Modes de configuration réseau

Il existe plusieurs modes de configuration que vous pouvez réaliser sur votre firewall :

  • Mode Bridge,
  • Mode avancé (Routeur),
  • Mode hybride.

Ces modes n’apparaissent pas visuellement dans l'interface Web d'administration et il n'existe pas d'assistant de configuration pour les mettre en œuvre. Ils représentent des types de configuration que vous pouvez réaliser sur votre firewall. Au niveau sécurité, tous les modes de fonctionnement sont identiques.

Mode Bridge

Les interfaces font partie du même plan d'adressage déclaré sur le bridge. Ce mode permet de conserver le même adressage entre les interfaces.

Vous pouvez ensuite filtrer les flux qui le traversent, en utilisant les objets interfaces ou les plages d’adresses suivant vos besoins et donc protéger telle ou telle partie du réseau.

Les avantages de ce mode sont :

  • Facilité d'intégration du produit car pas de changement de la configuration des postes client (routeur par défaut, routes statiques...) et aucun changement d'adresse IP sur votre réseau.
  • Compatibilité avec IPX (réseau Novell), NetBIOS sous Netbeui, Appletalk ou IPv6.
  • Pas de translation d'adresses, donc gain de temps au niveau du traitement des paquets par le firewall.

Ce mode est donc préconisé entre la zone externe et la / les DMZ. Il permet de conserver un adressage public sur la zone externe du firewall et les serveurs publics de la DMZ.

Mode avancé (Routeur)

Le firewall fonctionne comme un routeur entre ses différentes interfaces. Chaque interface activée porte une adresse IP du réseau auquel elle est directement connectée. Cela permet de configurer des règles de translation pour accéder à une autre zone du firewall.

Cela implique certains changements d'adresses IP sur les routeurs ou serveurs lorsque vous les déplacez dans un réseau différent (derrière une interface du firewall différente).

Les avantages de ce mode sont :

  • La possibilité de faire de la translation d'adresses entre les différents réseaux.
  • Seul le trafic passant d'un réseau à l'autre traverse le firewall (réseau interne vers Internet par exemple). Cela allège considérablement le firewall et fournit de meilleurs temps de réponse.
  • Une meilleure distinction des éléments appartenant à chaque zone (interne, externe et DMZ). La distinction se fait par les adresses IP qui sont différentes pour chaque zone. Cela permet d'avoir une vision plus claire des séparations et de la configuration à appliquer pour ces éléments.

Mode hybride

Certaines interfaces possèdent la même adresse IP et d'autres ont une adresse distincte. Le mode hybride utilise une combinaison des deux modes précédents. Ce mode ne peut être employé que pour les produits Stormshield Network possédant plus de deux interfaces réseau. Vous pouvez définir plusieurs interfaces en mode bridge.

EXEMPLE
Zone interne et DMZ, ou zone externe et DMZ, et certaines interfaces dans un plan d'adressage différent. Ainsi vous avez une plus grande flexibilité dans l'intégration du produit.