Destination

Objet destination utilisé comme critère de sélection pour la règle, un double-clic sur cette zone permettra de choisir la valeur associée dans une fenêtre dédiée. Celle-ci comporte deux onglets :

Onglet Général

Zone Général

Machines destinations Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire du trafic.
Vous pouvez Ajouter ou Supprimer un objet en cliquant sur l’icône  .

La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton .

Zone Services Web et réputations IP

Sélectionnez un service ou une catégorie de réputation IP

Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse IP publique est classifiée dans l'une des catégories ci-dessous :

  • Services Web officiels (liste mise à jour dynamiquement par le biais du service Stormshield Active Update),
  • Réputations malicieuses (liste mise à jour dynamiquement par le biais du service Stormshield Active Update) :
    • anonymiseur : proxies, convertisseurs IPv4 vers IPv6.
    • botnet : machines infectées exécutant des programmes malveillants.
    • exploit : adresses IP connues comme étant source d'exploits de vulnérabilités.
    • malware : machines distribuant des programmes malveillants
    • nœud d'entrée tor : serveurs d'extrémités entrantes du réseau Tor.
    • nœud de sortie tor : serveurs d'extrémités sortantes du réseau Tor.
    • phishing : serveurs de messagerie compromis.
    • scanneur : machines exécutant du balayage de ports (port scanning) ou des attaques par force brute.
    • spam : serveurs de messagerie compromis.
    • suspect : permet de regrouper des machines et adresses IP présentant peu de gages de confiance et risquant de déclencher de faux positifs. Par défaut, cette catégorie n'est pas incluse dans bad.
  • Groupes :
    • Services Web officiels regroupés par type de fonctionnalité (Accès à distance, Conférence Web ...) ou par fournisseur (Apple, Google ...),
    • Bad : regroupe l'ensemble des catégories de réputations malicieuses à l'exception de la catégorie suspect,
    • Malicious : regroupe bad ainsi que deux bases externes d'URL malicieuses.
    • Nœuds tor : regroupe les catégories nœuds d'entrée tor et nœud de sortie tor.

NOTE
La réputation d'une adresse IP publique pouvant être à la limite de deux catégories (botnet et malware), et ce champ ne permettant de sélectionner qu'une seule catégorie, il est conseillé d'utiliser le groupe "bad" pour une protection optimale.

Cliquer sur OK pour valider votre configuration.

Onglet Géolocalisation / Réputation

Zone Géolocalisation

Sélectionnez une région Ce champ permet d'appliquer la règle de filtrage aux machines destination dont l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets > Objets réseau).
Activer le filtrage selon le score de réputation Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne.
Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines.
Score de réputation Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines supervisée.

Zone Réputation des machines

Activer le filtrage selon le score de réputation Cochez cette case afin d'activer le filtrage en fonction du score de réputation des machines du réseau interne.
Pour activer la gestion de réputation des machines et définir les machines concernées par le calcul d'un score de réputation, rendez-vous dans le module Protection applicative > Réputation des machines.
Score de réputation Ce champ permet de sélectionner le score de réputation au dessus duquel () ou au dessous duquel () la règle de filtrage s'appliquera aux machines destination supervisées.

Cliquer sur OK pour valider votre configuration.

Onglet Configuration avancée

Zone Configuration avancée

Interface de sortie Cette option permet de choisir l’interface de sortie du paquet sur laquelle s’applique la règle de filtrage.
Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP de destination. Il est possible de filtrer en fonction de l’interface de sortie du paquet.

Zone NAT sur la destination

Destination Si vous souhaitez translater l’adresse IP de destination du trafic, sélectionnez en une parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « None » par défaut.

NOTE
Comme ce trafic est déjà translaté par cette option, les autres règles de NAT de la politique courante ne seront pas appliquées à ce flux.


La création ou la modification d'un objet directement depuis ce champ peut être réalisée en cliquant sur le bouton .

Publication ARP sur la destination externe (publique)

 Cette option permet de pouvoir spécifier une publication ARP, lorsqu’on utilise une règle de filtrage avec du NAT sur la destination. Elle doit être activée si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle de l'UTM.

NOTE
Un autre moyen de mettre en place cette publication consisterait à ajouter l’adresse IP virtuelle à l’interface concernée, depuis le module Interfaces.

Cliquer sur OK pour valider votre configuration.