236 liens privés
tuto ajour de règles de firewall
Interfaces
Le USG/ATP dispose de port physique rj45. Ils sont associé à un VLAN et à un sous réseau.
Configuration > Network > Interface => onglet port | onglet Ethernet
Je peux associer les ports (ex: LAN1, WAN1 et DMZ) à des IP, ou des range d'ip ou des écoute DHCP.
Zones
La zone est un conteneur d'interfaces.
Ça peut être pratique de regrouper plusieurs interface sous la même dénomination pour appliquer d'un coup la même politique.
Par exemple la zone "WAN" regroupe les interfaces: "wan1, wan2, wan1_ppp"
Objets
Les objets sont des "alias" de nom de port et/ou protocoles. C'est une manière simplifiée plus explicite de désigner un groupe d'adresse ou un groupe de protocole.
Il y a déjà des objets créé pour désigner des protocoles courants. (ça évite de connaitre par coeur le numéro du port) On les trouve ici:
Configuration > Object > Service
On a par exemple: "HTTPS" => "TCP=443"
Politiques de sécurité / Règles Firewall
Il est temps d'ajouter des règles. C'est ici:
Configuration > Security Policy > Policy Control
Il y a déjà des règles par défaut.
La liste des règles se lit de haut en bas. C'est ainsi qu'elle sont traitée.
WAN = Wide Area Network => l'extérieur
LAN = Local Area Network => l'intérieur, mon réseau local
DMZ = Zone Démilitarisée => ma zone "interne" de service qui doivent être visible de l'extérieur: web, mail, etc..
Les colonnes:
- Priorité : Ordre de la règle Firewall - les règles de pare-feu s'exécutent de haut en bas, dans cet ordre spécifique
- Statut : indique si la règle est active - le jaune est allumé, le gris est éteint
- Nom : Nom de la règle de pare-feu
- De : Désigne la zone d'où provient le trafic
- Vers : fait référence à la zone vers laquelle le trafic sera acheminé
- Source IPv4 : fait référence à un objet d'adresse, facilite l'ajustement des règles de pare-feu à des sources IPv4 spécifiques
- Destination IPv4 : fait référence à un objet d'adresse, facilite l'ajustement des règles de pare-feu à des destinations IPv4 spécifiques
- Service : fait référence à un objet de service, permet de créer une règle qui ne s'applique qu'à un seul port/protocole ou à un groupe de ports/protocoles
- Utilisateur : permet d'affiner la règle de pare-feu pour qu'elle ne s'applique qu'aux objets/groupes d'utilisateurs
- Calendrier : Cela permet de configurer le pare-feu pour qu'il ne devienne actif que pendant un horaire spécifique (utile pour le contrôle parental, les applications scolaires, etc.)
- Action : définit si le trafic correspondant à tous les paramètres ci-dessus est autorisé à passer ou est refusé
- Journal : ici, vous pouvez définir si vous souhaitez une entrée de journal au cas où le trafic correspondant passerait par le pare-feu
- Profil : dans ce segment, vous pouvez ajouter des services UTM et leurs profils respectifs (par exemple, des profils de filtrage de contenu, etc.)
Ajouter une règle
+add
Donner un nom, une description.
Configurer: de, à .... avec les objets déjà là ou "creer un nouvel objet" (peu visible, mais possible)
Définir l'action:
- deny => ignore silencieusement la demande
- reject => renvoie les raisons du rejet.
On utilise généralement un "deny" (block) pour ne pas donner d'info à un pirate.
Il est possible d'activer des log:
Monitor > Log