Action
Cette zone désigne l’action appliquée sur le paquet remplissant les critères de sélection de la règle de filtrage. Pour définir les différents paramètres de l’action, double-cliquez dans la colonne, une fenêtre contenant les éléments suivants s’affiche :
Onglet Général
Zone Général
Action | Il est possible d’effectuer 5 actions différentes :
Si votre politique contenait des règles avec l'action Tracer uniquement, la mention Tracer uniquement (déprécié) est affichée lorsque vous éditez ces règles. |
Niveau de trace | Par défaut, la valeur est fixée sur standard (journal de connexions), donc aucune trace n’est enregistrée. Plusieurs niveaux de traces sont possibles :
Pour désactiver entièrement les traces, il est nécessaire de décocher les cases Disque, Serveur Syslog et Collecteur IPFIX du champ Destination des traces pour cette règle (onglet Configuration avancée de la boite d'édition de la règle). |
Programmation horaire | Sélectionnez ou créez un Objet Temps. Vous pourrez ainsi définir la période/le jour de l’année/le jour de la semaine/ l’heure/la récurrence de validité des règles. La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
Zone Routage
Passerelle - routeur | Cette option est utile pour spécifier un routeur particulier qui permettra de diriger le trafic correspondant à la règle vers le routeur défini. Le routeur sélectionné peut être un objet de type « machine » ou de type « routeur ». La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton |
IMPORTANT
Si des routeurs sont spécifiés dans les règles de filtrage (Policy Based Routing), la disponibilité de ces routeurs est systématiquement testée par l’envoi de messages ICMP echo request. Lorsque le routeur détecté comme injoignable est un objet « machine », la passerelle par défaut, renseignée dans le module Routage, sera choisie automatiquement. S’il s’agit d’un objet « routeur », le comportement adopté dépendra de la valeur choisie pour le champ Si aucune passerelle n’est disponible dans la définition de cet objet (voir la section Objets Réseau).
Pour plus d’informations techniques, reportez-vous à la Base de connaissances - version anglaise du support technique (article "How does the PBR hostcheck work ?").
Cliquer sur Ok pour valider votre configuration.
Onglet Qualité de service
Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.
Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.
Zone QoS
File d’attente |
Ce champ vous propose de choisir parmi les files d’attente que vous avez définies au préalable au sein du module Politique de Sécurité > Qualité de service. Cette action n'est pas disponible (grisée) pour les flux transitant par le proxy SSL (menu Source > Configuration avancée > champ Via). |
File d'attente d'acquittement (ACK) |
Ce champ vous propose de choisir parmi les files d’attente pour les flux TCP de type ACK que vous avez définies au préalable au sein du module Politique de Sécurité > Qualité de service. Cette action n'est pas disponible (grisée) pour les flux transitant par le proxy SSL (menu Source > Configuration avancée > champ Via). |
Répartition |
|
Zone Seuil de connexion
Le firewall Stormshield Network peut limiter le nombre maximal de connexions acceptées par seconde pour une règle de filtrage. On peut définir le nombre désiré, pour les protocoles correspondants à la règle (TCP, UDP, ICMP et quelques requêtes applicatives). Cette option vous permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous pouvez ainsi limiter le nombre de requêtes par seconde adressées à vos serveurs.
Les paquets reçus une fois cette limite dépassée, seront bloqués et ignorés.
AVERTISSEMENT
La limitation ne s'appliquera qu'à la règle correspondante.
EXEMPLE
Si vous créez une règle FTP, seule la limitation TCP sera prise en compte.
REMARQUE
Si l'option est affectée à une règle contenant un groupe d'objets, la limitation s'applique au groupe dans son ensemble (nombre total de connexions).
Si le seuil est atteint |
|
TCP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole TCP. |
UDP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole UDP. |
ICMP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole ICMP. |
SCTP (c/s) | Nombre de connexions maximum par seconde autorisé pour le protocole SCTP. |
Requêtes applicatives (r/s) |
Nombre de requêtes applicatives maximum par seconde autorisé pour les protocoles HTTP et DNS. |
Cliquer sur OK pour valider votre configuration.
Zone DSCP
Le DSCP (Differentiated Services Code Point) est un champ dans l'entête d'un paquet IP. Le but de ce champ est de permettre la différentiation de services contenus dans une architecture réseau. Celle-ci spécifie un mécanisme pour classer et contrôler le trafic tout en fournissant de la qualité de service (QoS).
Forcer la valeur | En cochant cette case, vous dégrisez le champ du dessous et libérez l’accès au service DSCP. Cette option permet de réécrire le paquet avec la valeur donnée, afin que le routeur suivant connaisse la priorité à appliquer sur ce paquet. |
Nouvelle valeur DSCP | Ce champ permet de définir une différenciation des flux. Via celui-ci, il est possible de déterminer grâce à un code préétabli, l’appartenance d’un trafic à un certain service plutôt qu’à un autre. Ce service DSCP, utilisé dans le cadre de la Qualité de Service, permet à l’administrateur d’appliquer des règles de QoS suivant la différenciation des services qu’il aura définis. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Zone Redirection
Redirection vers le service |
|
Redirection d’appels SIP (UDP) entrants | Cette option permet au firewall Stormshield Network de gérer les communications entrantes basées sur le protocole SIP vers des machines internes masquées par de la translation d'adresses (NAT). |
URL sans authentification | Ce champ devient accessible si l’option précédente Service redirige le flux vers le portail d’authentification (règle d’authentification). Il permet de spécifier des catégories ou groupes d’URL dérogeant à l’authentification ; les sites listés deviennent donc accessibles sans authentification, ce qui est par exemple utile pour accéder aux sites de mise à jour. Cet accès peut donc bénéficier des inspections de sécurité du Firewall. Il existe par défaut dans la base objets URL, un groupe d’URL nommé authentication_bypass contenant les sites de mise à jour Microsoft. |
Zone Traces
Destination des traces pour cette règle | Cette option permet de définir une ou plusieurs méthodes de stockage des traces générées par la règle :
Chaque trace comportera le détail des connexions évaluées au travers de la règle. |
Zone Configuration avancée
Compter | Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et générera un rapport. Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés. |
Forcer en IPsec les paquets source | En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets issus du réseau ou des machines sources à emprunter un tunnel IPsec actif pour atteindre leur destination. |
Forcer en IPsec les paquets retour | En cochant cette option, et pour cette règle de filtrage, vous obligez les paquets retour (réponses) à emprunter un tunnel IPsec actif pour joindre la machine à l'initiative du flux. |
Synchroniser cette connexion entre les firewalls (HA) | Lorsque le firewall est membre d'un cluster, cette option permet d'activer ou non la synchronisation de la connexion correspondant à la règle entre les deux membres du cluster. Cette option est cochée par défaut. |
Cliquer sur OK pour valider votre configuration.