessaire de définir une route par défaut ou une route statique explicite vers le réseau distant.

En effet, la première action effectuée par le firewall est de vérifier qu'il dispose d'une route vers le site distant avant de consulter sa politique de filtrage. L'absence de cette route provoquerait donc un rejet des paquets.

Créez 4 routes permettant d'acheminer les paquets retour vers le firewall d'origine grâce à son adresse MAC source :

Définition de routes IPv4 de retour

Route de retour vers le firewall FW2

Dans le module Configuration > Réseau > Routage, sur l'onglet Routes de retour, cliquez sur le bouton Ajouter.

Renseignez les champs obligatoires :

  • Passerelle : créez un objet réseau en cliquant sur l'icône . Celui-ci doit correspondre au firewall 2 du site (FW2 dans l'exemple),

NOTE
L'adresse MAC du firewall FW2 doit impérativement être déclarée dans cet objet réseau.

  • Interface : sélectionnez l'interface du firewall FW1 par laquelle les paquets retour seront acheminés vers le firewall FW2 (interface in dans l'exemple).

Activez la route par un double clic dans la colonne État.

Route de retour vers le firewall FW3

  • Passerelle : créez l'objet réseau correspondant au firewall 3 du site (FW3 dans l'exemple),

NOTE
L'adresse MAC du firewall FW3 doit impérativement être déclarée dans cet objet réseau.

  • Interface : sélectionnez l'interface du firewall FW1 par laquelle les paquets retour seront acheminés vers le firewall FW3 (interface dmz1 dans l'exemple).

Activez la route par un double clic dans la colonne État.

Route de retour vers le firewall FW4

  • Passerelle : créez l'objet réseau correspondant au firewall 4 du site (FW4 dans l'exemple),

NOTE
L'adresse MAC du firewall FW4 doit impérativement être déclarée dans cet objet réseau.

  • Interface : sélectionnez l'interface du firewall FW1 par laquelle les paquets retour seront acheminés vers le firewall FW4 (interface dmz2 dans l'exemple).

Activez la route par un double clic dans la colonne État.

Route de retour vers le firewall FW5

  • Passerelle : créez l'objet réseau correspondant au firewall 5 du site (FW5 dans l'exemple),

NOTE
L'adresse MAC du firewall FW5 doit impérativement être déclarée dans cet objet réseau.

  • Interface : sélectionnez l'interface du firewall FW1 par laquelle les paquets retour seront acheminés vers le firewall FW5 (interface dmz3 dans l'exemple).

Activez la route par un double clic dans la colonne État.

La répartition de charge des paquets à destination des deux firewalls ayant activé le proxy HTTP est réalisée grâce à un objet routeur composé des firewalls FW3 et FW4.

  1. Dans le module Configuration > Objets > Objets réseaux, cliquez sur Ajouter.
  2. Positionnez-vous sur le menu Routeur.
  1. Indiquez un nom pour cet objet (HTTP_Proxy_LB dans l'exemple).
  2. Dans l'onglet Passerelles utilisées, cliquez sur Ajouter et sélectionnez le firewall 3 du site (FW3). Laissez la valeur Tester directement la passerelle pour la colonne Test de la disponibilité. De même, laissez la valeur 1 dans la colonne Poids.
  3. Répétez cette opération pour ajouter la passerelle FW4 :

Fenêtre de création d'un objet réseau de type Routeur

  1. Dans le panneau Configuration avancée, vérifiez que les différents champs prennent les valeurs suivantes :
    • Répartition de charge: Par connexion (chaque nouvelle connexion HTTP est envoyée vers l'une des deux passerelles déclarées selon le principe du Round-Robin),
    • Activation des passerelles de secours: Lorsque toutes les passerelles sont injoignables,
    • Activer toutes les passerelles de secours en cas d'indisponibilité: décochée,
    • Si aucune passerelle n'est disponible: Routage par défaut.
  2. Validez la création de l'objet routeur en cliquant sur le bouton Créer.

Pour que les flux (HTTP, SSL, IMAP et POP3) soient dirigés vers les firewalls ayant activé le proxy adéquat, créez trois règles de filtrage intégrant une directive de routage :

  • HTTPS vers le firewall FW2 pour solliciter son proxy SSL,
  • HTTP vers l'objet HTTP_Proxy_LB pour répartir la charge entre les proxies HTTP des firewalls FW3 et FW4,
  • SMTP/POP3/IMAP vers le firewall FW5 pour solliciter son proxy SMTP.

Les inspections de sécurité étant réalisées sur les firewalls ayant activé les différents proxies, les règles de sécurité du firewall FW1 pourront être en mode Firewall.

Flux HTTPS

  1. Dans le menu Configuration > Politique de sécurité > Filtrage et NAT, double-cliquez dans la colonne État pour le passer à On.
  2. Dans la colonne Action, double-cliquez pour choisir la valeur passer pour le champ Action. Sélectionnez dans le champ Passerelle - routeur l'objet correspondant au firewall ayant activé le proxy SSL (FW2 dans l'exemple).
  3. Dans le menu Source, pour le champ Machines sources, sélectionnez le réseau à l'origine du trafic HTTPS (Network_bridge dans l'exemple).
  4. Dans le menu Destination, sélectionnez l'objet Internet.
  5. Dans le menu Port - Protocole, sélectionnez l'objet https.
  6. Dans le menu Inspection, pour le champ Niveau d'inspection, sélectionnez le mode Firewall.
  7. Validez la modification de la règle.

Flux HTTP

  1. Ajoutez une nouvelle règle simple.
  2. Double-cliquez dans la colonne État pour le passer à On.
  3. Dans la colonne Action, double-cliquez pour choisir la valeur passer pour le champ Action. Sélectionnez dans le champ Passerelle - routeur l'objet routeur composé des deux firewalls FW3 et FW4 ayant activé le proxy HTTP (HTTP_Proxy_LB dans l'exemple).
  4. Dans le menu Source, pour le champ Machines sources, sélectionnez le réseau à l'origine du trafic HTTP (Network_bridge dans l'exemple).
  5. Dans le menu Destination, sélectionnez l'objet Internet.
  6. Dans le menu Port - Protocole, sélectionnez l'objet http.
  7. Dans le menu Inspection, pour le champ Niveau d'inspection, sélectionnez le mode Firewall.
  8. Validez la modification de la règle.

Flux SMTP/IMAP/POP

  1. Ajoutez une nouvelle règle simple.
  2. Double-cliquez dans la colonne État pour le passer à On.
  3. Dans la colonne Action, double-cliquez pour choisir la valeur passer pour le champ Action. Sélectionnez dans le champ Passerelle - routeur l'objet correspondant au firewall ayant activé le proxy SMTP (FW5 dans l'exemple).
  4. Dans le menu Source, pour le champ Machines sources, sélectionnez le réseau à l'origine du trafic mail (Network_bridge dans l'exemple).
  5. Dans le menu Destination, sélectionnez l'objet Internet.
  6. Dans le menu Port - Protocole, sélectionnez l'objet mail_srv (cet objet couvre les 3 protocoles SMTP, IMAP et POP3).
  7. Dans le menu Inspection, pour le champ Niveau d'inspection, sélectionnez le mode Firewall.
  8. Validez la modification de la règle.

La politique de filtrage prendra donc la forme suivante :Exemple de politique de filtrage NAT