FILTRAGE ET NAT
Le Filtrage et le NAT sont réunis en un seul module et font partie du menu Politique de Sécurité.
Evaluation du filtrage et impact du NAT
La politique de filtrage est évaluée sur les adresses IP avant modification par le NAT, c'est-à-dire les adresses IP du paquet réseau avant qu’il n’atteigne le firewall. Par exemple, pour autoriser l’accès à un serveur interne depuis un réseau public (Internet par exemple), il faut choisir l’adresse IP publique de ce serveur (ou l’adresse publique du firewall par exemple) dans le champ Destination de la règle de filtrage.
Les règles dont l’action est « passer » avec le service HTTP explicite activé, « décrypter » ou « tracer » n’annulent pas l’exécution des règles suivantes. L’évaluation des règles continue. Il est donc possible d’ajouter des règles de filtrage après ce type de règle.
Ce module se compose de 2 onglets, comportant chacun un emplacement réservé aux politiques de filtrage et de NAT, et à leur configuration respective :
- Le Filtrage : Il s'agit d'un ensemble de règles qui laissent passer ou bloquent certains trafics réseaux suivant des critères définis.
- Le NAT : Il permet de faire de la réécriture (ou translation) d’adresses et de ports source et destination.
Mode « FastPath »
Pour les règles avec une inspection en mode « Firewall », le trafic a été optimisé et les débits multipliés par un mécanisme appelé FastPath. Ces règles en mode « Firewall » sont conseillées pour les besoins d’un simple contrôle d’accès, par exemple, pour des flux internes spécifiques. Cela peut être des flux dédiés à la sauvegarde ou à la réplication de données en Datacenter, ou encore réservé à l’accès de sites VPN satellites à un Firewall principal si celui-ci analyse déjà le trafic.
Ce mécanisme permet alors d’alléger une charge importante de traitement du moteur de prévention d'intrusion, en inscrivant ces connexions éligibles au FastPath, c’est-à-dire dispensées après contrôle, de passage dans le moteur IPS. Ce mécanisme d’optimisation est automatique pour les règles en mode Firewall appliquées aux flux IPv4, ne réalisant pas de translation (NAT) et sans analyse de protocole utilisant des connexions dynamiques (FTP, SIP, etc). De plus, les règles ne doivent pas avoir les options ou valeurs suivantes :
- La Qualité de service (QoS),
- Un Seuil de connexion : TCP avec ou sans la protection des attaques synflood (synproxy), UDP, ICMP et requêtes applicatives
- DSCP réécrit (valeur DSCP définie),
- Règle avec port de destination non précisé et non conforme au protocole indiqué (onprobe).
Ce mécanisme est compatible avec les options de routage par règle (PBR) et de Load Balancing, Pour assurer une vision complète et cohérente des flux, le suivi des connexions examine la table pour notamment la génération de traces.