La grille de filtrage
Elle vous permet de définir les règles de filtrage à appliquer. Ordonnez-les afin d'avoir un résultat cohérent : le firewall exécute les règles dans l'ordre d'apparition à l'écran (numérotées 1, 2 etc) et s'arrête dès qu’il trouve une règle correspondant au paquet IP.
Il convient donc de définir les règles dans l'ordre du plus restrictif au plus général.
Dans toute politique de sécurité, chaque règle peut être glissée et déplacée pour réorganiser aisément la politique (filtrage ou NAT). Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.
Dans la politique de sécurité active, chaque règle activée de filtrage et de NAT affiche également un compteur d’utilisation. Au survol de l’icône, une info-bulle indique le nombre exact d’exécution de la règle. Les 4 niveaux d’utilisations correspondent aux valeurs suivantes, selon le pourcentage du compteur de la règle la plus utilisée :
0% | ||
de 0 à 2% | ||
de 2 à 20% (de 2 à 100% si le compteur est inférieur à 10 000) | ||
de 20 à 100 %, avec un min. de 10 000 fois (sinon niveau précédent) |
Pour obtenir un nouvel indicateur, un bouton « Réinitialiser les statistiques des règles » recommence une nouvelle collecte. Ce compteur est réinitialisé, si :
- L’un des paramètres de la règle est modifié (sauf le commentaire),
- Une autre politique est activée,
- Le firewall est redémarré.
Si aucune icône n’est affichée, cela signifie que l’information est indisponible.
Cette colonne affiche l’état On / Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de filtrage. Renouvelez l’opération pour la désactiver.
Onglet Général
Zone Général
État | Sélectionnez l'état On ou Off pour respectivement activer ou désactiver la règle en cours d'édition. |
Commentaire | Vous pouvez saisir un commentaire : celui-ci sera affiché en toute fin de règle lors de l'affichage de la politique de filtrage. |
Configuration avancée
Nom de la règle | Vous pouvez affecter un nom à la règle de filtrage : ce nom est repris dans les logs est facilité l'identification de la règle de filtrage lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit). |
Cette zone désigne l’action appliquée sur le paquet remplissant les critères de sélection de la règle de filtrage. Pour définir les différents paramètres de l’action, double-cliquez dans la colonne, une fenêtre contenant les éléments suivants s’affiche :
Onglet Général
Zone Général
Action | Il est possible d’effectuer 5 actions différentes :
Si votre politique contenait des règles avec l'action Tracer uniquement, la mention Tracer uniquement (déprécié) est affichée lorsque vous éditez ces règles. |
Niveau de trace | Par défaut, la valeur est fixée sur standard (journal de connexions), donc aucune trace n’est enregistrée. Plusieurs niveaux de traces sont possibles :
Pour désactiver entièrement les traces, il est nécessaire de décocher les cases Disque, Serveur Syslog et Collecteur IPFIX du champ Destination des traces pour cette règle (onglet Configuration avancée de la boite d'édition de la règle). |
Programmation horaire | Sélectionnez ou créez un Objet Temps. Vous pourrez ainsi définir la période/le jour de l’année/le jour de la semaine/ l’heure/la récurrence de validité des règles. La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
Zone Routage
Passerelle - routeur | Cette option est utile pour spécifier un routeur particulier qui permettra de diriger le trafic correspondant à la règle vers le routeur défini. Le routeur sélectionné peut être un objet de type « machine » ou de type « routeur ». La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
IMPORTANT
Si des routeurs sont spécifiés dans les règles de filtrage (Policy Based Routing), la disponibilité de ces routeurs est systématiquement testée par l’envoi de messages ICMP echo request. Lorsque le routeur détecté comme injoignable est un objet « machine », la passerelle par défaut, renseignée dans le module Routage, sera choisie automatiquement. S’il s’agit d’un objet « routeur », le comportement adopté dépendra de la valeur choisie pour le champ Si aucune passerelle n’est disponible dans la définition de cet objet (voir la section Objets Réseau).
Pour plus d’informations techniques, reportez-vous à la Base de connaissances - version anglaise du support technique (article "How does the PBR hostcheck work ?").
Cliquer sur Ok pour valider votre configuration.
Onglet Qualité de service
Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.
Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.
Zone QoS
File d’attente |
Ce champ vous propose de choisir parmi les files d’attente que vous avez définies au préalable au sein du module Politique de Sécurité > Qualité de service. Cette action n'est pas disponible (grisée) pour les flux transitant par le proxy SSL (menu Source > Configuration avancée > champ Via). |
File d'attente ACK |
Ce champ vous propose de choisir parmi les files d’attente pour les flux TCP de type ACK que vous avez définies au préalable au sein du module Politique de Sécurité > Qualité de service. Cette action n'est pas disponible (grisée) pour les flux transitant par le proxy SSL (menu Source > Configuration avancée > champ Via). |
Répartition |
|
Zone Seuil de connexion
Le firewall Stormshield Network peut limiter le nombre maximal de connexions acceptées par seconde pour une règle de filtrage. On peut définir le nombre désiré, pour les protocoles correspondants à la règle (TCP, UDP, ICMP et quelques requêtes applicatives). Cette option vous permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous pouvez ainsi limiter le nombre de requêtes par seconde adressées à vos serveurs.
Les paquets reçus une fois cette limite dépassée, seront bloqués et ignorés.
AVERTISSEMENT
La limitation ne s'appliquera qu'à la règle correspondante.
EXEMPLE
Si vous créez une règle FTP, seule la limitation TCP sera prise en compte.
REMARQUE
Si l'option est affectée à une règle contenant un groupe d'objets, la limitation s'applique au groupe dans son ensemble (nombre total de connexions).
Si le seuil est atteint |
|
TCP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole TCP. |
UDP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole UDP. |
ICMP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole ICMP. |
SCTP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole SCTP. |
Requêtes applicatives (r/s) |
Nombre de requêtes applicatives maximum par seconde autorisé pour les protocoles HTTP et DNS. |
Cliquer sur OK pour valider votre configuration.
Zone DSCP
Le DSCP (Differentiated Services Code Point) est un champ dans l'entête d'un paquet IP. Le but de ce champ est de permettre la différentiation de services contenus dans une architecture réseau. Celle-ci spécifie un mécanisme pour classer et contrôler le trafic tout en fournissant de la qualité de service (QoS).
Forcer la valeur | En cochant cette case, vous dégrisez le champ du dessous et libérez l’accès au service DSCP. Cette option permet de réécrire le paquet avec la valeur donnée, afin que le routeur suivant connaisse la priorité à appliquer sur ce paquet. |
Nouvelle valeur DSCP | Ce champ permet de définir une différenciation des flux. Via celui-ci, il est possible de déterminer grâce à un code préétabli, l’appartenance d’un trafic à un certain service plutôt qu’à un autre. Ce service DSCP, utilisé dans le cadre de la Qualité de Service, permet à l’administrateur d’appliquer des règles de QoS suivant la différenciation des services qu’il aura définis. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Zone Redirection
Redirection vers le service |
|
Redirection d’appels SIP (UDP) entrants | Cette option permet au firewall Stormshield Network de gérer les communications entrantes basées sur le protocole SIP vers des machines internes masquées par de la translation d'adresses (NAT). |
URL sans authentification | Ce champ devient accessible si l’option précédente Service redirige le flux vers le portail d’authentification (règle d’authentification). Il permet de spécifier des catégories ou groupes d’URL dérogeant à l’authentification ; les sites listés deviennent donc accessibles sans authentification, ce qui est par exemple utile pour accéder aux sites de mise à jour. Cet accès peut donc bénéficier des inspections de sécurité du Firewall. Il existe par défaut dans la base objets URL, un groupe d’URL nommé authentication_bypass contenant les sites de mise à jour Microsoft. |
Zone Traces
Destination des traces pour cette règle | Cette option permet de définir une ou plusieurs méthodes de stockage des traces générées par la règle :
Chaque trace comportera le détail des connexions évaluées au travers de la règle. |
Zone Configuration avancée
Compter | Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et générera un rapport. Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés. |
Forcer en IPsec les paquets source | En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets issus du réseau ou des machines sources à emprunter un tunnel IPsec actif pour atteindre leur destination. |
Forcer en IPsec les paquets retour | En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets retour (réponses) à emprunter un tunnel IPsec actif pour joindre la machine à l'initiative du flux. |
Synchroniser cette connexion entre les firewalls (HA) | Lorsque le firewall est membre d'un cluster, cette option permet d'activer ou non la synchronisation de la connexion correspondant à la règle entre les deux membres du cluster. Cette option est cochée par défaut. |
Cliquer sur OK pour valider votre configuration.
Ce champ désigne la provenance du paquet traité, il est utilisé comme critère de sélection pour la règle. Un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée.
Celle-ci comporte trois onglets :
Onglet Général
Zone Général
Utilisateur | La règle s’appliquera à l’utilisateur que vous sélectionnerez dans ce champ. Vous pouvez filtrer l'affichage des utilisateurs selon la méthode ou l'annuaire LDAP désiré en cliquant sur l'icône . Seuls les annuaires et méthodes activés (onglet Méthodes disponibles du module Authentification et annuaires LDAP définis dans le module Configuration des annuaires) sont présentés dans cette liste de filtrage. Selon la méthode d’authentification, plusieurs utilisateurs génériques sont proposés :
NOTE |
Machines sources | La règle s’appliquera à l’objet (créé préalablement au sein de leur menu dédié : Objets\module Objets réseau) que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient la connexion. Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
Interface d’entrée | Interface sur laquelle s’applique la règle de filtrage présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source. Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source. |
Cliquer sur OK pour valider votre configuration.
NOTE
Les règles de filtrage avec une source de type user@objet (sauf any ou unknow@object), avec un protocole autre qu’HTTP, ne s’appliquent pas aux Objets Multi-utilisateurs (Authentification > Politique d’authentification). Ce comportement est inhérent au mécanisme de traitement des paquets effectué par le moteur de prévention d’intrusion.
Onglet Géolocalisation / Réputation
Zone Géolocalisation
Sélectionnez une région | Ce champ permet d'appliquer la règle de filtrage aux machines source dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau). |
Zone Réputation des adresses IP publiques
Sélectionnez une catégorie de réputation | Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse IP publique est classifiée dans l'une des catégories de réputation prédéfinies :
NOTE D'autres catégories de machines sont également disponibles afin de faciliter la mise en place de règles de filtrage pour les solutions Microsoft Online :
|
Zone Réputation des machines
Activer le filtrage selon le score de réputation | Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne. Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines. |
Score de réputation | Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines supervisée. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Zone Configuration avancée
Port source | Ce champ permet de préciser le port utilisé par la machine source, si c'est une valeur particulière. Par défaut, le module "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour. La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
Via |
|
DSCP source | Ce champ permet de filtrer en fonction de la valeur du champ DSCP du paquet reçu. |
Zone Authentification
Méthode d'authentification | Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée. |
Cliquer sur OK pour valider votre configuration.
Objet destination utilisé comme critère de sélection pour la règle, un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée. Celle-ci comporte deux onglets :
Onglet Général
Zone Général
Machines destinations | Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire du trafic. Vous pouvez Ajouter ou Supprimer un objet en cliquant sur l’icône . La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton . |
Cliquer sur OK pour valider votre configuration.
Onglet Géolocalisation / Réputation
Zone Géolocalisation
Sélectionnez une région | Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau). |
Zone Réputation des adresses IP publiques
Sélectionnez une catégorie de réputation | Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP est classifiée dans l'une des catégories de réputation prédéfinies :
NOTE |
Zone Réputation des machines
Activer le filtrage selon le score de réputation | Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne. Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines. |
Score de réputation | Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines destination supervisées. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Zone Configuration avancée
Interface de sortie | Cette option permet de choisir l’interface de sortie du paquet sur laquelle s’applique la règle de filtrage. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP de destination. Il est possible de filtrer en fonction de l’interface de sortie du paquet. |
Zone NAT sur la destination
Destination | Si vous souhaitez translater l’adresse IP de destination du trafic, sélectionnez en une parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut. NOTE La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton . |
Publication ARP sur la destination externe (publique) |
Cette option permet de pouvoir spécifier une publication ARP, lorsqu’on utilise une règle de filtrage avec du NAT sur la destination. Elle doit être activée si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle de l'UTM. NOTE |
Cliquer sur OK pour valider votre configuration.
Le port de destination représente le port sur lequel la machine « source » ouvre une connexion sur une machine de «destination ». Cette fenêtre permet également de définir le protocole sur lequel s’applique la règle de filtrage.
Zone Port
Port destination | Service ou groupe de service utilisé comme critère de sélection pour cette règle. Un double-clic sur cette zone permet de choisir l’objet associé. EXEMPLES Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton . |
Zone Protocole
Selon le type de protocole que vous choisissez ici, le champ qui suivra s’affichera différemment :
Type de protocole | Sélectionnez le type de protocole souhaité. Selon votre choix, la valeur des champs suivants sera différente.
|
Protocole applicatif | L’intérêt de ce choix est d’appliquer une analyse applicative sur un port différent du port par défaut. Lorsque ce type de protocole est sélectionné :
|
Protocole IP | Lorsque ce type de protocole est sélectionné :
|
Protocole Ethernet | Lorsque ce type de protocole est sélectionné , choisissez le protocole Ethernet souhaité dans la liste déroulante. |
NOTE
Par exemple, vous pouvez activer le suivi d’état (mode « stateful ») des connexions pour le protocole GRE, utilisé dans les tunnels PPTP. Grâce à ce suivi, il est possible de réaliser des opérations de translation sur la source (map), la destination (redirection), ou les 2 (bimap).
Toutefois, il est impossible de distinguer 2 connexions qui partagent les mêmes adresses sources et destinations. Concrètement, lorsque le firewall réalise une opération de translation sur la source N -> 1 (map), une seule connexion simultanée vers un serveur PPTP sera possible.
Zone Translation de Port
Cette zone est disponible en cas de NAT sur la destination choisie.
Port destination translaté | Port vers lequel est faite la translation. Les paquets réseaux reçus seront redirigés sur un port donné d'une machine ou un équipement réseau vers une autre machine ou équipement réseau. Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut. Dans ce cas, le champ Port de destination restera inchangé. |
Zone Général
Champ Niveau d’inspection
IPS (Détecter et bloquer) | Si vous sélectionnez cette option, l’IPS Stormshield Network (Intrusion Prevention System) détectera et bloquera les tentatives d’intrusion de la couche « réseau » à la couche « applicative » du modèle OSI. |
IDS (Détecter) | En sélectionnant cette option, l’IDS Stormshield Network (Intrusion Detection System) détectera les tentatives d’intrusion sur votre trafic, mais sans les bloquer. |
Firewall (Ne pas inspecter) | Cette option ne donne accès qu’aux fonctions de base de sécurité informatique, et ne fera que filtrer votre trafic sans l’inspecter. |
Profil d’inspection
Selon le sens du trafic, IPS_ 00 à 09 | Vous pouvez personnaliser la configuration de votre inspection de sécurité en lui attribuant une politique prédéfinie, celle-ci apparaîtra dans la grille de filtrage. Les configurations numérotées peuvent être renommées dans le menu Protection applicative > Profils d’inspection. La valeur proposée par défaut (Selon le sens du trafic) utilise le profil IPS_00 pour les flux entrants et le profil IPS_01 pour les flux sortants. |
Zone Inspection applicative
Antivirus | Les boutons On / Off vous permettent d’activer ou de désactiver l’Antivirus au sein de votre règle de filtrage. Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles. |
Sandboxing | Les boutons On / Off vous permettent d’activer ou de désactiver l’analyse sandboxing (fichiers malveillants) au sein de votre règle de filtrage. Notez que l’activation de cette option nécessite l’utilisation de l’antivirus avancé. Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles. |
Antispam | Les boutons On / Off vous permettent d’activer ou de désactiver l’Antispam au sein de votre règle de filtrage. Cette analyse est réalisée uniquement sur les protocoles SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles. |
Filtrage URL | Pour activer ce filtrage, choisissez un profil de filtrage URL au sein des profils proposés. |
Filtrage SMTP | Pour activer ce filtrage, choisissez un profil de filtrage SMTP au sein des profils proposés. Le choix d’une politique de filtrage SMTP active également le proxy POP3 dans le cas où la règle de filtrage autorise le protocole POP3. |
Filtrage FTP | Les boutons On / Off vous permettent d’activer ou de désactiver le filtrage FTP au sein de votre règle de filtrage, correspondant aux commandes FTP définies dans le plug-in FTP (module Protocoles). |
Filtrage SSL | Pour activer ce filtrage, choisissez un profil de filtrage SSL au sein des profils proposés. |
Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de filtrage et ses caractéristiques.
Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « admin », sous la forme « Créée le {date}, par {login} ({adresse IP}) ». Ce renseignement automatique peut être désactivé en décochant l’option «Commentaires des règles avec date de création (Filtrage et NAT) - (Comments about rules with creation date (Filtering and NAT) » l’option proposée dans le module Préférences.