Académique Documents
Professionnel Documents
Culture Documents
Cisco et le logo Cisco sont des marques dposes de Cisco Systems, Inc. et/ou de ses socits affilies aux tats-Unis et dans d'autres pays. Vous trouverez une liste des marques commerciales de Cisco sur la page Web www.cisco.com/go/trademarks. Les autres marques commerciales mentionnes dans les prsentes sont la proprit de leurs dtenteurs respectifs. L'utilisation du terme partenaire n'implique pas de relation de partenariat entre Cisco et toute autre entreprise. (1005R)
OL-24299-01
10
10 11 11 12 13 13 16 17 18 19 21 22 22 23 23 24 25 25 26 29 30 31 32 32 36
37
37 41 42 43
Configuration de la zone LAN propos des paramtres LAN par dfaut Configuration de la zone LAN Afficher l'tat du LAN Configuration VLAN IP DHCP rserves Clients soumis au bail DHCP Configuration d'un proxy IGMP Configuration du port facultatif comme port LAN Configuration du WAN facultatif Configuration du renvoi automatique, de l'quilibrage de charge et de la dtection des dfaillances Configuration des liaisons de protocole pour l'quilibrage de charge Configuration d'un DMZ Configuration des paramtres du DMZ IP DMZ rserves Clients soumis au bail DHCP DMZ Routage Routage Routage statique Routage dynamique Gestion des ports Configuration des ports Configuration de SPAN (mise en miroir des ports) Profils de bande passante QoS Cration des profils de bande passante QoS pour les interfaces WAN Slecteurs de trafic QoS du LAN Activation de QoS LAN Mappage CoS de port Mappage DSCP de port Nouveau marquage DSCP
43 44 45 47 48 53 54 54 55 55 59 62 64 67 69 70 70 70 71 72 74 74 74 75 75 77 78 78 78 78 79
DNS dynamique Configuration de l'adressage IPv6 Mode de routage IP Configuration de la connexion WAN IPv6 Configuration du LAN IPv6 Pools d'adresses LAN IPv6 Multi-LAN IPv6 Routage statique IPv6 Routage (RIPng) Tunnellisation 6to4 tat des tunnels IPv6 Tunnels ISATAP Tunnels MLD RADVD (Router Advertisement Daemon) Configuration des annonces du routeur Ajouter des prfixes RADVD
79 80 81 82 83 85 86 87 88 89 89 89 90 91 91 92
94
94 95 98 100 102 103 103 105
107
108 111
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant 107
Configuration d'une rgle de pare-feu pour le trafic sortant Configuration d'une rgle de pare-feu pour le trafic entrant Attribution de priorit aux rgles de pare-feu Exemples de configuration de rgles de pare-feu Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant Configuration des contrles d'attaque Configuration du filtrage MAC pour autoriser ou bloquer le trafic Fentre IP/MAC Binding Dclenchement de port Configuration d'une rgle de dclenchement de port pour diriger le trafic vers les ports spcifis Affichage de l'tat de dclenchement de port Configuration des paramtres de session pour l'analyse des paquets entrants Utilisation d'autres outils pour contrler l'accs Internet Configuration du filtrage du contenu pour autoriser ou bloquer les composants Web Configuration des URL bloques pour empcher l'accs aux sites Web SIP
111 114 118 119 122 123 124 126 127 127 128 129 130 130 133 135
Configuration des URL approuves pour autoriser l'accs aux sites Web 132 Configuration de l'association IP/MAC pour viter l'usurpation d'adresse 134
137
138 139 140 141
Chapitre 6 : Utilisation des services Cisco ProtectLink Security Chapitre 7 : La configuration VPN
propos du VPN
143 144
144
Configuration d'un tunnel VPN de site site Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN Configuration de la base de donnes utilisateur pour l'accs distance VPN IPsec Configuration avance du VPN IPsec Affichage des valeurs par dfaut des paramtres de base pour VPN IPsec Configuration des stratgies IKE pour VPN IPsec Configuration des stratgies VPN IPsec Accdez aux options du VPN SSL Conseils de scurit pour le VPN SSL lments du VPN SSL tape 1 du scnario : personnalisation de la prsentation du portail tape 2 du scnario : ajouter des utilisateurs du VPN SSL. Cration de stratgies VPN SSL Spcifier les ressources rseau pour le VPN SSL Configuration du transfert de port VPN SSL Configuration du client du tunnel VPN SSL Afficher le portail du client VPN SSL Configuration de la protection d'identit VeriSign Configuration de la protection d'identit VeriSign Gestion des informations d'identification des utilisateurs du service VeriSign
145 148 151 152 153 153 157 165 166 166 167 170 171 174 175 177 179 180 181 182
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur 164
Chapitre 8 : Administration
Users Fentre Domains Fentre Groups Ajouter ou modifier les paramtres utilisateur Ajouter ou modifier les stratgies de connexion utilisateur Microprogramme et configuration Mettre niveau le microprogramme et travailler avec des fichiers de configuration
183
183 184 185 186 187 189 189
Grer le priphrique USB Utiliser le microprogramme secondaire Diagnostics Mesurer et limiter le trafic avec l'utilitaire de contrle du trafic Configurer les paramtres de date/heure Configurer les options de journalisation Fentre Local Logging Config Fentre IPV6 Logging Fentre Remote Logging Config Fentre Logs Facility and Severity Grer les certificats pour l'authentification Configurer les enregistrements du serveur RADIUS Gestion des licences
191 193 194 195 197 198 198 200 201 203 204 207 208
211
211 213 214 214 215 216 217 217 217
Chapitre 10 : tat
Page Device Status Page Device Status Page Resource Utilization Page Interface Statistics Page Port Statistics Page Wireless Statistics for the SA520W
219
219 220 222 222 223 224
Page VPN Status Page IPsec VPN Status Page SSL VPN Status Page Quick VPN Status Page Active Users Page View Logs Page View All Logs Page IPsec VPN Logs Page ProtectLink Logs Page CDP Neighbor Page LAN Devices Page Reports
225 225 226 227 228 229 229 231 231 232 232 232
Annexe A : Dpannage
Connexion Internet Date et heure Effectuer un test ping pour tester la connectivit LAN Restauration des paramtres de la configuration d'usine par dfaut
234
234 237 237 240
Annexe B : Services standard Annexe C : Spcifications techniques et environnementales Annexe D : Paramtres d'usine par dfaut
Paramtres gnraux Paramtres du routeur Paramtres sans fil Stockage Paramtres de scurit
257
1
Pour commencer
Ce chapitre dcrit le routeur SA500 et propose des scnarios pour vous aider commencer configurer votre dispositif de scurit afin de rpondre aux besoins de votre entreprise. Prsentation des caractristiques Options d'installation Installation du matriel Mise en route l'aide de l'utilitaire de configuration propos des paramtres par dfaut Tches de base Scnarios communs de configuration
10
Pour commencer
Prsentation des caractristiques
1
SA520 65 Mbit/s 15 000 4 Non Oui (50) Comprend 2 postes. Avec licence, jusqu' 25 postes. SA520W 65 Mbit/s 15 000 4 Oui Oui (50) Comprend 2 postes. Avec licence, jusqu' 25 postes. SA540 85 Mbit/s 40 000 8 Non Oui (100) Compris (50)
Fonctionnalit Performances VPN Connexions Ports LAN Sans fil (802.11n) IPsec (nb postes) SSL (nb postes)
Prsentation du priphrique
Avant de commencer utiliser le dispositif de scurit, familiarisez-vous avec les voyants DEL situs sur le panneau avant et les ports du panneau arrire. Consultez les illustrations et les descriptions suivantes.
Panneau avant
Bouton RESET : pour redmarrer le priphrique de scurit, appuyez brivement sur le bouton Reset. Pour restaurer les paramtres d'usine par dfaut, maintenez le bouton Reset enfonc pendant cinq secondes. DEL DIAG (orange) : lorsque ce voyant DEL est allum, il indique que le dispositif est en train d'excuter le diagnostic de mise sous tension. Lorsqu'il est teint, cela signifie que le priphrique a dmarr correctement.
11
Pour commencer
Prsentation des caractristiques
1
DEL POWER (vert) : lorsque ce voyant DEL est allum, il indique que le dispositif est sous tension. DEL DMZ (vert) : lorsque ce voyant DEL est allum, il indique que le port facultatif est configur en tant que zone dmilitarise ou zone de dmarcation (DMZ) qui autorise les services publics, tels que les serveurs Web, sans exposer votre rseau LAN. DEL SPEED (vert ou orange) : il indique le dbit du trafic pour le port associ. teint = 10 Mbits/s, Verte = 100 Mbits/s, Orange = 1 000 Mbits/s. DEL LINK/ACT (vert) : lorsque ce voyant DEL est allum, il indique qu'une connexion est tablie via le port. Lorsqu'il clignote, cela signifie que le port est actif. DEL WLAN (vert) : lorsque ce voyant DEL est allum, il indique que le mode sans fil est activ. (SA520W).
Panneau arrire
Commutateur POWER : permet d'teindre ou d'allumer le priphrique de scurit. Connecteur POWER : connecte le priphrique de scurit l'alimentation l'aide du cble d'alimentation fourni. Ports LAN : connectent les ordinateurs et autres priphriques de rseau au dispositif de scurit. Les modles SA520 et SA520W ont 4 ports LAN. Le modle SA540 en a 8. Port OPTIONAL : peut tre configur en tant que port WAN, LAN ou DMZ. Une DMZ (zone dmilitarise ou zone de dmarcation) peut tre configure pour permettre l'accs public aux services tels que des serveurs Web sans exposer votre LAN. Port WAN : connecte le priphrique de scurit au DSL, un modem cble ou un autre priphrique connectivit WAN.
12
Pour commencer
Installation
1
Port USB : connecte le priphrique de scurit un priphrique USB. Vous pouvez utiliser un priphrique USB pour enregistrer les fichiers de configuration des fins de sauvegarde et de restauration.
REMARQUE
Le panneau arrire du modle SA520W comprend trois connecteurs filets pour les antennes
Installation
Cette section vous guide pas--pas dans l'installation de votre dispositif de scurit. Reportez-vous aux rubriques suivantes : Options d'installation, page 13 Installation du matriel, page 16
Options d'installation
Vous pouvez installer votre priphrique de scurit sur un bureau, le monter sur un mur ou dans un bti.
Choix de l'emplacement
Temprature ambiante : pour viter tout risque de surchauffe du priphrique de scurit, ne l'utilisez pas dans les lieux o la temprature ambiante dpasse 40 C (104 F). Circulation de l'air : assurez-vous que la circulation de l'air est suffisante autour du priphrique. Charge mcanique : assurez-vous que le priphrique de scurit est bon niveau et stable, afin d'viter tout danger.
Pour monter le priphrique de scurit sur un bureau, installez les quatre pieds en caoutchouc (fournis) sur la partie infrieure du priphrique de scurit. Placez le priphrique sur une surface plane.
13
Pour commencer
Installation
1
Montage mural
(environ 5,9 pouces) l'une de l'autre. Laissez la tte expose sur 3-4 mm (environ 1/ 8 pouce).
TAPE 1 Insrez deux vis de 17 mm, avec les fixations, dans le mur en les plaant 15 cm
14
Pour commencer
Installation
1
vis. Faites glisser l'unit vers le bas jusqu' ce que les vis s'ajustent parfaitement dans les orifices de montage mural.
TAPE 2 Positionnez l'unit de sorte que les orifices de montage mural recouvrent les deux
!
AVERTISSEMENT
Lorsque vous installez plusieurs appareils dans un bti, vitez de surcharger la prise ou le circuit lectrique.
15
Pour commencer
Installation
1
veillant ce que les quatre orifices soient aligns sur les trous de vis. Placez ensuite une plaque de montage sur bti ct de l'entretoise et rinstallez les vis.
TAPE 1 Retirez les quatre vis de chaque ct du priphrique de scurit. TAPE 2 Placez l'une des entretoises fournies sur le ct du priphrique de scurit en
REMARQUE
Si les vis sont trop courtes et que vous ne parvenez pas fixer la plaque de montage avec l'entretoise, enlevez l'entretoise et fixez la plaque de montage directement sur le botier.
Installation du matriel
Pour connecter l'quipement, procdez comme suit :
TAPE 1 Connectez le priphrique de scurit l'alimentation. TAPE 2 Pour installer le modle SA520W, vissez chaque antenne sur un connecteur filet
connectez un cble rseau Ethernet du priphrique au port WAN situ sur le panneau arrire. Cisco recommande vivement l'utilisation d'un cble Cat5e ou un cable de qualit suprieure.
16
Pour commencer
Mise en route l'aide de l'utilitaire de configuration
priphrique rseau l'un des ports LAN ddis sur le panneau arrire.
TAPE 5 Si vous utilisez une UC 500, reliez un cble rseau Ethernet du port WAN de
pour indiquer une connexion active. Un exemple de configuration est illustr ci-dessous.
17
Pour commencer
Mise en route l'aide de l'utilitaire de configuration
dispositif de scurit.
TAPE 2 Lancez un navigateur Web, puis saisissez l'adresse suivante : 192.168.75.1
Cette adresse est l'adresse LAN des paramtres d'usine du dispositif de scurit. Si vous modifiez ce paramtre dans la configuration LAN, vous devez saisir la nouvelle adresse IP pour vous connecter l'utilitaire de configuration.
TAPE 3 Lorsque la bote de dialogue Security Alert apparat, acceptez ou installez le
certificat : Internet Explorer : cliquez sur Oui pour continuer ou sur Afficher le certificat pour afficher les dtails. Sur la page Certificat, cliquez sur Installer le certificat . Suivez les instructions fournies par l'assistant pour effectuer l'installation. Firefox : cliquez sur le lien pour ajouter une exception. Cliquez sur le bouton Ajouter l'exception. Cliquez sur Obtenir le certificat puis sur Confirmer l'exception de scurit. Safari : cliquez sur Continuer pour continuer ou sur Afficher le certificat . Sur la page Certificat, cliquez sur Installer le certificat . Suivez les instructions fournies par l'assistant pour effectuer l'installation.
TAPE 5 Cliquez sur Log In. La fentre Getting Started (Basic) s'ouvre. Pour plus
d'informations, voir Utilisation des pages de la section Getting Started, page 19.
REMARQUE
Si vous utilisez le dispositif de scurit avec un priphrique prenant en charge le CCA (Cisco Configuration Assistant), comme l'UC 500, vous pouvez utiliser le CCA (Cisco Configuration Assistant) pour lancer l'utilitaire de configuration. Pour plus d'informations sur le CCA, voir : www.cisco.com/go/configassist.
18
Pour commencer
Mise en route l'aide de l'utilitaire de configuration
19
Pour commencer
Mise en route l'aide de l'utilitaire de configuration
20
Pour commencer
Mise en route l'aide de l'utilitaire de configuration
Numro
Description Contient les principales catgories de fonctions. Cliquez sur un lment de menu pour passer une autre catgorie. Permet de passer facilement d'une fonctionnalit configurable du priphrique une autre. Les branches principales se dveloppent pour afficher les fonctionnalits secondaires. Cliquez sur le triangle en regard du titre de la branche principale pour dvelopper ou rduire son contenu. Cliquez sur le titre d'une fonctionnalit ou d'une fonctionnalit secondaire pour l'ouvrir. Le contenu principal de la fonctionnalit apparat dans cette zone.
Volet de navigation
Contenu principal
21
Pour commencer
propos des paramtres par dfaut
Pour commencer
Tches de base
1
Port facultatif : ce port est prdfini pour agir en tant que port WAN secondaire. Vous pouvez galement configurer le port facultatif pour une utilisation en tant que port DMZ ou que port LAN supplmentaire. Voir Scnario 1 : configuration de base du rseau avec accs Internet, page 26 ou Scnario 7 : DMZ pour sites Web et services publics, page 31. Rseau sans fil (SA520W uniquement) : le SA520W est configur avec un point d'accs appel AP1, dont le nom de rseau par dfaut est Cisco_1. Le point d'accs est activ par dfaut. Le profil de scurit a la scurit ouverte et s'identifie tous les priphriques sans fil qui sont dans la plage. Ces paramtres facilitent l'utilisation de votre rseau sans fil. Cependant, pour des raisons de scurit, nous vous recommandons vivement de configurer le profil avec les paramtres de scurit appropris. Voir Scnario 10 : rseau sans fil, page 36. Accs administratif : vous pouvez accder l'utilitaire de configuration l'aide d'un navigateur Web et saisir l'adresse IP par dfaut 192.168.75.1. Vous pouvez ouvrir une session en entrant cisco comme nom d'utilisateur et cisco comme mot de passe. Nous vous recommandons vivement de modifier le nom et le mot de passe par dfaut. Vous pouvez galement modifier le paramtre de dlai d'inactivit par dfaut. Le paramtre par dfaut ncessite de se reconnecter aprs 10 minutes d'inactivit. Pour plus d'informations sur ces paramtres, voir Modifier le nom d'utilisateur et le mot de passe par dfaut, page 23.
Tches de base
Nous vous recommandons vivement de terminer les tches de base suivantes avant de commencer configurer votre dispositif de scurit.
sur Change Default Admin Password And Add Users. La fentre Users s'ouvre.
TAPE 2 Dans la premire ligne du tableau, reprez le compte administrateur par dfaut.
23
Pour commencer
Tches de base
1
affichant les informations par dfaut.
TAPE 3 Cliquez sur le bouton dans la colonne Edit . La fentre User Configuration s'ouvre,
User Name : saisissez un identifiant unique pour l'utilisateur. Il peut inclure tous les caractres alphanumriques. First Name : saisissez le prnom de l'utilisateur. Name : entrez le nom de l'utilisateur. Vous ne pouvez pas modifier le Type d'utilisateur ni le Groupe pour ce compte.
Check to Edit Password : cochez cette case pour activer les champs de mot de passe. Enter Your Password : saisissez le mot de passe actuel. Le mot de passe par dfaut pour ce nouveau dispositif de scurit est cisco. New Password : saisissez un mot de passe comportant des caractres alphanumriques, ainsi que les caractres '' ou '_'. Confirm Password : saisissez nouveau le mot de passe. Idle Timeout : saisissez la dure en minutes pendant laquelle l'utilisateur peut tre inactif avant que la session n'expire. Vous pouvez saisir toute valeur comprise entre 0 et 999.
Sauvegarde de la configuration
Vous pouvez, tout moment du processus, sauvegarder votre configuration. Si vous apportez ultrieurement des modifications que vous souhaitez abandonner, vous pouvez facilement revenir une configuration sauvegarde. Pour plus d'informations, voir Mettre niveau le microprogramme et travailler avec des fichiers de configuration, page 189.
24
Pour commencer
Scnarios communs de configuration
le lien Install the updated firmware. La fentre Firmware & Configuration (Network) s'ouvre.
TAPE 4 Dans la zone Firmware Upgrade, cliquez sur Browse. Recherchez le fichier que
La mise niveau du routeur peut prendre plusieurs minutes. Lorsque la mise niveau est en cours, le voyant DEL de test, sur le panneau avant du routeur, est allum. Lorsque la mise niveau est termine, le routeur redmarre automatiquement.
25
Pour commencer
Scnarios communs de configuration
Scnario 8 : configuration du systme de communications Cisco Smart Business, page 29 Scnario 7 : DMZ pour sites Web et services publics, page 31 Scnario 6 : pare-feu pour le contrle du trafic entrant et sortant, page 30 Scnario 9 : rseau de site site et accs distance, page 32 Scnario 10 : rseau sans fil, page 36
Imprimante
Dans un dploiement de base pour une petite entreprise, le dispositif de scurit permet la communication entre les priphriques sur le rseau priv et permet galement aux ordinateurs d'accder Internet. Avec les paramtres par dfaut, le dispositif de scurit obtient son adresse WAN de manire dynamique auprs de l'ISP. Tous les priphriques sur le LAN reoivent leurs adresses IP de manire dynamique du dispositif de scurit. Tous les priphriques disposent d'un accs Internet, mais aucun trafic entrant n'est autoris entre Internet et les priphriques LAN.
26
235234-fr
PC
Pour commencer
Scnarios communs de configuration
Tches de configuration pour ce scnario : La configuration par dfaut est suffisante pour la plupart des petites entreprises et vous pouvez ne pas avoir modifier les paramtres WAN ou LAN. Cependant, selon les exigences de votre fournisseur d'accs Internet, ainsi vos prfrences pour votre configuration LAN, vous pouvez apporter des modifications, si ncessaire.
REMARQUE
Avant de configurer votre rseau, assurez-vous d'avoir mis le microprogramme niveau (voir Mise jour du microprogramme, page 25) et d'avoir modifi le mot de passe par dfaut de l'administrateur (voir Modifier le nom d'utilisateur et le mot de passe par dfaut, page 23). Tenez compte des premires tapes suivantes : 1. Vrifiez la configuration WAN et apportez toutes les modifications ncessaires pour configurer votre connexion Internet. Dans la section WAN & LAN Connectivity de la page Getting Started (Basic), cliquez sur le lien WAN settings. Pour plus d'informations, voir Configuration de la connexion WAN, page 37. 2. Vrifiez la configuration LAN et apportez toutes les modifications ncessaires pour prendre en charge votre rseau. Les paramtres DHCP et TCP/IP par dfaut sont, dans la plupart des cas, satisfaisants. Vous pouvez toutefois modifier l'adresse du sous-rseau ou l'adresse IP par dfaut ou attribuer des adresses IP statiques vos priphriques. Dans la section WAN & LAN Connectivity de la page Getting Started (Basic), cliquez sur le lien WAN settings. Pour plus d'informations, voir Configuration de la zone LAN, page 43. 3. Si vous pensez utiliser votre dispositif de scurit avec le systme de communications Cisco Smart Business (SBCS), installez et configurez votre UC 500. Voir Scnario 8 : configuration du systme de communications Cisco Smart Business, page 29. 4. Envisagez votre utilisation du port facultatif : Si vous devez hberger des services publics, comme des sites Web, vous avez besoin d'une DMZ. Pour plus d'informations, voir Scnario 7 : DMZ pour sites Web et services publics, page 31. Pour plus d'informations sur l'utilisation du port facultatif en tant que port LAN supplmentaire, voir Configuration du port facultatif comme port LAN, page 55. Si vous disposez de deux liaisons ISP et n'avez pas besoin d'une DMZ, vous pouvez utiliser le port facultatif comme port WAN secondaire pour fournir
27
Pour commencer
Scnarios communs de configuration
une connectivit de sauvegarde ou un quilibrage de charge. Pour configurer le port, utilisez les liens de la section Secondary WAN Port de la page Getting Started (Advanced). Pour plus d'informations, voir Configuration du WAN facultatif, page 55. Si vous n'avez pas besoin de DMZ ou de WAN secondaire, vous pouvez utiliser le port facultatif en tant que port LAN supplmentaire. Pour plus d'informations, voir Configuration du port facultatif comme port LAN, page 55.
5. Si vous souhaitez autoriser l'accs entrant depuis Internet ou restreindre certains types de trafic sortant vers Internet, configurez vos rgles de pare-feu. Voir Scnario 6 : pare-feu pour le contrle du trafic entrant et sortant, page 30. 6. Demandez-vous si vous devez autoriser l'accs votre rseau partir de sites distants ou pour des tltravailleurs. Voir Scnario 9 : rseau de site site et accs distance, page 32. 7. Demandez-vous si vous devez activer des fonctionnalits telles que la journalisation ou l'accs distance l'utilitaire de configuration. Voir Configurer les options de journalisation, page 198 et RMON (Gestion distance), page 211.
28
Pour commencer
Scnarios communs de configuration
Ordinateur portable
Imprimante
PC
IP Tlphone IP
Tches de configuration pour ce scnario : 1. Configurez les paramtres WAN et LAN pour votre dispositif de scurit, comme ncessaire. Voir Scnario 1 : configuration de base du rseau avec accs Internet, page 26 2. Connectez un cble du port WAN de l'UC 500 un port LAN disponible sur le dispositif de scurit. Avec la configuration par dfaut, le dispositif de scurit fait office de serveur DCHP qui attribue les adresses IP de la plage 192.168.75.x. Les tlphones IP se voient attribuer des adresses IP sur une plage d'adresses 10.1.1.x/24. 3. Si vous voulez affecter une adresse IP statique l'UC 500 ou un autre priphrique LAN, cliquez sur le lien DHCP Reserved IPs sous WAN & LAN Connectivity sur la page Getting Started (Basic). Pour plus d'informations, voir IP DHCP rserves, page 53. 4. Configurez un routage IP statique entre le dispositif de scurit et les donnes VLAN de l'UC 500 (192.168.10.x). Pour plus d'informations, voir Routage statique, page 71.
29
Pour commencer
Scnarios communs de configuration
5. Le dispositif de scurit fournissant le pare-feu, la traduction d'adresses de rseau (NAT), et la passerelle de couche applicative SIP (SIP-ALG) de votre rseau, dsactivez ces fonctionnalits sur l'UC 500. Pour toute instruction, reportez-vous la documentation ou l'aide en ligne du CCA (Cisco Configuration Assistant).
Pour ces scnarios et toutes les situations dans lesquelles vous avez besoin d'une exception la stratgie de pare-feu par dfaut, vous devez configurer des stratgies de pare-feu.
REMARQUE
Les paramtres WAN et LAN par dfaut peuvent tre suffisants pour votre dploiement, mais vous devez tenir compte des tapes dcrites dans le Scnario 1 : configuration de base du rseau avec accs Internet, page 26 Tches de configuration pour ce scnario : Pour commencer configurer les rgles de pare-feu, utilisez les liens Firewall and NAT Rules sur la page Getting Started (Advanced). Pour plus d'informations, voir Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant, page 107.
30
Pour commencer
Scnarios communs de configuration
Internet
SA 500
Utilisateur 192.168.75.10
REMARQUE
Utilisateur 192.168.75.11
Les paramtres WAN et LAN par dfaut peuvent tre suffisants pour votre dploiement, mais vous devez tenir compte des tapes dcrites dans le Scnario 1 : configuration de base du rseau avec accs Internet, page 26
31
235140-fr
Pour commencer
Scnarios communs de configuration
Tches de configuration pour ce scnario : Pour commencer configurer une DMZ, utilisez les liens dans la section DMZ Port de la page Getting Started (Advanced). Pour plus d'informations, voir Configuration d'un DMZ, page 64.
32
Pour commencer
Scnarios communs de configuration
Internet Extrieur 209.165.200.226 Site A SA500 Intrieur 10.10.10.0 Extrieur 209.165.200.236 SA500 Intrieur 10.20.20.0 Site B
Imprimante PC PC
Imprimante
235142-fr
Tches de configuration pour ce scnario : Dans la section Site-to-Site VPN de la page Getting Started (Advanced), cliquez sur le lien VPN Wizard. Lorsque l'assistant VPN s'affiche, slectionnez l'option Site-to-Site et saisissez les autres paramtres. Vous pouvez aussi utiliser les autres liens de la page Getting Started (Advanced) pour vrifier et modifier les stratgies cres par l'assistant. Pour plus d'informations, voir Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN, page 148.
33
Pour commencer
Scnarios communs de configuration
Tches de configuration pour ce scnario : Dans la section IPsec VPN Remote Access de la page Getting Started (Advanced), cliquez sur le lien VPN Wizard. Lorsque l'assistant VPN s'affiche, slectionnez l'option Remote Access et renseignez les champs de la page. Revenez sur la page Getting Started (Advanced) et cliquez sur Add Users pour ajouter vos utilisateurs VPN. Vous pouvez aussi utiliser les autres liens de la page Getting Started (Advanced) pour vrifier et modifier les stratgies cres par l'assistant. Pour plus d'informations, voir Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN, page 148.
235236-fr
34
Pour commencer
Scnarios communs de configuration
Tches de configuration pour ce scnario : Dans la section SSL VPN Remote Access de la page Getting Started (Advanced), cliquez sur le lien SSL VPN Portal Layouts afin de vrifier les paramtres par dfaut pour le portail utilisateur. Crez des nouveaux portails pour les diffrents groupes d'utilisateurs, si ncessaire. Revenez sur la page Getting Started (Advanced) et cliquez sur le lien Configure Users pour ajouter vos utilisateurs VPN. Vous pouvez aussi utiliser les autres liens pour configurer les stratgies, les paramtres client, les routages et les ressources de votre VPN SSL. Pour plus d'informations, voir Configuration d'un VPN SSL pour un accs distance partir d'un navigateur, page 164.
235141-fr
35
Pour commencer
Scnarios communs de configuration
Rseau externe
Rseau priv
Ordinateur portable
Imprimante
PC
Tlphone IP
Tches de configuration pour ce scnario : 1. Les paramtres WAN et LAN par dfaut peuvent tre suffisants pour votre dploiement, mais vous devez tenir compte des tapes dcrites dans le Scnario 1 : configuration de base du rseau avec accs Internet, page 26. 2. Bien que vous puissiez commencer utiliser votre rseau sans fil immdiatement, vous devez configurer les paramtres de scurit afin de protger votre rseau et les donnes que vous transmettez. Pour configurer votre rseau sans fil, voir Chapitre 3, Configuration sans fil pour le SA520W .
36
235237-fr
IP
2
Mise en rseau
Ce chapitre dcrit la configuration des fonctionnalits de mise en rseau du routeur. Il comprend les sections suivantes : Configuration de la connexion WAN Configuration de la zone LAN Configuration du WAN facultatif Configuration d'un DMZ Configuration VLAN Routage Gestion des ports Profils de bande passante QoS DNS dynamique Configuration de l'adressage IPv6
Pour accder aux pages Networking, cliquez sur Networking dans la barre de menu de l'utilitaire de configuration.
Si vous devez configurer l'adressage IPv6, consultez Configuration de l'adressage IPv6, page 80.
37
Mise en rseau
Configuration de la connexion WAN
Utilisez les informations de compte fournies par votre FAI pour complter les champs de cette page.
TAPE 1 Cliquez sur Networking > WAN > IPv4 Config ou sur la page Getting Started
(Basic), sous WAN & LAN Connectivity, cliquez sur WAN settings. La fentre IPv4 WAN Configuration s'ouvre.
TAPE 2 Dans la zone ISP Configuration, slectionnez la case Internet Connection
Require a Login si votre FAI ncessite une connexion chaque fois que vous vous connectez Internet. Si vous avez slectionn la bote de dialogue, passez l'tape 3 pour complter les champs de la zone ISP Connection Type. Si vous n'avez pas coch la case, passez l'tape 4 pour renseigner les champs de la zone Internet (IP) Address et de la zone Dynamic Name System (DNS) Servers.
TAPE 3 Si votre connexion internet ncessite une connexion, saisissez les paramtres dans
la zone ISP Connection Type : ISP Connection Type : choisissez le type de connexion, tel que spcifi par votre fournisseur de service : PPTP, PPPoE ou L2TP. Puis renseignez galement tous les champs signals par un fond blanc. PPPoE Profile Name : slectionnez un profil PPPoE. Pour grer les profils de la liste droulante, consultez Cration de profils PPPoE, page 42. User Name : nom d'utilisateur ncessaire la connexion Password : mot de passe ncessaire la connexion Secret : entrez la phrase secrte pour vous connecter au serveur (le cas chant). Connectivity Type : slectionnez lune des options suivantes : Keep Connected : la connexion est toujours active, indpendamment du niveau de l'activit. Choisissez cette option si vous payez un abonnement fixe pour votre service Internet. Idle Time : l'appliance de scurit se dconnecte d'Internet aprs une priode d'inactivit spcifie (inactivit maximale). Si vous choisissez cette option, entrez galement la dure d'inactivit en minutes. Choisissez cette option si votre connexion Internet est facture au temps pass en ligne.
38
Mise en rseau
Configuration de la connexion WAN
2
My IP Address : saisissez l'adresse IP attribue par votre FAI. Server IP Address : saisissez l'adresse IP du PPTP, PPPoE, ou d'un autre serveur.
TAPE 4 Si votre FAI ne ncessite pas de connexion, saisissez les informations suivantes
dans les zones Internet (IP) Address et Dynamic Name System (DNS) Servers : IP Address Source : votre FAI vous attribue une adresse IP qui peut tre dynamique (gnre chaque connexion) ou statique (permanente). Get Dynamically from ISP : choisissez cette option si votre FAI ne vous a pas attribu d'adresse IP. Use Static IP Address : choisissez cette option si votre FAI vous a attribu une adresse IP. Saisissez galement l'adresse IP, le masque de sous-rseau IP et l'adresse IP de la passerelle qui ont t fournis par le FAI.
DNS Server Source : nom de domaine Internet de la carte de serveurs DNS (exemple : www.cisco.com) vers des adresses IP. Vous pouvez obtenir des adresses de serveur DNS automatiquement de votre FAI ou utiliser des adresses spcifies par votre FAI. Get Dynamically from ISP : choisissez cette option si vous n'avez pas reu d'adresse IP DNS statique. Use These DNS Servers : choisissez cette option si votre FAI vous a attribu une adresse IP DNS statique. Saisissez galement les adresses du serveur DNS principal et du serveur DNS secondaire.
TAPE 5 Si demand par votre FAI, configurez les paramtres suivants dans la zone
MTU Size : Types MTU : l'unit de transmission maximale est la taille, en octets, du plus grand paquet pouvant tre transmis. Choisissez Default pour utiliser la taille MTU par dfaut, 1 500 octets. Choisissez Custom si vous souhaitez spcifier une autre taille. MTU Size : si vous avez choisi Customer pour le type MTU, saisissez la taille MTU personnalise en octets.
Le MTU (Maximum Transmit Unit) est la taille du plus grand paquet pouvant tre envoy sur le rseau. La valeur standard du MTU pour les rseaux Ethernet est gnralement de 1 500 octets. Pour les connexions PPPoE, la taille est de 1 492 octets. Sauf indication contraire de votre FAI, il est recommand de ne pas modifier les valeurs MTU.
39
Mise en rseau
Configuration de la connexion WAN
2
MAC Address Source : gnralement, vous utilisez l'adresse Ethernet locale unique de 48 bits de l'appliance de scurit comme source d'adresse MAC. Si votre FAI ncessite une authentification MAC et qu'une autre adresse MAC a dj t enregistre par votre FAI, vous pouvez saisir une adresse MAC diffrente cet effet. Use Default Address : choisissez cette option pour utiliser l'adresse MAC par dfaut. Use this computer's MAC address : choisissez cette option si vous souhaitez utiliser l'adresse MAC de votre ordinateur comme source d'adresse MAC. Use This MAC Address : choisissez cette option si vous souhaitez saisir une adresse MAC ncessaire votre FAI pour cette connexion (parfois appele clonage d'adresse MAC). Saisissez l'adresse MAC au format XX:XX:XX:XX:XX:XX o X reprsente un nombre compris entre 0 et 9 (inclus) ou une lettre de l'alphabet entre A et F (inclus), comme dans l'exemple suivant : 01:23:45:67:89:ab
TAPE 6 Si votre FAI ncessite une source d'adresse MAC, saisissez les informations
tapes suivantes : Si vous utilisez la page Getting Started (Basic), cliquez sur Getting Started dans la barre de menus, puis passez la liste des tches de configuration. Pour vrifier l'tat du WAN, cliquez sur WAN > WAN Status. Pour obtenir plus d'informations, reportez-vous la section Afficher l'tat du WAN, page 41. Si vous devez crer des profils PPPoE, cliquez sur WAN > PPPoE Profiles. Pour obtenir plus d'informations, reportez-vous la section Cration de profils PPPoE, page 42. Si vous devez configurer une autre liaison FAI, cliquez sur Optional Port > Optional Port Mode et choisissez WAN pour le mode du port. Aprs avoir enregistr vos paramtres sur cette page, cliquez sur Optional Port > WAN pour configurer la connexion WAN. Pour obtenir plus d'informations, reportez-vous la section Configuration du WAN facultatif, page 55. Si vous rencontrez des problmes avec votre connexion WAN, consultez Connexion Internet, page 234 dans Annexe A, Dpannage ..
40
Mise en rseau
Configuration de la connexion WAN
La fentre WAN Status s'ouvre. Cette page affiche les types d'informations suivants sur le WAN ddi et le WAN facultatif (le cas chant) : Heure de connexion Type de connexion : IP dynamique (DHCP) ou IP statique tat de la connexion : connect ou dconnect tat de la liaison : actif ou inactif tat du WAN : actif ou inactif DHCP Server Bail obtenu Dure du bail Adresse IP Masque de sous-rseau Passerelle Serveur DNS DNS secondaire Adresse MAC
TAPE 2 Si le WAN est configur l'aide du protocole DHCP, vous pouvez utiliser les
boutons de la page WAN Status pour renouveler ou librer la connexion. Cliquez sur Renew pour renouveler la connexion. Cliquez sur Release pour librer la connexion. Si le WAN est configur avec une adresse IP statique, cliquez sur Disable pour dsactiver la connexion.
41
Mise en rseau
Configuration de la connexion WAN
REMARQUE
Si vous rencontrez des problmes avec votre connexion WAN, consultez Connexion Internet, page 234 dans Annexe A, Dpannage ..
(Basic), sous WAN & LAN Connectivity, cliquez surPPPoE profiles. La fentre PPPoE profiles s'ouvre.
TAPE 2 Cliquez sur Add pour crer un profil.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre PPPoE Profile Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Profile Name : saisissez un nom pour le profil. User Name : saisissez le nom d'utilisateur qui est requis pour la connexion au compte FAI. Password : saisissez le mot de passe qui est requis pour la connexion au compte FAI. Authentication Type : choisissez le type d'authentification, tel que spcifi par votre FAI. Connectivity Type : slectionnez lune des options suivantes : Keep Connected : la connexion est toujours active, indpendamment du niveau de l'activit. Ce choix est recommand si vous payez un abonnement fixe pour votre service Internet. Idle : l'appliance de scurit se dconnecte d'Internet aprs une priode d'inactivit spcifie (inactivit maximale). Si vous choisissez cette option, entrez galement la dure d'inactivit en minutes. Ce choix est recommand si votre connexion Internet est facture au temps pass en ligne.
42
Mise en rseau
Configuration de la zone LAN
La fentre IP Aliases s'ouvre. Tous les alias IP WAN actuellement configurs utiliss par le port WAN apparaissent dans le tableau List of IP Aliases.
TAPE 2 Cliquez sur Add pour ajouter un nouvel alias.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre IP Aliases s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Interface Name : choisissez un nom d'interface sur lequel l'alias est cr. IP Address : alias d'adresse IP ajout ce port WAN du routeur. Mask : masque de sous-rseau IPv4.
43
Mise en rseau
Configuration de la zone LAN
2
propos des paramtres LAN par dfaut Configuration de la zone LAN Afficher l'tat du LAN Configuration VLAN IP DHCP rserves Clients soumis au bail DHCP Configuration d'un proxy IGMP Configuration du port facultatif comme port LAN
44
Mise en rseau
Configuration de la zone LAN
(Basic), sous WAN & LAN Connectivity, cliquez sur LAN Settings. La fentre IPv4 LAN Configuration s'ouvre.
TAPE 2 Dans la zone LAN TCP/IP Setup, saisissez ces informations pour votre appliance
sur Apply, l'appliance de scurit ne se trouvera plus l'adresse IP que vous avez saisie dans votre navigateur Web pour lancer l'utilitaire de configuration et votre ordinateur ne se trouvera plus sur le mme sous-rseau que l'appliance de scurit (qui a reu une adresse IP via DHCP base sur l'ancienne adresse). Aprs avoir cliqu sur Apply, attendez quelques secondes pour permettre votre ordinateur d'obtenir une nouvelle adresse IP du pool d'adresses IP rcemment attribues (ou dbrancher et rebranchez le cble Ethernet pour librer et renouveler votre adresse IP). Saisissez ensuite la nouvelle adresse IP de l'appliance de scurit dans la barre d'adresse du navigateur, puis connectez-vous nouveau. Subnet mask : saisissez le masque de sous-rseau pour cette adresse IP.
DHCP Mode : slectionnez l'une des options suivantes : None : choisissez cette option si les ordinateurs du LAN sont configurs avec des adresses IP statiques ou sont configurs pour utiliser un autre serveur DHCP. DHCP Server : choisissez cette option pour autoriser l'appliance de scurit jouer le rle d'un serveur DHCP et attribuer des adresses IP dans la plage spcifie. Renseignez galement les champs signals par un fond blanc. Si vous souhaitez rserver certaines IP pour des priphriques particuliers, suivez la procdure puis configurez les adresses IP rserves. Voir aussi IP DHCP rserves, page 53.
45
Mise en rseau
Configuration de la zone LAN
2
DHCP Relay : choisissez cette option pour autoriser l'appliance de scurit utiliser un relais DHCP. Si vous choisissez ce mode, saisissez galement l'adresse IP de la passerelle relais.
Domain Name (optional) : saisissez un nom pour le domaine. Starting IP Address et Ending IP Address : saisissez la plage d'adresses du pool d'adresses IP pour cette appliance de scurit. Tout nouveau client DHCP qui se connecte au LAN se voit attribuer une adresse IP de cette plage. Par dfaut, l'adresse de dbut est 192.168.75.2. L'adresse de fin par dfaut est 192.168.75.100. Vous pouvez enregistrer une partie de la plage pour les PC disposant d'adresses fixes. Ces adresses doivent tre dans le mme sous-rseau d'adresses IP que l'adresse IP du LAN de l'appliance de scurit. Primary DNS Server et Secondary DNS Server (Optional) : ventuellement, saisissez l'adresse IP du serveur DNS principal et du serveur DNS secondaire pour votre prestataire de services. Primary Tftp Server et Secondary Tftp Server (Optional) : ventuellement, saisissez l'adresse IP du serveur Tftp principal et du serveur Tftp secondaire pour votre prestataire de services. WINS Server (Optional) : saisissez l'adresse IP du serveur WINS ou, s'il se trouve dans votre rseau, le serveur NetBios Windows. Lease Time : saisissez la dure maximale de connexion en heures pendant laquelle une adresse IP dynamique fait l'objet d'un bail pour un utilisateur rseau. Lorsque le dlai se termine, une nouvelle adresse IP dynamique est automatiquement attribue l'utilisateur. La valeur par dfaut est de 24 heures. Relay Gateway : si vous avez choisi le relais DHCPcomme mode DHCP, saisissez l'adresse IP de la passerelle relais.
Enable DNS Proxy : cochez cette case pour permettre l'appliance de scurit d'agir comme proxy pour toutes les requtes DNS et de communiquer avec les serveurs DNS du FAI. Lorsque cette fonction est dsactive, tous les clients DHCP reoivent les adresses IP du serveur DNS du FAI.
46
Mise en rseau
Configuration de la zone LAN
2
Si vous utilisez la page Getting Started (Basic), cliquez sur Getting Started dans la barre de menus, puis passez la liste des tches de configuration. Pour vrifier l'tat de connexion du LAN, cliquez sur LAN > LAN Status. Pour obtenir plus d'informations, reportez-vous la section Afficher l'tat du LAN, page 47. Pour rserver certaines adresses IP de manire permanente pour des priphriques particuliers, cliquez sur LAN > DHCP Reserved IPs. Pour obtenir plus d'informations, reportez-vous la section IP DHCP rserves, page 53. Pour afficher une liste des priphriques connects, cliquez sur LAN > DHCP Leased Clients. Pour obtenir plus d'informations, reportez-vous la section Clients soumis au bail DHCP, page 54. Si vous avez besoin d'un port LAN supplmentaire et que vous ne comptez pas configurer un WAN ou un DMZ facultatif, cliquez sur Optional Port > Optional Port Mode et choisissez LAN comme mode du port. Pour obtenir plus d'informations, reportez-vous la section Configuration du port facultatif comme port LAN, page 55. Si vous rencontrez des problmes avec votre connexion LAN, consultez Effectuer un test ping pour tester la connectivit LAN, page 237 dans Annexe A, Dpannage ..
REMARQUE
tapes suivantes :
La fentre LAN Status s'ouvre. Cette page rpertorie les types suivants d'informations : Adresse MAC de l'interface LAN. L'adresse IP et le masque de sous-rseau de l'interface Mode du serveur DHCP
47
Mise en rseau
Configuration de la zone LAN
Configuration VLAN
L'appliance de scurit prend en charge les rseaux LAN virtuels (VLAN), qui vous permettent de rpartir le rseau en LAN isols les uns des autres. La configuration par dfaut fournit un VLAN donnes et un VLAN voix, qui peuvent tre traits comme deux rseaux distincts. Vous pouvez modifier les paramtres des VLAN par dfaut et vous pouvez ajouter de nouveaux VLAN, jusqu' un total de 16 VLAN. Par exemple, si vous avez besoin d'un rseau invit pour les visiteurs sur votre site, vous pouvez crer un nouveau VLAN. Tous les PC connects au port LAN spcifi sont sur un VLAN distinct et ne peut pas accder aux autres VLAN, sauf si vous activez le routage inter-VLAN. Cette section comprend les rubriques suivantes : Paramtres VLAN par dfaut Activation ou dsactivation de la prise en charge VLAN Cration des ID de VLAN Attribution de VLAN aux ports LAN
48
Mise en rseau
Configuration de la zone LAN
2
HTTPS Remote Access : disable Voice VLAN : le VLAN est activ avec l'ID de VLAN 100. IP Address : 10.1.1.1 IP Address Distribution : DHCP Server Start IP Address : 10.1.1.50 End IP Address : 10.1.1.254 Subnet Mask : 255.255.255.0
REMARQUE
tapes suivantes : Crer des ID de VLAN. Pour obtenir plus d'informations, reportez-vous la section Cration des ID de VLAN, page 49.
La fentre Available VLANs s'ouvre. Le VLAN par dfaut et tous les autres VLAN apparaissent dans le tableau List of available VLANs. L'ID de VLAN par dfaut est 1.
TAPE 2 Pour ajouter un VLAN, cliquez sur Add.
49
Mise en rseau
Configuration de la zone LAN
Autres options : pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour modifier une entre, cochez la case puis cliquez sur le bouton Edit . Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre VLAN Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Name : saisissez un nom descriptif, pour rfrence. ID : saisissez un numro d'identification unique, qui peut tre tous les numros compris entre 2 et 4091.
REMARQUE L'ID de VLAN 1 est rserv pour le VLAN par dfaut, utilis
pour les trames non marques reues sur l'interface. L'ID de VLAN 4 092 est rserve et ne peut pas tre utilise. Inter VLAN Routing Enable : cochez la case si vous souhaitez autoriser le SA500 router le trafic entre ce VLAN et un autre VLAN pour lequel le routage inter-VLAN est galement activ. Dcochez la case pour dsactiver le routage inter-VLAN pour ce VLAN.
REMARQUE
tapes suivantes : Attribuez les VLAN aux ports LAN. Pour obtenir plus d'informations, reportez-vous la section Attribution de VLAN aux ports LAN, page 50. Paramtrez des sous-rseaux VLAN. Pour obtenir plus d'informations, reportez-vous la section Sous-rseaux locaux virtuels (VLAN) multiples, page 52.
La fentre Port VLANs s'ouvre. Les paramtres du port VLAN existants sont indiqus dans le tableau Port VLANs.
TAPE 2 Pour mettre jour les paramtres d'un port, cliquez sur le bouton Edit .
50
Mise en rseau
Configuration de la zone LAN
2
Mode : slectionnez lune des options suivantes : Access : le port d'accs est membre d'un VLAN unique. Aucune donne dans et hors du port d'accs n'est marque. Par dfaut, tous les ports VLAN sont en mode Accs. Le mode Accs est recommand si le port est connect un priphrique d'utilisateur final unique qui n'est pas compatible VLAN. Si vous choisissez cette option, saisissez galement un ID de VLAN pour le port dans le champ PVID. General : le port est membre d'un groupe spcifi de VLAN. Le port envoie et reoit des donnes marques et non marques. Le PVID spcifi est affect aux donnes non marques arrivant dans le port. Les donnes envoyes hors du port partir du mme PVID ne sont pas marques. Toutes les autres donnes sont marques. Le mode Gnral est recommand si le port est connect un commutateur non gr avec une combinaison de priphriques compatibles VLAN et non compatibles VLAN. Si vous choisissez cette option, saisissez galement un numro de PVID pour le port et configurez l'appartenance VLAN dans la moiti infrieure de la page. Trunk : le port est membre d'un groupe spcifi de VLAN. Toutes les donnes dans et hors du port sont marques. Les donnes non marques arrivant dans le port ne sont pas transfres, l'exception du VLAN par dfaut avec le PVID= 1, qui n'est pas marqu. Le mode Liaison est recommand si le port est connect un commutateur ou un routeur compatible VLAN. Si vous choisissez cette option, configurez galement l'appartenance VLAN dans la moiti infrieure de la page.
PVID : si vous avez choisi le mode Accs ou Gnral, saisissez l'ID du port VLAN utiliser pour le transfert ou le filtrage des paquets non marqus arrivant dans le port.
TAPE 4 Dans la zone VLAN Membership Configuration, cochez la case pour chaque
51
Mise en rseau
Configuration de la zone LAN
La fentre Multiple VLAN Subnets s'ouvre. Tous les VLAN de la page Networking > LAN > Available VLANs sont indiqus dans le tableau Multiple VLAN Subnets. La fentre Multiple VLAN Subnet Configuration s'ouvre.
TAPE 2 Dans la section Multiple VLAN Subnet de la page, saisissez les paramtres
suivants : IP Address : saisissez l'adresse IP du sous-rseau VLAN. Subnet Mask : saisissez le masque de sous-rseau pour ce VLAN.
None : choisissez cette option si vous ne souhaitez pas activer le serveur DHCP pour ce VLAN. DHCP Server : choisissez cette option pour autoriser l'appliance de scurit agir comme serveur DHCP pour ce VLAN. Si vous choisissez cette option, renseignez les autres champs de cette section de la page. DHCP Relay : choisissez cette option pour autoriser l'appliance de scurit utiliser un relais DHCP pour ce VLAN. Si vous choisissez ce mode, saisissez galement l'adresse IP de la Relay Gateway.
TAPE 4 Si vous avez choisi DHCP Server pour le mode DHCP, saisissez les informations
suivantes : Domain Name : (optional) saisissez un nom de domaine pour ce VLAN. Starting IP Address : saisissez la premire adresse IP de la plage DHCP. Une adresse IP entre cette adresse et l'adresse IP de fin est attribue tout nouveau client DHCP se connectant au VLAN. Ending IP Address : saisissez la dernire adresse IP de la plage DHCP. Une adresse IP entre l'adresse IP de dbut et l'adresse IP de fin est attribue tout nouveau client DHCP se connectant au LAN.
52
Mise en rseau
Configuration de la zone LAN
2
REMARQUE Les adresses DHCP de dbut et de fin doivent se trouver dans
la mme plage d'adresses IP que l'adresse TCP/IP du LAN (tel que configur sur la page LAN > IPv4 LAN Configuration, la section LAN TCP/IP Setup). Primary DNS Server et Secondary DNS Server (Optional) : saisissez l'adresse IP du serveur DNS principal pour le VLAN. ventuellement, saisissez l'adresse IP d'un serveur DNS secondaire. Primary Tftp Server et Secondary Tftp Server (Optional) : saisissez l'adresse IP des serveurs Tftp principal et secondaire pour le VLAN WINS Server (Optional) : saisissez l'adresse IP du serveur WINS ou, s'il se trouve dans votre rseau, le serveur NetBios Windows. Lease Time : saisissez la dure maximale de connexion en heures pendant laquelle une adresse IP dynamique fait l'objet d'un bail pour un utilisateur rseau. Lorsque le dlai se termine, une nouvelle adresse IP dynamique est automatiquement attribue l'utilisateur. La valeur par dfaut est de 24 heures.
TAPE 5 Dans la section LAN Proxies, cochez la case Enable DNS Proxy pour permettre
au VLAN d'agir comme proxy pour toutes les requtes DNS et pour communiquer avec les serveurs DNS du FAI. Lorsque cette fonction est dsactive, tous les clients DHCP du VLAN reoivent les adresses IP du serveur DNS du FAI. Cette fonctionnalit est particulirement utile en mode Renvoi automatique. Par exemple, si les serveurs DNS de chaque connexion sont diffrents, une dfaillance de liaison peut rendre les serveurs DNS inaccessibles. Toutefois, lorsque le proxy DNS est activ, les clients peuvent envoyer des requtes au routeur et le routeur, en retour, envoie ces requtes aux serveurs DNS de la connexion active. Vous pouvez galement activer le proxy IGMP sur le LAN correspondant.
TAPE 6 Cliquez sur Apply pour enregistrer les paramtres.
IP DHCP rserves
Mme si l'appliance de scurit est configure pour agir comme serveur DHCP, vous pouvez rserver certaines adresses IP attribuer des priphriques spcifis. Pour ce faire, ajouter l'adresse MAC du priphrique, ainsi que l'adresse IP souhaite, la liste des IP DHCP rserves. Ds que le serveur DHCP du LAN reoit une demande d'un priphrique, l'adresse matrielle est compare la base de donnes. Si l'appareil est dtect, l'adresse IP rserve est utilise. Sinon, une adresse IP est attribue automatiquement depuis le pool DHCP.
53
Mise en rseau
Configuration de la zone LAN
REMARQUE
Les IP rserves doivent tre en dehors du pool d'adresses DHCP pour que le serveur DHCP les attribue de manire dynamique.
TAPE 1 Cliquez sur Networking > LAN > DHCP Reserved IPs ou sur la page Getting
Started (Basic), sous WAN & LAN Connectivity, cliquez sur DHCP Reserved IPs (Optional). La fentre DHCP Reserved IPs (LAN) s'ouvre. Tous les IP rservs existants sont rpertoris dans le tableau Available DHCP Assigned IPs (LAN).
TAPE 2 Pour ajouter une adresse IP rserve, cliquez sur Add. La fentre DHCP Reserved
IP for LAN s'ouvre. Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche.
TAPE 3 Saisissez l'adresse IP et l'adresse MAC du priphrique que vous souhaitez ajouter.
Chaque adresse IP rserve doit tre en dehors du pool d'adresses DHCP configur.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
54
Mise en rseau
Configuration du WAN facultatif
a. Cliquez sur Networking > Optional Port > Optional Port Mode, ou sur la page Getting Started (Advanced), sous Secondary WAN Port , cliquez sur Set Optional Port to WAN. La fentre Optional Port Mode s'ouvre. b. Choisissez WAN. c. Cliquez sur Apply pour enregistrer les paramtres. Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour retourner la liste des tches de configuration.
55
Mise en rseau
Configuration du WAN facultatif
TAPE 2 Cliquez sur Networking > Optional Port > WAN ou sur la page Getting Started
(Advanced), sous Secondary WAN Port , cliquez sur Configure WAN settings for Optional Port .
TAPE 3 La fentre WAN Configuration s'ouvre. Dans la zone ISP Configuration,
slectionnez la case Internet Connection Require a Login si votre FAI ncessite une connexion chaque fois que vous vous connectez Internet. Si vous avez coch la case, renseignez les champs de la zone ISP Connection Type. Si vous n'avez pas coch la case, poursuivez en renseignant les champs de la zone Internet (IP) Address et de la zone Dynamic Name System (DNS) Servers.
TAPE 4 Si votre connexion internet ncessite une connexion, saisissez les paramtres dans
la zone ISP Connection Type : ISP Connection Type : choisissez le type de connexion, tel que spcifi par votre fournisseur de service : PPTP, PPPoE ou L2TP. Puis renseignez galement tous les champs signals par un fond blanc. PPPoE Profile Name : slectionnez un profil PPPoE. Pour grer les profils de la liste droulante, consultez Cration de profils PPPoE, page 42. User Name : nom d'utilisateur ncessaire la connexion Password : mot de passe ncessaire la connexion Secret : entrez la phrase secrte pour vous connecter au serveur (le cas chant). Connectivity Type : slectionnez lune des options suivantes : Keep Connected : la connexion est toujours active, indpendamment du niveau de l'activit. Choisissez cette option si vous payez un abonnement fixe pour votre service Internet. Idle Time : l'appliance de scurit se dconnecte d'Internet aprs une priode d'inactivit spcifie (inactivit maximale). Si vous choisissez cette option, entrez galement la dure d'inactivit en minutes. Choisissez cette option si votre connexion Internet est facture au temps pass en ligne.
My IP Address : saisissez l'adresse IP attribue par votre FAI. Server IP Address : saisissez l'adresse IP du PPTP, PPPoE, ou d'un autre serveur.
56
Mise en rseau
Configuration du WAN facultatif
2
IP Address Source : votre FAI vous attribue une adresse IP qui peut tre dynamique (gnre chaque connexion) ou statique (permanente). Get Dynamically from ISP : choisissez cette option si votre FAI ne vous a pas attribu d'adresse IP. Use Static IP Address : choisissez cette option si votre FAI vous a attribu une adresse IP. Saisissez galement l'adresse IP, le masque de sous-rseau IP et l'adresse IP de la passerelle qui ont t fournis par le FAI.
TAPE 5 Si votre FAI ne ncessite pas de connexion, saisissez les informations suivantes
dans les zones Internet (IP) Address et Dynamic Name System (DNS) Servers :
DNS Server Source : nom de domaine Internet de la carte de serveurs DNS (exemple : www.cisco.com) vers des adresses IP. Vous pouvez obtenir des adresses de serveur DNS automatiquement de votre FAI ou utiliser des adresses spcifies par votre FAI. Get Dynamically from ISP : choisissez cette option si vous n'avez pas reu d'adresse IP DNS statique. Use These DNS Servers : choisissez cette option si votre FAI vous a attribu une adresse IP DNS statique. Saisissez galement les adresses du serveur DNS principal et du serveur DNS secondaire.
TAPE 6 Si demand par votre FAI, configurez les paramtres suivants dans la zone MTU
Size : MTU Type : l'unit de transmission maximale est la taille, en octets, du plus grand paquet pouvant tre transmis. Choisissez Default pour utiliser la taille MTU par dfaut, 1 500 octets. Choisissez Custom si vous souhaitez spcifier une autre taille. MTU Size : si vous avez choisi Customer pour le type MTU, saisissez la taille MTU personnalise en octets. Le MTU (Maximum Transmit Unit) est la taille du plus grand paquet pouvant tre envoy sur le rseau. La valeur standard du MTU pour les rseaux Ethernet est gnralement de 1 500 octets. Pour les connexions PPPoE, la taille est de 1 492 octets. Sauf indication contraire de votre FAI, il est recommand de ne pas modifier les valeurs MTU.
57
Mise en rseau
Configuration du WAN facultatif
2
MAC Address Source : gnralement, vous utilisez l'adresse Ethernet locale unique de 48 bits de l'appliance de scurit comme source d'adresse MAC. Si votre FAI ncessite une authentification MAC et qu'une autre adresse MAC a dj t enregistre par votre FAI, vous pouvez saisir une adresse MAC diffrente cet effet. Use Default Address : choisissez cette option pour utiliser l'adresse MAC par dfaut. Use this computer's MAC address : choisissez cette option si vous souhaitez utiliser l'adresse MAC de votre ordinateur comme source d'adresse MAC. Use This MAC Address : choisissez cette option si vous souhaitez saisir une adresse MAC ncessaire votre FAI pour cette connexion (parfois appele clonage d'adresse MAC). Saisissez l'adresse MAC au format XX:XX:XX:XX:XX:XX o X reprsente un nombre compris entre 0 et 9 (inclus) ou une lettre de l'alphabet entre A et F (inclus), comme dans l'exemple suivant : 01:23:45:67:89:ab
TAPE 7 Si votre FAI ncessite une source d'adresse MAC, saisissez les informations
TAPE 8 Cliquez sur Apply pour enregistrer les paramtres. TAPE 9 tapes suivantes :
Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour poursuivre la liste des tches de configuration. Pour vrifier l'tat du WAN, cliquez sur WAN > WAN Status. Pour obtenir plus d'informations, reportez-vous la section Afficher l'tat du WAN, page 41. Recommand : pour configurer le renvoi automatique, l'quilibrage de charge et la dtection des dfaillances pour vos liaison FAI, cliquez sur Optional Port > WAN Mode. Pour obtenir plus d'informations, reportezvous la section Configuration du renvoi automatique, de l'quilibrage de charge et de la dtection des dfaillances, page 59. Si vous rencontrez des problmesavec votre connexion WAN, consultez Connexion Internet, page 234 dans Annexe A, Dpannage ..
58
Mise en rseau
Configuration du WAN facultatif
Figure 1
X
IP WAN2
X
yourcompany.dyndns.org
Internet
X
197401-fr
Load Balancing : activez cette option si vous souhaitez utiliser les deux liaisons FAI de manire simultane. Les deux liaisons acheminent des donnes pour les protocoles qui leur sont rattachs. Vous pouvez utiliser cette fonctionnalit pour identifier le trafic entre les liaisons de vitesse diffrente. Par exemple, contraindre les services de haut volume sur le port connect la liaison haut-dbit et contraindre les services de faible volume sur le port connect la liaison la plus lente. L'quilibrage de la charge est mis en uvre pour le trafic sortant et non pour le trafic entrant. Pour garder un meilleur contrle du trafic du port WAN, il est prfrable de rendre publiques les adresses Internet du port WAN et de maintenir les autres prives. Figure 2 prsente un exemple de double ports WAN configurs avec quilibrage de charge.
59
Mise en rseau
Configuration du WAN facultatif
2
Exemple de double ports WAN avec quilibrage de charge
Double ports WAN (quilibrage de charge) WAN1 IP SA500
yourcompany1.dyndns.org
Figure 2
Internet
yourcompany2.dyndns.org
WAN2 IP
197402-fr
REMARQUE Lors de la configuration de l'quilibrage de charge, vrifiez que vous configurez le type de connectivit des deux ports WAN sur Keep Connection. Si le WAN est configur pour expirer aprs une priode d'inactivit spcifie, l'quilibrage de charge ne s'applique pas.
Failure Detection : activez cette fonctionnalit pour autoriser l'appliance de scurit dtecter la dfaillance d'une liaison WAN. Vous pouvez spcifier la mthode de dtection. En cas de dfaillance, le trafic des liaisons indisponibles est dvi vers la liaison disponible.
REMARQUE Avant de suivre cette procdure, vous devez configurer la
connexion WAN facultative. Voir aussi Configuration du WAN facultatif, page 55.
TAPE 1 Cliquez sur Networking > Optional Port > WAN Mode ou sur la page Getting
Started (Advanced), sous Secondary WAN Port , cliquez sur Configure WAN Mode. La fentre WAN Mode s'ouvre.
TAPE 2 Dans la zone Port Mode, choisissez l'un des modes suivants :
Auto-Rollover with Primary port as : choisissez cette option si vous disposez de deux liaisons FAI et que vous souhaitez en utiliser une comme liaison de secours. Dans la liste droulante, choisissez le port WAN que vous souhaitez dsigner en tant que liaison principale : Dedicated WAN ou Optional WAN. Lorsque le mode Basculement automatique est activ, l'tat de la liaison du port WAN principal est vrifi intervalles rguliers tel que dfini par les paramtres de dtection de dfaillances.
60
Mise en rseau
Configuration du WAN facultatif
2
Load Balancing : choisissez cette option si vous disposez de deux liaisons FAI que vous souhaitez utiliser simultanment. Une fois cette procdure acheve en cliquant sur le bouton Apply, vous devez configurer les liaisons de protocole. Voir aussi Configuration des liaisons de protocole pour l'quilibrage de charge, page 62. Si l'appliance de scurit est configure en mode quilibrage de charge, elle vrifie la connexion des deux liaisons intervalles rguliers pour dtecter l'tat.
REMARQUE Vous pouvez cliquer sur le lien Protocol Bindings pour afficher, ajouter ou modifier les liaisons de protocole, mais enregistrez d'abord vos paramtres sur cette page.
Use only single WAN port : choisissez cette option si vous tes connect un seul FAI. Slectionnez galement le port WAN connect votre FAI : Dedicated WAN ou Optional WAN. Cette option peut tre utile pour rsoudre les problmes de connexion.
TAPE 3 Si vous avez choisi les modes de port Renvoi automatique ou quilibrage de
charge, configurez WAN Failure Detection Method : None : slectionnez cette option pour ne pas rechercher les dfaillances du WAN. Cette option n'est valide que si le mode de port est configur sur quilibrage de charge. DNS lookup using WAN DNS Servers : slectionnez cette option pour dtecter une dfaillance sur une liaison WAN l'aide des serveurs DNS configurs pour port WAN ddi ou facultatif. DNS lookup using these DNS Servers : slectionnez cette option pour dtecter une dfaillance sur une liaison WAN l'aide des serveurs DNS spcifis dans les champs ci-dessous. Dedicated WAN : saisissez l'adresse IP des serveurs DNS pour le WAN ddi. Optional WAN : saisissez l'adresse IP du serveur DNS pour l'interface WAN du port facultatif.
Ping these IP addresses : slectionnez cette option pour dtecter une dfaillance WAN l'aide d'un test ping sur les adresses IP spcifies dans les champs ci-dessous. Dedicated WAN : saisissez une adresse IP valide pour effectuer un test ping partir du WAN ddi.
61
Mise en rseau
Configuration du WAN facultatif
2
Optional WAN : saisissez une adresse IP valide pour effectuer un test ping partir de l'interface WAN du port facultatif. Retry Interval is : indiquez la frquence, en secondes, selon laquelle l'appliance de scurit doit appliquer la mthode de dtection de dfaillances configure ci-dessus. Failover after : indiquez le nombre de tentatives aprs lequel le basculement est initialis.
REMARQUE
tapes suivantes : Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour poursuivre la liste des tches de configuration. Obligatoire pour l'quilibrage de charge : si vous avez choisi l'option d'quilibrage de charge, cliquez sur Optional Port > Protocol Bindings pour configurer vos liaisons de protocole. Pour obtenir plus d'informations, reportez-vous la section Configuration des liaisons de protocole pour l'quilibrage de charge, page 62.
Avant de pouvoir entrer les liaisons de protocole, vous devez configurer le port facultatif, la connexion WAN et le mode du port WAN. Pour obtenir plus d'informations, reportez-vous la section Configuration du renvoi automatique, de l'quilibrage de charge et de la dtection des dfaillances, page 59.
62
Mise en rseau
Configuration du WAN facultatif
Si vous souhaitez saisir une liaison de protocole pour un service personnalis, vous devez d'abord ajouter le service personnalis la base de donnes. Voir aussi Cration de services personnaliss, page 108.
TAPE 1 Cliquez sur Networking > Optional Port > Protocol Bindings, ou sur la page
Getting Started (Advanced), sous Secondary WAN Port , cliquez sur Configure Protocol Bindings (facultatif - si le mode WAN est dfini sur quilibrage de charge). La fentre Protocol Bindings s'ouvre. Toutes les liaisons de protocole existantes sont affiches dans le tableau List of Available Protocol Bindings.
TAPE 2 Cliquez sur Ajouter.
Autres options : cliquez sur Edit pour modifier une entre. Pour activer une liaison de protocole, cliquez sur Enable. Pour dsactiver une liaison de protocole, cliquez sur Disable. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre Protocol Bindings Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Service : choisissez un service de la liste. L'appliance de scurit est configure avec la liste des services standard. Pour obtenir des informations sur l'ajout de vos propres services personnaliss la liste, consultez Cration de services personnaliss, page 108.
Local Gateway : choisissez l'interface que vous souhaitez utiliser : Dedicated WAN ou Configured WAN. Source Network : pour identifier le rseau source, choisissez Any, Single Address, or Address Range. Si vous choisissez Single Address, saisissez l'adresse dans le champ Start Address. Si vous choisissez Address Range, saisissez l'adresse de dbut et l'adresse de fin pour spcifier la plage. Destination Network : pour identifier le rseau de destination, choisissez Any, Single Address, or Address Range. Si vous choisissez Single Address, saisissez l'adresse dans le champ Start Address. Si vous choisissez Address Range, saisissez l'adresse de dbut et l'adresse de fin pour spcifier la plage.
63
Mise en rseau
Configuration d'un DMZ
2
nouvelle liaison de protocole est dsactive jusqu' ce que vous l'activiez.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres. TAPE 5 Lorsque vous tes prt, activez les nouvelles liaisons de protocole ajoutes. Une
64
Mise en rseau
Configuration d'un DMZ
2
Figure 3 DMZ Exemple d'un DMZ avec une adresse IP publique pour le WAN et le
www.exemple.com
Internet
SA 500
Utilisateur 192.168.75.10
Utilisateur 192.168.75.11
65
235140-fr
Mise en rseau
Configuration d'un DMZ
2
Figure 4 Exemple de DMZ avec deux adresses IP publiques
www.exemple.com
Internet
Adresses IP publiques 209.165.200.225 (routeur) 209.165.200.226 (serveur Web) Interface DMZ 172.16.2.1
SA500
Utilisateur 192.168.75.10
Utilisateur 192.168.75.11
Dans ce scnario, le FAI a mis deux adresses IP statiques : 209.165.200.225 et 209.165.200.226. L'adresse 209.165.200.225est utilise pour l'adresse IP publique du routeur. L'administrateur configure le port facultatif utiliser comme port DMZ et cre une rgle de pare-feu pour autoriser le trafic HTTP entrant sur le serveur Web l'adresse 172.16.2.30. La rgle de pare-feu spcifie l'adresse IP externe 209.165.200.226. Les utilisateurs Internet peuvent saisir le nom de domaine associ l'adresse IP 209.165.200.226 et ils sont connects au serveur Web.
66
235610-fr
Mise en rseau
Configuration d'un DMZ
2
Configuration des paramtres du DMZ
Suivez cette procdure pour configurer les paramtres de port DMZ, puis crez des rgles de pare-feu pour permettre au trafic d'accder aux services du DMZ.
a. Cliquez sur Networking > Optional Port > Optional Port Mode, ou sur la page Getting Started (Advanced), sous DMZ Port, cliquez sur Set Optional Port to DMZ mode. La fentre Optional Port Mode s'ouvre. b. Choisissez DMZ. c. Cliquez sur Apply pour enregistrer les paramtres. Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour retourner la liste des tches de configuration.
TAPE 2 Cliquez sur Networking > Optional Port > DMZ Config ou sur la page Getting
Started (Advanced), sous DMZ Port , cliquez sur Configure DMZ settings. La fentre DMZ Configuration s'ouvre.
TAPE 3 Dans la zone DMZ Port Setup, saisissez une adresse IP et le masque de sous-
rseau pour le port DMZ sur le rseau interne. Les priphriques sur le rseau DMZ communiquent avec le routeur l'aide de cette adresse IP. L'adresse IP du DMZ par dfaut 172.16.2.1 s'affiche l'cran.
TAPE 4 Dans la zone DHCP for DMZ Connected Computers, saisissez les informations
suivantes : DHCP Mode : slectionnez l'une des options suivantes : None : choisissez cette option si les ordinateurs du DMZ sont configurs avec des adresses IP statiques ou sont configurs pour utiliser un autre serveur DHCP. DHCP Server : choisissez cette option pour autoriser l'appliance de scurit jouer le rle d'un serveur DHCP et attribuer des adresses IP tous les priphriques connects au rseau DMZ. Renseignez galement les champs signals par un fond blanc. DHCP Relay : choisissez cette option pour autoriser l'appliance de scurit utiliser un relais DHCP. Si vous choisissez ce mode, saisissez galement l'adresse IP de la passerelle relais.
67
Mise en rseau
Configuration d'un DMZ
2
Domain Name (optional) : saisissez un nom pour le domaine. Starting IP Address et Ending IP Address : saisissez la plage d'adresses du pool d'adresses IP pour cette appliance de scurit. Tout nouveau client DHCP qui se connecte au DMZ se voit attribuer une adresse IP de cette plage. Primary DNS Server et Secondary DNS Server (Optional) : saisissez l'adresse IP du serveur DNS principal pour le DMZ. ventuellement, saisissez l'adresse IP d'un serveur DNS secondaire. Primary Tftp Server et Secondary Tftp Server (Optional) : saisissez l'adresse IP des serveurs Tftp principal et secondaire pour le DMZ WINS Server (Optional) : saisissez l'adresse IP du serveur WINS ou, s'il se trouve dans votre rseau, le serveur NetBios Windows. Lease Time : saisissez la dure maximale de connexion en heures pendant laquelle une adresse IP dynamique fait l'objet d'un bail pour un utilisateur rseau. Lorsque le dlai se termine, une nouvelle adresse IP dynamique est automatiquement attribue l'utilisateur. La valeur par dfaut est de 24 heures. Relay Gateway : si vous avez choisi le relais DHCPcomme mode DHCP, saisissez l'adresse IP de la passerelle relais.
TAPE 5 Dans la section DMZ Proxies, cochez la case pour permettre au DMZ d'agir
comme proxy pour toutes les requtes DNS et pour communiquer avec les serveurs DNS du FAI. Lorsque cette fonction est dsactive, tous les clients DHCP du DMZ reoivent les adresses IP du serveur DNS du FAI.
TAPE 6 Cliquez sur Apply pour enregistrer les paramtres.
REMARQUE
tapes suivantes : Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour poursuivre la liste des tches de configuration. Obligatoire : vous devez configurer une rgle de pare-feu pour autoriser le trafic entrant accder votre DMZ. Utilisez galement la rgle de pare-feu pour spcifier une adresse IP publique pour un serveur sur votre DMZ, le cas chant. Pour commencer, cliquez sur Firewall dans la barre de menus. Pour obtenir plus d'informations, reportez-vous la section Configuration d'une rgle de pare-feu pour le trafic entrant, page 114.
68
Mise en rseau
Configuration d'un DMZ
2
Si vous souhaitez rserver certaines adresses IP pour des priphriques spcifis, cliquez sur Optional port > DMZ Reserved IPs. Pour obtenir plus d'informations, reportez-vous la section IP DMZ rserves, page 69. Si vous souhaitez afficher une liste des clients DHCP DMZ, cliquez sur Optional Port > DMZ DHCP Clients. Pour obtenir plus d'informations, reportez-vous la section Clients soumis au bail DHCP DMZ, page 70.
IP DMZ rserves
Si vous avez configur votre DMZ pour agir en tant que serveur DHCP, vous pouvez rserver certaines adresses IP attribuer aux priphriques spcifis. Pour ce faire, ajouter l'adresse matrielle du priphrique, ainsi que l'adresse IP souhaite, la liste des IP DMZ rserves. Ds que le serveur DHCP du DMZ reoit une demande d'un priphrique, l'adresse matrielle est compare la base de donnes. Si l'appareil est dtect, l'adresse IP rserve est utilise. Sinon, une adresse IP est attribue automatiquement depuis le pool DHCP.
REMARQUE
Avant de pouvoir effectuer cette procdure, vous devez activer le mode de serveur DHCP ou de relais DHCP sur la page DMZ Configuration. Pour obtenir plus d'informations, reportez-vous la section Configuration d'un DMZ, page 64.
TAPE 1 Cliquez sur Networking > Optional Port > DMZ Reserved IPs, ou sur la page
Getting Started (Advanced), sous DMZ Port , cliquez sur Configure DMZ DHCP Reserved IPs (Optional). La fentre DMZ Reserved IPs s'ouvre. Tous les adresses IP existantes rserves du DMZ apparaissent dans le tableau Available DHCP Assigned IPs (DMZ).
REMARQUE
Les IP rserves doivent tre en dehors du pool d'adresses DHCP pour que le serveur DHCP DMZ les attribue de manire dynamique.
Autres options : cliquez sur Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre DMZ Reserved IPs Configuration s'ouvre.
69
Mise en rseau
Routage
TAPE 3 Saisissez l'adresse IP et l'adresse MAC. TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
Routage
Selon vos besoins, vous pouvez modifier le mode de routage, configurer le routage statique ou configurer le routage dynamique sur votre appliance de scurit. Routage, page 70 Routage statique, page 71 Routage dynamique, page 72
Routage
Selon les besoins de votre FAI, vous pouvez configurer l'appliance de scurit en mode de routage NAT ou en mode de routage classique. Par dfaut, le routage NAT est activ. La traduction d'adresse rseau (NAT) est une technique qui permet plusieurs ordinateurs sur un LAN de partag une connexion Internet. Les ordinateurs sur le LAN utilisent une plage d'adresses IP prives alors que le port WAN du routeur est configur avec une adresse IP publique unique. Outre le partage de connexion, le NAT masque galement des adresses IP internes d'ordinateurs sur Internet.
TAPE 1 Cliquez sur Networking > Routing > Routing.
70
Mise en rseau
Routage
2
NAT : choisissez cette option si votre FAI vous a attribu une seule adresse IP ou si vous partagez des adresses IP sur plusieurs priphriques tels que votre LAN et si vous utilisez les autres priphriques ddis pour le DMZ. L'option NAT est active par dfaut. Classic Routing : choisissez cette option si votre FAI a attribu une adresse IP pour chacun des ordinateurs que vous utilisez.
Routage statique
Pour configurer des routes statiques, saisissez un nom de routage et indiquez l'adresse IP et des informations relatives la destination. Attribuez galement une priorit, qui dtermine la route choisir lorsqu'il existe plusieurs routes vers la mme destination. Vous pouvez ajouter des routes statiques pour votre rseau IPv4 ou votre rseau IPv6, si le mode IPv6 est activ.
TAPE 1 Cliquez sur Networking > Routing > Static.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre Static Routing Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Name : saisissez un nom des fins d'identification et de gestion. Active : cochez cette case pour activer la route, ou dcochez la case pour dsactiver une route non utilise mais que vous ne voulez pas supprimer. Une route inactive n'est pas diffuse si le protocole RIP (Routing Information Protocol) est activ.
71
Mise en rseau
Routage
2
Private : dtermine si la route peut tre partage avec d'autres routeurs si le protocole RIP est activ. Si cette option est slectionne, la route ne sera pas partage dans une diffusion ou une multidiffusion RIP. Cela s'applique uniquement aux routes statiques IPv4. Adresse IP de destination : saisissez l'adresse IP de l'hte ou du rseau auquel mne la route. IP Subnet Mask : saisissez le masque de sous-rseau pour le rseau de destination. Interface : choisissez dans la liste l'interface rseau physique (WAN ddi, WAN facultatif, DMZ ou LAN), par laquelle cette route est accessible. Adresse IP de la passerelle : saisissez l'adresse IP du routeur de la passerelle par lequel l'hte de destination ou le rseau est accessible. Metric : saisissez un nombre entre 2 et 15 pour grer la priorit de la route. S'il existe plusieurs routes pour la mme destination, la route possdant la mesure la plus petite est choisie.
Routage dynamique
Le routage dynamique ou RIP est un protocole IGP (Interior Gateway Protocol) qui est gnralement utilis dans les rseaux internes. Il permet un routeur d'changer ses informations de routage automatiquement avec d'autres routeurs et lui permet de rgler de manire dynamique les tables de routage et de s'adapter aux modifications du rseau.
REMARQUE
RIP Direction : dtermine la manire dont le routeur envoie et reoit des paquets RIP : Both : le routeur diffuse sa table de routage et traite les informations RIP reues des autres routeurs.
72
Mise en rseau
Routage
2
Out Only : le routeur diffuse sa table de routage priodiquement mais n'accepte pas les informations RIP des autres routeurs. In Only : le routeur accepte les informations RIP des autres routeurs, mais ne diffuse pas sa table de routage. None : le routeur ne diffuse pas sa table de routage et n'accepte aucun paquet RIP des autres routeurs. Cela dsactive efficacement le RIP.
Version RIP : slectionnez lune des options suivantes : Disabled : si le RIP est dsactiv, cette option est slectionne. RIP-1 est une version de routage base sur les classes qui n'inclut pas les informations de sous-rseau. C'est la version la plus souvent prise en charge. RIP-2 comprend toutes les fonctionnalits de RIPv1 et prend en charge les informations de sous-rseau. Bien que les donnes soient envoyes en format RIP-2 pour RIP-2B et RIP-2M, le mode par lequel les paquets sont envoys est diffrent. RIP-2B diffuse des donnes dans le sous-rseau entier. RIP-2M envoie des donnes aux adresses de multidiffusion.
TAPE 3 Dans la zone Authentication for RIP 2B/2M, saisissez les informations suivantes :
Enabled Authentication for RIP 2B/2M : cochez cette case pour activer l'authentification pour RIP-2B ou RIP-2M. Paramtres de la premire cl et paramtres de la deuxime cl MD5 Key ID : saisissez l'ID unique de la cl MD-5 MD5 Auth Key : saisissez la cl d'authentification pour cette cl MD5. Not Valid Before : date de dbut de la premire cl pour l'authentification MD5 entre les routeurs. Not Valid After : date de fin de la premire cl pour l'authentification MD5 entre les routeurs.
73
Mise en rseau
Gestion des ports
2
Vous pouvez activer ou dsactiver des ports, dfinir le mode duplex et la vitesse et activer ou dsactiver la mise en miroir des ports. Reportez-vous aux rubriques suivantes. Configuration des ports, page 74 Configuration de SPAN (mise en miroir des ports), page 74
Enable : slectionnez cette case pour activer le port. Dcochez la case pour le dsactiver. Par dfaut, tous les ports sont activs. Auto : cochez cette case pour permettre la passerelle et au rseau de dterminer les paramtres optimaux du port. Duplex : choisissez semi-duplex ou duplex intgral en fonction de la prise en charge du port. La valeur par dfaut est duplex intgral pour tous les ports. Speed : choisissez la vitesse du port. La valeur par dfaut est de 1 000 Mbit/s pour tous les ports.
74
Mise en rseau
Profils de bande passante QoS
TAPE 1 Cliquez sur Networking > Port Management > SPAN (Port Mirroring).
Do you want to enable Port Mirroring : cochez cette case pour activer la mise en miroir des ports. Mirror all LAN Ports to : choisissez le port LAN qui surveillera tous les autres ports LAN.
Cration des profils de bande passante QoS pour les interfaces WAN
TAPE 1 Cliquez sur Networking > QoS > WAN QoS.
La fentre Bandwidth Management s'ouvre. Tous les profils existants sont affichs dans le tableau Bandwidth Profiles.
TAPE 2 Pour activer cette fonctionnalit cochez la case qui se trouve au sommet de la
Downstream Bandwidth in Kbps pour chaque interface WAN en saisissant les valeurs fournie par votre FAI. Cliquez ensuite sur Apply.
75
Mise en rseau
Profils de bande passante QoS
2
Cochez la case pour activer les profils de bande passante. Cliquez sur Apply pour enregistrer les paramtres.
TAPE 4 Dans la zone Bandwidth Profiles Enable, effectuez les oprations suivantes :
TAPE 5 Cliquez sur Add pour ajouter un nouveau profil de bande passante.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre Bandwidth Profile Configuration s'ouvre.
TAPE 6 Saisissez les paramtres pour dfinir un profil de bande passante pour une
interface WAN. Profile Name : saisissez un nom pour identifier ce profil. Priority : choisissez une priorit : Low, Medium, ou High, Urgent. Vous pouvez utiliser Urgent pour le trafic sensible la latence tel que la voix. Il est recommand de configurer un seul profil de bande passante avec la priorit Urgent. Maximum Bandwidth : saisissez la bande passante maximale associer ce profil. Minimum Bandwidth : saisissez la bande passante minimale associer ce profil. WAN Interface : choisissez l'interface laquelle ce profil de bande passante s'applique.
TAPE 7 Cliquez sur Apply pour enregistrer les paramtres. TAPE 8 Rptez aussi souvent que ncessaire pour crer des profils supplmentaires.
76
Mise en rseau
Profils de bande passante QoS
Slecteurs de trafic
Une fois le profil de bande passante cr, vous pouvez l'associer au flux du trafic.
REMARQUE
Avant de pouvoir crer des slecteurs de trafic, vous devez activer les profils de bande passante et crer au moins un profil de bande passante. Pour obtenir plus d'informations, reportez-vous la section Cration des profils de bande passante QoS pour les interfaces WAN, page 75.
TAPE 1 Cliquez sur Networking > Bandwidth Profiles > Traffic Selectors.
La fentre Traffic Selectors s'ouvre. Tous les slecteurs de trafic existants sont rpertoris dans le tableau List of Traffic Selectors.
TAPE 2 Cliquez sur Add pour ajouter un nouveau slecteur de trafic.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre Traffic Selector Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Available Profiles : slectionnez le profil de bande passante qui doit s'appliquer ce trafic. Service : choisissez un service dans la liste droulante. Si aucun service ne convient, vous pouvez configurer un service personnalis sur la page Firewall custom services. Traffic Selector Match Type : choisissez la mthode d'identification de l'hte auquel doit s'appliquer le slecteur de trafic. Saisissez ensuite l'adresse IP, l'adresse MAC, le nom de port oule VLAN en fonction du type de correspondance choisie.
77
Mise en rseau
Profils de bande passante QoS
QoS du LAN
L'appliance de scurit fournit des valeurs de classe de service (CoS) IEEE 802.1p bas sur QoS et des valeurs DSCP pour la mise en uvre de la qualit de service au niveau du contrle d'accs multimdia. Cette mthode QoS spcifie les valeurs de priorit pouvant tre utilises pour diffrencier le trafic et donner la prfrence au trafic prioritaire, par exemple les appels tlphoniques.
pouvez choisir DSCP, qui est un champ IP de couche 3, ou CoS, qui est un champ d'en-tte Ethernet de couche 2, selon vos besoins.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
78
Mise en rseau
DNS dynamique
2
La fentre Port DSCP Mapping s'ouvre.
TAPE 1 Cliquez sur Networking > Qos > Port DSCP Mapping.
TAPE 2 Pour chaque valeur DSCP, utilisez la liste droulante pour choisir la file d'attente
correspondante :
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
DNS dynamique
Le DNS dynamique (DDNS) est un service Internet qui permet aux routeurs possdant des adresses IP publiques variables d'tre localiss l'aide de noms de domaine Internet. Si votre FAI ne vous a pas fourni d'adresse IP statique et que votre connexion WAN est configure pour utiliser le protocole DHCP pour obtenir une adresse IP de manire dynamique, alors DDNS vous permet de disposer d'une adresse IP statique virtuelle pour votre site Web. Pour utiliser le DDNS, vous devez configurer un compte avec un fournisseur DDNS tel que DynDNS.com.
TAPE 1 Cliquez sur Networking > Dynamic DNS.
79
Mise en rseau
Configuration de l'adressage IPv6
2
Select the Dynamic DNS Service : choisissez None ou DynDNS.com. Host and Domain Name : indiquez le nom d'hte et le nom de domaine complets pour le service DDNS. User Name : saisissez le nom d'utilisateur du compte DynDNS. Password: saisissez le mot de passe du compte DynDNS. Use wildcards : cochez cette case pour permettre tous les sousdomaines de votre nom d'hte DynDNS de partager la mme IP publique en tant que nom d'hte. Cette option peut tre active cet endroit si elle ne l'a pas dj t sur le site Web DynDNS. Update every 30 days : cochez cette case pour autoriser l'appliance de scurit mettre jour les informations d'hte sur DynDNS et maintenir l'abonnement actif aprs la priode d'valuation de 30 jours.
TAPE 3 Dans la zone Dedicated WAN (DDNS Status) ou Optional WAN (DDN Status),
IPv6 n'est pas pris en charge sur le port facultatif. Activez d'abord le mode IPv6 puis configurez la connexion WAN, la connexion LAN, le routage et la tunnellisation. Mode de routage IP Configuration de la connexion WAN IPv6 Configuration du LAN IPv6 Pools d'adresses LAN IPv6 Multi-LAN IPv6
80
Mise en rseau
Configuration de l'adressage IPv6
2
Routage statique IPv6 Routage (RIPng) Tunnellisation 6to4 tat des tunnels IPv6 Tunnels ISATAP Tunnels MLD Configuration des annonces du routeur Ajouter des prfixes RADVD
Mode de routage IP
Pour la mise en route de la configuration IPv6, activez d'abord le mode IPv4 ou IPv6. Les adressages IPv4 et IPv6 sont pris en charge.
TAPE 1 Cliquez sur Networking > IPv6 > Routing Mode.
s'affiche, cliquez sur OK pour continuer. Si vous ne souhaitez pas modifier le mode IP, cliquez sur Cancel.
REMARQUE
tapes suivantes : Pour configurer la connexion WAN, cliquez sur IPv6 > IPv6 WAN Config. Pour obtenir plus d'informations, reportez-vous la section Configuration de la connexion WAN IPv6, page 82. Pour configurer le LAN, cliquez sur IPv6 > IPv6 LAN Config. Pour obtenir plus d'informations, reportez-vous la section Configuration du LAN IPv6, page 83.
81
Mise en rseau
Configuration de l'adressage IPv6
de service a attribu une adresse IP fixe (statique ou permanente). Si vous n'avez pas reu d'adresse IP statique, choisissez DHCPv6.
TAPE 3 Si vous configurez une adresse IP statique, saisissez les informations suivantes
dans la zone Static IP Address de la page. IPv6 Address : saisissez l'adresse IP statique fournie par votre fournisseur d'accs. IPv6 Prefix Length : le rseau IPv6 (sous-rseau) est identifi par les bits initiaux de l'adresse, le prfixe. Tous les htes du rseau possdent des bits initiaux identiques pour leur adresse IPv6. Saisissez le nombre de bits initiaux commun dans les adresses rseau. La longueur du prfixe par dfaut est 64. Default IPv6 Gateway : saisissez l'adresse IPv6 de la passerelle pour votre FAI. Elle est gnralement fournie par le FAI ou votre administrateur rseau. Primary DNS Server et Secondary DNS Server : saisissez l'adresse IP valide d'un serveur DNS principal et ventuellement d'un serveur DNS secondaire.
le mode dans la zone DHCPv6 de la page : Stateless Address Auto Configuration : si vous choisissez cette option, l'appliance de scurit peut gnrer ses propres adresses l'aide d'une combinaison des informations disponibles localement et des informations annonces par les routeurs. Stateful Address Auto Configuration : si vous choisissez cette option, l'appliance de scurit se connecte au serveur DHCPv6 du FAI pour obtenir un bail d'adresse.
82
Mise en rseau
Configuration de l'adressage IPv6
REMARQUE
tapes suivantes : Pour configurer le LAN, cliquez sur IPv6 > IPv6 LAN Config. Pour obtenir plus d'informations, reportez-vous la section Configuration du LAN IPv6, page 83.
IPv6 Address : saisissez l'adresse IPv6. L'adresse IPv6 par dfaut pour la passerelle est fec0::1. Vous pouvez modifier cette adresse IPv6 de 128 bits en fonction des besoins de votre rseau.
REMARQUE Si vous modifiez l'adresse IP et que vous cliquez sur Apply, la connexion du navigateur est perdue. Attendez quelques secondes que votre ordinateur d'administration obtienne une nouvelle adresse IP du pool d'adresses IP nouvellement attribu (ou qu'il libre et renouvelle son adresse si connect via DHCP). Saisissez ensuite la nouvelle adresse IP de l'appliance de scurit dans la barre d'adresse du navigateur, puis connectez-vous nouveau.
IPv6 Prefix Length : saisissez le nombre de caractres du prfixe IPv6. Le rseau IPv6 (sous-rseau) est identifi par le prfixe, constitu des bits initiaux de l'adresse. La longueur de prfixe par dfaut est de 64 bits. Tous les htes du rseau possdent des bits initiaux identiques pour l'adresse IPv6. Le nombre de bits initiaux communs dans les adresses est dfini par le champ de longueur du prfixe.
83
Mise en rseau
Configuration de l'adressage IPv6
2
DHCP Status : si vous ne voulez pas que l'appliance de scurit fasse office de serveur DHCP, cliquez sur Disable DHCPv6 Server (paramtre par dfaut). Si vous souhaitez que l'appliance de scurit fasse office de serveur DHCP qui attribue de manire dynamique des adresses IP tous les priphriques connects, cliquez sur Enable DHCPv6 Server, puis renseignez tous les champs signals par un fond blanc. DHCP Mode : choisissez l'option approprie votre configuration : Stateless : slectionnez cette option pour autoriser l'appliance de scurit configurer automatiquement les htes LAN IPv6 l'aide des messages de dtection du routeur ICMPv6. Il n'y a aucune adresse gre utilise par les nuds du LAN.
REMARQUE Pour le mode sans tat, vous devez galement configurer le
RADVD (Router Advertisement Daemon). Voir aussi RADVD (Router Advertisement Daemon), page 91. Stateful : choisissez cette option pour autoriser l'hte LAN IPv6 compter sur un serveur DHCPv6 externe pour fournir des paramtres de configuration obligatoires.
Domain Name (optional) : saisissez un nom de domaine pour le serveur DHCPv6. Server Preference : saisissez une valeur comprise entre 0 et 255 pour indiquer le niveau de prfrence pour ce serveur DHCP. Les clients DHCPv6 choisiront le serveur DHCPv6 qui a la plus forte valeur de prfrence. La valeur par dfaut est 255. DNS Servers : slectionnez lune des options suivantes : Use DNS Proxy : cochez cette case pour activer le proxy DNS sur ce LAN. L'appliance de scurit fera office de proxy pour toutes les requtes DNS et communiquera avec les serveurs DNS du FAI (tel que configur dans la page WAN settings). Use DNS from ISP : cochez cette case pour permettre au FAI de dfinir les serveurs DNS (principal et secondaire) pour le client DHCP du LAN. Use below : cochez cette case pour utiliser le serveur DNS principal et le serveur DNS secondaire indiqus dans les champs ci-dessous.
Lease/Rebind Time : saisissez le nombre de secondes pendant lesquelles les adresses IP sont loues aux clients. La valeur par dfaut est 86 400, qui correspond 24 heures.
84
Mise en rseau
Configuration de l'adressage IPv6
REMARQUE
tapes suivantes : Required for stateless autoconfiguration : si vous choisissez le mode de configuration automatique sans tat, cliquez sur IPv6 > Router Advertisement pour configurer le RADVD (Router Advertisement Daemon). Pour obtenir plus d'informations, reportez-vous la section RADVD (Router Advertisement Daemon), page 91. Si vous voulez configurer les pools d'adresses LAN, cliquez sur IPv6 > IPv6 Address Pools. Pour obtenir plus d'informations, reportez-vous la section Pools d'adresses LAN IPv6, page 85. Si vous devez configurer une adresse LAN alias, cliquez sur IPv6 > IPv6 Multi LAN. Pour obtenir plus d'informations, reportez-vous la section Multi-LAN IPv6, page 86. Si vous devez configurer un routage statique, cliquez sur IPv6 > IPv6 Multi LAN. Pour obtenir plus d'informations, reportez-vous la section Routage statique IPv6, page 87.
La fentre IPv6 Address Pools s'ouvre. Tous les pools d'adresses existants sont rpertoris dans le tableau List of Available Pools.
TAPE 2 Cliquez sur Add pour crer un nouveau pool d'adresses.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre IPv6 Address Prefix & Pools Configuration s'ouvre.
85
Mise en rseau
Configuration de l'adressage IPv6
2
Start IPv6 Address : saisissez la premire adresse de la plage d'adresses pour ce pool. End IPv6 Address : saisissez la dernire adresse de la plage d'adresses pour ce pool. IPv6 Prefix Length : saisissez le nombre de caractres du prfixe IPv6. Le rseau IPv6 (sous-rseau) est identifi par le prfixe, constitu des bits initiaux de l'adresse. Tous les htes du rseau possdent des bits initiaux identiques pour l'adresse IPv6. Le nombre de bits initiaux communs dans les adresses est dfini par le champ de longueur du prfixe.
Multi-LAN IPv6
Cette page vous permet de configurer une adresse LAN IPv6 alias.
TAPE 1 Cliquez sur Networking > IPv6 > IPv6 Multi LAN.
La fentre IPv6 Multi LAN s'ouvre. Toutes les adresses alias existantes sont rpertories dans le tableau Available Multi IPv6 Addresses.
TAPE 2 Cliquez sur Add pour ajouter une nouvelle adresse.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre IPv6 Multi LAN Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
IPv6 Address : saisissez l'adresse LAN IPv6 alias ajouter. Prefix Length : saisissez la longueur du prfixe de l'adresse IPv6.
86
Mise en rseau
Configuration de l'adressage IPv6
2
Le rseau IPv6 (sous-rseau) est identifi par le prfixe, constitu des bits initiaux de l'adresse. Tous les htes du rseau possdent des bits initiaux identiques pour l'adresse IPv6. Le nombre de bits initiaux communs dans les adresses est dfini par le champ de longueur du prfixe.
La fentre IPv6 Static Routing s'ouvre. Toutes les routes statiques existantes sont rpertories dans le tableau IPv6 Static Routes.
TAPE 2 Cliquez sur Add pour ajouter une nouvelle route statique. Autres options : cliquez
sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre IPv6 Static Route Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Route Name : saisissez le nom d'une route des fins d'identification et de gestion. Active : cochez cette case pour activer la route ou dcochez-la pour dsactiver la route. Lorsqu'une route est ajoute pendant l'tat inactif, elle est rpertorie dans le tableau mais ne sera pas utilise pour le routage. Cette fonctionnalit vous permet de configurer les routes avant mme que le rseau de destination soit prt recevoir le trafic. Activez les routes si disponible. IPv6 Destination : saisissez l'adresse IPv6 de l'hte de destination ou du rseau pour cette route. IPv6 Prefix Length : saisissez le nombre de bits du prfixe de l'adresse IPv6 pour dfinir le sous-rseau. Interface : choisissez l'interface rseau physique (WAN ddi, WAN facultatif, DMZ ou LAN), par laquelle cette route est accessible.
87
Mise en rseau
Configuration de l'adressage IPv6
2
Gateway IP Address : saisissez l'adresse IP de la passerelle par laquelle l'hte de destination ou le rseau est accessible. Metric : spcifiez la priorit de cette route en saisissant une valeur comprise entre 2 et 15. S'il existe plusieurs routes vers la mme destination, l'appliance de scurit choisit la route avec la mesure la plus petite.
Routage (RIPng)
RIPng (Routing Information Protocol - nouvelle gnration, RFC 2080) est un protocole de routage qui utilise des paquets UDP pour changer des informations de routage via le port 521. La distance une destination est mesure par le nombre de sauts, de la faon suivante : Le nombre de sauts d'un routeur un rseau directement connect est 0. Le nombre de sauts entre deux routeurs directement connects est 1. Lorsque le nombre de sauts est suprieur ou gal 16, le rseau ou l'hte de destination est injoignable.
Par dfaut, la mise jour du routage est envoye toutes les 30 secondes. Si l'appliance de scurit ne reoit aucune mise jour du routage d'un voisin au bout de 180 secondes, les routes apprises par le voisin sont considres comme injoignables. Au bout de 240 secondes, si aucune mise jour du routage n'est reue, l'appliance de scurit supprime ces routes de la table de routage.
REMARQUE
ce protocole.
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
88
Mise en rseau
Configuration de l'adressage IPv6
Tunnellisation 6to4
La tunnellisation automatique permet au trafic d'un rseau LAN IPv6 tre tunnellis via un rseau WAN IPv4, et vice versa. Vous devez activer cette fonctionnalit si vous disposez d'un site ou un utilisateur terminal qui doit se connecter Internet IPv6 l'aide du rseau IPv4 existant.
TAPE 1 Cliquez sur Networking > IPv6 > 6to4 Tunneling.
dsactiver.
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
Tunnels ISATAP
Le protocole ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) est utilis pour transmettre des paquets IPv6 entre les nuds dual-stack sur un rseau IPv4. L'appliance de scurit est un point de terminaison (un nud) pour le tunnel. Vous devez dfinir un point de terminaison local ainsi que le prfixe de sous-rseau ISATAP qui dfinit le sous-rseau ISATAP logique pour configurer un tunnel.
TAPE 1 Cliquez sur Networking > IPv6 > ISATAP Tunnels.
La fentre ISATAP Tunnels s'ouvre. Tous les tunnels existants sont rpertoris dans le tableau List of Available ISATAP Tunnels.
TAPE 2 Pour ajouter un tunnel ISATAP, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche.
Guide dadministration des appliances de scurit de la gamme Cisco SA500 89
Mise en rseau
Configuration de l'adressage IPv6
Lorsque vous cliquez sur Add ou Edit, la fentre ISATAP Tunnel Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
ISATAP Subnet Prefix : saisissez le prfixe 64 bit de sous-rseau qui est attribu au sous-rseau ISATAP logique pour l'intranet. Vous pouvez obtenir le prfixe de votre FAI ou du registre Internet ou en le drivant de RFC 4193. Local End Point Address : saisissez l'adresse du point de terminaison pour le tunnel qui dmarre avec ce routeur. Le point de terminaison peut tre l'interface LAN (en supposant que le LAN est un rseau IPv4) ou une adresse IPv4 LAN spcifique. IPv4 Address : saisissez l'adresse du point de terminaison local dfaut de l'adresse IPv4 LAN.
Tunnels MLD
Le MLD (Multicast Listener Discovery) est un protocole IPv6 qui dtecte des couteurs pour un groupe de multidiffusion spcifique. Ce protocole est similaire IGMPdans IPv4.
TAPE 1 Cliquez sur Networking > IPv6 > MLD Tunnels.
ensuite les informations suivantes : Maximum query response time : saisissez la dure maximale (en millisecondes) qui peut s'couler entre le moment o le routeur envoie un message de requte l'hte et le moment o l'hte rpond ce message. En variant l'intervalle de rponse aux requtes, un administrateur peut contrler les rafales de messages MLD sur la liaison ; des valeurs plus grandes diminuent les salves de trafic, car les rponses de l'hte sont tendues sur un intervalle plus long. La valeur minimale de ce paramtre est de 5 000 ms (5 secondes) et la valeur maximale est de 1 800 000 ms (30 minutes).
90
Mise en rseau
Configuration de l'adressage IPv6
2
Robustness Variable : saisissez une valeur comprise entre 2 et 8 pour autoriser le rglage des pertes de paquets attendues sur une liaison. Saisissez une valeur suprieure si une liaison avec pertes est attendue. La valeur par dfaut est 2. La valeur minimale de la variable Robustness est 2 et la valeur maximale est 8. Query Interval : saisissez le nombre de secondes coules entre les requtes gnrales envoyes par le priphrique. La valeur par dfaut est de 125 secondes. En variant l'intervalle entre les requtes, un administrateur peut contrler le nombre de messages MLD sur la liaison ; des valeurs plus grandes entranent un ralentissement dans les envois de requtes MLD. La valeur minimale de l'intervalle de requtes est de 100 secondes et la valeur maximale est de 1 800 secondes.
RADVD Status : active ou dsactive le processus RADVD. Si vous activez RADVD, renseignez les champs signals par un fond blanc.
91
Mise en rseau
Configuration de l'adressage IPv6
2
Advertise Mode : slectionnez l'une des options suivantes : Unsolicited Multicast : slectionnez cette option pour envoyer des annonces du routeur toutes les interfaces appartenant au groupe de multidiffusion. Saisissez galement l'annonce interne. Unicast only : slectionnez cette option pour restreindre les annonces aux adresses IPv6 connues (les annonces sont envoyes uniquement l'interface de l'adresse connue).
Advertise Interval : si vous avez choisi le mode de multidiffusion non sollicite, saisissez une valeur comprise entre les intervalles d'annonce du routeur minimal et maximal. MinRtrAdvInterval = 0,33 * MaxRtrAdvInterval. La valeur par dfaut est 30 secondes. RA Flags : slectionnez lune des options suivantes : Managed : choisissez cette option pour utiliser le protocole administr ou d'tat intgral pour la configuration automatique des adresses. Other : choisissez cette option pour permettre l'hte d'utiliser le protocole administr ou d'tat intgral pour la configuration automatique d'autres informations (c.--d. diffrentes des adresses).
Router Preference : choisissez Low, Medium ou High pour la prfrence relative au processus RADVD de ce routeur. Ce paramtre est utile s'il existe d'autres priphriques compatibles RADVD sur le LAN. Le paramtre par dfaut est High. MTU : si votre FAI le demande, vous pouvez modifier cette valeur, qui est utilise dans les annonces pour vrifier que tous les nuds sur le rseau utilisent la mme valeur MTU dans les cas o le MTU LAN n'est pas connu. La valeur par dfaut est 1500. Router Lifetime : saisissez la dure de vie en secondes de la route. La valeur par dfaut est 3600 secondes.
Avant de pouvoir suivre cette procdure, vous devez activer RADVD. Pour obtenir plus d'informations, reportez-vous la section Configuration des annonces du routeur, page 91.
92
Mise en rseau
Configuration de l'adressage IPv6
La fentre Advertisement Prefixes s'ouvre. Tous les prfixes existants sont indiqus dans le tableau List of Prefixes to Advertise.
TAPE 2 Pour ajouter un prfixe au tableau, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante puis cliquez sur Delete. Pour slectionner toutes les entres du tableau, cochez la case situe dans la ligne d'en-tte du ct gauche. Lorsque vous cliquez sur Add ou Edit, la fentre RADVD Prefixes s'ouvre.
TAPE 3 Saisissez les informations suivantes :
IPv6 Prefix Type : choisissez le type de prfixe 6to4 ou Global/Local/ ISATAP. Renseignez galement les champs signals par un fond blanc. ID de SLA : l'ID de SLA (Site-Level Aggregation Identifier) du prfixe de l'adresse 6to4 est dfini sur l'ID de l'interface sur laquelle les annonces sont envoyes. IPv6 Prefix : spcifiez l'adresse rseau IPv6. IPv6 Prefix Length : saisissez une valeur dcimale qui indique le nombre de bits contigus d'ordre suprieur de l'adresse qui composent la partie de l'adresse relative au rseau. Prefix Lifetime : saisissez le nombre maximum de secondes pendant lesquelles le routeur demandeur peut utiliser le prfixe.
93
3
Configuration sans fil pour le SA520W
Ce chapitre dcrit la procdure de configuration des points d'accs et du rseau radio pour le SA520W. Il comprend les sections suivantes :
REMARQUE
Le routeur est configur avec les paramtres par dfaut d'un rseau sans fil simple. Toutefois, vous devez activer le point d'accs pour qu'un priphrique sans fil puisse se connecter.
94
Cisco recommande fortement WPA2 pour la scurit sans fil. Les autres modes de scurit sont vulnrables aux attaques.
La fentre Profiles s'ouvre. Les profils existants sont affichs dans le tableau List of Profiles.
TAPE 2 Dans la premire ligne du tableau, cliquez sur le bouton de la colonne Edit pour
configurer le profil par dfaut. Autres options : cliquez sur Add pour ajouter une entre. Cliquez sur le bouton de la colonne Adv Config, QoS Config ou Configure MAC Filter pour modifier d'autres paramtres (plus d'informations seront prsentes ultrieurement dans ce chapitre). Pour supprimer un profil, cochez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. Lorsque vous cliquez sur Add ou Edit, la fentre Profile Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes dans la zone Profile Configuration :
Profile Name : s'il s'agit d'un nouveau profil, saisissez un identifiant (alphanumrique) unique pour ce profil sans fil. S'il s'agit du profil par dfaut, le nom default1 ne peut pas tre modifi. Security : choisissez le type de scurit configurer dans ce profil : OPEN : aucune scurit. Tous les priphriques sans fil peuvent se connecter (soumis la stratgie de point d'accs ACL). WEP (Wired Equivalent Privacy) : le cryptage WEP est une ancienne mthode de cryptage qui n'est pas considre comme sre et qui peut aisment tre pirate. Ne slectionnez cette option que si vous voulez autoriser l'accs aux priphriques ne prenant pas en charge WPA ou WPA2. WPA (Wi-Fi Protected Access) : le cryptage WPA offre une meilleure scurit que le protocole WEP grce un cryptage par cl dynamique. Cette norme a t mise en uvre comme mesure intermdiaire pour
95
remplacer le WEP, en attendant la finalisation totale de la norme 802.11i pour le WPA2. WPA prend en charge le cryptage TKIP ou TKIP+CCMP (par dfaut, TKIP) et l'authentification PSK/RADIUS. Choisissez cette option si vous devez autoriser l'accs des priphriques ne prenant pas en charge WPA2. WPA2 : WPA2 fournit la meilleure scurit en matire de transmissions sans fil. Cette mthode met en uvre les normes de scurit spcifies dans la version finale de 802.11i. WPA2 prend en charge le cryptage CCMP ou CCMP+TKIP (par dfaut, CCMP) et l'authentification PSK/ RADIUS. WPA2 est recommand, bien que certains priphriques ne prennent pas en charge ce mode de scurit. Pour protger vos informations mesure de leur transmission sur les ondes, vous devez activer le plus haut niveau de cryptage pris en charge par votre quipement rseau. WPA + WPA2 : ce mode permet aux clients WPA et WPA2 de se connecter simultanment. Choisissez cette option pour activer un plus haut niveau de scurit tout en autorisant l'accs aux priphriques qui ne prennent pas en charge WPA2.
Encryption : slectionnez la mthode de cryptage utiliser. Pour WPA, les options disponibles sont TKIP ou TKIP+CCMP. Pour WPA2, les options disponibles sont CCMP ou CCMP+TKIP. CCMP est plus fort que TKIP et il est donc recommand. Toutefois, certains priphriques sans fil peuvent ne prendre en charge que TKIP. Authentication : pour WPA/WPA2, slectionnez la mthode d'authentification WPA/WPA2 utiliser : RADIUS, PSK ou PSK + RADIUS. WPA Password : pour l'authentification PSK, saisissez une cl prpartage. La cl peut comprendre jusqu' 64 caractres ASCII. Les clients doivent aussi tre configurs avec le mme mot de passe. Enable Pre-Authentication : si vous choisissez RADIUS comme mthode d'authentification, vous pouvez cocher cette case pour activer la prauthentification pour ce profil. AP Isolation : cochez cette case pour crer un rseau virtuel distinct pour les clients qui utilisent ce profil. Lorsque cette fonctionnalit est active, chaque client se trouve dans son propre rseau virtuel et ne peut pas communiquer avec d'autres clients.
96
TAPE 4 Si vous avez choisi WEP comme type de scurit, saisissez les informations
suivantes dans la zone WEP Index and Keys : Authentication : slectionnez le schma Open System ou Shared Key. Shared key est recommand. Encryption : slectionnez le type de cryptage (WEP 64 ou WEP 128). Les cls de plus grande taille fournissent un meilleur cryptage, la cl est plus difficile pirater (c.--d. WEP 64 possde une cl de 40 bits qui est moins sre que la cl de 104 bits de WEP 128). WEP Passphrase : choisissez une expression alphanumrique (de 8 caractres minimum pour une scurit optimale) et cliquez sur Generate key pour gnrer 4 cls WEP uniques. Slectionnez l'une des quatre comme cl statique que les priphriques doivent avoir afin d'utiliser le rseau sans fil. WEP Key 1-4 : si l'expression WEP n'est pas spcifie, vous pouvez saisir une cl directement dans l'une des cases WEP Key. La longueur de la cl doit comprendre 5 caractres ASCII (ou 10 caractres hexadcimaux) pour une cl WEP de 64 bits et 13 caractres ASCII (ou 26 caractres hexadcimaux) pour une cl WEP de 128 bits. WEP Key Index : l'index de cl WEP dpend de la case de cl WEP utilise. Le schma de numrotation de l'index peut tre diffrent en fonction des clients. Pour les clients dont l'indexation commence par 0, les cls WEP 1 4 correspondent aux index 0 3. Pour ceux dont l'indexation commence par 1, les cls WEB 1 4 correspondent aux index 1 4.
TAPE 5 Cliquez sur Apply pour enregistrer les paramtres. TAPE 6 Rptez cette procdure autant que ncessaire pour ajouter d'autres profils sans
fil.
REMARQUE
tapes suivantes : Required for each access point : configurez et activez le point d'accs. Voir aussi tape 2 : configuration des points d'accs, page 102. Si vous devez configurer les paramtres avancs, cliquez sur le bouton Advanced Config dans le tableau List of Profiles. Pour obtenir plus d'informations, reportez-vous la section Configuration avance du profil, page 98. Si vous devez configurer les paramtres QoS, cliquez sur le bouton QoS Config dans le tableau List of Profiles. Pour obtenir plus d'informations,
97
reportez-vous la section Configuration des paramtres de qualit de service pour un profil sans fil, page 99. Si vous voulez configurer le filtrage MAC, cliquez sur le bouton MAC Filtering dans le tableau List of Available Access Points. Pour obtenir plus d'informations, reportez-vous la section Contrle de l'accs sans fil par le biais des adresses MAC, page 100. Pour l'authentification RADIUS, configurez les paramtres RADIUS. Voir aussi Configurer les enregistrements du serveur RADIUS, page 207.
La fentre Profiles s'ouvre. Les profils existants sont affichs dans le tableau List of Profiles.
TAPE 2 Recherchez le profil que vous souhaitez modifier, puis cliquez sur le bouton de la
Group Key Refresh Interval (Seconds) : indique l'intervalle de temps aprs lequel les cls de groupe sont gnres (utilis uniquement si le profil est configur avec une scurit WPA ou WPA2). PMKSA Life Time (Seconds) : la norme de scurit WPA2 propose l'option PMKSA caching qui permet de mettre en cache pendant un certain temps les cls principales drives d'une authentification RADIUS russie afin d'viter la rptition de cette authentification RADIUS longue chaque connexion du client. Cet intervalle de temps d'expiration spcifie la dure de stockage de cette PMKSA dans le point d'accs. Si un client se reconnecte pendant cet intervalle (aprs une authentification RADIUS russie), il peut ignorer l'authentification RADIUS. 802.1X Re-authentication Interval (Seconds) : intervalle de temps aprs lequel le point d'accs doit authentifier nouveau par le biais du serveur RADIUS.
98
La fentre Profiles s'ouvre. Les profils existants sont affichs dans le tableau List of Profiles.
TAPE 2 Recherchez le profil que vous souhaitez modifier, puis cliquez sur le bouton de la
QoS Enable : cochez cette case pour activer le QoS pour ce profil. Les paramtres de cette page s'appliquent uniquement si cette case est coche. Default Class Of Service : utilisez ce paramtre pour spcifier la classe de service par dfaut pour tout le trafic sur le point d'accs.
99
IP DSCP/TOS to Service Mapping : pour chaque valeur IP DSCP/TOS, gardez le paramtre Default dans le champ pour appliquer la classe de service slectionne par dfaut ou choisissez une classe de service particulire pour hirarchiser le trafic.
100
La fentre Access Points s'ouvre. Les points d'accs existants sont rpertoris dans le tableau List of Available Access Points.
TAPE 2 Recherchez le point d'accs que vous souhaitez modifier, puis cliquez sur le bouton
suivantes : a. Cliquez sur Add. Cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. Aprs avoir apport des modifications dans le tableau, veillez cliquez sur Apply pour appliquer la stratgie ACL la nouvelle liste. Lorsque vous cliquez sur Add ou Edit, la fentre New MAC Filter s'ouvre. b. Saisissez l'adresse MAC du priphrique que vous souhaitez ajouter la table. c. Cliquez sur Apply pour enregistrer les paramtres.
TAPE 4 Rptez l'tape prcdente pour chaque adresse MAC que vous souhaitez
ajouter la table.
TAPE 5 En haut de la page MAC Filtering, dfinissez la valeur de ACL Policy Status.
Choisissez l'une des options suivantes dans la liste : Open : le filtrage MAC n'est pas activ. Tous les priphriques peuvent utiliser ce point d'accs. Allow : tous les priphriques de la table d'adresses MAC peuvent utiliser ce point d'accs. Les autres priphriques n'y ont pas accs. Deny : l'accs ce point d'accs est refus tous les priphriques de la table d'adresses MAC. Tous les autres priphriques y ont accs.
101
La fentre Access Points s'ouvre. Les points d'accs existants sont rpertoris dans le tableau List of Available Access Points.
TAPE 2 Dans la premire ligne du tableau, cliquez sur le bouton de la colonne Edit pour
configurer le point d'accs par dfaut. Autres options : cliquez sur Add pour ajouter une entre. Pour afficher l'tat, cliquez sur le bouton de la colonne Status. Pour activer un point d'accs, cochez la case puis cliquez sur Enable. Pour dsactiver un point d'accs, cochez la case puis cliquez sur Disable. Pour supprimer un point d'accs, cochez la case puis cliquez sur Delete. Pour slectionner tous les points d'accs, slectionnez la case de la premire colonne de l'en-tte du tableau. Lorsque vous cliquez sur Add ou Edit, la fentre Access Point Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Profile Name : choisissez un profil qui dtermine la scurit et les paramtres avancs facultatifs pour ce point d'accs. Pour obtenir plus d'informations, reportez-vous la section tape 1 : configuration des profils sans fil, page 95. Active Time : cochez cette case pour activer le point d'accs uniquement durant des heures dtermines de la journe. Puis saisissez l'heure de dbut et l'heure de fin. Start Time : saisissez l'heure et les minutes de dmarrage de la priode active. choisissez AM ou PM dans la liste droulante. Stop Time : saisissez l'heure et les minutes de fin de la priode active. choisissez AM ou PM dans la liste droulante.
Max Associated Clients : saisissez le nombre maximum de clients qui peuvent se connecter ce point d'accs tout moment. La valeur par dfaut est de 8 clients.
102
SSID : spcifiez le SSID (Service Set Identifier), ou le nom de rseau, que les clients utilisent pour se connecter au point d'accs. Il est conseill de remplacer le SSID par dfaut par un identifiant unique. Broadcast SSID : slectionnez cette case pour autoriser l'appliance de scurit diffuser le SSID. Tous les priphriques sans fil porte peuvent voir le SSID lorsqu'ils recherchent des rseaux disponibles. Dcochez cette case pour empcher la dtection automatique du SSID. Dans ce cas, les utilisateurs doivent connatre le SSID pour paramtrer une connexion sans fil ce point d'accs.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres. TAPE 5 Rptez cette procdure autant que ncessaire pour ajouter ou modifier d'autres
REMARQUE
tapes suivantes : Pour afficher l'tat du point d'accs, cliquez sur le bouton du tableau List of Available Access Points. Pour obtenir plus d'informations, reportez-vous la section Page Wireless Statistics for the SA520W, page 224.
103
TAPE 1 Cliquez sur Wireless > Radio Settings > Radio Settings.
Region : choisissez une zone gographique dans la liste droulante des rgions. Country : slectionnez un pays dans la liste droulante des pays. Cette liste s'adapte en fonction de la rgion slectionne. Cela dtermine les canaux Wi-Fi disponibles comme spcifi par les autorits du rseau sans fil du pays ou de la rgion correspondante. Mode : choisissez la technique de modulation 802.11. g & b : slectionnez ce mode si certains priphriques du rseau sans fil utilisent 802.11g et que d'autres utilisent 802.11b. g only : slectionnez ce mode si tous les priphriques du rseau sans fil peuvent prendre en charge 802.11g. n only : slectionnez ce mode si tous les priphriques du rseau sans fil peuvent prendre en charge 802.11n. ng : slectionnez ce mode pour permettre aux clients 802.11n, 802.11g et 802.11b de se connecter ce point d'accs.
Channel Spacing : slectionnez une agrgation (espacement) de canaux de 20 MHz ou 40 MHz ou choisissez auto pour laisser le systme dterminer le meilleur espacement de canal utiliser. Ce paramtre est propre au trafic 802.11n. Control Side Band : si vous avez choisi l'espacement de canal de 40 MHz, choisissez Lower Upper. Current Channel : affiche le canal actuellement utilis par la radio. Channel : choisissez un canal dans la liste des canaux ou choisissez auto pour laisser le systme dterminer le meilleur canal utiliser en fonction des niveaux de bruit environnemental des canaux disponibles. Default Transmit Power : saisissez une valeur en dBm comme niveau de puissance transmis par dfaut pour tous les points d'accs qui utilisent cette radio. La valeur par dfaut est de 20 dBm.
104
Beacon Interval : les intervalles de trame sont transmis intervalles rguliers par un point d'accs pour annoncer l'existence du rseau sans fil. Dfinissez l'intervalle en saisissant une valeur en millisecondes. La valeur par dfaut est 100, ce qui signifie que les trames de balise sont envoyes toutes les 100 millisecondes (10 secondes). Dtim Interval : le message DTIM (Delivery Traffic Information Map) est un lment inclus dans certaines trames de balise. Il indique les stations client qui se trouvent actuellement en veille en mode bas-rgime et qui ont stock des donnes en attente d'utilisation dans la mmoire tampon sur le point d'accs. Dfinissez l'intervalle en saisissant une valeur en trames de balise. La valeur par dfaut est 2, ce qui signifie que le message DTIM est inclus dans chaque deuxime trame de balise. RTS Threshold : dtermine la taille de paquet qui ncessite l'tablissement d'une liaison RTS (Request To Send) ou CTS (Clear To Send) avant envoi. Un paramtre de seuil bas peut tre utile dans les zones o de nombreux priphriques client s'associent au priphrique sans fil ou dans les zones o les clients sont loigns et qu'ils ne peuvent dtecter que le point d'accs et non les autres clients. Bien qu'une valeur de seuil faible consomme davantage de bande passante et rduise le dbit du paquet, les paquets RTS frquents peuvent permettre un rtablissement du rseau suite une interfrence ou des collisions. Dfinissez le seuil en saisissant la taille de paquet en octets. La valeur par dfaut est 2346, ce qui dsactive le RTS de manire efficace. Fragmentation Threshold : longueur des trames qui ncessitent que les paquets soient casss (fragments) en deux ou trois trames. Une valeur minimale peut rduire les collisions car ces dernires se produisent plus frquemment lors de la transmission de longues trames, lesquelles occupent le canal plus longtemps. Utilisez un paramtre bas dans les zones o la communication est mdiocre ou dans les zones o il existe de nombreuses interfrences radio. Dfinissez le seuil en saisissant la longueur de trame en octets. La valeur par dfaut est 2346, ce qui dsactive la fragmentation de manire efficace.
105
Preamble mode : 802.11b ncessite qu'un prambule soit annex chaque trame avant sa transmission radio. Le prambule peut tre le prambule long traditionnel, qui requiert 192 s pour la transmission, ou un prambule court facultatif qui ncessite 96 s seulement. Le prambule long est ncessaire pour la compatibilit avec les anciens systmes 802.11 fonctionnant 1 et 2 Mbits/s. La valeur par dfaut est Long. Protection Mode : slectionnez RTS/CTS protection si vous voulez que l'appliance de scurit tablisse une liaison RTS ou CTS avant d'mettre un paquet. Ce mode peut rduire les collisions entre les stations masques. U-APSD : cochez cette case pour conomiser la consommation lectrique en activant la fonctionnalit Unscheduled Automatic Power Save Delivery (galement appele WMM Power Save). Short Retry Limit , Long Retry Limit : saisissez le nombre de fois qu'une appliance de scurit doit retenter la transmission d'une trame qui choue. Les nouvelles tentatives sont utilises pour les trames longues et courtes, de taille infrieure ou gale au seuil RTS.
106
4
Configuration du pare-feu
Ce chapitre dcrit comment configurer les rgles de pare-feu qui contrlent le trafic entrant et sortant, et comment dfinir d'autres paramtres pour protger votre rseau. Il comprend les sections suivantes : Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant Attribution de priorit aux rgles de pare-feu Exemples de configuration de rgles de pare-feu Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant SIP
Pour accder aux pages relatives aux pare-feux, cliquez sur Firewall dans la barre de menu de l'utilitaire de configuration.
107
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
Tches prliminaires pour les rgles de pare-feu Configuration de la stratgie sortante par dfaut Configuration d'une rgle de pare-feu pour le trafic sortant Configuration d'une rgle de pare-feu pour le trafic entrant
Pour des exemples dtaills, reportez-vous la Exemples de configuration de rgles de pare-feu, page 119.
108
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
TAPE 1 Cliquez sur Firewall > Firewall > Services ou sur la page Getting Started
(Advanced), sous Firewall and NAT Rules, cliquez sur Configure Custom Services. La fentre Custom Services s'ouvre. Tous les services personnaliss existants apparaissent dans le tableau List of Available Custom Services.
TAPE 2 Pour ajouter un service personnalis, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Une fois que vous avez cliqu sur Add ou Edit, la fentre Custom Services s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Name : saisissez un nom pour ce service. Type : spcifiez le protocole. Si vous choisissez ICMP ou ICMPv6, entrez galement le type ICMP. Si vous choisissez TCP ou UDP, indiquez galement la plage de ports en entrant les ports de dpart et de fin.
Si vous utilisez la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour afficher la liste des tches de configuration sous Firewall and NAT Rules.
109
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
TAPE 1 Cliquez sur Firewall > Firewall > Schedules, ou sur la page Getting Started
(Advanced), sous Firewall and NAT Rules, cliquez sur Configure Schedules (Optional). La fentre Firewall Schedules s'ouvre. Tous les plannings existants apparaissent dans le tableau List of Available Schedules.
TAPE 2 Pour crer un planning, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Lorsque vous cliquez sur Add ou Edit, la fentre Schedules s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Schedule Name : saisissez un nom pour le planning. Ce nom apparat dans la liste droulante Select Schedule de la page Firewall Rule Configuration. Scheduled Days : dans la liste droulante, slectionnez All Days ou Specific Days. Si vous slectionnez Specific Days, indiquez galement les jours pour ce planning. Schedule Time of Day : dans la liste droulante, slectionnez All Day ou Specific Times. Si vous choisissez Specific Times, indiquez galement les valeurs Start Time et End Time en entrant les heures et les minutes.
Si vous utilisez la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour afficher la liste des tches de configuration sous Firewall and NAT Rules.
110
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
TAPE 3 Dans le menu droulant Interface, choisissez l'interface WAN. Il s'agit de l'interface
le bloquer.
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
REMARQUE
tapes suivantes : Pour configurer une rgle de pare-feu pour le trafic sortant, voir Configuration d'une rgle de pare-feu pour le trafic sortant, page 111. Pour configurer une rgle de pare-feu pour le trafic sortant, voir Configuration d'une rgle de pare-feu pour le trafic entrant, page 114.
Pour des exemples, reportez-vous la Exemples de configuration de rgles de pare-feu, page 119.
111
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
REMARQUE
Outre les rgles de pare-feu, il existe deux autres mthodes pour contrler l'accs Internet : Vous pouvez autoriser l'accs aux sites Web approuvs. Pour obtenir plus d'informations, reportez-vous la section Configuration des URL approuves pour autoriser l'accs aux sites Web, page 132. Vous pouvez bloquer les URL qui contiennent des mots-cls spcifis. Pour obtenir plus d'informations, reportez-vous la section Configuration des URL bloques pour empcher l'accs aux sites Web, page 133.
TAPE 1 Cliquez sur Firewall > Firewall > IPv4 Rules ou IPv6 Rules ; pour les rgles IPv4,
vous pouvez utiliser la page Getting Started (Advanced). Dans la section Firewall and NAT Rules, cliquez sur Configure Firewall and NAT Rules.
TAPE 2 La fentre Firewall Rules s'ouvre. Toutes les rgles existantes apparaissent dans le
tableau List of Available Firewall Rules. Pour les rgles IPv4, vous pouvez afficher la liste des rgles disponibles par zone. Choisissez la source et la destination dans les menus droulants From Zone et To Zone, puis cliquez sur Display Rules.
TAPE 3 Pour ajouter une rgle, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour modifier l'tat d'une rgle, slectionnez la case correspondante, puis cliquez sur Enable ou Disable. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. La page IPv4 Firewall Rules fournit une option permettant de dplacer une rgle vers le haut ou vers le bas, ou de la dplacer vers un emplacement spcifi dans la liste des rgles de pare-feu. Pour obtenir plus d'informations, reportez-vous la section Attribution de priorit aux rgles de pare-feu, page 118. Si vous cliquez sur Add ou Edit , la fentre Firewall Rules Configuration s'ouvre.
TAPE 4 Dans la zone Firewall Rule Configuration, saisissez les informations suivantes :
From Zone : choisissez la source du trafic concerne par cette rgle. Pour une rgle sortante, choisissez SECURE (LAN) si le trafic vient de vos utilisateurs LAN ou DMZ s'il vient d'un serveur du rseau DMZ. To Zone : pour une rgle sortante, choisissez INSECURE (WAN) si le trafic est destination d'Internet ou DMZ s'il est destination d'un serveur du rseau DMZ.
112
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
Si la zone source est le rseau WAN, la zone de destination peut tre le rseau DMZ public ou le rseau LAN scuris. Si la zone source est le rseau LAN, la zone de destination peut tre le rseau DMZ public ou le rseau WAN scuris.
Service : choisissez un service dans la liste des services communs ou un service personnalis dfini. Pour obtenir plus d'informations, reportez-vous la section Appendix B, Services standard et la section Cration de services personnaliss, page 108. Action : choisissez comment et quand appliquer la rgle. Select Schedule : si vous choisissez l'une des actions par planning , slectionnez un planning dans la liste. Pour plus d'informations sur les plannings, reportez-vous la Cration des plannings pour les rgles d'un pare-feu, page 109.
Source Hosts : vous pouvez appliquer la rgle tous les utilisateurs ou spcifier des utilisateurs en saisissant une adresse IP ou une plage d'adresses. Si vous choisissez Single Address, entrez une adresse IP dans le champ From. Si vous choisissez Address Range, saisissez la premire adresse dans le champ From et la dernire adresse dans le champ To.
Destination Hosts : vous pouvez appliquer la rgle tous les utilisateurs ou spcifier des utilisateurs en saisissant une adresse IP ou une plage d'adresses. Si vous choisissez Single Address, entrez une adresse IP dans le champ From. Si vous choisissez Address Range, saisissez la premire adresse dans le champ From et la dernire adresse dans le champ To.
Log: vous pouvez choisir de consigner ou non les paquets pour cette rgle. Cliquez sur Never si vous ne souhaitez pas consigner les paquets ou sur Always dans le cas contraire. QoS Priority : vous pouvez utiliser cette rgle pour hirarchiser le trafic. Chaque niveau de priorit correspond une valeur ToS (Term of Service). Normal-Service: ToS=0 (QoS la plus basse) Minimize-Cost : ToS=1
113
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
TAPE 5 Pour une rgle LAN to WAN uniquement, saisissez les informations suivantes dans
la zone Source NAT Settings : SNAT IP Type : la traduction d'adresses rseau source (SNAT) ncessite la rcriture de l'adresse IP source ou de destination des paquets IP entrants lorsqu'ils transitent par le pare-feu. Slectionnez lune des options suivantes : WAN Interface Address : slectionnez cette option pour utiliser l'adresse IP de l'interface WAN. Single Address : slectionnez cette option pour associer le trafic sortant une adresse IP externe (gnralement fournie par votre FAI), puis slectionnez l'alias IP configur pour l'interface WAN. Si aucun alias IP n'est configur, la liste est vide.
Si vous souhaitez autoriser le trafic entrant, vous devez rendre publique l'adresse IP du port WAN de l'appliance de scurit. Il s'agit de l' exposition de votre hte . Toutefois, cette adresse IP publique ne doit pas ncessairement tre votre adresse WAN. L'appliance de scurit prend en charge plusieurs adresses IP publiques sur une mme interface WAN. Lorsque vous crez la rgle de pare-feu, vous pouvez choisir d'associer le service public l'adresse WAN ddie, l'adresse WAN facultative ou une autre adresse IP fournie par votre FAI. Pour des exemples, reportez-vous la Exemples de configuration de rgles de pare-feu, page 119.
114
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
REMARQUE
Outre la configuration des rgles de pare-feu, vous pouvez utiliser les mthodes suivantes pour contrler le trafic entrant : Vous pouvez empcher les types d'attaques communs. Pour obtenir plus d'informations, reportez-vous la section Configuration des contrles d'attaque, page 123. Vous pouvez autoriser ou bloquer le trafic provenant des adresses MAC spcifies. Pour obtenir plus d'informations, reportez-vous au Configuration du filtrage MAC pour autoriser ou bloquer le trafic, page 124 Vous pouvez associer les adresses IP aux adresses MAC pour viter l'usurpation d'adresse. Pour obtenir plus d'informations, reportez-vous au Configuration de l'association IP/MAC pour viter l'usurpation d'adresse, page 134
TAPE 1 Cliquez sur Firewall > Firewall > IPv4 Rules ou IPv6 Rules ; pour les rgles IPv4,
vous pouvez utiliser la page Getting Started (Advanced). Dans la section Firewall and NAT Rules, cliquez sur Configure Firewall and NAT Rules. La fentre Firewall Rules s'ouvre. Toutes les rgles existantes apparaissent dans le tableau List of Available Firewall Rules. Pour les rgles IPv4, vous pouvez afficher la liste des rgles disponibles par zone. Choisissez la source et la destination dans les menus droulants From Zone et To Zone, puis cliquez sur Display Rules.
TAPE 2 Pour ajouter une rgle, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour modifier l'tat d'une rgle, slectionnez la case correspondante, puis cliquez sur Enable ou Disable. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. La page IPv4 Firewall Rules fournit une option permettant de dplacer une rgle vers le haut ou vers le bas, ou de la dplacer vers un emplacement spcifi dans la liste des rgles de pare-feu. Pour obtenir plus d'informations, reportez-vous la section Attribution de priorit aux rgles de pare-feu, page 118. Si vous cliquez sur Add ou Edit , la fentre Firewall Rules Configuration s'ouvre.
115
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
TAPE 3 Dans la zone Firewall Rule Configuration, saisissez les informations suivantes :
From Zone : choisissez la source du trafic concerne par cette rgle. Pour une rgle entrante, slectionnez INSECURE (WAN) si le trafic provient d'Internet ou DMZ s'il provient d'un serveur sur le rseau DMZ. To Zone : pour une rgle entrante, slectionnez SECURE (LAN) si le trafic est destination du LAN ou DMZ s'il est destination d'un serveur sur le rseau DMZ. Si la zone source est le rseau WAN, la zone de destination peut tre le rseau DMZ public ou le rseau LAN scuris. Si la zone source est le rseau LAN, la zone de destination peut tre le rseau DMZ public ou le rseau WAN scuris.
Service : choisissez un service dans la liste des services communs ou un service personnalis dfini. Pour obtenir plus d'informations, reportez-vous la section Appendix B, Services standard et la section Cration de services personnaliss, page 108. Action : vous pouvez choisir de bloquer ou d'autoriser et d'appliquer la rgle toujours ou selon un planning spcifi. Slectionnez BLOCK always, ALLOW always, BLOCK by schedule ou ALLOW by schedule. Select Schedule : si vous choisissez l'une des actions par planning , slectionnez un planning dans la liste. Pour plus d'informations sur les plannings, reportez-vous la Cration des plannings pour les rgles d'un pare-feu, page 109.
Source Hosts : vous pouvez appliquer la rgle tous les utilisateurs ou spcifier des utilisateurs en saisissant une adresse IP ou une plage d'adresses. Si vous choisissez Single Address, entrez une adresse IP dans le champ From. Si vous choisissez Address Range, saisissez la premire adresse dans le champ From et la dernire adresse dans le champ To.
Destination Hosts (disponible uniquement si le flux de trafic va du DMZ au LAN) : vous pouvez appliquer la rgle tous les utilisateurs ou spcifier des utilisateurs en saisissant une adresse IP ou une plage d'adresses. Si vous choisissez Single Address, entrez une adresse IP dans le champ From.
116
Configuration du pare-feu
Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant
Si vous choisissez Address Range, saisissez la premire adresse dans le champ From et la dernire adresse dans le champ To.
Local Server : vous pouvez afficher l'adresse IP du serveur local (s'applique uniquement aux rgles IPv4 Firewall). Log : vous pouvez choisir de consigner ou non les paquets pour cette rgle. Cliquez sur Never si vous ne souhaitez pas consigner les paquets ou sur Always dans le cas contraire.
TAPE 4 Pour une rgle WAN-to-LAN ou WAN-to-DMZ, saisissez les informations suivantes
dans la zone Destination NAT Settings : Internal IP Address : saisissez l'adresse IP du serveur qui hberge le service. Enable Port Forwarding : slectionnez cette case pour diriger le trafic jusqu' un port spcifique. Translate Port Number : si vous avez activ le transfert de port, entrez le numro de port qui correspondra la destination du trafic transfr. External IP Address : slectionnez l'une des options suivantes pour indiquer l'adresse IP rendue publique : Dedicated WAN : les utilisateurs publics se connectent ce service l'aide de l'adresse IP associe l'interface WAN. Optional WAN : les utilisateurs publics se connectent ce service l'aide de l'adresse IP associe l'interface WAN sur le port facultatif. Other : les utilisateurs publics se connectent ce service l'aide d'une autre adresse IP fournie par votre FAI. Si vous choisissez cette option, saisissez l'adresse dans le champ Other IP Address.
117
Configuration du pare-feu
Attribution de priorit aux rgles de pare-feu
TAPE 1 Cliquez sur Firewall > Firewall > IPv4 Rules ou utilisez la page Getting Started
(Advanced). Dans la section Firewall and NAT Rules, cliquez sur Configure Firewall and NAT Rules. La fentre IPv4 Firewall Rules s'ouvre. Les rgles de pare-feu apparaissent dans le tableau List of Available Firewall Rules. Cette liste contient toutes les rgles de pare-feu pour le contrle du trafic provenant d'une zone particulire ou vers une destination spcifique.
TAPE 2 Pour afficher la liste des rgles appartenant au mme groupe, choisissez la source
et la destination dans les menus droulants From Zone et To Zone, puis cliquez sur Display Rules. Seules les rgles pour les zones de scurit indiques s'affichent. Par exemple : si vous choisissez WAN et LAN dans les menus droulants de zone, seules les rgles pour les zones de scurit WAN LAN s'affichent.
TAPE 3 Pour rorganiser les rgles, cliquez sur Move.
la rgle rorganiser et choisissez l'une des options suivantes : MoveUp : dplace la rgle d'une place vers le haut. MoveDown : dplace la rgle d'une place vers le bas. Move To : dplace la rgle vers un emplacement spcifi. Entrez le numro d'index cible vers lequel dplacer la rgle slectionne. Par exemple : l'index cible 2 dplace la rgle en position 2 et dplace les autres rgles en position 3 dans la liste.
TAPE 5 Ensuite, vous revenez la page IPv4 Firewall Rules.
118
Configuration du pare-feu
Exemples de configuration de rgles de pare-feu
destination appropries dans les menus droulants Zone, puis cliquez sur Display Rules.
Paramtre From Zone To Zone Service Action Source Hosts Internal IP Address External IP Address
Valeur Insecure (WAN1) DMZ HTTP ALLOW always Toute 192.168.5.2 Dedicated WAN
119
Configuration du pare-feu
Exemples de configuration de rgles de pare-feu
Autorisation du trafic entrant vers un serveur Web l'aide d'une adresse IP publique spcifie
Situation : vous hbergez un serveur Web public sur votre rseau DMZ local. Vous souhaitez autoriser les requtes HTTP entrantes depuis n'importe quelle adresse IP externe. Votre FAI vous a fourni une adresse IP statique que vous souhaitez exposer au public comme votre adresse de serveur Web. Solution : ajoutez l'adresse IP statique (fournie par le FAI) l'interface WAN comme un alias et crez une rgle entrante. Pour plus d'informations sur la configuration des alias, voir Configuration des alias IP pour les interfaces WAN, page 110.
Paramtre From Zone To Zone Service Action Source Hosts Internal IP Address External IP Address
Valeur Insecure (WAN1) DMZ HTTP ALLOW always Any 192.168.5.2 Dedicated WAN-209.165.201.225
120
Configuration du pare-feu
Exemples de configuration de rgles de pare-feu
4
Valeur CU-SEEME:UDP ALLOW always Address Range 132.177.88.2 134.177.88.254 192.168.75.11 (internal IP address)
Paramtre Service Action Source Hosts From To Send to Local Server (DNAT IP)
Paramtre From Zone To Zone Service Action Programmation Source Hosts From To Destination Hosts
Valeur Secure (LAN) INSECURE (Dedicated WAN/Optional WAN) HTTP BLOCK by schedule Weekend Address Range 10.1.1.1 10.1.1.100 Any
121
Configuration du pare-feu
Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant
Valeur Secure (LAN) INSECURE (Dedicated WAN/Optional WAN) SMTP BLOCK Always Any
Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant
Outre les rgles de pare-feu, l'appliance de scurit fournit un certain nombre d'autres outils pour vous aider protger votre rseau du trafic entrant indsirable. Configuration des contrles d'attaque Configuration du filtrage MAC pour autoriser ou bloquer le trafic Configuration de l'association IP/MAC pour viter l'usurpation d'adresse Configuration d'une rgle de dclenchement de port pour diriger le trafic vers les ports spcifis
122
Configuration du pare-feu
Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant
activer : Block Ping to WAN interface : slectionnez cette case pour empcher les agresseurs d'utiliser les demandes d'cho (ping) ICMP pour accder votre rseau. Cisco vous recommande de dslectionner cette case uniquement si vous devez autoriser l'appliance de scurit rpondre aux demandes ping des fins de diagnostic. Ce paramtre est remplac dans les cas suivants : Une rgle de pare-feu qui dirige les demandes ping vers un ordinateur spcifique sur le LAN. Voir aussi Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant, page 107. Des paramtres du mode WAN qui excutent une commande ping sur des adresses IP spcifies des fins de dtection des dfaillances. Voir aussi Configuration du renvoi automatique, de l'quilibrage de charge et de la dtection des dfaillances, page 59.
Enable Stealth Mode : slectionnez cette case pour empcher l'appliance de scurit de rpondre aux analyses de ports du WAN. En mode furtif, votre rseau est moins expos la dtection et aux attaques. Block TCP Flood : slectionnez cette case pour abandonner tous les paquets TCP non valides. Cette fonction protge votre rseau contre une attaque de type inondation SYN, dans laquelle un pirate envoie une succession de requtes SYN (synchronize) un systme cible.
TAPE 3 Dans la section LAN Security Checks, slectionnez la case Block UDP Flood
pour empcher l'appliance de scurit d'accepter plus de 25 connexions UDP actives simultanes d'un mme ordinateur sur le LAN.
TAPE 4 Dans la zone ICSA Settings, saisissez les informations suivantes :
Block ICMP Notification : slectionnez cette case pour activer le blocage automatique sans envoyer de notification ICMP l'expditeur. Certains protocoles, tels que la dcouverte du MTU de chemin, ncessitent des notifications ICMP.
123
Configuration du pare-feu
Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant
Block Fragmented Packets : slectionnez cette case pour bloquer les paquets fragments de ANY ANY. Block Multicast Packets : slectionnez cette case pour bloquer les paquets de multidiffusion.
SYN Flood Detect Rate (max/sec) : saisissez le nombre maximum de paquets SYN par seconde qui permettra l'appliance de scurit de dterminer qu'une intrusion de type inondation SYN est en train de se produire. Cette valeur est comprise entre 1 et 10 000 paquets par seconde. La valeur par dfaut est 128 paquets SYN par seconde. Echo Storm (ping pkts/sec) : entrez le nombre de commandes Ping par seconde qui permettra l'appliance de scurit de dterminer qu'un vnement d'intrusion de type orage d'cho est en train de se produire. Les vnements d'intrusion de type orage d'cho ne sont pas mis sur la liste noire. Cette valeur est comprise entre 1 et 10 000 paquets Ping par seconde. La valeur par dfaut est 15 paquets ping par seconde. ICMP Flood [ICMP pkts./sec] : saisissez le nombre de paquets ICMP par seconde, sans compter les paquets PING, qui permettra l'appliance de scurit de dterminer qu'un vnement d'intrusion de type inondation ICMP est en train de se produire. Les vnements d'inondation ICMP ne sont pas mis sur la liste noire. Cette valeur est comprise entre 1 et 10 000 paquets ICMP par seconde. La valeur par dfaut est 100 paquets ICMP par seconde.
124
Configuration du pare-feu
Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant
TAPE 1 Cliquez sur Firewall > MAC Filtering > MAC Filtering. La fentre Source MAC
Filter s'ouvre. Avant de pouvoir ajouter des adresses au tableau, vous devez slectionner la case afin d'activer le filtrage MAC, puis cliquer sur Apply.
TAPE 2 Dans la zone MAC Filtering Enable, saisissez les informations suivantes :
Enable MAC Address Filtering? : slectionnez cette case pour activer le filtrage des adresses MAC source. Policy for MAC Addresses listed below : slectionnez lune des options suivantes : Block and permit the rest : toutes les adresses contenues dans le tableau MAC Addresses sont bloques. Toutes les autres adresses sont autorises. Permit and block the rest : toutes les adresses contenues dans le tableau MAC Addresses sont autorises. Toutes les autres adresses sont bloques. Cliquez sur Apply pour enregistrer les paramtres.
TAPE 3 Pour ajouter une adresse MAC au tableau, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Une fois que vous avez cliqu sur Add ou Edit, la fentre MAC Filtering Configuration s'ouvre.
TAPE 4 Saisissez l'adresse MAC. TAPE 5 Cliquez sur Apply pour enregistrer les paramtres.
125
Configuration du pare-feu
Utilisation d'autres outils pour viter les attaques, limiter les accs et contrler le trafic entrant
Binding s'ouvre. Toutes les rgles actuellement dfinies apparaissent dans le tableau IP/MAC Binding.
TAPE 2 Pour ajouter une rgle IP/MAC, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour modifier l'tat d'une rgle, slectionnez la case correspondante, puis cliquez sur Enable ou Disable. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau.
TAPE 3 Si vous cliquez sur Add ou Edit , la fentre IP MAC Binding Configuration s'ouvre. TAPE 4 Saisissez les informations suivantes :
Name : saisissez un nom unique pour cette rgle. MAC Address : spcifiez l'adresse MAC pour cette rgle. IP Address : spcifiez l'adresse IP pour cette rgle. Log Dropped Packets : choisissez d'activer ou de dsactiver les paquets abandonns.
126
Configuration du pare-feu
Dclenchement de port
Dclenchement de port
Le dclenchement de port ouvre un port entrant pour un type de trafic spcifi sur un port sortant dfini. Lorsqu'un priphrique LAN tablit une connexion sur l'un des ports sortants dfinis, l'appliance de scurit ouvre le port entrant spcifi pour prendre en charge l'change de donnes. Lorsque l'change est termin, les ports sont ferms. Le dclenchement de port est plus flexible que le transfert de port statique, configurable dans une rgle de pare-feu. Il n'est pas ncessaire que les rgles du dclenchement de port rfrencent des plages d'adresse IP LAN ou d'adresses IP spcifiques. En outre, les ports ne restent pas ouverts lorsqu'ils ne sont pas utiliss, ce qui garantit un niveau de scurit que le transfert de port statique ne fournit pas. Le dclenchement de port est obligatoire pour certaines applications. Pour fonctionner correctement, ces applications ncessitent de recevoir, lorsque des priphriques externes se connectent elles, des donnes sur un port ou une plage de ports spcifique. L'appliance de scurit doit envoyer toutes les donnes entrantes pour cette application uniquement sur le port ou la plage de ports spcifi. La passerelle dispose d'une liste d'applications et de jeux courants avec les ports sortants et entrants associs ouvrir. Vous pouvez galement spcifier une rgle de dclenchement de port en dfinissant le type de trafic (TCP ou UDP) et la plage des ports entrants et sortants ouvrir en cas d'activation. Reportez-vous au Annexe B, Services standard .
REMARQUE
Le dclenchement de port n'est pas adapt aux serveurs sur le LAN, puisque le priphrique LAN doit tablir une connexion sortante avant qu'un port entrant soit ouvert.
Configuration d'une rgle de dclenchement de port pour diriger le trafic vers les ports spcifis
TAPE 1 Cliquez sur Firewall > Port Triggering > Port Triggering. La fentre Port
Triggering s'ouvre. La fentre Port Triggering s'ouvre. Toutes les rgles existantes sont rpertories dans le tableau List of Available Port Triggering Rules.
TAPE 2 Pour ajouter une nouvelle rgle de dclenchement, cliquez sur Add.
127
Configuration du pare-feu
Dclenchement de port
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Une fois que vous avez cliqu sur Add ou Edit, la fentre Port Triggering Configuration s'ouvre.
TAPE 3 Dans la zone Port Triggering Rule, saisissez les informations suivantes :
Name : saisissez un nom pour cette rgle. Enable : slectionnez cette case pour activer la rgle. Protocol : choisissez le protocole (TCP ou UDP). Interface : choisissez l'interface (LAN ou DMZ).
TAPE 4 Dans la zone Outgoing (Trigger) Port Range, saisissez le port de dbut et le port
128
Configuration du pare-feu
Dclenchement de port
Maximum Unidentified Sessions : cette valeur dfinit le nombre maximum de sessions non identifies pour le processus d'identification ALG (Application Layer Gateway, passerelle de couche d'applications). Elle est comprise entre 2 et 128. La valeur par dfaut est 32 sessions. Maximum Half Open Sessions : la passerelle prserve les ressources en limitant le nombre de sessions semi-ouvertes tout moment. Une session semi-ouverte correspond l'tat de session entre la rception d'un paquet SYN et du paquet SYN/ACK. Normalement, une session peut rester semiouverte pendant 10 secondes. La valeur maximale est comprise entre 0 et 3 000. La valeur par dfaut est 1 024 sessions. TCP Session Timeout Duration (seconds) : les sessions TCP inactives sont supprimes de la table de session aprs cette priode. La plupart des sessions TCP se terminent normalement lorsque les indicateurs RST ou FIN sont dtects. Cette valeur est comprise entre 0 et 4 294 967 secondes. La valeur par dfaut est 1,800 secondes (30 minutes). UDP Session Timeout Duration (seconds) : les sessions UDP inactives sont supprimes de la table de session aprs cette priode. Cette valeur est comprise entre 0 et 4 294 967 secondes. La valeur par dfaut est 120 secondes (2 minutes). Other Session Timeout Duration (seconds) : les sessions non TCP/UDP inactives sont supprimes de la table de session aprs cette priode. Cette valeur est comprise entre 0 et 4 294 967 secondes. La valeur par dfaut est 60 secondes. TCP Session Cleanup Latency (seconds) : dure maximum pendant laquelle une session peut rester dans la table de session aprs la dtection des indicateurs FIN. Cette valeur est comprise entre 0 et 4 294 967 secondes. La valeur par dfaut est 10 secondes.
129
Configuration du pare-feu
Utilisation d'autres outils pour contrler l'accs Internet
suivantes : Enable Content Filtering : slectionnez cette case pour activer le filtrage du contenu. Activez cette fonction si vous souhaitez configurer et utiliser des fonctionnalits telles qu'une liste de domaines approuvs, le filtrage par motcl, etc.
130
Configuration du pare-feu
Utilisation d'autres outils pour contrler l'accs Internet
Enable Check Referrer : slectionnez cette case pour contrler l'en-tte de rfrent HTTP lorsque vous autorisez l'accs aux URL qui correspondent des mots-cls. Lorsqu'elle est active, cette fonction permet d'accder aux liens mentionns sur un site Web, mais qui ne correspondent pas au nom du domaine de la page principale. HTTP Ports : saisissez les ports HTTP sur lesquels un filtrage du contenu aura lieu. Le port par dfaut est 80. Si votre rseau utilise un serveur proxy HTTP externe qui coute sur d'autres ports, vous pouvez les ajouter ici. Plusieurs ports peuvent tre spcifis dans une liste spare par des virgules.
TAPE 3 Dans la zone Web Components, cochez la case de tout composant bloquer. Pour
une scurit accrue, vous pouvez bloquer certains composants Web couramment utiliss. Certains de ces composants peuvent tre utiliss par des sites Web malveillants pour contaminer les ordinateurs qui les consultent. Proxy : slectionnez cette case pour les serveurs proxy, qui peuvent tre utiliss pour contourner certaines rgles de pare-feu, et donc constituer une faille de scurit potentielle. Par exemple, si les connexions une adresse IP spcifique sont bloques par une rgle de pare-feu, les demandes peuvent tre achemines via un proxy qui n'est pas bloqu par la rgle, ce qui rend la restriction inefficace. Java : slectionnez cette case pour bloquer les applets Java pouvant tre tlcharges partir de pages qui les contiennent. Les applets Java sont de petits programmes inclus dans les pages Web, qui permettent la fonctionnalit dynamique de la page. Un applet malveillant peut tre utilis pour compromettre ou infecter l'ordinateur ActiveX : slectionnez cette case pour empcher le tlchargement d'applets ActiveX via Internet Explorer. l'instar des applets Java, les contrles ActiveX sont installs sur un ordinateur Windows lors de l'excution d'Internet Explorer. Un contrle ActiveX malveillant peut tre utilis pour compromettre ou infecter les ordinateurs. Cookies : pour une scurit accrue, slectionnez cette case afin de bloquer les cookies.
131
Configuration du pare-feu
Utilisation d'autres outils pour contrler l'accs Internet
Les cookies permettent de stocker les informations de session des sites Web qui ncessitent gnralement une connexion. Cependant, de nombreux sites Web utilisent les cookies pour stocker des informations de suivi et des habitudes de navigation. Si vous activez cette option, elle filtre les cookies crs par un site Web.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
Configuration des URL approuves pour autoriser l'accs aux sites Web
Cette page permet de crer une liste de sites Web auxquels les utilisateurs sont autoriss accder. Vous pouvez spcifier les noms de domaine exacts ou des mots-cls.
REMARQUE
Cette page est disponible uniquement si vous avez activ le filtrage du contenu. Voir aussi Configuration du filtrage du contenu pour autoriser ou bloquer les composants Web, page 130.
TAPE 1 Cliquez sur Firewall > Content Filtering > Approved URLs.
fonctionnalit : a. Do you want to Enable Approved URLs List? : slectionnez cette case pour activer la liste des URL approuves ou dslectionnez-la pour dsactiver cette fonction. b. Cliquez sur Apply pour enregistrer les paramtres.
TAPE 3 Pour ajouter un nom de domaine ou un mot cl la liste des URL approuves,
cliquez sur Add. Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau.
132
Configuration du pare-feu
Utilisation d'autres outils pour contrler l'accs Internet
Une fois que vous avez cliqu sur Add ou Edit, la fentre Approved URL Configuration s'ouvre.
TAPE 4 Saisissez les informations suivantes :
URL : entrez le nom de domaine ou les mots-cls d'un site Web approuver. Sparez les entres par des points-virgules (;). Match Type : spcifiez la mthode pour appliquer cette rgle : Website : slectionnez cette option si vous voulez autoriser l'accs uniquement l'URL exacte saisie dans le champ URL. Par exemple, si vous avez entr www.yahoo.com, les utilisateurs pourront accder www.yahoo.com, mais ils ne pourront pas aller sur www.yahoo.com.uk ou www.yahoo.co.jp. URL keyword : slectionnez cette option si vous voulez autoriser l'accs toute URL qui contient le mot-cl saisi dans le champ URL. Par exemple, si vous avez entr yahoo, les utilisateurs pourront accder www.yahoo.com, tw.yahoo.com, www.yahoo.com.uk et www.yahoo.co.jp.
Configuration des URL bloques pour empcher l'accs aux sites Web
Cette page permet de crer une liste de sites Web auxquels les utilisateurs n'ont pas accs. Vous pouvez spcifier les noms de domaine exacts ou des mots-cls.
REMARQUE
Cette page est disponible uniquement si vous avez activ le filtrage du contenu. Voir aussi Configuration du filtrage du contenu pour autoriser ou bloquer les composants Web, page 130.
TAPE 1 Cliquez sur Firewall > Content Filtering > Blocked URLs.
133
Configuration du pare-feu
Utilisation d'autres outils pour contrler l'accs Internet
TAPE 2 Pour ajouter un nom de domaine ou un mot-cl la liste des URL bloques, cliquez
sur Add. Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Une fois que vous avez cliqu sur Add ou Edit, la fentre Blocked URLs Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
URL : entrez le nom de domaine ou les mots-cls d'un site Web approuver. Sparez les entres par des points-virgules (;). Match Type : spcifiez la mthode pour appliquer cette rgle : Website : slectionnez cette option pour bloquer l'accs au nom de domaine exact. Par exemple, si vous entrez www.yahoo.com pour l'URL, les utilisateurs n'ont pas accs www.yahoo.com, mais ils peuvent accder www.yahoo.com.uk ou www.yahoo.co.jp. URL Keyword : slectionnez cette option pour bloquer l'accs n'importe quel site Web avec un nom de domaine contenant le mot-cl configur. Par exemple, si vous entrez yahoo pour l'URL, les utilisateurs n'ont pas accs aux sites Web tels que www.yahoo.com, tw.yahoo.com, www.yahoo.com.uk et www.yahoo.co.jp.
134
Configuration du pare-feu
SIP
TAPE 1 Cliquez sur Firewall > MAC Filtering > IP/MAC Binding.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Une fois que vous avez cliqu sur Add ou Edit, la fentre IP MAC Binding Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Name : saisissez un nom pour cette association IP/MAC. MAC Address : saisissez l'adresse MAC. IP Address : saisissez l'adresse IP. Log Dropped Packets : slectionnez Enable pour conserver un journal de tous les paquets qui sont abandonns en raison de cette fonctionnalit de scurit. Sinon, slectionnez Disable.
REMARQUE Une fois que vous avez activ la consignation, vous pouvez afficher les journaux en cliquant sur Status dans la barre de menu, puis sur View Log > View All Logs.
SIP
La passerelle de couche Application SIP (Session Initiation Protocol) peut rcrire les informations dans les messages SIP (en-ttes SIP et corps SDP) pour permettre le trafic audio et la signalisation entre le client situ derrire le priphrique NAT et le point d'extrmit SIP.
REMARQUE
La passerelle de couche Application SIP doit tre active lorsque des priphriques voix tels que les tlphones SIP ou UC500 sont connects au rseau derrire l'appliance de scurit.
135
Configuration du pare-feu
SIP
charge d'une passerelle de couche Application SIP (Session Initiation Protocol). Si cette fonctionnalit est dsactive, le routeur n'autorise pas les appels entrants vers l'UAC (User Agent Client) derrire le routeur.
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
136
5
Systme de prvention des intrusions
La gamme SA500 utilise un systme de prvention d'intrusion (IPS) pour protger les zones de scurit pour un ensemble dsign de catgories. L'IPS surveille le trafic rseau la recherche de comportement malveillant ou indsirable sur le priphrique et peut rpondre, en temps rel, pour bloquer ou empcher ces activits. Lorsqu'une attaque est dtecte, les paquets incrimins sont abandonns ou des alertes sont consignes selon les paramtres administratifs, mais le reste du trafic n'est pas affect. Contrairement aux pare-feu traditionnels, un IPS prend des dcisions de contrle d'accs bases sur le contenu de l'application, et non sur l'adresse IP ou les ports. Vous pouvez configurer l'IPS pour protger les services rseau tels que le Web, les applications de messagerie instantane, le courrier lectronique, le transfert de fichiers, les services Windows et les DNS. Il protge galement les applications contre les vulnrabilits telles que les virus et les vers, les applications homologue--homologue (P2P) et les oprations de dtournement. Ce chapitre dcrit la procdure de configuration des fonctions IPS. Il comprend les sections suivantes : Configuration de la traduction d'adresses rseau (IPS) Configuration de la politique IPS Configuration des paramtres d'inspection de protocole Configuration du blocage homologue--homologue et de la messagerie instantane
Pour accder aux pages IPS, cliquez sur IPS dans la barre de menus de Configuration Utility.
137
Intrusion Prevention System, cliquez sur Update Signatures. La fentre IPS Configuration s'ouvre. IPS Enable : par dfaut, l'IPS est dsactiv. Pour activer l'IPS pour une zone particulire, slectionnez LAN ou DMZ ou les deux pour la ou les zones que vous souhaitez protger. Par exemple : l'activation de la protection IPS sur la zone LAN applique l'IPS sur tout le trafic LAN entrant et sortant. Cliquez sur Apply pour enregistrer les paramtres. IPS Status : affiche l'tat des signatures IPS y compris la date d'expiration de la licence IPS, la version du fichier de signature et la dernire date laquelle le dispositif de scurit a recherch des mises jour de signature. Cliquez sur le lien View IPS Logs pour afficher les messages du journal IPS. Pour afficher les messages gnrs par l'IPS, vous devez choisir l'IPS en tant qu'installation. Pour obtenir plus d'informations, reportezvous Page Active Users, page 228.
Automatic Signature Updates : l'IPS utilise des fichiers de signature pour identifier une attaque en cours. Vous pouvez galement configurer l'appliance de scurit pour mettre jour automatiquement les signatures IPS lorsqu'elles sont disponibles. Pour activer l'option de mise jour automatique, slectionnez la case Automatically Update Signatures. Entrez votre nom d'utilisateur et votre mot de passe Cisco.com pour vous authentifier sur le serveur de mise jour de signature. Ces informations d'identification ne sont demandes qu'une fois. Cliquez sur Apply pour enregistrer les paramtres.
REMARQUE Une fois appliqus, les dtails du nom d'utilisateur et du mot de passe Cisco sont appliqus tous les autres services sur le routeur qui les utilisent. Par exemple, le nom d'utilisateur et la connexion Cisco utiliss pour l'administration sont automatiquement mis jour pour les tlchargements de signature IPS.
138
Cliquez sur Update Now pour mettre jour immdiatement les nouvelles signatures le cas chant. Cette option est active uniquement si la case Automatically Update Signature est slectionne. Cliquez sur Reset pour rtablir les paramtres prcdents.
Manual Signature Updates : pour mettre jour manuellement le dernier fichier de signature, cliquez sur le lien Cisco.com pour obtenir le fichier et le tlcharger sur votre ordinateur. Accdez l'emplacement du fichier de signature sur le PC local puis cliquez sur Upload.
Intrusion Prevention System, cliquez sur Configure and Enable IPS Policies.
TAPE 2 Choisissez la stratgie pour chaque catgorie ou pour chaque signature dans
chaque catgorie. Pour slectionner une stratgie pour une catgorie IPS, cliquez sur une option dans la ligne d'en-tte de la catgorie. Pour dvelopper les signatures sous une catgorie, cliquez sur le bouton + en regard de l'en-tte de la catgorie. Pour masquer les signatures, cliquez sur le bouton -. Pour slectionner une stratgie pour une signature individuelle, cliquez sur une option dans la ligne d'entre de cette signature.
Options : Disabled : slectionnez cette option pour dsactiver la recherche dans cette catgorie. Detect Only : slectionnez cette option pour rechercher des attaques sur cette catgorie et pour consigner un message aprs la dtection. Cette option est principalement utilise des fins de dpannage.
139
Detect and Prevent : slectionnez cette option pour rechercher et empcher des attaques sur cette catgorie. Aprs la dtection, un message est consign et une mesure prventive est prise. Pour que les messages IPS soient consigns, vous devez configurer l'IPS en tant qu'installation. Pour obtenir plus d'informations, reportez-vous la section Fentre Logs Facility and Severity, page 203.
signature dans chaque catgorie. Pour slectionner une paramtre d'inspection pour une catgorie IPS, cliquez sur une option dans la ligne d'en-tte de la catgorie. Pour dvelopper les signatures sous une catgorie, cliquez sur le bouton + en regard de l'en-tte de la catgorie. Pour masquer les signatures, cliquez sur le bouton -. Pour slectionner un paramtre d'inspection pour une signature individuelle, cliquez sur une option dans la ligne d'entre de cette signature.
Options : Disabled : slectionnez cette option pour dsactiver la vrification d'inspection pour ce protocole. Detect Only : slectionnez cette option pour rechercher des attaques sur ce protocole et pour consigner un message aprs la dtection. Cette option est principalement utilise des fins de dpannage. Detect and Prevent : slectionnez cette option pour rechercher et empcher des attaques sur ce protocole. Aprs la dtection, un message est consign et une mesure prventive est prise.
140
Pour que les messages IPS soient consigns, vous devez configurer l'IPS en tant qu'installation. Pour obtenir plus d'informations, reportez-vous au Fentre Logs Facility and Severity, page 203
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
signature dans chaque catgorie. Pour slectionner une paramtre d'inspection pour une catgorie IPS, cliquez sur une option dans la ligne d'en-tte de la catgorie. Pour dvelopper les signatures sous une catgorie, cliquez sur le bouton + en regard de l'en-tte de la catgorie. Pour masquer les signatures, cliquez sur le bouton -. Pour slectionner un paramtre d'inspection pour une signature individuelle, cliquez sur une option dans la ligne d'entre de cette signature.
Options : Disabled : slectionnez cette option pour dsactiver la recherche dans ce service. Detect Only : slectionnez cette option pour rechercher des attaques sur ce service et pour consigner un message aprs la dtection. Cette option est principalement utilise des fins de dpannage. Detect and Prevent : slectionnez cette option pour rechercher et empcher des attaques pour ce service. Aprs la dtection, un message est consign et une mesure prventive est prise.
141
Pour que les messages IPS soient consigns, vous devez configurer l'IPS en tant qu'installation. Pour obtenir plus d'informations, reportez-vous au Fentre Logs Facility and Severity, page 203
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
142
6
Utilisation des services Cisco ProtectLink Security
La gamme SA500 prend en charge les services Cisco ProtectLink security. Ces services assurent des couches de protection contre diffrentes menaces de scurit sur votre rseau. Cisco ProtectLink Web offre tous les utilisateurs une protection contre les menaces Web afin d'viter l'accs des sites Web dangereux, ainsi qu'un filtrage des adresses URL destin au contrle de l'accs des employs des sites Web considrs comme non lis des sujets professionnels. Cisco ProtectLink Gateway fournit les fonctionnalits de scurit Web de ProtectLink Web et les combine avec la scurit de la messagerie lectronique pour empcher tout courrier indsirable, virus et tentatives de phishing dans la messagerie lectronique. Cisco ProtectLink Endpoint protge les ordinateurs de bureau, les ordinateurs portables et les serveurs contre les virus, les logiciels espions et d'autres menaces Web sans excuter de logiciel sur un serveur.
Pour obtenir des informations sur ces services, cliquez sur ProtectLink dans la barre de menus. Pour acheter, s'enregistrer ou activer le service, cliquez sur Administration sur la barre de menus, puis cliquez sur License Management . Une fois votre service activ, utilisez les liens du volet de navigation pour configurer les services ProtectLink. Pour plus d'informations, reportez-vous la documentation de Cisco ProtectLink Security l'adresse : www.cisco.com/go/ protectlink.
143
7
La configuration VPN
Ce chapitre dcrit la procdure de configuration un rseau priv virtuel (VPN) pour permettre d'autres sites et travailleurs distants d'accder vos ressources rseau. Il comprend les sections suivantes : propos du VPN Configuration d'un tunnel VPN de site site Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN Configuration d'un VPN SSL pour un accs distance partir d'un navigateur Configuration de la protection d'identit VeriSign
Pour accder aux pages VPN, cliquez sur VPN dans la barre de menus de Configuration Utility.
propos du VPN
Un VPN fournit un canal de communication scuris ( tunnel ) entre deux routeurs de passerelle ou entre un PC distant et un routeur de passerelle, comme dans les scnarios suivants : VPN de site site : le tunnel VPN connecte deux routeurs pour scuriser le trafic entre deux sites physiquement spars. Voir aussi Configuration d'un tunnel VPN de site site, page 145. Accs distance avec un logiciel client VPN IPsec : un travailleur distant utilise un logiciel client VPN scuris pour accder au rseau d'entreprise. Voir aussi Configuration d'un tunnel VPN de site site, page 145. Accs distance avec un navigateur Web : un travailleur distant utilise un navigateur Web pour initier un tunnel VPN pour accder aux services
144
La configuration VPN
Configuration d'un tunnel VPN de site site
disponibles sur le rseau d'entreprise. Voir aussi Configuration d'un VPN SSL pour un accs distance partir d'un navigateur, page 164.
Internet Extrieur 209.165.200.226 Site A SA500 Intrieur 10.10.10.0 Extrieur 209.165.200.236 SA500 Intrieur 10.20.20.0 Site B
Imprimante PC PC
Imprimante
235142-fr
L'assistant VPN vous aide configurer un tunnel VPN IPsec. L'assistant dfinit la plupart des paramtres sur les valeurs par dfaut comme suggr par le consortium VPN (VPNC) et suppose une cl prpartage, qui simplifie considrablement la configuration. Aprs avoir cr les stratgies via l'assistant VPN, vous pouvez mettre jour tous les paramtres l'aide des autres options du volet de navigation.
REMARQUE
Pour obtenir des informations sur les recommandations du VPNC, rendez-vous sur le site Web suivant : www.vpnc.org/vpn-standards.html
145
La configuration VPN
Configuration d'un tunnel VPN de site site
TAPE 1 Cliquez sur VPN > IPsec > VPN Wizard ou sur la page Getting Started
(Advanced), sous Site-to-Site VPN, cliquez sur VPN Wizard. La fentre VPN Wizard s'ouvre.
TAPE 2 Dans la zone About VPN Wizard, choisissez Site-to-Site pour crer un tunnel
VPN de site site depuis l'appliance de scurit vers une autre passerelle VPN.
TAPE 3 Dans la zone Connection Name and Remote IP Type, saisissez les informations
suivantes : What is the new connection name? : saisissez un nom pour la connexion. Le nom est utilis des fins de gestion et d'identification. What is the pre-shared Key? : saisissez la valeur souhaite, que le priphrique homologue doit fournir pour tablir une connexion. La longueur de la cl prpartage est comprise entre 8 et 49 caractres et doit tre saisie exactement de la mme faon cet endroit et sur la passerelle ou le client VPN distant.
REMARQUE Si l'appliance de scurit de l'autre site est configure, la mme cl prpartage doit tre saisie sur ce priphrique. N'utilisez pas de guillemet double (") dans la cl prpartage.
Local WAN Interface : choisissez l'interface WAN que vous souhaitez utiliser pour ce tunnel VPN : Dedicated WAN ou Optional WAN.
TAPE 4 Dans la zone Remote & Local WAN Addresses, saisissez les informations
suivantes relatives au serveur distant et au serveur local : Remote Gateway Type : choisissez IP Address si vous souhaitez saisir l'adresse IP du priphrique distant ou choisissez Fully Qualified Domain Name (FQDN) si vous souhaitez saisir le nom de domaine du rseau distant, par exemple vpn.company.com. Saisissez ensuite cette adresse ou ce nom dans champ Remote WANs IP Address or Internet Name. Pour l'exemple illustr dans la Figure 5, le site distant, Site B, possde l'adresse IP publique 209.165.200.236. Vous choisissez le type IP Address et vous saisissez 209.165.200.236 dans le champ IP Address ou Internet Name. Local Gateway Type : ce champ peut rester vide si vous utilisez le mme FQDN ou adresse IP que celle spcifie dans la configuration du port WAN. Choisissez IP Address si vous souhaitez saisir une adresse IP ou choisissez Fully Qualified Domain Name (FQDN) si vous souhaitez saisir un nom de domaine, par exemple vpn.company.com. Saisissez ensuite cette adresse ou ce nom dans champ Local WANs IP Address or Internet Name.
146
La configuration VPN
Configuration d'un tunnel VPN de site site
Pour l'exemple illustr dans la Figure 5, le site local, Site A, possde l'adresse IP publique 209.165.200.226. Vous choisissez le type IP Address et vous saisissez 209.165.200.226 dans le champ IP Address ou Internet Name.
TAPE 5 Dans la zone Secure Connection Remote Accessibility, saisissez les informations
suivantes relatives au LAN et au site distant : Remote LAN IP Address : saisissez l'adresse IP du LAN distant. Pour l'exemple illustr dans la Figure 5, le site distant, Site B, possde l'adresse IP du LAN 10.20.20.0. Remote LAN Subnet Mask : saisissez le masque de sous-rseau associ l'adresse IP de sous-rseau entre ci-dessus. Pour l'exemple illustr dans la Figure 5, le site distant, Site B, possde le masque de sous-rseau 255.0.0.0.
REMARQUE La plage d'adresses IP utilise sur le LAN distant doit tre diffrente de la plage d'adresses IP utilise sur le rseau LAN. TAPE 6 Cliquez sur Apply pour enregistrer les paramtres.
Les paramtres ne sont pas enregistrs sur la page Wizard. L'assistant cre une stratgie VPN et une stratgie IKE en fonction de vos entres.
REMARQUE
tapes suivantes : Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour retourner la liste des tches de configuration pour Site-to-Site VPN. Pour vrifier ou mettre jour la stratgie VPN configure, cliquez sur IPsec > VPN Policies. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies VPN IPsec, page 157. Pour vrifier ou mettre jour la stratgie IKE configure, cliquez sur IPsec > IKE Policies. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies IKE pour VPN IPsec, page 153. Pour configurer le transfert IPsec, cliquez sur IPsec > Passthrough. Pour obtenir plus d'informations, reportez-vous la section Configuration du transfert IPsec, page 162.
147
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN
Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN
Cette section dcrit la procdure de configuration d'un tunnel IPsec VPN pour l'accs distance avec un client VPN ou l'aide de Standard IPsec (Xauth). L'assistant VPN vous aide configurer un tunnel pour permettre aux travailleurs de se connecter votre rseau partir d'emplacements distants l'aide d'un client VPN IPsec. Aprs avoir cr les stratgies via l'assistant, vous pouvez mettre jour tous les paramtres l'aide des autres options du volet de navigation. L'assistant dfinit la plupart des paramtres sur les valeurs par dfaut comme suggr par le consortium VPN (VPNC) et suppose une cl prpartage, qui simplifie considrablement la configuration. Pour obtenir des informations sur les recommandations du VPNC, consultez : www.vpnc.org/vpn-standards.html. Avec les paramtres par dfaut de l'assistant, vous devez ajouter des utilisateurs VPN via la page des utilisateurs VPN IPsec une fois l'assistant termin. Vous pouvez galement modifier la stratgie IKE pour permettre une authentification XAUTH (Extended Authentication) partir des enregistrements utilisateur stocks sur un serveur d'authentification externe comme un serveur RADIUS. Pour obtenir plus d'information sur la configuration d'un tunnel IPsec entre SA500 et un client VPN Cisco, reportez-vous la note d'application dans la documentation technique : www.cisco.com/go/sa500resources. Le logiciel client Cisco VPN est disponible au tlchargement l'adresse suivante : www.cisco.com/go/ciscovpnclient. Pour Windows slectionner Cisco VPN Client v5.x. Pour Mac OS slectionner Cisco VPN Client v4.x.
REMARQUE
Un contrat d'assistance de trois ans Cisco Small Business (CON-SBS-SVC2) est requis pour tlcharger le logiciel client. Si vous nen disposez pas, contactez votre partenaire ou revendeur, ou lassistance Cisco pour plus dinformations.
148
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN
Figure 6
TAPE 1 Cliquez sur VPN > IPsec > VPN Wizard ou, sur la page Getting Started
(Advanced), sous IPsec VPN Remote Access, cliquez sur VPN Wizard. La fentre VPN Wizard s'ouvre.
TAPE 2 Dans la zone About VPN Wizard, choisissez Remote Access pour permettre
l'appliance de scurit de donner accs aux PC distants qui excutent le logiciel client VPN.
TAPE 3 Dans la zone Connection Name and Remote IP Type, saisissez les informations
suivantes : What is the new connection name? : saisissez un nom pour la connexion. Le nom est utilis des fins de gestion et d'identification. What is the pre-shared Key? : saisissez la valeur souhaite, que le priphrique homologue doit fournir pour tablir une connexion. La longueur de la cl prpartage est comprise entre 8 et 49 caractres et doit tre saisie exactement de la mme faon cet endroit et sur le client distant.
REMARQUE N'utilisez pas de guillemet double (") dans la cl prpartage.
Local WAN Interface : si vous avez configur deux WAN, choisissez l'interface que vous souhaitez utiliser pour ce tunnel VPN. Si vous avez configur un seul WAN, choisissez Dedicated WAN.
235236-fr
149
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN
TAPE 4 Dans la zone Remote & Local WAN Addresses, saisissez les informations
suivantes relatives au serveur distant et au serveur local : Remote Gateway Type : choisissez Fully Qualified Domain Name (FQDN) puis saisissez un nom dans le champ Remote WANs IP Address or Internet Name pour identifier le client VPN sur la passerelle. Local Gateway Type : ce champ peut rester vide si vous utilisez le mme FQDN ou adresse IP que celle spcifie dans la configuration du port WAN. Choisissez IP Address si vous souhaitez saisir une adresse IP ou choisissez Fully Qualified Domain Name (FQDN) si vous souhaitez saisir un nom de domaine, par exemple vpn.company.com. Saisissez ensuite cette adresse ou ce nom dans champ Local WANs IP Address or Internet Name.
REMARQUE
tapes suivantes : Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour retourner la liste des tches de configuration pour IPsec Remote Access VPN. Obligatoire : configurez les utilisateurs du VPN. Pour ajouter des utilisateurs la base de donnes utilisateur, continuez avec la procdure Configuration de la base de donnes utilisateur pour l'accs distance VPN IPsec, page 151. Pour permettre l'authentification XAUTH partir des enregistrements utilisateur stocks sur un serveur d'authentification externe comme RADIUS, consultez Configuration des stratgies IKE pour VPN IPsec, page 153.
Pour vrifier ou mettre jour la stratgie VPN configure, cliquez sur IPsec > VPN Policies. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies VPN IPsec, page 157. Pour vrifier ou mettre jour la stratgie IKE configure, cliquez sur IPsec > IKE Policies. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies IKE pour VPN IPsec, page 153. Pour configurer le transfert IPsec, cliquez sur IPsec > Passthrough. Pour obtenir plus d'informations, reportez-vous la section Configuration du transfert IPsec, page 162.
150
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accs distance avec un client VPN
La fentre IPsec Users s'ouvre. Tous les utilisateurs existants sont rpertoris dans le tableau List of IPsec Users.
TAPE 2 Cliquez sur Add pour ajouter un utilisateur.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case dans la premire colonne de l'en-tte du tableau. Lorsque vous cliquez sur Add ou Edit, la fentre IPsec User Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
User Name : saisissez un identifiant unique pour l'utilisateur XAUTH. Remote Peer Type : slectionnez lune des options suivantes : Standard IPsec (XAuth) Cisco QuickVPN X-Auth est une norme IPsec qui tend l'authentification en IPsec natif pour fournir les informations d'identification des utilisateurs. XAUTH peut tre utilis si une scurit supplmentaire du client est ncessaire avec les clients IPsec tels que Greenbow. QuickVPN est un client Cisco propritaire/Linksys qui utilise l'authentification des utilisateurs mais la mise en uvre est spcifique au QuickVPN uniquement. Cette option doit tre slectionne lorsque les clients utilisent le client QuickVPN.
151
La configuration VPN
Configuration avance du VPN IPsec
Allow user to change password? : si vous choisissez Cisco QuickVPN en tant que type de l'homologue distant, vous pouvez cocher cette case pour autoriser l'utilisateur modifier le mot de passe. Password: saisissez un mot de passe alphanumrique pour cet utilisateur. Confirm Password : confirmez les caractres que vous avez saisis dans le champ Password. LAN IP address : saisissez le sous-rseau IP LAN vers lequel l'utilisateur aura accs distance. Le sous-rseau doit faire partie des adresses IP LAN ou VLAN. Subnet Mask : saisissez le masque de sous-rseau pour le sous-rseau local.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres. TAPE 5 Rptez autant que ncessaire pour chaque utilisateur que vous devez ajouter.
REMARQUE
tapes suivantes : Si vous tes sur la page Getting Started (Advanced), cliquez sur Getting Started > Advanced pour retourner la liste des tches de configuration pour IPsec VPN Remote Access. ventuellement, vrifiez et modifiez les paramtres et les stratgies par dfaut. Voir aussi Configuration avance du VPN IPsec, page 152. Pour Cisco QuickVPN, vous devez galement activer la gestion distance. Voir aussi RMON (Gestion distance), page 211.
152
La configuration VPN
Configuration avance du VPN IPsec
Affichage des valeurs par dfaut des paramtres de base pour VPN IPsec
Pour afficher les valeurs par dfaut des paramtres de base configurs par l'assistant, cliquez sur VPN dans la barre de menus, puis cliquez sur IPsec > Basic Setting Defaults.
L'assistant VPN est la mthode recommande pour crer les stratgies IKE et VPN correspondantes pour un tunnel VPN. Une fois que l'assistant a cr les stratgies IKE et VPN correspondantes, vous pouvez apporter des modifications selon vos besoins. Les utilisateurs avancs peuvent crer une stratgie IKE partir de l'option Add mais ils doivent tre certains d'utiliser les paramtres de cryptage, d'authentification et de groupes de cls compatibles avec la stratgie VPN.
TAPE 1 Cliquez sur VPN > IPsec > IKE Policies. Les entres existantes sont affiches
dans le tableau List of IKE Policies. La fentre IKE Policies s'ouvre. Toutes les politiques existantes sont rpertories dans le tableau List of IKE Policies.
TAPE 2 Cliquez sur Edit pour modifier une entre.
Autres options : cliquez sur Add pour ajouter une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau.
153
La configuration VPN
Configuration avance du VPN IPsec
Lorsque vous cliquez sur Add ou Edit, la fentre IKE Policy Configuration s'ouvre.
TAPE 3 Dans la zone General, saisissez les informations suivantes :
Policy Name : saisissez un nom unique des fins d'identification et de gestion. Direction/Type : slectionnez lune des options suivantes : Initiator : l'appliance de scurit initie la connexion la terminaison distante. Responder : l'appliance de scurit reste passive et rpond aux requtes IKE distance. Both : l'appliance de scurit fonctionne en mode initiateur ou rpondeur.
Exchange Mode : slectionnez lune des options suivantes : Main Mode : slectionnez cette option pour une scurit plus leve, mais avec une connexion plus lente. Le mode principal dpend des changes de cls bidirectionnels entre l'initiateur et le destinataire. Le processus d'change de cls ralentit la connexion, mais augmente la scurit. Aggressive Mode : choisissez cette option si vous souhaitez une connexion plus rapide, mais avec une scurit rduite. En mode agressif, les changes de cls entre l'initiateur et le destinataire sont moins nombreux. Les deux cts changent des informations, mme avant qu'un canal scuris n'existe. Cette fonctionnalit cre une connexion plus rapide mais avec moins de scurit que le mode principal.
REMARQUE Si vous slectionnez Main Mode, vous devez utiliser une adresse IP comme type d'identifiant pour le priphrique local et le priphrique distant, dessous. Si le type d'identifiant est FQDN, User FQDN ou DER ASN1 DN, le mode principal est dsactiv et le mode agressif est appliqu.
Identifier Type et Identifier : choisissez le type d'identifiant pour le priphrique local, puis saisissez l'ID dans la zone de texte. IP du WAN local Internet Address/FQDN User FQDN
154
La configuration VPN
Configuration avance du VPN IPsec
7
DER ASN1 DN.
de site site, l'adresse IP ou FQDN tant des informations connues. Une adresse IP est obligatoire si vous souhaitez utiliser le mode principal. Pour les connexions de client distant, l'identifiant User FQDN n'est jamais rsolu mais fournit un moyen d'identifier un client qui peut disposer de plusieurs adresses IP selon le rseau utilis pour tablir la connexion. Le DER ASN1 DN est utilis comme identifiant lorsque des certificats sont utiliss pour l'authentification.
TAPE 5 Dans la zone Remote, saisissez les informations suivantes :
Identifier Type et Identifier : choisissez le type d'identifiant pour le priphrique local, puis saisissez l'ID dans la zone de texte.
REMARQUE Une adresse IP est obligatoire si vous souhaitez utiliser le mode
principal.
TAPE 6 Dans la zone IKE SA Parameters, saisissez les informations relatives aux
paramtres SA (Security Association), qui dfinissent la puissance et le mode de ngociation du SA. Encryption Algorithm : algorithme utilis pour ngocier le SA. Il existe cinq algorithmes pris en charge par ce routeur : DES, 3DES, AES-128, AES-192 et AES-256. Authentication Algorithm : spcifiez l'algorithme d'authentification pour l'en-tte VPN. Il existe cinq algorithmes pris en charge par ce routeur : MD5, SHA-1, SHA2-256, SHA2-384 et SHA2-512.
REMARQUE Vrifiez que l'algorithme d'authentification est configur de
manire identique des deux cts. Authentication Method : slectionnez une cl prpartage pour une cl simple base sur un mot de passe. La slection de RSA-Signature dsactive la zone de texte de cl prpartage et utilise le certificat Active Self charg sur la page Certificates. Dans ce cas, un certificat doit tre configur pour que la signature RSA fonctionne. Voir aussi Grer les certificats pour l'authentification, page 204.
REMARQUE Le guillemet double (") n'est pas autoris pour la cl partage.
155
La configuration VPN
Configuration avance du VPN IPsec
Diffie-Hellman (DH) Group : choisissez l'algorithme Diffie-Hellman utiliser lors de l'change de cls. Le groupe DH dfinit la puissance de l'algorithme en bits. SA Lifetime (seconds) : saisissez le nombre de secondes pendant lesquelles l'association de scurit reste valide. Enable Dead Peer Detection : cochez cette case pour autoriser l'appliance de scurit dtecter si un homologue est actif ou non. Si un homologue est dtect comme mort, alors l'appliance de scurit supprime l'association de scurit entre IPsec et IKE. Detection Period (seconds) : la priode de dtection est l'intervalle entre des messages DPD R-U-THERE conscutifs. Les messages DPD R-U-THERE sont envoys uniquement lorsque le trafic IPsec est inactif. Reconnect after failure count : nombre maximum d'checs de DPD autoriss avant de couper la connexion.
TAPE 7 Dans la zone Extended Authentication (XAUTH), vous pouvez activer le routeur de
passerelle VPN pour authentifier les utilisateurs de la base de donnes utilisateur (option par dfaut) ou un serveur d'authentification externe comme RADIUS. Choisissez l'un des types XAUTH suivants : None : slectionnez cette option pour dsactiver XAUTH. User Database : slectionnez cette option si vous voulez authentifier des utilisateurs d'aprs les comptes crs dans cet utilitaire de configuration. Si vous choisissez cette option, ajoutez les utilisateurs sur la page IPsec Users. Voir aussi Configuration de la base de donnes utilisateur pour l'accs distance VPN IPsec, page 151. IPsec Host : slectionnez cette option si vous voulez que l'appliance de scurit soit authentifie par une combinaison de nom d'utilisateur et mot de passe. Dans ce mode, l'appliance de scurit agit en tant que client VPN de la passerelle distante. Si vous choisissez cette option, entrez galement un nom d'utilisateur et un mot de passe. Username : si vous avez choisi IPsec Host comme type de XAUTH, saisissez le nom d'utilisateur utilis par l'appliance de scurit lors de la connexion au serveur distant. Le nom d'utilisateur peut comprendre tous les caractres alphanumriques. Password : saisissez le mot de passe utilis par l'appliance de scurit lors de la connexion au serveur distant.
156
La configuration VPN
Configuration avance du VPN IPsec
tapes suivantes Pour vrifier ou mettre jour la stratgie VPN configure, cliquez sur IPsec > VPN Policies. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies VPN IPsec, page 157. Pour vrifier ou mettre jour la stratgie IKE configure, cliquez sur IPsec > IKE Policies. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies IKE pour VPN IPsec, page 153. Pour configurer le transfert IPsec, cliquez sur IPsec > Passthrough. Pour obtenir plus d'informations, reportez-vous la section Configuration du transfert IPsec, page 162. Pour configurer les utilisateurs VPN (pour le VPN d'accs distance uniquement), cliquez sur IPsec > IPsec Users. Voir aussi Configuration de la base de donnes utilisateur pour l'accs distance VPN IPsec, page 151. Pour configurer l'appliance de scurit afin qu'elle fonctionne avec votre serveur RADIUS, consultez Configurer les enregistrements du serveur RADIUS, page 207.
Avant de crer une stratgie automatique, crez tout d'abord une stratgie IKE. Ensuite vous pouvez appliquer la stratgie IKE sur cette page. Pour obtenir plus d'informations, reportez-vous la section Configuration des stratgies IKE pour VPN IPsec, page 153.
La fentre VPN Policies s'ouvre. Deux tableaux s'affichent : List of VPN Policies : rpertorie les stratgies VPN l'exception des stratgies de sauvegarde. Les stratgies automatiques et manuelles sont incluses.
157
La configuration VPN
Configuration avance du VPN IPsec
List of back up Policies : rpertorie toutes les stratgies configures en tant que stratgie de sauvegarde. Ces stratgies sont cres lorsque vous crez une stratgie IKE et que vous slectionnez l'option Enable Redundant Gateway. La stratgie prend effet uniquement si la stratgie principale choue. Vous ne pouvez pas activer, dsactiver, modifier ou supprimer des stratgies de sauvegarde. Vous pouvez uniquement agir sur la stratgie principale, l'aide des boutons du tableau List of VPN Policies.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. Lorsque vous cliquez sur Add ou Edit, la fentre VPN Policy Configuration s'ouvre.
TAPE 3 Dans la zone General, saisissez les informations suivantes :
Policy Name : entrez un nom unique pour identifier la stratgie. Policy Type : choisissez l'un des types suivants : Auto : certains paramtres du tunnel VPN sont gnrs automatiquement. Le protocole IKE (Internet Key Exchange) est utilis pour effectuer des ngociations entre les deux points de terminaison VPN. Pour crer une stratgie VPN automatique, vous devez d'abord crer une stratgie IKE puis ajouter la stratgie automatique correspondante. Manual : tous les paramtres (y compris les cls) du tunnel VPN sont entrs manuellement pour chaque point de terminaison. Aucun serveur ou organisation tiers n'est implique.
Select Local Gateway : si vous avez configur le port facultatif pour qu'il soit utilis en tant que port WAN, choisissez l'interface WAN qui agira comme l'une des extrmits du tunnel : Dedicated WAN ou Optional WAN. Remote End Point : choisissez d'identifier le point de terminaison distant par l'adresse IP ou le nom Internet/FQDN de la passerelle distante ou du PC client. Saisissez galement l'adresse IP ou le nom Internet/FQDN dans le champ situ au-dessous de la liste droulante. Enable NetBIOS : cochez cette case pour activer NetBIOS, un programme qui effectue la rsolution de nom. Cette option permet aux diffusions NetBIOS de se dplacer via le tunnel VPN.
158
La configuration VPN
Configuration avance du VPN IPsec
Enable RollOver : cette option s'applique si vous disposez de deux liaisons FAI et si vous avez activ le renvoi automatique Configuration du renvoi automatique, de l'quilibrage de charge et de la dtection des dfaillances, page 59). Dans ce cas, vous pouvez cocher la case Enable RollOver pour vous assurer que le trafic VPN est renvoy sur la liaison de secours chaque fois que la liaison principale choue. L'appliance de scurit met jour automatiquement la passerelle WAN locale pour le tunnel en fonction de la configuration facultative de liaison WAN. Pour ce type de configuration, le DNS dynamique doit tre configur car l'adresse IP est modifie par le basculement. Voir aussi DNS dynamique, page 79.
TAPE 4 Dans les zones Local Traffic Selection et Remote Traffic Selection, saisissez les
informations suivantes pour spcifier les adresses IP qui sont de part et d'autre du tunnel : Local IP ou Remote IP : slectionnez lune des options suivantes : Any : autorise tout le trafic du point de terminaison spcifi. Notez que vous ne pouvez pas slectionner Any pour les points de terminaison locaux et distants. Single : permet un seul hte de se connecter au VPN. Si vous choisissez cette option, entrez galement l'adresse IP de l'hte dans le champ Start IP Address. Range : permet tous les ordinateurs dans une plage d'adresses IP de se connecter au VPN. Si vous choisissez cette option, indiquez galement la plage en saisissant l'adresse IP de dbut et l'adresse IP de fin. Subnet : permet tous les ordinateurs sur un sous-rseau de se connecter au VPN. Si vous choisissez cette option, entrez galement l'adresse rseau et le masque de sous-rseau.
TAPE 5 Si vous avez choisi le type de stratgie Manual Policy, crez une SA (association de
scurit) en saisissant les entres statiques suivantes dans la zone Manual Policy Parameters : SPI-Incoming ou SPI-Outgoing : saisissez une valeur hexadcimale comprise entre 3 et 8 caractres. Par exemple : 0a1234. Encryption Algorithm : choisissez l'algorithme utilis pour crypter les donnes. Key-In : saisissez la cl de cryptage de la stratgie entrante. Key-Out : cl de cryptage de la stratgie sortante.
159
La configuration VPN
Configuration avance du VPN IPsec
7
DES : 8 caractres 3DES : 24 caractres AES-128 : 16 caractres AES-192 : 24 caractres AES-256 : 32 caractres AES-CCM : 16 caractres
Integrity Algorithm : choisissez l'algorithme utilis pour vrifier l'intgrit des donnes. Key-In : saisissez la cl d'intgrit (pour ESP avec le mode intgrit) pour la politique entrante. Key-Out : saisissez la cl d'intgrit (pour ESP avec le mode intgrit) pour la politique entrante. La longueur de la cl dpend de l'algorithme choisi : MD5 : 16 caractres SHA-1 : 20 caractres SHA2-256 : 32 caractres SHA2-384 : 48 caractres SHA2-512 : 64 caractres
TAPE 6 Si vous avez le type de stratgie Auto Policy, saisissez les informations suivantes
dans la zone Auto Policy Parameters : SA Lifetime : saisissez la dure de vie de l'association de scurit et spcifiez s'il s'agit de secondes ou de kilooctets. Seconds : si vous spcifiez la dure de vie SA en secondes, cette valeur reprsente l'intervalle aprs lequel l'association de scurit n'est plus valide. Le SA est rengoci aprs cet intervalle. La valeur par dfaut est de 3600 secondes. Kilobytes : si vous spcifiez la dure de vie SA en kilooctets, le SA est rengoci aprs le transfert du nombre spcifi de kilooctets de donnes par le SA original. La valeur minimale est de 300 secondes ou de 1920000 Ko.
160
La configuration VPN
Configuration avance du VPN IPsec
7
REMARQUE Pour chaque stratgie, deux SA sont crs, un pour le trafic
entrant et un pour le trafic sortant. Lorsque vous utilisez une dure de vie configure en kilooctets (dite lifebyte) avec une dure de vie en secondes, le SA expire de manire asymtrique. Par exemple, le lifebyte pour un flux de tlchargement descendant expire frquemment si le trafic en aval est trs lev, mais le lifebyte du flux de tlchargement ascendant expire moins frquemment ou uniquement lorsque son dlai d'expiration touche sa fin. Si vous paramtrez la dure de vie en secondes et en kilooctets, vous devez rduire la diffrence entre les frquences d'expiration des SA, dans le cas contraire le systme pourrait manquer de ressources suite cette asymtrie. Les spcifications de lifebyte sont gnralement recommandes pour les utilisateurs avancs uniquement. Encryption Algorithm : choisissez l'algorithme utilis pour crypter les donnes. Integrity Algorithm : choisissez l'algorithme utilis pour vrifier l'intgrit des donnes. PFS Key Group : cochez cette case pour activer le protocole PFS (Perfect Forward Secrecy) pour amliorer la scurit. Bien que cette option soit plus lente, elle garantit qu'un change Diffie-Hellman est effectu pour chaque ngociation de phase 2. Select IKE Policy : choisissez la stratgie IKE pour dfinir les caractristiques de la phase1 de la ngociation. Configuration des stratgies IKE pour VPN IPsec, page 153.
TAPE 7 Dans la zone Redundant VPN Gateway Parameters, saisissez les informations
suivantes pour crer une stratgie de secours pour cette stratgie : Enable Redundant Gateway for this policy? : cochez cette case pour dfinir une stratgie de secours pour cette stratgie. Lorsque le tunnel pour cette stratgie est inactif, le tunnel de secours devient automatiquement actif. Select Back- up Policy : choisissez une stratgie de secours pour cette stratgie. Cette liste contient uniquement les stratgies qui peuvent tre configures comme stratgies de secours.
161
La configuration VPN
Configuration avance du VPN IPsec
1. Le type doit tre dfini sur Auto. 2. Le DPD doit tre activ. 3. La direction doit tre initiateur ou les deux. 4. La configuration de XAuth doit tre Aucune ou Hte IPsec. 5. La stratgie doit tre une passerelle uniquement et non un client. Failback time to switch from back-up to primary : saisissez le nombre de secondes ncessaires avant de confirmer le rtablissement d'un tunnel principal aprs une dfaillance. Si le tunnel principal est actif pendant le nombre de secondes spcifi, l'appliance de scurit bascule sur le tunnel principal en dsactivant le tunnel de secours.
REMARQUE
tapes suivantes : Pour afficher l'tat des tunnels VPN, cliquez sur Status > VPN Status > IPsec Status. Pour obtenir plus d'informations, reportez-vous la section Page IPsec VPN Status, page 225. Pour afficher les journaux VPN IPsec, cliquez sur Status > View Logs > IPsec VPN Logs. Pour obtenir plus d'informations, reportez-vous la section Page IPsec VPN Logs, page 231. Pour configurer le transfert IPsec, cliquez sur IPsec > Passthrough. Pour obtenir plus d'informations, reportez-vous la section Configuration du transfert IPsec, page 162. Pour configurer une plage d'adresses IP dynamiques, consultez Configuration d'une plage IP dynamique, page 163. Pour ajouter des utilisateurs au VPN d'accs distance, consultez Configuration de la base de donnes utilisateur pour l'accs distance VPN IPsec, page 151. Si vous avez activ le renvoi, veillez configurer le DNS dynamique. Voir aussi DNS dynamique, page 79.
162
La configuration VPN
Configuration avance du VPN IPsec
tunnel VPN.
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
Si vous crez une stratgie VPN et que vous souhaitez modifier l'adresse IP dynamique, modifiez-la avant de crer la stratgie. Sinon, les modifications ne seront pas appliques.
163
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
La solution VPN SSL offre une mthode flexible et scurise permettant de dployer des ressources rseau tous les utilisateurs distants ayant accs Internet et un navigateur Web. L'avantage est que vous n'avez pas installer et maintenir le logiciel client VPN sur les machines distantes.
Les utilisateurs peuvent accder distance au rseau l'aide d'un navigateur Web. Lorsque le tunnel est tabli, chaque utilisateur dispose d'une adresse IP sur le rseau interne, telle que 10.10.10.x, dans l'exemple ci-dessus. Vous pouvez utiliser le VPN SSL pour donner accs aux types de services suivants sur votre rseau : Les sites Web internes Les applications Web Les partages de fichier FTP et NT/Active Directory Les proxy e-mail, y compris POP3S, IMAP4S et SMTPS MS Outlook Web Access MAPI Applications (c'est--dire, transfert de port pour l'accs d'autres applications de type TCP)
235141-fr
164
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
L'appliance de scurit prend en charge plusieurs sessions simultanes pour permettre aux utilisateurs distants d'accder au LAN par une liaison crypte via une interface personnalisable de portail utilisateur. Vous pouvez spcifier les privilges utilisateur et vous pouvez contrler chaque accs des utilisateurs aux ressources rseau. Vous pouvez rationaliser le processus de configuration en organisant les utilisateurs VPN en domaines et en groupes qui partagent les stratgies VPN.
REMARQUE
La gestion distance (RMON) doit tre active sinon l'accs VPN SSL sera bloqu. Pour obtenir plus d'informations, reportez-vous la section RMON (Gestion distance), page 211.
165
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
166
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Users : crez vos utilisateurs VPN. Vous pouvez utiliser le domaine et le groupe par dfaut ou configurer vos propres domaines et groupes. Lorsque vous crez l'enregistrement de chaque utilisateur, slectionnez SSL VPN User comme type d'utilisateur. Les instructions sont comprises dans le scnario mais pour plus d'informations sur les domaines, les groupes et les utilisateurs, reportez-vous au Chapitre 8, Administration .. VPN Policies : les stratgies VPN par dfaut doivent tre suffisantes pour la plupart des objectifs. Selon les besoins, vous pouvez crer des stratgies plus complexes. Voir aussi Cration de stratgies VPN SSL, page 171. Port Forwarding : vous pouvez configurer le transfert de port pour autoriser l'accs un ensemble limit de ressources. Par exemple, si vous souhaitez que les utilisateurs de VPN SSL accdent au service de messagerie lectronique uniquement. Voir aussi Configuration du transfert de port VPN SSL, page 175.
167
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
7
1
2 3
TAPE 1 Cliquez sur VPN > SSL VPN Server > Portal Layouts.
de stylet de la colonne Edit . Autres options : pour ajouter une prsentation de portail, cliquez sur Add. Pour supprimer une prsentation de portail, cochez la case puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. Pour dsigner une prsentation comme prsentation par dfaut, cliquez sur le bouton toile (*). Pour afficher une prsentation de portail, cliquez sur le lien hypertexte de la colonne Portal URL.
168
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Lorsque vous cliquez sur Add ou Edit, la fentre Portal Layout Configuration s'ouvre.
TAPE 3 Dans la zone Portal Layout and Theme Name, saisissez les informations
suivantes : Portal Layout Name : saisissez un nom descriptif pour le portail en cours de configuration. Le nom apparatra dans l'URL du portail. Ne saisissez pas les espaces ou les caractres spciaux. Seuls les caractres alphanumriques, les tirets ( - ) et les traits de soulignement ( _ ) sont autoriss dans ce champ. Portal Site Title : saisissez le titre qui s'affiche au sommet de la fentre du navigateur Web pour le portail. Banner Title : saisissez un mot pour le titre de la bannire. Les espaces et les caractres spciaux ne sont pas autoriss. Banner Message : saisissez le texte du message afficher avec le titre de la bannire. Par exemple, saisissez les instructions ou les informations relatives aux ressources auxquelles les utilisateurs peuvent avoir accs une fois connects. Les espaces et les caractres vides ne sont pas autoriss. Display banner message on login page : cochez la case pour afficher le titre et le message de la bannire sur la prsentation de portail. HTTP meta tags for cache control (recommended) : slectionnez ou dslectionnez cette case pour activer la fonctionnalit de scurit, ce qui est fortement recommand. Cette fonctionnalit garantit que les pages du portail VPN SSL et tout autre contenu Web ne peuvent pas tre mis en cache. Les directives de contrle du cache des balises mta HTTP empchent le stockage des pages Web et des donnes obsoltes dans le cache du navigateur Web du client. ActiveX web cache cleaner : cochez cette case pour charger un contrle de cache ActiveX chaque connexion des utilisateurs ce portail VPN SSL.
TAPE 4 Dans la zone SSL VPN Portal Pages to Display, cochez la case pour chaque page
SSL VPN Portal auxquelles les utilisateurs peuvent accder via ce portail. Les pages qui ne sont pas slectionne ne seront pas visibles dans le menu de navigation du portail VPN SSL. Toutefois, les utilisateurs peuvent encore accder aux pages masques, sauf si des stratgies d'accs VPN SSL sont cres pour empcher l'accs ces pages.
TAPE 5 Cliquez sur Apply pour enregistrer les paramtres.
169
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
TAPE 6 Pour afficher votre nouvelle page, cliquez sur le lien de la colonne Portal URL du
tableau. Cette URL est celle que vous fournirez vos utilisateurs.
TAPE 7 Rptez cette opration autant que ncessaire pour ajouter plusieurs
prsentations de portail.
REMARQUE
tape suivante (obligatoire) Configurez les utilisateurs du VPN SSL. Passez la section suivante, tape 2 du scnario : ajouter des utilisateurs du VPN SSL.
La fentre User s'ouvre. L'administrateur et les utilisateurs invits par dfaut sont affichs dans le tableau List of Users, ainsi que tous les nouveaux utilisateurs que vous ajoutez.
TAPE 2 Pour ajouter un utilisateur, cliquez sur Add.
User Name : saisissez un identifiant unique pour l'utilisateur. Il peut inclure tous les caractres alphanumriques. First Name : saisissez le prnom de l'utilisateur.
170
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Last Name : entrez le nom de l'utilisateur. TUser Type : choisissez SSL VPN User. Select Group : choisissez SSLVPN. Password : saisissez un mot de passe comportant des caractres alphanumriques, ainsi que les caractres '' ou '_'. Confirm Password : saisissez nouveau le mot de passe. Idle Timeout : saisissez la dure, en minutes, pendant laquelle l'utilisateur peut tre inactif avant la dconnexion de la session. Saisissez une valeur comprise entre 0 et 999. La valeur du dlai d'expiration pour l'utilisateur est prioritaire sur le dlai d'expiration pour le groupe. Si la valeur du dlai d'expiration de l'utilisateur est dfinie sur 0, le paramtre de dlai d'expiration du groupe s'applique.
REMARQUE Chaque utilisateur est ajout en tant qu'utilisateur local avec un
mot de passe et, lorsque l'utilisateur est affect un mcanisme d'authentification externe en fonction du groupe, certains attributs, tels que le mot de passe local, sont ignors.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
171
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
adresse IP spcifique est prioritaire sur une stratgie pour une plage d'adresses IP comprenant cette adresse IP. Une stratgie peut tre propose pour le tunnel VPN, le transfert de port, ou les deux. Une stratgie entre en vigueur ds qu'elle est dfinie. Toutefois, si la gestion distance (RMON) n'est pas active, l'accs VPN SSL sera bloqu. Voir aussi RMON (Gestion distance), page 211. Si vous crez une stratgie qui s'applique une ressource rseau, vous devez d'abord configurer un enregistrement pour la ressource rseau. Voir aussi Spcifier les ressources rseau pour le VPN SSL, page 174.
TAPE 1 Cliquez VPN > SSL VPN Server > SSL VPN Policies.
VPN Policies. View List of SSL VPN Policies for : choisissez Global pour tous les utilisateurs, Group pour un groupe particulier ou User pour un utilisateur particulier. Available Groups : si vous avez choisi Group comme type de requte, slectionnez le nom dans cette liste. Available Users : si vous avez choisi User comme type de requte, slectionnez le nom dans cette liste. Cliquez sur Display pour excuter la demande.
TAPE 3 Pour ajouter une stratgie VPN SSL, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau.
172
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Lorsque vous cliquez sur Add ou Edit, la fentre SSL VPN Policy Configuration s'ouvre.
TAPE 4 Dans la zone Policy For, saisissez les informations suivantes :
Policy For : slectionnez le type de stratgie : Global, Group, ou User. Si vous choisissez Group, choisissez galement le groupe dans la liste Available Groups. Si vous choisissez User, choisissez galement l'utilisateur dans la liste Available Users.
TAPE 5 Dans la zone SSL VPN Policy, saisissez les informations suivantes :
Apply Policy to : choisissez d'appliquer une stratgie une ressource rseau, une adresse IP, un rseau IP ou toutes les adresses gres par le priphrique. Renseignez galement les champs signals par un fond blanc. Policy Name : entrez un nom pour identifier cette stratgie.
REMARQUE Si vous crez une stratgie avec le mme nom qu'une stratgie existante, la stratgie la plus rcente remplace l'existante.
IP Address : si vous choisissez IP Address ou Network Resource dans le champ Apply Policy, saisissez l'adresse IP du priphrique. Mask Length : si vous choisissez IP Network dans le champ Apply Policy, saisissez la longueur du masque de sous-rseau. Port Range / Port Number (Begin & End) : spcifiez un port ou une plage de ports pour appliquer la stratgie tout le trafic TCP et UDP avec ces ports. Laissez les champs vides pour appliquer la stratgie tout le trafic. Service : choisissez VPN Tunnel, Port Forwarding ou All Services Defined. Defined Resources : slectionnez les services pour une stratgie donne. Cette option est disponible uniquement pour les stratgies qui sont appliques une ressource rseau. Permission : choisissez Permit ou Deny pour cette stratgie.
173
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
REMARQUE
tapes suivantes : Activez la gestion distance (RMON), si vous ne l'avez pas encore fait. Si RMON est dsactiv, l'accs VPN SSL est bloqu. Voir aussi RMON (Gestion distance), page 211.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau.
TAPE 3 Saisissez les informations suivantes :
Resource Name : entrez un nom unique pour identifier cette ressource. Service : choisissez l'un des services VPN SSL pris en charge associer cette ressource.
174
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
TCP Application Donnes FTP (gnralement non obligatoires) Protocole de contrle FTP SMTP (envoi de courrier lectronique) HTTP (Web) POP3 (rception de courrier lectronique) Protocole NTP (Network Time Protocol) Citrix Services Terminal Server VNC (Virtual Network Computing)
La fentre Port Forwarding s'ouvre. Cette page comprend deux tableaux : Liste des applications configures pour le transfert de port
175
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
TAPE 2 Pour ajouter une application, cliquez sur Add dans le tableau List of Configured
Applications for Port Forwarding. Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau.
TAPE 3 Saisissez les informations suivantes :
Local Server IP Address : saisissez l'adresse IP de l'ordinateur hte interne ou du serveur local. TCP Port Number : saisissez le numro de port de l'application TCP qui active le transfert de port.
L'adresse IP du serveur local du nom d'hte configur doit correspondre l'adresse IP de l'application configure pour le transfert de port.
TAPE 1 Cliquez sur VPN > SSL VPN Server > Port Forwarding.
La fentre Port Forwarding s'ouvre. Cette page comprend deux tableaux : Liste des applications configures pour le transfert de port Liste des noms d'hte configurs pour le transfert de port
TAPE 2 Pour ajouter un nom d'hte configur, cliquez sur Add dans le tableau List of
Configured Host Names for Port Forwarding. Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau.
176
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Local Server IP Address : saisissez l'adresse IP de l'ordinateur hte interne ou du serveur local. TCP Port Number : saisissez le nom de domaine complet pour l'application TCP.
Comme dans tout dploiement de tunnel IPsec, les deux rseaux qui sont relis par le tunnel doivent utiliser des plages d'adresses IP diffrentes dans leurs sousrseaux. L'appliance de scurit permet la prise en charge du plein tunnel et du tunnel partag. Full Tunnel Mode : le tunnel VPN gre tout le trafic envoy du client. Split Tunnel Mode : le tunnel VPN gre uniquement le trafic destin aux adresses de destination spcifies dans les routes du client configures. Ces routes de client donnent accs au client SSL aux rseaux privs
177
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
spcifiques, permettant ainsi un contrle de l'accs sur les services LAN spcifiques.
Enable Split Tunnel Support : cochez cette case pour activer l'option Split Tunnel Mode Support ou dcochez-la pour activer Full Tunnel Mode Support. En mode plein tunnel, tout le trafic de l'hte est dirig via le tunnel. Par comparaison, en mode tunnel partag, le tunnel est utilis uniquement pour le trafic spcifi par les routes du client.
REMARQUE Si vous activez Split Tunnel Support, vous devez galement
configurer SSL VPN Client Routes. Aprs avoir suivi cette procdure, consultez Configuration des routes du client en mode tunnel partag, page 179. DNS Suffix (Optional) : saisissez le suffixe DNS pour ce client. Primary DNS Server (Optional) : saisissez l'adresse IP du serveur DNS principal pour ce client. Secondary DNS Server (Optional) : saisissez l'adresse IP du serveur DNS secondaire pour ce client. Client Address Range Begin : saisissez la premire adresse IP attribue aux clients VPN SSL. Client Address Range End : saisissez la dernire adresse IP attribue aux clients VPN SSL.
REMARQUE Configurez une plage d'adresses IP qui ne se superpose avec
aucune adresse de votre rseau local. Par exemple, la plage par dfaut est comprise entre 192.168.251.1 et 192.168.251.254.
TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
REMARQUE
tapes suivantes : Si vous activez Split Tunnel Support, vous devez galement configurer SSL VPN Client Routes. Aprs avoir suivi cette procdure, consultez Configuration des routes du client en mode tunnel partag, page 179.
178
La configuration VPN
Configuration d'un VPN SSL pour un accs distance partir d'un navigateur
Vous pouvez configurer des routes de client uniquement si la prise en charge de tunnel partag est active sur la page SSL VPN Client. Voir aussi Configuration du client VPN SSL, page 178.
TAPE 1 Cliquez sur VPN > SSL VPN Client > Configured Client Routes.
La fentre Configured Client Routes s'ouvre. Toutes les routes configures sont rpertories dans le tableau Configured Client Routes.
TAPE 2 Pour ajouter une route configure du client, cliquez sur Add.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. La fentre SSL VPN Client Route Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Destination Network : saisissez le sous-rseau de destination vers lequel une route est ajoute sur le client VPN SSL. Subnet Mask : saisissez le masque de sous-rseau pour le rseau de destination.
179
La configuration VPN
Configuration de la protection d'identit VeriSign
REMARQUE
Les utilisateurs distants utilisent l'URL du portail pour accder au portail VPN. Le portail du client permet d'accder distance au rseau d'entreprise grce aux options suivantes du volet de navigation : VPN Tunnel : une fois que l'utilisateur a cliqu sur le lien du volet de navigation, la fentre d'information VPN Tunnel s'ouvre. L'utilisateur peut cliquer sur l'icne de l'utilitaire d'application pour se connecter au rseau distant. Port Forwarding : une fois que l'utilisateur a cliqu sur le lien du volet de navigation, la fentre d'informations Port Forwarding s'ouvre. L'utilisateur peut cliquer sur l'icne de l'utilitaire d'application pour se connecter aux serveurs distants. Change Password : l'utilisateur peut cliquez sur ce lien pour modifier son mot de passe.
REMARQUE
1. La section Change Password est disponible uniquement pour les utilisateurs appartenant la base de donnes locale. 2. L'administrateur peut activer ou dsactiver certaines fonctionnalits. 3. L'utilisateur doit s'assurer que les contrles Java, Java script et Active-X sont activs ou autoriss dans les paramtres du navigateur Web.
Pour plus d'informations ou pour commander le service de protection d'identit VeriSign, consultez la page : www.cisco.com/go/viptoken.
180
La configuration VPN
Configuration de la protection d'identit VeriSign
zone VeriSign Identity Protection Configuration : a. Enable VeriSign Identity Protection : cochez cette case pour activer la fonctionnalit VIP ou dcochez-la pour la dsactiver. b. Service Type : slectionnez le type de service que vous avez achet auprs de VeriSign : VIP Pilot/Developer Test Drive : choisissez cette option si les jetons pilotes vous ont t fournis pour tester et comprendre le service VIP lors des tapes initiales de dploiement. VIP Production : choisissez cette option si vous avez achet le service VeriSign. Le service utilisera des serveurs de production VIP pour authentifier les utilisateurs.
a. Certificate File : cliquez sur Browse, puis recherchez votre fichier de certificat VeriSign (RA). a. Password for the certificate file : saisissez le mot de passe qui vous a t fourni avec le fichier de certificat (RA). Le mot de passe crypte la cl prive fournie dans le certificat et est requis pour la dcrypter et l'utiliser. b. Cliquez sur Upload pour tlcharger le certificat.
181
La configuration VPN
Configuration de la protection d'identit VeriSign
Vos utilisateurs doivent tre tout d'abord configurs dans Administration. Voir aussi Users, page 183.
TAPE 1 Cliquez sur VPN > VeriSign ID Protection > Credential Management .
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. Lorsque vous cliquez sur Add ou Edit, la fentre VeriSign Credential Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Credential Id : saisissez le nombre 6 chiffres alphanumriques, gnralement au dos du jeton physique. Chaque ID doit tre unique et ne doit pas tre ajout s'il existe dj dans le tableau de configuration des jetons. User Name : choisissez le nom associer au numro du jeton. Chaque ID peut tre associ un seul utilisateur. Une fois que l'utilisateur a t associ des informations d'identification, le mme utilisateur ne peut pas tre associ d'autres informations d'identification. Seuls les utilisateurs disponibles sont affichs dans la liste d'utilisateurs.
182
8
Administration
Ce chapitre dcrit la gestion des utilisateurs, les oprations de maintenance, telles que la mise niveau des microprogrammes et la sauvegarde de la configuration, et d'autres fonctionnalits relatives au routeur. Il comprend les sections suivantes : Users Microprogramme et configuration Diagnostics Mesurer et limiter le trafic avec l'utilitaire de contrle du trafic Configurer les paramtres de date/heure Configurer les options de journalisation Grer les certificats pour l'authentification Configurer les enregistrements du serveur RADIUS Gestion des licences
Pour accder aux pages d'administration, cliquez sur Administration dans la barre de menu de l'utilitaire de configuration.
Users
Vous pouvez utiliser la page Users pour attribuer les noms d'utilisateur, les mots de passe et les stratgies d'accs. Il existe deux comptes par dfaut. Vous pouvez modifier le nom d'utilisateur et le mot de passe pour ces comptes, mais vous ne pouvez pas modifier les stratgies utilisateur. admin : compte administrateur, qui a un accs en lecture/criture tous les paramtres.
183
Administration
Users
8
guest : compte invit, qui a un accs en lecture seule. Par dfaut, ce compte est dsactiv. Pour activer le compte, modifiez les stratgies de connexion utilisateur. Voir aussi Ajouter ou modifier les stratgies de connexion utilisateur, page 187. VPN SSL : compte VPN SSL, qui permet l'accs aux services spcifis dans la configuration VPN SSL.
Fentre Domains
Tous les utilisateurs VPN SSL sont membres d'un groupe et tous les groupes sont membres d'un domaine d'authentification. Le domaine doit tre configur avant que les diffrents groupes et utilisateurs ne puissent lui tre affects.
TAPE 1 Cliquez sur Administration > Users > Domains.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, cochez la case dans la premire colonne de l'en-tte du tableau. Aprs avoir cliqu sur Add ou Edit, la fentre Domains Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Domain Name : saisissez un identifiant unique pour le domaine. Authentication Type : slectionnez le type d'authentification pour ce domaine. Portal Layout Name : slectionnez une prsentation de portail. Les prsentations sont configures via le menu du portail VPN SSL. Voir aussi tape 1 du scnario : personnalisation de la prsentation du portail, page 167.
Lorsque vous crez un domaine, un groupe est automatiquement cr. Il porte le mme nom que le domaine et est associ ce domaine. Pour modifier les paramtres du groupe, reportez-vous la Fentre Groups, page 185.
184
Administration
Users
8
Fentre Groups
Les groupes sont utiliss pour crer un regroupement logique d'utilisateurs VPN SSL qui partagent le mme domaine d'authentification, les mmes rgles d'accs LAN et de service et les mmes paramtres de dlai d'inactivit. Ils sont associs aux domaines d'authentification.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, cochez la case dans la premire colonne de l'en-tte du tableau. Aprs avoir cliqu sur Add ou Edit, la fentre Groups Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Group Name : saisissez un identifiant unique pour le groupe. Vous pouvez utiliser tous les caractres alphanumriques. Domain : affectez un domaine de la liste droulante des domaines d'authentification. Idle Timeout : entrez la dure, en minutes, pendant laquelle un priphrique peut demeurer inactif avant que la session ne soit dconnecte.
REMARQUE Le paramtre d'expiration du groupe est utilis comme
paramtre d'expiration par dfaut pour tous les utilisateurs du groupe. Vous pouvez affecter un dlai d'inactivit diffrent un utilisateur sur la page Users. Les paramtres utilisateur sont prioritaires sur les paramtres du groupe. Voir aussi Ajouter ou modifier les paramtres utilisateur, page 186.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
185
Administration
Users
8
Ajouter ou modifier les paramtres utilisateur
Les utilisateurs font partie d'un groupe, qui son tour fait partie d'un domaine d'authentification.
REMARQUE
Avant de configurer des utilisateurs, configurez les groupes. Voir aussi Fentre Groups, page 185. Pour des raisons de scurit, un mot de passe ne doit contenir aucun mot d'un dictionnaire d'une langue et doit inclure une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Le mot de passe peut comporter jusqu' 30 caractres.
REMARQUE
TAPE 1 Cliquez sur Administration > Users > Users. Le tableau List of Users s'affiche.
utilisateur, cliquez sur le bouton dans la colonne Edit . La fentre User Configuration s'ouvre. La fentre Users Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
User Name : saisissez un identifiant unique pour l'utilisateur. Il peut inclure tous les caractres alphanumriques. First Name : saisissez le prnom de l'utilisateur. Last Name : entrez le nom de l'utilisateur. User Type : identifiez le type de compte. Select Group : choisissez un groupe. Si vous ajoutez un nouvel utilisateur, renseignez les champs suivants : Password : saisissez un mot de passe comportant des caractres alphanumriques, ainsi que les caractres '' ou '_'. Confirm Password : saisissez nouveau le mot de passe.
186
Administration
Users
8
Si vous mettez jour les paramtres d'un utilisateur, renseignez les champs suivants : Check to Edit Password : cochez cette case pour activer les champs de mot de passe. Enter Your Password : entrez votre mot de passe, comme vrification de scurit avant que vous ne puissiez modifier un mot de passe. New Password : saisissez un mot de passe comportant des caractres alphanumriques, ainsi que les caractres '' ou '_'. Confirm Password : saisissez nouveau le mot de passe.
Idle Timeout : saisissez la dure, en minutes, pendant laquelle l'utilisateur peut tre inactif avant la dconnexion de la session. Saisissez une valeur comprise entre 0 et 999. La valeur du dlai pour l'utilisateur est prioritaire sur le dlai pour le groupe. Si vous souhaitez vous assurer que les paramtres de dlai du groupe sont utiliss, dfinissez cette valeur sur 0.
REMARQUE Chaque utilisateur est ajout en tant qu'utilisateur local avec un
mot de passe et, lorsque l'utilisateur est affect un mcanisme d'authentification externe bas sur le groupe, certains attributs, tels que le mot de passe local, sont ignors.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
Administration > Users > Users. La fentre Users s'ouvre. Vous ne pouvez pas configurer ces paramtres pour les utilisateurs par dfaut du systme, mais uniquement pour les utilisateurs que vous ajoutez.
187
Administration
Users
8
Stratgie de connexion utilisateur : cliquez sur le premier bouton de la colonne Edit User Policies. Lorsque la fentre User Login Policies s'ouvre, entrez les informations suivantes : Disable Login : cochez cette case pour dsactiver le compte ou dcochez cette case pour activer le compte. Ce paramtre ne peut pas tre modifi pour le compte administrateur par dfaut. Deny Login from WAN Interface : cochez cette case pour empcher l'utilisateur de se connecter partir du WAN ou dcochez cette case pour permettre l'utilisateur de se connecter partir du WAN. Ce paramtre ne peut pas tre modifi pour le compte administrateur par dfaut.
Stratgie de connexion utilisateur par navigateur : cliquez sur le deuxime bouton de la colonne Edit User Policies. Lorsque la fentre User Policy By Client Browser, entrez les informations suivantes : Dans la zone User Policy By Client Browser, slectionnez Deny Login from Defined Browsers ou Allow Login only from Defined Browsers. Pour ajouter un navigateur, cliquez sur Add, slectionnez le navigateur, puis cliquez sur Apply. Pour supprimer un navigateur, cochez la case correspondante, puis cliquez sur Delete.
Stratgie de connexion utilisateur par adresse IP : cliquez sur le troisime bouton de la colonne Edit User Policies. Lorsque la fentre User Policy By Source IP Address s'ouvre, entrez les informations suivantes : Dans la zone User Policy By Source IP Address, slectionnez Deny Login from Defined Addresses ou Allow Login only from Defined Addresses. Pour ajouter une adresse, cliquez sur Add, entrez le type et l'adresse, puis cliquez sur Apply. Pour supprimer une adresse, cochez la case correspondante, puis cliquez sur Delete.
188
Administration
Microprogramme et configuration
Microprogramme et configuration
Cette section dcrit les tches de maintenance suivantes : Mettre niveau le microprogramme et travailler avec des fichiers de configuration Grer le priphrique USB Utiliser le microprogramme secondaire
189
Administration
Microprogramme et configuration
TAPE 1 Cliquez sur Administration > Firmware & Configuration > Network .
Status Affiche l'tat du microprogramme. Inclut les versions principale et secondaire du microprogramme, la date/heure de la dernire excution du contrle du microprogramme, la dernire image disponible pour votre dispositif et un lien vers les notes de la dernire version du microprogramme sur Cisco.com. Reportez-vous aux Notes de version dans la documentation technique : www.cisco.com/go/sa500resource. Si une mise niveau du microprogramme est disponible, slectionnez une des options suivantes : Upload : cochez cette option pour mettre niveau le microprogramme. Upload & Factory Reset : cochez cette option pour mettre niveau le microprogramme et rinitialiser le dispositif de scurit avec les paramtres par dfaut. Si vous choisissez de ne pas mettre niveau, un message de rappel qu'un nouveau microprogramme est disponible vous est envoy toutes les 24 heures. Vous pouvez galement consulter l'tat du microprogramme dans les pages Status. Voir aussi Page Device Status, page 219.
Check for New Firmware & Download Check Periodically : cochez cette option pour rechercher automatiquement les mises niveau du microprogramme sur une base journalire (toutes les 24 heures). Entrez votre User name Cisco et votre Password et cliquez sur Apply pour sauvegarder vos paramtres.
REMARQUE Lorsqu'appliqus, les dtails du nom d'utilisateur Cisco et du
mot de passe Cisco sont appliqus tous les autres services sur le routeur qui les utilise. Par exemple, le nom d'utilisateur Cisco et la connexion utiliss pour l'administration sont automatiquement mis jour pour les tlchargements de signature IPS. Si un nouveau microprogramme est disponible, il est automatiquement tlcharg sur votre priphrique et vous tes invit l'installer. Cliquez sur OK pour fermer la fentre de notification, puis cliquez sur Upgrade or Upgrade & Factory Reset.
Guide dadministration des appliances de scurit de la gamme Cisco SA500 190
Administration
Microprogramme et configuration
8
Pour vrifier si une version niveau du microprogramme est immdiatement disponible, cliquez sur Check Now. Firmware Upgrade Pour mettre manuellement niveau le microprogramme, cliquez sur Browse, localisez et slectionnez le fichier de configuration, puis cliquez sur Upload. Lorsque l'opration est termine, le dispositif de scurit redmarre automatiquement avec les nouveaux paramtres. Pour mettre niveau votre microprogramme et rinitialiser votre dispositif de scurit avec les paramtres d'usine par dfaut, cliquez sur Browse, localisez et slectionnez le fichier de configuration, puis cliquez sur Upload & Factory Reset . Lorsque l'opration est termine, le dispositif de scurit redmarre automatiquement avec les nouveaux paramtres.
Backup/Restore Settings Pour sauvegarder une copie de vos paramtres actuels, cliquez sur Backup. Lisez l'avertissement qui s'affiche, puis cliquez sur OK . Lorsque la fentre Download s'ouvre, cliquez sur Save, puis slectionnez un emplacement o sauvegarder le fichier. Pour restaurer vos paramtres sauvegards partir d'un fichier de sauvegarde, cliquez sur Browse, localisez et slectionnez le fichier, puis cliquez sur Restore. Lorsque l'opration est termine, le dispositif de scurit redmarre automatiquement avec les paramtres restaurs. Pour effacer vos paramtres actuels et rtablir les paramtres d'usine par dfaut, cliquez sur Default . Aprs la restauration, le dispositif de scurit redmarre automatiquement avec les paramtres restaurs. Pour obtenir plus d'informations, reportez-vous au Annexe D, Paramtres d'usine par dfaut .
191
Administration
Microprogramme et configuration
8
Sauvegarder et restaurer les paramtres de configuration pour le priphrique USB.
IMPORTANT ! La restauration d'une configuration sauvegarde supprimera vos paramtres actuels. Les rgles de pare-feu, les stratgies VPN, les paramtres LAN/WAN et tous les autres paramtres seront perdus. Sauvegardez vos paramtres pour vous assurer que vous pourrez les restaurer plus tard, si ncessaire. Attendez que le processus soit termin. 1. Ne fermez PAS la fentre du navigateur. 2. N'allez PAS en ligne. 3. N'arrtez ni ne redmarrez PAS le routeur. 4. N'arrtez PAS l'ordinateur. 5. Ne retirez ou ne dbranchez PAS le priphrique USB.
TAPE 1 Cliquez sur Administration > Firmware & Configuration > USB.
Mount/Unmount Pour monter un priphrique USB, branchez le priphrique dans le port USB. Cliquez ensuite sur le bouton Refresh dans la barre d'outils du navigateur. Le bouton Mount est activ. Cliquez sur Mount . Pour retirer sans risque un priphrique USB, cliquez sur Unmount .
Backup / Restore Settings / Software Upgrade Pour effectuer une copie de sauvegarde des paramtres actuels et des certificats numriques, cliquez sur Backup. Le fichier est enregistr sous le nom cisco.cfg. Pour restaurer les paramtres d'un fichier de configuration prcdemment sauvegard, cliquez sur Restore. Localisez et slectionnez le fichier de sauvegarde du priphrique de stockage USB connect. Une barre de progression indiquant l'tat de l'opration de restauration s'affiche. Le dispositif de scurit redmarre automatiquement.
192
Administration
Microprogramme et configuration
8
Pour mettre niveau le microprogramme, slectionnez un fichier de mise niveau, puis cliquez sur Upload pour tlcharger le fichier ou sur Upload & Factory Reset pour tlcharger le fichier et rinitialiser le dispositif de scurit avec les paramtres d'usine par dfaut. Une barre de progression affiche l'tat de la mise niveau. Pour toute information sur le tlchargement des fichiers de mise niveau du microprogramme, reportez-vous la Mise jour du microprogramme, page 25. La mise niveau du routeur peut prendre plusieurs minutes. Lorsque la mise niveau est en cours, le DEL Test du panneau avant du routeur s'allume. Attendez que le voyant s'teigne avant d'accder nouveau au routeur. Lorsque le tlchargement de l'image est termin, le routeur redmarre automatiquement. Aprs une mise niveau russie, connectez-vous. Pour vrifier la version du microprogramme, accdez Status > Device Status. La version du microprogramme (principal) doit tre identique la version que vous avez tent d'installer. Si la mise niveau a chou, voir Annexe A, Dpannage . Reboot : cliquez sur Reboot s'il est ncessaire de redmarrer le routeur.
microprogramme secondaire.
REMARQUE
Si aucune image de microprogramme secondaire n'est prsente, ne tentez pas de permuter les images. Cela peut empcher le redmarrage du routeur.
193
Administration
Diagnostics
8
Vous pouvez utiliser la page Diagnostics pour valuer la configuration du dispositif de scurit et pour contrler l'tat gnral du rseau.
Diagnostics
REMARQUE
Ping or Trace an IP Address : vous pouvez utiliser ces outils pour tester votre rseau. Ping through VPN tunnel : cochez cette case pour activer le test Ping via le tunnel VPN. Sinon, dcochez cette case. Pour tester la connectivit entre le dispositif de scurit et un priphrique connect sur le rseau, entrez l'adresse IP du priphrique, puis cliquez sur Ping. Les rsultats s'affichent dans la page Command Output. Cliquez sur Back pour revenir sur la page Diagnostics. Pour afficher le chemin entre le dispositif de scurit et une destination, entrez l'adresse IP de la destination, puis cliquez sur Traceroute. Les rsultats s'affichent dans la page Command Output. Le rapport inclut jusqu' 30 sauts (routeurs intermdiaires) entre ce dispositif de scurit et la destination. Cliquez sur Back pour revenir sur la page Diagnostics.
DNS Lookup : pour extraire l'adresse IP d'un serveur sur Internet, entrez le nom Internet dans la zone de texte, puis cliquez sur Lookup. Si l'entre de l'hte ou du domaine existe dj, une rponse s'affiche avec l'adresse IP. Un message nonant Hte inconnu indique que le nom Internet spcifi n'existe pas. Router Options : vous avez le choix entre les options suivantes : Pour afficher un tableau du routage IPv4 ou un tableau du routage IPv6, cliquez sur le bouton Display. Les rsultats s'affichent dans la page Command Output. Cliquez sur Back pour revenir sur la page Diagnostics.
194
Administration
Mesurer et limiter le trafic avec l'utilitaire de contrle du trafic
Pour capturer tous les paquets qui transitent par une interface donne, cliquez sur Packet Trace. Lorsque la fentre Capture Packets s'ouvre, choisissez l'interface : LAN, Dedicated WAN ou Optional WAN. Cliquez sur Start pour commencer la capture des paquets. Cliquez sur Stop pour arrter la capture. Pour tlcharger le rapport, cliquez sur Download.
WAN ddi ou sur Traffic Meter > Optional WAN pour configurer le WAN optionnel. La fentre Traffic Meter s'ouvre.
TAPE 2 Dans la zone Enable Traffic Meter, entrez les informations suivantes :
Enabled Traffic Metering : cochez cette case pour activer l'utilitaire de contrle du trafic sur le port. Le dispositif de scurit conserve un enregistrement du volume du trafic achemin partir de cette interface. Vous pouvez galement configurer le dispositif de scurit pour appliquer une restriction au volume de donnes achemines. Traffic Limit Type : slectionnez lune des options suivantes : No Limit : option par dfaut, aucune limite de transfert de donnes n'est impose. Download Only : limite la quantit de trafic de tlchargement. Entrez le volume de donnes maximum autoris (en mgaoctets) pouvant tre tlcharges pour un mois donn dans la zone de texte Monthly Limit. Une fois la limite atteint, aucun trafic n'est autoris du ct WAN. Both Directions : pour ce paramtre, le routeur calcule le trafic pour le chargement et le tlchargement. La limite de trafic saisie dans le champ Monthly Limit est partage par le trafic de chargement et le trafic de tlchargement. Par exemple, pour une limite de 1 Go, si un fichier de
195
Administration
Mesurer et limiter le trafic avec l'utilitaire de contrle du trafic
700 Mo est tlcharg, les 300 Mo restants doivent tre partags entre le trafic de chargement et le trafic de tlchargement. Le volume de trafic tlcharg rduira le volume du trafic pouvant tre charg et vice-versa. Monthly Limit : entrez la limite du volume dans le champ Monthly Limit s'appliquant ce mois. Cette limite s'applique au type de direction (Download Only ou Both Directions) slectionn ci-dessus. Increase This Month's Limit : si la limite de trafic mensuelle a t atteinte et vous devez augmenter temporairement la limite, cochez cette option et entrez le montant de l'augmentation. This Month's Limit : affiche la limite de transfert de donnes applicable pour ce mois, qui correspond la somme des valeurs des champs Monthly Limit et Increase this Month's Limit.
Traffic Counter : indiquez le type d'action effectuer sur l'utilitaire de calcul du trafic. Restart Now : slectionnez cette option, puis cliquez sur Apply pour rinitialiser immdiatement le compteur. Specific Time : slectionnez cette option si vous voulez que le compteur redmarre une date et heure spcifies. Entrez ensuite l'heure (HH) et les minutes (MM), puis slectionnez le jour du mois (du premier au dernier).
Send E-mail Report before restarting counter : slectionnez cette option pour envoyer un rapport par message lectronique avant que l'utilitaire de calcul du trafic ne redmarre. Un message lectronique est envoy l'adresse configure dans la section Logging, si la journalisation est active. Voir aussi Fentre Remote Logging Config, page 201.
TAPE 4 Dans la zone When Limit is Reached, indiquez l'action se produisant lorsque la
limite de l'utilitaire de calcul du trafic est atteinte. Block All Traffic : slectionnez cette option pour bloquer tout trafic en provenance et destination du WAN lorsque la limite du trafic est atteinte. Block All Traffic Except E-mail : slectionnez cette option pour bloquer tout trafic en provenance et destination du WAN, l'exception du trafic de messagerie lectronique.
196
Administration
Configurer les paramtres de date/heure
TAPE 5 Si l'utilitaire de contrle du trafic est activ, la zone Internet Traffic Statistics
Start Date/Time
Date laquelle l'utilitaire de contrle du trafic a dmarr ou dernire date laquelle le utilitaire de calcul du trafic a t rinitialis. Volume du trafic, en mgaoctets, qui a t charg via cette interface. Volume du trafic, en mgaoctets, qui a t tlcharg via cette interface. Volume du trafic, en mgaoctets, achemin via cette interface dans les deux directions. Volume moyen du trafic achemin via cette interface. Volume du trafic, en pourcentage, achemin via cette interface par rapport la limite mensuelle. Volume du trafic, en pourcentage, achemin via cette interface par rapport la limite du mois (si la limite du mois a t augmente).
Outgoing Traffic Volume Incoming Traffic Volume Total Traffic Volume Average per day % of Standard Limit % of Monthly Limit
Date/Time : slectionnez le fuseau horaire par rapport au fuseau GMT (Greenwich Mean Time).
197
Administration
Configurer les options de journalisation
Automatically Adjust for Daylight Savings Time : cochez cette case si vous voulez que l'heure d't soit automatiquement rgle. Use Default NTP Servers or Use Custom NTP Servers : vous pouvez utiliser les serveurs NTP (Network Time Protocol) par dfaut ou vous pouvez entrer les adresses IP de deux serveurs NTP personnaliss maximum.
Pour toute information sur la consultation des journaux des vnements du systme, des journaux VPN IPsec et des journaux d'application des stratgies, voir Page Active Users, page 228.
L'activation des options de journalisation peut gnrer un volume significatif de messages de journalisation et est recommande des fins de dbogage uniquement.
198
Administration
Configurer les options de journalisation
Routing Logs: : pour chaque type de trafic, slectionnez les types de paquet consigner (paquets accepts ou paquets abandonns comme dcrit dans le tableau Journaux de routage. System Logs : slectionnez les types d'vnement systme consigner. All Unicast Traffic : tous les paquets de monodiffusion dirigs vers le routeur sont consigns. All Broadcast/Multicast Traffic : tous les paquets de diffusion ou multidiffusion dirigs vers le routeur sont consigns.
Other Event Logs : choisissez les autres types d'vnement consigner. Source MAC Filter : si cette option est coche, les paquets correspondants sont consigns suite au filtrage MAC d'origine. Dcochez cette option pour dsactiver les journaux du filtrage MAC d'origine. Output Blocking Event Log : si cette option est coche, le priphrique affiche les journaux pour les paquets bloqus par le service ProtectLink. Bandwidth Limit : si cette option est coche, les journaux relatifs aux paquets abandonnes en raison de la limite de la bande passante sont affichs.
Journaux de routage LAN to WAN Activez la journalisation pour les rgles de pare-feu correspondant l'origine et la destination LAN-to-WAN. La journalisation pour les diffrentes rgles de pare-feu doit tre active. Activez la journalisation pour les rgles de pare-feu correspondant l'origine et la destination LAN-to-DMZ. La journalisation pour les diffrentes rgles de pare-feu doit tre active. Activez la journalisation pour les rgles de pare-feu correspondant l'origine et la destination DMZ-to-WAN. La journalisation pour les diffrentes rgles de pare-feu doit tre active.
LAN to DMZ
DMZ to WAN
199
Administration
Configurer les options de journalisation
8
Activez la journalisation pour les rgles de pare-feu correspondant l'origine et la destination WAN-to-LAN. La journalisation pour les diffrentes rgles de pare-feu doit tre active. Activez la journalisation pour les rgles de pare-feu correspondant l'origine et la destination DMZ-to-LAN. La journalisation pour les diffrentes rgles de pare-feu doit tre active. Activez la journalisation pour les rgles de pare-feu correspondant l'origine et la destination WAN-to-DMZ. La journalisation pour les diffrentes rgles de pare-feu doit tre active.
WAN to LAN
DMZ to LAN
WAN to DMZ
dcochez la case pour dsactiver l'option de journalisation spcifie. Accepted Packets : consigne les paquets achemins avec succs via le segment. Cette option est utile lorsque le champ Default Outbound Policy a la valeur Block Always (voir la page Firewall Rules, dans le menu Firewall). Par exemple, supposons que vous vouliez enregistrer chaque connexion SSH russie du LAN vers le WAN. Vous cocheriez la case LAN to WAN sous Accepted Packets. chaque fois qu'une machine LAN tablit une connexion SSH vers le WAN, un message est consign. (Cet exemple suppose que le champ Default Outbound Policy a la valeur Block Always et vous avez activ une rgle de pare-feu pour autoriser le trafic SSH du LAN vers le WAN. La rgle de pare-feu doit galement autoriser la journalisation. Pour obtenir plus d'informations, reportez-vous la Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant, page 107.)
200
Administration
Configurer les options de journalisation
Dropped Packets : les paquets dont le transfert via le segment a t bloqu sont consigns. Cette option est utile lorsque le champ Default Outbound Policy a la valeur Allow Always (voir la page Firewall Rules, dans le menu Firewall). Par exemple, supposons que vous vouliez enregistrer chaque connexion SSH bloque du LAN vers le WAN. Vous cocheriez la case LAN to WAN sous Dropped Packets. chaque fois qu'une machine sur le LAN tente d'tablir une connexion SSH vers le WAN, un message est consign Cet exemple suppose que le champ Default Outbound Policy a la valeur Allow Always et vous avez activ une rgle de pare-feu pour bloquer le trafic SSH du LAN vers le WAN. La rgle de pare-feu doit galement autoriser la journalisation. Pour obtenir plus d'informations, reportez-vous la section Configuration des rgles de pare-feu pour contrler le trafic entrant et sortant, page 107.
dans les journaux distants. Chaque message consign inclura cet identifiant comme prfixe pour une identification plus facile de l'origine du message. L'identifiant du journal est ajout au message lectronique et au messages syslog.
TAPE 3 Dans la zone Enable E-Mail Logs, entrez les informations suivantes :
Enable E-Mail Logs : cochez cette case pour activer les journaux des messages lectroniques. E-mail Server Address : entrez l'adresse IP ou le nom Internet d'un serveur de messagerie lectronique. Le routeur se connecte ce serveur pour envoyer les journaux des messages lectroniques, lorsque requis.
201
Administration
Configurer les options de journalisation
Return E-mail Address : entrez l'adresse lectronique lorsque des rponses du serveur SMTP doivent tre envoyes (requis pour les messages d'chec). Send To E-mail Address : entrez l'adresse lectronique laquelle les journaux et les alertes doivent tre envoys. Authentication with SMTP server : si le serveur SMTP require une authentification avant d'accepter une connexion, slectionnez l'authentification Login Plain ou CRAM-MD5 dans le menu droulant et entrez le nom et le mot de passe du compte utilisateur. Pour dsactiver l'authentification, slectionnez None. Respond to Identd from SMTP Server : cochez cette case pour configurer le routeur afin de rpondre une demande IDENT du serveur SMTP.
TAPE 4 Dans la zone Send E-mail logs by Schedule, configurez les paramtres suivants
afin de recevoir les journaux des messages lectroniques suivant une planification : Unit : slectionnez la frquence laquelle vous devez envoyer le journal : Hourly, Daily ou Weekly. Pour dsactiver l'envoi des journaux, slectionnez Never. Cette option est utile lorsque vous ne souhaitez pas recevoir les journaux par message lectronique, mais voulez que les options de messagerie lectronique soient configures afin que vous puissiez utiliser la fonction d'envoi de journal des pages Status > View Logs. Day : si les journaux doivent tre envoys sur une base hebdomadaire, choisissez le jour de la semaine. Time : slectionnez l'heure laquelle les journaux doivent tre envoys.
TAPE 5 Si vous souhaitez que le dispositif de scurit envoie des journaux sur un serveur
syslog, entrez l'adresse IP ou le nom Internet du serveur dans le champ SysLog Server.
TAPE 6 Cliquez sur Apply pour enregistrer les paramtres.
202
Administration
Configurer les options de journalisation
Niveau de gravit du journal Emergency (niveau 0) Alert (niveau 1) Critical (niveau 2) Error (niveau 3) Warning (niveau 4) Notification (niveau 5) Information (niveau 6) Inutilisable par le systme. La dfinition syslog est LOG_EMERG. Action immdiate requise. La dfinition syslog est LOG_ALERT. Conditions critiques. La dfinition syslog est LOG_CRIT. Conditions d'erreur. La dfinition syslog est LOG_ERR. Conditions d'avertissement. La dfinition syslog est LOG_WARNING. Condition normale mais significative. La dfinition syslog est LOG_NOTICE. Messages d'information uniquement. La dfinition syslog est LOG_INFO.
203
Administration
Grer les certificats pour l'authentification
8
Messages de dbogage. La dfinition syslog est LOG_DEBUG. Par exemple : si vous slectionnez Critical, tous les messages lists sous les catgories Critical, Emergency et Alert sont consigns.
Debugging (niveau 7)
204
Administration
Grer les certificats pour l'authentification
8
Liste les certificats que vous a dlivr une autorit de certification fiable et qui sont disponibles pour tre utiliss par les serveurs IKE distants. Le serveur IKE distant valide le routeur en utilisant ces certificats. Pour utiliser un certificat automatique, vous devez d'abord demander un certificat auprs de l'autorit de certification, puis tlcharger et activer le certificat sur votre systme. Pour chaque certificat, le tableau Active Self Certificates inclut les informations suivantes :
Name : nom utilis pour identifier ce certificat. Subject Name : nom du titulaire (propritaire) de ce certificat affich aux autres organisations. Entrez la raison sociale ou le nom officiel de la socit. Serial Number : numro de srie gr par l'autorit de certification et utilis des fins d'identification. Issuer Name : nom de l'autorit de certification qui a dlivr le certificat. Expiry Time : date d'expiration du certificat. Il est recommand de renouveler le certificat avant qu'il n'arrive expiration.
Contient toutes les informations requises pour la cration de votre certificat numrique, dont les informations de contact, le nom pour lequel le certificat sign est dlivr et la cl publique du serveur qui utilisera le certificat. Le tableau Certificate Signing Request liste les noms des certificats que vous demandez et le statut du certificat.
Pour ajouter un certificat, cliquez sur Upload. Vous pouvez charger le certificat de l'ordinateur ou du priphrique USB. Cliquez sur Browse, recherchez et slectionnez le certificat, puis cliquez sur Upload. Pour supprimer un certificat, cochez la case pour slectionner le certificat, puis cliquez sur Delete.
205
Administration
Grer les certificats pour l'authentification
Pour tlcharger le certificat du routeur (fichier .pem), cliquez sur le bouton Download sous la zone Download Settings.
Generate CSR. La fentre Generate Certification Signing Request s'ouvre. a. Entrez les informations du nom unique dans les champs Generate Self Certificate Request . Name : nom unique utilis pour identifier un certificat. Subject : nom du titulaire du certificat (propritaire). L'entre CN (Common Name) du certificat gnr est renseigne par le champ Subject et peut comporter les champs suivants : CN=Nom commun O=Organisation OU=Unit organisationnelle L=Localit ST=Rgion C=Pays Par exemple : CN=routeur1, OU=mon_service, O=ma_socit, L=Paris, C=France Quel que soit le nom que vous choisissez, il apparatra dans la ligne d'objet du CSR gnr. Pour inclure plusieurs champs d'objet, entrez chaque objet spar par une virgule. Par exemple : CN=nomhte.domaine.com, ST=RhneAlpes, C=France Hash Algorithm : algorithme utilis par le certificat. Choisissez entre MD5 et SHA-1 Signature Algorithm : algorithme (RSA) utilis pour signer le certificat. Signature Key Length : longueur de la signature, 512 ou 1024. (Facultatif) Adresse IP, nom de domaine et adresse de messagerie lectronique
206
Administration
Configurer les enregistrements du serveur RADIUS
Une nouvelle demande de certificat est cre et ajoute au tableau Certification Signing Request (CSR). Pour afficher la demande, cliquez sur le bouton View en regard du certificat que vous venez de crer.
Autres options : cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, cochez la case dans la premire colonne de l'en-tte du tableau. Aprs avoir cliqu sur Add ou Edit, la fentre Radius Server Configuration s'ouvre.
TAPE 3 Saisissez les informations suivantes :
Authentication Server IP Address : entrez l'adresse IP du serveur RADIUS d'authentification. Authentication Port : entrez le numro de port du serveur RADIUS utilis pour envoyer le trafic RADIUS. Secret : entrez la cl partage configure sur le serveur RADIUS. Le champ Secret peut contenir tous les caractres, l'exception des apostrophes, guillemets et espaces. Timeout : entrez le nombre de secondes pendant lesquelles la connexion peut exister avant qu'une nouvelle authentification ne soit requise. Retries : entrez le nombre de nouvelles tentatives d'authentification par le dispositif avec le serveur RADIUS.
207
Administration
Gestion des licences
8
Vous installez et grer des licences dans la page License Management. Selon le type, vous pouvez tlcharger la licence, l'installer automatiquement l'aide d'une cl d'autorisation de produit (Product Authorization Key - PAK) ou l'activer partir de Cisco.com.
Licences prises en charge VPN par SSL Fournit un accs distance pour les employs, les partenaires et des consultants. Il s'agit d'une licence permanente, sans priode d'utilisation ni renouvellement ncessaire. Le nombre de postes pris en charge par dfaut est 2.
Pour le modle SA540, une mise jour gratuite de 50 postes est disponible. Vous devez tlcharger une cl de licence de Cisco pour activer ces postes. Pour obtenir la cl de licence, cliquez sur le lien Upgrade to 50 Seats sur la page License Management. Pour les modles SA520 et SA520W, vous pouvez augmenter le nombre de postes de 2 25 utilisateurs. Pour ajouter des postes, vous devez acheter une licence VPN SSL de Cisco l'adresse : www.cisco.com/go/license. ProtectLink Web propose un nombre illimit d'utilisateurs une protection contre les menaces Web afin d'viter tout accs des sites Web dangereux, ainsi qu'un filtrage des adresses URL afin de contrler l'accs des employs des sites Web non lis leur activit professionnelle. ProtectLink Gateway fournit les fonctionnalits de scurit Web de ProtectLink Web et les combine avec la scurit de la messagerie lectronique pour empcher tout courrier indsirable, virus et tentatives de phishing dans la messagerie lectronique. Il est disponible dans une licence pour 25 ou 100 postes. Pour tlcharger une licence gratuite ProtectLink (valuation de 30 jours), cliquez sur le lien Free Trial sur la page License Management. ProtectLink Endpoint : protge les ordinateurs Windows et les serveurs de tout logiciel espion, virus et autres programmes malveillants.
208
Administration
Gestion des licences
8
IPS (Systme de prvention des intrusions) Fournit une protection contre les vers, attaques et programmes malveillants. Cette licence est valable un an. Pour obtenir plus d'informations sur les DN, reportez-vous la Configuration de la traduction d'adresses rseau (IPS), page 138.
TAPE 1 Cliquez sur Administration > License Management, ou, dans la page Getting
Started (Advanced), sous Intrusion Prevention System (IPS), cliquez sur Install License. La fentre License Management s'ouvre. Le tableau License Status inclut les informations suivantes : Feature : affiche les licences disponibles. Cliquez sur le lien Feature pour afficher une description de la licence. Status : indique si la licence est install. Une fois installe, les licences ne peuvent pas tre transfrs ni retires. Seats Available : mombre actuel des licences installes. Expiration : date d'expiration de la licence sous le format MM/JJ/AAAAA. Par exemple : 04/23/2010. Pour les licences ProtectLink, le systme met automatiquement jour le nombre de postes et la date d'expiration toutes les 24 heures en fonction des modifications apportes au serveur de licence. Toutefois, si vous souhaitez rcuprer immdiatement ces informations, cliquez sur le bouton Update. Action : pour effectuer une action d'tape suivante. Selon ce que vous souhaitez faire, cliquez sur l'un des liens suivants : Install : installer et activer la licence. Free Trial : tlcharger une licence d'valuation partir de Cisco.com. Renew : renouveler votre licence existante, si celle-ci est sur le point d'expirer ou a dj expir. Upgrade to 25 Seats : mettre la licence niveau pour activer les utilisateurs. (Ne s'applique qu'aux modles SA520 et SA520W) Upgrade to 50 Seats : mettre la licence niveau pour activer les utilisateurs. (Ne s'applique qu'au modle SA540)
209
Administration
Gestion des licences
8
Device Credentials : champ en lecture seule. Cliquez sur ce bouton pour afficher l'ID produit et le numro de srie du priphrique, ainsi que les identifiants.
TAPE 2 Pour installer une licence, slectionnez la fonction et cliquez sur Install.
La fentre License Management Install License s'ouvre. a. Pour une licence IPS, slectionnez une des mthodes d'installation suivantes dans la page Install License : Type de licence d'installation License Code (PAK) from cisco.com : rcupre et installe automatiquement la licence sur le priphrique partir du serveur Cisco. Pour utiliser cette option, entrez votre ID PAK, ainsi que votre nom d'utilisateur et votre mot de passe Cisco.com. Ces identifiants sont requis afin que le priphrique s'identifie sur le serveur Cisco. Assurez-vous que le dispositif de scurit est dfini avec l'heure actuelle, sinon la licence ne s'installera pas correctement. Voir aussi Configurer les paramtres de date/heure, page 197. License File downloaded from cisco.com : installe une licence prcdemment tlcharge sur votre PC.
Select Transfer File : si le fichier de licence se trouve sur votre PC ou sur un priphrique USB, vous pouvez le tlcharger sur le dispositif de scurit. Cliquez sur Browse pour localiser et slectionner le fichier de licence. Aprs avoir termin la saisie des informations dans les champs obligatoires, cliquez sur Validate License. Cliquez sur Back pour revenir sur la page License Management.
b. Pour installer et activer une licence ProtectLink Web/Gateway ou Endpoint, cliquez sur Install et suivez les tapes dcrites sur la page Install License.
210
9
Gestion du rseau
Ce chapitre dcrit la configuration des fonctionnalits de gestion distance du routeur. Il comprend les sections suivantes : RMON (Gestion distance) CDP SNMP UPnP Bonjour
Pour accder aux pages de gestion du rseau, cliquez sur Network Management dans la barre de menus de Configuration Utility.
La dsactivation de Remote Management empche l'accs VPN SSL. IMPORTANT : lorsque vous dsactivez la gestion distance, le routeur est accessible tous ceux qui connaissent son adresse IP. Dans la mesure o un utilisateur de rseau WAN malveillant peut reconfigurer le routeur et en faire une mauvaise utilisation de plusieurs faons, nous vous recommandons vivement de modifier les mots de passe admin et invit avant de continuer.
211
Gestion du rseau
RMON (Gestion distance)
Enable Remote Management? : par dfaut, la gestion distance est dsactive. Pour activer l'accs WAN au GUI de configuration, cochez la case. IMPORTANT : lorsque vous activez la gestion distance, l'appliance de scurit est accessible tous ceux qui connaissent son adresse IP. Dans la mesure o un utilisateur de rseau WAN malveillant peut reconfigurer l'appliance de scurit et en faire une mauvaise utilisation de plusieurs faons, nous vous recommandons vivement de modifier les mots de passe admin et invit avant de continuer.
Access Type : choisissez le niveau d'autorisation pour la gestion distance : All IP Addresses : si cette option est slectionne, vrifiez que vous modifiez le mot de passe par dfaut. IP Address Range : si cette option est slectionne, renseignez le champ From: adresse IP de dbut pour la plage autorise et le champ To: adresse IP de fin pour la plage autorise.
Only this PC : si cette option est slectionne, dfinissez ce qui suit : IP Address : adresse IP du PC disposant des autorisations de gestion distance
Port Number : affiche le numro de port utilis pour la connexion distance. Remote SNMP Enable : cochez la case pour activer SNMP pour la connexion distance.
212
Gestion du rseau
CDP
9
Cisco Discovery Protocol (CDP) est un protocole de dtection de priphriques excut sur tous les quipements conus par Cisco. Chaque priphrique compatible CDP envoie des messages priodiques une adresse de multidiffusion et coute galement les messages priodiques envoys par d'autres afin d'en savoir plus sur les priphriques voisins et dterminer l'tat de ces priphriques. Cette page fournit des options de configuration pour contrler le CDP.
CDP
REMARQUE
L'activation du CDP n'est pas recommande sur le port WAN ddi et les ports facultatifs car ils sont connects des rseaux non scuriss.
CDP : slectionnez lune des options suivantes : Enable All : active le CDP sur tous les ports pris en charge par le priphrique. Disable All : dsactive le CDP Per Port : configure le CDP sur des ports slectifs, affichs dans le tableau d'informations des ports.
CDP Timer : il s'agit de l'intervalle de temps entre les paquets CDP successifs envoys par le routeur. CDP Hold Timer : le temporisateur de paquets est la dure pendant laquelle les informations envoyes dans le paquet CDP doivent tre mises en cache par le priphrique qui reoit le paquet CDP et aprs laquelle les informations expirent.
213
Gestion du rseau
SNMP
9
Le protocole SNMP (Simple Network Management Protocol) vous permet de surveiller et de grer votre routeur partir d'un gestionnaire SNMP. Le SNMP permet de surveiller et de contrler les priphriques rseau distance et de grer les configurations, la collecte des statistiques, les performances et la scurit. Le routeur prend en charge la version v2c du protocole SNMP et peut envoyer des droutements une communaut spcifique.
SNMP
Fentre SNMP
TAPE 1 Cliquez sur Network Management > SNMP > SNMP.
Cliquez sur le bouton Edit pour modifier une entre. Pour supprimer une entre, slectionnez la case correspondante, puis cliquez sur Delete. Pour slectionner toutes les entres, slectionnez la case de la premire colonne de l'en-tte du tableau. La fentre Configuration SNMP s'ouvre.
IP Address : saisissez l'adresse IP du gestionnaire ou de l'agent de droutement SNMP. Subnet Mask : saisissez le masque de rseau utilis pour dterminer la liste des gestionnaires SNMP autoriss. Port : saisissez le port de droutement SNMP de l'adresse IP laquelle les messages de droutement seront envoys.
214
Gestion du rseau
SNMP
9
Fentre SNMP System Info
Vous pouvez utiliser cette page pour configurer les champs MIB (Management Information Base).
TAPE 1 Cliquez sur Network Management > SNMP > SNMP System Info.
SysContact : nom du contact pour cette appliance de scurit. SysLocation : emplacement physique de l'appliance de scurit. SysName : nom donn pour une identification aise de l'appliance de scurit.
215
Gestion du rseau
UPnP
9
UPnP (Universal Plug and Play) est une fonction qui permet la dtection automatique de priphriques pouvant communiquer avec cette appliance de scurit. Le tableau UPnP Portmap Table affiche les adresses IP et d'autres paramtres des priphriques UPnP qui ont accd l'appliance de scurit.
UPnP
Do you want to enable UPnP? : cochez ou dcochez cette case pour activer ou dsactiver la prise en charge UPnP. Si elle est dsactive, le routeur ne permettra pas la configuration automatique du priphrique. Advertisement Period : il s'agit de la priode (en secondes) pendant laquelle ce routeur diffuse ses informations UPnP tous les priphriques porte. Advertisement Time to Live : exprim en sauts pour chaque paquet UPnP. Il s'agit du nombre d'tapes qu'un paquet est autoris propager avant d'tre rejet. Les petites valeurs limiteront la porte de diffusion UPnP.
216
Gestion du rseau
Bonjour
9
Bonjour est un protocole de publicit de service et de dtection. Bonjour annonce uniquement les services par dfaut configurs sur le routeur lorsque Bonjour est activ.
Bonjour
Multicast Packets puis cliquez sur Apply pour enregistrer vos paramtres.
TAPE 2 Cliquez sur Network Management dans la barre de menus, puis cliquez sur
services disponibles sont csco-sb, http et https. Sur un SA500, vous ne pouvez pas dsactiver un service spcifique. Vous pouvez seulement activer ou dsactiver Bonjour.
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
Les services par dfaut sont visibles uniquement aux htes appartenant aux VLAN associs. Par dfaut, le domaine de diffusion est LAN/Default-VLAN.
TAPE 3 Cliquez sur Apply pour ajouter le VLAN.
217
Gestion du rseau
Bonjour
9
Le VLAN associ au service apparat dans le tableau List of VLANs. Pour dissocier le VLAN du service, slectionnez la case en regard du VLAN appropri et cliquez sur Delete.
218
10
tat
Ce chapitre dcrit la manire d'afficher l'tat de votre routeur. Il comprend les sections suivantes : Page Device Status Page VPN Status Page Active Users Page View Logs Page CDP Neighbor Page LAN Devices Page Reports
Pour accder aux pages Status, cliquez sur Status dans la barre de menus de l'utilitaire de configuration.
219
tat
Page Device Status
10
Page Device Status
Utilisez la page Dashboard pour afficher les informations du systme en temps rel. Status > Device Status Router Information System Name Firmware (Primary & Secondary) Nom de l'unit du priphrique. Version du microprogramme que le routeur utilise actuellement (principal) et version que le routeur excutait prcdemment (secondaire). Par dfaut, le routeur dmarre avec les informations du routeur principal Numro de srie de ce priphrique, unique par appliance de scurit. Nombre d'utilisateurs administrateurs et invits configurs dans le systme
Serial Number Users (Admin/Guest) Utilisation des ressources CPU Utilization Memory Utilization System Up Time Licences
Utilisation totale du processeur par le systme Utilisation totale de la mmoire par le systme. Dure d'excution du priphrique.
Affiche l'tat de la licence de diverses fonctionnalits patentes du systme. Ces fonctionnalits sont ProtectLink Gateway, ProtectLink Endpoint, VPN SSL et le systme de prvention des intrusions. Syslog Summary Affiche le rcapitulatif du journal d'vnements du systme. Les entres Syslog peuvent avoir diffrents niveaux de gravit. Le nombre de journaux de chaque niveau est indiqu. Routing Mode Affiche le mode de routage du routeur (routage NAT ou classique), Mode WAN
220
tat
Page Device Status
10
Affiche le mode de configuration WAN du routeur (port WAN unique, renvoi automatique ou quilibrage de charge). Interface LAN IP Address DHCP Mode Interface WAN IP Address State Adresse IP du port WAN principal (ddi). Indique si la connexion WAN est UP (active) ou DOWN (inactive). L'tat est dfini sur UP si la liaison est active et que l'interface WAN dispose d'une adresse IP. Adresse IP LAN du routeur. Affiche le mode du serveur DHCP du routeur. Le mode peut tre Disabled, Server ou Relay.
Optional Port (WAN/DMZ/LAN) IP Address Adresse IP du port facultatif. Lorsque le port facultatif est en mode LAN, ce champ n'est pas affich. Indique si la connexion est UP (active) ou DOWN (inactive). Lorsque le port facultatif est en mode LAN ou DMZ, ce champ n'est pas affich. En mode WAN, l'tat est dfini sur UP si la liaison est active et que l'interface WAN dispose d'une adresse IP. (s'applique uniquement SA520W) Affiche le nombre de points d'accs configurs sur le SA520W et le nombre d'utilisateurs associs chaque SSID. Site to Site VPN All Tunnels Nombre de tunnels VPN de site site actifs et nombre total de tunnels VPN de site site configurs.
State
Access Points
Remote Access VPN SSL Users IPsec Users Nombre d'utilisateurs SSL actifs. Nombre d'utilisateurs IPsec.
221
tat
Page Device Status
10
Page Resource Utilization
Utilisez cette page pour afficher les informations de ressources du routeur.
Memory Utilization
222
tat
Page Device Status
10
Poll Interval Saisissez une valeur en secondes pour l'intervalle entre deux interrogations. Pour modifier l'intervalle entre deux interrogations, cliquez sur le bouton Stop puis cliquez sur Start pour redmarrer l'actualisation automatique l'aide de l'intervalle entre deux interrogations spcifi. Active l'actualisation automatique de page. Dsactive la fonction d'actualisation automatique de page.
Start Stop
Rx Bytes
Rx Drop Pkts
Poll Interval
223
tat
Page Device Status
10
Start Stop Active l'actualisation automatique de page. Dsactive l'actualisation automatique de page.
Bytes
Errors
Dropped
Multicast
Access Point Statistics Ce tableau affiche les donnes d'mission ou de rception d'un point d'accs donn.
224
tat
Page VPN Status
10
Device Status > Access Point Statistics
Nom du SSID Radio Packets Bytes Errors Dropped Multicast Poll Interval Nom du point d'accs. Numro radio sur lequel est configur le point d'accs. Nombre de paquets sans fil transmis ou reus (tx/ rx) sur le point d'accs. Nombre d'octets d'informations transmis ou reus (tx/rx) sur le point d'accs. Nombre d'erreurs de paquets transmis ou reus (tx/rx) signales au point d'accs. Nombre de paquets transmis ou reus (tx/rx) rejets par le point d'accs. Nombre de paquets de multidiffusion envoys sur ce point d'accs. Saisissez une valeur en secondes pour l'intervalle entre deux interrogations. Pour modifier l'intervalle entre deux interrogations, cliquez sur le bouton Stop puis cliquez sur Start pour redmarrer l'actualisation automatique l'aide de l'intervalle entre deux interrogations spcifi.
225
tat
Page VPN Status
10
Status > VPN Status > IPsec Status
Policy Name Endpoint Tx (KB) Tx (Packets) State Action Nom de la stratgie IKE ou VPN. Affiche l'adresse IP de la passerelle ou du client VPN distant. Donnes transmises en kilooctets. Nombre de paquets IP transmis. Affiche l'tat actuel des stratgies IKE. L'tat peut tre Not Connected ou IPsec SA Established. Cliquez sur Connect pour tablir une connexion SA inactive ou Drop pour terminer une connexion SA active. Lorsqu'une stratgie VPN est en place et active, tout trafic correspondant la stratgie dclenche une connexion et le tunnel VPN est configur automatiquement. Toutefois, vous pouvez utiliser le bouton Connect/Disconnect manuellement pour connecter ou dconnecter le tunnel VPN.
226
tat
Page VPN Status
10
Tx Packets Tx Dropped Packets Tx Bytes (KB) Rx Packets Rx Dropped Packets Rx Bytes (KB) Connection Status Nombre de paquets associs au tunnel transfrs par le client distant. Nombre de paquets associs au tunnel rejets au cours du transfert, par le client distant. Volume total du trafic envoy (en kilooctets) associ au tunnel. Nombre de paquets associs au tunnel reus par le client distant. Nombre de paquets associs au tunnel rejets au cours de la rception, par le client distant. Volume total du trafic reu (en kilooctets) associ au tunnel. Cliquez sur Disconnect pour terminer une session d'utilisateur active et le tunnel SSLVPN associ (le cas chant).
REMARQUE Si le tunnel n'est pas tabli par l'utilisateur, les champs spcifiques du tunnel ne contiendront aucune valeur.
Poll Interval
Saisissez une valeur en secondes pour l'intervalle entre deux interrogations. Pour modifier l'intervalle entre deux interrogations, cliquez sur le bouton Stop puis cliquez sur Start pour redmarrer l'actualisation automatique l'aide de l'intervalle entre deux interrogations spcifi. Cliquez sur cette option pour activer la fonctionnalit d'actualisation automatique de page. Cliquez sur Stop pour dsactiver la fonctionnalit d'actualisation automatique de page.
Start Stop
227
tat
Page Active Users
10
Status > VPN Status > Quick VPN Status
User Name Remote IP Nom de l'utilisateur IPsec associ au tunnel QuickVPN. Affiche l'adresse IP du client QuickVPN distant. Il peut s'agir d'une IP NAT ou publique si le client se trouve derrire le routeur NAT. Affiche l'tat actuel du client QuickVPN. OFFLINE signifie que le tunnel QuickVPN n'est PAS initi ou tabli par l'utilisateur IPsec. ONLINE signifie que ce tunnel QuickVPN, initi ou tabli par l'utilisateur IPsec, est actif. Cliquez sur Drop pour terminer une connexion active ou ONLINE et changer l'tat du client QuickVPN client en OFFLINE. Dure, en secondes, aprs laquelle la page se recharge automatiquement. Pour modifier l'intervalle entre deux interrogations, cliquez sur le bouton Stop et utilisez Start pour redmarrer l'actualisation automatique. Cliquez sur cette option pour activer la fonctionnalit d'actualisation automatique de page. Cliquez sur Stop pour dsactiver la fonctionnalit d'actualisation automatique de page.
Status
Action
Poll Interval
Start Stop
228
tat
Page View Logs
10
Status > Active Users
User Name Group IP address Login Time Disconnect Identifiant unique pour l'utilisateur. Groupe auquel appartient l'utilisateur connect. Adresse IP de l'hte partir de laquelle l'utilisateur a accd au routeur. Horodatage de la premire connexion de l'utilisateur au routeur. Termine une session d'utilisateur active et le tunnel SSLVPN associ (le cas chant).
Log Severity : choisissez un niveau de gravit pour le journal. Vous pouvez choisir parmi les niveaux suivants : Emergency, Alert, Critical, Error, Warning, Notification, Information ou Debugging. Pour obtenir une description de ces niveaux, consultez Fentre Logs Facility and Severity, page 203. Par exemple : si vous slectionnez Critical, tous les messages rpertoris sous Critical, Error Warning, Notification, Information et Debugging s'affichent. Les catgories Emergency et Alert ne sont pas affiches. Log Facility : choisissez l'installation partir de laquelle les journaux doivent tre affichs. All Kernel logs Affiche tous les journaux d'installation. Affiche les journaux appartenant au code de noyau.
229
tat
Page View Logs
10
System logs Wireless IPS ProtectLink VPN Firewall Network Affiche les journaux des applications de l'espace utilisateur tels que NTP, Session et DHCP. Affiche des journaux relatifs au rseau sans fil. Affiche des journaux gnrs par le systme IPS (Intrusion Prevention System). Affiche les journaux de la passerelle ProtectLink et des services de points de terminaison. Affiche les journaux relatifs IKE et VPN SSL. Affiche les journaux relatifs aux rgles, aux attaques et au filtrage de contenu de pare-feu Affiche les journaux de routage DHCP, WAN, LAN et QoS.
TAPE 3 Saisissez l'adresse IP source et de destination pour filtrer les journaux du pare-feu.
Les caractres gnriques tels que l'astrisque (*) et le point (.) sont autoriss dans les champs d'adresse source et de destination
TAPE 4 Cliquez sur Apply pour enregistrer les paramtres.
Les informations de journal sont affiches dans la zone Log Area. Elle comprend les informations suivantes : Date Severity Facility Source IP Destination IP Log Data Date et heure du journal correspondant. Gravit du journal correspondant. Installation du journal correspondant. Adresse IP source du journal correspondant. Adresse IP de destination du journal correspondant. Contenu de chaque journal.
Cliquez sur Refresh Logs pour afficher les entres ajoutes aprs l'ouverture de la page. Cliquez sur Clear Logs pour supprimer toutes les entres de la fentre de journal. Cliquez sur Send Logs pour envoyer par courrier lectronique des messages de journal actuellement affichs dans la fentre de journal. Les journaux sont envoys aux adresses lectroniques que vous avez configures sur la page
230
tat
Page View Logs
10
Remote Logging Configuration. Pour obtenir plus d'informations, reportez-vous au Fentre Remote Logging Config, page 201
231
tat
Page CDP Neighbor
10
Le protocole CDP (Cisco Discovery Protocol) fournit des informations sur d'autres priphriques connects ce priphrique et qui prennent en charge le protocole CDP. La page affiche des informations spcifiques au priphrique et identifie l'interface rseau de ce priphrique sur lequel le voisin a t dtect. Pour obtenir plus d'informations sur la configuration globale du protocole CDP, consultez CDP, page 213.
Page Reports
Utilisez la page Reports pour afficher les 10 principaux sites Web visits ou les 10 principaux sites Web bloqus par des composants du filtrage de contenu ou du filtrage URL ProtectLink. La page est uniquement active lorsque les composants de filtrage de contenu ou de filtrage URL ProtectLink sont activs. Pour ouvrir cette page, cliquez sur Status > Reports.
232
tat
Page Reports
10
Dans la liste droulante Report View, choisissez le type de rapport afficher, Website Hits ou Website Blocks. Puis cliquez sur Apply pour enregistrer vos modifications. Cliquez sur Refresh Data pour mettre jour les donnes l'cran. Cliquez sur Reset Data pour remettre les valeurs 0.
REMARQUE
Elapsed Collection Time indique la priode de temps pendant laquelle les donnes ont t collectes.
233
A
Dpannage
Connexion Internet
Symptme : sous ne pouvez pas accder l'utilitaire de configuration partir d'un PC sur votre rseau LAN. Action recommande :
TAPE 1 Vrifiez la connexion Ethernet entre le PC et l'appliance de scurit. TAPE 2 Vrifiez que l'adresse IP de votre PC se trouve sur le mme sous-rseau que
l'appliance de scurit. Si vous utilisez le schma d'adressage recommand, l'adresse de votre PC doit tre comprise entre 192.168.75.2 et 192.168.75.254.
TAPE 3 Vrifiez l'adresse IP de votre PC. Si le PC ne peut pas joindre un serveur DHCP,
certaines versions de Windows et de Mac OS gnrent et attribuent une adresse IP. Ces adresses sont gnres automatiquement dans la plage 169.254.x.x. Si votre adresse IP se trouve dans cette plage, vrifiez la connexion du PC au parefeu et redmarrez votre PC.
TAPE 4 Si votre adresse IP a chang et que vous ne la connaissez pas, rtablissez les
paramtres d'usine par dfaut de l'appliance de scurit (y compris l'adresse IP 192.168.75.1du pare-feu). Si vous ne souhaitez pas rtablir les paramtres d'usine par dfaut et perdre votre configuration, redmarrez l'appliance de scurit et utilisez un outil de surveillance des paquets (par exemple Ethereal) pour capturer les paquets envoys au cours du redmarrage. Regardez les paquets du protocole de rsolution d'adresse (ARP) pour localiser l'adresse de l'interface LAN.
TAPE 5 Lancez le navigateur et vrifiez que java, Javascript ou ActiveX est activ. Si vous
utilisez Internet Explorer, cliquez sur Actualiser pour vrifier que l'applet Java est charg. Fermez le navigateur et relancez-le.
234
Dpannage
Connexion Internet
A
connexion par dfaut est cisco et le mot de passe est cisco. Vrifiez que VERR. MAJ est dsactiv lorsque vous saisissez ces informations.
TAPE 6 Vrifiez que vous utilisez les informations de connexion appropries. Le nom de
Symptme : l'appliance de scurit n'enregistre pas mes modifications de configuration. Action recommande :
TAPE 1 En saisissant les paramtres de configuration, cliquez sur Apply avant de passer
Symptme : l'appliance de scurit ne peut pas accder Internet. Cause possible : si vous utilisez des adresses IP dynamiques, votre appliance de scurit ne demande pas d'adresse IP au FAI. Action recommande :
TAPE 1 Lancez le navigateur et vrifiez si vous pouvez vous connecter un site externe tel
que www.google.com.
TAPE 2 Lancez l'utilitaire de configuration. TAPE 3 Cliquez sur Status > Device Status > Device Status . TAPE 4 Dans la zone Dedicated WAN Info, recherchez l'adresse IPv4. Si 0.0.0.0 est
indiqu, votre pare-feu n'a pas obtenu d'adresse IP de votre FAI. Reportez-vous au prochain symptme.
Symptme : l'appliance de scurit ne peut pas obtenir d'adresse IP du FAI. Action recommande :
TAPE 1 Coupez l'alimentation du cble ou du modem DSL. TAPE 2 Dsactivez l'appliance de scurit. TAPE 3 Attendez 5 minutes, puis rebranchez le cble ou le modem DSL l'alimentation.
235
Dpannage
Connexion Internet
A
rebranchez l'appliance de scurit l'alimentation. Si l'appliance de scurit ne peut toujours pas obtenir d'adresse du FAI, reportez-vous au prochain symptme.
TAPE 4 Lorsque les voyants DEL du modem indiquent qu'il est resynchronis avec le FAI,
Symptme : l'appliance de scurit ne peut toujours pas obtenir d'adresse IP du FAI. Action recommande :
TAPE 1 Cliquez sur Networking > WAN > IPv4 Config. TAPE 2 Posez votre FAI les questions suivantes :
Une connexion est-elle ncessaire pour votre connexion Internet ? Si oui, de quel type ? Sur la page IPv4 WAN Configuration, slectionnez la case Internet Connection Requires a Login. Choisissez le type de connexion au FAI correct, puis saisissez les informations de compte comme spcifies par le FAI (nom d'utilisateur, mot de passe et secret, le cas chant). Votre FAI vrifie-t-il le nom d'hte de votre PC ? Si oui, dans le champ User Name, saisissez le nom d'hte du PC requis pour votre compte FAI. Votre FAI s'attend-il ce que vous vous connectiez partir d'une adresse MAC Ethernet particulire ? Si oui, dans la zone Routers MAC Address, choisissez Use this MAC Address pour la MAC Address Source, puis saisissez l'adresse MAC requise dans le champ prvu cet effet.
Symptme : l'appliance de scurit peut obtenir une adresse IP, mais le PC ne peut pas charger les pages Internet. Action recommande :
TAPE 1 Demandez votre FAI les adresses de ses serveurs DNS (Domain Name System)
dsigns. Configurez votre PC pour qu'il identifie ces adresses. Pour plus de dtails, reportez-vous la documentation de votre systme d'exploitation.
TAPE 2 Sur votre PC, configurez l'appliance de scurit en tant que passerelle TCP/IP.
236
Dpannage
Date et heure
A
Symptme : la date affiche est le 1er janvier 2000. Cause possible : l'appliance de scurit n'a pas encore pu atteindre de serveur NTS (Network Time Server). Action recommande :
TAPE 1 Si vous venez de configurer l'appliance de scurit, attendez au moins 5 minutes,
Date et heure
Symptme : l'heure de l'appliance retarde d'une heure. Cause possible : l'appliance de scurit ne se met pas automatiquement l'heure d't. Action recommande :
TAPE 1 Cliquez sur Administration > Time Zone. TAPE 2 Vrifiez ou dslectionnez Automatically adjust for Daylight Savings Time. TAPE 3 Cliquez sur Apply pour enregistrer les paramtres.
237
Dpannage
Effectuer un test ping pour tester la connectivit LAN
Excuter.
TAPE 2 Saisissez le ping <IP_address> o <IP_address> est l'adresse IP de l'appliance de
Si le chemin fonctionne, cette squence de message s'affiche : Pinging <IP address> with 32 bytes of data Reply from <IP address>: bytes=32 time=NN ms TTL=xxx
Si le chemin ne fonctionne pas, cette squence de message s'affiche : Pinging <IP address> with 32 bytes of data Request timed out
l'appliance de scurit : Si le voyant DEL du port LAN est teinte, accdez la section Affichages des voyants DEL , page B-1 et suivez les instructions concernant Les voyants DEL du port Internet ou LAN ne sont pas allumes . Vrifiez que les voyants DEL de liaison correspondantes sont allumes pour votre carte d'interface rseau et pour tous les ports du concentrateur connects votre station de travail et votre pare-feu.
Vrifiez que le logiciel du pilote de la carte Ethernet et le logiciel TCP/IP sont installs et configurs sur le PC. Vrifiez que l'adresse IP de l'appliance de scurit et du PC sont correctes et se trouvent sur le mme sous-rseau.
238
Dpannage
Effectuer un test ping pour tester la connectivit LAN
Excuter.
TAPE 2 Saisissez le ping -n 10 <IP_address> o -n 10 spcifie un maximum de 10 essais
et <IP address> est l'adresse IP du priphrique distant, par exemple le serveur DNS de votre prestataire de services. Exemple : ping -n 10 10.1.1.1.
TAPE 3 Cliquez sur OK puis observez le rsultat qui s'affiche (reportez-vous la
procdure prcdente).
TAPE 4 Si le chemin ne fonctionne pas, procdez comme suit :
Vrifiez que l'adresse IP de votre pare-feu est rpertorie comme passerelle par dfaut. (Si la configuration IP de votre PC est attribue par DHCP, ces informations ne sont pas visibles dans l'application Rseau du Panneau de Configuration de votre PC.) Vrifiez que l'adresse rseau (sous-rseau) de votre PC est diffrente de l'adresse rseau du priphrique distant. Vrifiez que le cble ou le modem DSL est connect et fonctionne. Contactez votre FAI et posez-lui les questions rpertories dans Symptme : l'appliance de scurit ne peut toujours pas obtenir d'adresse IP du FAI. Demandez votre FAI s'il rejette les adresses MAC Ethernet de tous vos ordinateurs sauf un. De nombreux FAI de haut dbit limitent l'accs en acceptant le trafic uniquement de l'adresse MAC de votre modem haut dbit. Certains FAI restreignent encore l'accs l'adresse MAC d'un seul PC connect ce modem. Dans ce cas, configurez votre pare-feu pour cloner ou usurper l'adresse MAC du PC autoris. Pour obtenir plus d'informations, reportez-vous la section Configuration de la connexion WAN, page 37.
239
Dpannage
Restauration des paramtres de la configuration d'usine par dfaut
Aprs la restauration des valeurs d'usine par dfaut, les paramtres suivants s'appliquent : LAN IP address : 192.168.75.1 Nom d'utilisateur : cisco Password: cisco DHCP server on LAN : activ WAN port configuration : Get configuration via DHCP
240
B
Services standard
L'appliance de scurit est configure avec la liste suivante de services standard disponibles pour le transfert de port et la configuration du pare-feu. Si vous voulez configurer une rgle de transfert de port ou une rgle de pare-feu pour un service qui n'est pas sur cette liste, vous pouvez crer un service personnalis dans cet objectif. Voir aussi Cration de services personnaliss, page 108.
TOUTE AIM BGP BOOTP_CLIENT BOOTP_SERVER CU-SEEME:UDP CU-SEEME:TCP DNS:UDP DNS:TCP FINGER FTP HTTP HTTPS ICMP-TYPE-3 ICMP-TYPE-4 ICMP-TYPE-5
241
Services standard
B
ICMP-TYPE-6 ICMP-TYPE-7 ICMP-TYPE-8 ICMP-TYPE-9 ICMP-TYPE-10 ICMP-TYPE-11 ICMP-TYPE-13 ICQ IMAP2 IMAP3 IRC NEWS NFS NNTP PING POP3 PPTP RCMD REAL-AUDIO REXEC RLOGIN RTELNET RTSP:TCP RTSP:UDP SFTP SMTP SNMP:TCP
242
Services standard
B
SNMP:UDP SNMP-TRAPS:TCP SNMP-TRAPS:UDP SQL-NET SSH:TCP SSH:UDP STRMWORKS TACACS TELNET TFTP VDOLIVE
243
C
Spcifications techniques et environnementales
Fonctionnalit Normes SA520
lEEE 802.3 CSMA1CD lEEE 802.3i 10BASE-T lEEE 802.3U 100BASE-TX lEEE 802.3x (contrle de flux en duplex intgral) lEEE 802.3ab (1000BASE-T) Auto MDl1MDlX lEEE 802.3Z (1000BASE-X)
SA520W
lEEE 802.3 CSMA1CD lEEE 802.3i 10BASE-T lEEE 802.3U 100BASE-TX lEEE 802.3x (contrle de flux en duplex intgral) lEEE 802.3ab (1000BASE-T) Auto MDl1MDlX lEEE 802.3Z (1000BASE-X) lEEE 802.11n lEEE 802.1b, g et n 4 connecteurs RJ-45 pour le port LAN 1 connecteur RJ-45 pour le port WAN 1 connecteur RJ-45 pour le port LAN, WAN ou DMZ 1 connecteur USB pour USB 2.0 1 commutateur d'alimentation 3 antennes externes
SA540
IEEE 802.3 CSMA/CD IEEE 802.3 10BASE-T IEEE 802.3u 100BASE-TX IEEE 802.3ab 1000BASE-T IEEE 802.3x (contrle de flux en duplex) Auto MDI/MDIX
Interfaces physiques
4 connecteurs RJ-45 pour le port LAN 1 connecteur RJ-45 pour le port WAN 1 connecteur RJ-45 pour le port LAN, WAN ou DMZ 1 connecteur USB pour USB 2.0 1 commutateur d'alimentation
8 connecteurs RJ-45 pour 10BASE-T, 100BASE-TX, 1000BASE-T 1 connecteur RJ-45 pouvant tre un port LAN, WAN ou DMZ 1 connecteur RJ-45 pour le port WAN 1 connecteur USB pour USB 2.0
Temprature de fonctionnement
De 0 40 C (de 32 104 F)
De 0 40 C (de 32 104 F)
De 0 40 C (de 32 104 F)
244
C
SA540
-20 70C (-4 158F)
SA520
-20 70C (-4 158F)
SA520W
-20 70C (-4 158F)
Alimentation interne Plage de tension Bande de frquences en entre Rgulation de la tension de sortie Courant de sortie Puissance d'mission (par dfaut)
90 264 VCA, MONOPHAS 90 264 VCA, MONOPHAS 90 264 VCA, MONOPHAS De 47 Hz 63 Hz
De 47 Hz 63 Hz
De 47 Hz 63 Hz
11.4 V ~ 12.6 V
11.4 V ~ 12.6 V
11.4 V ~ 12.6 V
MAX 2.5 A
MAX 2.5 A
MAX 2.5 A
N/A
11 dBm
N/A
Dimensions (H x W x D)
44 x 308 x 180 mm (1-3/4 x 12-1/ 8 x 7-1/8 pouces) L'antenne ajoute approximativement 171 mm (63/4 pouces) de hauteur et 30 mm (1-2/8 pouces) de profondeur.
4,91 lb
5.15
5,14 lb
245
D
Paramtres d'usine par dfaut
Paramtres gnraux
Fonctionnalit Host Name Device Name Administrator Username Administrator Password Allow ICMP echo replies (good for validating connectivity) Date and Time - Automatic Time Update Date and Time - Daylight Savings Time Date and Time - Protocol Date and Time - Time Zone DDNS HTTP Remote Access HTTPS Remote Access SNMP - Trusted Peer SNMP Agent
Paramtre Numro de modle Numro de modle cisco cisco dsactiver activer activer NTP Heure du Pacifique (USA & Canada) dsactiver activer activer adresse IP dsactiver
246
D
Paramtre SNMP V1 & V2c, SNMP V3 public priv dsactiver titre de information dsactiver activer activer activer activer dsactiver activ sur le LAN / dsactiv sur le port WAN activ sur le LAN / dsactiv sur le port WAN dsactiver 1812
Fonctionnalit SNMP Version SNMP Read-Only Community String SNMP Read-Write Community String SNMP Traps System Logging - Notify Level System Logging System Logging - Log UnAuthorized Login Attempts System Logging - Log Authorized Login Attempts System Logging - Log System Errors System Logging - Configuration Changes Email Server Requires Authentication Cisco Discovery Protocol Bonjour UPnP Radius Server Port
247
Paramtres du routeur
Fonctionnalit VLAN - Voice, Name VLAN - Voice, VLAN Number (802.1q tagged packets) VLAN - Voice, IP Address VLAN - Voice, IP Address Distribution VLAN - Voice, Start IP Address VLAN - Voice, End IP Address VLAN - Voice, Subnet Mask VLAN - Data, Lease Time in Minutes HTTP Remote Access HTTPS Remote Access VLAN - Data, Name VLAN - Data, VLAN Number (untagged packets) VLAN - Data, IP Address VLAN - Data, IP Address Distribution VLAN - Data, Start IP Address VLAN - Data, End IP Address VLAN - Data, Subnet Mask VLAN - Data, Lease Time in Minutes HTTP Remote Access
Paramtre Voice VLAN 100 10.1.1.1 DHCP Server 10.1.1.50 10.1.1.254 255.255.255.0 1440 dsactiver dsactiver Data VLAN 1 Voir l'onglet Product DHCP Server 192.168.x.50 192.168.x.254 255.255.255.0 1440 activer
248
D
Paramtre activer DHCP Client 1500 dsactiver dsactiver dsactiver DHCP Client 1500 dsactiver dsactiver dsactiver dsactiver activer / dsactiver le VLAN DMS dsactiver IPv4 uniquement Automatique activer 192.168.10.0
Fonctionnalit HTTPS Remote Access WAN1 IP address assignment WAN1 - MTU WAN1- Outgoing Traffic Bandwidth Limit Allow ICMP echo replies (good for validating connectivity) HTTPS Remote Access WAN2 IP address assignment WAN2 - MTU WAN2- Outgoing Traffic Bandwidth Limit Allow ICMP echo replies (good for validating connectivity) HTTPS Remote Access Routing (RIP1/2) Inter-VLAN routing Static Routing IPv4 and IPv6 IPSec - Signaling Authentication - Key Exchange Method IPSec - Signaling Authentication - Auto Reconnect IPSec - Signaling Authentication - Local Subnet (Data VLAN subnet) IPSec - Signaling Authentication - Local Subnet (Data VLAN subnet mask)
255.255.255.0
249
D
Paramtre IKE avec PSK Mode principal 3DES-CBC, AES 256 SHA1 Groupe 2 DH (1024 bits)
Fonctionnalit IPSec - Signaling Authentication - Keying Mode IPSec - Signaling Authentication - Phase 1 - Mode IPSec - Signaling Authentication - Phase 1 - Encryption Algorithm IPSec - Signaling Authentication - Phase 1 - Hash Algorithm IPSec - Signaling Authentication - Phase 1 - Group Description Attribute IPSec - Signaling Authentication - Phase 1 - Lifetime in Seconds IPSec - Signaling Authentication - Phase 1 - Rekey Margin IPSec - Signaling Authentication - Phase 1 - Rekey Fuzz Percent IPSec - Signaling Authentication - Phase 1 - Negotiation Attempts IPSec - Signaling Authentication - Phase 2 - Encryption Algorithm IPSec - Signaling Authentication - Phase 2 - Authentication Algorithm IPSec - Signaling Authentication - Phase 2 - Use PFS IPSec - Signaling Authentication - Phase 2 - Group Description Attribute IPSec - Signaling Authentication - Phase 2 - Hash Algorithm
SHA1
250
D
Paramtre 3600 activer activer activer
Fonctionnalit IPSec - Signaling Authentication - Phase 2 - Lifetime in Seconds IPSec Pass through PPTP Pass through L2TP Pass through
Fonctionnalit VLAN - Voice, VLAN Number (802.1q tagged packets) VLAN - Voice, Name (optional) SSID Name SSID Broadcast Wireless Isolation (within SSID): 802.1q Priority 802.11e Priority VLAN - Data, VLAN Number (untagged packets) VLAN - Data, IP Address Assignment (Management) VLAN - Data, IP Address (Failover when no DHCP Server Available) VLAN - Data, Subnet Mask (Failover when no DHCP Server Available) VLAN - Data, Name (optional)
Paramtre 100 Voice VLAN cisco-voice dsactiver dsactiver 5 6 1 DHCP Client Voir l'onglet Product 255.255.255.0
Data VLAN
251
D
Paramtre cisco-data dsactiver dsactiver 0 1812 3600 Dsactive activ Mixte (802.11b, g, n) Auto dsactiv Toutes 100 ms 2 ms 2347 2346 100% dsactiv dsactiv dsactiv dsactiv 50 pps auto
Fonctionnalit SSID Name SSID Broadcast Wireless Isolation (within SSID): 802.1q Priority Radius Server Port Key Renewal Timeout Connection Control (MAC address filtering) Wireless Isolation (between SSIDs): Wireless Network Mode Wireless Channel CTS Protection Mode Basic Data Rates (Advertised) Beacon Interval DTIM Interval RTS Threshold Fragmentation Threshold Power Output Radio 802.1x supplicant Clustering of Access Points unique to AP54x Broadcast / Multicast Rate Limiting Broadcast / Multicast Rate Limit Multicast traffic rate per radio
252
D
Paramtre Autoriser dsactiv dsactiv Dpend de SKU 40 Mhz 200 Auto Allum activ Radio1 4 files d'attente = 1 ms, 1 ms, 3 ms, 7 ms 4 files d'attente = 3 ms, 7 ms, 15 ms, 15 ms 4 files d'attente - 1,5 ms, 3 ms, 0 ms, 0 ms 4 files d'attente = 7 ms, 15 ms, 15 ms, 15 ms
Fonctionnalit MAC Authentication Default Action Load Balancing Mode 802.1d Spanning tree mode on wired / WDS link Country or Band code for Radio such as FCC, ETSI etc. Channel Bandwidth Maximum associations supported Antenna Selection, automatically selects best antenna WMM APSD Power mode setting AP Detection for neighbor AP both rogue and known APs For a multiple-radio AP, which radio this WDS link is using Arbitration Inter Frame Spacing (AIFS) Minimum contention window Maximum Burst Maximum contention window
253
Stockage
Fonctionnalit VLAN - Data, IP Address Assignment (Management) VLAN - Data, IP Address (Failover when no DHCP Server Available) VLAN - Data, Subnet Mask (Failover when no DHCP Server Available) Windows workgroup name HTTP Access Administration HTTP File Access FTP File Access HTTPS Administration Access Dual Link Mode (802.3ad Link Aggregation, Active Backup) Idle Drive Spin Down (1-8 hours, 1 day) Public access to share Idle Disconnect Timeout Banner Allow Anonymous Access Allow Anonymous File Upload Allow Anonymous File Download Maximum Anonymous Transfer Rate (0 - unlimited) in KB/s Disconnect Idle Sessions
WORKGROUP 80 8080 21 443 Sauvegarde active 8 heures Lecture seule 5 minutes Welcome to the Cisco Small Business FTP Server dsactiver dsactiver activer 0 5 minutes
254
D
Paramtre 5 minutes 5 activer
Fonctionnalit Disconnect Stalled Sessions Maximum Connections per IP Address Default File Creation Attributes (Group Read/Write, Everyone Read/Write Enable users to delete and rename other's files and folders
activer
Paramtres de scurit
Fonctionnalit UpNP Remote Management CDP. Enabled on LAN, disabled on WAN Firewall Respond to Ping on internet Enable Stealth Mode Block TCP Flood Block UDP Flood Block ICMP Notification Block Fragmented Packets Block Multicast Packets SYN Flood Detect Rate Echo Storm (ping packets/sec)
Paramtre Dsactive Dsactive Dsactiv sur le WAN Entrant : rejeter / sortant : autoriser Dsactive Activer Activer Activer Activer Activer Activer 128 max/sec 15 paquets/sec
255
D
Paramtre 100 paquets/sec
256
E
Pour en savoir plus
Cisco propose une vaste gamme de ressources pour vous aider tirer pleinement parti du priphriques de scurit de la gamme SA500.
257