Action

Cette zone désigne l’action appliquée sur le paquet remplissant les critères de sélection de la règle de filtrage. Pour définir les différents paramètres de l’action, double-cliquez dans la colonne, une fenêtre contenant les éléments suivants s’affiche :

Onglet Général

Zone Général

Action Il est possible d’effectuer 5 actions différentes :
  • Passer : Le firewall Stormshield Network laisse passer le paquet correspondant à cette règle de filtrage. Le paquet ne descend plus dans la liste de règles.
  • Bloquer : Le firewall Stormshield Network bloque silencieusement le paquet correspondant à cette règle de filtrage : le paquet est supprimé sans que l'émetteur ne s’en aperçoive. Le paquet ne descend plus dans la liste des règles.
  • Déchiffrer : Cette action permet de déchiffrer le trafic chiffré. Le flux déchiffré continue descend dans la liste des règles. Il sera de nouveau chiffré après l’analyse (si aucune règle ne le bloque).
  • Reinit. TCP/UDP: Cette option concerne surtout les trafics TCP et UDP :
    Dans le cas d’un trafic TCP, un paquet « TCP reset » sera envoyé à l’émetteur de celui-ci.
    Dans le cas d’un trafic UDP, une notification ICMP Destination Unreachable (Port Unreachable) sera envoyée à l’émetteur de celui-ci.
    En ce qui concerne les autres protocoles IP, le Firewall Stormshield Network bloque simplement le paquet correspondant à cette règle de filtrage.
  • Si vous vous trouvez en mode d’édition de la politique globale de filtrage, une 5ème possibilité apparaît: « Déléguer ».
    Cette option permet de ne plus confronter le trafic au reste de la politique globale, mais de le confronter directement à la politique locale.

Si votre politique contenait des règles avec l'action Tracer uniquement, la mention Tracer uniquement (déprécié) est affichée lorsque vous éditez ces règles.
Niveau de trace Par défaut, la valeur est fixée sur standard (journal de connexions), donc aucune trace n’est enregistrée. Plusieurs niveaux de traces sont possibles :
  • Standard (journal de connexions) : Aucune trace n’est conservée dans les logs de filtrage si le paquet correspond à cette règle. En revanche les connexions terminées peuvent être tracées (log des connexions) selon la configuration du protocole associé à la règle, ce qui est le cas en configuration d'usine.
    Notez que cette option est indisponible si vous avez préalablement choisi l’action « Tracer » au sein du champ précédent.
  • Avancé (journal de connexions et journal de filtrage): En plus des traces du mode Standard, les traces issues de tous les flux correspondant à cette règle sont enregistrées. Cette option est déconseillée sur une règle de filtrage de type "Deny All" (sauf en cas de débogage) car elle génère alors une quantité de logs très importante.
  • Alarme mineure : Dès que cette règle est appliquée à une connexion, une alarme mineure est générée. Cette alarme est reportée dans les logs, et peut être envoyée par Syslog, (partie Traces - Syslog - IPFIX) ou par e-mail (voir module Alertes e-mails).
  • Alarme majeure : Dès que cette règle est appliquée à une connexion, une alarme majeure est générée. Cette alarme est reportée dans les logs, et peut être envoyée par Syslog, (partie Traces - Syslog - IPFIX) ou par e-mail (voir module Alertes e-mails).

Pour désactiver entièrement les traces, il est nécessaire de décocher les cases Disque, Serveur Syslog et Collecteur IPFIX du champ Destination des traces pour cette règle (onglet Configuration avancée de la boite d'édition de la règle).
Programmation horaire Sélectionnez ou créez un Objet Temps.
Vous pourrez ainsi définir la période/le jour de l’année/le jour de la semaine/ l’heure/la récurrence de validité des règles.

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton

Zone Routage

Passerelle - routeur Cette option est utile pour spécifier un routeur particulier qui permettra de diriger le trafic correspondant à la règle vers le routeur défini. Le routeur sélectionné peut être un objet de type « machine » ou de type « routeur ».

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton

IMPORTANT
Si des routeurs sont spécifiés dans les règles de filtrage (Policy Based Routing), la disponibilité de ces routeurs est systématiquement testée par l’envoi de  messages ICMP echo request. Lorsque le routeur détecté comme injoignable est un objet « machine », la passerelle par défaut, renseignée dans le module Routage, sera choisie automatiquement. S’il s’agit d’un objet « routeur », le comportement adopté dépendra de la valeur choisie pour le champ Si aucune passerelle n’est disponible dans la définition de cet objet (voir la section Objets Réseau).
Pour plus d’informations techniques, reportez-vous à la Base de connaissances - version anglaise du support technique (article "How does the PBR hostcheck work ?").

Cliquer sur Ok pour valider votre configuration.

Onglet Qualité de service

Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.

Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.

Zone QoS

File d’attente

Ce champ vous propose de choisir parmi les files d’attente que vous avez définies au préalable au sein du module Politique de Sécurité > Qualité de service.

Cette action n'est pas disponible (grisée) pour les flux transitant par le proxy SSL (menu Source > Configuration avancée > champ Via).

File d'attente d'acquittement (ACK)

Ce champ vous propose de choisir parmi les files d’attente pour les flux TCP de type ACK que vous avez définies au préalable au sein du module Politique de Sécurité > Qualité de service.

Cette action n'est pas disponible (grisée) pour les flux transitant par le proxy SSL (menu Source > Configuration avancée > champ Via).

Répartition
  • Pas de répartition : Si vous choisissez cette option, aucune attribution particulière de bande passante ne sera effectuée et chaque utilisateur / machine / connexion l’utilisera en fonction de ses besoins.
  • Équité entre les utilisateurs : la bande passante sera répartie équitablement entre les différents utilisateurs.
  • Équité entre les machines : la bande passante sera répartie équitablement entre les différentes machines.
  • Équité entre les connexions : la bande passante sera répartie équitablement entre les différentes connexions.

Zone Seuil de connexion

Le firewall Stormshield Network peut limiter le nombre maximal de connexions acceptées par seconde pour une règle de filtrage. On peut définir le nombre désiré, pour les protocoles correspondants à la règle (TCP, UDP, ICMP et quelques requêtes applicatives). Cette option vous permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous pouvez ainsi limiter le nombre de requêtes par seconde adressées à vos serveurs.

Les paquets reçus une fois cette limite dépassée, seront bloqués et ignorés.

AVERTISSEMENT
La limitation ne s'appliquera qu'à la règle correspondante.

EXEMPLE
Si vous créez une règle FTP, seule la limitation TCP sera prise en compte.

REMARQUE
Si l'option est affectée à une règle contenant un groupe d'objets, la limitation s'applique au groupe dans son ensemble (nombre total de connexions).

Si le seuil est atteint
  • Ne rien faire : aucune limitation de connexions ou requêtes par seconde (c/s) ne sera établie.
  • Protéger des attaques SYN flood: Cette option permet de protéger les serveurs contre les attaques par saturation de paquets TCP SYN (« SYN flooding ») le proxy SYN répondra à la place du serveur et évaluera la fiabilité de la requête TCP, avant de la transmettre.
    Vous pourrez limiter le nombre de connexions TCP par secondes pour cette règle de filtrage dans le champ en dessous.
  • Déclencher l'alarme associée : Selon le nombre maximum de connexions par seconde que vous attribuerez aux protocoles ci-dessous, le trafic sera bloqué une fois que le nombre défini sera dépassé. Les identifiants de ces alarmes sont les suivantes : 28 ICMP /  29 UDP / 30 TCP SYN / 253 TCP/UDP.
TCP (c/s) Nombre de connexions maximum par seconde autorisé pour le protocole TCP.
UDP (c/s) Nombre de connexions maximum par seconde autorisé pour le protocole UDP.
ICMP (c/s) Nombre de connexions maximum par seconde autorisé pour le protocole ICMP.
SCTP (c/s) Nombre de connexions maximum par seconde autorisé pour le protocole SCTP.

Requêtes applicatives (r/s)

Nombre de requêtes applicatives  maximum par seconde autorisé pour les protocoles HTTP et DNS.

Cliquer sur OK pour valider votre configuration.

Zone DSCP

Le DSCP (Differentiated Services Code Point) est un champ dans l'entête d'un paquet IP. Le but de ce champ est de permettre la différentiation de services contenus dans une architecture réseau. Celle-ci spécifie un mécanisme pour classer et contrôler le trafic tout en fournissant de la qualité de service (QoS).

Forcer la valeur En cochant cette case, vous dégrisez le champ du dessous et libérez l’accès au service DSCP.
Cette option permet de réécrire le paquet avec la valeur donnée, afin que le routeur suivant connaisse la priorité à appliquer sur ce paquet.
Nouvelle valeur DSCP Ce champ permet de définir une différenciation des flux. Via celui-ci, il est possible de déterminer grâce à un code préétabli, l’appartenance d’un trafic à un certain service plutôt qu’à un autre. Ce service DSCP, utilisé dans le cadre de la Qualité de Service, permet à l’administrateur d’appliquer des règles de QoS suivant la différenciation des services qu’il aura définis.

Cliquer sur OK pour valider votre configuration.

Onglet Configuration avancée

Zone Redirection

Redirection vers le service
  • Aucun : Cette option implique qu’aucun des deux services suivants ne sera utilisé: l’utilisateur ne passera pas par le proxy HTTP et ne sera pas redirigé vers la page d’authentification.
  • Proxy HTTP : Si vous choisissez cette option, les connexions des utilisateurs seront interceptées par le proxy HTTP qui analysera le trafic.
    Ce service sera sélectionné lors de création de règles par l'assistant de règle de proxy HTTP explicite.
  • Authentification : Si vous choisissez cette option, les utilisateurs non authentifiés seront redirigés vers le portail captif lors de leur connexion.
    Ce service sera sélectionné lors de création de règles par l'assistant règle d’authentification.
Redirection d’appels SIP (UDP) entrants Cette option permet au firewall Stormshield Network de gérer les communications entrantes basées sur le protocole SIP vers des machines internes masquées par de la translation d'adresses (NAT).
URL sans authentification Ce champ devient accessible si l’option précédente Service redirige le flux vers le portail d’authentification (règle d’authentification).
Il permet de spécifier des catégories ou groupes d’URL dérogeant à l’authentification ; les sites listés deviennent donc accessibles sans authentification, ce qui est par exemple utile pour accéder aux sites de mise à jour. Cet accès peut donc bénéficier des inspections de sécurité du Firewall. Il existe par défaut dans la base objets URL, un groupe d’URL nommé authentication_bypass contenant les sites de mise à jour Microsoft.

Zone Traces

Destination des traces pour cette règle Cette option permet de définir une ou plusieurs méthodes de stockage des traces générées par la règle :
  • Disque : stockage local.
  • Serveur Syslog : le(s) profil(s) Syslog incluant les traces de Politique de filtrage devra(devront) être défini(s) dans l'onglet SYSLOG du menu Notifications > Traces - Syslog - IPFIX.
  • Collecteur IPFIX : le(s) collecteur(s) IPFIX devra(devront) être défini(s) dans l'onglet IPFIX du menu Notifications > Traces - Syslog - IPFIX.

Chaque trace comportera le détail des connexions évaluées au travers de la règle.

Zone Configuration avancée

Compter Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et générera un rapport.
Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés.
Forcer en IPsec les paquets source En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets issus du réseau ou des machines sources à emprunter un tunnel IPsec actif pour atteindre leur destination.
Forcer en IPsec les paquets retour En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets retour (réponses) à emprunter un tunnel IPsec actif pour joindre la machine à l'initiative du flux.
Synchroniser cette connexion entre les firewalls (HA) Lorsque le firewall est membre d'un cluster, cette option permet d'activer ou non la synchronisation de la connexion correspondant à la règle entre les deux membres du cluster.
Cette option est cochée par défaut.

Cliquer sur OK pour valider votre configuration.