L’onglet Filtrage
La technologie de prévention d’intrusion Stormshield Network inclut un moteur de filtrage dynamique des paquets (« stateful inspection ») avec optimisation du traitement des règles permettant une application de la politique de filtrage de manière sûre et rapide.
La mise en œuvre des fonctions de filtrage est basée sur la confrontation des attributs de chaque paquet IP reçu aux critères de chaque règle de la politique de filtrage actif. Le filtrage porte sur tous les paquets sans exception.
En ce qui concerne l’utilisateur ou le groupe d’utilisateurs autorisés par la règle, à partir du moment où un utilisateur s’est identifié et authentifié avec succès à partir d’une machine donnée, le firewall retient ce fait et attribue le nom de l'identifiant de cet utilisateur à tous les paquets IP en provenance de l’adresse de cette machine.
En conséquence, les règles qui spécifient l’authentification des utilisateurs, même sans préciser de contraintes sur les utilisateurs autorisés, ne peuvent s’appliquer qu’à des paquets IP émis d’une machine à partir de laquelle un utilisateur s’est préalablement authentifié. Chaque règle de filtrage peut spécifier une action de contrôle (voir colonne Action).
Le Filtrage est composé de deux parties. Le bandeau situé en haut de l’écran, permettant de choisir la politique de filtrage, de l’activer, de l’éditer et de visualiser sa dernière modification. La grille de filtrage est dédiée à la création et la configuration des règles.
Vérification en temps réel de la politique
La politique de filtrage d’un firewall est un des éléments les plus importants pour la protection de vos données ou de vos ressources internes. Bien que cette politique évolue sans cesse, s’adapte aux nouveaux services, aux nouvelles menaces, aux nouvelles demandes des utilisateurs, elle doit conserver une cohérence parfaite afin que des failles n’apparaissent pas dans la protection que propose le firewall.
L’enjeu est d’éviter la création de règles qui en inhiberaient d’autres. Lorsque la politique de filtrage est conséquente, le travail de l’administrateur est d’autant plus fastidieux que ce risque s’accroît. De plus, lors de la configuration avancée de certaines règles de filtrage très spécifiques, la multiplication des options pourrait entraîner la création d’une règle erronée, ne correspondant plus aux besoins de l’administrateur.
Pour éviter cela, l’écran d’édition des règles de filtrage des firewalls dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille de filtrage), qui prévient l’administrateur en cas d’inhibition d’une règle par une autre ou d’erreur sur une des règles créées.
EXEMPLE
[Règle 2] Cette règle ne sera jamais appliquée car elle est couverte par la règle 1.
Les actions sur les règles de la politique de filtrage
| Rechercher | Ce champ permet la recherche par occurrence, lettre ou mot. EXEMPLE |
| Nouvelle règle | Insère une ligne prédéfinie ou à définir après la ligne sélectionnée. 5 choix sont possibles, les règles d’authentification, d’inspection SSL et de proxy HTTP explicite seront définies via un assistant dans une fenêtre à part :
Les séparateurs indiquent le nombre de règles regroupées et les numéros de la première et dernière de ces règles. sous la forme : « Nom de la règle (contient nombre total règles, de n° première à n° dernière) ». Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le regroupement de règle. Vous pouvez également copier / coller un séparateur d’un emplacement à un autre. Vous pouvez spécifier en Destination, des catégories ou groupes d’URL dérogeant à la règle, donc accessibles sans authentification (l’objet web authentication_bypass contient par défaut les sites de mise à jour Microsoft). L’accès à ces sites sans authentification peut donc bénéficier comme les autres règles des inspections de sécurité du Firewall. Afin d’Inspecter le trafic déchiffré via la seconde zone de la fenêtre de l’assistant, vous pourrez définir la configuration du Profil d’Inspection, en choisissant l’une de celles que vous avez définies au préalable ou laisser en mode « Auto ». Ce mode automatique appliquera l’inspection relative à l’origine du trafic (cf Protection Applicative/ Profils d’inspection). Vous pouvez également activer l’Antivirus ou l’Antispam et sélectionner des politiques de filtrage URL, SMTP, FTP ou SSL (vérification du champ CN du certificat présenté). NOTE |
| Supprimer | Supprime la ligne sélectionnée. |
| Monter | Placer la ligne sélectionnée avant la ligne directement au-dessus. |
| Descendre | Placer la ligne sélectionnée après la ligne directement en dessous. |
| Tout dérouler | Étendre l’arborescence des règles. |
| Tout fermer | Regrouper l’arborescence des règles. |
| Couper | Couper une règle de filtrage dans le but de la coller. |
| Copier | Copier une règle de filtrage dans le but de la dupliquer. |
| Coller | Dupliquer une règle de filtrage, après l’avoir copié. |
| Chercher dans les logs | Lorsqu'une règle de filtrage est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans la vue "Tous les journaux" (module Logs > Journaux d'audit > Vues). Si aucun nom n'a été spécifié pour la règle sélectionnée, un message d'avertissement précise que la recherche est impossible. |
| Chercher dans la supervision | Lorsqu'une règle de filtrage est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans le module de supervision des connexions. |
| Réinitialiser les statistiques des règles | En cliquant sur ce bouton, vous réinitialisez les compteurs numériques et graphiques d'utilisation des règles de filtrage situés dans la première colonne de la grille. |
| Réinitialiser l'affichage des colonnes | Lorsque vous cliquez sur la flèche de droite dans le champ du nom d’une colonne (exemple : État), vous avez la possibilité d’afficher des colonnes supplémentaires ou d’en retirer afin qu’elles ne soient pas visibles à l’écran, grâce à un système de coche. EXEMPLE |
NOTE
Si vous cliquez rapidement 10 fois sur le bouton "Monter", vous distinguez la règle monter visuellement mais la fenêtre d'attente n'apparaît que lorsqu'on ne touche plus au bouton au-delà de 2 ou 3 secondes. Et au final, une seule commande sera passée. Ceci rend le déplacement des règles beaucoup plus fluide.
Les interactions
Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des règles de filtrage :
- Nouvelle règle (Règle simple, Séparateur - Regroupement de règles, Règle d'authentification, Règle d'inspection SSL, Règle de proxy HTTP explicite),
- Supprimer,
- Couper,
- Copier,
- Coller,
- Chercher dans les logs,
- Chercher dans la supervision.
Précision sur les symboles rencontrés lors de configuration d'une règle de filtrage
Comparaison mathématique
Chaque fois que vous rencontrerez une liste déroulante d’objets au sein des colonnes (exceptées « État » et « Action ») une icône d’opérateur de comparaison mathématique apparaîtra (
). Elle ne sera utilisable que si un autre objet que « Any » est sélectionné.
Vous pourrez ainsi personnaliser les paramètres de votre trafic par le biais de l’icône suivante de 4 manières différentes :
- « = » (ou ): la valeur de l’attribut correspond à ce qui est sélectionné.
- « != » (ou
) la valeur de l’attribut est différente de ce qui est sélectionné. - « < » (ou
; utilisable uniquement pour les ports source, ports destination et scores de réputation de machines) : la valeur de l’attribut est inférieure à ce qui est sélectionné. - « > » (ou
; utilisable uniquement pour les ports source, ports destination et scores de réputation de machines) : la valeur de l’attribut est supérieure à ce qui est sélectionné.
Ajout / modification d'objet
Certaines listes déroulantes de sélection d'objets proposent le bouton 
qui permet d'accéder à un menu contextuel :
- Créer un objet : un nouvel objet peut directement etre créé depuis le module Filtrage/NAT
- Modifier cet objet : lorsqu'un objet est présent dans le champ, il peut directement être édité pour modification (changement de nom, d'adresse IP pour une machine, ajout dans un groupe...), à l'exception des objets en lecture seule ("Any", "Internet", ..).
La grille de filtrage
Elle vous permet de définir les règles de filtrage à appliquer. Ordonnez-les afin d'avoir un résultat cohérent : le firewall exécute les règles dans l'ordre d'apparition à l'écran (numérotées 1, 2 etc) et s'arrête dès qu’il trouve une règle correspondant au paquet IP.
Il convient donc de définir les règles dans l'ordre du plus restrictif au plus général.
Réorganisation des règles
Dans toute politique de sécurité, chaque règle peut être glissée et déplacée pour réorganiser aisément la politique (filtrage ou NAT). Le symbole 
ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.
Statistiques d’usage des règles
Dans la politique de sécurité active, chaque règle activée de filtrage et de NAT affiche également un compteur d’utilisation. Au survol de l’icône, une info-bulle indique le nombre exact d’exécution de la règle. Les 4 niveaux d’utilisations correspondent aux valeurs suivantes, selon le pourcentage du compteur de la règle la plus utilisée :
|
0% | |
|
de 0 à 2% | |
|
de 2 à 20% (de 2 à 100% si le compteur est inférieur à 10 000) | |
|
de 20 à 100 %, avec un min. de 10 000 fois (sinon niveau précédent) |
Pour obtenir un nouvel indicateur, un bouton « Réinitialiser les statistiques des règles » recommence une nouvelle collecte. Ce compteur est réinitialisé, si :
- l’un des paramètres de la règle est modifié (sauf le commentaire),
- une autre politique est activée,
- le firewall est redémarré.
Si aucune icône n’est affichée, cela signifie que l’information est indisponible.
État
Cette colonne affiche l’état 
On / 
Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de filtrage. Renouvelez l’opération pour la désactiver.
Menu Général de la boite d'édition de la règle de filtrage
Général
| État | Sélectionnez l'état On ou Off pour respectivement activer ou désactiver la règle en cours d'édition. |
| Commentaire | Vous pouvez saisir un commentaire : celui-ci sera affiché en toute fin de règle lors de l'affichage de la politique de filtrage. |
Configuration avancée
| Nom de la règle | Vous pouvez affecter un nom à la règle de filtrage : ce nom est repris dans les logs est facilité l'identification de la règle de filtrage lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit). |
Action
Cette zone désigne l’action appliquée sur le paquet remplissant les critères de sélection de la règle de filtrage. Pour définir les différents paramètres de l’action, double-cliquez dans la colonne, une fenêtre contenant les éléments suivants s’affiche :
Onglet « Général »
Général
| Action | Il est possible d’effectuer 5 actions différentes :
Si votre politique contenait des règles avec l'action Tracer uniquement, la mention Tracer uniquement (déprécié) est affichée lorsque vous éditez ces règles. |
| Niveau de trace | Par défaut, la valeur est fixée sur aucune, donc aucune trace n’est enregistrée. Plusieurs niveaux de traces sont possibles :
Pour désactiver entièrement les traces, il est nécessaire de décocher les cases Disque, Serveur Syslog et Collecteur IPFIX du champ Destination des traces pour cette règle (onglet Configuration avancée de la boite d'édition de la règle). |
| Programmation horaire | Sélectionnez ou créez un Objet Temps. Vous pourrez ainsi définir la période/le jour de l’année/le jour de la semaine/ l’heure/la récurrence de validité des règles. La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
Routage
| Passerelle - routeur | Cette option est utile pour spécifier un routeur particulier qui permettra de diriger le trafic correspondant à la règle vers le routeur défini. Le routeur sélectionné peut être un objet de type « machine » ou de type « routeur ». La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
IMPORTANT
Si des routeurs sont spécifiés dans les règles de filtrage (Policy Based Routing), la disponibilité de ces routeurs est systématiquement testée par l’envoi de messages ICMP echo request. Lorsque le routeur détecté comme injoignable est un objet « machine », la passerelle par défaut, renseignée dans le module Routage, sera choisie automatiquement. S’il s’agit d’un objet « routeur », le comportement adopté dépendra de la valeur choisie pour le champ Si aucune passerelle n’est disponible dans la définition de cet objet (voir la section Objets Réseau).
Pour plus d’informations techniques, reportez-vous à la Base de connaissance - version anglaise du support technique (article "How does the PBR hostcheck work ?").
Cliquer sur Ok pour valider votre configuration.
Onglet « Qualité de service »
Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.
Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.
QoS
| File d’attente | Ce champ vous propose de choisir parmi les files d’attente que vous avez définies au préalable au sein du module Qualité de service, du menu Politique de Sécurité. |
| Répartition |
|
Seuil de connexion
Le firewall Stormshield Network peut limiter le nombre maximal de connexions acceptées par seconde pour une règle de filtrage. On peut définir le nombre désiré, pour les protocoles correspondants à la règle (TCP, UDP, ICMP et quelques requêtes applicatives). Cette option vous permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous pouvez ainsi limiter le nombre de requêtes par seconde adressées à vos serveurs.
Les paquets reçus une fois cette limite dépassée, seront bloqués et ignorés.
AVERTISSEMENT
La limitation ne s'appliquera qu'à la règle correspondante.
EXEMPLE
Si vous créez une règle FTP, seule la limitation TCP sera prise en compte.
REMARQUE
Si l'option est affectée à une règle contenant un groupe d'objets, la limitation s'applique au groupe dans son ensemble (nombre total de connexions).
| Si le seuil est atteint |
|
| TCP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole TCP. |
| UDP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole UDP. |
| ICMP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole ICMP. |
| SCTP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole SCTP. |
Requêtes applicatives (r/s) | Nombre de requêtes applicatives maximum par seconde autorisé pour les protocoles HTTP et DNS. |
Cliquer sur OK pour valider votre configuration.
DSCP
Le DSCP (Differentiated Services Code Point) est un champ dans l'entête d'un paquet IP. Le but de ce champ est de permettre la différentiation de services contenus dans une architecture réseau. Celle-ci spécifie un mécanisme pour classer et contrôler le trafic tout en fournissant de la qualité de service (QoS).
| Forcer la valeur | En cochant cette case, vous dégrisez le champ du dessous et libérez l’accès au service DSCP. Cette option permet de réécrire le paquet avec la valeur donnée, afin que le routeur suivant connaisse la priorité à appliquer sur ce paquet. |
| Nouvelle valeur DSCP | Ce champ permet de définir une différenciation des flux. Via celui-ci, il est possible de déterminer grâce à un code préétabli, l’appartenance d’un trafic à un certain service plutôt qu’à un autre. Ce service DSCP, utilisé dans le cadre de la Qualité de Service, permet à l’administrateur d’appliquer des règles de QoS suivant la différenciation des services qu’il aura définis. |
Cliquer sur OK pour valider votre configuration.
Onglet « Configuration avancée »
Redirection
| Redirection vers le service |
|
| Redirection d’appels SIP (UDP) entrants | Cette option permet au firewall Stormshield Network de gérer les communications entrantes basées sur le protocole SIP vers des machines internes masquées par de la translation d'adresses (NAT). |
| URLs sans authentification | Ce champ devient accessible si l’option précédente Service redirige le flux vers le portail d’authentification (règle d’authentification). Il permet de spécifier des catégories ou groupes d’URL dérogeant à l’authentification ; les sites listés deviennent donc accessibles sans authentification, ce qui est par exemple utile pour accéder aux sites de mise à jour. Cet accès peut donc bénéficier des inspections de sécurité du Firewall. Il existe par défaut dans la base objets web, un groupe d’URL nommé authentication_bypass contenant les sites de mise à jour Microsoft. |
Traces
| Destination des traces pour cette règle | Cette option permet de définir une ou plusieurs méthodes de stockage des traces générées par la règle :
Chaque trace comportera le détail des connexions évaluées au travers de la règle. |
Configuration avancée
| Compter | Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et générera un rapport. Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés. |
| Forcer en IPSec les paquets source | En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets issus du réseau ou des machines sources à emprunter un tunnel IPSec actif pour atteindre leur destination. |
| Forcer en IPSec les paquets retour | En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets retour (réponses) à emprunter un tunnel IPSec actif pour joindre la machine à l'initiative du flux. |
| Synchroniser cette connexion entre les firewalls (HA) | Lorsque le firewall est membre d'un cluster, cette option permet d'activer ou non la synchronisation de la connexion correspondant à la règle entre les deux membres du cluster. Cette option est cochée par défaut. |
Cliquer sur OK pour valider votre configuration.
Source
Ce champ désigne la provenance du paquet traité, il est utilisé comme critère de sélection pour la règle. Un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée.
Celle-ci comporte trois onglets :
Onglet « Général »
Général
| Utilisateur | La règle s’appliquera à l’utilisateur que vous sélectionnerez dans ce champ. Vous pouvez filtrer l'affichage des utilisateurs selon la méthode ou l'annuaire LDAP désiré en cliquant sur l'icône  . Seuls les annuaires et méthodes activés (onglet Méthodes disponibles du module Authentification et annuaires LDAP définis dans le module Configuration des annuaires) sont présentés dans cette liste de filtrage.Selon la méthode d’authentification, plusieurs utilisateurs génériques sont proposés :
NOTE |
| Machines sources | La règle s’appliquera à l’objet (créé préalablement au sein de leur menu dédié : Objets\module Objets réseau) que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient la connexion. Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône  La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
| Interface d’entrée | Interface sur laquelle s’applique la règle de filtrage présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source. Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source. |
Cliquer sur OK pour valider votre configuration.
NOTE
Les règles de filtrage avec une source de type user@objet (sauf any ou unknow@object), avec un protocole autre qu’HTTP, ne s’appliquent pas aux Objets Multi-utilisateurs (Authentification > Politique d’authentification). Ce comportement est inhérent au mécanisme de traitement des paquets effectué par le moteur de prévention d’intrusion.
Onglet « Géolocalisation / Réputation»
Géolocalisation
| Sélectionnez une région | Ce champ permet d'appliquer la règle de filtrage aux machines source dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau). |
Réputation des adresses IP publiques
| Sélectionnez une catégorie de réputation | Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse IP publique est classifiée dans l'une des catégories de réputation prédéfinies :
NOTE D'autres catégories de machines sont également disponibles afin de faciliter la mise en place de règles de filtrage pour les solutions Microsoft Online :
|
Réputation des machines
| Activer le filtrage selon le score de réputation | Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne. Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines. |
| Score de réputation | Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines supervisée. |
Cliquer sur OK pour valider votre configuration.
Onglet « Configuration avancée »
Configuration avancée
| Port source | Ce champ permet de préciser le port utilisé par la machine source, si c'est une valeur particulière. Par défaut, le module "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour. La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
| Via |
|
| DSCP source | Ce champ permet de filtrer en fonction de la valeur du champ DSCP du paquet reçu. |
Authentification
| Méthode d'authentification | Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée. |
Cliquer sur OK pour valider votre configuration.
Destination
Objet destination utilisé comme critère de sélection pour la règle, un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée. Celle-ci comporte deux onglets :
Onglet « Général »
Général
| Machines destinations | Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire du trafic. Vous pouvez Ajouter ou Supprimer un objet en cliquant sur l’icône .La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton . |
Cliquer sur OK pour valider votre configuration.
Onglet « Géolocalisation / Réputation»
Géolocalisation
| Sélectionnez une région | Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau). |
Réputation des adresses IP publiques
| Sélectionnez une catégorie de réputation | Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP est classifiée dans l'une des catégories de réputation prédéfinies :
NOTE |
Réputation des machines
| Activer le filtrage selon le score de réputation | Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne. Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines. |
| Score de réputation | Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines destination supervisées. |
Cliquer sur OK pour valider votre configuration.
Onglet « Configuration avancée »
Configuration avancée
| Interface de sortie | Cette option permet de choisir l’interface de sortie du paquet sur laquelle s’applique la règle de filtrage. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP de destination. Il est possible de filtrer en fonction de l’interface de sortie du paquet. |
NAT sur la destination
| Destination | Si vous souhaitez translater l’adresse IP de destination du trafic, sélectionnez en une parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut. NOTE La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton . |
Publication ARP sur la destination externe (publique) | Cette option permet de pouvoir spécifier une publication ARP, lorsqu’on utilise une règle de filtrage avec du NAT sur la destination. Elle doit être activée si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle de l'UTM. NOTE |
Cliquer sur OK pour valider votre configuration.
Port / Protocole
Le port de destination représente le port sur lequel la machine « source » ouvre une connexion sur une machine de «destination ». Cette fenêtre permet également de définir le protocole sur lequel s’applique la règle de filtrage.
Port
| Port destination | Service ou groupe de service utilisé comme critère de sélection pour cette règle. Un double-clic sur cette zone permet de choisir l’objet associé. EXEMPLES Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton . |
Type de protocole
Selon le type de protocole que vous choisissez ici, le champ qui suivra s’affichera différemment :
| Détection automatique du protocole (par défaut) | Si vous cochez cette option, un champ du même nom apparaîtra en dessous avec les données suivantes :
|
| Protocole applicatif | L’intérêt de ce choix est d’appliquer une analyse applicative sur un port différent du port par défaut. Lorsque vous cochez cette case, le champ suivant portant le même nom vous propose de choisir :
|
| Protocole IP | Si vous cochez cette option, le champ suivant proposera une liste déroulante de différents protocoles IP. |
NOTE
Il est possible de suivre l'état des connexions IP pour les protocoles autres que TCP, UDP ou ICMP.
| Suivi des états (stateful) | Si vous choisissez le type « Protocole IP », une option « stateful » vous est proposée. Cette option est cochée par défaut pour tout protocole IP autre que TCP, UDP, ICMP et IGMP. |
NOTE
Par exemple, vous pouvez activer le suivi d’état (mode « stateful ») des connexions pour le protocole GRE, utilisé dans les tunnels PPTP. Grâce à ce suivi, il est possible de réaliser des opérations de translation sur la source (map), la destination (redirection), ou les 2 (bimap).
Toutefois, il est impossible de distinguer 2 connexions qui partagent les mêmes adresses sources et destinations. Concrètement, lorsque le firewall réalise une opération de translation sur la source N -> 1 (map), une seule connexion simultanée vers un serveur PPTP sera possible.
En cas de translation de la destination choisie, une option supplémentaire est disponible :
Translation de Port
| Port destination translaté | Port vers lequel est faite la translation. Les paquets réseaux reçus seront redirigés sur un port donné d'une machine ou un équipement réseau vers une autre machine ou équipement réseau. Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut. Dans ce cas, le champ Port de destination restera inchangé. |
Inspection de sécurité
Type d’inspection
Général
Niveau d’inspection
| IPS (Détecter et bloquer) | Si vous sélectionnez cette option, l’IPS Stormshield Network (Intrusion Prevention System) détectera et bloquera les tentatives d’intrusion de la couche « réseau » à la couche « applicative » du modèle OSI. |
| IDS (Détecter) | En sélectionnant cette option, l’IDS Stormshield Network (Intrusion Detection System) détectera les tentatives d’intrusion sur votre trafic, mais sans les bloquer. |
| Firewall (Ne pas inspecter) | Cette option ne donne accès qu’aux fonctions de base de sécurité informatique, et ne fera que filtrer votre trafic sans l’inspecter. |
Profil d’inspection
| Selon le sens du trafic, IPS_ 00 à 09 | Vous pouvez personnaliser la configuration de votre inspection de sécurité en lui attribuant une politique prédéfinie, celle-ci apparaîtra dans la grille de filtrage. Les configurations numérotées peuvent être renommées dans le menu Protection applicative > Profils d’inspection. La valeur proposée par défaut (Selon le sens du trafic) utilise le profil IPS_00 pour les flux entrants et le profil IPS_01 pour les flux sortants. |
Inspection applicative
| Antivirus | Les boutons On / Off vous permettent d’activer ou de désactiver l’Antivirus au sein de votre règle de filtrage. Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles. |
| Sandboxing | Les boutons On / Off vous permettent d’activer ou de désactiver l’analyse sandboxing (fichiers malveillants) au sein de votre règle de filtrage. Notez que l’activation de cette option nécessite l’utilisation de l’antivirus Kaspersky. Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles. |
| Antispam | Les boutons On / Off vous permettent d’activer ou de désactiver l’Antispam au sein de votre règle de filtrage. Cette analyse est réalisée uniquement sur les protocoles SMTP, POP3 et leurs variantes en SSL. Elle est paramétrable pour chacun de ces protocoles via le menu Protection applicative > Protocoles. |
| Filtrage URL | Pour activer ce filtrage, choisissez un profil de filtrage URL au sein des profils proposés. |
| Filtrage SMTP | Pour activer ce filtrage, choisissez un profil de filtrage SMTP au sein des profils proposés. Le choix d’une politique de filtrage SMTP active également le proxy POP3 dans le cas où la règle de filtrage autorise le protocole POP3. |
| Filtrage FTP | Les boutons On / Off vous permettent d’activer ou de désactiver le filtrage FTP au sein de votre règle de filtrage, correspondant aux commandes FTP définies dans le plug-in FTP (module Protocoles). |
| Filtrage SSL | Pour activer ce filtrage, choisissez un profil de filtrage SSL au sein des profils proposés. |
Commentaire
Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de filtrage et ses caractéristiques.
Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « admin », sous la forme « Créée le {date}, par {login} ({adresse IP}) ». Ce renseignement automatique peut être désactivé en décochant l’option «Commentaires des règles avec date de création (Filtrage et NAT) - (Comments about rules with creation date (Filtering and NAT) » l’option proposée dans le module Préférences.