Académique Documents
Professionnel Documents
Culture Documents
Guide de l'administrateur
Version 5.0
À propos de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Conventions typographiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Remarques et précautions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Documentation connexe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Chapitre 1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Chapitre 2
Mise en route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Préparation du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Paramétrage du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Utilisation de l'interface Web du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23
Validation des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Accès aux pages de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Utilisation des tableaux des pages de configuration . . . . . . . . . . . . . . . . . . . . . . 27
Champs obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
Verrouillage des transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Navigateurs pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Obtention d'aide sur la configuration du pare-feu . . . . . . . . . . . . . . . . . . . 29
Obtention d'informations supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Support technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Chapitre 3
Gestion des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Chapitre 4
Configuration du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Chapitre 5
Politiques et profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Directives de définition des politiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Précision des utilisateurs et des applications des politiques . . . . . . . . . . . . . 200
Politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Définition de politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Détermination de la configuration de zone dans la
politique NAT et de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Options des règles NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Définition des politiques de traduction des adresses réseau . . . . . . . . . . . . 209
Exemples de politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Politiques de transfert basé sur une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Politiques de déchiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Politiques de contrôle prioritaire sur l'application . . . . . . . . . . . . . . . . . . . . . . . . 221
Définition d'applications personnalisées avec
contrôle prioritaire sur l'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Définition de politiques de contrôle prioritaire sur l'application. . . . . . . . . . 221
Politiques de portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Définition de politiques de portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Politiques de protection DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Définition de politiques DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Profils antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Profils antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Profils de protection contre les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Profils de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Profils de blocage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Profils de filtrage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Profils DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Autres objets de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Adresses et groupes d'adresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Définition des plages d'adresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Définition des groupes d'adresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Définition des régions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Applications et groupes d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Définition des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Applications personnalisées avec signatures. . . . . . . . . . . . . . . . . . . . . . . . . 255
Définition des groupes d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Filtres d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Groupes de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Modèles de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Chapitre 6
Rapports et journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Chapitre 7
Configuration du pare-feu pour l'identification utilisateur . . . . . . . . . . . 305
Chapitre 8
Configuration des tunnels IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Authentification GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Paramétrage de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Paramétrage et activation de l'agent de GlobalProtect . . . . . . . . . . . . . . 383
Paramétrage de l'agent de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Chapitre 10
Configuration de la qualité de service. . . . . . . . . . . . . . . . . . . . . . . . . . 387
Chapitre 11
Configuration d'un Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Configuration système requise et limitations. . . . . . . . . . . . . . . . . . . . . . . . 398
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Licence du Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Installation du Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Chapitre 12
Paramétrage de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Paramétrage de Panorama en tant qu'appareil virtuel. . . . . . . . . . . . . . . 406
Installation de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Configuration de l'interface réseau de Panorama . . . . . . . . . . . . . . . . . . . . . . . 407
Extension de la capacité de stockage des journaux . . . . . . . . . . . . . . . . . . . . . . 408
Ajout d'un disque virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Paramétrage des partitions de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Paramétrage de Panorama sur un appareil série M . . . . . . . . . . . . . . . . . 410
Exécution du paramétrage initial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Connexion à Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Modification du mot de passe par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Configuration de la haute disponibilité (HD) . . . . . . . . . . . . . . . . . . . . . . . 411
Changement de la priorité de journalisation dans une paire HD . . . . . . . . . . . . 414
Chapitre 14
Configuration de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Annexe A
Annexe B
Catégories, sous-catégories, technologies et
caractéristiques d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Annexe C
Prise en charge des normes FIPS
(Federal Information Processing Standards). . . . . . . . . . . . . . . . . . . . . . 481
Annexe D
Licences libres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
Licence artistique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
Licence publique générale GNU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Licence publique générale limitée GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
Index. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Préface
Cette préface contient les sections suivantes :
• « À propos de ce guide » dans la section suivante
• « Organisation » à la page 13
À propos de ce guide
Ce guide explique comment gérer le pare-feu Palo Alto Networks à l'aide de l'interface Web
d'un périphérique.
Ce guide s'adresse aux administrateurs systèmes chargés du déploiement, de l'utilisation et de
la gestion du pare-feu.
Organisation
Ce guide est organisé de la manière suivante :
• Chapitre 1, « Introduction » - Fournit une vue d'ensemble du pare-feu.
• Annexe A, « Pages personnalisées » - Fournit le code HTML pour les pages de réponse
personnalisées afin d'informer les utilisateurs finaux de violations de politiques ou de
conditions d'accès spéciales.
• Annexe D, « Licences libres » - Contient des informations relatives aux licences Open
Source applicables.
Conventions typographiques
Ce guide utilise les conventions typographiques suivantes pour des termes et instructions
spécifiques.
Remarques et précautions
Ce guide utilise les symboles suivants pour les remarques et les précautions.
Symbole Description
REMARQUE
Indique des suggestions utiles ou des informations complémentaires.
PRÉCAUTION
Signale des actions susceptibles d'entraîner la perte de données.
Documentation connexe
Les documentations complémentaires suivantes sont fournies avec le pare-feu :
• Démarrage rapide
Fonctionnalités et avantages
Le pare-feu assure un contrôle granulaire du trafic autorisé à accéder à votre réseau. Les
fonctionnalités et avantages principaux incluent :
• Mise en œuvre d'une politique basée sur une application - Le contrôle des accès par
application est beaucoup plus efficace lorsque l'identification d'une application ne se base
pas uniquement sur le protocole et le numéro de port. Des applications présentant des
risques élevés peuvent être bloquées, ainsi que des comportements à risques élevés,
comme le partage de fichiers. Le trafic crypté à l'aide du protocole SSL (Secure Socket
Layer) peut être décrypté et inspecté.
• Prévention des menaces - Les services de prévention des menaces qui protègent le réseau
des virus, des vers, des logiciels espions et d'autres trafics malveillants peuvent varier
selon la source de l'application et du trafic (voir la section « Profils de sécurité » à la
page 226).
• Filtrage des URL - Les connexions sortantes peuvent être filtrées pour empêcher l'accès à
des sites Web inappropriés (voir la section « Profils de filtrage des URL » à la page 234).
• GlobalProtect - GlobalProtect sécurise les systèmes clients, tels que les ordinateurs
portables, qui sont utilisés sur le terrain, grâce à une connexion simple et sécurisée où que
vous soyez.
• Pare-feu VM-Series - Fournit une instance virtuelle de PAN-OS pouvant être utilisée
dans un environnement de centre de données virtualisé. Elle est particulièrement bien
adaptée aux déploiements de clouds privés et publics. Elle peut être installée sur
n'importe quel périphérique x86 capable d'exécuter VMware ESXi sans avoir à déployer
le matériel de Palo Alto Networks.
• Gestion et Panorama - Chaque pare-feu est géré via une interface Web intuitive ou une
interface de ligne de commande (CLI) ou tous les périphériques peuvent être gérés de
façon centralisée via le système de gestion centralisé de Panorama qui dispose d'une
interface Web très similaire à celle du périphérique.
Interfaces de gestion
Le pare-feu prend en charge les interfaces de gestion suivantes. Pour obtenir une liste des
navigateurs pris en charge, consultez la section « Navigateurs pris en charge » à la page 28.
• Interface Web - Configuration et surveillance du protocole HTTP ou HTTPS à partir d'un
navigateur Web.
• CLI - Configuration en mode texte et surveillance des protocoles Telnet, SSH (Secure
Shell) ou du port de la console (consultez le Guide de référence de l'interface de ligne de
commande PAN-OS).
• Protocole SNMP (Simple Network Management Protocol) - Prend en charge RFC 1213
(MIB-II) et RFC 2665 (interfaces Ethernet) pour une surveillance à distance et génère des
pièges SNMP pour un ou plusieurs récepteurs de pièges (voir la section « Configuration
des destinations de pièges SNMP » à la page 82).
• Syslog - Génère des messages pour un ou plusieurs serveurs syslog distants (voir la
section « Configuration des serveurs Syslog » à la page 83).
• API XML - Fournit une interface REST (Representational State Transfer) permettant
d'accéder à la configuration, au statut opérationnel, aux rapports et aux captures de
paquets d'un périphérique à partir du pare-feu. Ce dernier contient un navigateur API
disponible à l'adresse suivante : https://<pare-feu>/api, où <pare-feu> correspond au nom
d'hôte ou à l'adresse IP du pare-feu. Ce lien fournit une aide concernant les paramètres
requis pour chaque type d'appel API. Un guide d'utilisation de l'API XML est disponible
dans la communauté en ligne de DevCenter à l'adresse suivante :
http://live.paloaltonetworks.com.
Préparation du pare-feu
Procédez comme suit pour préparer le paramétrage du pare-feu :
1. Montez le pare-feu sur une baie et mettez-la sous tension comme décrit dans le Guide de
référence du matériel.
Paramétrage du pare-feu
Pour effectuer le paramétrage initial du pare-feu :
1. Connectez votre ordinateur au port de gestion (MGT) du pare-feu à l'aide d'un câble
Ethernet RJ-45.
2. Mettez votre ordinateur sous tension. Assignez une adresse IP statique à votre ordinateur
sur le réseau 192.168.1.0 (par exemple : 192.168.1.5) avec un masque réseau de
255.255.255.0.
4. Saisissez admin dans les champs Nom et Mot de passe, puis cliquez sur Se connecter. Le
système affiche un avertissement vous invitant à modifier le mot de passe par défaut.
Cliquez sur OK pour continuer.
– Dans l'onglet Gestion sous Paramètres de l'interface de gestion, saisissez l'adresse IP,
le masque réseau et la passerelle par défaut du pare-feu.
– Dans l'onglet Services, saisissez l'adresse IP du serveur DNS (Domain Name System).
Saisissez l'adresse IP ou le nom d'hôte et de domaine du serveur NTP (Network Time
Protocol) et sélectionnez votre fuseau horaire.
8. Dans les champs Nouveau mot de passe et Confirmer le nouveau mot de passe, saisissez
et confirmez un mot de passe sensible à la casse (15 caractères maximum).
10. Validez la configuration pour activer ces paramètres. Une fois les modifications validées,
le pare-feu sera accessible via l'adresse IP assignée à l'Etape 5. Pour plus d'informations
sur la validation de modifications, consultez la section « Validation des modifications » à
la page 26.
• Pour afficher les éléments du sous-menu, cliquez sur l'icône située à gauche d'un
élément. Pour masquer les éléments du sous-menu, cliquez sur l'icône située à gauche
d'un élément.
• Dans la plupart des pages de configuration, vous pouvez cliquer sur Ajouter pour créer
un nouvel élément.
• Pour afficher des informations d'aide sur une page, cliquez sur l'icône Aide située en haut
à droite de la page.
• Pour afficher la liste active des tâches, cliquez sur l'icône Tâches située dans le coin
inférieur droit de la page. La fenêtre Gestionnaire de tâches s'ouvre pour afficher la liste
des tâches, leur statut, l'heure de leur démarrage, les messages et actions associés. Utilisez
la liste déroulante Afficher pour filtrer la liste des tâches.
• Si une préférence linguistique spécifique n'a pas été définie, la langue de l'interface Web
est contrôlée par la langue actuellement utilisée par l'ordinateur qui gère le périphérique.
Par exemple, si les paramètres régionaux de l'ordinateur que vous utilisez pour gérer le
pare-feu sont en langue espagnole, lorsque vous vous connectez au pare-feu, l'interface
Web va s'afficher en espagnol.
Pour spécifier une langue qui sera toujours utilisée pour un compte donné quels que
soient les paramètres régionaux de l'ordinateur, cliquez sur l'icône Langue située dans le
coin inférieur droit de la page et la fenêtre Préférences linguistiques s'ouvre. Cliquez sur
la liste déroulante pour sélectionner la langue souhaitée, puis cliquez sur OK pour
enregistrer votre modification.
• Dans les pages affichant des informations modifiables (par exemple : la page Paramétrer
de l'onglet Périphériques), cliquez sur l'icône située dans le coin supérieur droit d'une
section pour modifier les paramètres.
• Une fois les paramètres configurés, vous devez cliquer sur OK ou Enregistrer pour
enregistrer ces modifications. Lorsque vous cliquez sur OK, la configuration « candidate »
active est mise à jour.
Les options suivantes sont disponibles dans la boîte de dialogue de validation. Cliquez
sur le lien Avancé, le cas échéant, pour afficher les options suivantes :
– Inclure la configuration des systèmes virtuels - Incluez tous les systèmes virtuels ou
choisissez Sélectionner un ou plusieurs systèmes virtuels.
– Prévisualiser les modifications - Cliquez sur ce bouton pour faire apparaître une
fenêtre composée de deux volets qui compare les modifications proposées dans la
configuration candidate à la configuration actuellement active. Vous pouvez choisir le
nombre de lignes de contexte à afficher ou visualiser toutes les lignes. Les
modifications sont codifiées par couleur selon que les éléments ont été ajoutés,
modifiés ou supprimés.
L'action de la fonctionnalité Périphérique > Configuration de l'audit est identique,
voir « Comparaison des fichiers de configuration » à la page 52.
Champs obligatoires
Les champs obligatoires ont un arrière-plan de couleur jaune clair. Un message indiquant
qu'un champ est obligatoire apparaît lorsque vous passez la souris dessus ou que vous cliquez
dans la zone de saisie du champ.
N'importe quel administrateur peut ouvrir la fenêtre de verrouillage pour afficher les
transactions actuellement verrouillées, ainsi que leur horodatage respectif.
Pour verrouiller une transaction, cliquez sur l'icône déverrouillée dans la barre d'outils du
haut pour ouvrir la boîte de dialogue Verrous. Cliquez sur Utiliser un verrou, sélectionnez
son étendue dans la liste déroulante, puis cliquez sur OK. Ajoutez des verrous
supplémentaires, le cas échéant, puis cliquez sur Fermer pour fermer la boîte de dialogue
Verrous.
La transaction est verrouillée et l'icône située dans la barre d'outils du haut affiche un verrou
fermé et indique le nombre d'éléments verrouillés entre parenthèses.
Pour déverrouiller une transaction, cliquez sur l'icône affichant un verrou fermé dans la
barre d'outils du haut pour ouvrir la fenêtre Verrous. Cliquez sur l'icône du verrou que
vous voulez supprimer, puis cliquez sur Oui pour confirmer. Cliquez sur Fermer pour fermer
la boîte de dialogue Verrous.
Vous pouvez automatiquement acquérir un verrou de validation en cochant la case Acquérir
automatiquement un verrou de validation dans le champ Gestion de la page Paramétrage du
périphérique. Consultez la section « Paramétrage du système, configuration et gestion des
licences » à la page 32.
• Firefox 3.6+
• Safari 5+
• Chrome 11+
• Aide en ligne - Cliquez sur Aide dans le coin supérieur droit de l'interface Web pour
accéder au système d'aide en ligne.
Support technique
Pour contacter le support technique, procédez comme suit :
• Visitez la communauté de support en ligne KnowledgePoint à l'adresse suivante :
http://live.paloaltonetworks.com.
• « SNMP » à la page 50
La page Configuration vous permet de configurer le pare-feu pour la gestion, les opérations,
les services, l'identification du contenu, l'analyse et la génération de rapports du logiciel
malveillant WildFire et pour le comportement de la session.
Si vous ne souhaitez pas utiliser le port de gestion, vous pouvez définir une interface en
boucle et gérer le pare-feu via l'adresse IP de l'interface en boucle (reportez-vous à
« Configuration des interfaces en boucle » à la page 155).
Exécutez l'une des opérations suivantes sur cette page :
• Pour modifier le nom d'hôte ou des paramètres du réseau, cliquez sur Modifier dans le
premier tableau de la page, puis précisez les informations suivantes.
Vérification de la date Configurez le pare-feu pour qu'il renvoie des messages d'avertissement
d'expiration du certificat lors des certificats inclus sont proches de leurs dates d'expiration.
Fonction de systèmes Pour autoriser l'utilisation de plusieurs systèmes virtuels (si le modèle du
virtuels multiples pare-feu le permet), cliquez sur Modifier en regard de Fonction de
systèmes virtuels multiples en haut de la page Paramétrage. Cochez la
case, puis cliquez sur OK. Pour plus d'informations sur les systèmes
virtuels, reportez-vous à « Systèmes virtuels » à la page 118.
Paramètres
d'authentification
Profil d'authentification Sélectionnez le profil d'authentification à utiliser pour l'accès
administrateur au pare-feu. Pour obtenir des instructions sur la
configuration de profils d'authentification, reportez-vous à « Paramétrage
de profils d'authentification » à la page 67.
Profil du certificat Sélectionnez le profil du certificat à utiliser pour l'accès administrateur au
pare-feu. Pour obtenir des instructions sur la configuration de profils du
certificat, reportez-vous à « Profil du certificat » à la page 96.
Paramètres de
Panorama
Serveur Panorama Saisissez l'adresse IP de Panorama, le système de gestion centralisée de
Palo Alto Networks (le cas échéant). L'adresse du serveur est nécessaire
pour gérer le périphérique via Panorama.
Remarque : Pour supprimer des politiques distribuées par Panorama aux pare-
feux gérés, cliquez sur le lien Désactiver les politiques et objets Panorama.
Pour conserver une copie locale des politiques et objets sur votre périphérique
avant de les supprimer des Panorama, cochez la case Importer les politiques et
objets Panorama avant la désactivation dans la boîte de dialogue qui
s'affiche. Cliquez sur OK.
Pour supprimer des modèles des périphériques et réseaux, cliquez sur le lien
Désactiver les modèles des périphériques et réseaux. Pour conserver une
copie locale des modèles des périphériques et réseaux, cochez la case
Importer les modèles des périphériques et réseaux avant la désactivation
dans la boîte de dialogue qui s'affiche, puis cliquez sur OK.
Lorsque vous cochez la case d'importation, la configuration définie dans les
modèles des périphériques et réseaux est copiée dans la configuration
candidate en cours. Si vous validez cette configuration, ces éléments sont
inclus à votre configuration et ne sont plus gérés par Panorama. Les modèles
ne sont plus acceptés sur le périphérique jusqu'à ce que vous cliquiez sur
Activer les modèles des périphériques et réseaux.
Serveur 2 de Panorama Si Panorama fonctionne en mode haute disponibilité (HD), précisez le
second système Panorama inclus dans la configuration HD.
Délai d'attente en Saisissez le délai de réception des messages TCP de Panorama (1 à
réception pour 120 secondes, par défaut 20).
connexion au
périphérique
Délai d'attente à l'envoi Saisissez le délai d'envoi des communications TCP à Panorama (1 à
pour la connexion à 120 secondes, par défaut 20).
Panorama
Nombre de relances Saisissez le nombre de tentatives d'envoi de messages SSL à Panorama
pour les envois SSL à (1 à 64, par défaut 25).
Panorama
Paramètres de
l'interface de gestion
Vitesse de l'interface de Configurez un débit de données et une option de duplex pour l'interface
gestion de gestion. Les choix possibles sont : 10 Mbits/s, 100 Mbits/s et 1 Gbit/s
en duplex intégral ou semi-duplex. Utilisez le paramètre de négociation
automatique par défaut pour que le pare-feu détermine la vitesse de
l'interface.
Ce paramètre doit correspondre aux paramètres de port de l'équipement
réseau voisin.
Adresse IP de l'interface Saisissez l'adresse IP du port de gestion. Vous pouvez également utiliser
de gestion l'adresse IP d'une interface en boucle pour la gestion des périphériques.
Cette adresse constitue l'adresse source de la journalisation à distance.
Masque réseau Saisissez le masque réseau de l'adresse IP, 255.255.255.0 par exemple.
Passerelle par défaut Saisissez l'adresse IP du routeur par défaut (il doit se trouver sur le même
sous-réseau que le port de gestion).
Adresse IPv6 de (Facultatif) Saisissez l'adresse IPv6 du port de gestion. Un préfixe IPv6 est
l'interface de gestion requis pour indiquer le masque réseau, par exemple 2001:400:f00::1/64.
Passerelle IPv6 par Saisissez l'adresse IPv6 du routeur par défaut (il doit se trouver sur le
défaut même sous-réseau que le port de gestion), si vous avez attribuez une
adresse IPv6 au port de gestion.
Services de l'interface de Sélectionnez les services activés sur l'adresse de l'interface de gestion
gestion précisée : HTTP, HTTPS, Telnet, Secure Shell (SSH) et/ou ping.
IP autorisée Saisissez la liste des adresses IP à partir desquelles la gestion est
autorisée.
Bloquer les caractères N'autorisez pas la répétition des caractères en fonction de la valeur
récurrents spécifiée. Exemple : si la valeur est définie sur 4, le mot de passe test 2222
ne sera pas accepté mais test222 le sera (plage de 2 à 15).
Bloquer l'intégration du Cochez cette case pour empêcher l'utilisation du nom d'utilisateur du
nom d'utilisateur compte (ou une version inversée du nom) dans le mot de passe.
(inversé inclus)
Les caractères du Lorsque les administrateurs changent leurs mots de passe, les caractères
nouveau mot de passe doivent être différents de la valeur spécifiée.
sont différents
Changement de mot de Cochez cette case pour demander aux administrateurs de changer leurs
passe exigé à la première mots de passe à la prochaine connexion au périphérique.
ouverture de session
Lorsque vous modifiez un paramètre de configuration et que vous cliquez sur OK, la
configuration « candidate » est mise à jour, et non la configuration active. Cliquez sur Valider
en haut de la page pour appliquer la configuration candidate à la configuration active, ce qui
permet également d'activer toutes les modifications apportées à la configuration depuis la
dernière validation.
Cette méthode vous permet de passer en revue la configuration avant de l'activer. L'activation
simultanée de plusieurs modifications permet d'empêcher les états de configuration incorrects
possibles lorsque les modifications sont appliquées en temps réel.
Vous pouvez sauvegarder et répéter (restaurer) la configuration candidate aussi souvent que
vous le souhaitez et charger, valider, importer et exporter des configurations. Appuyez sur
Enregistrer pour créer une copie de la configuration candidate en cours ou choisissez Valider
pour mettre à jour la configuration active avec le contenu de la configuration candidate.
Opérations
périphérique
Redémarrer le Pour redémarrer le pare-feu, cliquez sur Redémarrer le périphérique.
périphérique Vous êtes déconnecté et le logiciel PAN-OS et la configuration active sont
rechargés. Les sessions en cours sont également fermées et consignées, et
une entrée indiquant le nom de l'administrateur à l'origine de l'arrêt est
créée dans le journal système. Toutes les modifications apportées à la
configuration et non sauvegardées ou validées sont perdues (reportez-
vous à « Définition des paramètres des opérations » à la page 39).
Remarque : Si l'interface Web n'est pas disponible, utilisez la commande de la
CLI request restart system. Reportez-vous au Guide de référence de
l'interface de ligne de commande PAN-OS pour plus de détails.
Divers
Personnaliser les logos Utilisez cette option pour personnaliser les éléments suivants :
• Image de l'arrière-plan de l'écran de connexion
• Image de l'en-tête de l'interface utilisateur principale
• Image de la page de titre du rapport PDF. Reportez-vous à « Gestion de
rapports de récapitulation au format PDF » à la page 293.
• Image du pied de page du rapport PDF
Cliquez sur pour charger un fichier image, sur pour afficher un
aperçu ou sur pour supprimer une image précédemment chargée.
Notez les points suivants :
• Les types de fichier pris en charge sont png, gif et jpg.
• Pour rétablir le logo par défaut, supprimez votre entrée et validez.
• La taille maximale d'image d'un logo est de 128 Ko.
• Pour les options de l'écran de connexion et de l'interface utilisateur
principale, lorsque vous cliquez sur ,l''image correspond à ce qu'elle
sera réellement. Si nécessaire, l'image est automatiquement rognée.
Pour les rapports PDF, les images sont redimensionnées
automatiquement sans rognage. Dans tous les cas de figure, l'aperçu
indique les dimensions recommandées pour l'image.
Pour plus d'informations sur la génération de rapports PDF, reportez-
vous à « Gestion de rapports de récapitulation au format PDF » à la
page 293.
Remarque : Lorsque vous cliquez sur Valider ou que vous saisissez une commande
commit de la CLI, toutes les modifications apportées via l'interface Web et la CLI
depuis la dernière validation sont activées. Pour éviter un conflit, utilisez les fonctions
de verrouillage des transactions comme décrit dans « Verrouillage des transactions » à
la page 27.
Utilisez l'onglet Services pour définir les paramètres DNS (Domain Name System), NTP
(Network Time Protocol), des serveurs de mises à jour, serveurs proxy et de configuration de
l'itinéraire de service.
Utilisez l'onglet ID du contenu pour définir des paramètres de filtrage des URL, de protection
des données et de pages de conteneur.
Délai de contrôle Précisez la durée suite à la saisie du mot de passe de contrôle prioritaire
prioritaire sur l'URL par administratif de l'utilisateur avant que celui-ci ne doive de nouveau saisir
l'administrateur le mot de passe de contrôle prioritaire administratif pour des URL de
même catégorie (1 à 86 400 minutes, 900 minutes par défaut).
Délai de verrouillage de Précisez la durée de verrouillage d'un utilisateur qui l'empêche d'utiliser
l'URL par le mot de passe de contrôle prioritaire administratif des URL après trois
l'administrateur échecs (1 à 86 400 minutes, 1 800 minutes par défaut).
x-forwarded-for Insérez l'en-tête X-Forwarded-For qui inclut l'adresse IP source. Lorsque
cette option est sélectionnée, le pare-feu recherche l'en-tête X-Forwarded-
For dans les en-têtes HTTP, qu'un proxy peut utiliser pour stocker
l'adresse IP source de l'utilisateur d'origine.
Le système prend la valeur et ajoute Src: x.x.x.x dans le champ Utilisateur
source des journaux des URL (où x.x.x.x correspond à l'adresse IP lue
dans l'en-tête).
Enlever x-forwarded-for Supprimez l'en-tête X-Forwarded-For qui inclut l'adresse IP source.
Lorsque cette option est sélectionnée, le pare-feu réinitialise la valeur de
l'en-tête avant de transférer la requête, et les paquets transférés ne
contiennent aucune information sur l'adresse IP source interne.
Autoriser le transfert du Cochez cette case pour permettre au pare-feu de transférer du contenu
contenu décrypté décrypté à un service externe. Par exemple, lorsque cette option est
définie, le pare-feu peut envoyer du contenu décrypté à WildFire pour
analyse. Dans les configurations à plusieurs VSYS, cette option est définie
par VSYS.
L'onglet Session vous permet de configurer des paramètres de délai d'expiration de session et
des paramètres de session généraux tels que la protection par pare-feu du trafic IPv6 et la
revérification de la politique de sécurité sur les sessions en cours en cas de changement de la
politique.
Caractéristiques de
la session
Paramètres de Sélectionnez pour configurer les options de gestion des certificats du
révocation du certificat pare-feu.
de décryptage
Activer Cochez cette case pour utiliser des listes de révocation du certificat (CRL)
afin de vérifier la validité des certificats SSL.
Chaque autorité de certification (AC) de confiance gère les CRL afin de
déterminer si un certificat SSL valide (non révoqué) pour le cryptage SSL.
Le protocole OCSP (Online Certificate Status Protocol) peut également être
utilisé pour vérifier de manière dynamique l'état de révocation d'un
certificat. Pour plus d'informations sur le décryptage SSL, reportez-vous à
« Politiques de déchiffrement » à la page 218.
Délai d'attente en Précisez la durée après laquelle la requête CRL expire et l'état est considéré
réception comme inconnu (1 à 60 secondes).
Activer OCSP Cochez cette case pour utiliser OCSP afin de vérifier la validité des
certificats SSL.
Délai d'attente en Précisez la durée après laquelle les requêtes OCSP expirent et l'état est
réception considéré comme inconnu (1 à 60 secondes).
Bloquer une session si Cochez cette case si vous souhaitez bloquer les certificats ne pouvant pas
le statut du certificat être validés.
est inconnu
Bloquer une session à Cochez cette case si vous souhaitez bloquer des certificats lorsque la
l'expiration de la requête des informations du certificat arrive à expiration.
vérification du statut
du certificat
Délai d'expiration du Précisez la durée après laquelle les requêtes d'état du certificat expirent
statut du certificat (1 à 60 secondes).
SNMP
Périphérique > Configuration > Opérations
Utilisez cette page pour définir l'accès aux MIB (bases de gestion) SNMP pour SNMPv2c et
SNMPv3. Cliquez sur Réglage SNMP dans la page Configuration, puis précisez les
paramètres suivants.
Un module MIB définit tous les pièges SNMP générés par le système. Chaque journal des
événements du système est défini comme un piège SNMP indépendant avec un identifiant
d'objet (OID) propre, et les champs d'un journal des événements sont définis comme une liste
de liaison variable (varbind).
Service statistiques
Périphérique > Configuration > Opérations
La fonction Service statistiques permet au pare-feu d'envoyer des informations anonymes sur
l'application, la menace et la panne à l'équipe de recherche Palo Alto Networks. Les
informations ainsi collectées permettent à l'équipe de recherche d'améliorer les performances
des produits Palo Alto Networks grâce à des informations réelles. Ce service est désactivé par
défaut et, lorsqu'il est activé, les informations sont chargées toutes les 4 heures.
Pour consulter un exemple de contenu d'un rapport statistique à envoyer, cliquez sur l'icône
de rapport .L'onglet Exemple de rapport s'affiche et présente le code du rapport. Pour
afficher un rapport, cochez la case en regard du rapport souhaité, puis cliquez sur l'onglet
Exemple de rapport.
Vous pouvez afficher et comparer des fichiers de configuration à l'aide de la page Audit de
configuration. Dans les listes déroulantes, sélectionnez les configurations à comparer.
Sélectionnez le nombre de lignes que vous souhaitez inclure comme contexte, puis cliquez
sur OK.
Le système présente les configurations et met en évidence les différences, comme dans la
figure suivante.
La page inclut également les boutons et en regard des listes déroulantes et qui sont
activés lors de la comparaison de deux versions de configuration consécutives. Cliquez
sur pour modifier les configurations comparées avec les ensembles de configurations
stockées précédents et sur pour modifier les configurations comparées avec les ensembles
de configurations stockées suivants.
Panorama sauvegarde automatiquement tous les fichiers de configuration validés sur chaque
pare-feu géré, que les modifications soient apportées via l'interface Panorama ou localement
sur le pare-feu.
Lorsque vous souscrivez à un abonnement auprès de Palo Alto Networks, vous recevez un
code d'autorisation pour activer une ou plusieurs clés de licence.
Pour activer une licence de fournisseur d'URL pour le filtrage des URL, vous devez installer la
licence, télécharger la base de données, puis cliquer sur Activer.
Les fonctions suivantes sont disponibles dans la page Licences :
• Pour activer des licences pour le filtrage des URL, cliquez sur Activer.
• Pour activer des abonnements souscrits qui requièrent un code d'autorisation et qui ont
été activés sur le portail de support, cliquez sur Récupérer les clés de licence auprès du
serveur de licences.
• Pour activer des abonnements souscrits qui requièrent un code d'autorisation et qui ont
été précédemment activés sur le portail de support, cliquez sur Activer la fonction à
l'aide du code d'autorisation. Saisissez votre code d'autorisation, puis cliquez sur OK.
Pour mettre à niveau vers une nouvelle version du logiciel PAN-OS, vous devez consulter les
dernières versions du logiciel PAN-OS disponibles auprès de Palo Alto Networks, lire les
notes de version de chaque version, puis sélectionner la version que vous souhaitez
télécharger et installer (une licence est requise).
Exécutez l'une des opérations suivantes sur la page Logiciel :
• Cliquez sur Rafraîchir pour connaître les dernières versions logicielles disponibles auprès
de Palo Alto Networks.
• Cliquez sur Notes de version pour consulter une description des modifications apportées
dans une version et pour connaître le chemin de migration pour l'installation du logiciel.
Vous ne pouvez pas ignorer une version de fonctions et une image de base doit être
téléchargée avant de mettre à niveau d'une version de fonctions vers une version de
maintenance d'une version de fonctions supérieure. Ceci est dû au fait que la version de
maintenance ne contient pas le build logiciel complet mais uniquement les modifications
apportées depuis la version d'image de base. L'image de base est donc nécessaire pour
pouvoir mettre à niveau. Par exemple, si vous mettez à niveau de 4.0.12 vers 4.1.7, vous
devez télécharger l'image de base 4.1.0 (sans l'installer). La mise à niveau de la version de
maintenance 4.1.7 pourra alors accéder aux fichiers de l'image de base 4.1.0. Si vous
souhaitez mettre à niveau d'une version vers deux versions de fonctions supérieures,
vous devez mettre à niveau vers chaque version de fonctions. Par exemple, si vous
souhaitez mettre à niveau de 4.0 vers 5.0, vous devez mettre à niveau de 4.0 vers 4.1, puis
de 4.1 vers 5.0.
Vous pouvez supprimer les fichiers de l'image de base une fois la mise à niveau terminée,
mais ceci n'est pas recommandé car vous aurez besoin de l'image de base lors de la mise à
niveau vers la version de maintenance suivante. Vous ne souhaiterez peut-être supprimer
que l'image de base de versions antérieures pour lesquelles une mise à niveau ne sera pas
nécessaire. Par exemple, si vous utilisez la version 4.1, vous n'avez probablement pas
besoin des images de base des versions 3.1 et 4.0 sauf si vous envisagez d'effectuer une
mise à niveau antérieure vers ces versions.
• Cliquez sur Télécharger pour installer une nouvelle version à partir du site de
téléchargement. Une fois le téléchargement terminé, une coche s'affiche dans la colonne
Téléchargé. Pour installer une version téléchargée, cliquez sur Installer en regard de la
version.
Pendant l'installation, il vous êtes demandé de redémarrer une fois l'installation terminée.
Une fois l'installation terminée, vous êtes déconnecté lorsque le pare-feu est redémarré.
Le pare-feu est redémarré si cette option a été sélectionnée.
Lors d'une mise à niveau vers une version de fonctions (dans laquelle le premier ou le
second chiffre de la version PAN-OS change, par exemple 4.0 vers 4.1 ou 4.1 vers 5.0), un
message indiquant que vous êtes sur le point de procéder à une mise à niveau de version
de fonctions s'affiche lorsque vous cliquez sur Installer. Veillez à sauvegarder votre
configuration en cours puisqu'une version de fonctions peut migrer certaines
configurations afin d'accueillir de nouvelles fonctions. Reportez-vous à « Mise à niveau
vers une version antérieure du logiciel PAN-OS » à la page 56.
• Cliquez sur Charger pour installer une version préalablement stockée sur votre PC.
Recherchez et sélectionnez le module logiciel, puis cliquez sur Installer depuis le fichier.
Choisissez le fichier que vous venez de sélectionner dans la liste déroulante, puis cliquez
sur OK pour installer l'image.
• Lors de la mise à niveau d'une paire Haute disponibilité (HD) vers une version de
fonctions (dans laquelle le premier ou le second chiffre de la version PAN-OS change, par
exemple 4.0 vers 4.1 ou 4.1 vers 5.0), la configuration peut être migrée pour accueillir de
nouvelles fonctions. Si la synchronisation de la session est activée, les sessions ne sont pas
synchronisées si un périphérique du cluster comporte une autre version de fonctions de
PAN-OS.
• Les paramètres de date et d'heure du pare-feu doivent être à jour. Le logiciel PAN-OS est
signé numériquement et la signature est vérifiée par le périphérique avant l'installation
d'une nouvelle version. Si le paramètre de la date du pare-feu n'est pas à jour, le
périphérique peut interpréter que la signature du logiciel est incorrecte et affiche le
message suivant :
Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into
PAN software manager.
Pour mettre à niveau une paire HD vers une nouvelle version de fonctions :
2. Effectuez une sauvegarde du fichier de configuration actuel sur les deux périphériques en
accédant à Périphérique > Configuration > Opérations et en sélectionnant Exporter
l'instantané de la configuration, sélectionnez le fichier running-config.xml, puis cliquez
sur OK pour sauvegarder le fichier de configuration sur votre ordinateur.
6. Vérifiez que le périphérique actif transmet du trafic en accédant à Surveillance > Navigateur
de session ou en exécutant la commande show session all à partir de la CLI.
Vous pouvez également vérifier l'état de la HD sur le périphérique en exécutant la commande
show high-availability all | match reason. S'il s'agit d'une configuration active/
active, vérifiez que les deux périphériques transmettent du trafic.
Pour vérifier la synchronisation de la session, exécutez la commande show high-
availability interface ha2. Dans la table « Hardware Interface counters read from
CPU », vérifiez que les compteurs sont incrémentés. Dans une configuration active/passive,
seul le périphérique actif affiche les paquets transmis, le périphérique passif affiche les
paquets reçus. En mode active/active, les paquets reçus et les paquets transmis s'affichent sur
les deux périphériques.
• « Mise à niveau vers une version de maintenance antérieure » dans la section suivante
Si vous rencontrez des problèmes lors d'une mise à niveau antérieure, vous
devrez peut-être passer en mode de maintenance et rétablir les paramètres
d'usine par défaut du périphérique, puis restaurer la configuration à l'aide
du fichier de configuration d'origine exporté avant la mise à niveau.
2. Accédez à Périphérique > Logiciel. La page des logiciels répertoriant toutes les versions
de PAN-OS pouvant être téléchargées ou déjà téléchargées s'affiche.
3. Pour mettre à niveau vers une version de maintenance antérieure, cliquez sur Installer
dans la colonne Action de la version souhaitée. Si la version que vous souhaitez utiliser
indique Télécharger, cliquez sur le lien Télécharger pour récupérer le module logiciel,
puis cliquez sur Installer.
4. Une fois PAN-OS mis à niveau vers une version antérieure, cliquez sur OK pour
redémarrer le périphérique afin d'activer la nouvelle version.
2. Pour mettre à niveau vers une version de fonctions antérieure, vous devez rechercher la
version de fonctions précédente en accédant à Périphérique > Logiciel et en parcourant la
page qui contient la version. Reportez-vous à Figure 2.
3. Cliquez sur Installer dans la colonne Action de la version de fonctions. Si la version que
vous souhaitez utiliser indique Télécharger, cliquez sur le lien Télécharger pour
récupérer le module logiciel, puis cliquez sur Installer.
4. Une invite vous permettant de sélectionner une configuration qui sera utilisée après le
redémarrage du périphérique s'affiche. Dans la plupart des cas, et s'agissant d'une mise à
niveau vers une version de fonctions antérieure, vous souhaiterez sélectionner la
configuration sauvegardée automatiquement créée lors de la mise à niveau vers la
version de fonctions suivantes du périphérique. Par exemple, si vous exécutez PAN-OS
5.0 et que vous souhaitez mettre à niveau vers la version antérieure PAN-OS 4.1, cliquez
sur Installer dans la colonne Action puis, dans la liste déroulante Sélectionner un fichier
de configuration à déclasser, sélectionnez autosave-4.1.0 comme illustré dans la Figure 2.
5. Une fois PAN-OS installé, cliquez sur OK pour redémarrer le périphérique afin d'activer
la nouvelle version. La version de fonction sélectionnée de PAN-OS et la configuration
sont alors activées.
Remarque : Pour les versions antérieures à 4.1, vous devrez peut-être procéder à
une réinitialisation et restaurer le périphérique. Par exemple, une mise à niveau
antérieure de 4.0 vers 3.1.
Palo Alto Networks publie régulièrement des mises à jour avec des définitions d'applications
nouvelles ou révisées, des informations sur les dernières menaces de sécurité telles que des
signatures antivirus (licence de protection contre les menaces requise), des critères de filtrage
des URL, des mises à jour de données GlobalProtect et des signatures WildFire (abonnement à
WildFire requis). Vous pouvez consulter les dernières mises à jour, lire les notes de version de
chaque mise à jour, puis sélectionner la mise à jour que vous souhaitez télécharger et installer.
Vous pouvez également rétablir la version précédemment installée d'une mise à jour.
• Cliquez sur Installer dans la colonne Action pour mettre à jour vers cette version.
• Cliquez sur Rétablir en regard d'une version pour revenir à cette version.
• Cliquez sur Notes de version pour consulter une description d'une mise à jour.
• Cliquez sur Charger pour installer un fichier préalablement stocké sur votre PC.
Recherchez et sélectionnez le fichier, puis cliquez sur Installer depuis le fichier.
Choisissez le fichier que vous venez de sélectionner dans la liste déroulante, puis cliquez
sur OK pour installer.
• Cliquez sur le lien Calendrier pour planifier des mises à jour automatiques. Précisez la
fréquence et la durée des mises à jour, et si la mise à jour sera téléchargée et installée ou
téléchargée uniquement. Si vous sélectionnez Télécharger uniquement, vous pouvez
installer la mise à jour téléchargée en cliquant sur le lien Installer dans la colonne Action
de la page Mises à jour dynamiques. Lorsque vous cliquez sur OK, la mise à jour est
planifiée. Aucune validation n'est requise. Vous pouvez également préciser la persistance
du contenu (en heures) pour l'action à exécuter et si le chargement doit être synchronisé
avec des pare-feux homologues.
• RADIUS : les serveurs Remote Authentication Dial In User Service (RADIUS) existants
sont utilisés pour authentifier les utilisateurs.
• LDAP : les serveurs Lightweight Directory Access Protocol (LDAP) existants sont utilisés
pour authentifier les utilisateurs.
• Kerberos : les serveurs Kerberos existants sont utilisés pour authentifier les utilisateurs.
• Certificat du client : les certificats du client existants sont utilisés pour authentifier les
utilisateurs.
• Pour obtenir des instructions sur la configuration des profils de rôle, reportez-vous à
« Définition des rôles Administrateur » à la page 62.
• Pour obtenir des instructions sur la configuration des comptes d'administrateur, reportez-
vous à « Création de comptes administratifs » à la page 64.
• Pour plus d'informations sur les réseaux privés virtuels (VPN) SSL, reportez-vous à
« Configuration de GlobalProtect » à la page 365.
• Pour obtenir des instructions sur la définition de domaines de système virtuel pour les
administrateurs, reportez-vous à « Précision des domaines d'accès des administrateurs »
à la page 66.
• Pour obtenir des instructions sur la définition de profils du certificat pour les
administrateurs, reportez-vous à « Profil du certificat » à la page 96.
Utilisez la page Rôles admin pour définir des profils de rôle qui déterminent l'accès et les
responsabilités disponibles pour les utilisateurs administrateurs. Pour obtenir des instructions
sur l'ajout de comptes d'administrateur, reportez-vous à « Création de comptes
administratifs » à la page 64.
Il existe également trois rôles d'administrateur prédéfinis que vous pouvez utiliser pour
disposer de critères communs. Vous utilisez tout d'abord le rôle Super utilisateur pour la
configuration initiale du périphérique et pour créer les comptes d'administrateur de
l'administrateur de sécurité, de l'administrateur d'audit et de l'administrateur
cryptographique. Une fois les comptes créés et les critères communs aux rôles
d'administrateurs appropriés appliqués, vous pouvez alors vous connecter à l'aide de ces
comptes. Le compte Super utilisateur par défaut en mode FIPS ou CC est admin avec le mot
de passe par défaut paloalto. En mode d'utilisation standard, le compte par défaut est admin
et le mot de passe admin. Les rôles d'administrateurs prédéfinis sont créés sans fonction de
chevauchement, à l'exception près qu'ils disposent tous d'un accès en lecture seule à la piste
de vérification (sauf l'administrateur d'audit qui dispose d'un accès en lecture/suppression
complet). Ces rôles d'administrateurs ne peuvent pas être modifiés et sont définis comme
suit :
• auditadmin : l'administrateur d'audit est responsable de la révision régulière des données
d'audit du pare-feu.
Les profils de mot de passe vous permettent de définir des exigences relatives aux mots de
passe de base pour un compte local. Si vous activez le paramètre Complexité minimale des
mots de passe, qui fournit des exigences de mot de passe pour tous les comptes locaux, ce
profil de mot de passe remplace ces paramètres. Reportez-vous à « Complexité minimale des
mots de passe » à la page 38 pour plus d'informations et à « Exigences relatives au nom
d'utilisateur et au mot de passe » à la page 61 pour connaître les caractères autorisés pouvant
être utilisés dans les comptes.
Pour appliquer un profil de mot de passe à un compte, accédez à Périphérique >
Administrateurs, sélectionnez un compte, puis choisissez le profil dans la liste déroulante
Profil de mot de passe.
• Authentification des clés publiques (SSH) : l'utilisateur peut générer une paire de clés
publique/privée sur la machine qui doit accéder au pare-feu, puis charger la clé publique
sur le pare-feu pour permettre un accès sécurisé sans que l'utilisateur ne saisisse un nom
d'utilisateur et un mot de passe.
Utilisez la page Domaine pour préciser les domaines d'accès administrateur au pare-feu. Le
domaine d'accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n'est pris en
charge que si un serveur RADIUS est utilisé pour l'authentification de l'administrateur. Pour
plus d'informations sur la configuration de RADIUS, reportez-vous à « Configuration des
paramètres du serveur RADIUS » à la page 70.
Lorsqu'un administrateur tente de se connecter au pare-feu, ce dernier interroge le serveur
RADIUS pour connaître le domaine d'accès de l'administrateur. Si un domaine est associé sur
le serveur RADIUS, il est renvoyé et l'administrateur est limité aux systèmes virtuels définis
dans le domaine d'accès nommé sur le périphérique. Si RADIUS n'est pas utilisé, les
paramètres du domaine d'accès de cette page sont ignorés. Pour plus d'informations sur les
domaines d'accès de Panorama, reportez-vous à « Précision des domaines d'accès Panorama
des administrateurs » à la page 429.
Profils d'authentification
Les profils d'authentification précisent les paramètres de la base de données locale, RADIUS,
LDAP ou Kerberos, et peuvent être associés à des comptes d'administrateur, à l'accès VPN
SSL et au portail captif. Lorsqu'un administrateur tente de se connecter au pare-feu
directement ou via un VPN SSL ou un portail captif, le pare-feu vérifie le profil
d'authentification associé au compte et authentifie l'utilisateur en fonction des paramètres
d'authentification.
Si l'utilisateur ne dispose pas d'un compte d'administrateur local, le profil d'authentification
spécifié dans la page Configuration du périphérique détermine comment l'utilisateur est
authentifié (reportez-vous à « Définition des paramètres de gestion » à la page 32):
• Si vous précisez des paramètres d'authentification RADIUS dans la page Configuration
et que l'utilisateur ne dispose pas d'un compte local sur le pare-feu, ce dernier demande
alors les informations d'authentification de l'utilisateur (notamment le rôle) au serveur
RADIUS. Le fichier de dictionnaire RADIUS de Palo Alto Networks contenant les
attributs des différents rôles est disponible sur le site de support à l'adresse
https://live.paloaltonetworks.com/docs/DOC-3189.
Utilisez la page Utilisateurs locaux pour ajouter des informations d'utilisateurs à la base de
données locale.
Utilisez la page Groupes d'utilisateurs locaux pour ajouter des informations de groupes
d'utilisateurs à la base de données locale.
Utilisez la page RADIUS pour configurer des paramètres pour les serveurs RADIUS
identifiés dans les profils d'authentification. Reportez-vous à « Profils d'authentification » à la
page 67.
Utilisez la page LDAP pour configurer des paramètres pour les serveurs LDAP à utiliser pour
l'authentification à l'aide de profils d'authentification. Reportez-vous à « Profils
d'authentification » à la page 67.
Utilisez la page Kerberos pour configurer l'authentification Active Directory sans que les
clients ne doivent démarrer IAS (Internet Authentication Service) pour la prise en charge de
RADIUS. La configuration d'un serveur Kerberos permet aux utilisateurs de s'authentifier de
manière native auprès d'un contrôleur de domaine.
Une fois les paramètres Kerberos configurés, Kerberos est disponible en option lors de la
définition de profils d'authentification. Reportez-vous à « Profils d'authentification » à la
page 67.
Vous pouvez configurer les paramètres Kerberos pour reconnaître un compte d'utilisateur
dans l'un des formats suivants, où le domaine et la partition sont spécifiés dans la
configuration du serveur Kerberos :
• domaine\nomutilisateur
• nomutilisateur@partition
• nomutilisateur
Séquence d'authentification
Dans certains environnements, les comptes d'utilisateurs se trouvent dans plusieurs
répertoires. Des comptes d'invités ou autres peuvent également être stockés dans différents
répertoires. Une séquence d'authentification est un ensemble de profils d'authentification
appliqués dans un ordre précis lorsqu'un utilisateur tente de se connecter au pare-feu. Le
pare-feu commence toujours par la base de données locale, puis tente chaque profil dans
l'ordre jusqu'à ce que l'utilisateur soit identifié. L'accès au pare-feu est refusé uniquement en
cas d'échec de l'authentification pour l'un des profils de la séquence d'authentification.
Par exemple, une fois la base de données locale vérifiée, vous pouvez configurer une séquence
d'authentification pour tenter ensuite une authentification RADIUS, puis une authentification
LDAP.
Journaux du pare-feu
Surveillance > Journaux
Configuration de la journalisation
Vous pouvez configurer le pare-feu de sorte qu'il envoie les entrées de journal à un système de
gestion centralisée Panorama, des récepteurs de pièges SNMP, des serveurs syslog et des
adresses électroniques.
Le tableau suivant décrit les destinations des journaux à distance.
Vous pouvez planifier des exportations des journaux et les enregistrer sur un serveur FTP
(File Transfer Protocol) au format CSV ou utilisez la fonction SCP (Secure Copy) pour
transférer des données en toute sécurité entre le périphérique et un hôte distant. Les profils
des journaux contiennent les informations relatives à la planification et au serveur FTP. Par
exemple, un profil peut déterminer que les journaux du jour précédent sont collectés chaque
jour à 15 heures et stockés sur un serveur FTP spécifique.
Lorsque vous cliquez sur OK après la création d'une entrée, le nouveau profil est ajouté à la
page Exportation programmée des journaux. Vous devez valider la modification pour que
l'exportation soit exécutée. Si vous utilisez la fonction SCP, vous devez cliquer sur le bouton
Tester la connexion au serveur SCP pour tester la connectivité entre le pare-feu et le serveur
SCP, et vous devez vérifier et accepter la clé d'hôte du serveur SCP.
Les paramètres du journal système définissent le niveau de gravité des entrées du journal
système qui sont consignées à distance avec Panorama, puis envoyés sous forme de pièges
SNMP, de messages syslog et/ou de notifications par courrier électronique. Le journal
système répertorie des événements système tels que les échecs HD, les changements de statut
de ligne et les connexions et déconnexions d'administrateurs.
Les paramètres du journal de correspondance du profil d'informations sur l'hôte sont utilisés
pour fournir des informations sur les politiques de sécurité appliquées aux clients
GlobalProtect. Pour plus d'informations, reportez-vous à « Présentation » à la page 365.
Utilisez la page Alarmes pour configurer des notifications lorsqu'une règle de sécurité (ou un
groupe de règles) a été mis plusieurs fois en correspondance pendant une période donnée.
Cliquez sur les liens de cette page pour effacer les journaux indiqués.
Pour générer des pièges SNMP pour les journaux système, de trafic ou des menaces, vous
devez préciser une ou plusieurs destinations des pièges SNMP. Une fois les destinations des
pièges définies, vous pouvez les utiliser pour les entrées du journal système (reportez-vous à
« Définition des paramètres du journal système » à la page 79).
MIB SNMP
Le pare-feu prend en charge les MIB SNMP suivants :
• SNMPv2-MIB
• DISMAN-EVENT-MIB
• IF-MIB
• HOST-RESOURCES-MIB
• ENTITY-SENSOR-MIB
• PAN-COMMON-MIB
• PAN-TRAPS-MIB
L'ensemble complet de modules MIB Enterprise est disponible dans la section Technical
Documentation (Documentation technique) du site Palo Alto Networks à l'adresse
https://live.paloaltonetworks.com/community/documentation.
Pour générer des messages syslog pour des journaux système, de configuration, de trafic, des
menaces ou de correspondance HIP, vous devez préciser un ou plusieurs serveurs syslog. Une fois
les serveurs syslog définis, vous pouvez les utiliser pour les entrées du journal système et de
configuration (reportez-vous à « Définition des paramètres du journal système » à la page 79).
Onglet Serveurs
Nom Cliquez sur Ajouter et donnez un nom au serveur syslog (31 caractères
maximum). Le nom est sensible à la casse et doit être unique. N'utilisez
que des lettres, chiffres, espaces, traits d'union et traits de soulignement.
Serveur Saisissez l'adresse IP du serveur syslog.
Port Saisissez le numéro de port du serveur syslog (le port par défaut est 514).
Site Choisissez un niveau dans la liste déroulante.
Pour générer des courriers électroniques pour les journaux, vous devez configurer un profil
de messagerie. Une fois les paramètres de courrier électronique définis, vous pouvez activer la
notification par courrier électronique pour les entrées du journal système et de configuration
(reportez-vous à « Définition des paramètres du journal système » à la page 79). Pour plus
d'informations sur la planification de la distribution des rapports de messagerie, reportez-
vous à « Planification des rapports pour la distribution par courrier électronique » à la
page 296.
Onglet Serveurs
Serveur Donnez un nom pour identifier le serveur (1 à 31 caractères). Ce champ
est un simple intitulé et ne doit pas comporter le nom d'hôte d'un serveur
SMTP existant.
Afficher le nom Saisissez le nom indiqué dans le champ De du courrier électronique.
De Saisissez l'adresse électronique source, par exemple
alerte_sécurité@société.com.
A Saisissez l'adresse électronique du destinataire.
Autre(s) destinataire(s) Facultativement, saisissez l'adresse électronique d'un autre destinataire.
Passerelle Saisissez l'adresse IP ou le nom d'hôte du serveur SMTP (Simple Mail
Transport Protocol) utilisé pour envoyer le courrier électronique.
Onglet Format de
journal personnalisé
Type de journal Cliquez sur le type de journal pour ouvrir une boîte de dialogue dans
laquelle vous pouvez préciser un format de journal personnalisé. Dans la
boîte de dialogue, cliquez sur un champ pour l'ajouter à la zone du format
de journal. Cliquez sur OK pour sauvegarder les paramètres.
Echappement Autorisez les caractères d'échappement et précisez le ou les caractères
d'échappement.
Le pare-feu peut générer et exporter des enregistrements NetFlow Version 9 contenant des
informations sur le flux de trafic IP unidirectionnel vers un collecteur externe. L'exportation
NetFlow peut être activée sur une quelconque interface d'entrée du système. Des
enregistrements de modèles distincts sont définis pour le trafic IPv4, IPv4 avec NAT et IPv6 et
les champs spécifiques à PAN-OS d'ID de l'application ou d'ID de l'utilisateur peuvent
éventuellement être exportés. Cette fonction est disponible sur toutes les plate-formes sauf les
modèles de la série PA-4000.
Le pare-feu prend en charge les modèles NetFlow standard et sélectionne le modèle approprié
en fonction des données à exporter.
Pour configurer des exportations de données NetFlow, définissez un profil de serveur
NetFlow qui détermine la fréquence de l'exportation ainsi que les serveurs NetFlow qui
recevront les données exportées.
Ensuite, lorsque vous associez le profil à une interface de pare-feu existante, l'ensemble du
trafic utilisant cette interface est exporté vers les serveurs spécifiés. Tous les types d'interface
prennent en charge l'association d'un profil NetFlow. Reportez-vous à « Interfaces du pare-
feu » à la page 133 pour plus d'informations sur l'association d'un profil NetFlow à une
interface.
Certificats
Périphérique > Gestion des certificats > Certificats
• Transférer le certificat non sécurisé : ce certificat est présenté aux clients lors du
décryptage, lorsque le serveur auquel ils sont connectés est signé par une AC qui ne
figure pas dans la liste des AC de confiance du pare-feu.
Lorsque le pare-feu décrypte du trafic, il vérifie le certificat en amont pour savoir s'il a été
généré par une AC de confiance. Si ce n'est pas le cas, il utilise un certificat AC non
sécurisé spécial pour signer le certificat de décryptage. Dans ce cas, l'utilisateur reçoit la
page d'erreur de certificat classique lorsqu'il accède au pare-feu et doit alors ignorer
l'avertissement de connexion.
• Certificat d'exclusion SSL : ce certificat exclut les connexions si elles sont détectées lors
du décryptage du proxy de transfert SSL.
• Certificat pour l'interface Web sécurisée : ce certificat authentifie les utilisateurs pour
l'accès à l'interface Web du pare-feu. Si cette case est cochée pour un certificat, le pare-feu
l'utilisera pour toutes les sessions de gestion Web ultérieures à l'opération de validation
suivante.
Vous pouvez également cliquer sur un certificat, puis sur l'icône Révoquer.
c. Sélectionnez le fichier du certificat. Si vous importez un certificat PKCS #12 et une clé
privée, le même fichier contiendra les deux objets. Si vous utilisez PEM, il s'agira du
certificat public uniquement.
d. Cochez la case Importer la clé privée pour charger la clé privée et saisissez la phrase
de passe deux fois. Si vous utilisez le certificat PKCS #12, le fichier de clé a été
sélectionné précédemment. Si vous utilisez PEM, recherchez le fichier de clé privée
cryptée (généralement *.key).
e. Sélectionnez le système virtuel dans lequel vous souhaitez importer le certificat dans
la liste déroulante.
d. Cochez la case Exporter la clé privée et saisissez la phrase de passe deux fois pour
exporter la clé privée en plus du certificat.
a. Cliquez sur Générer pour ouvrir la fenêtre Générer le certificat et fournir les
informations décrites dans le tableau suivant.
b. Une fois le certificat généré, cliquez sur le lien du certificat et précisez son type
(Transférer le certificat sécurisé, Transférer le certificat non sécurisé, AC racine de
confiance, Certificat d'exclusion SSL ou Certificat pour l'interface Web sécurisée).
• Pour importer des clés pour la haute disponibilité (HD), cliquez sur Importer la clé HA et
recherchez le fichier de clé à importer. Pour exporter des clés pour HD, cliquez sur
Exporter la clé HD et indiquez l'emplacement où enregistrer le fichier. Les clés HD
doivent être échangées entre les deux pare-feux. En d'autres termes, la clé du pare-feu 1
doit être exportée puis importée sur le pare-feu 2 et vice versa.
Utilisez cette page pour contrôler les autorités de certification (AC) que le pare-feu sécurisera.
Vous pouvez désactiver et activer des AC si nécessaire.
Profil du certificat
Périphérique > Gestion des certificats > Profil du certificat
Vous pouvez créer des profils de certificat puis associer un profil à une connexion
administrateur dans la page Configuration ou à une connexion VPN SSL à utiliser pour
l'authentification ou avec des portails captifs. Vous pouvez également créer des profils de
certificat utilisés par les passerelles GlobalProtect à des fins d'authentification. Reportez-vous
à « Définition des paramètres de gestion » à la page 32 et à « Portails captifs » à la page 310.
Répondeur OCSP
Périphérique > Gestion des certificats > Répondeur OCSP
Utilisez la page Répondeur OCSP (répondeur Online Certificate Status Protocol) pour définir
le serveur qui sera utilisé pour vérifier le statut de révocation des certificats générés par le
périphérique PAN-OS. Vous pouvez préciser le répondeur OCSP qui sera utilisé lors de la
génération de nouveaux certificats.
Pour activer OCSP, accédez à Périphérique > Configuration > Sessions puis, sous
Caractéristiques de la session, cliquez sur Paramètres de révocation du certificat de
décryptage.
Utilisez la page Clé principale et diagnostics pour préciser une clé principale pour le
cryptage des clés privées sur le pare-feu. Les clés privées sont stockées sous forme cryptée par
défaut, même si une nouvelle clé principale n'est pas précisée. Si le pare-feu est en mode
Critères communs, plusieurs fonctions de diagnostics cryptographiques sont disponibles. Ces
diagnostics vous permettent d'exécuter des auto-tests cryptographiques planifiés et des auto-
tests à la demande.
Pour créer une clé privée, saisissez une chaîne de 16 caractères dans le champ Nouvelle clé
principale, puis confirmez la clé. Saisissez la durée de vie et une valeur de rappel, puis cliquez
sur OK. Vous devrez mettre à jour la clé principale avant l'expiration. Pour plus
d'informations sur la mise à jour des clés principales, reportez-vous à « Mise à jour des clés
principales » à la page 99.
Mise à jour de clé principale HD (clés synchronisées mais non arrivées à expiration) :
1. Si vous mettez à jour les clés principales alors qu'elles ne sont pas arrivées à expiration ou
qu'elles ne sont pas synchronisées, avant de mettre à jour les clés, vous devez valider la
configuration et vérifier qu'il n'existe pas de mise à jour de configuration en attente sur les
deux périphériques de la paire HD.
Vous pouvez afficher l'état de validation en cliquant sur le lien Tâches en bas à droite de
l'interface Web de chaque périphérique. A partir de la CLI, exécutez la commande show
jobs all pour afficher tous les travaux en cours d'exécution ou la commande show
jobs pending pour afficher les travaux en attente. Pour vérifier qu'il n'existe aucune
mise à jour en attente, en mode de configuration, exécutez la commande check
pending-changes. Non doit s'afficher.
4. Mettez à jour la clé principale sur le périphérique B avec la même clé principale et validez
la configuration.
5. Les clés principales doivent désormais être synchronisées. Consultez les journaux pour
vérifier qu'aucun journal système critère lié à la clé principale n'existe.
2. Vérifiez qu'il n'existe pas de mise à jour de configuration en attente sur les deux
périphériques de la paire HD. S'il existe des modifications en attente, validez la
configuration sur les deux périphériques et patientez jusqu'à ce que toutes les mises à jour
de configuration soient terminées.
Vous pouvez afficher l'état de validation en cliquant sur le lien Tâches en bas à droite de
l'interface Web de chaque périphérique. A partir de la CLI, exécutez la commande show
jobs all pour afficher tous les travaux en cours d'exécution ou la commande show
jobs pending pour afficher les travaux en attente. Pour vérifier qu'il n'existe aucune
mise à jour en attente, en mode de configuration, exécutez la commande check
pending-changes. Non doit s'afficher.
4. Mettez à jour la clé principale sur le périphérique B avec la même clé principale et validez
la configuration.
6. Les clés principales doivent désormais être synchronisées. Consultez les journaux pour
vérifier qu'aucun journal système critère lié à la clé principale n'existe.
Haute disponibilité
PAN-OS prend en charge la haute disponibilité (HD) active/passive et active/active.
Remarque : Dans une paire HD, les deux pare-feux doivent être du même modèle et
disposer des mêmes licences. Si la synchronisation de l'état est activée, les sessions
existantes se poursuivent après un basculement. Les fonctions de protection contre les
menaces sont toutefois arrêtées. La protection contre les menaces s'appliquera aux
nouvelles sessions.
HD Active/Passive
Dans la configuration active/passive, deux périphériques forment un groupe HD pour
permettre une redondance. Les deux pare-feux sont en miroir l'un par rapport à l'autre dans la
configuration. Si le pare-feu actif échoue pour une quelconque raison, le pare-feu passif
devient automatiquement actif sans perte de service. Un basculement est également possible
si les liaisons Ethernet sélectionnées échouent ou si le pare-feu actif ne parvient pas à atteindre
une ou plusieurs des destinations spécifiées. En ce qui concerne le traitement du trafic, au
moins un périphérique reçoit des paquets à la fois.
Les règles suivantes s'appliquent au fonctionnement de HD et au basculement :
• Le pare-feu actif synchronise en permanence ses informations de configuration et de
session avec le pare-feu passif via les interfaces HD.
• En cas d'échec du pare-feu actif, le pare-feu passif détecte la perte des pulsations et
devient automatiquement actif.
• En cas d'échec d'une interface HD, la synchronisation se poursuit sur l'autre interface. Si
la connexion de synchronisation de l'état est perdue, aucune synchronisation de l'état
n'est exécutée. Si la synchronisation de la configuration est perdue, les pulsations le sont
également. Les deux périphériques détectent que l'autre est inactif et deviennent alors
tous les deux actifs.
• Vous pouvez configurer les ports de gestion (MGT) sur les périphériques HD afin
d'indiquer un chemin de sauvegarde des messages de pulsations et Hello. Si vous
configurez HA1 ou une sauvegarde HA1 sur le port de gestion, vous ne devez pas activer
l'option de sauvegarde des pulsations.
HD Active/Active
La haute disponibilité active/active permet aux deux périphériques d'une paire HD de
transmettre simultanément du trafic et est déployée dans des environnements acheminés de
manière asymétrique dans lesquelles la prise en charge de l'ID de l'application et de l'ID de
contenu est requise. L'inspection de la couche 7 de l'ID de l'application et de l'ID de contenu
est exécutée sur un seul périphérique pour chaque session (ce périphérique est désigné
comme le propriétaire de la session). Si nécessaire, PAN-OS utilise le transfert de paquets (via
la liaison HA3) pour envoyer des paquets au propriétaire de la session désigné pour
traitement.
Des périphériques actifs/actifs peuvent être déployés avec des interfaces de couche 3 ou de
câble virtuel. Dans les déploiements à couche 3, les paquets analysés peuvent être directement
transférés par le propriétaire de la session après le traitement. Dans les déploiements à câble
virtuel, les paquets analysés doivent être renvoyés au pare-feu récepteur afin de protéger le
chemin de transfert. La liaison HA3 n'est pas utilisée si le propriétaire de la session reçoit
initialement le paquet. Les sessions qui ne requièrent pas l'ID de l'application et l'ID de
contenu sont directement transférés par le périphérique récepteur (même s'il ne s'agit pas du
propriétaire de la session) afin d'optimiser les performances.
Pour plus de flexibilité, vous pouvez configurer des interfaces de couche 3 de diverses
manières. Notez qu'il convient généralement de configurer des interfaces de couche 3 avec
une adresse IP d'interface statique en plus d'une adresse virtuelle (adresse IP flottante ou
adresse IP de partage de charge ARP).
• IP statique : les interfaces de couche 3 doivent être associées à des adresses IP statiques si
le pare-feu doit utiliser des protocoles de routage dynamiques avec des périphériques à
proximité. Une option de déploiement actif/actif possible utilise des mesures de coût du
protocole de routage dynamique pour forcer un chemin symétrique via la paire HD. Dans
ce cas, l'ensemble du trafic est symétrique et l'efficacité de la paire active/active est
optimisée.
• IP flottante : ce mode est utilisé lorsque la fonction similaire au protocole VRRP (Virtual
Router Redundancy Protocol) est requise, lorsqu'une adresse IP doit être disponible quel
que soit l'état des membres de la paire HD par exemple. Il convient généralement de
configurer deux adresses IP flottantes sur une interface spécifique de telle sorte que
chaque pare-feu dispose d'une adresse propre. La propriété est attribuée à l'ID de
périphérique dont la priorité est la plus élevée. En cas d'échec de l'un des pare-feux,
l'adresse IP flottante est transmise à l'homologue HD.
• Partage de charge ARP : ce mode est utilisé pour répartir la charge du trafic d'hôte entre
les deux pare-feux via le protocole ARP (Address Resolution Protocol).
Pour une description plus détaillée de ces trois options, reportez-vous aux descriptions plus
loin dans cette section.
Flux de paquets
Le flux de paquets se déroule comme suit dans une configuration active/active :
• Le propriétaire de la session est chargé du traitement de tous les paquets correspondants
à l'ID de l'application et à l'ID de contenu. Le propriétaire de la session peut être configuré
pour être (1) le premier périphérique qui reçoit un paquet pour la session, ou (2) le
périphérique principal. Si l'option de configuration est définie sur Périphérique principal,
toutes les sessions sont paramétrées sur le périphérique principal.
Remarque : Les journaux passant par une paire HD active/active s'affichent sur
le périphérique désigné comme étant le propriétaire de la session.
– Modulo IP : utilise une opération de module simple sur l'adresse IP source afin de
déterminer le périphérique de paramétrage de la session. Modulo IP transfère les
responsabilités de paramétrage de la session vers un périphérique HD spécifique en
fonction de la parité de l'adresse IP.
Options de déploiement
La HD active/active prend en charge l'utilisation simultanée des interfaces de câble virtuel et
de couche 3. Toutes les options de déploiement actif/actif sont prises en charge dans les
environnements IPv6, notamment la surveillance des chemins IPv6.
Remarque : L'adresse IP flottante utilise une autre adresse MAC virtuelle lors du
transfert de l'adresse IP entre les périphériques HD en cas d'échec.
Remarque : Vous ne pouvez pas exécuter une commande ping ou des services de
gestion sur une adresse IP de partage de charge ARP en mode actif/actif.
• Les deux : cette option permet à l'un ou l'autre périphérique de mettre en correspondance
de nouvelles sessions avec la règle NAT et est généralement utilisée pour le NAT de
destination.
Routeur ISP
1.1.1.254/24
1.1.1.1/24 1.1.1.2/24
ID du périphérique 1
ID du
périphrique 0
Réseau privé
1.1.1.1/24 2.2.2.1/24
ID du périphérique 1
Réseau privé
1.1.1.1/24 2.2.2.1/24
ID du périphérique 1
ID du
périphrique 0
Paramétrage de la HD
Pour paramétrer la HD, procédez comme suit :
1. Utilisez deux pare-feux avec le même numéro de modèle.
2. Montez les deux pare-feux dans un rack à proximité l'un de l'autre, puis mettez-les sous
tension comme décrit dans le Guide de référence du matériel. S'il s'agit d'une installation
existante, nous vous conseillons de procéder à une réinitialisation en mode de
maintenance en sélectionnant l'option Réinitialisation usine dans le menu principal.
Reportez-vous au Guide de référence de l'interface de ligne de commande PAN-OS.
3. Connectez chaque pare-feu à votre réseau et à Internet à l'aide des mêmes ports
physiques.
4. A l'aide de deux câbles Ethernet RJ-45 inverseurs, connectez les ports HA1 et HA2 de
chaque pare-feu aux mêmes ports sur l'autre pare-feu, ou connectez les ports des deux
pare-feux à un commutateur. HA1 correspond à la liaison de contrôle et HA2 à la liaison
de données. Pour les configurations active/active, procédez à une connexion physique
supplémentaire, HA3, entre les deux pare-feux. Des groupes d'agrégation de liaisons sont
recommandés pour la redondance de la liaison sur HA3 lorsque le pare-feu prend en
charge l'interface Ethernet agrégée.
5. Ouvrez l'onglet Réseau et vérifiez que les liaisons HD sont actives. Configurez chaque
liaison sur le type HD.
Une fois la HD paramétrée comme décrit dans « Paramétrage de la HD » à la page 108, vous
pouvez activer la HD sur les pare-feux actif et passif. Pour chaque section de la page Haute
disponibilité, cliquez sur Modifier dans l'en-tête et fournissez les informations
correspondantes décrites dans le tableau suivant.
• Adresse IPv4/6 : saisissez l'adresse IPv4 ou IPv6 des interfaces HA1 principale et
de secours. Le paramètre de secours est facultatif.
• Masque réseau : saisissez le masque réseau de l'adresse IP (255.255.255.0 par
exemple) des interfaces HA1 principale et de secours. Le paramètre de secours est
facultatif.
• Passerelle : saisissez l'adresse IP de la passerelle par défaut des interfaces HA1
principale et de secours. Le paramètre de secours est facultatif.
• Vitesse de liaison (modèles dotés de ports HD dédiés uniquement) :
sélectionnez la vitesse de la liaison de contrôle entre les pare-feux pour le port
HA1 dédié.
• Mode duplex de la liaison (modèles dotés de ports HD dédiés uniquement) :
sélectionnez une option de duplex pour la liaison de contrôle entre les pare-feux
pour le port HA1 dédié.
• Cryptage activé : activez le cryptage après l'exportation de la clé HD de
l'homologue HD et son importation sur ce périphérique. La clé HD de ce
périphérique doit également être exportée de ce périphérique et importée sur
l'homologue HD. Configurez ce paramètre pour l'interface HA1 principale.
L'importation/exportation de la clé est exécutée sur la page Certificats. Reportez-
vous à « Importation, exportation et génération de certificats de sécurité » à la
page 60.
• Temps d'attente pour la surveillance (ms) : saisissez la durée d'attente (en
millisecondes) du pare-feu avant de déclarer un échec d'homologue dû à l'échec
d'une liaison de contrôle (1 000 à 60 000 ms, par défaut 3 000 ms). Cette option
surveille l'état de la liaison physique du ou des ports HA1.
Onglet Actif/Passif
Etat de liaison Choisissez parmi les options suivantes :
passif • Auto : l'état de la liaison reflète la connectivité physique mais ignore tous les
paquets reçus. Cette option permet de maintenir l'état de la liaison de
l'interface jusqu'à ce qu'un basculement se produise, réduisant ainsi la durée
nécessaire de basculement du périphérique passif.
Cette option est prise en charge en mode couche 2, couche 3 et câble virtuel.
L'option Auto doit être privilégiée si votre réseau le permet.
• Arrêter : force l'arrêt de la liaison de l'interface. Il s'agit de l'option par défaut
qui garantit qu'aucune boucle n'est créée dans le réseau.
Temps d'attente Précisez la durée (en minutes) d'un pare-feu à l'état non fonctionnel avant de
inactif après devenir passif. Ce délai est utilisé uniquement lorsque la raison de l'échec est un
l'échec de la échec de la surveillance des liaisons ou des chemins (plage de 1 à 60, par défaut 1).
surveillance
• L'option de préemption doit être activée sur les deux périphériques pour que le pare-feu
prioritaire puisse reprendre l'état actif après la récupération d'un échec.
• Le sous-réseau utilisé pour l'adresse IP locale et d'homologue ne doit pas être réutilisée
sur le routeur virtuel.
• Les versions OS et Contenu doivent être identiques sur les deux périphériques. Une
discordance peut empêcher la synchronisation des périphériques dans le cluster.
• Les voyants sont verts sur les ports HD du pare-feu actif et orange sur le pare-feu passif.
• Pour afficher les informations de HD détaillées sur le pare-feu local, utilisez la commande de
la CLI show high-availability all.
• Synchronisez les pare-feux via l'interface Web en cliquant sur le bouton Diffuser la
configuration situé dans le widget HD de l'onglet Tableau de bord. Notez que la
configuration du périphérique duquel vous diffusez la configuration remplace celle présente
sur le périphérique homologue. Pour synchroniser les pare-feux à partir de la CLI du
périphérique actif, utilisez la commande request high-availability sync-to-remote
running-config.
• Pour suivre l'état de la charge, utilisez la commande de la CLI show jobs processed.
HA Lite
Les pare-feux PA-200 et de la série VM prennent en charge une version « lite » de la HD active/
passive qui n'inclut pas la synchronisation de la session. HA Lite permet la synchronisation de la
configuration et la synchronisation de certains éléments d'exécution. Il prend également en charge
le basculement des tunnels IPSec (les sessions doivent être rétablies), les informations de bail du
serveur DHCP, les informations de bail du client DHCP, les informations de bail PPPoE ainsi que
la table de transfert du pare-feu en mode de configuration couche 3.
Systèmes virtuels
Un système virtuel représente un ensemble d'interfaces de pare-feux physiques et logiques
(notamment les VLAN et câbles virtuels) et des zones de sécurité. (Pour plus d'informations sur les
zones de sécurité, reportez-vous à « Définition de zones de sécurité » à la page 161.) Les systèmes
virtuels vous permettent de segmenter l'administration de toutes les politiques (sécurité, NAT,
QoS, etc.) ainsi que les fonctions de génération de rapports et de visibilité proposées par le pare-
feu.
Les systèmes virtuels concernent généralement la fonction de sécurité du pare-feu. Les fonctions
réseau telles que le routage statique et dynamique, ne sont pas contrôlées par les systèmes virtuels.
Si vous souhaitez disposer d'une segmentation du routage sur chaque système virtuel, vous devez
créer un routeur virtuel supplémentaire.
Par exemple, si vous souhaitez personnaliser les fonctions de sécurité du trafic associé à votre
service financier, vous pouvez définir un système virtuel Finance et définir des politiques de
sécurité applicables à ce service uniquement.
La Figure 7 illustre la relation entre les politiques et les systèmes virtuels dans le pare-feu. Des
politiques sont associées à chaque système virtuel contrairement aux fonctions de niveau
périphérique et réseau qui s'appliquent à l'ensemble du pare-feu.
Internet
Deviceadmin
Pour optimiser l'administration des politiques, vous pouvez créer des comptes
d'administrateur de système virtuel permettant d'accéder à chaque système virtuel tout en
conservant des comptes d'administrateur distinct pour les fonctions au niveau du
périphérique et du réseau. Par exemple, un administrateur de système virtuel du service
Finance peut être désigné pour gérer les politiques de sécurité de ce service uniquement.
Toutes les interfaces, zones et politiques appartiennent initialement au système virtuel par
défaut (vsys1).
Lorsque vous activez plusieurs systèmes virtuels, notez les points suivants :
• Tous les éléments nécessaires aux politiques sont créés et gérés par un administrateur de
système virtuel.
• Les zones sont des objets de systèmes virtuels. Avant de définir une politique ou un objet
de politique, sélectionnez le système virtuel dans la liste déroulante Système virtuel dans
l'onglet Politiques ou Objets.
• Des interfaces, VLAN, câbles virtuels et routeurs virtuels peuvent être attribués aux
systèmes virtuels. Reportez-vous à « Définition des systèmes virtuels » à la page 122.
• Des destinations de journalisation à distance (SNMP, syslog et e-mail), ainsi que des
applications, services et profils, peuvent être partagés par tous les systèmes virtuels ou
être limités à un système virtuel sélectionné.
systèmes virtuels correspondants à chaque zone externe. Dans l'exemple suivant, Service 1 VSYS
doit disposer d'une zone externe faisant référence à Service 2 VSYS utilisé dans toutes les
politiques affectant le trafic entre les systèmes virtuels. Les entrées du journal de trafic sont
enregistrées sur les deux systèmes virtuels pour le trafic entre VSYS.
Chaque système virtuel doit disposer de politiques d'envoi et de réception de trafic. Par exemple,
le fait d'autoriser Service 1 VSYS de communiquer avec Service 2 VSYS requiert une politique dans
Service 1 VSYS autorisant le trafic vers Service 2 VSYS et une politique dans Service 2 VSYS
acceptant le trafic entrant de Service 1 VSYS.
Internet
Passerelles partagées
Dans une configuration d'interface de système virtuel standard, chaque système virtuel utilise
une interface dédiée vers le monde extérieur. Chaque système virtuel est autonome et il
n'existe aucun chemin de communications direct et interne au pare-feu entre les systèmes
virtuels sauf si de telles communications sont explicitement configurées (reportez-vous à
« Communications entre les systèmes virtuels » à la page 119). Chaque système virtuel
disposant d'une adresse IP propre, plusieurs adresses sont nécessaires pour les
communications externes.
Internet
Les passerelles partagées permettent aux systèmes virtuels de partager une interface commune
pour les communications externes. Ceci est tout particulièrement utile dans les déploiements où
l'ISP ne fournit qu'une seule adresse IP. Tous les systèmes virtuels communiquent avec le monde
extérieur via l'interface physique à l'aide d'une adresse IP unique (reportez-vous à la Figure 10).
Un routeur virtuel est utilisé pour acheminer le trafic de tous les systèmes virtuels via la passerelle
partagée.
Internet
x.x.x.x
Passerelle partagée
Toutes les règles de politique sont gérées au niveau du système virtuel. Si nécessaire, vous
pouvez créer des règles de transfert NAT et basé sur des politiques via la passerelle partagée
en sélectionnant la passerelle partagée dans la liste déroulante Système virtuel de l'écran
Politiques.
Pour définir des systèmes virtuels, vous devez tout d'abord activer la définition de plusieurs
systèmes virtuels. Pour cela, ouvrez la page Périphérique > Configuration, cliquez sur le lien
Modifier sous Paramètres généraux dans l'onglet Gestion, puis cochez la case Fonction de
systèmes virtuels multiples. Un lien Systèmes virtuels est ainsi ajouté au menu latéral.
Vous pouvez désormais ouvrir la page Systèmes virtuels, cliquer sur Ajouter, puis préciser les
informations suivantes.
Une fois les systèmes virtuels définis, vous pouvez exécutez l'une des tâches supplémentaires
suivantes :
• Pour modifier un système virtuel, cliquez sur le nom du système virtuel ou de l'interface
(VLAN, câble virtuel, routeur virtuel ou systèmes virtuels) que vous souhaitez modifier,
apportez les modifications appropriées, puis cliquez sur OK.
• Pour définir des zones de sécurité pour le nouveau système virtuel, choisissez Réseau >
Zones et définissez des zones de sécurité pour chaque nouveau système virtuel (reportez-
vous à « Définition de zones de sécurité » à la page 161). Lorsque vous définissez une nouvelle
zone, vous pouvez sélectionner un système virtuel.
• Cliquez sur Réseau > Interfaces et vérifiez que chaque interface comporte un système virtuel
et une zone de sécurité.
Les passerelles partagées utilisent des interfaces de couche 3, et au moins une interface de couche 3
doit être configurée en tant que passerelle partagée. Reportez-vous à « Configuration des interfaces de
couche 3 » à la page 136.
Les pages de réponse personnalisées correspondent aux pages Web affichées lorsqu'un
utilisateur tente d'accéder à une URL. Vous pouvez définir un message HTML personnalisé
qui est téléchargé et affiché à la place de la page Web ou du fichier demandé.
Chaque système virtuel peut disposer de pages de réponse personnalisées propres.
Le tableau suivant décrit les types de pages de réponse personnalisées prenant en charge des
messages personnalisés.
Page de notification des Notification indiquant qu'un certificat SSL a été révoqué.
erreurs de certificat SSL
Page d'exclusion de Page d'avertissement utilisateur indiquant que cette session sera
décryptage SSL inspectée.
Page incluant la politique de blocage initiale permettant aux
Page de maintien et de utilisateurs d'ignorer le blocage. Par exemple, un utilisateur qui
forçage du filtrage des URL pense que la page a été bloquée de manière inappropriée peut
cliquer sur le bouton Continuer pour accéder à la page.
Avec la page de forçage, un mot de passe est requis pour que
l'utilisateur puisse contrôler la politique bloquant cette URL.
Reportez-vous à la section « Forçage de l'URL par l'administrateur »
du Tableau 1 pour obtenir des instructions sur la définition du mot
de passe de contrôle prioritaire.
Page de blocage du filtrage et Accès bloqué par un profil de filtrage des URL ou parce que la
des correspondances de catégorie d'URL est bloquée par une politique de sécurité.
catégories des URL
Vous pouvez exécuter l'une des fonctions suivantes sous Pages de réponse.
• Pour importer une page de réponse HTML personnalisée, cliquez sur le lien du type de
page que vous souhaitez modifier, puis cliquez sur Importer/Exporter. Recherchez la
page. Un message indiquant si l'importation a abouti s'affiche. Pour que l'importation
aboutisse, le fichier doit être au format HTML.
• Pour exporter une page de réponse HTML personnalisée, cliquez sur le lien Exporter
pour le type de page. Choisissez d'ouvrir le fichier ou de l'enregistrer sur le disque, puis
cochez la case si vous souhaitez toujours utiliser la même option.
• Pour activer ou désactiver la page Blocage des applications ou les pages d'exclusion de
décryptage SSL, cliquez sur le lien Activer du type de page. Cochez ou décochez la case
Activer.
• Pour utiliser la page de réponse par défaut au lieu d'une page précédemment chargée,
cliquez sur le lien Restaurer la page de blocage du type de page, puis sur Restaurer. Un
message indiquant si la restauration a abouti s'affiche.
La page Support vous permet d'accéder aux alertes produit et de sécurité de Palo Alto Networks
en fonction du numéro de série de votre pare-feu. Vous pouvez également consulter une base de
connaissances techniques, et créer et afficher des « tickets » de demandes de support technique.
Exécutez l'une des fonctions suivantes sur cette page :
• Pour afficher les détails d'une alerte, cliquez sur le nom de l'alerte.
• Pour accéder à la page de support de Palo Alto Networks, cliquez sur Support.
• Pour saisir une demande de support technique ou pour afficher l'état de demandes existantes,
cliquez sur Gérer les cas.
• Pour générer un système de fichiers afin de simplifier le support technique de Palo Alto
Networks lors d'un dépannage, cliquez sur Générer le fichier de support technique. Une fois
le fichier généré, cliquez sur Télécharger le fichier de support technique pour télécharger le
fichier sur votre ordinateur.
Remarque : Pour plus d'informations sur la prise en charge VPN sur le pare-feu,
consultez les sections « Rapports et journaux » à la page 273 et « Rapports et
journaux » à la page 273. Pour plus d'informations sur la prise en charge de la
qualité de service (QoS), consultez la section « Configuration de la qualité de
service » à la page 387.
Déploiement du pare-feu
Le pare-feu peut remplacer votre pare-feu existant lorsqu'il est installé entre un routeur
périphérique (ou un autre périphérique Internet) et un commutateur ou un routeur qui se
connecte à votre réseau interne. Le pare-feu prend en charge un large éventail d'options de
déploiement et de types d'interfaces pouvant être utilisées simultanément sur différentes
interfaces physiques. Leurs descriptions sont disponibles dans les sections suivantes :
• « Déploiements d'un câble virtuel » dans la section suivante
Un câble virtuel correspond à la configuration par défaut et doit être uniquement utilisé
lorsqu'aucun basculement ou routage n'est requis.
Aucun routage ou
basculement exécuté
Les sous-interfaces de câble virtuel permettent de gérer de façon plus flexible plusieurs
réseaux dans lesquels le trafic doit être séparé et différentes politiques requises. Vous pouvez
utiliser ces sous-interfaces pour classer le trafic en zones et systèmes virtuels différents en
fonction de leur étiquette VLAN et/ou de leur IP (adresse, plage ou sous-réseau). Dans
l'illustration de la Figure 12, un fournisseur de services Internet (ISP) utilise des sous-
interfaces de câble virtuel, ainsi que des classificateurs d'adresses IP pour séparer le trafic de
deux clients différents.
Le flux opérationnel général de la configuration consiste à configurer deux interfaces Ethernet
à l'aide d'un type d'interface de câble virtuel, puis ces interfaces sont ajoutées à un câble
virtuel dans Périphérique > Câbles virtuels. Les interfaces faisant partie du câble virtuel sont
ensuite configurées avec des sous-interfaces définies pour séparer le trafic du ClientA et du
ClientB. Pour finir, créez des câbles virtuels supplémentaires pour chaque paire de sous-
interfaces. Les deux sous-interfaces d'un câble virtuel doivent contenir la même étiquette
VLAN, étant donné qu'un câble virtuel ne peut pas faire basculer des étiquettes VLAN.
L'illustration de la Figure 12 montre que le ClientA et le ClientB sont connectés au pare-feu via
une interface ethernet1/1 physique configurée en tant que câble virtuel et qu'elle sert
d'interface d'entrée. Une deuxième interface ethernet1/2 physique fait également partie du
câble virtuel et sert d'interface de sortie pour fournir un accès à Internet. Ensuite, ajoutez des
sous-interfaces ethernet1/1.1 sur le côté entrant, puis une sous-interface de sortie ethernet1/
2.1 au ClientA. Idem pour le Client2, mais utilisez une sous-interface ethernet1/1.2 comme
entrée et une sous-interface ethernet1/2.2 comme sortie. Au moment de la configuration des
sous-interfaces, vous pouvez ensuite assigner un VLAN et une zone appropriés afin
d'appliquer des politiques à chaque client. Dans cet exemple, les politiques du ClientA sont
créées entre la Zone1 et la Zone2 et les politiques du ClientB sont créées entre la Zone3 et la
Zone4.
Le trafic entre dans le pare-feu du ClientA ou du ClientB et chaque client va être séparé en
fonction de leur adresse IP, à condition que l'option Classificateur d'adresses IP soit utilisée
sur la sous-interface et/ou le VLAN, si l'étiquetage est activé.
Le trafic entrant va être assigné à une sous-interface de câble virtuel spécifique en comparant
d'abord l'étiquette VLAN d'un paquet aux sous-interfaces associées à l'interface d'entrée. Si
une sous-interface unique contient l'étiquette VLAN pour un paquet entrant, cette sous-
interface sera sélectionnée. S'il existe plusieurs sous-interfaces correspondantes (plusieurs
sous-interfaces utilisant la même étiquette VLAN), le pare-feu va essayer de limiter davantage
la classification dans une sous-interface en fonction de l'adresse IP source d'un paquet dans le
trafic sortant. Pour le trafic de la voie de retour, le pare-feu va sélectionner le câble virtuel
approprié en comparant l'adresse de destination à la liste des classificateurs d'adresses IP
définis sur la sous-interface orientée client.
La classification des adresses IP peut uniquement être utilisée sur les sous-interfaces associées
à une interface physique du câble virtuel (un côté du câble virtuel). Les sous-interfaces
définies sur l'autre interface physique du câble virtuel ne doivent pas contenir de
classificateur d'adresses IP et doivent indiquer la même étiquette VLAN que la sous-interface
correspondante située de l'autre côté.
Internet
Pour paramétrer des câbles virtuels, consultez la section « Configuration des interfaces de
câble virtuel » à la page 146.
Déploiements de couche 2
Dans un déploiement de couche 2, le pare-feu assure un basculement entre deux ou plusieurs
réseaux. Chaque groupe d'interfaces doit être assigné à un objet VLAN afin que le pare-feu
puisse les faire basculer. Le pare-feu va faire basculer une étiquette VLAN lorsque des sous-
interfaces de couche 2 sont jointes à un objet VLAN commun. Choisissez cette option lorsque
le basculement est requis (Figure 13).
Basculement entre
deux réseaux
Déploiements de couche 3
Dans un déploiement de couche 3, le pare-feu route le trafic entre plusieurs ports. Une adresse
IP doit être assignée à chaque interface et un routeur virtuel doit être défini pour router le
trafic. Choisissez cette option lorsqu'un routage est requis (Figure 14).
Basculement entre
deux réseaux
10.1.2.1/24 10.1.1.1/24
Client DHCP
Vous pouvez configurer l'interface du pare-feu pour qu'elle agisse en tant que client DHCP et
qu'elle reçoive une adresse IP assignée de façon dynamique. Le pare-feu permet également de
propager les paramètres reçus par l'interface du client DHCP dans un serveur DHCP actif sur
le pare-feu. La propagation des paramètres d'un serveur DNS par un fournisseur de services
Internet est couramment pratiquée dans les machines clientes actives sur le réseau protégé par
le pare-feu.
Remarque : Le client DHCP n'est pas pris en charge en mode actif/actif HD.
Remarque : Lorsqu'il est déployé en mode Tap, le pare-feu ne peut pas agir,
comme bloquer le trafic ou appliquer un contrôle du trafic de QoS.
Cette page permet de définir des câbles virtuels après avoir spécifié deux interfaces de câbles
virtuels sur le réseau. Pour une vue d'ensemble des déploiements de câbles virtuels, consultez
la section « Déploiements d'un câble virtuel » à la page 128. Pour obtenir des instructions sur
la spécification d'interfaces en tant que câbles virtuels, consultez la section « Configuration
des interfaces de câble virtuel » à la page 146.
Pour modifier le nom d'un câble virtuel ou les étiquettes autorisées, cliquez sur le nom du
câble virtuel dans la page Câbles virtuels, modifiez les paramètres et cliquez sur OK. Les
câbles virtuels peuvent également être modifiés dans la page Interfaces (voir « Configuration
des interfaces de câble virtuel » à la page 146).
Pour supprimer un ou plusieurs câbles virtuels, cochez la case située en regard des noms de
câbles virtuels et cliquez sur Supprimer. Notez que la suppression d'un câble virtuel le
supprime des interfaces de câble virtuel associées figurant dans la page Interfaces.
• Par défaut, le pare-feu va effacer les indicateurs d'urgence TCP dans tous les paquets. Ce
comportement peut être modifié en désactivant cette fonctionnalité dans l'interface CLI à
l'aide de la commande suivante : set deviceconfig setting tcp urgent-data
oobinline.
• La modification des marquages DSCP (DiffServ Code Point) ou QoS de priorité des
adresses IP peut être configurée dans la section Actions de chaque règle de sécurité.
• La traduction des étiquettes VLAN sera effectuée chaque fois que l'étiquetage des
interfaces d'entrée et de sortie du pare-feu sera différent.
Remarque : La traduction des étiquettes VLAN n'est pas disponible sur les interfaces de câble virtuel.
Interfaces du pare-feu
Le tableau suivant décrit les types d'interfaces pris en charge sur le pare-feu et explique
comment les définir.
La page Interfaces répertorie le type d'interface, l'état des liaisons et la zone de sécurité de
chaque interface configurée, ainsi que l'adresse IP, le routeur virtuel, l'étiquette VLAN et le
nom du réseau VLAN ou du câble virtuel (selon le cas).
Par défaut, les interfaces sont répertoriées par nom.
L'icône suivante est utilisée dans la page Interfaces :
Indique que le lien est actif (vert), inactif (rouge) ou que sont état est inconnu (gris).
Vous pouvez configurer un ou plusieurs ports Ethernet en tant qu'interfaces de couche 2 pour
un trafic VLAN non étiqueté. Pour chaque interface de couche 2 principale, vous pouvez
définir plusieurs sous-interfaces de couche 2 pour un trafic doté d'étiquettes VLAN
spécifiques (voir « Configuration des sous-interfaces de couche 2 » à la page 136). Les
interfaces VLAN peuvent également être utilisées dans les déploiements de couche 2 pour
fournir des services de routage ou de passerelle au trafic dans le domaine de couche 2 (voir
« Configuration des interfaces VLAN » à la page 151). Pour ce faire, créez une interface VLAN
et assignez-la en tant que passerelle par défaut pour les hôtes connectés à l'interface de couche
2 du pare-feu.
Pour configurer une interface Ethernet de couche 2, cliquez sur le lien de l'interface dans
l'onglet Ethernet et indiquez les paramètres suivants.
Onglet Config
VLAN Sélectionnez un VLAN ou cliquez sur Nouveau pour définir un nouveau
VLAN (voir « Prise en charge de VLAN » à la page 162). Aucun supprime
la configuration de l'interface. Un objet VLAN doit être configuré pour
activer le basculement entre des interfaces de couche 2 ou pour activer le
routage via une interface VLAN.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Onglet Avancé
Vitesse de liaison Sélectionnez la vitesse de l'interface en Mbits/s (10, 100 ou 1 000) ou
sélectionnez Auto.
Duplex de la liaison Indiquez si le mode de transmission de l'interface est en duplex intégral
(Intégral), semi-duplex (Semi) ou automatiquement négocié (Auto).
État des liaisons Indiquez si l'état de l'interface est activé (Actif), désactivé (Inactif) ou
automatiquement déterminé (Auto).
Pour chaque port Ethernet configuré en tant qu'interface de couche 2, vous pouvez définir une
interface de couche 2 logique (sous-interface) supplémentaire pour chaque étiquette VLAN
utilisée dans le trafic reçu par le port. Pour configurer les interfaces de couche 2 principales,
consultez la section « Configuration des interfaces de couche 2 » à la page 135. Pour activer le
basculement entre les sous-interfaces de couche 2, il vous suffit de lier ces sous-interfaces à un
même objet VLAN.
Pour ajouter une sous-interface Ethernet de couche 2, sélectionnez l'interface physique
associée, puis cliquez sur Ajouter une sous-interface et spécifiez les informations suivantes.
Assigner l'interface à
VLAN Pour une interface de couche 2, sélectionnez un VLAN ou cliquez sur
Nouveau pour définir un nouveau VLAN (voir « Profils réseaux » à la
page 187). Aucun supprime la configuration de l'interface. Un objet
VLAN doit être configuré pour activer le basculement entre des interfaces
de couche 2 ou pour activer le routage via une interface VLAN.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Vous pouvez configurer un ou plusieurs ports Ethernet en tant qu'interfaces de couche 3 pour
un trafic routé non étiqueté. Vous pouvez ensuite définir des sous-interfaces de couche 3 pour
un trafic doté d'étiquettes VLAN spécifiques (voir « Configuration des sous-interfaces de
Onglet Config
Routeur virtuel Sélectionnez un routeur virtuel ou cliquez sur Nouveau pour définir un
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de routage » à
la page 162). Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à la
page 161). Aucune supprime la configuration de l'interface.
Onglet IPv4
Type Sélectionnez la méthode de spécification des informations de l'adresse IP
(statique, PPPoE ou client DHCP), comme décrit ci-dessous.
Statique Saisissez une adresse IP et un masque réseau pour l'interface au format
adresse_ip/masque et cliquez sur Ajouter. Vous pouvez saisir plusieurs
adresses IP pour l'interface. Pour supprimer une adresse IP, sélectionnez-la et
cliquez sur Supprimer.
Remarque : Le client DHCP n'est pas pris en charge en mode actif/actif HD.
Pour chaque port Ethernet configuré en tant qu'interface de couche 3, vous pouvez définir une
interface de couche 3 logique supplémentaire (sous-interface) pour chaque étiquette VLAN
utilisée dans le trafic reçu par le port. Pour configurer les interfaces de couche 3 principales,
consultez la section « Configuration des interfaces de couche 3 » à la page 136.
Les sous-interfaces de couche 3 non étiquetées peuvent également être utilisées lorsque
l'option « Sous-interface non étiquetée » de l'interface de couche 3 parent est activée. Les sous-
interfaces non étiquetées sont utilisées dans les environnements multi-locataires dans lesquels
le trafic de chaque locataire doit quitter le pare-feu sans étiquettes VLAN.
Prenons un exemple dans lequel le trafic de chaque locataire sort du pare-feu et le saut suivant
correspond à un routeur ISP. Le pare-feu ne peut pas toujours appliquer une étiquette VLAN
au trafic de retour pour une classification correcte dans un système virtuel. Dans ces cas-là,
vous pouvez utiliser une sous-interface non étiquetée sur le côté orienté routeur ISP. Chaque
sous-interface non étiquetée va disposer d'une adresse IP et l'adresse source de l'ensemble du
trafic sortant doit être traduite dans cette adresse IP de l'interface. Une règle de traduction
NAT explicite doit être créée pour pouvoir utiliser cette fonctionnalité. La traduction NAT
source est obligatoire sur les sous-interfaces non étiquetées car le pare-feu va utiliser l'adresse
IP de destination sur les paquets entrants (voie de retour) afin de sélectionner le système
virtuel approprié pour la recherche de politiques. Tout trafic reçu sur l'interface parent qui
n'est pas destiné à l'un des IP des sous-interfaces non étiquetées va être géré par le système
virtuel et le routeur virtuel assigné à cette interface parent.
Pour ajouter une sous-interface Ethernet de couche 3, sélectionnez l'interface associée et
cliquez sur Ajouter une sous-interface et indiquez les informations suivantes.
Onglet Config
Routeur virtuel Sélectionnez un routeur virtuel ou cliquez sur Nouveau pour définir un
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de routage » à la
page 162). Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la configuration
de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau pour
définir une nouvelle zone (voir « Définition de zones de sécurité » à la page 161).
Aucune supprime la configuration de l'interface.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 sur cette interface.
l'interface
ID de l'interface Saisissez l'identifiant unique étendu sur 64 bits au format hexadécimal, par
exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide, le pare-feu
va utiliser l'EUI-64 généré à partir de l'adresse MAC de l'interface physique.
Adresse Cliquez sur Ajouter et saisissez la longueur de l'adresse et du préfixe IPv6, par
exemple : 2001:400:f00::1/64. Sélectionnez Utiliser l'ID de l'interface comme
partie hôte pour assigner une adresse IPv6 à l'interface qui va utiliser l'ID de
l'interface en tant que partie hôte de l'adresse. Sélectionnez Anycast pour inclure
un routage via le nœud le plus proche. Si aucun Préfixe n'est sélectionné,
l'adresse IPv6 assignée à l'interface va être intégralement spécifiée dans la zone
de saisie de l'adresse.
Utilisez l'option Envoyer la publication de routeur (Envoyer la RA) pour
activer la publication de routeur pour cette adresse IP. Vous pouvez également
définir l'indicateur Autonome à envoyer, ainsi que l'option Sur la liaison. Vous
devez activer l'option globale Activer la publication de routeur sur l'interface
avant d'activer l'option Envoyer la RA pour une adresse IP spécifique.
Pour créer un câble virtuel, liez deux ports Ethernet ensemble, ce qui permet d'autoriser la
circulation de l'ensemble du trafic entre les ports ou uniquement le trafic doté des étiquettes
VLAN sélectionnées (aucun autre service de basculement ou de routage n'est disponible).
Vous pouvez également créer des sous-interfaces et classer le trafic en fonction d'une adresse
IP, d'une plage d'adresses IP ou d'un sous-réseau. Un câble virtuel n'exige aucune
modification des périphériques réseaux adjacents. Pour une vue d'ensemble des déploiements
de câbles virtuels, consultez la section « Déploiements d'un câble virtuel » à la page 128.
Pour paramétrer un câble virtuel via le pare-feu, vous devez d'abord définir les interfaces de
câble virtuel, comme décrit dans la procédure suivante. Ensuite, créez un câble virtuel à l'aide
des interfaces que vous avez créées.
Pour configurer chaque interface de câble virtuel, procédez comme suit :
1. Identifiez l'interface que vous voulez utiliser pour le câble virtuel dans l'onglet Ethernet
et supprimez-la de la zone de sécurité active, le cas échéant.
Onglet Config
Câble virtuel Sélectionnez un câble virtuel ou cliquez sur Nouveau pour définir un
nouveau câble virtuel (voir « Définition de câbles virtuels » à la page 132).
Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Onglet Avancé
Vitesse de liaison Indiquez la vitesse de l'interface. Si l'interface sélectionnée est une
interface à 10 Gbits/s, l'unique option est Auto. Dans les autres cas, les
options sont les suivantes : 10, 100, 1 000 ou Auto.
Duplex de la liaison Indiquez si le mode de transmission de l'interface est en duplex intégral
(Intégral), semi-duplex (Semi) ou automatiquement négocié (Auto).
État des liaisons Indiquez si l'état de l'interface est activé (Actif), désactivé (Inactif) ou
automatiquement déterminé (Auto).
Pour modifier un câble virtuel en un type d'interface autre, cliquez sur le nom du câble virtuel
affiché dans la colonne VLAN/Câble virtuel, le cas échéant, sélectionnez Aucun et cliquez sur OK.
Pour chaque port Ethernet configuré en tant qu'interface de câble virtuel, vous pouvez définir
une interface de câble virtuel logique supplémentaire (sous-interface) pour chaque étiquette
VLAN utilisée dans le trafic reçu par le port. Des sous-interfaces de câble virtuel peuvent
également être définies en fonction d'une association entre une étiquette VLAN et une adresse
IP ou par adresse IP seule si le trafic est non étiqueté. La classification d'adresses IP permet
d'assigner le trafic à un système ou une zone virtuelle spécifique. Cette classification peut
uniquement être utilisée sur un côté du câble virtuel. Le trafic entrant dans le pare-feu via une
sous-interface de câble virtuel, dans laquelle la classification IP est définie, va être classé en
fonction de son adresse IP source. Pour le trafic de la voie de retour entrant de l'autre côté du
câble virtuel, la classification se base sur l'adresse IP de destination.
Lors de la configuration des sous-interfaces de câble virtuel, vérifiez que la liste Étiquette
autorisée du câble virtuel parent n'inclut aucune des étiquettes VLAN associées aux sous-
interfaces de câble virtuel.
Lors de la configuration des sous-interfaces de câble virtuel associant une étiquette VLAN à
une classification basée sur des adresses IP, vous devez également définir une sous-interface
qui utilise cette même étiquette VLAN et aucune classification d'adresse IP. Ces sous-
interfaces sont obligatoires.
Pour configurer les interfaces de câble virtuel principales, consultez la section « Configuration
des interfaces de câble virtuel » à la page 146.
Pour ajouter une sous-interface de câble virtuel, cliquez sur Ajouter une sous-interface de
câble virtuel et indiquez les informations suivantes.
Assigner l'interface à
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à la
page 161). Aucune supprime la configuration de l'interface.
Les groupes d'interfaces agrégés vous permettent de générer un débit agrégé supérieur à 1 Gbits/
s en utilisant une agrégation de liaison 802.3ad composée de plusieurs liaisons à 1 Gbits/s.
L'agrégation XPF et SFP+ de 10 Gbits/s est également prise en charge. L'interface agrégée que
vous avez créée devient une interface logique. La gestion de l'interface, les profils de zones, les
interfaces VPN et les sous-interfaces VLAN appartiennent tous à l'interface agrégée logique et non
pas aux interfaces physiques sous-jacentes.
Chaque groupe agrégé peut contenir plusieurs interfaces physiques de type Ethernet agrégé. Une
fois le groupe créé, vous pouvez réaliser des opérations telles que la configuration de paramètres
de couche 2 ou de couche 3 sur l'objet Groupe agrégé à la place des interfaces Ethernet agrégées
elles-mêmes.
Remarque : L'algorithme permettant de distribuer le trafic de façon égale sur les
interfaces dans un groupe agrégé se base sur l'ID de session du trafic entrant. Au
fur et à mesure que le trafic entre dans le groupe agrégé, les trois derniers bits
uniques de l'ID de session permettent de déterminer l'interface à utiliser pour un
flux donné.
• Les liaisons à 1 Gbits/s dans un groupe doivent être du même type (toutes en cuivre ou
toutes en fibre).
• Vous pouvez inclure jusqu'à huit interfaces agrégées dans un groupe agrégé.
• Tous les membres d'un groupe agrégé doivent être du même type. Cette condition est
confirmée lors de l'opération de validation.
• Les groupes agrégés peuvent être utilisés pour l'évolutivité de la redondance et du débit
sur la liaison HA3 (transfert de paquets) dans les déploiements Actif/Actif HD.
Vous pouvez configurer une ou plusieurs interfaces afin qu'elles fassent partie d'un groupe
d'interfaces Ethernet agrégé. Commencez d'abord par définir le groupe, comme décrit dans
cette section, puis assignez-lui des interfaces. Pour obtenir des instructions sur l'assignation
d'interfaces à un groupe, consultez la section « Configuration des sous-interfaces de couche
3 » à la page 141.
Pour créer et configurer des interfaces de groupes agrégés, cliquez sur Ajouter un groupe
agrégé et indiquez les informations suivantes.
Assigner l'interface à
Assigner l'interface à L'attribution de l'interface dépend du type d'interface suivant :
• Couche 2 - Spécifiez un VLAN et une zone.
• Couche 3 - Spécifiez un routeur virtuel et une zone.
• Câble virtuel - Spécifiez un câble virtuel et une zone.
Remarque : Si le type est HD, aucune option ne doit être spécifiée dans cette
section.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Chaque interface Ethernet agrégée se voit attribuer un nom au format ae.numéro et peut être
de type Couche 2, Couche 3 ou câble virtuel. Une fois l'attribution effectuée, la nouvelle
interface fonctionne comme n'importe quelle autre interface.
Pour configurer des interfaces Ethernet agrégées, cliquez sur le nom de l'interface dans
l'onglet Ethernet et indiquez les informations suivantes.
Onglet Config
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Onglet Avancé
Vitesse de liaison Sélectionnez la vitesse de l'interface en Mbits/s (10, 100 ou 1 000) ou
sélectionnez Auto.
Duplex de la liaison Indiquez si le mode de transmission de l'interface est en duplex intégral
(Intégral), semi-duplex (Semi) ou automatiquement négocié (Auto).
État des liaisons Indiquez si l'état de l'interface est activé (Actif), désactivé (Inactif) ou
automatiquement déterminé (Auto).
Pour chaque port Ethernet configuré en tant qu'interface de couche 2, vous pouvez définir une
interface VLAN pour autoriser le routage du trafic VLAN vers des destinations de couche 3
situées hors du VLAN. Pour configurer les interfaces de couche 2 principales, consultez la
section « Configuration des interfaces de couche 2 » à la page 135.
Pour définir une interface VLAN, ouvrez l'onglet VLAN, cliquez sur Ajouter et indiquez les
paramètres suivants.
Onglet Config
VLAN Sélectionnez un VLAN ou cliquez sur Nouveau pour définir un nouveau
VLAN (voir « Profils réseaux » à la page 187). Aucun supprime la configuration
de l'interface.
Routeur virtuel Sélectionnez un routeur virtuel ou cliquez sur Nouveau pour définir un
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de routage » à la
page 162). Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la configuration
de l'interface.
Zone de sécurité Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau pour
définir une nouvelle zone (voir « Définition de zones de sécurité » à la
page 161). Aucune supprime la configuration de l'interface.
Onglet IPv4
Statique Sélectionnez Statique pour assigner des adresses IP statiques. Cliquez sur
Ajouter et saisissez une adresse IP et un masque réseau pour l'interface au
format adresse_ip/masque. Vous pouvez saisir plusieurs adresses IP pour
l'interface.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 de cette sous-interface.
l'interface
ID de l'interface Saisissez l'identifiant unique étendu sur 64 bits au format hexadécimal, par
exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide, le pare-
feu va utiliser l'EUI-64 généré à partir de l'adresse MAC de l'interface physique.
Adresse Cliquez sur Ajouter et saisissez la longueur de l'adresse et du préfixe IPv6, par
exemple : 2001:400:f00::1/64. Sélectionnez Utiliser l'ID de l'interface comme
partie hôte pour assigner une adresse IPv6 à l'interface qui va utiliser l'ID de
l'interface en tant que partie hôte de l'adresse. Sélectionnez Anycast pour
inclure un routage via le nœud le plus proche. Si aucun Préfixe n'est
sélectionné, l'adresse IPv6 assignée à l'interface va être intégralement spécifiée
dans la zone de saisie de l'adresse.
Utilisez l'option Envoyer la publication de routeur (Envoyer la RA) pour
activer la publication de routeur pour cette adresse IP. Vous pouvez également
définir l'indicateur Autonome à envoyer, ainsi que l'option Sur la liaison. Vous
devez activer l'option globale Activer la publication de routeur sur l'interface
avant d'activer l'option Envoyer la publication de routeur pour une adresse IP
spécifique.
Résolution Cochez cette case pour activer Détection des doublons d'adresses (DAD) et
d'adresse indiquez les informations suivantes.
(Détection des • Tentatives DAD - Indiquez le nombre de tentatives DAD dans l'intervalle de
doublons sollicitation de voisins avant que la tentative d'identification n'échoue
d'adresses) (intervalle compris entre 1 et 10).
• Durée d'accessibilité - Indiquez la durée pendant laquelle un voisin reste
accessible après une requête et une réponse réussies (intervalle compris entre
1 et 36 000 secondes).
Intervalle de sollicitation de voisins (NS) - Indiquez le nombre de secondes
pour des tentatives DAD avant qu'un échec ne soit signalé (intervalle compris
entre 1 et 10 secondes).
Vous pouvez définir une ou plusieurs interfaces en boucle de couche 3, le cas échéant. Par
exemple, vous pouvez définir une interface en boucle pour gérer le pare-feu, au lieu d'utiliser
le port de gestion.
Pour définir une interface en boucle, ouvrez l'onglet En boucle, cliquez sur Ajouter et
indiquez les paramètres suivants.
Onglet Config
Routeur virtuel Sélectionnez un routeur virtuel ou cliquez sur Nouveau pour définir un
nouveau routeur virtuel (voir « Routeurs virtuels et protocoles de
routage » à la page 162). Aucun supprime la configuration de l'interface.
Système virtuel Sélectionnez le système virtuel de l'interface. Aucun supprime la
configuration de l'interface.
Onglet IPv4
Adresse IP Cliquez sur Ajouter pour entrer les adresses IP et les masques réseaux de
l'interface.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 de cette sous-interface.
l'interface
ID de l'interface Spécifiez l'unique identifiant hexadécimal 64 bits de la sous-interface.
Adresse Saisissez l'adresse IPv6. Sélectionnez Utiliser l'ID de l'interface comme
partie hôte pour assigner une adresse IPv6 à l'interface qui va utiliser l'ID
de l'interface comme partie hôte de l'adresse. Sélectionnez Anycast pour
inclure un routage via le nœud le plus proche.
Onglet Avancé
Autres informations Spécifiez les paramètres suivantes :
• Profil de gestion - Sélectionnez un profil qui indique les éventuels
protocoles à utiliser pour gérer le pare-feu dans cette interface.
• MTU - Saisissez l'unité de transmission maximale (MTU) en octets pour
les paquets envoyés sur cette interface (512 à 1 500, valeur par défaut :
1 500). Si les machines situées de chaque côté du pare-feu effectuent une
détection du chemin MTU (PMTUD), la valeur MTU va être renvoyée
dans un message de fragmentation ICMP obligatoire, en indiquant que
la MTU est trop grande.
• Ajuster TCP MSS - Si vous cochez cette case, la taille de segment
maximale (MSS) est ajustée à 40 octets de moins que la MTU de
l'interface. Ce paramètre permet de résoudre une situation dans
laquelle un tunnel du réseau nécessite une MSS plus petite. Si un paquet
ne peut pas entrer dans le MSS sans être fragmenté, ce paramètre
permet de l'ajuster.
Pour définir des interfaces de tunnel, ouvrez l'onglet Tunnel, cliquez sur Ajouter et indiquez
les paramètres suivants.
Onglet Config
Routeur virtuel Sélectionnez un routeur virtuel pour cette interface ou cliquez sur
Nouveau pour configurer un nouveau routeur virtuel. Consultez la
section « Routeurs virtuels et protocoles de routage » à la page 162.
Aucun supprime la configuration de l'interface.
Sélectionnez le système virtuel de l'interface. Aucun supprime la
Système virtuel
configuration de l'interface.
Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
Zone de sécurité pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Onglet IPv4
Adresse IP Cliquez sur Ajouter pour entrer les adresses IP et les masques réseaux de
l'interface.
Onglet IPv6
Activer IPv6 sur Cochez cette case pour activer l'adressage IPv6 de cette interface.
l'interface Cette option vous permet de router le trafic IPv6 sur un tunnel IPSec IPv4
et va assurer la confidentialité entre les réseaux IPv6. Le trafic IPv6 est
encapsulé par IPv4, puis ESP.
Pour router le trafic IPv6 vers le tunnel, vous allez utiliser un itinéraire
statique vers le tunnel ou une règle PBF (Policy Based Forwarding) pour
orienter le trafic et fournir une redondance en surveillant l'autre extrémité
du tunnel et en la faisant basculer, le cas échéant.
ID de l'interface Saisissez l'identifiant unique étendu sur 64 bits au format hexadécimal,
par exemple : 00:26:08:FF:FE:DE:4E:29. Si l'ID de l'interface est laissé vide,
le pare-feu va utiliser l'EUI-64 généré à partir de l'adresse MAC de
l'interface physique.
Adresse Cliquez sur Ajouter et saisissez la longueur de l'adresse et du préfixe
IPv6, par exemple : 2001:400:f00::1/64. Sélectionnez Utiliser l'ID de
l'interface comme partie hôte pour assigner une adresse IPv6 à l'interface
qui va utiliser l'ID de l'interface en tant que partie hôte de l'adresse.
Sélectionnez Anycast pour inclure un routage via le nœud le plus proche.
Si aucun Préfixe n'est sélectionné, l'adresse IPv6 assignée à l'interface va
être intégralement spécifiée dans la zone de saisie de l'adresse.
Onglet Avancé
Autres informations Indiquez les options suivantes :
• Profil de gestion - Sélectionnez un profil qui indique les éventuels
protocoles à utiliser pour gérer le pare-feu dans cette interface.
• MTU - Saisissez la MTU en octets pour les paquets envoyés sur cette
interface (512 à 1 500, valeur par défaut : 1 500). Si les machines situées
de chaque côté du pare-effectuent une PMTUD, la valeur MTU va être
renvoyée dans un message de fragmentation ICMP obligatoire, en
indiquant que la MTU est trop grande.
Remarque : Le pare-feu prend automatiquement en compte la surcharge du
tunnel lors de la fragmentation IP et ajuste aussi la taille de segment maximale
(MSS) TCP, le cas échéant.
Vous pouvez définir des interfaces Tap, le cas échéant, pour autoriser des connexions à un
port SPAN sur un commutateur uniquement pour la surveillance du trafic (voir
« Déploiements en mode Tap » à la page 132).
Pour configurer des interfaces Tap, cliquez sur le nom d'une interface dans l'onglet Ethernet
et indiquez les informations suivantes.
Onglet Config
Système virtuel Sélectionnez un système virtuel. Aucun supprime la configuration de
l'interface.
Zone Sélectionnez une zone de sécurité pour l'interface ou cliquez sur Nouveau
pour définir une nouvelle zone (voir « Définition de zones de sécurité » à
la page 161). Aucune supprime la configuration de l'interface.
Onglet Avancé
Vitesse de liaison Sélectionnez la vitesse de l'interface en Mbits/s (10, 100 ou 1 000) ou
sélectionnez Auto.
Duplex de la liaison Indiquez si le mode de transmission de l'interface est en duplex intégral
(Intégral), semi-duplex (Semi) ou automatiquement négocié (Auto).
État des liaisons Indiquez si l'état de l'interface est activé (Actif), désactivé (Inactif) ou
automatiquement déterminé (Auto).
Remarque : Certains pare-feux Palo Alto Networks contiennent des ports physiques
dédiés à l'utilisation dans des déploiements HD (un pour la liaison de contrôle et un
pour la liaison de données). Pour les pare-feux n'incluant pas de ports dédiés, vous
devez spécifier des ports de données qui vont être utilisés pour la HD. Pour plus
d'informations sur la HD, consultez la section « Activation de la HD sur le pare-
feu » à la page 110.
Pour définir des interfaces HD, cliquez sur le nom d'une interface et indiquez les informations
suivantes.
Onglet Avancé
Vitesse de liaison Sélectionnez la vitesse de l'interface en Mbits/s (10, 100 ou 1 000) ou
sélectionnez Auto.
Duplex de la liaison Indiquez si le mode de transmission de l'interface est en duplex intégral
(Intégral), semi-duplex (Semi) ou automatiquement négocié (Auto).
État des liaisons Indiquez si l'état de l'interface est activé (Actif), désactivé (Inactif) ou
automatiquement déterminé (Auto).
Zones de sécurité
Une zone de sécurité identifie une ou plusieurs interfaces sources ou de destination sur le
pare-feu. Lorsque vous définissez la règle d'une politique de sécurité, vous devez indiquer les
zones de sécurité sources et de destination du trafic. Par exemple, une interface connectée à
Internet se trouve dans une zone de sécurité « non approuvée », alors qu'une interface
connectée au réseau interne se trouve dans une zone de sécurité « de confiance ».
Des zones distinctes doivent être créées pour chaque type d'interface (couche 2, couche 3, Tap
ou câble virtuel) et chacun d'entre elles doit être assignée à une zone avant de pouvoir traiter
le trafic. Des politiques de sécurité peuvent uniquement être définies entre des zones du
même type. Toutefois, si vous créez une interface VLAN pour un ou plusieurs VLAN,
l'application de politiques de sécurité entre la zone de l'interface VLAN et une zone de
l'interface de couche 3 (Figure 15) revient à appliquer des politiques entre les zones
d'interfaces de couche 2 et de couche 3.
Port Ethernet L3
Pour qu'une interface de pare-feu puisse traiter le trafic, elle doit être assignée à une zone de
sécurité. Pour définir des zones de sécurité, cliquez sur Nouveau et indiquez les informations
suivantes :
Liste de contrôle d'accès Saisissez l'adresse IP ou l'adresse IP/masque d'un utilisateur ou d'un
d'identification groupe à identifier (format adresse_ip/masque ; par exemple : 10.1.1.1/24).
utilisateur Cliquez sur Ajouter. Répétez cette étape, le cas échéant. Si une liste
Liste d'inclusion d'inclusion n'est pas configurée, alors toutes les adresses IP sont
autorisées.
Liste de contrôle d'accès Saisissez l'adresse IP ou l'adresse IP/masque d'un utilisateur ou d'un
d'identification groupe qui ne sera pas explicitement identifié (format adresse_ip/masque ;
utilisateur par exemple : 10.1.1.1/24). Cliquez sur Ajouter. Répétez cette étape, le cas
Liste d'exclusion échéant. Si une liste d'exclusion n'est pas configurée, alors toutes les
adresses IP sont autorisées.
Le pare-feu prend en charge les VLAN qui respectent la norme IEEE 802.1Q. Chaque interface
de couche 2 définie sur le pare-feu doit être associée à un VLAN. Ce même VLAN peut être
assigné à plusieurs interfaces de couche 2, mais chaque interface peut appartenir à un seul
VLAN. Aussi, un VLAN peut éventuellement spécifier une interface VLAN pouvant router le
trafic vers des destinations de couche 3 hors du VLAN.
Remarque : Un transfert basé sur une politique est également pris en charge pour
le trafic sur les interfaces de couche 3.
• Des politiques de routage basées sur une mappe de routage pour contrôler les
importations, les exportations et les publications, le filtrage basé sur un préfixe et
l'agrégation d'adresses.
• L'interaction IGP-BGP visant à injecter des itinéraires dans le protocole BGP à l'aide de profils
de redistribution.
• Des profils d'authentification, qui indiquent la clé d'authentification MD5 pour les connexions
BGP.
• Les paramètres des voisins et des groupes d'homologues, qui incluent l'adresse d'un voisin et
un AS distant, ainsi que des options avancées comme les attributs et les connexions des
voisins.
• Une politique de routage, qui indique les ensembles de règles que les groupes d'homologues
et les homologues utilisent pour implémenter des importations et des exportations, des
publications conditionnelles et des contrôles d'agrégation d'adresses.
Routage multicast
La fonctionnalité de routage multicast permet au pare-feu de router des flux multicast à l'aide des
modes PIM-SM (Protocol Independent Multicast Sparse Mode) et PIM-SSM (PIM Source Specific
Multicast) pour des applications comme la diffusion de médias (radio et vidéo) avec PIMv2. Le
pare-feu émet des requêtes IGMP (Internet Group Management Protocol) pour les hôtes figurant
sur le même réseau que l'interface sur laquelle le protocole IGMP est configuré. PIM-SM et IGMP
peuvent être activés sur les interfaces de couche 3. IGMP v1, v2 et v3 sont pris en charge. PIM et
IGMP doivent être activés sur les interfaces orientées hôte.
PAN-OS assure une sécurité multicast totale tout en agissant en tant que routeur désigné (DR) par
PIM, point de rendez-vous (RP) PIM, routeur PIM intermédiaire ou requérant IGMP. Le pare-feu
peut être déployé dans des environnements où le RP est statiquement configuré ou
dynamiquement élu. Le rôle du routeur bootstrap (BSR) n'est pas pris en charge. Le déploiement
dans les tunnels IPSec est intégralement pris en charge entre les pare-feux Palo Alto Networks.
L'encapsulation GRE dans IPSec n'est pas prise en charge à l'heure actuelle.
Politique de sécurité
PAN-OS fournit deux méthodes d'applications de la sécurité sur les flux multicast. Les groupes
multicast peuvent être filtrés à l'aide des paramètres d'autorisation des groupes IGMP et PIM
spécifiés dans un niveau d'interface. Le trafic multicast doit aussi être explicitement autorisé par la
politique de sécurité. Une zone de destination spéciale appelée « Multicast » a été ajoutée et doit
être spécifiée pour contrôler le trafic multicast dans les règles de sécurité, de QoS et de protection
DoS. Contrairement à une politique de sécurité unicast, des politiques de sécurité multicast
doivent être explicitement créées lorsque les interfaces sources et de destination sont dans la même
zone. Les profils de sécurité sont pris en charge dans les environnements multicast exigeant des
fonctions de prévention des menaces.
Journalisation
Chaque session multicast traversant le pare-feu ne crée qu'une seule entrée dans le journal de trafic
(même si le pare-feu réplique des paquets pour les distribuer sur plusieurs interfaces). Ce journal
indique le nombre d'octets entrant dans le pare-feu au lieu du nombre d'octets distribués dans le
cadre d'un flux multicast.
La définition de routeurs virtuels vous permet de définir des règles de transfert pour la couche 3 et
autorise l'utilisation de protocoles de routage dynamique. Chaque interface de couche 3, interface
en boucle et interface VLAN définie sur le pare-feu doit être associée à un routeur virtuel. Chacune
d'entre elles ne peut appartenir qu'à un seul routeur virtuel.
Onglet Général
Sélectionnez les interfaces à inclure dans le routeur virtuel et ajoutez des itinéraires statiques.
Consultez le tableau suivant.
Tableau 66. Paramètres d'un routeur virtuel - Onglet Profils de redistribution (suite)
Champ Description
Communauté étendue Indiquez une communauté étendue pour la politique de routage BGP.
Onglet RIP
Indiquez les paramètres du protocole RIP (Routing Information Protocol) à utiliser sur les
interfaces sélectionnées. Bien qu'il soit possible de configurer les protocoles RIP et OSPF, il est
généralement recommandé de ne choisir qu'un seul d'entre eux. Consultez le tableau suivant.
Interfaces
Interface Sélectionnez une interface exécutant le protocole RIP.
Activer Sélectionnez cette option pour activer ces paramètres.
Publier Sélectionnez cette option pour publier un itinéraire par défaut dans les
homologues RIP avec la valeur la mesure spécifiée.
Mesure Indiquez une valeur de mesure pour la publication d'un routeur. Ce
champ est uniquement visible si la case Publier est sélectionnée.
Profil d'authentification Sélectionnez un profil.
Mode Sélectionnez Normal, Passif ou Envoyer seulement.
Minuteurs
Intervalle en secondes (s) Définissez la longueur de l'intervalle du minuteur en secondes. Ce délai
est utilisé pour les champs restants du minuteur RIP (1 à 60).
Intervalles de mise à jour Saisissez le nombre d'intervalles entre les annonces de mise à jour des
itinéraires (1 à 3 600).
Intervalles d'expiration Saisissez le nombre d'intervalles entre l'heure à laquelle l'itinéraire a été
mis à jour pour la dernière fois et son expiration (1 à 3 600).
Supprimer les intervalles Saisissez le nombre d'intervalles entre l'heure d'expiration de l'itinéraire
et sa suppression (1 à 3 600).
Profils
d'authentification
Nom de profil Saisissez un nom pour le profil d'authentification afin d'authentifier des
messages RIP. Pour ce faire, commencez par définir des profils
d'authentification, puis appliquez-les aux interfaces dans l'onglet RIP.
Règles d'exportation
Règles d'exportation (Lecture seule) Affiche les règles s'appliquant aux itinéraires envoyés par
le routeur virtuel à un routeur de réception.
• Autoriser la redistribution d'un itinéraire par défaut - Cochez cette
case pour autoriser le pare-feu à redistribuer son itinéraire par défaut à
des homologues.
• Profil de redistribution - Sélectionnez un profil de redistribution vous
permettant de modifier la redistribution, les filtres, la priorité et l'action
d'un itinéraire en fonction du comportement réseau souhaité. Consultez
la section « Onglet Profils de redistribution » à la page 167.
Onglet OSPF
Indiquez les paramètres du protocole OSPFv2 (Open Shortest Path First) à utiliser sur les
interfaces sélectionnées. Bien qu'il soit possible de configurer les protocoles RIP et OSPF, il est
généralement recommandé de ne choisir qu'un protocole IGP. Consultez le tableau
suivant.Onglet BGP
Zones
ID de zone Configurez la zone sur laquelle les paramètres OSPF peuvent être
appliqués.
Saisissez un identifiant pour la zone au format x.x.x.x. Il s'agit de
l'identifiant devant faire partie de la même zone et que chaque voisin doit
accepter.
Règles d'exportation
Autoriser la Cochez cette case pour autoriser la redistribution des itinéraires par
redistribution des défaut via OSPF.
itinéraires par défaut
Nom Sélectionnez le nom d'un profil de redistribution.
Nouveau type de Sélectionnez le type de mesure à appliquer.
chemin
Nouvelle étiquette Indiquez une étiquette pour l'itinéraire correspondant dont la valeur est
de 32 bits.
Avancé
Compatibilité avec RFC Cochez cette case pour assurer la compatibilité avec RFC 1583.
1583
Minuteurs • Délai du calcul SPF (s) - Cette option est un temporisateur vous
permettant d'ajuster le délai écoulé entre la réception de nouvelles
informations sur la topologie et la réalisation d'un calcul SPF. Des
valeurs inférieures permettent une reconvergence OSPF plus rapide.
Les routeurs échangeant du trafic avec le pare-feu doivent être ajustés
de la même manière afin d'optimiser les délais de convergence.
• Intervalle LSA (s) - Cette option indique le délai minimum écoulé entre
les transmissions de deux instances du même LSA (même routeur,
même type, même ID LSA). Ce délai est équivalent à IntervalLSMin
dans RFC 2328. Des valeurs inférieures peuvent être utilisées afin de
réduire les délais de reconvergence en cas de modification de la
topologie.
Onglet BGP
Indiquez les paramètres à utiliser pour le protocole BGP (Border Gateway Protocol) sur les
interfaces sélectionnées. Consultez le tableau suivant.
Onglet Général
Rejeter les itinéraires par Cochez cette case pour ignorer les itinéraires par défaut publiés par les
défaut homologues BGP.
Installer un itinéraire Cochez cette case pour installer des itinéraires BGP dans le tableau de
routage global.
Agréger MED Sélectionnez cette option pour activer l'agrégation d'un itinéraire, même
lorsque des itinéraires affichent différentes valeurs MED (Multi-Exit
Discriminator).
Préférence locale par Indique une valeur pouvant être utilisée pour déterminer des préférences
défaut entre différents chemins.
Format AS Sélectionnez le format 2 octets (par défaut) ou 4 octets. Ce paramètre peut
être configuré à des fins d'interopérabilité.
Toujours comparer MED Activez la comparaison MED des chemins de voisins situés dans différents
systèmes autonomes.
Comparaison MED Activez la comparaison MED afin de sélectionner un itinéraire parmi ceux
déterministe qui sont publiés par des homologues IBGP (homologues BGP figurant dans
le même système autonome).
Profils d'authentification Cliquez sur Ajouter pour inclure un nouveau profil d'authentification et
configurer les paramètres suivants :
• Nom du profil - Saisissez un nom pour identifier le profil.
• Phrase secrète/Confirmer une phrase secrète - Saisissez et confirmez une
phrase secrète pour les communications d'homologues BGP.
Cliquez sur l'icône pour supprimer un profil.
Onglet Avancé
Redémarrage en Activez l'option de redémarrage en douceur.
douceur • Délai pour itinéraire obsolète - Indiquez la durée pendant laquelle un
itinéraire peut rester dans l'état Obsolète (intervalle compris entre 1 et 3 600
secondes, valeur par défaut : 120 secondes).
• Durée de redémarrage local - Indiquez la durée nécessaire pour le
redémarrage d'un périphérique local. Cette valeur est publiée chez les
homologues (intervalle compris entre 1 et 3 600 secondes, valeur par
défaut : 120 secondes).
• Durée maximale de redémarrage des homologues - Indiquez la durée
maximale qu'un périphérique local accepte comme délai de redémarrage
en période de grâce pour des périphériques homologues (intervalle
compris entre 1 et 3 600 secondes, valeur par défaut : 120 secondes).
ID du groupe de Indiquez un identifiant IPv4 pour représenter un groupe de réflecteurs.
réflecteurs
Membre AS de la Indiquez un identifiant pour que la confédération AS soit présentée en tant
confédération qu'AS unique aux homologues BGP externes.
Onglet Groupe
d'homologues
Nom Donnez un nom à un homologue afin de l'identifier.
Activer Sélectionnez cette option pour activer un homologue.
Chemin AS conféd. Cochez cette case pour inclure un chemin vers un AS de confédération
agrégé agrégé configuré.
Réinitialisation logicielle Cochez cette case pour procéder à une réinitialisation logicielle du pare-feu
avec les informations après avoir mis à jour les paramètres des homologues.
stockées
Type Indiquez le type d'homologue ou de groupe et configurez les paramètres
associés (pour plus de détails sur les options Importer le saut suivant et
Exporter le saut suivant, consultez le tableau ci-dessous).
• IBGP - Spécifiez les options suivantes :
– Exporter le saut suivant
• Conféd. EBGP - Spécifiez les options suivantes :
– Exporter le saut suivant
• Conféd. IBGP - Spécifiez les options suivantes :
– Exporter le saut suivant
• EBGP - Spécifiez les options suivantes :
– Importer le saut suivant
– Exporter le saut suivant
– Supprimer l'AS privé (sélectionnez cette option pour forcer le protocole
BGP à supprimer des numéros d'AS privés).
Onglet Règles de
redistribution
Autoriser la redistribution Cochez cette case pour autoriser le pare-feu à redistribuer son itinéraire par
des itinéraires par défaut défaut vers des homologues BGP.
Règles de redistribution Pour ajouter une nouvelle règle, cliquez sur Ajouter, configurez les
paramètres et cliquez sur Terminé. Les paramètres sont décrits dans le
tableau ci-dessus pour les onglets Règles d'importation et Règles
d'exportation.
Cliquez sur l'icône pour supprimer une règle.
Onglet Multicast
Définissez les paramètres de routage multicast dans le tableau suivant.
Sous-onglet Point de
rendez-vous
Type de RP Sélectionnez le type de point de rendez-vous (RP) qui va s'exécuter sur ce
routeur virtuel. Un RP statique doit être explicitement configuré sur
d'autres routeurs PIM, alors qu'un RP candidat est automatiquement élu.
• Aucun - Indiquez si aucun RP n'est en cours d'exécution sur ce routeur
virtuel.
• Statique - Indiquez une adresse IP statique pour le RP et sélectionnez
des options pour Interface du RP et Adresse du RP dans les listes
déroulantes. Cochez la case Écraser le RP appris pour le même groupe
si vous voulez utiliser le RP spécifié au lieu du RP élu pour ce groupe.
• Candidat - Indiquez les informations suivantes pour le RP candidat en
cours d'exécution sur ce routeur virtuel :
– Interface du RP - Sélectionnez une interface pour le RP. Les types
d'interfaces valides incluent une interface en boucle, C3, VLAN,
Ethernet agrégée et de tunnel.
– Adresse du RP - Sélectionnez une adresse IP pour le RP.
– Priorité - Indiquez une priorité pour les messages RP candidats
(valeur par défaut : 192).
– Intervalle de publication - Indiquez un intervalle entre les
publications de messages RP candidats.
• Liste de groupes - Si vous sélectionnez Statique ou Candidat, cliquez
sur Ajouter pour spécifier une liste de groupes pour lesquels ce RP
candidat propose d'être le RP.
Point de rendez-vous Cliquez sur Ajouter et indiquez les éléments suivants :
distant • Adresse IP - Indiquez une adresse IP pour le RP.
• Écraser le RP appris pour le même groupe - Cochez cette case pour
utiliser le RP spécifié au lieu du RP élu pour ce groupe.
• Groupe - Indiquez une liste de groupes pour lesquels l'adresse spécifiée
va servir de RP.
Sous-onglet
Interfaces
Nom Saisissez un nom pour identifier un groupe d'interfaces.
Description Saisissez une description (facultatif).
Interface Cliquez sur Ajouter pour spécifier une ou plusieurs interfaces de pare-feu.
Autorisations du groupe Indiquez des règles générales pour le trafic multicast :
• N'importe quelle source - Cliquez sur Ajouter pour spécifier une liste
de groupes multicast pour lesquels le trafic PIM-SM est autorisé.
• Spécifique à la source - Cliquez sur Ajouter pour spécifier une liste de
paires de groupes multicast et source multicast pour lesquels le trafic
PIM-SM est autorisé.
Sous-onglet Espace
d'adresses spécifique
à la source
Nom Définit les groupes multicast pour lesquels le pare-feu va fournir des
services SSM (Source-Specific Multicast).
Cliquez sur Ajouter et indiquez les paramètres suivants pour des
adresses spécifiques à la source :
• Nom - Donnez un nom à ce groupe de paramètres pour l'identifier.
• Groupe - Indiquez des groupes pour l'espace d'adresses SSM.
• Inclus - Cochez cette case pour inclure les groupes spécifiés dans
l'espace d'adresses SSM.
Les statistiques d'exécution détaillées sont disponibles pour le routeur virtuel et les protocoles
de routage dynamiques dans la page Routeurs virtuels. Dans la colonne Statistiques
d'exécution, cliquez sur le lien Statistiques d'exécution supplémentaires pour ouvrir une
nouvelle fenêtre contenant la table de routage, ainsi que des détails spécifiques au protocole
de routage. Pour une vue d'ensemble des routeurs virtuels, consultez la section « Routeurs
virtuels et protocoles de routage » à la page 162.
Les paramètres varient selon que vous sélectionnez le type Serveur DHCP ou Relais DHCP.
WINS principal Saisissez l'adresse IP des serveurs WINS (Windows Internet Naming
WINS secondaire Service) préférés et alternatifs. L'adresse du serveur alternatif est
facultative.
NIS principal Saisissez l'adresse IP des serveurs NIS (Network Information Service)
NIS secondaire préférés et alternatifs. L'adresse du serveur alternatif est facultative.
NTP principal Saisissez l'adresse IP des serveurs NTP (Network Time Protocol) préférés
NTP secondaire et alternatifs. L'adresse du serveur alternatif est facultative.
Proxy DNS
Réseau > Proxy DNS
Pour toutes les requêtes DNS orientées vers une adresse IP de l'interface, le pare-feu prend en
charge l'orientation sélective des requêtes vers différents serveurs DNS en fonction de noms
de domaines complets ou partiels. Les requêtes DNS TCP ou UDP sont envoyées via
l'interface configurée. Les requêtes UDP basculent vers TCP lorsque la réponse d'une requête
DNS est trop longue pour un seul paquet UDP.
Si le nom de domaine est introuvable dans le cache du proxy DNS, une correspondance de ce
nom de domaine est recherchée en fonction de la configuration des entrées dans l'objet proxy
DNS spécifique (sur l'interface sur laquelle une requête DNS est arrivée) et transmise vers un
serveur de noms en fonction des résultats correspondants. Si aucune correspondance n'est
trouvée, les serveurs de noms par défaut sont utilisés. Les entrées statiques et la mise en cache
sont également prises en charge.
Profils réseaux
Les profils réseaux capturent des informations de configuration que le pare-feu peut utiliser
pour établir des connexions réseaux et implémenter des politiques. Les types de profils
réseaux suivants sont pris en charge :
• Passerelles IKE, Profils crypto IPSec et Profils crypto IKE - Ces profils prennent en
charge la configuration et le fonctionnement des VPN IPSec. Pour plus d'informations sur
les types de profils suivants, consultez la section « Rapports et journaux » à la page 273.
– Les passerelles IKE incluent des informations de configuration qui sont nécessaires
pour négocier le protocole IKE avec des passerelles homologues lors du paramétrage
des tunnels VPN IPSec.
– Les profils crypto IKE indiquent les protocoles et les algorithmes pour l'identification,
l'authentification et le cryptage de phase 1 dans les tunnels VPN.
– Les profils crypto IPSec indiquent les protocoles et les algorithmes pour
l'identification, l'authentification et le cryptage de phase 2 dans les tunnels VPN.
• Profils de gestion des interfaces - Ces profils indiquent les protocoles pouvant être
utilisés pour gérer le pare-feu des interfaces de couche 3, y compris les interfaces VLAN et
en boucle. Consultez la section « Définition des profils de gestion de l'interface » à la
page 189.
– Protection contre la saturation - Protège des attaques de saturation SYN, ICMP, UDP
et autres basées sur des adresses IP.
– Protection contre les attaques basées sur des paquets - Protège des attaques contre
des paquets ICMP volumineux et des fragments ICMP, ainsi que de plusieurs attaques
au niveau du protocole TCP et des adresses IP. Le comportement non-SYN-TCP par
zone peut également être spécifié.
– Profils de QoS - Ces profils déterminent la méthode de traitement des classes du trafic
QoS. Vous pouvez définir des limites globales de bande passante, quelle que soit la
classe, mais aussi définir des limites pour des classes individuelles. Vous pouvez aussi
assigner des priorités à différentes classes. Les priorités déterminent la méthode de
traitement du trafic dans le cas d'une congestion. Consultez la section « Définition des
profils de QoS » à la page 390.
Cette page permet de spécifier les protocoles utilisés pour gérer le pare-feu. Pour assigner des
profils de gestion à chaque interface, consultez les sections « Configuration des interfaces de
couche 3 » à la page 136 et « Configuration des sous-interfaces de couche 3 » à la page 141.
Pour une vue d'ensemble des interfaces de pare-feu, consultez la section « Interfaces du pare-
feu » à la page 133.
Cette page permet de déterminer la manière dont le pare-feu répond à des attaques issues de
zones de sécurité spécifiées. Un même profil peut être attribué à plusieurs zones. Pour une
vue d'ensemble des zones de sécurité, consultez la section « Zones de sécurité » à la page 160.
La protection contre la saturation s'applique aux paquets n'appartenant pas à une session
existante.
Sous-onglet
Supprimer ICMP
ID ping ICMP 0 Supprime des paquets, à condition que le paquet de pings ICMP affiche
une valeur d'identifiant égale à 0.
Fragment ICMP Supprime des paquets composés de fragments ICMP.
Paquet volumineux Supprime des paquets ICMP supérieurs à 1 024 octets.
ICMP (> 1 024)
Supprimer une erreur Arrête l'envoi de messages ICMP TTL arrivés à expiration.
d'expiration ICMP TTL
Supprimer la Arrête l'envoi de messages de fragmentation ICMP requis en réponse à
fragmentation ICMP des paquets qui dépassent la valeur MTU de l'interface et dont l'octet DF
requise (Do not Fragment) est défini. Ce paramètre va interférer avec le processus
PMTUD exécuté par les hôtes situés derrière le pare-feu.
Sous-onglet
Supprimer IPv6
En-tête de routage de Supprime les paquets dont l'en-tête de routage est de type 0.
type 0
Adresse compatible IPv4 Supprime les paquets dont les adresses sont compatibles avec IPv4.
Adresse source anycast Supprime les paquets dont l'adresse source est de type anycast.
Sous-onglet ICMPv6
ICMPv6 de destination Exige une correspondance explicite de la politique de sécurité pour les
inaccessible - Exiger la erreurs ICMPv6 de destination inaccessibles, même lorsqu'elles sont
correspondance explicite associées à une session existante.
de la règle de sécurité
ICMPv6 de paquet trop Exige une correspondance explicite de la politique de sécurité pour les
volumineux - Exiger la erreurs ICMPv6 de paquet trop volumineux, même lorsqu'elles sont
correspondance explicite associées à une session existante.
de la règle de sécurité
ICMPv6 de délai Exige une correspondance explicite de la politique de sécurité pour les
dépassé - Exiger la erreurs ICMPv6 de délai dépassé, même lorsqu'elles sont associées à une
correspondance explicite session existante.
de la règle de sécurité
ICMPv6 de problème de Exige une correspondance explicite de la politique de sécurité pour les
paramètre - Exiger la erreurs ICMPv6 de problème de paramètre, même lorsqu'elles sont
correspondance explicite associées à une session existante.
de la règle de sécurité
ICMPv6 de redirection - Exige une correspondance explicite de la politique de sécurité pour les
Exiger la messages ICMPv6 de redirection, même lorsqu'ils sont associés à une
correspondance explicite session existante.
de la règle de sécurité
Politiques
Les politiques vous permettent de contrôler le fonctionnement du pare-feu en mettant des
règles en application et en automatisant des actions. Les types de politique suivants sont pris
en charge :
• Politiques de sécurité de base visant à bloquer ou autoriser une session réseau en fonction
de l'application, des zones et adresses source et de destination ou, en option, du service
(port et protocole). Les zones identifient les interfaces physiques ou logiques qui envoient
ou reçoivent le trafic. Reportez-vous à la section « Politiques de sécurité » à la page 201.
• Politiques de traduction des adresses réseau (Network Address Translation, NAT) visant
à traduire des adresses et des ports, en fonction des besoins. Reportez-vous à la section
« Politiques NAT » à la page 205.
• Politiques de transfert basé sur une politique visant à déterminer l'interface de sortie
utilisée à l'issue du traitement. Reportez-vous à la section « Politiques de transfert basé
sur une politique » à la page 215.
• Politiques de contrôle prioritaire visant à forcer les définitions d'applications fournies par
le pare-feu. Reportez-vous à la section « Politiques de contrôle prioritaire sur
l'application » à la page 221.
• Politiques de qualité du service (QoS) visant à déterminer comment le trafic est classé en
vue de son traitement lorsqu'il transite par une interface sur laquelle la QoS est activée.
Reportez-vous à la section « Définition des politiques de QoS » à la page 391.
• Politiques de déni de service (DoS) visant à protéger contre les attaques DoS et à prendre
des mesures de protection en cas de correspondance des règles. Reportez-vous à la
section « Politiques de protection DoS » à la page 224.
• Pour afficher les groupes d'applications, les filtres ou les informations sur les conteneurs
lors de la création ou de la consultation de politiques de sécurité, PBF ou QoS, placez la
souris sur l'objet dans la colonne Application, cliquez sur la flèche vers le bas et
sélectionnez Valeur. Ainsi, vous pouvez facilement accéder aux membres des applications
directement depuis la politique, sans passer par les onglets Objet.
• Pour ajouter une nouvelle règle de politique, procédez comme suit, au choix :
– Sélectionnez une règle sur laquelle baser la nouvelle et cliquez sur Cloner, ou
sélectionnez une règle en cliquant sur l'espace blanc et sélectionnez Cloner en bas de la
page (une règle sélectionnée présente un fond jaune). La règle copiée « règlen », où n
représente le premier nombre entier disponible qui caractérise le nom de la règle, est
insérée sous la règle sélectionnée.
• L'ordre dans lequel les règles sont répertoriées est celui dans lequel elles sont comparées
au trafic réseau. Il est possible de modifier l'ordre d'une règle selon l'une des manières
suivantes :
– Sélectionnez la règle et cliquez sur Déplacer en haut, Déplacer en bas, Déplacer vers
le haut ou Déplacer vers le bas.
– Cliquez sur la flèche vers le bas à côté du nom de la règle et choisissez Déplacer. Dans
la fenêtre contextuelle, choisissez une règle et décidez si vous souhaitez déplacer votre
sélection avant ou après cette règle dans la liste.
• Pour afficher les règles qui ne sont pas utilisées actuellement, cochez la case Surligner les
règles inutilisées.
• Pour afficher le journal correspondant à la politique, cliquez sur la flèche vers le bas à côté
du nom de la règle et choisissez Visionneuse du journal.
• Pour certaines entrées, il est possible d'afficher la valeur actuelle en cliquant sur la flèche
vers le bas et en choisissant Valeur. Vous pouvez également modifier, filtrer ou supprimer
certains éléments directement depuis le menu de la colonne.
• Si vous avez défini un nombre important de politiques, vous pouvez utiliser la barre de
filtrage pour trouver des objets utilisés dans une politique à partir du nom de l'objet ou de
l'adresse IP. La recherche porte également sur les objets imbriqués et permet de trouver
une adresse au sein d'un objet adresse ou d'un groupe d'adresses. Dans la capture d'écran
suivante, l'adresse IP 10.8.10.177 a été saisie dans la barre de filtrage et la politique « aaa »
s'est affichée. Cette politique utilise un groupe d'adresses nommé « aaagroup » qui
contient l'adresse IP en question.
Barre de filtrage
Résultats du filtrage
• Vous pouvez afficher ou masquer des colonnes spécifiques dans n'importe laquelle des
pages Politiques.
Vous pouvez limiter des politiques de sécurité à certains utilisateurs ou à certaines applications en
cliquant sur le lien correspondant à l'utilisateur ou l'application sur la page des règles de sécurité
ou de déchiffrement du périphérique. Pour en savoir plus sur la limitation des règles par
application, reportez-vous à la section « Définition des applications » à la page 251.
3. Pour ajouter des groupes d'utilisateurs, faites votre choix parmi les cases Groupe
d'utilisateurs disponibles et cliquez sur Ajouter un groupe d'utilisateurs. Vous pouvez
également saisir du texte correspondant à un ou plusieurs groupes et cliquer sur Ajouter
un groupe d'utilisateurs.
4. Pour ajouter des utilisateurs individuels, saisissez une requête dans le champ de
recherche Utilisateur et cliquez sur Rechercher. Vous pouvez ensuite sélectionner des
utilisateurs et cliquer sur Ajouter un utilisateur. Vous pouvez également saisir des noms
d'utilisateurs dans la zone Utilisateurs supplémentaires.
5. Cliquez sur OK pour enregistrer les sélections et mettre à jour la règle de sécurité ou de
déchiffrement.
Politiques de sécurité
Les politiques de sécurité déterminent s'il faut bloquer ou autoriser une nouvelle session
réseau à partir d'attributs du trafic, tels que les zones de sécurité de l'application, de la source
et de la destination, les adresses source et de destination, et le service de l'application (HTTP
par exemple). Les zones de sécurité sont utilisées pour regrouper les interfaces en fonction du
risque relatif du trafic qu'elles acheminent. Par exemple, une interface connectée à Internet se
trouve dans une zone « non approuvée », tandis qu'une interface connectée au réseau interne
se trouve dans une zone « de confiance ».
Remarque : Par défaut, le trafic entre chaque paire de zones de sécurité est bloqué
jusqu'à ce qu'au moins une règle soit ajoutée pour autoriser le trafic entre les deux
zones.
Le trafic intrazone est autorisé par défaut et requiert une règle de blocage explicite. Si
une règle de refus total est ajoutée en tant que dernière règle de la politique, le trafic
intrazone est bloqué, sauf autorisation expresse.
Les politiques de sécurité peuvent avoir une portée générale ou spécifique, selon les besoins.
Les règles des politiques sont comparées au trafic entrant dans un ordre précis, et comme la
première règle qui correspond au trafic est appliquée, les règles spécifiques doivent précéder
les règles plus générales. Par exemple, une règle correspondant à une application unique doit
précéder une règle correspondant à l'ensemble des applications si tous les autres paramètres
relatifs au trafic sont identiques.
Utilisez la page Sécurité pour définir des règles de politique de sécurité. Pour obtenir des
directives de configuration, reportez-vous à la section « Directives de définition des
politiques » à la page 198.
Onglet Application
Application Sélectionnez des applications spécifiques pour la règle de sécurité. Pour
définir de nouvelles applications, reportez-vous à la section « Définition
des applications » à la page 251. Pour définir des groupes d'applications,
reportez-vous à la section « Définition des groupes d'applications » à la
page 257.
Si une application présente plusieurs fonctions, vous pouvez sélectionner
l'application dans son ensemble ou des fonctions individuelles. Si vous
sélectionnez l'application dans son ensemble, toutes les fonctions sont
incluses et la définition de l'application est automatiquement mise à jour
lors de l'ajout de fonctions supplémentaires.
Si vous utilisez des groupes d'applications, des filtres ou des conteneurs
dans la règle de sécurité, vous pouvez en consulter le détail en passant la
souris sur l'objet dans la colonne Application, en cliquant sur la flèche vers
le bas et en sélectionnant Valeur. Ainsi, vous pouvez facilement accéder
aux membres des applications directement depuis la politique, sans passer
par les onglets Objet.
Onglet
Service/Catégorie
d'URL
Service Sélectionnez des services à limiter à des numéros de ports TCP et/ou UDP
spécifiques. Choisissez l'une des options suivantes dans la liste
déroulante :
• indifférent - Les applications sélectionnées sont autorisées ou non sur
n'importe quel protocole ou port.
• application-défaut - Les applications sélectionnées sont autorisées ou
non seulement sur leurs ports par défaut définis par Palo Alto Networks.
Cette option est recommandée pour les politiques d'autorisation.
• Sélection - Cliquez sur Ajouter. Choisissez un service existant ou
choisissez Service ou Groupe de services pour définir une nouvelle
entrée. Reportez-vous aux sections « Services » à la page 259 et « Groupes
de services » à la page 259
Onglet Actions
Paramètres d'action Cliquez sur autoriser ou refuser pour autoriser ou bloquer une nouvelle
session réseau pour un trafic qui correspond à cette règle.
Réglage du profil Pour définir la vérification effectuée par les profils de sécurité par défaut,
sélectionnez les profils individuels Antivirus, Antispyware, Protection
contre les vulnérabilités, Filtrage des URL, Blocage des fichiers et/ou
Filtrage des données.
Pour définir un groupe de profils plutôt que des profils individuels,
sélectionnez Groupes de profils, puis sélectionnez un groupe de profils
dans la liste déroulante Groupe.
Pour définir de nouveaux profils ou groupes de profils, cliquez sur
Nouveau à côté du profil ou groupe approprié (reportez-vous à la section
« Groupes de profils de sécurité » à la page 267).
Paramètre des Spécifiez n'importe quelle combinaison des options suivantes :
journaux Paramètre des journaux :
• Pour transférer des entrées du journal de trafic local et du journal des
menaces vers des destinations distantes, comme des serveurs Panorama
et syslog, sélectionnez un profil de journal dans la liste déroulante Profil
de transfert des journaux. Notez que la génération d'entrées du journal
des menaces est déterminée par les profils de sécurité. Pour définir de
nouveaux profils, cliquez sur Nouveau (reportez-vous à la section
« Transfert des journaux » à la page 268).
• Pour générer des entrées dans le journal de trafic local en cas de trafic
correspondant à cette règle, sélectionnez les options suivantes :
– Se connecter au début de la session - Génère une entrée dans le
journal de trafic pour le début d'une session (option désactivée par
défaut).
– Se connecter en fin de session - Génère une entrée dans le journal de
trafic pour la fin d'une session (option activée par défaut).
Si des entrées pour le début ou la fin de la session sont journalisées, des
entrées le sont également en cas d'abandon et de refus.
Politiques NAT
Si vous définissez des interfaces de couche 3 sur le pare-feu, vous pouvez utiliser des
politiques de traduction des adresses réseau ou Network Address Translation (NAT) pour
préciser si les adresses IP et les ports source ou de destination doivent être convertis en
adresses et ports publics ou privés. Par exemple, des adresses source privées peuvent être
traduites en adresses publiques sur le trafic envoyé depuis une zone interne (de confiance)
vers une zone publique (non approuvée).
La traduction des adresses réseau est également prise en charge sur les interfaces de câble
virtuel. Lors de la traduction d'adresses réseau sur des interfaces de câble virtuel, il est
recommandé de traduire l'adresse source vers un sous-réseau différent de celui sur lequel les
périphériques voisins communiquent. Le proxy ARP n'est pas pris en charge sur les câbles
virtuels, donc les périphériques voisins ne peuvent résoudre les requêtes ARP que pour les
adresses IP qui résident sur l'interface du périphérique à l'autre extrémité du câble virtuel.
Lors de la configuration de la traduction des adresses réseau sur le pare-feu, il est important
de noter qu'une politique de sécurité doit également être configurée pour autoriser le trafic
NAT. La politique de sécurité est appliquée en fonction de la zone post-NAT et de l'adresse IP
pré-NAT.
Le pare-feu prend en charge les types de traduction d'adresses suivants :
• IP/Port dynamique - Pour le trafic sortant. Plusieurs clients peuvent utiliser les mêmes
adresses IP publiques avec des numéros de ports source différents. Les règles de
traduction des adresses IP/ports dynamiques permettent la traduction vers une seule
adresse IP, une plage d'adresses IP, un sous-réseau ou une combinaison de ces options. En
cas d'interface de sortie avec une adresse IP attribuée de manière dynamique, il peut être
utile de définir l'interface elle-même comme l'adresse traduite. Si l'interface est définie
dans la règle de traduction des adresses IP/ports dynamiques, la politique NAT est
automatiquement mise à jour afin d'utiliser toute adresse acquise par l'interface pour les
traductions suivantes.
• IP dynamique - Pour le trafic sortant. Les adresses source privées sont traduites vers la
prochaine adresse disponible dans la plage spécifiée. Les politiques de traduction
d'adresses IP dynamiques vous permettent de définir une seule adresse IP, plusieurs
adresses IP, plusieurs plages d'adresses IP ou plusieurs sous-réseaux comme le pool
d'adresses traduites. Si le pool d'adresses source est plus important que le pool d'adresses
traduites, les nouvelles adresses IP à traduire sont bloquées tant que le pool d'adresses
traduites est pleinement exploité. Pour éviter ce problème, vous pouvez définir un pool
de secours qui sera utilisé si le pool principal est à court d'adresses IP.
• IP statique - Pour le trafic entrant ou sortant. Vous pouvez utiliser une adresse IP statique
pour changer l'adresse source ou de destination sans modifier le port source ou de
destination. Lorsqu'ils sont utilisés pour associer une adresse IP publique unique à
plusieurs serveurs privés et services, les ports de destination peuvent rester identiques ou
renvoyer vers d'autres ports de destination.
Remarque : Il peut être nécessaire de définir des itinéraires statiques sur le routeur
adjacent et/ou le pare-feu pour s'assurer que le trafic envoyé vers une adresse IP
publique est acheminé vers l'adresse privée adéquate. Si l'adresse publique est identique
à l'interface du pare-feu (ou sur le même sous-réseau), aucun itinéraire statique n'est
nécessaire sur le routeur pour cette adresse. Lorsque vous spécifiez des ports (TCP ou
UDP) de service pour la traduction des adresses réseau, le service HTTP prédéfini
(service-http) inclut deux ports TCP : 80 et 8080. Pour définir un seul port, par exemple
TCP 80, vous devez spécifier un nouveau service.
Le tableau suivant dresse un récapitulatif des types NAT. Les deux méthodes dynamiques
associent une plage d'adresses client (M) à un pool (N) d'adresses NAT, où M et N sont des
nombres différents. N peut également avoir la valeur 1. La traduction d'adresses IP/ports
dynamiques est différente de la traduction d'adresses IP dynamiques car la première ne
conserve pas les ports TCP et UDP source. Il existe également diverses limites en matière de
taille du pool d'adresses IP traduites, comme indiqué ci-dessous.
Dans le cas de la traduction d'adresses IP statiques, chaque adresse d'origine est associée à une
seule adresse traduite. On parle de correspondance 1 à 1 pour une seule adresse IP mappée,
ou M à M pour un pool de plusieurs adresses IP mappées.
Les règles de traduction des adresses réseau (NAT) sont basées sur les zones source et de
destination, les adresses source et de destination, et le service de l'application (HTTP par
exemple). Comme pour les politiques de sécurité, les règles des politiques NAT sont
comparées au trafic entrant dans un ordre précis, et la première règle qui correspond au trafic
est appliquée.
En fonction de vos besoins, ajoutez des itinéraires statiques vers le routeur local afin que le
trafic vers l'ensemble des adresses publiques soit acheminé au pare-feu. Il peut également être
nécessaire d'ajouter des itinéraires statiques vers l'interface de réception sur le pare-feu pour
réacheminer le trafic vers l'adresse privée (reportez-vous à la section « Interfaces du pare-feu »
à la page 133). Pour obtenir des directives de configuration, reportez-vous à la section
« Directives de définition des politiques » à la page 198.
Paquet d'origine
Zone source Sélectionnez une ou plusieurs zones source et de destination pour le
Zone de destination paquet (non NAT) d'origine (valeur par défaut : indifférent). Les zones
doivent être du même type (couche 2, couche 3 ou câble virtuel). Pour
définir de nouvelles zones, reportez-vous à la section « Définition de
zones de sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, vous pouvez configurer les paramètres afin que plusieurs
adresses NAT internes renvoient vers la même adresse IP externe.
Interface de destination Précisez le type d'interface pour la traduction. L'interface de destination
peut être utilisée pour traduire des adresses IP différemment dans le cas
où le réseau est connecté à deux fournisseurs d'accès avec des pools
d'adresses IP différents.
Adresse source Spécifiez une combinaison d'adresses source et de destination dont l'une
Adresse de destination ou l'autre doit être traduite.
Service Spécifiez les services pour lesquels l'adresse source ou de destination est
traduite. Pour définir de nouveaux groupes de services, reportez-vous à
la section « Groupes de services » à la page 259.
Dans l'exemple suivant, la première règle NAT traduit l'adresse privée d'un serveur de
messagerie interne vers une adresse IP publique statique. La règle ne s'applique qu'aux
messages sortants envoyés depuis la zone « L3Trust » vers la zone « L3Untrust ». Pour le trafic
en sens inverse (messages entrants), la seconde règle traduit l'adresse publique de destination
du serveur vers son adresse privée. La règle 2 utilise les zones source et de destination
« L3Untrust », car la politique NAT est basée sur l'adresse pré-NAT. Dans ce cas, cette adresse
pré-NAT est une adresse IP publique qui se trouve donc dans la zone « L3Untrust ».
NAT64
NAT64 est utilisé pour traduire des en-têtes IP source et de destination entre des adresses IPv6 et
IPv4. Il permet aux clients IPv6 d'accéder aux serveurs IPv4 et aux clients IPv4 d'accéder aux
serveurs IPv6. Il existe trois mécanismes de transition principaux définis par l'IETF : la double pile,
la tunnellisation et la traduction. Si vous disposez de réseaux compatibles IPv4 ou IPv6 seulement
et que la communication entre eux est nécessaire, vous devez utiliser la traduction.
Pour utiliser des politiques NAT64 sur un pare-feu Palo Alto Networks, il est nécessaire de mettre
en place une solution DNS64 tierce pour séparer la fonction de requêtes DNS de la fonction NAT.
• Traduction des communications initiées par IPv4 : la liaison statique IPv4 associe une
adresse/un numéro de port IPv4 à une adresse IPv6. PAN-OS prend également en charge
la réécriture de port, qui vous permet de conserver encore plus d'adresses IPv4.
• Prise en charge de plusieurs préfixes. Il est possible d'assigner un préfixe NAT64 par
règle.
• Prise en charge du Hairpinning (NAT U-Turn) et prévention des attaques contre les
boucles de Hairpinning.
• Prise en charge de PMTUD (Path MTU Discovery) et mise à jour de la MSS (Maximum
Segment Size) pour TCP.
• Configuration du paramètre MTU IPv6 : la valeur par défaut est 1280, ce qui correspond
au MTU minimum pour le trafic IPv6. Ce paramètre est configuré dans l'onglet
Périphérique > Configuration > Sessions, sous Paramètres de la session.
• Pris en charge sur les interfaces et sous-interfaces de couche 3, les tunnels et les interfaces
VLAN.
Serveur DNS64
Pare-feu
Passerelle NAT64
Hôte IPv6
Le tableau suivant décrit les valeurs requises dans cette politique NAT64.
Tableau 79.
IP de
IP source Traduction source Traduction de destination
destination
Indifférent/ Préfixe IPv6 Mode IP et port Aucune
Adresse IPv6 NAT64 avec dynamiques (utilise
(extraite de l'adresse IPv6 de
masque réseau adresse IPv4)
conforme destination)
RFC 6052
Serveur IPv6
Serveur DNS
Pare-feu
Passerelle NAT64
Hôte IPv4
Figure 20. NAT64 entre réseau Internet IPv4 et réseau client IPv6
Le tableau suivant décrit les valeurs requises dans cette politique NAT64.
Le moteur de traitement des paquets du pare-feu doit effectuer une recherche d'itinéraire
pour trouver la zone de destination avant de consulter la règle NAT. Dans le cas de la
traduction NAT64, il est important de vérifier l'accessibilité du préfixe NAT64 pour
l'affectation de la zone de destination, car le préfixe NAT64 ne devrait pas être pouvoir être
acheminé par la passerelle NAT64. Il est très probable que le préfixe NAT64 prendrait
l'itinéraire par défaut ou serait abandonné en l'absence d'itinéraire. Vous pouvez configurer
une interface de tunnel sans point de terminaison, car ce type d'interface agit comme un port
de connexion en boucle et accepte d'autres masques réseau en dehors de /128. Appliquez le
préfixe NAT64 au tunnel ainsi que la zone adéquate pour garantir que le trafic IPv6 avec
préfixe NAT64 est affecté à la zone de destination correcte. Cette solution présente l'avantage
d'abandonner le trafic IPv6 avec préfixe NAT64 si la règle NAT64 n'est pas vérifiée.
Normalement, lorsque le trafic entre dans le pare-feu, l'interface d'entrée du routeur virtuel
dicte l'itinéraire qui détermine l'interface de sortie et la zone de sécurité de destination en se
basant sur l'adresse IP de destination. Avec le transfert basé sur une politique (Policy-based
Forwarding, PBF), vous pouvez préciser d'autres informations pour déterminer l'interface de
sortie, y compris la zone source, l'adresse source, l'utilisateur source, l'adresse de destination,
l'application de destination et le service de destination. La session initiale sur une adresse IP
de destination et un port donnés associés à une application ne correspondra à aucune règle
spécifique à l'application et sera transférée conformément aux règles PBF subséquentes (qui
ne précisent aucune application) ou à la table de transfert du routeur virtuel. Toutes les
sessions subséquentes sur cette adresse IP de destination et ce port pour la même application
correspondront à une règle spécifique à l'application. Pour assurer le transfert via des règles
PBF, il n'est pas recommandé d'utiliser des règles spécifiques à une application.
Si nécessaire, des règles PBF peuvent être utilisées pour forcer le passage du trafic dans un
système virtuel supplémentaire à l'aide de l'action Transférer à Vsys. Dans ce cas, il est
nécessaire de définir une règle PBF supplémentaire qui transférera le paquet depuis le
système virtuel de destination vers une interface de sortie spécifique sur le pare-feu.
Pour obtenir des directives de configuration, reportez-vous à la section « Directives de
définition des politiques » à la page 198.
Onglet Source
Zone source Pour choisir des zones source (valeur par défaut : indifférent), cliquez sur
Ajouter et faites votre sélection dans la liste déroulante. Pour définir de
nouvelles zones, reportez-vous à la section « Définition de zones de
sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, si vous possédez trois zones internes différentes (marketing,
ventes et relations publiques) qui sont toutes reliées à la zone de
destination non approuvée, vous pouvez créer une règle qui couvre tous
les cas possibles.
Remarque : seules les zones de type Couche 3 sont prises en charge pour
le transfert basé sur la politique.
Adresse source Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions source (valeur par défaut : indifférent). Faites votre sélection
dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe d'adresses
ou Régions en bas de la liste déroulante, et définissez les paramètres.
Utilisateur source Cliquez sur Ajouter pour choisir les utilisateurs ou les groupes
d'utilisateurs source soumis à la politique.
Onglet Destination/
Application/Service
Adresse de destination Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions de destination (valeur par défaut : indifférent). Faites votre
sélection dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe
d'adresses ou Régions en bas de la liste déroulante, et définissez les
paramètres.
Onglet Transfert
Action Sélectionnez l'une des options suivantes :
• Transférer - Précisez l'adresse IP du saut suivant et l'interface de sortie
(l'interface prise par le paquet pour accéder au saut suivant spécifié).
• Transférer à VSYS - Choisissez le système virtuel vers lequel effectuer
le transfert dans la liste déroulante.
• Supprimer - Abandon du paquet.
• Aucun PBF - Pas de modification du chemin que le paquet suivra.
Interface de sortie Précisez l'interface du pare-feu pour le transfert du trafic depuis le pare-
feu.
Saut suivant Précisez l'adresse IP du saut de transfert suivant.
Surveillance Pour surveiller les actions de transfert, sélectionnez Surveillance et
précisez les paramètres suivants :
• Profil - Choisissez un profil dans la liste déroulante.
• Désactiver si inaccessible - Cochez cette case si vous voulez ignorer
cette règle pour toutes les nouvelles sessions lorsque le routeur du saut
suivant est inaccessible.
• Adresse IP - Précisez l'adresse IP à laquelle des messages ping sont
envoyés périodiquement pour déterminer l'état de la règle de transfert
basé sur une politique.
Politiques de déchiffrement
Politiques > Déchiffrement
Vous pouvez configurer le pare-feu de manière à décrypter le trafic à des fins de visibilité,
contrôle et sécurité granulaire. Les politiques de déchiffrement peuvent s'appliquer à la
couche s (SSL) et au trafic Secure Shell (SSH). Avec l'option SSH, vous pouvez au choix
déchiffrer le trafic SSH sortant et entrant pour vous assurer que des protocoles sécurisés ne
sont pas utilisés pour faire passer dans un tunnel des applications et du contenu non
autorisés. Vous pouvez également appliquer des profils de déchiffrement à vos politiques
pour bloquer et contrôler divers aspects du trafic SSL. Pour en savoir plus, reportez-vous à la
section « Profils de déchiffrement » à la page 269.
Chaque politique de déchiffrement précise les catégories d'URL à déchiffrer ou non. App-ID
et les profils Antivirus, Vulnérabilité, Antispyware, Filtrage des URL et Blocage des fichiers
sont appliqués au trafic déchiffré avant qu'il ne soit de nouveau chiffré à la sortie du
périphérique. La sécurité de bout en bout entre les clients et les serveurs est maintenue, et le
pare-feu agit comme un tiers de confiance pendant la connexion. Aucun trafic déchiffré ne
quitte le périphérique.
Le pare-feu inspecte le trafic, quels que soient les protocoles encapsulés. Les politiques de
déchiffrement peuvent avoir une portée générale ou spécifique, selon les besoins. Les règles
des politiques sont comparées au trafic dans un ordre précis, donc les règles spécifiques
doivent précéder les règles plus générales.
Onglet Source
Zone source Cliquez sur Ajouter pour choisir des zones source (valeur par défaut :
indifférent). Les zones doivent être du même type (couche 2, couche 3 ou
câble virtuel). Pour définir de nouvelles zones, reportez-vous à la section
« Définition de zones de sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, si vous possédez trois zones internes différentes (marketing,
ventes et relations publiques) qui sont toutes reliées à la zone de
destination non approuvée, vous pouvez créer une règle qui couvre tous
les cas possibles.
Onglet Destination
Zone de destination Cliquez sur Ajouter pour choisir des zones de destination (valeur par
défaut : indifférent). Les zones doivent être du même type (couche 2,
couche 3 ou câble virtuel). Pour définir de nouvelles zones, reportez-vous
à la section « Définition de zones de sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, si vous possédez trois zones internes différentes (marketing,
ventes et relations publiques) qui sont toutes reliées à la zone de
destination non approuvée, vous pouvez créer une règle qui couvre tous
les cas possibles.
Adresse de destination Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions de destination (valeur par défaut : indifférent). Faites votre
sélection dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe
d'adresses ou Régions en bas de la liste déroulante, et définissez les
paramètres. Cochez la case Ignorer pour choisir n'importe quelle adresse
sauf celles configurées.
Onglet Options
Action Sélectionnez déchiffrement ou aucun déchiffrement pour le trafic.
Type Sélectionnez le type de trafic à déchiffrer dans la liste déroulante :
• Proxy de transfert SSL - Précise que la politique déchiffrera le trafic
client destiné à un serveur externe
• Proxy SSH - Précise que la politique déchiffrera le trafic SSH. Cette
option vous permet de contrôler la tunnellisation SSH dans les
politiques en précisant l'App-ID ssh-tunnel.
• Inspection SSL entrante - Précise que la politique déchiffrera le trafic
d'inspection SSL entrante.
Profil de déchiffrement Sélectionnez un profil de déchiffrement existant ou créez-en un nouveau.
Reportez-vous à la section « Profils de déchiffrement » à la page 269.
2. Définissez une politique de contrôle prioritaire sur l'application qui précise quand
l'application personnalisée doit être invoquée. En général, une politique inclut l'adresse IP du
serveur exécutant l'application personnalisée et un ensemble limité d'adresses IP source ou
une zone source.
Après avoir créé une nouvelle règle, configurez-la en cliquant sur les valeurs actuelles et en
renseignant les informations adéquates, comme le décrit le tableau suivant.
Tableau 84. Paramètres des règles de contrôle prioritaire sur l'application (suite)
Champ Description
Onglet Source
Zone source Cliquez sur Ajouter pour choisir des zones source (valeur par défaut :
indifférent). Les zones doivent être du même type (couche 2, couche 3 ou
câble virtuel). Pour définir de nouvelles zones, reportez-vous à la section
« Définition de zones de sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, si vous possédez trois zones internes différentes (marketing,
ventes et relations publiques) qui sont toutes reliées à la zone de
destination non approuvée, vous pouvez créer une règle qui couvre tous
les cas possibles.
Adresse source Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions source (valeur par défaut : indifférent). Faites votre sélection
dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe d'adresses
ou Régions en bas de la liste déroulante, et définissez les paramètres.
Cochez la case Ignorer pour choisir n'importe quelle adresse sauf celles
configurées.
Onglet Destination
Zone de destination Cliquez sur Ajouter pour choisir des zones de destination (valeur par
défaut : indifférent). Les zones doivent être du même type (couche 2,
couche 3 ou câble virtuel). Pour définir de nouvelles zones, reportez-vous
à la section « Définition de zones de sécurité » à la page 161.
Il est possible d'utiliser plusieurs zones pour simplifier la gestion. Par
exemple, si vous possédez trois zones internes différentes (marketing,
ventes et relations publiques) qui sont toutes reliées à la zone de
destination non approuvée, vous pouvez créer une règle qui couvre tous
les cas possibles.
Adresse de destination Cliquez sur Ajouter pour ajouter des adresses, des groupes d'adresses ou
des régions de destination (valeur par défaut : indifférent). Faites votre
sélection dans la liste déroulante, ou cliquez sur le lien Adresse, Groupe
d'adresses ou Régions en bas de la liste déroulante, et définissez les
paramètres. Cochez la case Ignorer pour choisir n'importe quelle adresse
sauf celles configurées.
Onglet Protocole/
Application
Protocole Sélectionnez le protocole pour lequel l'application peut être forcée.
Port Saisissez le numéro de port (de 0 à 65535) ou la plage de numéros de ports
(port1-port2) pour les adresses source spécifiées. Utilisez des virgules
pour séparer les ports ou les plages.
Application Sélectionnez l'application forcée pour les flux de trafic qui remplissent les
critères de la règle. Lors du contrôle prioritaire d'une application
personnalisée, aucune inspection des menaces n'est effectuée, sauf si le
contrôle porte sur une application prédéfinie qui prend en charge
l'inspection des menaces.
Pour définir de nouvelles applications, reportez-vous à la section
« Définition des applications » à la page 251.
Avant de définir des politiques de portail captif, activez le portail captif et configurez les
paramètres à la page Identification utilisateur, comme le décrit la section « Configuration du
pare-feu pour l'identification utilisateur » à la page 310.
Ensuite, configurez des politiques de portail captif en précisant les informations suivantes.
Onglet Source
Source Renseignez les informations suivantes :
• Choisissez une zone source si la politique doit être appliquée au trafic
provenant de toutes les interfaces dans une zone donnée. Cliquez sur
Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse source à appliquer à la politique de portail captif
pour le trafic provenant d'adresses source spécifiques. Cochez la case
Ignorer pour choisir n'importe quelle adresse sauf celles configurées.
Cliquez sur Ajouter pour définir plusieurs interfaces ou zones.
Onglet Destination
Destination Renseignez les informations suivantes :
• Choisissez une zone de destination si la politique doit être appliquée au
trafic à destination de toutes les interfaces dans une zone donnée.
Cliquez sur Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse de destination à appliquer à la politique de portail
captif pour le trafic à destination d'adresses spécifiques. Cochez la case
Ignorer pour choisir n'importe quelle adresse sauf celles configurées.
Cliquez sur Ajouter pour définir plusieurs interfaces ou zones.
Onglet Service/Action
Paramètres d'action Choisissez une action à effectuer :
• Portail captif - Présentez à l'utilisateur une page de portail captif lui
permettant de saisir explicitement ses informations d'authentification.
• Aucun portail captif - Autorisez le passage de trafic sans présenter de
page de portail captif pour l'authentification.
• Authentification NTLM - Ouvrez une requête d'authentification NT
LAN Manager (NTLM) sur le navigateur Web de l'utilisateur. Le
navigateur Web répondra en fournissant les informations
d'identification actuelles de l'utilisateur.
Utilisez cette page pour définir des règles DoS pour les politiques.
Onglet Source
Source Renseignez les informations suivantes :
• Choisissez Interface dans la liste déroulante Type pour appliquer la
politique DoS au trafic provenant d'une interface ou d'un groupe
d'interfaces. Choisissez Zone si la politique DoS doit être appliquée au
trafic provenant de toutes les interfaces dans une zone donnée. Cliquez
sur Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse source à appliquer à la politique DoS pour le trafic
provenant d'adresses source spécifiques. Cochez la case Ignorer pour
choisir n'importe quelle adresse sauf celles configurées. Cliquez sur
Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Utilisateur source à appliquer à la politique DoS pour le trafic
provenant d'utilisateurs spécifiques. Cliquez sur Ajouter pour définir
plusieurs interfaces ou zones.
Onglet Destination
Destination Renseignez les informations suivantes :
• Choisissez Interface dans la liste déroulante Type pour appliquer la
politique DoS au trafic provenant d'une interface ou d'un groupe
d'interfaces. Choisissez Zone si la politique DoS doit être appliquée au
trafic provenant de toutes les interfaces dans une zone donnée. Cliquez
sur Ajouter pour définir plusieurs interfaces ou zones.
• Précisez l'Adresse de destination à appliquer à la politique DoS pour le
trafic à destination d'adresses spécifiques. Cochez la case Ignorer pour
choisir n'importe quelle adresse sauf celles configurées. Cliquez sur
Ajouter pour définir plusieurs interfaces ou zones.
Profils de sécurité
Chaque politique de sécurité peut inclure la spécification d'un ou plusieurs profils de sécurité,
pour une protection et un contrôle renforcés.
Vous pouvez également ajouter des exceptions de menaces aux profils Antispyware et
Vulnérabilité. Pour faciliter la gestion des exceptions de menaces, vous pouvez les ajouter
directement depuis la liste Surveillance > Journaux > Menace. Pour ajouter une exception de
menace à un profil, retrouvez-la dans le journal des menaces, puis cliquez sur son nom. La
boîte de dialogue Détails de la menace s'ouvre : sélectionnez un ou plusieurs profils dans le
panneau de gauche et cliquez sur OK. L'exception de menace est alors ajoutée pour cette
signature dans les profils sélectionnés avec l'action « autoriser ». Pour ajouter une exception
de menace pour des adresses IP spécifiques, ajoutez les adresses IP dans le panneau de droite
et cliquez sur OK. L'exception de menace est alors ajoutée avec un filtre correspondant aux
adresses IP.
• Profils antispyware visant à bloquer les tentatives d'accès au réseau par des logiciels espions.
Reportez-vous à la section « Profils antispyware » à la page 229.
• Profils de protection contre les vulnérabilités visant à bloquer les tentatives d'exploitation des
failles du système ou d'accès non autorisé aux systèmes. Reportez-vous à la section « Profils
de protection contre les vulnérabilités » à la page 231.
• Profils de filtrage des URL visant à restreindre l'accès à des sites Web et à des catégories de
sites spécifiques. Reportez-vous à la section « Profils de filtrage des URL » à la page 234.
• Profils de blocage des fichiers visant à bloquer certains types de fichier. Reportez-vous à la
section « Profils de blocage des fichiers » à la page 237.
• Profils de filtrage des données visant à empêcher les informations sensibles comme les
numéros de carte de crédit ou de sécurité sociale de quitter la zone protégée par le pare-feu.
Reportez-vous à la section « Profils de filtrage des données » à la page 240.
En plus des profils individuels, vous pouvez créer des groupes de profils pour combiner des
profils qui sont souvent appliqués en même temps.
Remarque : Vous ne pouvez pas supprimer un profil qui est utilisé dans une
politique de sécurité.
Vous avez le choix parmi les actions suivantes pour la définition de profils antivirus et
antispyware.
• Par défaut - Action par défaut spécifiée en interne dans la signature pour chaque menace.
• Alerte - Génération d'une alerte pour chaque flux de trafic de l'application. L'alerte est
sauvegardée dans le journal des menaces.
Vous avez le choix parmi les actions suivantes pour la définition de politiques de vulnérabilité :
• Aucune - Aucune action.
• Par défaut - Action par défaut spécifiée en interne pour chaque menace.
• Alerte - Génération d'une alerte pour chaque flux de trafic de l'application. L'alerte est
sauvegardée dans le journal des menaces.
• Abandonner tous les paquets - Blocage de tous les paquets par le pare-feu.
• IP bloquée - Cette action bloque le trafic d'une source ou d'une paire source-destination
(configurable) pendant une durée déterminée. Elle est disponible pour les profils antispyware
« phone home », les profils personnalisés de protection contre les vulnérabilités, les profils de
protection de zone et les règles de protection DoS.
Profils antivirus
Objets > Profils de sécurité > Antivirus
Une politique de sécurité peut inclure la définition d'un profil antivirus pour identifier les
applications à inspecter et l'action à prendre lorsqu'un virus est détecté. Le profil peut également
définir des actions visant à bloquer les téléchargements de logiciels espions. Le profil par défaut
inspecte l'ensemble des décodeurs de protocole répertoriés à la recherche de virus, génère des
alertes pour les protocoles Simple Mail Transport Protocol (SMTP), Internet Message Access
Protocol (IMAP) et Post Office Protocol Version 3 (POP3), et prend l'action par défaut pour
d'autres applications (alerte ou refus), en fonction du type de virus détecté.
Il est possible d'utiliser des profils personnalisés pour limiter les inspections antivirus sur le trafic
entre des zones de sécurité de confiance, ou au contraire les renforcer sur le trafic provenant de
zones non sécurisées comme Internet, ainsi que sur le trafic vers des destinations hautement
sensibles comme des batteries de serveurs.
Pour en savoir plus sur les types d'action, reportez-vous à la section « Profils de sécurité » à la
page 226.
Onglet Antivirus
Capture des paquets Cochez la case si vous voulez capturer des paquets identifiés.
Décodeurs et actions Pour chaque type de trafic que vous voulez inspecter, choisissez une action
dans la liste déroulante. Vous pouvez également prendre une action
spécifique basée sur des signatures créées par WildFire. Pour en savoir plus
sur WildFire, reportez-vous à la section « A propos de WildFire » à la
page 461.
Exceptions d'applications Identifiez des applications qui seront des exceptions à la règle antivirus.
et actions Par exemple, pour bloquer l'ensemble du trafic HTTP excepté pour une
application spécifique, vous pouvez définir un profil antivirus pour lequel
l'application est une exception. L'action Bloquer est utilisée pour le décodeur
HTTP, et l'action Autoriser pour faire de l'application une exception.
Pour trouver une application, commencez à saisir le nom de l'application
dans le champ textuel. Une liste d'applications correspondantes s'affiche
pour vous permettre de faire votre choix. L'application est ajoutée au tableau
et vous pouvez lui affecter une action.
Pour chaque exception d'application, sélectionnez l'action à prendre
lorsqu'une menace est détectée.
Profils antispyware
Objets > Profils de sécurité > Antispyware
Une politique de sécurité peut inclure la définition d'un profil antispyware pour la détection
du trafic « phone home » (détection du trafic provenant des logiciels espions installés). Le
profil antispyware par défaut détecte la protection phone-home pour tous les niveaux de
gravité, à l'exception des niveaux « faible » et « informations ».
Il est possible d'utiliser des profils personnalisés pour limiter les inspections antispyware sur
le trafic entre des zones de sécurité de confiance, ou au contraire les renforcer sur le trafic
provenant de zones non sécurisées comme Internet, ainsi que sur le trafic vers des
destinations hautement sensibles comme des batteries de serveurs.
Le paramètre Exceptions vous permet de modifier la réponse à une signature spécifique. Par
exemple, vous pouvez bloquer tous les paquets qui correspondent à une signature à
l'exception de celui sélectionné, ce qui génère une alerte.
Le paramètre Signatures DNS offre un moyen supplémentaire d'identifier les hôtes infectés
sur un réseau. Ces signatures détectent les requêtes DNS de noms d'hôte associés à des
logiciels malveillants. Les signatures DNS peuvent être configurées de manière à autoriser ou
bloquer (par défaut) ces requêtes ou à générer une alerte, comme dans le cas des signatures
antivirus courantes. En outre, les hôtes qui lancent des requêtes DNS associés à des sites
malveillants figureront dans le rapport du botnet. Les signatures DNS sont téléchargées dans
le cadre des mises à jour antivirus.
La page Antispyware présente un ensemble de colonnes par défaut. D'autres colonnes
d'informations sont disponibles depuis le sélecteur de colonnes. Cliquez sur la flèche à droite
de l'en-tête d'une colonne et faites votre sélection dans le sous-menu Colonnes. Pour en savoir
plus, reportez-vous à la section « Utilisation des tableaux des pages de configuration » à la
page 27.
Onglet Règles
Nom de la règle Précisez le nom de la règle.
Nom de la menace Saisissez indifférent pour que toutes les signatures soient vérifiées, ou
saisissez du texte pour vérifier les signatures dont le nom contient le texte
saisi.
Gravité Choisissez un niveau de gravité (critique, élevée, moyenne, faible ou
informations).
Action Choisissez une action (Par défaut, Alerter, Autoriser ou Abandonner) pour
chaque menace.
Capture des paquets Cochez la case si vous voulez capturer des paquets identifiés.
Onglet Exceptions
Exceptions Cochez la case Activer pour chaque menace à laquelle vous voulez affecter
une action, ou sélectionnez Tout pour répondre à toutes les menaces
répertoriées. La liste dépend de l'hôte, de la catégorie et de la gravité
sélectionnés. Si la liste est vide, il n'existe aucune menace pour les sélections
en cours.
Utilisez la colonne Exemptions d'adresses IP pour ajouter des filtres
d'adresse IP à une exception de menace. Si des adresses IP sont ajoutées à une
exception de menace, l'action d'exception pour cette signature ne l'emportera
sur l'action de la règle que si la signature est déclenchée par une session dont
l'adresse IP source ou de destination correspond à une adresse IP de
l'exception. Vous pouvez ajouter jusqu'à 100 adresses IP par signature. Avec
cette option, vous n'avez pas besoin de créer une nouvelle règle de politique
et un nouveau profil de vulnérabilité pour créer une exception pour une
adresse IP spécifique.
Onglet Signature DNS
Signature DNS de l'hôte Choisissez une action à prendre lorsque des requêtes DNS correspondant à
infecté des sites malveillants connus sont envoyées (Alerte, Autoriser, ou l'action par
défaut Bloquer).
Capture des paquets Cochez la case si vous voulez capturer des paquets identifiés.
ID de menace Saisissez manuellement des exceptions à la signature DNS (plage 4000000-
4999999).
Une politique de sécurité peut inclure la définition d'un profil de protection contre les
vulnérabilités qui détermine le niveau de protection en fonction d'un dépassement de capacité de
la mémoire tampon, de l'exécution non autorisée de code et d'autres tentatives d'exploitation des
vulnérabilités du système. Le profil par défaut protège les clients et les serveurs contre l'ensemble
des menaces connues de gravité critique, élevée et moyenne.
Il est possible d'utiliser des profils personnalisés pour limiter les inspections de vulnérabilité sur le
trafic entre des zones de sécurité de confiance, ou au contraire renforcer la protection sur le trafic
provenant de zones non sécurisées comme Internet, ainsi que sur le trafic vers des destinations
hautement sensibles comme des batteries de serveurs. Pour appliquer des profils de protection
contre les vulnérabilités à des politiques de sécurité, reportez-vous à la section « Politiques de
sécurité » à la page 201.
Les paramètres Règles définissent des ensembles de signatures à activer, ainsi que des actions à
prendre lorsqu'une signature est déclenchée.
Le paramètre Exceptions vous permet de modifier la réponse à une signature spécifique. Par
exemple, vous pouvez bloquer tous les paquets qui correspondent à une signature à l'exception de
celui sélectionné, ce qui génère une alerte. L'onglet Exception offre des fonctions de filtrage.
La page Protection contre les vulnérabilités présente un ensemble de colonnes par défaut.
D'autres colonnes d'informations sont disponibles depuis le sélecteur de colonnes. Cliquez sur la
flèche à droite de l'en-tête d'une colonne et faites votre sélection dans le sous-menu Colonnes. Pour
en savoir plus, reportez-vous à la section « Utilisation des tableaux des pages de configuration » à
la page 27.
Onglet Règles
Nom de la règle Précisez un nom permettant d'identifier la règle.
Nom de la menace Précisez une chaîne textuelle à vérifier. Le pare-feu applique un ensemble
de signatures à la règle en recherchant cette chaîne textuelle dans les
noms des signatures.
Action Choisissez l'action (Alerte, Autoriser, Par défaut ou Bloquer) à prendre
lorsque la règle est déclenchée. L'action Par défaut est basée sur l'action
prédéfinie incluse dans chaque signature fournie par Palo Alto Networks.
Pour afficher l'action par défaut correspondant à une signature, accédez à
Objets > Profils de sécurité > Protection contre les vulnérabilités, et
cliquez sur Ajouter ou sélectionnez un profil existant. Cliquez sur l'onglet
Exceptions puis sur Montrer toutes les signatures. Une liste de toutes les
signatures s'affiche, accompagnée d'une colonne Action.
Tableau 89. Paramètres des profils de protection contre les vulnérabilités (suite)
Champ Description
Hôte Précisez s'il faut limiter les signatures pour la règle à celles qui se trouvent du
côté du client, celles qui se trouvent du côté du serveur ou les deux
(indifférent).
Capture des paquets Cochez cette case si vous voulez capturer le paquet qui a déclenché la règle.
Catégorie Sélectionnez une catégorie de vulnérabilité si vous voulez limiter les
signatures à celles qui correspondent à cette catégorie.
Liste CVE Précisez quelles sont les failles et vulnérabilités communes (CVE) si vous
voulez limiter les signatures à celles qui correspondent également aux CVE
spécifiées.
Chaque CVE se présente sous le format CVE-aaaa-xxxx, où aaaa correspond à
l'année et xxxx est son identifiant unique. Vous pouvez effectuer une
recherche de chaîne dans ce champ. Par exemple, pour trouver les
vulnérabilités correspondant à l'année 2011, saisissez « 2011 ».
ID constructeur Précisez des ID constructeur si vous voulez limiter les signatures à celles qui
correspondent également aux ID constructeur spécifiés.
Par exemple, les ID constructeur correspondant à Microsoft se présentent
sous la forme MSaa-xxx, où aa correspond à l'année au format deux chiffres et
xxx est son identifiant unique. Pour trouver le constructeur Microsoft pour
l'année 2009, saisissez « MS09 ».
Gravité Sélectionnez le niveau de gravité à vérifier (informations, faible, moyenne,
élevée ou critique) si vous voulez limiter les signatures à celles qui
correspondent également au niveau de gravité spécifié.
Tableau 89. Paramètres des profils de protection contre les vulnérabilités (suite)
Champ Description
Onglet Exceptions
Menaces Cochez la case Activer pour chaque menace à laquelle vous voulez affecter
une action, ou sélectionnez Tout pour répondre à toutes les menaces
répertoriées. La liste dépend de l'hôte, de la catégorie et de la gravité
sélectionnés. Si la liste est vide, il n'existe aucune menace pour les sélections
en cours.
Choisissez une action dans la liste déroulante, ou choisissez dans le menu
Action en haut de la liste pour appliquer la même action à l'ensemble des
menaces. Si la case Afficher tout est cochée, toutes les signatures sont
répertoriées. Si la case Afficher tout n'est pas cochée, seules les signatures qui
sont des exceptions sont répertoriées.
Cochez la case Capture des paquets si vous voulez capturer des paquets
identifiés.
La base de données des signatures contre les vulnérabilités contient des
signatures qui indiquent une attaque par force brute ; par exemple, l'ID de
menace 40001 est déclenché par une attaque FTP par force brute. Les
signatures de force brute sont déclenchées lorsqu'un événement survient au-
delà d'un seuil temporel donné. Les seuils sont préconfigurés pour les
signatures de force brute et peuvent être modifiés en cliquant sur l'icône
représentant un crayon à côté du nom de la menace sous l'onglet
Vulnérabilité (avec sélection de l'option Personnaliser). Vous pouvez définir
le nombre d'accès par unité de temps et si le seuil s'applique à la source, la
destination ou les deux.
Des seuils peuvent être appliqués à une adresse IP source, une adresse IP de
destination ou à une combinaison d'adresses IP source et de destination.
Remarque : L'action par défaut est indiquée entre parenthèses. La colonne CVE
affiche les identifiants correspondant aux failles et vulnérabilités communes (CVE).
Ces identifiants uniques concernent les vulnérabilités de sécurité informatique
courantes.
Une politique de sécurité peut inclure la définition d'un profil de filtrage des URL qui bloque
l'accès à des sites Web et à des catégories de sites Web spécifiques, ou génère une alerte en cas
d'accès aux sites Web spécifiés (une licence de filtrage des URL est requise). Vous pouvez
également définir une « liste d'interdiction » de sites Web qui sont toujours bloqués (ou génèrent
des alertes) et une « liste d'autorisation » de sites Web qui sont toujours autorisés. Les catégories de
sites Web sont prédéfinies par Palo Alto Networks.
Pour appliquer des profils de filtrage des URL à des politiques de sécurité, reportez-vous à la
section « Politiques de sécurité » à la page 201. Pour créer des catégories d'URL personnalisées
avec vos propres listes d'URL, reportez-vous à la section « Catégories d'URL personnalisées » à la
page 261.
Une politique de sécurité peut inclure la définition d'un profil de blocage des fichiers qui
interdit le chargement ou le téléchargement de types de fichier sélectionnés ou génère une
alerte lorsque les types de fichier spécifiés sont détectés. Le Tableau 92 dresse la liste des
formats de fichier pris en charge.
Pour appliquer des profils de blocage des fichiers à des politiques de sécurité, reportez-vous à
la section « Politiques de sécurité » à la page 201.
Tableau 92. Formats de fichier pris en charge pour le blocage des fichiers
Champ Description
avi Fichier vidéo basé sur le format de fichier Microsoft AVI (RIFF)
bat Fichier batch MS DOS
bmp-upload Fichier d'image Bitmap (chargement seulement)
cab Fichier d'archive Microsoft Windows Cabinet
cmd Fichier de commande Microsoft
dll Microsoft Windows Dynamic Link Library
doc Document Microsoft Office
docx Document Microsoft Office 2007
Tableau 92. Formats de fichier pris en charge pour le blocage des fichiers (suite)
Champ Description
dwg Fichier Autodesk AutoCAD
enc-doc Document Microsoft Office chiffré
enc-docx Document Microsoft Office 2007 chiffré
enc-ppt Fichier Microsoft Office PowerPoint chiffré
enc-pptx Fichier Microsoft Office 2007 PowerPoint chiffré
enc-office2007 Fichier Microsoft Office 2007 chiffré
enc-rar Fichier rar chiffré
enc-xls Fichier Microsoft Office Excel chiffré
enc-xlsx Fichier Microsoft Office 2007 Excel chiffré
enc-zip Fichier zip chiffré
exe Fichier exécutable Microsoft Windows
flv Fichier vidéo Adobe Flash
gif-upload Fichier d'image GIF (chargement seulement)
gzip Fichiers compressés avec l'utilitaire gzip
hta Fichier d'application HTML
iso Fichier d'image disque basé sur la norme ISO-9660
jpeg-upload Fichier d'image JPG/JPEG (chargement seulement)
lha Fichier compressé avec l'utilitaire/algorithme lha
lnk Raccourci fichier Microsoft Windows
lzh Fichier compressé avec l'utilitaire/algorithme lha/lzh
mdb Fichier de base de données Microsoft Access
mdi Fichier d'acquisition de documents Microsoft
mov Fichier vidéo Apple Quicktime
mpeg Fichier vidéo qui utilise la compression MPEG-1 ou MPEG-2
msi Fichier package d'installation Microsoft Windows
msoffice Fichier Microsoft Office (doc, xls, ppt, pub, pst)
ocx Fichier Microsoft ActiveX
pdf Fichier Adobe Portable Document Format
pe Fichier Microsoft Windows Portable Executable (exe, dll, com, scr, ocx,
cpl, sys, drv, tlb)
pgp Clé de sécurité ou signature numérique chiffrée avec le logiciel PGP
pif Fichier d'informations de programme Windows contenant des
instructions exécutables
pl Fichier de script Perl
ppt Présentation Microsoft Office PowerPoint
pptx Présentation Microsoft Office 2007 PowerPoint
Tableau 92. Formats de fichier pris en charge pour le blocage des fichiers (suite)
Champ Description
psd Fichier Adobe Photoshop Document
rar Fichier compressé créé avec winrar
reg Fichier de registre Windows
rm Fichier Real Media RealNetworks
rtf Fichier Windows Rich Text Format
sh Fichier de script shell Unix
tar Fichier d'archive tar Unix
tif Fichier Windows Tagged Image File Format
torrent Fichier BitTorrent
wmf Métafichier Windows de stockage d'images vectorielles
wmv Fichier Windows Media Video
wri Fichier Windows Write
wsf Fichier de script Windows Script file
xls Microsoft Office Excel
xlsx Microsoft Office 2007 Excel
Zcompressed Fichier Z compressé dans Unix, décompressé avec la commande
décompresser
zip Fichier Winzip/pkzip
Une politique de sécurité peut inclure la définition d'un profil de filtrage des données visant à
empêcher les informations sensibles comme les numéros de carte de crédit ou de sécurité
sociale de quitter la zone protégée par le pare-feu.
Pour appliquer des profils de filtrage des données à des politiques de sécurité, reportez-vous à
la section « Politiques de sécurité » à la page 201.
Pour ajouter un modèle de données, cliquez sur Ajouter et renseignez les informations
suivantes.
Profils DoS
Objets > Profils de sécurité > Protection DoS
Une politique de protection DoS peut inclure la définition d'un profil visant à protéger contre
les attaques DoS et à prendre des mesures de protection en cas de correspondance des règles.
Le profil DoS décrit les types d'action et les critères de correspondance.
Pour appliquer des profils DoS à des politiques DoS, reportez-vous à la section « Politiques de
protection DoS » à la page 224.
• Modèles de données qui définissent des catégories d'informations sensibles pour les
politiques de filtrage des données. Reportez-vous à la section « Modèles de données » à la
page 260.
• Catégories d'URL personnalisées qui contiennent vos propres listes d'URL à inclure sous
forme de groupe dans les profils de filtrage des URL. Reportez-vous à la section
« Catégories d'URL personnalisées » à la page 261.
• Transfert des journaux avec définition des paramètres des journaux. Reportez-vous à la
section « Transfert des journaux » à la page 268.
• Calendriers qui précisent quand les politiques sont actives. Reportez-vous à la section
« Calendriers » à la page 271.
Pour définir des politiques de sécurité pour des adresses source ou de destination spécifiques,
vous devez d'abord définir les adresses et plages d'adresses. Les adresses qui nécessitent les
mêmes paramètres de sécurité peuvent être combinées en groupes d'adresses pour simplifier la
création des politiques (reportez-vous à la section « Définition des groupes d'adresses » à la
page 248).
Identifiant
Pour simplifier la création des politiques de sécurité, les adresses qui requièrent les mêmes
paramètres de sécurité peuvent être combinées en groupes d'adresses.
Le pare-feu prend en charge la création de règles de politique qui s'appliquent à des pays
spécifiques ou à d'autres régions. L'option région est disponible lors de la définition de la
source et de la destination des politiques de sécurité, des politiques de déchiffrement et des
politiques DoS. Vous pouvez faire votre choix parmi une liste standard de pays ou utiliser les
paramètres régionaux décrits dans cette section pour définir des régions personnalisées à
inclure sous forme d'options dans les règles des politiques de sécurité.
La page Applications dresse la liste des divers attributs de chaque définition d'application,
tels que le risque relatif pour la sécurité que présente l'application (de 1 à 5). Le risque est
évalué sur des critères tels que la capacité de l'application à partager des fichiers, le fait qu'elle
soit sujette à utilisation frauduleuse ou tente de contourner les pare-feu. Plus la valeur est
élevée, plus le risque est important.
La partie supérieure de la page répertorie les attributs que vous pouvez utiliser pour filtrer la
liste. Le nombre à gauche de chaque entrée représente le nombre total d'applications qui
présentent cet attribut.
Sur cette page, vous pouvez effectuer les actions suivantes :
• Pour appliquer des filtres, cliquez sur un élément qui servira de base pour le filtrage. Par
exemple, pour limiter la liste à la catégorie Réseau, cliquez sur Réseau pour que la liste
n'affiche que les applications correspondantes.
• Pour filtrer la liste en fonction d'autres colonnes, sélectionnez une entrée dans ces
colonnes. Le filtrage est appliqué selon un ordre précis : par catégorie, par sous-catégorie,
par technologie, par risque et enfin par caractéristique.
A chaque fois qu'un filtre est appliqué, la liste d'applications dans la partie inférieure de
la page est automatiquement mise à jour, comme le montre la figure suivante. Tous les
filtres sauvegardés peuvent être visualisés dans Objets > Filtres de l'application.
La recherche fonctionne avec des chaînes partielles. Lorsque vous définissez des politiques de
sécurité, vous pouvez rédiger des règles qui s'appliquent à toutes les applications qui
correspondent à un filtre sauvegardé. Ces règles sont mises à jour de manière dynamique
lorsqu'une nouvelle application est ajoutée par le biais d'une mise à jour du contenu qui
correspond au filtre.
• Cliquez sur le nom d'une application pour afficher des informations supplémentaires à son
sujet, comme le décrit le tableau suivant. Vous pouvez également personnaliser les valeurs de
risque et de délai.
Lorsque le pare-feu n'est pas capable d'identifier une application à l'aide de son ID, le trafic est
classé comme inconnu (« unknown ») : unknown-tcp ou unknown-udp. Ce comportement
s'applique à toutes les applications inconnues, à l'exception de celles qui émule complètement
le protocole HTTP. Pour en savoir plus, reportez-vous à la section « Identification des
applications inconnues et prise de mesures » à la page 300.
Vous pouvez créer de nouvelles définitions pour les applications inconnues, puis définir des
politiques de sécurité correspondantes. En outre, les applications qui nécessitent les mêmes
paramètres de sécurité peuvent être combinées en groupe d'applications pour simplifier la
création des politiques de sécurité.
Utilise.z la page Applications pour ajouter de nouvelles applications à évaluer par le pare-feu
lors de l'exécution de politiques.
Onglet Avancé
Port Si l'application utilise le protocole TCP et/ou UDP, sélectionnez Port et
saisissez une ou plusieurs combinaisons de protocole et de numéro de
port (une entrée par ligne). Le format courant est :
<protocole>/<port>
où le <port> est un numéro de port unique, ou dynamic en cas
d'attribution de port dynamique.
Exemples : TCP/dynamic ou UDP/32.
Ce paramètre est appliqué lors de l'utilisation de la valeur app-défaut
dans la colonne Service d'une règle de sécurité.
Protocole IP Pour spécifier un protocole IP autre que TCP ou UDP, sélectionnez
Protocole IP et saisissez le numéro de protocole (de 1 à 255).
Type ICMP Pour spécifier un type Internet Control Message Protocol version 4 (ICMP),
sélectionnez Type ICMP et saisissez le numéro de type (plage 0-255).
Type ICMP6 Pour spécifier un type Internet Control Message Protocol version 6
(ICMPv6), sélectionnez Type ICMP6 et saisissez le numéro de type
(plage 0-255).
Aucun Pour spécifier des signatures indépendantes de tout protocole, sélectionnez
Aucun.
Pour importer une application, cliquez sur Importer. Accédez au fichier et sélectionnez le
système virtuel cible dans la liste déroulante Destination.
Pour exporter l'application, cochez la case correspondant à l'application et cliquez sur
Exporter. Suivez les invites pour sauvegarder le fichier.
Host: www.specifiedsite.com
specifiedsite {
category collaboration;
subcategory social-networking;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
or-condition {
o1 {
context http-req-host-header;
pattern www\.specifiedsite\.com;
}
}
}
}
}
}
}
Le champ hôte inclut le modèle specifiedblog.com. Toutefois, si une signature est rédigée avec
cette valeur dans l'hôte, elle correspondra à tout le trafic à destination de specifiedblog.com, y
compris le trafic de publication et de lecture. Par conséquent, il n'est pas nécessaire de
chercher d'autres modèles.
Pour simplifier la création des politiques de sécurité, les applications qui requièrent les mêmes
paramètres de sécurité peuvent être combinées en groupes d'applications. Pour définir de
nouvelles applications, reportez-vous à la section « Définition des applications » à la page 251.
Filtres d'application
Objets > Filtres d'application
Vous pouvez définir des filtres d'application pour simplifier les recherches répétées. Pour ce
faire, cliquez sur Ajouter et saisissez un nom pour le filtre.
Dans la partie supérieure de la fenêtre, cliquez sur un élément qui servira de base pour le
filtrage. Par exemple, pour limiter la liste à la catégorie Réseau, cliquez sur réseau.
Pour filtrer la liste en fonction d'autres colonnes, sélectionnez une entrée dans ces colonnes. Le
filtrage est appliqué selon un ordre précis : par catégorie, par sous-catégorie, par technologie,
par risque et enfin par caractéristique.
La figure suivante montre un exemple d'application des filtres Catégorie, Sous-catégorie et
Risque. A l'application des deux premiers filtres, la colonne Technologie est
automatiquement limitée aux technologies correspondant aux catégories et sous-catégories
sélectionnées, même si un filtre Technologie n'a pas été explicitement appliqué.
A chaque fois que vous sélectionnez une option, la liste d'applications dans la partie inférieure
de la page est automatiquement mise à jour, comme le montre la figure suivante.
Services
Objets > Services
Lorsque vous définissez des politiques de sécurité pour des applications spécifiques, vous pouvez
sélectionner un ou plusieurs services pour limiter les numéros de ports que les applications
peuvent utiliser. Le service par défaut est indifférent, ce qui autorise tous les ports TCP et UDP.
Les services HTTP et HTTPS sont prédéfinis, mais vous pouvez ajouter des définitions
supplémentaires. Les services qui sont souvent affectés ensemble peuvent être combinés en
groupe de services pour simplifier la création des politiques de sécurité (reportez-vous à la section
« Groupes de services » à la page 259).
Groupes de services
Objets > Groupes de services
Pour simplifier la création des politique de sécurité, vous pouvez combiner les services qui
requièrent les mêmes paramètres de sécurité en groupes de services. Pour définir de
nouveaux services, reportez-vous à la section « Services » à la page 259.
Modèles de données
Les modèles de données vous permettent de définir des catégories d'informations sensibles
pouvant faire l'objet d'un filtrage à l'aide de politiques de sécurité de filtrage des données.
Pour obtenir des instructions sur la configuration des modèles de données, reportez-vous à la
section « Listes d'interdiction dynamiques » à la page 262.
Lors de l'ajout d'un nouveau modèle (expression régulière), les conditions suivantes
s'appliquent :
• Le modèle doit se composer d'une chaîne d'au moins 7 octets. Il peut en contenir plus,
mais pas moins.
• La recherche est sensible à la casse, comme dans la plupart des moteurs d'expressions
régulières. Il y a une différence entre rechercher « confidentiel », « Confidentiel » ou
« CONFIDENTIEL ».
La syntaxe des expressions régulières dans PAN-OS est similaire à celle des moteurs
traditionnels, mais chaque modèle est unique. Le tableau suivant décrit la syntaxe prise en
charge dans PAN-OS.
• .*(Communiqué de presse).*((Ebauche)|(EBAUCHE)|(ébauche))
• .*(Trinidad)
Cette fonction vous permet de créer vos propres listes d'URL à sélectionner dans n'importe
quel profil de filtrage des URL. Chaque catégorie personnalisée peut être contrôlée de manière
indépendante, et une action lui est associée dans chaque profil de filtrage des URL (autoriser,
bloquer, continuer, forcer ou alerter).
Il est possible de saisir des entrées de manière individuelle ou d'importer une liste d'URL.
Pour cela, créez un fichier texte contenant les URL à inclure (une URL par ligne). Chaque URL
peut être au format « www.exemple.com » et peut contenir le caractère générique « * »,
comme dans « *.exemple.com ». Pour en savoir plus sur les caractères génériques, reportez-
vous à la description de la liste d'interdiction dans Tableau 90 à la page 234.
Pour obtenir des instructions sur le paramétrage des profils de filtrage des URL, reportez-
vous à la section « Profils de filtrage des URL » à la page 234.
Utilisez la page Listes d'interdiction dynamiques pour créer un objet adresse basé sur une
liste importée d'adresses IP. La source de la liste doit être un fichier texte et se situer sur un
serveur Web. Vous pouvez paramétrer l'option Répéter de manière à mettre
automatiquement la liste à jour sur le périphérique toutes les heures, tous les jours, toutes les
semaines ou tous les mois. Après avoir créé une liste d'interdiction dynamique, vous pouvez
utiliser l'objet adresse des champs source et destination dans vos politiques de sécurité.
Chaque liste importée peut contenir jusqu'à 5000 adresses IP (IPv4 et/ou IPv6), plages
d'adresses IP ou sous-réseaux.
La liste doit contenir une adresse IP, plage ou sous-réseau par ligne, par exemple :
« 192.168.80.150/32 » désigne une adresse, et « 192.168.80.0/24 » désigne toutes les adresses
de 192.168.80.0 à 192.168.80.255.
Exemple :
« 2001:db8:123:1::1 » ou « 2001:db8:123:1::/64 »
Plage d'adresses IP :
Pour définir une plage d'adresses, sélectionnez Plage d'adresses IP et saisissez une plage
d'adresses. Le format est :
adresse_ip–adresse_ip
où chaque adresse peut être de type IPv4 ou IPv6.
Exemple :
« 2001:db8:123:1::1 » ou « 2001:db8:123:1::/22 »
Utilisez la page Modèles de données pour définir des catégories d'informations sensibles
pouvant faire l'objet d'un filtrage à l'aide de politiques de sécurité de filtrage des données.
Pour en savoir plus sur la définition des profils de filtrage des données, reportez-vous à la
section « Profils de filtrage des données » à la page 240.
Utilisez la page Signatures personnalisées pour définir des signatures pour les profils de
protection contre les vulnérabilités.
Chaque politique de sécurité peut définir un profil de transfert des journaux qui détermine si
les entrées des journaux de trafic et des menaces sont journalisées à distance avec Panorama
et/ou envoyées sous forme de pièces SNMP, messages syslog ou notifications par courrier
électronique. Par défaut, seule la journalisation locale est effectuée.
Les journaux de trafic consignent des informations sur chaque flux de trafic, et les journaux
des menaces consignent les menaces ou problèmes rencontrés avec le trafic réseau, tels que les
détections de virus ou de logiciels espions. Notez que les profils antivirus, antispyware et de
protection contre les vulnérabilités associés à chaque règle déterminent quelles menaces sont
journalisées (localement ou à distance). Pour appliquer des profils de journalisation à des
politiques de sécurité, reportez-vous à la section « Politiques de sécurité » à la page 201.
Profils de déchiffrement
Objets > Profils de déchiffrement
Bloquer les sessions Mettez fin aux sessions si les ressources du système ne sont pas disponibles
si les ressources ne pour traiter le déchiffrement.
sont pas
disponibles
Remarque : pour les modes et les défaillances non pris en charge, les
informations de session sont mises en cache pendant 12 heures ; par
conséquent, les sessions à venir entre les mêmes paires d'hôtes et de serveurs
ne sont pas déchiffrées. Cochez les cases pour bloquer ses sessions à la place.
Onglet Inspection
SSL entrante
Vérification des Sélectionnez des options de contrôle des sessions si des modes non
modes non pris en pris en charge sont détectés dans le trafic SSL.
charge
Bloquer les sessions Mettez fin aux sessions si le message « client hello » n'est pas pris en charge
avec une version par PAN-OS. Les versions SSL prises en charge par PAN-OS sont : SSLv3,
non prise en charge TLS1.0 et TLS1.1.
Bloquer les sessions Mettez fin à la session si la suite de chiffrement utilisée n'est pas prise en
avec des suites de charge par PAN-OS.
chiffrement non
prises en charge
Vérification des Sélectionnez l'action à prendre si les ressources du système ne sont pas
échecs disponibles.
Vérification des Sélectionnez des options de contrôle des sessions si des modes non
modes non pris en pris en charge sont détectés dans le trafic SSH. La version SSH prise en
charge charge est SSH version 2.
Bloquer les sessions Mettez fin aux sessions si le message « client hello » n'est pas pris en charge
avec une version par PAN-OS.
non prise en charge
Bloquer les sessions Mettez fin aux sessions si l'algorithme spécifié par le client ou le serveur n'est
avec des pas pris en charge par PAN-OS.
algorithmes non
pris en charge
Vérification des Sélectionnez les actions à prendre si des erreurs SSH surviennent et si les
échecs ressources du système ne sont pas disponibles.
Bloquer les sessions Mettez fin aux sessions si des erreurs SSH surviennent.
avec des erreurs
SSH
Bloquer les sessions Mettez fin aux sessions si les ressources du système ne sont pas disponibles
si les ressources ne pour traiter le déchiffrement.
sont pas
disponibles
Calendriers
Objets > Calendriers
Par défaut, toutes les politiques de sécurité s'appliquent à toutes les dates et à toutes les
heures. Pour limiter l'application de politiques de sécurité à des horaires spécifiques, vous
pouvez définir des calendriers puis les appliquer aux politiques concernées. Pour chaque
calendrier, vous pouvez définir une date et une plage horaire fixes ou récurrentes. Pour
appliquer des calendriers à des politiques de sécurité, reportez-vous à la section « Politiques
de sécurité » à la page 201.
Ce chapitre explique comment afficher les rapports et les journaux fournis avec le pare-feu :
• « Utilisation du tableau de bord » dans la section suivante
• « Planification des rapports pour la distribution par courrier électronique » à la page 296
a. Sélectionnez un système virtuel, à condition que des systèmes virtuels soient définis.
b. Sélectionnez un délai dans la liste déroulante Délai. La valeur par défaut est Dernière
heure.
c. Sélectionnez une méthode de tri dans la liste déroulante Trier par. Vous pouvez trier
les diagrammes dans l'ordre croissant par nombre de sessions, d'octets ou de menaces.
La valeur par défaut est Nombre de sessions.
2. Pour ouvrir les pages de journaux associées aux informations de la page, utilisez les liens
du journal situés dans le coin supérieur droit de la page, comme indiqué ici. Le contexte
des journaux correspond aux informations figurant sur la page.
3. Pour filtrer la liste, cliquez sur un élément dans l'une des colonnes, cet élément va alors
être ajouté à la barre de filtre située au-dessus des noms de colonnes du journal. Après
avoir ajouté les filtres de votre choix, cliquez sur l'icône Appliquer un filtre.
4. Sélectionnez une vue dans la liste déroulante de la zone d'intérêt, comme décrit dans le
tableau suivant.
5. Utilisez les listes déroulantes pour les applications, les catégories d'URL, les menaces, les
types de contenus/fichiers et les objets HIP.
6. Pour afficher plus de détails, cliquez sur l'un des liens. Une page détaillée s'ouvre pour
afficher des informations concernant l'élément en haut de la page et des listes
supplémentaires d'éléments associés.
Utilisation d'App-Scope
Surveillance > App-Scope
Les rapports App-Scope présentent des outils de visibilité et d'analyse permettant d'identifier
un comportement problématique, vous aidant ainsi à comprendre les aspects suivants de
votre réseau :
• Modifications au niveau de l'utilisation de l'application et de l'activité des utilisateurs
• Menaces du réseau
Grâce aux rapports App-Scope, vous pouvez rapidement identifier tout comportement
inhabituel ou inattendu. Chaque rapport affiche une fenêtre dynamique et personnalisable
par l'utilisateur dans le réseau. Ces rapports contiennent des options permettant de
sélectionner les données et les plages à afficher.
Pour consulter des rapports, cliquez sur le nom d'un rapport sous App-Scope situé à gauche
de la page de l'onglet Surveillance. Sélectionnez l'un des types de rapports affichés ci-
dessous. Les options de rapport sont disponibles dans les listes déroulantes situées en haut et
en bas de certaines pages.
Rapport de récapitulation
Le rapport de récapitulation (Figure 23) affiche les diagrammes des cinq applications,
catégories d'applications, utilisateurs et sources obtenant, perdant et consommant le plus de
bande passante.
Barre du bas
Indique la période au bout de laquelle les mesures
des modifications apportées sont réalisées.
Chaque type de menace est représenté par une couleur, comme indiqué dans la légende située
sous le diagramme. Ce rapport contient les boutons et options suivants.
Barre du bas
Indique la période au bout de laquelle des mesures sont
réalisées.
Chaque type de menace est représenté par une couleur, comme indiqué dans la légende située
sous le diagramme. Cliquez sur un pays de la carte pour faire un zoom avant. Cliquez sur le
bouton Zoom arrière situé dans le coin inférieur droit de l'écran pour faire un zoom arrière.
Ce rapport contient les boutons et options suivants.
Barre du bas
Indique la période au bout de laquelle des mesures sont
réalisées.
Barre du bas
Indique la période au bout de laquelle les mesures des
modifications apportées sont réalisées.
Chaque type de trafic est représenté par une couleur, comme indiqué dans la légende située
sous le diagramme. Ce rapport contient les boutons et options suivants.
Remarque : Le pare-feu affiche les informations dans les journaux afin que les
autorisations d'administration basées sur les rôles soient respectées. Lorsque vous
affichez des journaux, seules les informations que vous êtes autorisées à voir sont
incluses. Pour plus d'informations sur les autorisations d'administration,
consultez la section « Définition des rôles Administrateur » à la page 62.
Pour afficher les journaux, cliquez sur les types de journaux situés à gauche de la page dans
l'onglet Surveillance.
Chaque page du journal dispose d'une zone de filtrage située en haut de la page.
• Pour définir d'autres critères de recherche, cliquez sur l'icône Ajouter un filtre de
journal. Sélectionnez le type de recherche (et/ou), l'attribut à inclure dans la recherche,
l'opérateur correspondant et les valeurs de correspondance, le cas échéant. Cliquez sur
Ajouter pour ajouter un critère à la zone de filtrage dans la page du journal, puis cliquez
sur Fermer pour fermer la fenêtre contextuelle. Cliquez sur l'icône Appliquer un filtre
pour afficher la liste filtrée.
Remarque : Vous pouvez combiner des expressions de filtrage ajoutées dans la page du
journal avec celles que vous avez définies dans la fenêtre contextuelle Expression. Chacune
est ajoutée en tant qu'entrée sur la ligne Filtre de la page du journal.
• Pour effacer les filtres et réafficher la liste non filtrée, cliquez sur le bouton Effacer le
filtre.
• Pour enregistrer vos sélections en tant que nouveau filtre, cliquez sur le bouton
Enregistrer le filtre, donnez un nom au filtre et cliquez sur OK.
• Pour exporter la liste active du journal (comme affichée sur la page, y compris tous les
filtres appliqués), cliquez sur le bouton Enregistrer le filtre. Indiquez si le fichier doit être
ouvert ou enregistré sur le disque, puis cochez cette case si vous voulez toujours utiliser la
même option. Cliquez sur OK.
Si la source ou la destination dispose d'une adresse IP pour nommer le mappage défini dans la
page Adresses, ce nom s'affiche à la place de l'adresse IP. Pour afficher l'adresse IP associée,
placez votre curseur sur le nom.
Ouvrez la page Navigateur de session pour parcourir et filtrer les sessions en cours
d'exécution sur le pare-feu. Pour plus d'informations sur les options de filtrage pour cette
page, consultez la section « Affichage des journaux » à la page 287.
détection comportementaux exigent un trafic corrélé entre plusieurs journaux sur une période
de 24 heures, le pare-feu génère un rapport toutes les 24 heures qui contient une liste d'hôtes
triés en fonction de leur niveau de confiance.
Les paramètres suivants permettent de spécifier des types de trafics suspicieux (trafics
pouvant indiquer l'activité d'un Botnet). Pour configurer ces paramètres, cliquez sur le bouton
Configuration situé à droite de la page Botnet.
Vous pouvez spécifier des requêtes de rapport, puis générer et afficher les rapports d'analyse
du Botnet. Ces rapports se basent sur les paramètres de configuration du Botnet (voir
« Configuration d'un rapport du Botnet » à la page 291). Vous pouvez inclure ou exclure des
adresses IP sources ou de destination, des utilisateurs, des zones, des interfaces, des régions
ou des pays.
Les rapports programmés sont exécutés une fois par jour. Vous pouvez également générer et
afficher des rapports sur demande en cliquant sur Exécuter maintenant dans la fenêtre où les
requêtes de rapport sont définies. Le rapport généré s'affiche sur la page Botnet.
Pour gérer les rapports du Botnet, cliquez sur le bouton Paramètre du rapport situé à droite
de la page Botnet.
Pour exporter un rapport, sélectionnez-le et cliquez sur Exporter au format PDF ou Exporter
au format CSV.
Les rapports de récapitulation au format PDF contiennent des informations compilées à partir
de rapports existants, en fonction des données figurant dans les 5 meilleurs de chaque
catégorie (au lieu des 50 meilleurs). Ils contiennent également des diagrammes de tendance
qui ne sont pas disponibles dans les autres rapports.
Pour créer des rapports de récapitulation au format PDF, cliquez sur Ajouter. La page Gérer
des rapports de récapitulation au format PDF s'ouvre pour afficher touts les éléments
disponibles du rapport.
• Faites glisser et déposez l'icône d'un élément pour le déplacer vers une autre zone du
rapport.
Cliquez sur Enregistrer, donnez un nom au rapport, comme vous y êtes invité, et cliquez sur OK.
Pour afficher des rapports au format PDF, sélectionnez Rapport de récapitulation au format
PDF et sélectionnez un type de rapport dans la liste déroulante située en bas de la page pour
afficher les rapports générés de ce type. Cliquez sur un lien souligné du rapport pour ouvrir
ou enregistrer ce rapport.
Cette page permet de créer des rapports qui récapitulent l'activité d'utilisateurs individuels.
Cliquez sur Nouveau et indiquez les informations suivantes :
Pour exécuter un rapport sur demande, sélectionnez-le et cliquez sur Modifier, puis cliquez
sur Exécuter.
Les groupes de rapports vous permettent de créer des ensembles de rapports que le système
peut compiler et envoyer sous la forme d'un rapport unique agrégé au format PDF avec une
page de titre facultative et tous les rapports constitutifs inclus.
Pour utiliser un groupe de rapports, consultez la section « Planification des rapports pour la
distribution par courrier électronique » dans la section suivante.
Le pare-feu fournit plusieurs rapports (les 50 meilleurs) concernant les statistiques du trafic
pour le jour précédent ou un jour sélectionné au cours de la semaine précédente.
Pour afficher des rapports, cliquez sur leurs noms à droite de la page (rapports personnalisés,
rapports d'applications, rapports de trafics, rapports de menaces, rapports de filtrage d'URL
et rapports de récapitulation au format PDF).
Par défaut, tous les rapports sont affichés pour le jour calendaire précédent. Pour afficher les
rapports des jours précédents, sélectionnez une date de génération de rapport dans la liste
déroulante Sélectionner située en bas de la page.
Les rapports sont répertoriés par sections. Vous pouvez afficher des informations dans chaque
rapport pour la période sélectionnée. Pour exporter un journal au format CSV, cliquez sur
Exporter au format CSV. Pour ouvrir les informations d'un journal au format PDF, cliquez sur
Exporter au format PDF. Le fichier PDF s'ouvre dans une nouvelle fenêtre. Cliquez sur les
icônes situées en haut de la fenêtre pour imprimer ou enregistrer le fichier.
Vous pouvez créer des rapports personnalisés qui peuvent éventuellement se baser sur des
modèles de rapports existants. Ces rapports peuvent être exécutés sur demande ou
programmés pour s'exécuter de nuit. Pour afficher des rapports précédemment définis,
sélectionnez Rapports dans le menu latéral.
Cliquez sur Ajouter pour créer un nouveau rapport personnalisé. Pour qu'un rapport se base
sur un modèle existant, cliquez sur Charger un modèle et sélectionnez un modèle.
Indiquez les paramètres suivants pour définir un rapport.
Cochez cette case pour interpréter la requête en tant que refus. Dans
Refuser
l'exemple précédent, l'option de refus fait correspondre des entrées qui ne
figurent pas dans les dernières 24 heures ou qui ne proviennent pas d'une
zone « non sécurisée ».
• Rapports d'une application inconnue - Les rapports d'une application inconnue sont
automatiquement exécutés sur une base quotidienne et stockés dans la section Rapports
de l'onglet Surveillance. Ces rapports peuvent fournir des informations utiles permettant
d'identifier des applications inconnues.
• Journaux de trafic détaillés - Vous pouvez utiliser des journaux de trafic détaillés pour
suivre des applications inconnues. Si la journalisation est activée pour le début et la fin de
la session, le journal de trafic va fournir des informations spécifiques concernant le début
et la fin d'une session inconnue. L'option de filtrage permet de limiter l'affichage aux
entrées correspondant à « tcp-inconnu », comme indiqué dans la figure suivante.
Actions à appliquer
Vous pouvez appliquer les actions suivantes pour gérer des applications inconnues :
• Utilisez une définition d'application personnalisée avec contrôle prioritaire sur
l'application (voir « Définition d'applications personnalisées avec contrôle prioritaire sur
l'application » à la page 221).
• Demandez un App-ID à Palo Alto Networks (voir « Demande d'un App-ID à Palo Alto
Networks » dans la section suivante).
Les politiques peuvent également être définies de sorte à contrôler des applications inconnues
par un protocole TCP inconnu, un protocole UDP inconnu ou en combinant une zone source,
une zone de destination et des adresses IP. Consultez la section « Politiques de contrôle
prioritaire sur l'application » à la page 221.
• Si une application n'est pas facilement accessible (par exemple : une application de
gestion des relations clients), vous devez soumettre une capture de paquets (PCAP) de
l'application en cours d'exécution à l'aide de la fonction de capture de paquets de session
intégrée au pare-feu. Pour plus d'informations, contactez le support technique à l'adresse
suivante : support@paloaltonetworks.com.
PAN-OS prend en charge la capture de paquets pour dépanner ou détecter des applications
inconnues. Vous pouvez définir des filtres de sorte à capturer uniquement les paquets
correspondant à ces filtres. Les captures de paquets sont stockées localement sur le
périphérique et peuvent être téléchargées sur votre ordinateur local.
Pour spécifier des options de filtrage et de capture, fournissez les informations mentionnées
dans le tableau suivant.
Pour effacer tous les paramètres de filtrage et de capture, cliquez sur Effacer tous les
paramètres.
Pour sélectionner des fichiers de capture à télécharger, cliquez sur le nom d'un fichier dans la
liste des fichiers de capture situés à droite de la page.
• Sondage du client
Dans un environnement Microsoft Windows, le système client peut fournir des
informations sur les utilisateurs connectés via Windows Management Instrumentation
(WIM) pour les utilisateurs et services autorisés. Le sondage des clients Microsoft
Windows à la demande fournit des informations sur les utilisateurs connectés sur un
ordinateur client.
• API XML
D'autres méthodes d'identification ne sont pas directement prises en charge par les
fonctions et options de l'ID utilisateur. Pour ces cas, une interface XML sur SS est
disponible ; celle-ci permet aux solutions personnalisées d'enregistrer des utilisateurs
valides et leur adresse client correspondante sur le réseau avec l'ID utilisateur.
• Portail captif
Si l'utilisateur ne peut pas être identifié en fonction des informations de connexion, d'une
session établie ou d'un sondage du client, le pare-feu peut rediriger toute demande HTTP
sortante et l'utilisateur vers un formulaire Web. Ce dernier peut authentifier l'utilisateur
de manière transparente via une demande NFL, qui est automatiquement évaluée et
traitée par le navigateur Web ou via une page de connexion explicite.
• Ordinateurs partagés
Les ordinateurs partagés, tels que les serveurs Microsoft Terminal Server, sont
problématiques pour la plupart des implémentations, car de nombreux utilisateurs
partagent le même système et donc la même adresse réseau. Dans ce cas, un agent peut
être installé sur le serveur de terminaux ; celui-ci associe ensuite non seulement l'adresse
réseau, mais aussi les plages de ports allouées aux utilisateurs connectés.
feu. La recherche LAP et l'authentification NFL sont également prises en charge. Reportez-
vous aux sections « Onglet Mappage d'utilisateur » à la page 311 et « Configuration du
mappage d'utilisateur PAN-OS » à la page 317.
Vous pouvez également configurer le pare-feu de manière à partager les informations de
mappage d'utilisateur avec les autres pare-feu PAN-OS de votre réseau. Cela est utile si vous
souhaitez désigner un ou plusieurs périphériques pour réaliser des fonctions de mappage
d'utilisateur, puis partager ces informations avec les autres pare-feu. Vous pouvez également
filtrer certains réseaux lors du processus de collecte, à l'aide des listes d'inclusion et
d'exclusion. Reportez-vous à la section « Configuration du mappage d'utilisateur PAN-OS » à
la page 317.
Le mappage des adresses IP aux noms d'utilisateurs repose sur les éléments suivants :
• Pour Active Directory, les journaux de sécurité sont continuellement surveillés sur le
contrôleur de domaine afin de détecter les événements de connexion utilisateur contenant
les informations relatives aux utilisateurs et aux adresses IP.
• Pour Active Directory, une connexion directe à tous les contrôleurs de domaine est
nécessaire pour surveiller l'activité d'ouverture de session utilisateur et déterminer les
adresses IP des utilisateurs.
• L'ordinateur hôte est sondé de manière à vérifier les informations relatives aux
utilisateurs et aux adresses IP à l'aide de Windows Management Instrumentation (WIM)
ou Network Basic Input/Output System (NetBIOS). Le sondage est effectué toutes les
20 minutes de manière à vérifier que le mappage des adresses IP aux noms d'utilisateurs
est toujours correct et également lorsqu''une adresse IP n'ayant aucun nom d'utilisateur
associé est détectée.
• L'API de l'agent d'ID utilisateur est utilisée pour envoyer des informations relatives aux
adresses IP des utilisateurs à l'agent d'ID utilisateur.
• Le mappage de groupe d'utilisateurs est effectué via des requêtes LAP sur les serveurs
d'annuaire. Le pare-feu effectue directement des requêtes LAP, mais peut également
utiliser un agent d'ID utilisateur configuré comme proxy LAP dans les cas où la mise en
cache est souhaitée ou l'accès direct au serveur d'annuaire n'est pas possible à partir du
pare-feu.
Outre les agents d'ID utilisateur, le pare-feu prend en charge un agent Terminal Services (TSE)
lui permettant d'identifier chaque utilisateur pris en charge par le même serveur de
terminaux. Le pare-feu prend également en charge les portails captifs pour les situations dans
lesquelles l'agent d'ID utilisateur ne parvient pas à associer un utilisateur à une adresse IP.
Pour plus d'informations, reportez-vous aux sections suivantes :
• « Portails captifs » dans la section suivante
Portails captifs
Si l'agent d'ID utilisateur ne parvient pas à associer un utilisateur à une adresse IP, un portail
captif peut authentifier l'utilisateur à l'aide d'un formulaire Web ou d'une demande NT LAN
Manager (NFL).
Pour recevoir le formulaire Web, les utilisateurs doivent utiliser un navigateur Web et être en
train de se connecter. Une fois l'authentification effectuée, les utilisateurs sont
automatiquement dirigés vers le site web demandé à l'origine. Le pare-feu peut désormais
exécuter des politiques en fonction des informations relatives aux utilisateurs pour toute
application traversant le pare-feu, pas seulement pour les applications utilisant un
navigateur Web.
Les règles suivantes s'appliquent aux portails captifs :
• Les règles des portails captifs fonctionnent pour le trafic Web HTTP et HTTP.
• Si l'action de la règle est « formulaire Web », un formulaire Web invite l'utilisateur à saisir
un mot de passe.
• Si la règle est « NFL » et que le navigateur est Internet Explorer ou Fiérot, le pare-feu
effectue une demande d'authentification NFL (transparente pour l'utilisateur). Si un autre
navigateur est utilisé, le formulaire Web est présenté.
Si les règles des portails captifs mentionnées ci-dessus ne s'appliquent pas parce que le trafic
n'est pas HTTP ou qu''il n'existe aucune correspondance de règle, le pare-feu applique les
politiques de sécurité en fonction de l'adresse IP (au lieu de l'utilisateur).
Les paramètres se trouvant sur cette page vous permettent de configurer le pare-feu pour
l'identification utilisateur.
• Onglet Mappage d'utilisateur : spécifiez les paramètres d'utilisation de la fonction
Mappage d'utilisateur PAN-OS permettant le mappage précis entre les adresses IP et les
utilisateurs connectés, ainsi qu''entre les utilisateurs et les groupes. Cette option dispose
des mêmes capacités que l'agent d'ID utilisateur directement à partir du pare-feu, de
manière à ce qu''aucun agent ne soit nécessaire sur les contrôleurs de domaine.
• Onglet Agents d'ID utilisateur : spécifiez les paramètres de prise en charge de l'agent
d'identification utilisateur, permettant le mappage précis entre les adresses IP et les
utilisateurs connectés.
• Onglet Terminal Services spécifiez les paramètres de prise en charge de l'agent Terminal
Services. Reportez-vous à la section « Paramétrage de l'agent Terminal Services » à la
page 328.
• Onglet Portail Captif : spécifiez les paramètres d'utilisation d'un portail captif pour
l'identification utilisateur. Reportez-vous à la section « Portails captifs » à la page 310.
Onglet Sondage du Activer le sondage : cochez cette case pour activer le sondage WIM/
client NetBIOS de chaque ordinateur client identifié par le processus de
mappage d'utilisateur. Le sondage permet de s'assurer que le même
utilisateur est encore connecté sur l'ordinateur client afin de fournir des
informations précises de mappage d'utilisateur à une adresse IP.
Intervalle entre les sondages (minutes) : spécifiez l'intervalle de sondage
de l'ordinateur client (20 minutes par défaut, plage de 1 à 1 440 minutes).
Dans les déploiements massifs, il est important de définir un intervalle de
sondage appropriée permettant le sondage de chaque client identifié. Par
exemple, si vous disposez de 6 000 utilisateurs et d'un intervalle de
10 minutes, 10 requêtes WIM d'une seconde sont nécessaires pour chaque
client.
Remarque : pour que le sondage WIM fonctionne efficacement, le profil
Mappage d'utilisateur doit être configuré à l'aide d'un compte
administrateur de domaine, et une exception d'administration à distance
doit être configurée dans le pare-feu Windows pour chaque ordinateur
client sondé. Pour que le sondage NetBIOS fonctionne efficacement, le
port 139 dans le pare-feu Windows doit être autorisé et les services de
partage d'imprimantes et de fichiers doivent être activés sur chaque
ordinateur client sondé.
Onglet Agent
Terminal Services
Nom Saisissez un nom permettant d'identifier l'agent TS (jusqu'à 31 caractères).
Celui-ci est sensible à la casse et doit être unique. Utilisez uniquement des
lettres, nombres, espaces, traits d'union et de soulignement.
Système virtuel Sélectionnez le système virtuel dans la liste déroulante (si cette option est
prise en charge par le modèle de pare-feu).
Hôte Saisissez l'adresse IP du PC Windows sur lequel l'agent TS est installé.
Vous pouvez également spécifier des adresses IP de remplacement
(reportez-vous à la dernière entrée de ce tableau).
Port Saisissez le numéro de port de l'hôte distant sur lequel le service Agent
d'ID utilisateur est configuré.
Adresses IP de Saisissez des adresses IP supplémentaires, si le serveur dispose de
remplacement plusieurs adresses IP pouvant apparaître comme l'adresse IP source du
trafic sortant.
Onglet Paramètres du
portail captif
Activer le portail captif Cochez cette case pour activer l'option de portail captif pour
l'authentification.
Emplacement Sélectionnez le système virtuel dans la liste déroulante (si cette option est
prise en charge par le modèle de pare-feu).
Horloge d'inactivité Saisissez la durée après laquelle la page du portail captif expire.
(plage de 1 à 1 440 minutes, 15 minutes par défaut).
Expiration Spécifiez l'intervalle du délai d'attente (plage de 1 à 1440 minutes,
60 minutes par défaut).
• Agent d'ID utilisateur : à partir de PAN-OS 5.0, vous pouvez configurer l'agent d'ID
utilisateur à l'aide de l'onglet Mappage d'utilisateur, utilisé pour configurer la version
native de l'agent.
Dans les environnements étendus, où l'énumération du mappage d'utilisateur peut
entraîner des problèmes de performances sur le pare-feu, vous pouvez utiliser l'agent
installé sur les contrôleurs de domaine, qui est configuré dans l'onglet Agents d'ID
utilisateur. Pour plus d'informations sur l'installation de cet agent, reportez-vous à la
section « Paramétrage de l'agent d'ID utilisateur » à la page 322.
• Profil du serveur LDAP : ce profil est utilisé pour définir les informations serveur du
contrôleur de domaine que le pare-feu utilise pour effectuer des requêtes afin de collecter
les informations de mappage d'utilisateur et de groupe.
• Politiques : vous devez configurer les profils de sécurité appropriés de manière à ce que
le pare-feu puisse communiquer avec les serveurs d'annuaire définis.
Suivez les étapes de base ci-dessous pour configurer le mappage d'utilisateur PAN-OS :
1. Obtenez un compte et un mot de passe de connexion disposant des autorisations sur les
serveurs et les hôtes que vous utiliserez pour récupérer les informations de mappage
d'utilisateur. Les autorisations nécessaires sont basées sur les méthodes que vous
activerez pour collecter les informations de mappage d'utilisateur, à partir de serveurs
WMI est fiable et est sécurisé par l'authentification NTLM ou Ker béros.
Pour effectuer des requêtes WMI, un compte disposant des droits de
lecture de l'espace de noms CIMA2 est nécessaire sur le système client. Par
défaut, les administrateurs de domaine disposent de ces autorisations.
2. Sélectionnez Périphérique > Identification utilisateur, puis cliquez sur l'onglet Mappage
d'utilisateur.
3. Cliquez sur l'icône Modifier dans le coin supérieur droit de la fenêtre Configuration de
l'agent d'ID utilisateur Palo Alto Networks. Sur cette page, vous pouvez définir les
paramètres utilisés lors de la collecte des informations de mappage des utilisateurs aux
adresses IP sur les serveurs spécifiés dans la liste Surveillance du serveur. Renseignez
chaque onglet en fonction de vos besoins. Reportez-vous à la section « Onglet Mappage
d'utilisateur » à la page 311 pour obtenir une description des paramètres de mappage
d'utilisateur. L'onglet Redistribution est utile uniquement si vous prévoyez d'utiliser ce
pare-feu pour distribuer les informations de mappage d'utilisateur aux autres
périphériques.
5. Dans la section Surveillance du serveur, cliquez sur Ajouter pour ajouter les serveurs de
domaine auxquels vous accéderez pour collecter les informations relatives aux
utilisateurs. Saisissez le nom du serveur, l'adresse réseau et le type (Microsoft Active
Directory, Microsoft Exchange ou Novell eDirectory).
Vous pouvez également cliquer sur l'icône Détecter pour détecter les contrôleurs de
domaine utilisant les recherches DNS. Le pare-feu détecte les contrôleurs de domaine en
fonction du nom de domaine saisi dans Périphérique > Configuration > Gestion >
Paramètres généraux.
7. Pour spécifier les réseaux qui seront inclus ou exclus dans les données de mappage
d'utilisateur, cliquez sur l'icône Ajouter de la section Inclure/Exclure, puis définissez les
réseaux que vous souhaitez filtrer. Cela vous permet d'envoyer les données de mappage
d'utilisateur filtrées aux autres pare-feu de votre réseau qui utilisent ce périphérique pour
extraire les informations de mappage d'utilisateur.
Vous pouvez ajouter autant de comptes que vous souhaitez à cette liste.
Maintenant que l'agent d'ID utilisateur est configuré, vous devez configurer un profil LDAP.
2. Répertoriez les serveurs d'annuaire que le pare-feu doit utiliser dans la liste des serveurs.
Vous devez fournir au moins un serveur ; deux ou plus sont recommandés pour le
basculement. Le port LDAP standard pour cette configuration est 389.
3. Laissez le champ Domaine vide, à moins que vous ne souhaitiez configurer plusieurs
annuaires indépendants.
4. Sélectionnez le type d'annuaire. Le pare-feu peut renseigner les valeurs par défaut des
attributs et des classes d'objets utilisés pour les objets utilisateur et de groupe dans le
serveur d'annuaire, en fonction du type d'annuaire sélectionné.
5. Saisissez la base de l'annuaire LDAP dans le champ Base. Par exemple, si votre domaine
Active Directory est « paloaltonetworks.local », votre base est « dc=paloaltonetworks,
dc=local », à moins que vous ne souhaitiez exploiter un catalogue global Active Directory.
Dans le champ Nom unique de liaison, saisissez un nom d'utilisateur pour un utilisateur
disposant d'autorisations suffisantes pour lire l'arborescence LDAP. Dans un
environnement Active Directory, un nom d'utilisateur valide pour cette entrée peut être le
nom principal de l'utilisateur, par exemple « administrator@paloaltonetworks.local »
mais aussi le nom unique de l'utilisateur, par exemple,
« cn=Administrator,cn=Users,dc=paloaltonetworks,dc=local ».
Si vous souhaitez créer des politiques en fonction des groupes d'annuaires, vous devez
configurer le mappage de groupe. Cette configuration définit la manière dont les groupes et
les utilisateurs sont récupérés de l'annuaire et les groupes d'utilisateurs à inclure pour les
utiliser dans les politiques.
2. Dans la liste déroulante Profil du serveur, sélectionnez le profil LDAP que vous avez créé
dans la section précédente. Tous les attributs et classes d'objets LDAP seront renseignés
en fonction du type de serveur d'annuaire que vous avez sélectionné sur la page Profil du
serveur LDAP.
4. Pour optimiser les requêtes LDAP et les configurations de politiques, vous pouvez
spécifier une liste de groupes d'utilisateurs que vous souhaitez inclure dans les politiques.
Pour cela, cliquez sur l'onglet Liste d'inclusion de groupes.
6. Sélectionnez le(s) groupe(s) souhaité(s), puis cliquez sur le symbole pour l'/les ajouter
dans le volet Groupes inclus.
Pare-feu 1
Pare-feu Pare-feu 2
de redistribution
Serveur de domaine
Pare-feu...
Figure 34. Pare-feu configuré pour le partage des informations de mappage d'utilisateur
1. Sélectionnez Périphérique > Identification utilisateur, puis cliquez sur l'onglet Mappage
d'utilisateur.
2. Cliquez sur l'icône Modifier dans le coin supérieur droit de la fenêtre Configuration de
l'agent d'ID utilisateur Palo Alto Networks, puis sur l'onglet Redistribution.
3. Saisissez le Nom du collecteur et la Clé prépartagée. Ces informations seront utilisées par
le(s) pare-feu qui extrairont les informations de mappage d'utilisateur.
5. Sélectionnez Réseau > Profils réseau > Gestion de l'interface pour activer le service
Agent d'ID utilisateur.
Le pare-feu est désormais prêt à redistribuer les informations de mappage d'utilisateur aux
autres pare-feu.
1. Sélectionnez Périphérique > Identification utilisateur , puis cliquez sur l'onglet Agents
d'ID utilisateur. Reportez-vous à la section « Onglet Agents d'ID utilisateur » à la page 313 pour
plus d'informations sur la configuration.
2. Cliquez sur Ajouter, puis saisissez le Nom du profil de l'agent d'identification utilisateur
et renseignez les champs suivants :
b. Port : saisissez 5007 pour le numéro de port. Il s'agit du port désigné pour l'utilisation
de ce service ; celui-ci ne peut pas être modifié.
f. Utiliser pour l'authentification NTLM : cochez cette case pour utiliser le pare-feu afin de
vérifier l'authentification du client NTLM à partir du portail captif avec le domaine Active
Directory.
g. Cochez la case Activé, puis cliquez sur OK pour enregistrer vos paramètres et sur
Valider pour appliquer la configuration.
Si une icône rouge s'affiche, vérifiez les journaux de trafic pour déterminer la raison pour
laquelle la communication ne fonctionne pas correctement. Vous pouvez également
vérifier si des données de mappage d'utilisateur ont été reçues en exécutant la commande
show user ip-user-mapping pour les afficher sur le panneau de données ou show user
ip-user-mapping-mp pour les afficher sur le panneau de gestion.
Remarque : si la fonction Systèmes virtuels multiples est activée, vous pouvez configurer
un ou plusieurs agents par système virtuel. Cela permet de séparer l'identification utilisateur
en faveur des fournisseurs de services Internet ou d'autres entités qui conservent des
enregistrements utilisateur séparés.
Ordinateurs hôtes
• Microsoft Windows XP/Vista/7
Serveurs d'annuaire
• Microsoft Exchange
– 2003 (6.5)
– 2007 (8.0)
– 2010 (14.0)
– 2003
– 2003r2
– 2008
– 2008r2
Chaque ordinateur inclus pour l'identification utilisateur doit faire partie du domaine
d'authentification. Pour les machines qui ne font pas partie du domaine, vous pouvez utiliser
le portail captif pour afficher les utilisateurs et vérifier les noms d'utilisateur et les mots de
passe.
Pour plus d'informations, reportez-vous aux sections suivantes :
• « Configuration du pare-feu pour l'identification utilisateur » à la page 310 : configuration
du pare-feu pour communiquer avec les agents d'ID utilisateur et prendre en charge les
portails captifs.
Pour installer l'agent d'ID utilisateur, ouvrez le fichier d'installation et suivez les instructions à
l'écran.
• Serveurs connectés : affiche la liste des serveurs auxquels l'agent d'ID utilisateur est
actuellement connecté avec le type et l'état associés.
3. Une liste des paramètres de configuration actuels s'affiche en haut de la fenêtre. Pour
modifier les paramètres, cliquez sur Modifier en dessous du récapitulatif de la
configuration, puis spécifiez les paramètres suivants :
– Sondage du client : cochez la case Activer le sondage WMI si vous souhaitez activer
le sondage WMI pour chaque station de travail et la case Activer le sondage NetBIOS
pour activer le sondage NetBIOS sur chaque station de travail. Spécifiez un intervalle
entre les sondages en secondes (20 secondes par défaut). Un intervalle de 0 désactive
cette fonction.
Remarque : pour que le sondage WMI fonctionne efficacement, le service Agent PAN
doit être configuré à l'aide d'un compte administrateur de domaine, et une exception
d'administration à distance doit être configurée dans le pare-feu Windows pour chaque
ordinateur client sondé.
Remarque : pour que le sondage NetBIOS fonctionne efficacement, le port 139 dans le
pare-feu Windows doit être autorisé et les services de partage d'imprimantes et de fichiers
doivent être activés sur chaque ordinateur client sondé.
– Cache : cochez cette case pour activer un délai de cache de groupe et d'ID utilisateur,
puis spécifiez l'intervalle (minutes) après lequel le cache expire (45 minutes par
défaut).
– Service Agent : spécifiez les ports TCP du service d'ID utilisateur (5007 par défaut) et
de l'API XML d'ID utilisateur (5006 par défaut). Cochez cette case pour activer
l'utilisation de l'API.
› Utiliser SSL : cochez cette case pour utiliser SSL pour la liaison eDirectory.
Si cette option n'est pas sélectionnée, une fenêtre contextuelle vous avertit
que du texte en clair sera utilisé pour le compte et le mot de passe de
connexion.
L'agent d'ID utilisateur est redémarré si la configuration a été enregistrée avec succès.
Vous pouvez également cliquer sur le bouton OK pour enregistrer la configuration et
redémarrer l'agent d'ID utilisateur. Si vous ne souhaitez pas le redémarrer, cliquez sur
Annuler pour fermer la boîte de dialogue.
A partir de PAN-OS 4.1, vous pouvez ajouter autant de comptes que vous
souhaitez à cette liste. Dans PAN-OS 4.0 et les versions antérieures, la limite était
de 100 utilisateurs.
• Spécifiez une liste de contrôle d'accès pour les réseaux. Cliquez sur Ajouter ou Modifier dans
la zone Inclure/Exclure les listes des réseaux configurés, choisissez l'option Inclure ou
Exclure et spécifiez le nom et l'adresse réseau. Vous pouvez également cloner puis modifier
une entrée existante.
• Cliquez sur Détection automatique pour récupérer automatiquement la liste des contrôleurs
de domaine disponibles via DNS et les ajouter à la liste des serveurs surveillés.
– Si vous installez un agent TS disposant d'un pilote plus récent que celui de
l'installation existante, l'assistant d'installation vous invite à redémarrer le système
après la mise à niveau, afin de pouvoir utiliser le nouveau pilote.
5. Une fois l'installation terminée, redémarrez le serveur de terminaux, si vous y êtes invité.
2. Le panneau de configuration s'ouvre avec Terminal Server Agent mis en surbrillance sur
le côté gauche de la fenêtre.
La zone de liste des connexions affiche tous les périphériques Palo Alto Networks qui se
connectent à l'agent TS. La colonne Adresse IP du périphérique affiche l'adresse IP et le
port du périphérique ; la colonne Etat de la connexion indique l'état du périphérique :
Connecté, Déconnecté ou Connexion en cours. Les éléments déconnectés sont supprimés
de la zone de Liste des connexions lorsque vous fermez puis rouvrez la fenêtre de
configuration de l'agent TS.
3. Cochez la case Activer la liste de contrôle d'accès aux périphériques si vous souhaitez
répertorier de manière explicite les pare-feu que l'agent TS acceptera. Ajoutez l'adresse IP
de chaque périphérique, puis cliquez sur Ajouter. Cliquez sur Supprimer pour
supprimer une adresse de la liste. Cliquez sur Enregistrer pour enregistrer la liste
d'autorisation.
5. Configurez les paramètres, tel que décrit dans le tableau suivant, puis cliquez sur
Enregistrer.
6. Cliquez sur Surveillance pour afficher les informations d'attribution des ports pour tous
les utilisateurs du serveur de terminaux.
7. Consultez les informations affichées. Pour obtenir une description du type d'informations
affichées, reportez-vous au tableau suivant.
8. Cliquez sur le bouton Rafraîchir le nombre de ports pour mettre à jour le champ Nombre
de ports manuellement, ou cochez la case Intervalle de rafraîchissement, puis configurez
un intervalle de rafraîchissement pour mettre à jour ce champ automatiquement.
Le tableau suivant répertorie les options de menu disponibles dans la fenêtre de l'application
Agent TS.
Remarque : En plus des VNP IPSec, le pare-feu prend également en charge les
VNP SSL (Secure Sockets Layer) permettant aux utilisateurs distants d'établir des
connexions VPN à travers le pare-feu. Pour plus d'informations, consultez le
Chapitre 9, « Configuration de GlobalProtect ».
La figure suivante illustre un tunnel IPSec standard entre deux périphériques. Cette
configuration se compose d'un moniteur de tunnels situé de chaque côté du tunnel pour
informer l'administrateur de périphériques de la défaillance du tunnel et procéder à un
basculement automatique. Les moniteurs de tunnels sont utiles pour faire basculer le trafic
IPSec vers une autre interface.
Tunnel IPSec
Réseau Réseau
local local
Vous pouvez configurer des VNP de routage pour connecter les pare-feux Palo Alto
Networks à des sites centraux et distants ou à des périphériques de sécurité tiers à des
emplacements autres. Grâce aux VNP de routage, le pare-feu prend une décision de routage
en fonction de l'adresse IP de destination. Si le trafic est routé vers une destination spécifique
via un tunnel VPN, il est alors crypté en tant que trafic VPN. Vous n'avez pas besoin de définir
des règles spéciales ou de faire explicitement référence à un tunnel VPN ; les décisions de
routage et de cryptage sont uniquement déterminées par l'adresse IP de destination.
The pare-feu peut également interopérer avec des périphériques VPN tiers basés sur une
politique. Pour vous connecter à un VPN basé sur une politique, configurez l'ID de proxy du
tunnel. Si plusieurs tunnels de phase 2 sont requis, configurez les différents ID de proxy pour
chacun d'entre eux. Consultez la section « Paramétrage des tunnels IPSec » à la page 342.
Pour la connexion IPSec entre les pare-feux, le paquet IP complet (en-tête et charge utile) est
intégré à une autre charge utile IP et un nouvel en-tête est appliqué. Ce dernier utilise
l'adresse IP de l'interface du pare-feu sortant en tant qu'adresse IP source et l'interface du
pare-feu entrant situé à l'extrémité du tunnel en tant qu'adresse IP de destination. Lorsque le
paquet arrive au pare-feu situé à l'extrémité du tunnel, le paquet d'origine est décrypté et
envoyé à l'hôte de destination actuel.
Des associations de sécurité (SA) IPSec sont définies à chaque extrémité du tunnel IPSec afin
d'appliquer tous les paramètres requis pour une transmission sécurisée, notamment l'index de
paramètres de sécurité (SPI), le protocole de sécurité, les clés cryptographiques et l'adresse IP
de destination. Le cryptage, l'authentification des données, l'intégrité des données et
l'authentification des points d'extrémité sont fournis par les SA IPSec.
Tunnels VPN
Pour paramétrer des VPN, il est important que vous compreniez la topologie de votre réseau
et que vous soyez capable de déterminer le nombre de tunnels requis. Par exemple :
• Un seul tunnel VPN peut suffire à établir une connexion entre un site central unique et un
site distant.
• Les connexions entre un site central et plusieurs sites distants exigent des tunnels VPN
pour chaque paire de sites central-distant.
Chaque tunnel est lié à une interface de tunnel. Vous devez assigner l'interface de tunnel à un
même routeur virtuel en tant que trafic entrant (en texte clair). Ainsi, lorsqu'un paquet arrive
au niveau du pare-feu, la fonction de recherche d'itinéraire peut déterminer le tunnel adéquat
à utiliser. L'interface de tunnel apparaît dans le système en tant qu'interface standard et
l'infrastructure de routage existante peut être appliquée.
Chaque interface de tunnel peut contenir un maximum de 10 tunnels IPSec. Vous pouvez
ainsi paramétrer des tunnels IPSec pour des réseaux individuels qui sont associés à la même
interface de tunnel sur le pare-feu.
IPSec et IKE
Il existe deux méthodes permettant de sécuriser des tunnels VPN IPSec :
• Configurez le tunnel en utilisant des clés de sécurité manuelles. Cette méthode est
déconseillée.
Cette même méthode doit s'appliquer aux deux extrémités du tunnel IPSec. Dans le cas de clés
manuelles, la même clé est saisie aux deux extrémités ; dans le cas d'un IKE, les mêmes
méthodes et attributs sont appliqués aux deux extrémités.
IKE fournit un mécanisme standard permettant de générer et de maintenir les clés de sécurité :
• Identification - Le processus d'identification consiste à reconnaître des homologues aux
deux extrémités du tunnel IPSec. Chaque homologue est identifié par une adresse IP ou
un ID d'homologue (figurant dans la charge utile du paquet IP). Le pare-feu ou un autre
périphérique de sécurité situé à chaque extrémité du tunnel ajoute l'identification d'un
homologue situé à l'autre extrémité à sa configuration locale.
Le pare-feu prend en charge la définition de passerelles IKE, qui fournit les informations de
configuration nécessaires à la négociation du protocole IKE avec les passerelles homologues.
Les options de configuration IKE incluent le groupe Diffie-Hellman pour l'accord de clés, un
algorithme de cryptage et le hachage pour l'authentification des messages.
• Un IKE de phase 2 correspond à la négociation, via une SA de phase 1, d'un tunnel actif pour
le trafic entre des réseaux situés derrière leurs pare-feux respectifs. Il utilise le profil crypto
IPSec pour la négociation d'une SA IPSec.
Vous pouvez définir des profils crypto IPSec et IKE qui déterminent les protocoles et les
algorithmes utilisés pour la négociation des SA IPSec et IKE.
Options d'une SA IKE :
• Groupe Diffie-Hellman (DH) - Sélectionnez les groupes DH à utiliser lors de la génération de
clés publiques pour IKE.
• Durée de vie - Indiquez la durée pendant laquelle une clé négociée va rester opérationnelle.
• Durée de vie - Indiquez la durée pendant laquelle la clé négociée va rester opérationnelle.
Pour plus d'informations sur les protocoles et algorithmes spécifiques pris en charge dans les
profils crypto IPSec et IKE, consultez les sections « Définition des profils crypto IKE » à la page 345
et « Définition des profils crypto IPSec » à la page 346.
Remarque : Avant de commencer, vérifiez que vos interfaces Ethernet, vos routeurs
virtuels et vos zones sont correctement configurés. Consultez les sections « Interfaces du
pare-feu » à la page 133, « Routeurs virtuels et protocoles de routage » à la page 162 et
« Définition de zones de sécurité » à la page 161.
– Pour un IKEv1 de phase 2, consultez la section « Définition des profils crypto IPSec » à
la page 346.
4. Configurez les paramètres requis pour établir des tunnels VPN IPSec. Consultez la section
« Paramétrage des tunnels IPSec » à la page 342.
5. Indiquez la manière dont le pare-feu va surveiller les tunnels IPSec. Consultez la section
« Affichage du statut du tunnel IPSec sur le pare-feu » à la page 347.
6. Paramétrez des itinéraires statiques ou assignez des protocoles de routage pour rediriger
le trafic vers les nouveaux tunnels établis. Le protocole BGP (Border Gateway Protocol), le
protocole RIP (Routing Information Protocol) et les options OSPF (Open Shortest Path
First) sont pris en charge ; vous pouvez les activer dans l'interface de tunnel. Consultez la
section « Routeurs virtuels et protocoles de routage » à la page 162.
7. Définissez des politiques de sécurité pour filtrer et inspecter le trafic comme décrit dans la
section « Politiques de sécurité » à la page 201. Définissez les zones sources et de
destination et spécifiez les attributs des politiques de la manière suivante :
– Trafic sortant entrant dans le tunnel - Pour la source, utilisez la zone en texte clair.
Pour la destination, utilisez la zone de l'interface de tunnel.
Après avoir défini les zones pour la règle de la politique de sécurité, définissez les
adresses sources et de destination, les applications, les services et les profils de sécurité
afin de contrôler l'accès au tunnel VPN.
Une fois ces tâches terminées, le tunnel est prêt à être utilisé. Le trafic destiné aux adresses
définies pour les tunnels est correctement routé de façon automatique et crypté en tant que
trafic VPN en fonction de l'itinéraire de destination spécifique ajouté à la table de routage.
Le protocole IKE va être déclenché chaque fois que cela est nécessaire (par exemple,
lorsque le trafic est routé vers un tunnel IPSec sans clé ou avec des clés ayant expiré).
Si une règle de refus figure à la fin de la base de règles de sécurité, le trafic intra-zone
est bloqué, sauf autorisation contraire. Les règles pour autoriser des applications IKE
et IPSec doivent être explicitement incluses au-dessus de la règle de refus.
La page Passerelles IKE permet de définir des passerelles contenant les informations de
configuration nécessaires à la négociation du protocole IKE avec les passerelles homologues.
Remarque : Les champs avancés suivants sont visibles si vous cochez la case du lien Afficher les options
avancées de la phase 1.
Identification locale Sélectionnez l'un des types suivants et saisissez une valeur : Adresse IP,
FQDN (nom d'hôte), FQDN utilisateur (adresse électronique), KEYID
(chaîne d'ID au format binaire hexadécimal). Si aucune valeur n'est
indiquée, l'adresse IP locale va être utilisée comme valeur d'identification
locale.
Identification de Sélectionnez l'un des types suivants et saisissez une valeur : Adresse IP,
l'homologue FQDN (nom d'hôte), FQDN utilisateur (adresse électronique), KEYID
(chaîne d'ID au format binaire hexadécimal). Si aucune valeur n'est
indiquée, l'adresse IP de l'homologue va être utilisée comme valeur
d'identification de l'homologue.
Mode d'échange Sélectionnez Auto, Agressif ou Principal.
Profil crypto IKE Sélectionnez un profil existant ou conservez le profil par défaut.
Activer le mode passif Sélectionnez cette option pour que le pare-feu réponde uniquement aux
connexions IKE sans jamais les initier.
Activer le parcours NAT Sélectionnez cette option pour utiliser l'encapsulation UDP sur les
protocoles IKE et UDP, en les autorisant à passer par des périphériques
NAT intermédiaires.
Le parcours NAT est utilisé lorsque l'adressage NAT est en place entre les
points de terminaison VPN IPSec.
Détection des Cochez cette case pour activer cette option et saisissez un intervalle (2 -
homologues arrêtés 100 secondes) et un délai avant toute nouvelle tentative (2 - 100 secondes).
La détection des homologues arrêtés identifie les homologues IKE inactifs
ou indisponibles à l'aide d'une requête ping ICMP et permet de restaurer
des ressources perdues en cas d'indisponibilité d'un homologue.
La page Tunnels IPSec permet de configurer des paramètres afin d'établir des tunnels VPN
IPSec entre les pare-feux.
Onglet ID de proxy
ID de proxy Cliquez sur Ajouter et saisissez un nom pour identifier le proxy.
Local Saisissez une adresse IP ou un sous-réseau au format adresse_ip/masque
(par exemple : 10.1.2.1/24).
Distant Si l'homologue l'exige, saisissez une adresse IP ou un sous-réseau au
format adresse_ip/masque (par exemple : 10.1.1.1/24).
Protocole Spécifiez le protocole et les numéros de port pour les ports locaux et
distants :
• Numéro - Indiquez un numéro de protocole (pour assurer
l'interopérabilité avec des périphériques tiers).
• Indifférent - Autorisez le trafic TCP et/ou UDP.
• TCP - Indiquez les numéros de port TCP locaux et distants.
• UDP - Indiquez les numéros de port UDP locaux et distants.
Remarque : Chaque ID de proxy configuré va être inclus dans la
capacité du tunnel VPN IPSec du pare-feu.
• Des clés prépartagées peuvent être mal saisies sur l'un des périphériques. Ces clés doivent
toujours correspondre.
• Si les protocoles de routage dynamique publient des itinéraires vers les adresses IP
publiques via le tunnel IPSec, le périphérique établissant le tunnel peut tenter une
négociation de phase 1 avec l'IP public comme destination définie, au lieu du point
d'extrémité du tunnel IPSec. Par conséquent, la connexion n'est jamais créée et le routage
échoue. Pour résoudre ce problème, vérifiez que seules les adresses IP privées effectuent
un routage via le tunnel et qu'il n'existe aucune adresse IP publique ou aucun autre
itinéraire par défaut dans la table de routage qui pointe vers le tunnel.
• Un ID de proxy peut être mal saisi pour le périphérique situé à l'extrémité du tunnel
IPSec. Cette situation peut se produire car certains fournisseurs génèrent un ID de proxy
par défaut pour des communications IPSec qui n'est pas facilement identifié par
l'utilisateur final.
La page Profils crypto IKE permet de spécifier des protocoles et des algorithmes pour
l'identification, l'authentification et le cryptage dans les tunnels VPN en fonction de la
négociation SA IPSec (IKEv1
de phase 1). Pour plus d'informations, consultez la section « Réseaux privés virtuels » à la
page 336.
Pour modifier l'ordre d'affichage d'un algorithme ou d'un groupe, sélectionnez un élément
puis cliquez sur l'icône Monter ou Descendre. L'ordre détermine le premier choix lors de la
négociation des paramètres avec un homologue distant. Un essai du paramètre situé en tête
de liste est réalisé en premier, puis en descendant dans la liste jusqu'à ce qu'un essai soit
réussi.
La page Profils crypto IPSec permet de spécifier des protocoles et des algorithmes pour
l'identification, l'authentification et le cryptage dans les tunnels VPN en fonction de la négociation
SA IPSec (IKEv1 de phase 2). Pour plus d'informations, consultez la section « Réseaux privés
virtuels » à la page 336.
Pour modifier l'ordre d'affichage d'un algorithme ou d'un groupe, sélectionnez un élément
puis cliquez sur l'icône Monter ou Descendre. L'ordre affiché détermine l'ordre dans lequel
les algorithmes sont appliqués et peut affecter les performances d'un tunnel.
Pour afficher le statut des tunnels VPN IPSec actuellement définis, ouvrez la page Tunnels
IPSec. Les informations suivantes concernant le statut sont signalées sur la page :
• Statut du tunnel (première colonne du statut) - La couleur verte indique un tunnel SA
IPSec. La couleur rouge indique qu'une SA IPSec est indisponible ou a expiré.
• Statut de la passerelle IKE - La couleur verte indique une SA IKE de phase 1 valide. La
couleur rouge indique qu'une SA IKE de phase 1 est indisponible ou a expiré.
• Statut de l'interface de tunnel - La couleur verte indique que l'interface de tunnel est
active (car le moniteur de tunnels est désactivé ou car le statut du moniteur de tunnels
affiche ACTIF). La couleur rouge indique que l'interface de tunnel est inactive, car le
moniteur de tunnels est activé et le statut est inactif.
Topologie existante
Siège social (SS) :
• L'IP public du pare-feu est 61.1.1.1, sur l'interface ethernet1/1, qui se trouve dans la zone
« ISP », routeur virtuel « SS ».
Bureau de la filiale :
• L'IP public du pare-feu est 202.101.1.1, sur l'interface ethernet1/2, qui se trouve dans la
zone « filiale ISP », routeur virtuel « filiale ».
10.100.0.0/16
Ferme de
serveurs
Nouvelle topologie
Siège social :
• Créez une nouvelle zone de sécurité « vpn-filiale ».
• Ajoutez une politique de sécurité pour autoriser le trafic entre la zone « vpn-filiale » et la
zone « serveur ».
Bureau de la filiale :
– Créez une nouvelle zone de sécurité « vpn-central ».
– Ajoutez une politique de sécurité pour autoriser le trafic entre la zone « bureau-filiale »
et la zone « vpn-central ».
Pare-feu Pare-feu
du siège social du bureau de la filiale
192.168.20.0/24
Internet Réseau PC
eth1/1 eth1/2 eth1/10
61.1.1.1 202.101.1.1 192.168.20.1/24
Zone : ISP Zone : filiale-ISP Zone : bureau-filiale
eth1/5
Routeur virtuel : SS Routeur virtuel : filiale Routeur virtuel : filiale
10.100.0.1/16
______________
Zone : serveur
Interface de tunnel : tunnel.2
Routeur virtuel : SS
172.254.254.20/24
_________________
Zone : VPN-central
Interface de tunnel : tunnel.1
10.100.0.0/16 Routeur virtuel : filiale
Ferme de Zone : vpn-filiale
serveurs Routeur virtuel : SS
– profil-passerelle-ike : branch-1-gw
• Pour les serveurs de la ferme, consultez la table de routage et vérifiez que la destination
192.168.20.0/24 est joignable via 10.100.0.1.
Bureau de la filiale :
• Créez une passerelle IKE « central-gw » avec les paramètres suivants :
– profil-passerelle-ike : central-gw
• L'ID de proxy est laissé vide pour les VPN de routage de ce type.
Après avoir configuré les paramètres et validé la configuration, le nouveau VPN devrait
fonctionner. En cas de problèmes de connectivité, consultez la section « Dépannage de la
connectivité VPN » dans la section suivante.
2. L'utilitaire ping permet de vérifier la connectivité entre les bureaux centraux et des filiales
(202.101.1.1 et 61.1.1.1). Pour ce faire, l'interface doit contenir un profil de gestion qui
autorise le recours à l'utilitaire ping.
5. Sur le site du bureau de la filiale, utilisez les commandes CLI test vpn ike-sa gateway
central-gw et show vpn ike-sa gateway central-gw pour vérifier que des SA IKE de
phase 1 peuvent être créées à partir du bureau de la filiale.
6. Sur le site central, utilisez la commande CLI show vpn ike-sa gateway branch-1-gw pour
vérifier que des SA IKE de phase 1 peuvent être créées à partir du bureau de la filiale.
7. Sur le site du bureau de la filiale, utilisez les commandes CLI test vpn ipsec-sa tunnel
central-vpn et show vpn ipsec-sa tunnel central-vpn pour vérifier que des SA IKE de
phase 2 peuvent être créées à partir du bureau de la filiale.
8. Sur le site central, utilisez la commande CLI show vpn ipsec-sa tunnel branch-1-vpn
pour vérifier que des SA IKE de phase 2 peuvent être créées à partir du bureau de la
filiale.
10. Pour vérifier le paramètre de routage, exécutez la commande traceroute depuis n'importe
quel ordinateur du réseau de bureaux de la filiale où l'un des serveurs de la ferme sert de
destination.
11. Exécutez l'utilitaire ping depuis n'importe quel ordinateur du réseau de bureaux de la
filiale où l'un des serveurs de la ferme sert de destination. Consultez les compteurs de
cryptage et de décryptage affichés dans la sortie de la commande CLI show vpn flow.
Vérifiez que la valeur de ces compteurs augmente, contrairement à celle des compteurs
d'erreurs.
12. Examinez les détails des messages d'erreurs de la négociation IKE dans le syslog ou
utilisez la commande
debug ike pcap pour capturer les paquets IKE au format PCAP.
Vue d'ensemble
Le déploiement de réseaux VPN à grande échelle peut être un processus très long et très
compliqué. Pour ce faire, vous devez faire face à de nombreux défis en termes de planification,
d'exigences d'authentification, de configuration des tunnels, de planification des routages,
d'approvisionnement et de mise au rebut des composants et périphériques. Avec les pare-feux
Palo Alto Networks, ce processus a été sensiblement simplifié en tirant parti des méthodes de
déploiement et de gestion utilisées dans la fonctionnalité VPN de GlobalProtect qui était
auparavant utilisée uniquement pour l'accès à distance des ordinateurs clients.
L'illustration de la Figure 43 montre que chaque satellite se connecte au portail pour obtenir
un certificat d'authentification, puis qu'il télécharge une configuration VPN initiale. Une fois
la configuration initiale terminée, le périphérique satellite établit un VPN dans toutes les
passerelles configurées définies sur le portail à l'aide du même certificat sécurisé, créant ainsi
un réseau VPN en étoile. Les informations de réseau et de routage sont ensuite partagées entre
la passerelle et les périphériques satellites afin de créer plusieurs chemins d'accès pour
s'assurer que la connectivité entre les bureaux du siège social et des filiales est toujours
maintenue.
Réseau du Réseau du
siège social 1 siège social 2
Portail et passerelles
GlobalProtect
portal.paloaltonetworks.com Passerelle GlobalProtect Passerelle GlobalProtect
de l'utilisation de sous-réseaux en double, vérifiez que les satellites ne sont pas autorisés à
partager des itinéraires connectés avec les passerelles, au risque de provoquer des
problèmes de routage.
La section suivante décrit les composants et les étapes de base requises pour déployer un
réseau VPN à grande échelle à l'aide de GlobalProtect.
• « Certificats et répondeur OCSP » à la page 353
• « Configuration de la passerelle GlobalProtect » à la page 356
Pour gérer des certificats dans cet environnement, créez un profil OCSP (Online Certificate
Status Protocol) sur le portail qui permettra de gérer le statut de révocation des certificats
locaux envoyés aux périphériques satellites et passerelles. Sur chaque périphérique satellite et
passerelle, configurez l'option OCSP de sorte qu'elle pointe vers le portail.
Remarque : Vous pouvez également utiliser une autorité de certification (CA)
racine externe pour le déploiement d'un VPN avec GlobalProtect.
Pour plus d'informations sur les certificats, consultez la section « Importation, exportation et
génération de certificats de sécurité » à la page 93. Pour plus d'informations sur le répondeur
OCSP, consultez la section « Répondeur OCSP » à la page 97.
Le répondeur OCSP doit être configuré en premier étant donné qu'il va être utilisé lors de la
création de certificats pour les périphériques satellites et passerelles.
1. Allez dans Périphérique > Gestion des certificats > Répondeur OCSP.
3. Cochez la case HTTP OCSP. Vous pouvez aussi activer l'utilitaire ping à des fins de test.
6. Sélectionnez l'interface qui sera utilisée comme entrée pour les périphériques VPN et
cliquez sur l'onglet Avancé.
Une CA racine du portail va signer et envoyer des certificats aux périphériques satellites et
passerelles pour fournir une authentification mutuelle aux périphériques faisant partie du
réseau VPN à grande échelle. La passerelle va aussi disposer d'un profil de certificat avec la
CA racine du portail pour autoriser l'authentification dans les périphériques satellites.
3. Saisissez le Nom commun correspondant à l'IP ou au nom FQDN qui va apparaître sur le
certificat. Le nom commun est le nom FQDN ou l'adresse IP de l'interface à laquelle les
satellites vont se connecter.
5. Dans le champ Répondeur OCSP, saisissez le nom du répondeur OCSP que vous avez
créé précédemment.
1. Dans le portail GlobalProtect, allez dans Périphérique > Gestion des certificats >
Certificats.
2. Cliquez sur Générer, puis donnez un nom au certificat et saisissez un nom commun.
Important : Le nom commun correspond au nom FQDN ou à l'adresse IP de l'interface
utilisée pour les connexions satellites et sera unique dans le portail.
3. Dans la liste déroulante Signé par, sélectionnez la CA racine du portail. Définissez des
paramètres cryptographiques et d'autres attributs de votre choix, puis cliquez sur
Générer.
Chaque passerelle qui va jouer un rôle dans le réseau VPN doit disposer d'un certificat de
serveur signé par la CA racine du portail GlobalProtect et le certificat de la CA racine du
portail doit aussi être importé dans chaque passerelle. Ceci va permettre aux passerelles de
communiquer avec le portail et d'autoriser les périphériques satellites à se connecter à la
passerelle pour établir la connectivité VPN.
Dans les étapes ci-dessous, vous pouvez également exporter la CA racine du portail jusqu'à la
passerelle, puis générer un certificat de passerelle directement sur la passerelle à l'aide de la
CA racine importée pour signer ce certificat.
Dans le portail GlobalProtect, allez dans Périphérique > Gestion des certificats > Certificats.
1. Cliquez sur Générer, puis donnez un nom au certificat et saisissez un nom commun.
Important : Le nom commun correspond au nom FQDN ou à l'adresse IP de l'interface
utilisée pour que le satellite se connecte à la passerelle et sera unique pour chaque
passerelle.
3. Dans le Répondeur OCSP, vous devez obligatoirement saisir l'URL du portail au format
suivant : http://adresse IP ou nom FQDN/CA/ocsp, par exemple :
http://paloaltonetworks.com/CA/ocsp. Ce chemin est automatiquement généré dans
les certificats émis par le portail.
5. Sélectionnez le certificat que vous venez de créer, puis cliquez sur Exporter, sélectionnez
le format de fichier Clé privée et certificat cryptés (PKCS12). Saisissez et confirmez une
phrase secrète qui sera utilisée lors de l'importation du certificat.
7. Dans la passerelle GlobalProtect, allez dans Périphérique > Gestion des certificats >
Certificats.
8. Cliquez sur Importer, entrez un Nom de certificat, puis cliquez sur Parcourir et
sélectionnez le certificat de serveur de la passerelle que vous avez exporté précédemment.
1. Allez dans Périphérique > Gestion des certificats > Profil du certificat.
2. Cliquez sur Ajouter et donnez un nom au profil. Les champs Nom d'utilisateur et
Domaine sont facultatifs lorsque seuls les périphériques Palo Alto Networks se
connectent à la passerelle. Vous devrez configurer ces options si vous avez des clients
VPN tiers qui se connectent à la passerelle, comme les périphériques iOS et Android.
3. Dans la fenêtre Certificats CA, cliquez sur Ajouter et dans la liste déroulante Certificat
CA, sélectionnez le certificat CA racine que vous avez importé depuis le portail.
4. Dans le champ URL OCSP par défaut, saisissez l'URL du répondeur OCSP à l'aide de
l'adresse IP ou du nom FQDN du portail. Vous devez obligatoirement saisir l'URL du
portail au format suivant : http://adresse IP ou nom FQDN/CA/ocsp, par exemple :
http://paloaltonetworks.com/CA/ocsp.
Si vous disposez d'un autre périphérique pouvant également gérer les demandes OCSP,
vous pouvez ajouter un certificat pour ce profil dans la liste déroulante Certificat CA
pour la vérification OCSP.
2. Créez une interface de tunnel qui sert d'interface logique pour terminer les tunnels VPN.
Vous pouvez utiliser l'interface de tunnel prédéfinie ou en créer une nouvelle. L'interface
doit aussi être liée au routeur virtuel et placée dans une zone de sécurité.
Il est recommandé de créer une nouvelle zone, afin que vous puissiez contrôler les
politiques entre la filiale et la zone contenant vos ressources protégées. Vous pouvez
placer l'interface de tunnel dans la même zone que les ressources protégées, ce qui va
permettre aux périphériques satellites d'accéder aux ressources, mais vous n'aurez aucun
contrôle granulaire des politiques sur les réseaux satellites.
Consultez la section « Configuration des interfaces de tunnel » à la page 156.
3. Sur le pare-feu qui va être utilisé comme passerelle GlobalProtect, allez dans Réseau >
GlobalProtect > Passerelles, puis cliquez sur l'onglet Général.
9. Sélectionnez l'interface de tunnel que vous avez créée ou sélectionnez l'interface de tunnel
par défaut. Vous pouvez aussi définir Détection des attaques par rejeu ou Copier TOS
(facultatif).
12. Dans la liste déroulante Profil du moniteur de tunnel, configurez un nouveau profil et
vérifiez que l'action affiche basculement.
13. Dans le Profil crypto IPSec, configurez un nouveau profil ou sélectionnez la valeur par
défaut.
14. Cliquez sur le sous-onglet Paramètres réseau et renseignez les informations concernant le
DNS, le pool d'adresses IP et l'itinéraire d'accès que les périphériques satellites vont
utiliser. Le pool d'adresses IP se compose d'une plage d'adresses IP qui vont être assignées
à l'interface de tunnel du périphérique satellite qui se connecte à la passerelle lors de
l'établissement d'un VPN. Ce pool doit être suffisamment volumineux pour gérer tous les
satellites qui vont se connecter à la passerelle.
Pour les champs DNS principaux et secondaires, vous pouvez sélectionner Source de
l'héritage, ainsi qu'une interface existante qui va être utilisée pour fournir ces
informations aux périphériques satellites.
15. Saisissez les informations de votre choix concernant l'Itinéraire d'accès que vous
souhaiteriez limiter dans les périphériques satellites. Par exemple, vous pouvez fournir
des itinéraires d'accès pour implémenter la segmentation de tunnel, de sorte que le trafic
Internet issu du bureau de la filiale ne passe pas dans le VPN. Si aucun itinéraire d'accès
n'est fourni, tout le trafic va passer par le tunnel.
16. Cliquez sur l'onglet Filtre d'itinéraire et laissez cette option décochée pour accepter tous
les itinéraires envoyés par le satellite ou cliquez sur Accepter les itinéraires publiés et
indiquez une liste de sous-réseaux qui vont filtrer tous les autres itinéraires. Si vous
utilisez une traduction NAT, qui va utiliser l'IP de l'interface de tunnel, aucun filtrage
n'est nécessaire étant donné qu'aucun itinéraire n'a besoin d'être publié dans la passerelle.
Vous pouvez aussi ajouter le numéro de série d'un périphérique satellite comme décrit dans la
section « Configuration du portail GlobalProtect » à la page 359. Cependant, dans les deux
cas, vous devez disposer d'un profil d'authentification défini afin de valider votre
configuration. Si vous ajoutez manuellement le numéro de série d'un périphérique à la
configuration du portail, le profil d'authentification n'est pas utilisé, mais reste obligatoire.
Configuration d'un profil d'authentification :
1. Pour utiliser un compte local pour l'authentification, dans le portail, allez dans
Périphérique > Base de données des utilisateurs locaux> Utilisateurs et cliquez sur
Ajouter.
2. Saisissez un nom d'utilisateur dans le champ Nom, puis entrez un mot de passe dans les
champs Mot de passe/Confirmer le mot de passe. Vous pouvez aussi utiliser un hachage
de mot de passe en appuyant sur le bouton Hacher le mot de passe et en collant un
hachage de mot de passe dans le champ.
6. Dans la Liste d'autorisation, cliquez sur Ajouter, puis sélectionnez l'utilisateur local que
vous avez créé.
3. Sélectionnez l'interface qui va servir d'interface d'entrée pour les périphériques satellites,
puis sélectionnez l'adresse IP accessible par Internet dans la liste déroulante.
6. Dans ce cas, le portail n'a pas besoin d'un certificat client étant donné qu'il génère
automatiquement des certificats clients pour les périphériques satellites à l'aide de la CA
racine.
9. Cliquez sur l'onglet Configuration du satellite pour définir les options des périphériques
satellites qui vont se connecter au portail.
10. Cliquez sur Ajouter et donnez un nom au profil Satellite GlobalProtect. Ce profil va
définir les périphériques satellites, la méthode d'inscription et la liste des passerelles que
les satellites vont utiliser dans l'environnement VPN.
12. Dans l'onglet Périphériques, vous pouvez ajouter manuellement des numéros de série
aux périphériques satellites ou la liste sera mise à jour lors de la première connexion d'un
périphérique satellite au portail à l'aide d'un ID utilisateur et d'un mot de passe pour
l'authentification.
L'étape suivante fournit des informations sur les méthodes d'inscription.
13. Le portail peut être configuré de sorte à autoriser deux types de méthodes
d'authentification pour l'inscription initiale (vous pouvez configurer les deux options
suivantes) :
– Dans la page Réseau > GlobalProtect > Portails > Configuration du satellite, ajoutez
manuellement le numéro de série du périphérique satellite au portail. Cliquez sur
Ajouter > Périphériques, puis cliquez une nouvelle fois sur Ajouter et saisissez le
numéro de série du périphérique satellite. Une fois ce dernier configuré dans le bureau
de la filiale et après avoir établi une connexion initiale au portail, aucune
authentification n'est requise. Lorsque le périphérique satellite est connecté, le nom
d'hôte va automatiquement s'ajouter à la configuration du portail.
14. Dans l'onglet Passerelles, saisissez l'adresse IP ou le nom d'hôte de la ou des passerelle(s)
que la liste définie de périphériques satellites va utiliser pour la connectivité VPN. Vous
pouvez également définir la priorité de routage de la passerelle dans cette page. Si le
périphérique satellite dispose de tunnels menant vers plusieurs passerelles, il est possible
que des itinéraires soient en double. En définissant la priorité, la passerelle dont la
priorité est la plus élevée va être utilisée en premier. En cas d'échec de la passerelle, la
priorité la plus élevée suivante va être utilisée. La plage de priorité est comprise entre 1 et
25, étant donné que 25 correspond à la limite du nombre de passerelles qu'un satellite
peut utiliser.
15. Cliquez sur OK pour enregistrer vos modifications, puis sous CA racine de confiance,
cliquez sur Ajouter et sélectionnez la CA racine du portail.
18. Dans la liste déroulante Répondeur OCSP, sélectionnez le répondeur OCSP du portail
que vous avez créé précédemment, puis cliquez sur OK pour enregistrer vos
modifications.
1. Sur les périphériques du portail, vous devez déjà avoir saisi le numéro de série du
périphérique satellite en cours de configuration ou créé un nom d'utilisateur et de
connexion pouvant être utilisé pour la configuration initiale. Consultez la section
« Configuration du portail GlobalProtect » à la page 359.
4. Saisissez un Nom pour le profil du tunnel et sélectionnez l'Interface de tunnel par défaut
dans la liste déroulante ou créez une nouvelle interface de tunnel.
7. Cliquez sur l'onglet Avancé et configurez les options avancées de votre choix. Il est
recommandé d'activer Publier tous les itinéraires statiques et connectés sur la
passerelle, afin que tous les itinéraires soient partagés entre l'ensemble des périphériques
du réseau VPN.
Remarque : Si ce bureau de la filiale dispose de sous-réseaux comme les autres bureaux
de la filiale dans le VPN, il est déconseillé d'activer cette option à moins d'avoir recours à
une traduction NAT.
8. Cliquez sur Valider pour activer les modifications sur le périphérique satellite.
Vous pouvez maintenant tester la connectivité entre les périphériques et les passerelles
satellites. Pour afficher le statut du VPN sur le périphérique satellite, allez dans
Réseau >Tunnels IPSec. Un indicateur d'état doit s'afficher en vert dans la colonne Statut.
Le comportement de réplication multicast est identique à RIP et les paquets de données ne sont
pas répliqués. Aussi, la distribution multicast dans un environnement VPN à grande échelle est
prise en charge à l'emplacement de la source multicast derrière la passerelle et les receveurs se
trouvent derrière les périphériques VPN satellites. Les déploiements dans lesquels se trouve la
source multicast dans un emplacement satellite ne sont pas actuellement pris en charge.
l'exportation, ainsi que toutes les informations concernant le certificat (CA racine, serveur et
certificats des satellites). En cas de défaillance du portail, le fichier d'exportation peut être importé
afin de restaurer les informations dynamiques du portail.
Important : Vous devez exporter manuellement l'état du périphérique via Périphérique >
Paramétrage > Opérations en cliquant sur l'option Exporter l'état du périphérique ou vous
pouvez créer un script API XML programmé pour exporter ce fichier vers un serveur distant.
Cette tâche doit être régulièrement exécutée étant donné que les certificats des satellites peuvent
fréquemment faire l'objet de modifications.
Pour créer le fichier d'état d'un périphérique à partir de la CLI, exécutez save device state.
Le nom du fichier sera device_state_cfg.tgz et il sera stocké dans /opt/pancfg/mgmt/device-
state. La commande opérationnelle pour exporter le fichier d'état du périphérique est scp
export device-state (vous pouvez également utiliser « tftp device-state export »).
Pour plus d'informations sur l'utilisation de l'API XML, consultez le document « Guide
d'utilisation de l'API REST XML PAN-OS » à l'adresse suivante : https://live.paloaltonetworks.com/
community/documentation.
Présentation
GlobalProtect permet de sécuriser les systèmes client, des ordinateurs portables par exemple,
utilisés sur le terrain en permettant une connexion simple et sécurité où que vous soyez.
GlobalProtect protège les utilisateurs contre les menaces et ce, même s'ils ne se trouvent pas
sur le réseau de l'entreprise, en envoyant leur trafic via un pare-feu Palo Alto Networks à
proximité. Le niveau d'accès de l'utilisateur est déterminé par un profil d'informations sur
l'hôte (HIP) qui indique au pare-feu la configuration locale de l'utilisateur. Les informations
HIP peuvent être utilisées pour un contrôle d'accès granulaire basé sur les programmes de
sécurité exécutés sur l'hôte, les valeurs du registre et de nombreuses autres vérifications telles
que l'activation ou non du cryptage du disque sur l'hôte.
L'agent de GlobalProtect peut également être un périphérique satellite (pare-feu) Palo Alto
Networks. Toutefois, plutôt que de télécharger le logiciel de l'agent, seul le certificat
nécessaire à l'authentification et à la configuration du VPN est requis. Pour plus
d'informations sur les périphériques satellites, reportez-vous à « Déploiement d'un VPN à
grande échelle avec GlobalProtect » à la page 351.
Les éléments suivants sont utilisés pour le bon fonctionnement de GlobalProtect :
• Portail: le pare-feu Palo Alto Networks qui offre une gestion centralisée du système
GlobalProtect.
• Passerelles : les pare-feux Palo Alto Networks qui renforcent la sécurité du trafic
provenant des agents de GlobalProtect.
2. L'agent effectue une recherche de DNS afin de déterminer si le système client se trouve
actuellement sur le réseau interne d'entreprise ou sur un réseau externe.
3. Si la connexion concerne le réseau externe, l'agent tente d'établir des connexions SSL avec
toutes les passerelles externes, puis sélectionne la meilleure passerelle.
GlobalProtect permet d'utiliser des profils HIP dans des profils de sécurité. Un objet HIP
indique un ensemble de critères du système client qui est considéré comme une unité lors de
la définition des profils HIP. Par exemple, un objet HIP peut spécifier le cryptage du disque
entier ou la correction logicielle.
Les profils HIP peuvent intégrer des objets HIP sur la base d'une correspondance ou d'une
non-correspondance. Par exemple, un profil HIP peut inclure une correspondance pour des
objets HIP spécifiant que le système client inclut le cryptage du disque entier et certains
correctifs logiciels à installer.
Le portail stocke les configurations du client et gère les listes de passerelles internes et
externes. Il indique également l'autorité de certification (AC) utilisée par les passerelles et les
agents pour l'authentification mutuelle.
Chaque passerelle peut fonctionner en mode tunnel (passerelles externes) ou en mode non-
tunnel (passerelles internes). Les passerelles en mode non-tunnel reçoivent uniquement les
informations HIP des clients. Toutes les communications ont lieu entre les agents et les
passerelles ; il n'existe pas de communication entre passerelles.
Les politiques s'appliquent aux passerelles en fonction des informations relatives à
l'utilisateur ou des informations HIP, et les correspondances d'objets et de profil HIP sont
consignées dans la base de données HIP de la passerelle. Ces informations sont affichées dans
le Centre de commande de l'application (ACC), dans les journaux et dans les rapports
personnalisés.
Authentification GlobalProtect
La connectivité entre toutes les parties de l'infrastructure GlobalProtect est authentifiée à
l'aide de certificats SSL. Le portail peut agir en tant qu'autorité de certification (AC) du
système (à l'aide d'un subordonné auto-signé ou importé émettant un certificat AC sur le
portail), ou des clients peuvent générer des certificats à l'aide de leurs propres AC. Il est
recommandé (mais pas obligatoire) que le portail, les passerelles et les agents du logiciel
GlobalProtect utilisent des certificats signés par la même AC. Avant de transférer des
informations, l'agent vérifie le certificat du serveur du portail. Si le certificat présenté par le
portail n'est pas signé par une AC de confiance, l'agent renvoie une boîte de dialogue
d'avertissement et attend une réponse de l'utilisateur pour continuer ou annuler.
Dans l'ensemble de configuration envoyé au client, le portail inclut le certificat public de l'AC
ainsi que le certificat et la clé client nécessaires. Le certificat client est utilisé par les passerelles
GlobalProtect pour authentifier et identifier le client.
Si une AC interne est utilisée, le certificat est généré automatiquement et ne requiert pas
l'intervention de l'utilisateur. Le portail peut exporter le certificat et la clé du serveur
nécessaires pour les passerelles. Si une AC externe est utilisée, un support est proposé pour
importer le certificat AC, un certificat et une clé du serveur pour le portail et les passerelles,
ainsi qu'un certificat et une clé client pour les clients.
Pour plus d'informations sur l'authentification, reportez-vous à « Profils d'authentification » à
la page 67 et à « Séquence d'authentification » à la page 73.
Paramétrage de GlobalProtect
Le paramétrage de GlobalProtect sur le pare-feu implique les tâches suivantes :
1. Définir des objets HIP, comme décrit dans « Paramétrage d'objets HIP » à la page 368.
2. Créer des profils HIP, comme décrit dans « Paramétrage de profils HIP » à la page 371.
5. Définir des politiques de sécurité incluant des profils HIP, comme décrit dans « Définition
de politiques de sécurité » à la page 202.
7. Surveiller l'activité du client, comme décrit dans « Affichage des journaux » à la page 287.
Utilisez cette page pour définir des paramètres à utiliser dans des profils HIP pour
GlobalProtect. Chaque objet HIP définit un ensemble de critères du système client qui est
considéré comme une unité lors de la définition des profils HIP.
Onglet Antivirus
Antivirus Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :
• Protection en temps réel : déterminez si une protection en temps réel (si
disponible) est nécessaire.
• Est installé : choisissez une version dans la liste déroulante.
• Version de définition des virus : choisissez une option dans la liste
déroulante. Si vous choisissez Dans ou Pas avant, précisez le nombre de
jours ou de versions de correspondance.
• Version du produit : choisissez un opérateur dans la liste déroulante et
précisez une chaîne de correspondance.
• Heure de la dernière analyse : choisissez une option dans la liste
déroulante. Si vous choisissez Dans ou Pas avant, précisez le nombre de
jours ou de versions de correspondance.
• Constructeur et Produit : cliquez sur Ajouter pour préciser des
produits antivirus. Choisissez un fournisseur dans la liste déroulante,
puis cliquez sur Ajouter pour sélectionner un produit spécifique.
Cliquez sur OK pour sauvegarder les paramètres et revenir à l'onglet
Antivirus.
• Exclure le fournisseur : cochez cette case si vous souhaitez exclure (et
non inclure) les fournisseurs et produits indiqués.
Onglet Sauvegarde
du disque
Sauvegarde du disque Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :
• Est installé : choisissez une version dans la liste déroulante.
• Heure de la dernière sauvegarde : choisissez une option dans la liste
déroulante. Si vous choisissez Dans ou Pas avant, précisez le nombre de
jours ou de versions de correspondance.
• Constructeur et Produit : cliquez sur Ajouter pour préciser des
produits de sauvegarde du disque. Choisissez un fournisseur dans la
liste déroulante, puis cliquez sur Ajouter pour sélectionner un produit
spécifique. Cliquez sur OK pour sauvegarder les paramètres et revenir
à l'onglet Sauvegarde du disque.
• Exclure le fournisseur : cochez cette case si vous souhaitez exclure (et
non inclure) les fournisseurs et produits indiqués.
Onglet Cryptage du
disque
Cryptage du disque Cochez cette case pour activer l'onglet, puis précisez les paramètres
suivants :
Onglet Vérifications
personnalisées
Liste des processus Cliquez sur Ajouter pour préciser la liste des processus à vérifier sur le
système client afin de savoir s'ils sont en cours d'exécution. Par exemple,
pour déterminer si une application est en cours d'exécution, ajoutez le
nom du fichier exécutable à la liste des processus.
Clé de registre Cliquez sur Ajouter pour préciser qu'une clé de registre spécifique est
présente ou comporte une valeur.
Plist Les Plists correspondent à des fichiers de préférences sous Mac OS.
Définissez le chemin d'accès à un fichier plist spécifique. Vous pouvez
également inclure des clés et valeurs de préférences à vérifier dans le
fichier.
Après avoir défini des objets HIP (reportez-vous à « Paramétrage d'objets HIP » à la page 368),
utilisez cette page pour créer des profils HIP pour GlobalProtect. Lors de la définition de
profils HIP, vous précisez des critères de correspondance basés sur les objets HIP
précédemment définis.
Paramètres réseau
Interface Sélectionnez l'interface du pare-feu qui servira d'interface d'entrée pour
les clients/pare-feux distants.
Adresse IP Précisez l'adresse IP sur laquelle le service Web du portail GlobalProtect
sera exécuté.
Certificat du serveur Sélectionnez le certificat SSL du portail GlobalProtect.
Authentification
Profil d'authentification Choisissez un profil d'authentification pour l'accès au portail. Reportez-
vous à « Profils d'authentification » à la page 67.
Certificat du client Sélectionnez le certificat qui sera utilisé par le client pour se connecter aux
passerelles.
Profil du certificat Sélectionnez le profil du certificat utilisé pour authentifier les utilisateurs
de smartcard sur le portail.
Apparence
Page de connexion Choisissez une page de connexion personnalisée facultative pour l'accès
personnalisée utilisateur au portail.
Page d'aide Choisissez une page d'aide personnalisée facultative pour faciliter l'accès
personnalisée de l'utilisateur au portail.
Utilisez cette page pour configurer des passerelles pour GlobalProtect. La passerelle peut être
utilisée pour fournir des connexions VPN aux PC client ou aux périphériques satellites
GlobalProtect.
Onglet Configuration
du client
Sous-onglet Paramètres
de tunnels
WINS principal Saisissez les adresses IP des serveurs principal et secondaire qui
WINS secondaire fournissent le service WINS (Windows Internet Naming Service) aux
clients.
Vérifier le statut de Cliquez sur le lien pour consulter les paramètres du serveur actuellement
l'héritage attribués aux interfaces client.
Suffixe DNS Cliquez sur Ajouter pour saisir un suffixe que le client doit utiliser
localement lorsqu'un nom d'hôte non qualifié qu'il ne peut pas résoudre
est saisi.
Les suffixes sont utilisés dans l'ordre dans lequel ils apparaissent. Pour
changer l'ordre d'un suffixe, sélectionnez une entrée, puis cliquez sur le
bouton Déplacer en haut ou Déplacer en bas. Pour supprimer une
entrée, sélectionnez-la, puis cliquez sur Supprimer.
Hériter des suffixes DNS Cochez cette case pour hériter des suffixes DNS de la source de l'héritage.
Pool d'adresses IP Cliquez sur Ajouter pour préciser des paramètres de pool d'adresses IP.
Utilisez cette section pour créer une plage d'adresses IP à attribuer aux
utilisateurs distants. Une fois le tunnel établi, une interface est créée sur
l'ordinateur de l'utilisateur distant avec une adresse de cette plage.
Remarque : Le pool d'adresses IP doit être suffisamment important pour
prendre en charge toutes les connexions simultanées. L'attribution d'adresse IP
est dynamique et ne s'applique plus une fois l'utilisateur déconnecté. La
configuration de plusieurs plages à partir de différents sous-réseaux permet au
système de fournir aux clients une adresse IP non conflictuelle avec les autres
interfaces du client.
Onglet Configuration
satellite
Sous-onglet Paramètres
de tunnels
Configuration des Cochez la case Configuration des tunnels et sélectionnez une interface de
tunnels tunnel existante ou cliquez sur Nouvelle interface de tunnel. Pour plus
d'informations sur la création d'une interface de tunnel, reportez-vous à
« Configuration des interfaces de tunnel » à la page 156.
Détection des attaques par rejeu : protégez-vous contre les attaques par
rejeu.
Copier ToS : copiez l'en-tête ToS (Type of Service) de l'en-tête IP entrant
vers l'en-tête IP sortant des paquets encapsulés afin de préserver les
informations ToS d'origine.
Intervalle de rafraîchissement de la configuration (heures) : précisez la
fréquence selon laquelle les périphériques satellites doivent rechercher
des mises à jour de la configuration sur le portail (par défaut 24 heures,
plage de 1 à 48 heures).
Surveillance des tunnels Cochez la case Surveillance des tunnels pour activer la surveillance des
tunnels VPN entre le périphérique satellite et les passerelles. Ceci est
recommandé pour permettre le basculement si l'une des passerelles ne
parvient pas à communiquer avec le satellite.
IP de destination : précisez une adresse IP de l'autre côté du tunnel qui
sera utilisée par la surveillance des tunnels pour déterminer si le tunnel
fonctionne correctement.
Profil de l'utilitaire de surveillance de tunnels : sélectionnez le profil de
surveillance par défaut ou créez-en un nouveau. Un profil de surveillance
permet de basculer automatiquement vers un autre tunnel. Reportez-
vous à « Définition des profils de surveillance » à la page 190.
Profils crypto Sélectionnez un Profil crypto IPSec ou créez un nouveau profil. Celui-ci
détermine les protocoles et algorithmes d'identification,
d'authentification et de cryptage des tunnels VPN. Reportez-vous à
« Définition des profils crypto IPSec » à la page 346.
Suffixe DNS Cliquez sur Ajouter pour saisir un suffixe que le satellite doit utiliser
localement lorsqu'un nom d'hôte non qualifié qu'il ne peut pas résoudre
est saisi.
Les suffixes sont utilisés dans l'ordre dans lequel ils apparaissent. Pour
changer l'ordre d'un suffixe, sélectionnez une entrée, puis cliquez sur le
bouton Déplacer en haut ou Déplacer en bas. Pour supprimer une
entrée, sélectionnez-la, puis cliquez sur Supprimer.
Hériter du suffixe DNS Cochez cette case pour envoyer le suffixe DNS aux périphériques
satellites à utiliser localement lorsqu'un nom d'hôte non qualifié qu'ils ne
peuvent pas résoudre est saisi.
Pool d'adresses IP Cliquez sur Ajouter pour préciser des paramètres de pool d'adresses IP.
Utilisez cette section pour créer une plage d'adresses IP à attribuer aux
périphériques satellites. Une fois le tunnel établi, une interface est créée
sur le périphérique satellite avec une adresse de cette plage.
Remarque : Le pool d'adresses IP doit être suffisamment important pour
prendre en charge toutes les connexions simultanées. L'attribution d'adresse IP
est dynamique et ne s'applique plus une fois le satellite déconnecté. La
configuration de plusieurs plages à partir de différents sous-réseaux permet au
système de fournir aux satellites une adresse IP non conflictuelle avec les autres
interfaces du périphérique.
2. Pour activer une version téléchargée, cliquez sur le lien Activer de la version. Si une
version existante du logiciel client a déjà été téléchargée et activée, un message contextuel
indiquant que la nouvelle version sera téléchargée à la prochaine connexion du client
s'affiche.
3. Pour activer le client précédemment installé à l'aide du bouton Charger, cliquez sur le
bouton Activer depuis le fichier. Une fenêtre contextuelle s'affiche. Sélectionnez le fichier
dans la liste déroulante, puis cliquez sur OK.
4. Pour supprimer une version téléchargée du logiciel client du pare-feu, cliquez sur l'icône
Supprimer dans la dernière colonne à droite.
Pour installer l'agent, ouvrez le fichier du programme d'installation et suivez les instructions à
l'écran.
Pour configurer l'agent :
1. Choisissez Démarrer > Tous les programmes > Palo Alto Networks > GlobalProtect >
GlobalProtect.
• Onglet Détails : fournit des informations sur la connexion actuelle, notamment les
adresses IP et le protocole du portail, et propose des statistiques d'octets et de paquets sur
la connexion réseau.
• Onglet Etat de l'hôte : fournit les informations stockées dans HIP. Cliquez sur une
catégorie à gauche de la fenêtre pour afficher les informations configurées pour cette
catégorie à droite de la fenêtre.
– Sockets : fournit des informations sur les sockets des connexions actives.
• Pour chaque interface, vous pouvez définir des profils de QoS qui déterminent la
méthode de traitement des classes de trafic QoS. Vous pouvez définir des limites globales
sur la bande passante, quelle que soit la classe, mais aussi définir des limites pour des
classes individuelles. Vous pouvez également attribuer des priorités aux différentes
classes. Ces priorités déterminent la méthode de traitement du trafic en cas de contention.
Consultez la section « Définition des profils de QoS » à la page 390.
• La page Politiques > QoS permet de configurer des politiques pour activer des restrictions
de QoS. Consultez la section « Définition des politiques de QoS » à la page 391.
• Le trafic qui ne correspond pas à la politique de QoS se verra attribué la classe 4 par
défaut. Par conséquent, veillez à attribuer une bande passante et une priorité garanties
maximales.
• Chaque modèle de pare-feu prend en charge un nombre de ports maximums pouvant être
configurés avec la QoS. Consultez la feuille de spécifications de votre modèle de pare-feu
à l'adresse suivante : http://www.paloaltonetworks.com.
La page QoS permet de configurer les limites de bande passante des interfaces de pare-feu.
Pour chaque interface, vous pouvez définir des profils de QoS qui déterminent la méthode de
traitement des classes de trafic de QoS. Vous pouvez définir des limites globales sur la bande
passante, quelle que soit la classe, mais aussi définir des limites pour des classes individuelles.
Vous pouvez également attribuer des priorités aux différentes classes. Ces priorités
déterminent la méthode de traitement du trafic en cas de contention.
Pour afficher uniquement les règles d'un système virtuel spécifique, sélectionnez le système
dans la liste déroulante Système virtuel et cliquez sur Aller. Pour appliquer un filtre à la liste,
sélectionnez Règles de filtrage dans la liste déroulante. Pour afficher uniquement les règles de
zones spécifiques, sélectionnez une zone dans les listes déroulantes Zone source et/ou Zone
de destination et cliquez sur Filtrer par zone.
Pour ajouter une nouvelle règle de QoS, procédez de l'une des manières suivantes :
• Cliquez sur Ajouter en bas de la page. Une nouvelle règle avec des paramètres par défaut
est ajoutée en bas de la liste et se voit attribuée le numéro de règle suivant le plus élevé.
• Cliquez avec le bouton droit de la souris sur le numéro d'une règle que vous voulez
copier et sélectionnez la règle Cloner ou sélectionnez une règle en cliquant sur l'espace
vide de la règle et choisissez Cloner en bas de la page (une règle sélectionnée affiche un
arrière-plan de couleur jaune). La règle copiée est insérée sous la règle sélectionnée et les
règles suivantes sont renumérotées.
Onglet Destination
Zone de destination Sélectionnez une ou plusieurs zones sources (la valeur par défaut est «
Indifférent »). Les zones doivent être du même type (couche 2, couche 3
ou câble virtuel). Pour définir de nouvelles zones, consultez la section
« Définition de zones de sécurité » à la page 161.
Onglet Application
Application Sélectionnez des applications spécifiques pour la règle de QoS. Pour
définir de nouvelles applications, consultez la section « Définition des
applications » à la page 251. Pour définir des groupes d'applications,
consultez la section « Définition des groupes d'applications » à la
page 257.
Si une application dispose de plusieurs fonctions, vous pouvez
sélectionner l'application globale ou des fonctions individuelles. Si vous
sélectionnez l'application globale, toutes les fonctions sont incluses et la
définition de l'application est automatiquement mise à jour au fur et à
mesure de l'ajout de fonctions à venir.
Si vous utilisez des groupes d'applications, des filtres ou un conteneur
dans la règle de QoS, vous pouvez afficher les détails de ces objets en
passant la souris sur l'objet qui figure dans la colonne Application,
cliquez sur la flèche vers le bas et sélectionnez Valeur. Ceci vous permet
de faciliter la consultation des membres d'une application directement
depuis la politique, sans aller dans l'onglet Objet.
Onglet Autres
paramètres
Classe Sélectionnez la classe de QoS à assigner à la règle et cliquez sur OK. Les
caractéristiques d'une classe sont définies dans le profil de QoS. Pour plus
d'informations sur la configuration de paramètres pour les classes de
QoS, consultez la section « Définition des profils de QoS » à la page 390.
Calendrier Sélectionnez l'icône représentant un calendrier afin de définir un
calendrier pour la politique de QoS à appliquer.
Le tableau de la page Politiques de QoS indique le moment où la QoS est activée et inclut un
lien permettant d'afficher les statistiques de QoS. Consultez l'exemple disponible dans la
figure suivante.
• Vue de l'application - Affiche toutes les applications actives du nœud et/ou de la classe
de QoS sélectionné(e)(s).
Présentation
Le Pare-feu série VM de Palo Alto Networks est une instance virtuelle de PAN-OS. Il est destiné à être
utilisé dans un environnement de centre de données virtualisé et convient parfaitement aux
déploiements de clouds publics et privés. Grâce à la technologie de la machine virtuelle, il est possible
d'installer cette solution sur n'importe quel périphérique x86 capable d'exécuter VMware ESXi, sans
qu'il soit nécessaire de déployer du matériel Palo Alto Networks.
Le Pare-feu série VM présente de nombreux points communs avec les pare-feu matériels Palo Alto
Networks, notamment au niveau des caractéristiques et des interfaces de gestion. La principale
différence réside dans les méthodes de déploiement utilisées dans un environnement virtuel, en fonction
des besoins identifiés. Une fois le pare-feu virtuel installé, il s'utilise et se gère comme un pare-feu
matériel.
Le Pare-feu série VM est distribué au format Open Virtualization Format (OVF), devenu la norme en
matière de configuration en package et de déploiement de machines virtuelles.
Remarque : Cette section décrit les étapes d'installation de base requises pour le déploiement d'un
Pare-feu série VM. Pour en savoir plus et consulter des études de cas, reportez-vous à la note technique
du Pare-feu série VM sur le site https://live.paloaltonetworks.com/community/documentation.
Configuration requise
Le Pare-feu série VM requiert la configuration système suivante :
• VMware ESX(i) avec vSphere 4.1 et 5.0.
• Au minimum deux vCPU par Pare-feu série VM. Un vCPU sera utilisé pour le plan de
gestion, l'autre pour le plan de données. Il est possible d'ajouter jusqu'à huit vCPU
supplémentaires pour le plan de données selon les incréments suivants : 2, 4 ou 8 vCPU.
• Au minimum deux interfaces réseau (vmNIC). Une vmNIC sera dédiée à l'interface de
gestion, l'autre au port de données. Il est possible d'ajouter jusqu'à huit vmNIC
supplémentaires pour le trafic de données.
Il est nécessaire que le mode « promiscuous » soit activé sur le groupe de ports du
commutateur virtuel utilisé par le Pare-feu série VM, ou sur les ports de données
individuels qui seront utilisés.
Limitations
Les fonctionnalités du Pare-feu série VM sont similaires à celles des pare-feu matériels Palo
Alto Networks, mais avec les limitations suivantes :
• Seule la configuration Haute disponibilité (HD) allégée est prise en charge (active/
passive sans basculement à inspection d'état).
• Au total, 10 ports peuvent être configurés. Un port sera utilisé pour la gestion et jusqu'à
9 ports peuvent être utilisés pour les données. Il s'agit d'une limitation propre à VMware.
• Une seule instance du Pare-feu série VM peut être déployée à la fois sur un hôte ESXi.
Une fois le Pare-feu série VM installé, il est également possible d'acheter des licences
supplémentaires, comme s'il s'agissait d'un pare-feu matériel, dont les suivantes : Prévention
des menaces, Filtrage des URL, GlobalProtect et WildFire.
Le modèle OVF est téléchargé sous forme d'archive compressée contenant trois fichiers :
– Extension OVF — Fichier descripteur OVF qui contient toutes les métadonnées au
sujet du package et de son contenu.
– Extension MF — Fichier manifeste OVF qui contient les résumés SHA-1 des fichiers
individuels du package.
Remarque : Les fichiers ci-dessus sont les fichiers d'installation de base. Une fois
cette installation terminée, vous devrez télécharger et installer la version la plus
récente du logiciel du Pare-feu série VM depuis le site de support. Vous profiterez
ainsi des derniers correctifs appliqués depuis la création du fichier OVF de base.
b. Cliquez sur l'onglet Configuration puis, sous Hardware, cliquez sur Networking.
Pour chaque commutateur virtuel standard associé au Pare-feu série VM, cliquez sur
Properties.
c. Sélectionnez le commutateur virtuel et cliquez sur Edit. Dans les propriétés vSwitch,
cliquez sur l'onglet Security et pourPromiscuous Mode, choisissez Accept et cliquez
sur OK. Cette modification sera appliquée à l'ensemble des groupes de ports sur le
commutateur virtuel.
a. Accédez à Home > Inventory > Networking. Sélectionnez le Distributed Port Group
à modifier, puis l'onglet Summary.
b. Cliquez sur Edit Settings et sélectionnez Policies > Security. Pour le Promiscuous
Mode, choisissez Accept et cliquez sur OK.
h. Sélectionnez les réseaux à utiliser pour les deux premières vmNIC. Une vmNIC sera
dédiée à l'interface de gestion, l'autre au premier port de données. Vérifiez que les
Source Networks sont associés aux bons Destination Networks.
i. Passez en revue les détails, cochez la case Power on after deployment, puis cliquez sur
Next.
Vous pouvez suivre la progression du déploiement depuis la liste Recent Tasks. Une fois
le déploiement terminé, cliquez sur l'onglet Summary pour afficher le statut actuel.
4. Pour procéder à la configuration initiale du Pare-feu série VM, suivez ces étapes :
a. L'adresse IP de gestion par défaut est 192.168.1.1. Pour la modifier, lancez la console
vSphere, cliquez sur l'onglet Summary, puis sous Commands, cliquez sur Open
Console. Vous pouvez également faire un clic droit sur la machine virtuelle et
sélectionner Open Console.
5. Maintenant que le Pare-feu série VM est connecté au réseau et que le logiciel PAN-OS de
base est installé, il est nécessaire de passer à la dernière version de PAN-OS (une licence
de support est requise).
a. Depuis l'interface Web, accédez à Device > Licenses, et vérifiez que vous disposez de la
licence correcte pour le Pare-feu série VM et qu'elle est activée.
b. Pour mettre à niveau le logiciel PAN-OS du Pare-feu série VM, accédez à Device >
Software.
c. Cliquez sur Refresh pour afficher la dernière version du logiciel et consultez les Release
Notes pour obtenir la description des modifications de la version et le chemin d'accès pour
l'installation du logiciel.
d. Cliquez sur Télécharger pour obtenir le logiciel, puis sur Install pour l'installer.
Dépannage
La plupart des étapes de dépannage pour le Pare-feu série VM sont similaires à celles des versions
matérielles de PAN-OS. En cas de problème, consultez les compteurs de l'interface, les fichiers
journaux du système, et si nécessaire, utilisez le débogage pour créer des captures. Pour en savoir
plus sur le dépannage de PAN-OS, reportez-vous à la note technique de dépannage à base de
paquets sur le site https://live.paloaltonetworks.com/community/documentation.
Comme dans un environnement physique, il est parfois utile de disposer d'un client de dépannage
distinct pour capturer le trafic de l'environnement virtualisé. Il peut être intéressant de partir d'une
nouvelle instance d'OS avec installation d'outils de dépannage courants, tels que : tcpdump,
nmap, hping, traceroute, iperf, tcpedit, netcat, etc. Par la suite, à chaque fois que cela est nécessaire,
le client de dépannage peut être rapidement déployé sur le ou les commutateurs virtuels
concernés et utilisé pour isoler les problèmes de connectivité réseau.
Présentation
Panorama constitue le système de gestion centralisée de la gamme de pare-feux Palo Alto
Networks de dernière génération, et est disponible en tant que plate-forme matérielle dédiée ou en
tant qu'appareil virtuel VMware répondant à vos besoins de regroupement de serveurs.
Panorama permet de visualiser et de gérer de manière centralisée tous les périphériques de votre
réseau. Panorama présentant le même aspect basé sur le Web que l'interface de chaque
périphérique, vous pouvez passer sans problèmes à la gestion centralisée des périphériques et
réduire les efforts administratifs de gestion de plusieurs périphériques.
Pour plus d'informations sur l'installation de Panorama sur VMware ESX(i) 3.5 ou version
ultérieure, reportez-vous à « Paramétrage de Panorama en tant qu'appareil virtuel » à la page 406
Pour plus d'informations sur le paramétrage du matériel basé sur l'appareil de gestion M-100,
reportez-vous à « Paramétrage de Panorama sur un appareil série M » à la page 410.
– Processeur 2 GHz
– 34 Go d'espace disque
• Utilisez le numéro de série attribué pour enregistrer Panorama sur le site de support à
l'adresse https://support.paloaltonetworks.com et téléchargez le dernier fichier image de base
Panorama sur le serveur sur lequel vous souhaitez installer Panorama.
Installation de Panorama
Procédez comme suit pour installer Panorama sur votre serveur ESX(i) :
1. Décompressez le fichier zip de Panorama pour rechercher le fichier modèle
panorama-esx.ovf pour l'installation.
2. Ouvrez le client VMware vSphere et connectez-vous à votre serveur VMware via l'écran
de connexion.
4. Recherchez le fichier panorama-esx.ovf dans l'image de base de Panorama que vous venez
de décompresser, sélectionnez-le, puis cliquez sur Suivant.
9. Vérifiez les options sélectionnées, puis cliquez sur Terminer pour démarrer le processus
d'installation.
10. Une fois l'installation terminée, choisissez l'image de Panorama que vous venez
d'installer, puis cliquez sur le bouton Démarrer.
6. Testez la connectivité du réseau vers votre passerelle par défaut ou un autre serveur
(<IP cible>). ping host <IP cible>
Assurez-vous que vous pouvez exécuter une commande ping sur la passerelle et Internet.
Etapes suivantes
• Pour vous connecter à Panorama, et pour modifier le mot de passe par défaut, reportez-
vous à « Connexion à Panorama » à la page 411.
• Pour paramétrer une capacité supplémentaire de stockage des journaux pour votre
appareil virtuel Panorama, reportez-vous à « Extension de la capacité de stockage des
journaux » à la page 408.
– Pour vérifier que chaque périphérique géré est configuré avec l'adresse IP du serveur
Panorama, reportez-vous à « Paramétrage du système, configuration et gestion des
licences » à la page 32.
ou,
• Configurez un magasin de données NFS externe. Pour obtenir des instructions, reportez-
vous à « Paramétrage des partitions de stockage » à la page 409.
4. Choisissez Disque dur dans la liste des types de matériels, puis cliquez sur Suivant.
6. Choisissez SCSI comme type de disque virtuel, puis cliquez sur Suivant.
Au premier démarrage après l'ajout d'un nouveau disque, Panorama l'initialise pour
pouvoir l'utiliser. Ce processus peut prendre entre plusieurs minutes et quelques heures
en fonction de la taille du nouveau disque.
Lorsque le système démarre avec le nouveau disque, les journaux existants sur le disque par
défaut sont déplacés vers le nouveau disque virtuel, et toutes les entrées de journal ultérieures
sont écrites sur le nouveau disque. Si le disque virtuel est supprimé, Panorama rétablit
automatiquement la journalisation sur le disque de 10 Go interne par défaut.
Si vous avez déjà ajouté un disque virtuel et que vous souhaitez le remplacer par un disque
virtuel plus important ou un autre disque virtuel, vous devez tout d'abord supprimer le
disque virtuel installé. Toutefois, lorsque le premier disque virtuel est supprimé, vous ne
pouvez plus accéder aux journaux présents sur ce disque.
3. Connectez-vous à Panorama.
4. Cliquez sur Panorama > Configuration. Cliquez sur l'icône en forme de petit engrenage
(Modifier) de la table Paramètres de l'interface de gestion.
5. Saisissez la nouvelle adresse IP ainsi que les informations d'accès au réseau associées à
l'aide de l'interface de gestion (MGT) de votre réseau de gestion d'entreprise. Cliquez sur
OK.
Etapes suivantes :
• Pour vous connecter et vérifier l'accès à la console de gestion de Panorama. Reportez-
vous à « Connexion à Panorama » à la page 411.
Connexion à Panorama
Pour vous connecter à l'interface Web de Panorama :
1. Démarrez un navigateur Web et saisissez https://<adresse IP de Panorama>.
Le navigateur ouvre automatiquement la page de connexion Palo Alto Networks.
Remarque : La haute disponibilité, HD, est prise en charge uniquement pour les
périphériques exécutés sous la version 4.0 ou ultérieure. Elle n'est pas
rétrocompatible avec la version 3.1 ou antérieure.
La haute disponibilité (HD) permet la redondance en cas d'échec d'un périphérique. Pour
garantir le bon fonctionnement de HD, vous pouvez déployer une paire d'appareils Panorama
basés sur des matériels ou une paire d'appareils virtuels Panorama dans une configuration
d'homologues HD qui permet d'obtenir des connexions synchronisées avec les pare-feux
gérés. Parmi les homologues de la configuration HD, un périphérique doit être désigné
comme étant actif et l'autre passif. Les homologues maintiennent une pulsation, ou une
requête ping ICMP régulière, pour vérifier le statut opérationnel. Si le périphérique Panorama
actif n'est plus disponible, le serveur passif est temporairement activé. Lorsque l'option de
préemption est activée (par défaut) et si le périphérique actif est de nouveau disponible, le
périphérique passif perd le contrôle et revient à l'état passif.
Lors de la configuration de HD pour des appareils virtuels Panorama, vous devez également
préciser un niveau de priorité, principal ou secondaire, pour chaque homologue de la paire.
Cette configuration principale ou secondaire détermine l'homologue destinataire principal
des journaux envoyés par les pare-feux gérés. Vous pouvez configurer Panorama pour qu'il
utilise le même emplacement de stockage externe des journaux pour les périphériques
principal et secondaire désignés (option Network File System ou NFS) ou configurer une
journalisation en interne. Si vous utilisez l'option NFS, seul le destinataire principal reçoit les
journaux envoyés par les pare-feux gérés. Toutefois, si la journalisation locale est activée, les
journaux sont envoyés par défaut aux destinataires principal et secondaire.
Pour activer HD sur Panorama, configurez les paramètres suivants.
Pour la procédure ci-dessous, supposons que le périphérique principal actif est exécuté sur le
serveur S1 et que le périphérique secondaire passif est exécuté sur le serveur S2. Un échec s'est
produit et le serveur S2 est devenu le périphérique secondaire actif.
Pour désigner le serveur S2 en tant que destinataire principal des journaux, procédez comme suit :
1. Mettez S1 hors tension.
4. Redémarrez S2.
Une fois démarré, S2 peut écrire dans la partition des journaux basée sur NFS.
Ce chapitre décrit comment utiliser le système de gestion centralisée Panorama pour gérer
plusieurs pare-feux :
• « Accès à l'interface Web de Panorama » dans la section suivante
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 417
Accès à l'interface Web de Panorama
Certains onglets de configuration de Panorama n'apparaissent pas tant que les composants
correspondants ne sont pas configurés. Par exemple, les onglets Politiques et Objets
n'apparaissent qu'après l'ajout de groupes de périphériques Panorama > Groupes de
périphériques, et les onglets Périphérique et Réseau n'apparaissent qu'après l'ajout de
modèles via Panorama > Modèles.
Les onglets Panorama sont décrits dans le tableau ci-dessous.
418 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Utilisation de l'interface de Panorama
Onglet Panorama
L'onglet Panorama est similaire à l'onglet Périphériques du pare-feu, sauf que les paramètres
s'appliquent au périphérique Panorama et non aux pare-feux gérés. Le tableau suivant décrit
les pages de cet onglet. Pour accéder à une page, cliquez sur le lien du nom de page dans le
menu latéral.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 419
Utilisation de l'interface de Panorama
420 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Utilisation de l'interface de Panorama
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 421
Ajout de périphériques
Ajout de périphériques
Panorama > Périphériques gérés
La page Périphériques gérés vous permet de créer une liste de périphériques pour la gestion
centralisée.
Si les périphériques font partie d'une paire HD, vous devez ajouter les deux périphériques ou
systèmes virtuels des homologues (en mode de système multivirtuel) au même groupe de
périphériques, et Panorama doit ensuite appliquer la configuration aux deux périphériques
homologues HD simultanément. Si vous ciblez une règle sur des pare-feux spécifiques en
mode de configuration HD, veillez à inclure les deux pare-feux dans la sélection cible.
Remarque : Les périphériques gérés communiquent avec Panorama via SSL sur le
port TCP 3978.
5. Cliquez sur OK. La fenêtre se ferme et la page Périphériques gérés est actualisée pour
afficher les périphériques ajoutés.
422 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Ajout de périphériques
Cette option vous permet d'identifier facilement les périphériques en mode HD. Lors de
l'application de politiques partagées, vous pouvez l'appliquer à la paire regroupée plutôt
qu'à chaque périphérique. De plus, lors de l'ajout d'un nouveau périphérique à la page
Périphériques gérés, et s'ils se trouvent en mode HD, les deux périphériques s'affichent
ensemble afin que vous puissiez les ajouter tous les deux.
– Périphériques gérés
– Modèles
– Groupes de périphériques
Les groupes de périphériques permettent de gérer des politiques partagées et des objets. Vous
pouvez définir des groupes de périphériques constitués de pare-feux et/ou de systèmes
virtuels que vous souhaitez gérer en tant que groupe tels que les pare-feux qui gèrent un
groupe de succursales ou de services dans une entreprise. Chaque groupe est considéré
comme une unité lors de l'application de politiques dans Panorama.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 423
Ajout de périphériques
424 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Rôles, profils et comptes Administrateur de Panorama
• RADIUS : les serveurs Remote Authentication Dial In User Service (RADIUS) existants
sont utilisés pour authentifier les utilisateurs.
• LDAP : les serveurs Lightweight Directory Access Protocol (LDAP) existants sont utilisés
pour authentifier les utilisateurs.
• Kerberos : les serveurs Kerberos existants sont utilisés pour authentifier les utilisateurs.
• Certificat du client : les certificats du client existants sont utilisés pour authentifier les
utilisateurs.
Lorsque vous créez un compte administratif, vous précisez le certificat du client (pas de profil
d'authentification) ou un profil d'authentification (RADIUS, LDAP, Kerberos ou base de
données locale). Ce paramètre détermine comment le mot de passe de l'administrateur est
vérifié. Si vous ne précisez pas de profil, le compte utilisera l'authentification locale.
Les rôles administrateur déterminent les fonctions que l'administrateur est autorisé à exécuter
après sa connexion. Vous pouvez attribuer des rôles à un compte d'administrateur
directement ou définir des profils du rôle qui précisent des privilèges détaillés, puis les
attribuer aux comptes d'administrateur.
Reportez-vous aux sections suivantes pour plus d'informations :
• « Paramétrage de profils d'authentification » à la page 67.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 425
Rôles, profils et comptes Administrateur de Panorama
Utilisez la page Rôles admin pour définir des profils de rôle qui déterminent l'accès et les
responsabilités disponibles pour les utilisateurs administrateurs. Pour obtenir des instructions
sur l'ajout de comptes d'administrateur, reportez-vous à « Création de comptes Panorama
administratifs » à la page 427.
Remarque : Le rôle administrateur peut être mappé via des attributs VSA
(Vendor-Specific Attributes) RADIUS à l'aide de l'attribut suivant : « PaloAlto-
Panorama-Admin-Role = <AdminRoleName>, ».
426 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Rôles, profils et comptes Administrateur de Panorama
• Authentification des clés publiques (SSH) : l'utilisateur peut générer une paire de clés
publique/privée sur la machine qui doit accéder au pare-feu, puis charger la clé publique
sur le pare-feu pour permettre un accès sécurisé sans que l'utilisateur ne saisisse un nom
d'utilisateur et un mot de passe.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 427
Rôles, profils et comptes Administrateur de Panorama
428 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Précision des domaines d'accès Panorama des administrateurs
Utilisez la page Domaine pour préciser les domaines des administrateurs basés sur des rôles
qui ont accès aux groupes de périphériques et aux modèles. L'ajout d'un groupe de
périphériques à un domaine vous permet de gérer des politiques et des objets pour ce groupe
de périphériques. L'ajout d'un pare-feu à un domaine vous permet de basculer vers le contenu
de périphérique de ce pare-feu.
Le domaine d'accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n'est pris
en charge que si un serveur RADIUS est utilisé pour l'authentification de l'administrateur. Si
RADIUS n'est pas utilisé, les paramètres du domaine d'accès de cette page sont ignorés.
Remarque : Le domaine peut être mappé via des attributs VSA RADIUS à l'aide
de l'attribut suivant : « PaloAlto-Panorama-Admin-Access-Domain =
<AccessDomainName>, ».
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 429
Groupes de périphériques
Groupes de périphériques
Les groupes de périphériques Panorama vous permettent de regrouper des pare-feux, puis de
définir des politiques et des objets pouvant être partagés entre ces groupes de périphériques.
Les sections suivantes décrivent comment définir des politiques et des objets pour des
groupes de périphériques :
• « Utilisation de politiques » dans la section suivante
Utilisation de politiques
Politiques
Panorama vous permet de définir des politiques qui sont partagées entre les pare-feux gérés.
Vous pouvez appliquer des règles avant et après qui s'appliqueront à un groupe de
périphériques et vous pouvez ajouter d'autres règles avant et après globales qui s'appliquent à
tous les groupes de périphériques. Vous créez ainsi une approche en couche d'application de
politiques aux périphériques gérés. La première couche correspond aux règles du niveau
périphérique qui sont locales au périphérique, appliquer ensuite des règles avant et après aux
groupes de périphériques, puis ajouter une autre couche de règles avant et après globales qui
s'appliquent à tous les groupes de périphériques de l'instance de Panorama comme illustré
dans la Figure 46.
Des informations générales sur l'utilisation des politiques sont disponibles dans « Politiques »
à la page 197. Cette section décrit les modifications et les meilleures pratiques qui s'appliquent
aux politiques dans Panorama.
Les meilleures pratiques suivantes s'appliquent aux politiques dans Panorama :
• Règles avant : les règles avant sont évaluées avant les règles spécifiques au périphérique
et constituent généralement la majorité de la base de règle partagée d'un déploiement.
N'ajoutez pas de règle avant si des exceptions au niveau périphérique sont nécessaires.
Si vous ne souhaitez pas que les administrateurs puissent autoriser des applications à des
sites spécifiques, vous pouvez inclure une règle de refus pour toutes les zones,
utilisateurs et applications comme dernière règle de l'ensemble de règles avant.
430 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Groupes de périphériques
• Règles spécifiques au pare-feu : définissez des règles pour un pare-feu afin de créer des
politiques spécifiques à un site.
• Règles après : utilisez ces règles pour préciser ce qu'il se passe pour le trafic non couvert
par les règles avant et les règles spécifiques au pare-feu. Par exemple, si une règle avant
précise certaines applications autorisées et que la règle après les refuse toutes, les
applications non couvertes par la règle avant sont alors arrêtées. Vous pouvez ensuite
ajouter des règles pour autoriser d'autres applications en fonction de la requête de
l'utilisateur. Vous pouvez également créer des règles d'autorisation au niveau
périphérique telles que des exceptions pour des applications spécifiques sont autorisées à
un emplacement unique.
• Règles avant globales : les règles avant globales sont évaluées avant des règles
spécifiques au pare-feu ou du groupe de périphériques, et sont appliquées à tous les
périphériques de groupes de périphériques gérés.
• Règles après globales : utilisez ces règles pour préciser ce qu'il se passe pour le trafic non
couvert par les règles avant du groupe de périphériques et les règles spécifiques au pare-
feu. Ces règles sont évaluées en dernier et uniquement après les règles avant du groupe
de périphériques.
Les règles partagées globales peuvent être créées et modifiées par l'administrateur ou le
super utilisateur de Panorama uniquement. Ces règles peuvent donc être utilisées pour
appliquer des politiques avant et après des règles appliquées par des administrateurs de
groupe de périphériques.
Vous pouvez également préciser que des objets partagés sont prioritaires sur les objets du
groupe de périphériques en cochant la case Priorité des objets partagés dans Panorama >
Configuration > Gestion > Paramètres de Panorama. Cette option est un paramètre à
l'échelle du système et est désactivée par défaut. Lorsque cette option est désactivée, les
groupes de périphériques remplacent les objets correspondants de même nom. Si l'option
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 431
Groupes de périphériques
est activée (cochée), les objets du groupe de périphériques ne peuvent pas remplacer les
objets correspondants de même nom à partir d'un emplacement partagé et tout objet du
groupe de périphériques portant le même nom d'un objet partagé est ignoré.
• Vous pouvez cibler une règle de politique sur des périphériques particuliers d'un groupe
de périphériques pour lequel la règle est définie. Pour cibler un périphérique après la
création d'une politique, cliquez sur une entrée dans la colonne Cible et sélectionnez les
périphériques dans la fenêtre contextuelle. Pour appliquer la règle à tous les
périphériques d'un groupe de périphériques SAUF le périphérique ciblé, cochez la case
Installer sur tous les périphériques sauf sur ceux indiqués.
Figure 48. Ciblage de règles de politique sur des périphériques particuliers dans
Panorama
• Des zones ne sont pas créées dans Panorama, mais vous pouvez en sélectionner en
fonction des noms de zones collectés à l'aide d'un modèle correspondant aux mêmes
périphériques que ceux inclus dans un groupe de périphériques. Si une zone n'est pas
disponible dans les modèles, vous devez saisir manuellement un nom de zone lorsque
vous créez une règle. Pour les règles suivantes, vous pouvez saisir de nouvelles zones ou
choisir parmi les zones déjà saisies.
• Chaque type de politique indiqué dans le menu latéral inclut des pages permettant de
définir des règles avant et après, ainsi que des règles partagées globales qui sont
prioritaires sur les règles avant et après du groupe de périphériques. Consultez page 430
pour plus d'informations sur les meilleures pratiques d'utilisation de politiques.
432 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Groupes de périphériques
Utilisation d'objets
Panorama prend en charge le partage d'objets définis dans Panorama. Vous pouvez créer des
objets dans Panorama, puis appliquer les configurations d'objet aux pare-feux gérés. Les
objets peuvent alors être utilisés dans des politiques définies sur chaque pare-feu géré.
Remarque : Tous les objets personnalisés doivent porter un nom unique, et les noms
prédéfinis tels que tout ou défaut doivent être évités. Plus particulièrement, l'utilisation
de noms d'objets identiques dans différents groupes de périphériques peut porter à
confusion sur les périphériques et dans Panorama.
Tous les objets de l'onglet Objets et certains objets de l'onglet Périphérique peuvent être gérés
de manière centralisée. Les objets de l'onglet Périphérique sont gérés sous l'onglet Panorama
et inclut les éléments suivants : certificats, pages de réponse, profils serveur (piège SNMP,
syslog, messagerie, RADIUS, LDAP et Kerberos), profils et séquences d'authentification et
profils du certificat. Ces objets incluent un champ Emplacement qui vous permet de
sélectionner où l'objet doit se trouver dans le déploiement (device-group-test par exemple). Le
tableau suivant explique les options d'attribution et de partage d'objet disponibles dans le
champ Emplacement.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 433
Groupes de périphériques
434 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Utilisation de périphériques
Utilisation de périphériques
Changer de contexte permet à un administrateur de passer de la gestion d'une politique
partagée dans Panorama à la gestion de paramètres spécifiques à un périphérique sur un
pare-feu particulier (politique spécifique à un périphérique, mise en réseau et configuration
du périphérique par exemple). Utilisez la liste déroulante Contexte située au-dessus du menu
latéral pour choisir un périphérique particulier ou la vue Panorama complète. Vous pouvez
sélectionner le nom d'un périphérique ajouté pour être géré via Panorama (reportez-vous à
« Rôles, profils et comptes Administrateur de Panorama » à la page 425). Lorsque vous
sélectionnez un périphérique, l'interface Web est actualisée pour afficher tous les onglets et
options du périphérique, vous permettant ainsi de gérer tous les aspects du périphérique à
partir de Panorama.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 435
Utilisation de périphériques
– Inclure les modèles des réseaux et périphériques : cette option est disponible lors de
la validation d'un groupe de périphériques à partir de Panorama. Il s'agit d'une
opération combinée qui inclut les modifications apportées au modèle du périphérique
et du réseau. Le modèle qui s'applique au périphérique est le modèle auquel le
périphérique appartient, tel que défini dans Panorama > Modèles. Vous pouvez
également sélectionner Type de validation du modèle pour valider des modèles sur
des périphériques.
– Forcer les valeurs du modèle : lors d'une opération Type de validation du modèle,
vous pouvez sélectionner cette option pour supprimer des objets des périphériques ou
systèmes virtuels sélectionnés qui ont été remplacés par la configuration locale. Lors
d'une opération Type de validation Groupe de périphériques, vous devez également
cocher la case Inclure les modèles des réseaux et périphériques car le remplacement
n'est possible que pour les options de configuration du modèle. Les objets remplacés
héritent ainsi des paramètres du modèle. Reportez-vous à « Contrôle prioritaire sur les
paramètres du modèle » à la page 440.
436 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Utilisation de périphériques
– Prévisualiser les modifications : cliquez sur ce bouton pour afficher une fenêtre
d'audit de configuration qui indique les modifications proposées dans la configuration
candidate par rapport à la configuration actuelle. Vous pouvez choisir le nombre de
lignes de contexte à afficher ou d'afficher toutes les lignes en fonction des éléments
ajoutés, modifiés ou supprimés. Cette option n'est disponible qu'avec le type de
validation Groupe de périphériques, Modèle ou Panorama.
Vous pouvez également connaître l'état de validation des périphériques en accédant à
Panorama > Périphériques gérés et en consultant la colonne Etat de la dernière
validation.
La fonction Périphérique > Audit de configuration a la même finalité, reportez-vous à
« Comparaison des fichiers de configuration » à la page 52.
Rétrocompatibilité de Panorama
Lors de la mise à niveau de Panorama vers la version 5.0, et si vous gérez des périphériques
avec PAN-OS 4.0 ou une version antérieure, les profils de protection contre les vulnérabilités
et antispyware de style simple sont automatiquement convertis en règles de signification
équivalente sur ces périphériques. Les profils de style personnalisé sont convertis en
exceptions qui précisent des actions spécifiques à une signature et sans règles requises. Après
la migration, un ensemble limité de modifications peut être apporté dans les profils migrés
dans Panorama si une compatibilité avec des périphériques exécutant PAN-OS 4.0 ou une
version antérieure est requise.
En ce qui concerne les règles créées lors de la conversion à partir d'un profil de style simple,
l'action des règles migrées peut être modifiée et d'autres règles d'autorisation peuvent être
ajoutées à la liste d'exceptions. Si un profil de style personnalisé a été converti en un profil
basé sur des exceptions, la liste d'exceptions peut être librement modifiée mais aucune règle
ne peut être créée. Si l'administrateur tente de valider à l'aide d'un profil incompatible, la
validation échoue et l'erreur est indiquée dans la colonne Etat de la dernière validation de la
liste Périphériques gérés.
Pour gérer des périphériques exécutant des versions logicielles différentes, vous devez
sélectionner, dans la configuration Groupes de périphériques, un périphérique principal qui
exécute la version logicielle la plus antérieure de l'agent d'ID utilisateur pour maintenir la
rétrocompatibilité et pour pouvoir appliquer des règles basées sur l'utilisateur à des pare-feux
antérieurs.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 437
Modèles
Modèles
Panorama > Modèles
La page Panorama Modèles permet de créer des modèles pouvant être utilisés pour gérer des options de
configuration selon les onglets Périphériques et Réseau, vous permettant ainsi de déployer des
configurations sur plusieurs périphériques qui requièrent des paramètres similaires. Vous pouvez
également déployer une configuration de base et, si nécessaire, remplacer des paramètres spécifiques sur
le périphérique. Par exemple, vous pouvez déployer une configuration de base sur un groupe global de
périphériques, mais configurer des paramètres de fuseau horaire spécifique directement sur les
périphériques selon leur emplacement.
Lors de la gestion de la configuration du périphérique avec Panorama, vous pouvez utiliser une
combinaison de paramètres de configuration Groupe de périphériques et de paramètres Modèles, mais
ces fonctions sont gérées séparément en raison des différences en termes d'éléments pouvant être
configurés. Le modèle vous permet d'appliquer des paramètres de périphérique et de réseau alors que
les groupes de périphériques sont utilisés pour gérer des politiques partagées et des objets. Pour plus
d'informations sur l'ajout et la configuration de modèles Panorama, reportez-vous à « Configuration des
modèles de Panorama » à la page 439.
438 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Modèles
Pour configurer des modèles Panorama, vous devez tout d'abord créer le modèle puis ajouter des
périphériques à celui-ci. Une fois le premier modèle créé, un menu déroulant Modèle s'affiche dans les
onglets Périphérique et Réseau. Sélectionnez le modèle souhaité dans le menu déroulant Modèle et
configurez des paramètres du périphérique et du réseau comme si vous gériez un seul périphérique.
Toutes les options définies ne s'appliquent cependant qu'au modèle sélectionné. Une fois le modèle
configuré, vous pouvez procéder à une validation depuis Panorama qui s'applique uniquement aux
modèles.
Pour créer et configurer un modèle, procédez comme suit :
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 439
Modèles
3. Dans le champ Périphériques, la liste de tous les périphériques gérés par Panorama
s'affiche. Cochez la case en regard de chaque élément pour l'inclure en tant que membre
du nouveau modèle. Si vous sélectionnez un groupe de périphériques, tous les
périphériques de ce groupe sont sélectionnés.
2. Cliquez sur la liste déroulante Modèle et sélectionnez le modèle que vous souhaitez
configurer.
4. Une fois toutes les modifications de configuration apportées, cliquez sur Valider puis,
dans le menu déroulant Type de validation, sélectionnez Modèle. Vous pouvez
également utiliser l'option de validation Groupe de périphériques et cocher la case
Inclure les modèles des réseaux et périphériques pour appliquer les modèles à un
groupe de périphériques.
5. Cochez la case en regard de chaque modèle à valider, puis cliquez sur OK. Vous pouvez
également prévisualiser vos modifications dans la fenêtre Valider en cliquant sur le
bouton Prévisualiser les modifications. Une fenêtre contextuelle s'affiche et indique l'état
de la validation.
440 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Modèles
L'icône verte indique qu'un modèle a été appliqué et qu'il n'existe aucun contrôle
prioritaire. L'icône verte et orange indique qu'un modèle a été appliqué et que certains
modèles ont été remplacés.
Suppression de modèles
Pour supprimer un modèle, vous devez le désactiver sur le périphérique local. Sur le
périphérique géré, accédez à l'onglet Périphérique > Configuration > Gestion, modifiez la
page Paramètres de Panorama, puis cliquez sur le bouton Désactiver les modèles des
périphériques et réseaux. La suppression du périphérique de la configuration dans
Panorama > Modèles ne supprime pas les valeurs du modèle sur le périphérique local.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 441
Journalisation
Journalisation
Panorama exécute deux fonctions : la gestion des périphériques et la collecte des journaux.
Pour simplifier l'évolutivité dans les déploiements d'envergure, vous pouvez utiliser
l'appareil M-100 pour séparer les fonctions de gestion et de collecte des journaux dans
Panorama.
Les sections suivantes décrivent les options disponibles pour la collecte des journaux :
• « Journalisation et génération de rapports » dans la section suivante
Le rapport d'activité des utilisateurs de Panorama résume l'activité des utilisateurs sur tous
les pare-feux gérés. Il est basé sur les données de pare-feu qui ont été transmises à Panorama.
Reportez-vous à « Gestion des rapports d'activité des utilisateurs » à la page 295 pour obtenir
des informations générales sur la création de rapports d'activité des utilisateurs.
442 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Journalisation
Lorsque le M-100 est en mode collecteur de journaux, seule la CLI est disponible
pour la gestion.
Pour utiliser des appareils distincts pour la gestion et pour la collecte des
journaux, les pare-feux de votre réseau doivent exécuter le logiciel PAN-OS 5.0.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 443
Journalisation
• Déterminez les besoins de stockage sur disque pour la collecte des journaux en fonction
du nombre de pare-feux gérés et de la durée de conservation souhaitée. Vous devez
analyser votre environnement actuel afin de déterminer le nombre de journaux et de
rapports qui sont générés.
La Figure 53 illustre un déploiement de collecte de journaux de base. Les pare-feux gérés sont
configurés pour envoyer des informations de journaux au collecteur de journaux M-100. Les
serveurs Panorama en mode HD peuvent alors communiquer avec les collecteurs de journaux
pour générer des rapports et pour consulter les informations de journaux collectées sur les
pare-feux gérés.
Collecteurs de journaux
Pare-feux gérés
444 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Journalisation
2. Vérifiez que le périphérique est en mode logger en exécutant la commande show system
info | match logger_mode. Si le périphérique est en mode Panorama, exécutez la
commande request system logger-mode logger. Répondez Oui pour confirmer la
modification. Le périphérique redémarre.
Remarque : Lorsque le M-100 est en mode collecteur de journaux, seule la CLI est
disponible pour la gestion. Une grande partie de la configuration est exécutée sur le
gestionnaire Panorama.
3. Configurez l'adresse IP ou le FQDN du serveur Panorama qui sera utilisé pour gérer le
collecteur de journaux.
set deviceconfig system panorama-server ip-address <IP Panorama>.
Si votre serveur Panorama est en mode HD, entrez l'adresse IP du périphérique
homologue :
set deviceconfig system panorama-server-2 ip-address <IP Panorama>.
4. Obtenez une adresse IP auprès de votre administrateur réseau à utiliser pour le port de
gestion (MGT) du collecteur de journaux, puis configurez le port de gestion.
set deviceconfig system ip-address <IP gestion> netmask <masque réseau>
default-gateway <IP passerelle>
Vous pouvez également définir le DNS en ajoutant dns-settings à la commande ci-dessus
mais alors que vous pouvez communiquer via l'adresse IP du serveur Panorama, vous
pouvez définir le DNS et les autres options depuis le serveur de gestion Panorama.
Le port MGT sera utilisé pour toutes les communications, notamment la gestion des
périphériques, la collecte des journaux et les communications entre collecteurs de
journaux.
5. Vous pouvez utiliser le serveur Panorama pour définir le mot de passe sur chaque
collecteur de journaux. Pour définir manuellement le mot de passe, exécutez la
commande set mgt-config users admin password. Appuyez sur la touche Entrée,
puis confirmez le mot de passe.
6. Saisissez commit pour activer la modification, puis exit pour quitter le mode de
configuration. Si vous étiez connecté au port de gestion, vous perdez la connectivité car
l'adresse IP a changé.
7. Testez la connectivité du réseau vers votre passerelle par défaut ou un autre serveur
depuis le port de console, ou testez à partir du serveur de gestion Panorama pour vérifier
que vous pouvez atteindre le collecteur de journaux.
ping host <IP cible> ou à partir du serveur de gestion Panorama ping host <IP
gestion collecteur de journaux>
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 445
Journalisation
Remarque : Vous ne pouvez pas migrer des journaux de pare-feu existants vers le
M-100 ; seules les nouvelles données sont transférées une fois la configuration
terminée.
Pour obtenir une description détaillée de chaque champ de la page Collecteurs gérés,
reportez-vous à « Gestion des collecteurs de journaux » à la page 447.
Pour configurer des collecteurs de journaux à partir de Panorama :
1. Assurez-vous que le collecteur de journaux que vous souhaitez gérer dispose d'une
connectivité réseau de base afin que le serveur de gestion Panorama puisse communiquer
avec lui. Reportez-vous à « Configuration du M-100 en tant que collecteur de journaux » à
la page 444.
2. Sur le serveur de gestion Panorama, accédez à Panorama > Collecteurs gérés, puis
cliquez sur Ajouter pour ajouter un collecteur de journaux.
3. Dans l'onglet Général, précisez le numéro de série et le nom (nom d'hôte) du collecteur de
journaux. Précisez ensuite l'adresse IP, DNS, NTP, fuseau horaire et emplacement du
serveur Panorama.
4. Utilisez l'onglet Authentification pour mettre à jour le mot de passe du compte admin
local sur le collecteur de journaux. Vous ne pouvez utiliser qu'un hachage du mot de
passe dans ce champ. Vous pouvez créer un hachage du mot de passe à l'aide de la
commande CLI de Panorama request password-hash password mot de passe.
Appuyez sur Entrée, la valeur de hachage s'affiche. Copiez le hachage et collez-le dans les
champs Hachage du mot de passe et Confirmer le hachage du mot de passe.
5. L'onglet Gestion est utilisé pour configurer le port de gestion sur le collecteur de
journaux et est nommé MGT sur la face avant du M-100. Vous pouvez définir les
paramètres du MTU et d'autres interfaces, les services autorisés et définir la liste des
adresses IP autorisées à gérer le collecteur de journaux. La plupart de ces paramètres doit
avoir été configurée lors de la configuration initiale du collecteur de journaux visant à
définir l'appareil sur votre réseau.
Le port MGT sera utilisé pour toutes les communications entre le collecteur de journaux
et les périphériques gérés.
Reportez-vous à « Définition des groupes de collecteurs de journaux » à la page 450.
6. Cliquez sur Valider puis, dans la liste déroulante Type de validation, sélectionnez
Panorama et cliquez sur OK.
7. Cliquez sur Valider puis, dans la liste déroulante Type de validation, sélectionnez
Groupes de collecteurs, sélectionnez le collecteur de journaux ou le groupe que vous
souhaitez valider, puis cliquez sur OK. Les modifications sont ainsi appliquées au ou aux
collecteurs de journaux sélectionnés.
Une fenêtre contextuelle s'affiche pour indiquer l'état de la validation.
446 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Journalisation
Utilisez la page Collecteurs gérés pour configurer, gérer et mettre à jour des périphériques de
collecte de journaux.
Les paramètres de cette page figurent également dans la CLI du collecteur de journaux.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 447
Journalisation
448 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Journalisation
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 449
Journalisation
Les groupes de collecteurs sont utilisés pour attribuer des pare-feux gérés Panorama aux
collecteurs de journaux qui seront utilisés pour supprimer la tâche de collecte de journaux
généralement traitée par le serveur de gestion Panorama. Une fois les collecteurs de journaux
en place et les pare-feux configurés, les journaux définis pour chaque périphérique sont
envoyés aux collecteurs de journaux et Panorama recherche alors sur les collecteurs de
journaux afin d'afficher ou d'interroger les journaux cumulés. Vous pouvez également utiliser
des groupes de collecteurs pour définir des paramètres de conservation du stockage et SNMP.
Pour obtenir une description détaillée de chaque paramètre de la page Groupes de collecteurs,
reportez-vous à « Paramètres des groupes de collecteurs » à la page 451.
Pour configurer des groupes de collecteurs de journaux :
1. Sur le serveur de gestion Panorama, accédez à Panorama > Groupes de collecteurs.
5. Cliquez sur l'onglet Transfert des journaux puis, dans la fenêtre Collecteurs, cliquez sur
Ajouter et sélectionnez les collecteurs de journaux qui feront partie de ce groupe de
collecteurs. Cette liste est déterminée par les collecteurs définis dans Panorama >
Collecteurs gérés.
6. Configurez le mappage qui définit les périphériques transférés vers une liste de
collecteurs préférés et dans un ordre bien spécifique. Dans l'onglet Transfert des
journaux, cliquez sur Ajouter sous les fenêtres des listes Périphériques et Collecteurs, la
fenêtre Périphériques s'affiche alors.
8. Cliquez sur Valider puis, dans la liste déroulante Type de validation, sélectionnez
Panorama et cliquez sur OK.
450 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Journalisation
9. Cliquez sur Valider puis, dans la liste déroulante Type de validation, sélectionnez
Groupe de collecteurs et cliquez sur OK. Une fois la validation du groupe de collecteurs
terminée, les pare-feux gérés attribués aux collecteurs commencent à transférer leurs
journaux aux collecteurs.
Désormais que les journaux des pare-feux sont envoyés aux collecteurs de journaux, vous
pouvez utiliser les vues ACC, Rapports PDF et Journaux de Panorama pour rechercher
des informations sur tous vos pare-feux gérés. L'ACC recherche des données directement
sur les collecteurs de journaux, ce qui signifie que l'ACC recherche dans les données
transférées du pare-feu. Si vous déployez un M-100 en tant que gestionnaire Panorama et
collecteur de journaux, l'ACC recherche également les données transférées au collecteur
de journaux qui se trouvent sur le même périphérique.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 451
Journalisation
452 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Journalisation
Pour plus d'informations sur le remplacement physique des lecteurs sur le M-100, reportez-
vous au Guide de référence du matériel M-100.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 453
Journalisation
Remarque : La baie de disques RAID 1 sur le M-100 requiert que chaque paire de disques en
miroir soit installée sur les baies de disques appropriées. Le périphérique est livré avec les
lecteurs A1/A2 installés et mis en miroir. Pour ajouter d'autres disques, vous installez la paire
suivante dans la paire de disques suivante, à savoir les baies B1/B2, C1/C2, puis D1/D2. Vous
ne pouvez pas installer de nouveaux disques dans B1 et C1 par exemple, puis tenter de les
mettre en miroir.
Pour augmenter le stockage sur disque d'un M-100 à l'aide de la baie de disques B1/B2 :
1. Procurez-vous deux lecteurs de disques M-100 identiques auprès de Palo Alto Networks.
2. Vous ne devez pas mettre le collecteur de journaux hors tension pour ajouter de nouveaux
lecteurs. Si vous préférez mettre le périphérique hors tension, exécutez la commande
request shutdown system via la CLI.
3. Retirez les baies de lecteurs vides B1/B2 et installez les nouveaux disques dans les baies
de lecteurs pour la paire de disques B.
6. Exécutez de nouveau la commande sur le lecteur B2 request system raid add B2.
Le miroir RAID 1 est créé et les lecteurs sont désormais prêts à être ajoutés au groupe de
collecteurs à partir du serveur de gestion Panorama.
Remarque : La durée de mise en miroir des données sur le lecteur peut varier entre
plusieurs minutes et quelques heures en fonction de la quantité de données sur le
lecteur. Utilisez la commande show system raid detail pour contrôler la
progression de la configuration RAID.
8. Le disque A doit déjà exister. Cliquez sur Ajouter, sélectionnez Paire de disques B, puis
cliquez sur OK pour que la nouvelle paire de disques soit disponible sur le système.
454 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Affichage des informations de déploiement du pare-feu
Ouvrez les pages Déploiement pour consulter les informations de déploiement actuel sur les
périphériques gérés et gérer les versions logicielles des périphériques tel que décrit dans le
tableau suivant.
Exécutez l'une des fonctions suivantes sur la page Logiciel, VPN SSL ou GlobalProtect :
• Cliquez sur Rafraîchir pour connaître les dernières versions logicielles disponibles auprès de
Palo Alto Networks.
• Cliquez sur Notes de version pour consulter une description des modifications apportées
dans une version.
• Cliquez sur Télécharger pour installer une nouvelle version à partir du site de
téléchargement. Une fois le téléchargement terminé, une coche s'affiche dans la colonne
Téléchargé. Pour installer une version téléchargée, cliquez sur Installer en regard de la
version.
Pendant l'installation, il vous êtes demandé de redémarrer une fois l'installation terminée.
Une fois l'installation terminée, vous êtes déconnecté lorsque le pare-feu est redémarré. Le
pare-feu est redémarré si cette option a été sélectionnée.
• Cliquez sur Charger pour installer ou activer une version préalablement stockée sur votre PC.
Recherchez et sélectionnez le module logiciel, puis cliquez sur Installer depuis le fichier.
Choisissez le fichier que vous venez de sélectionner dans la liste déroulante, puis cliquez sur
OK pour installer l'image.
• Cliquez sur l'icône Supprimer pour supprimer une version obsolète.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 455
Sauvegarde des configurations du pare-feu
Panorama enregistre une sauvegarde des configurations en cours d'exécution de tous les
périphériques gérés en plus de ses propres configurations actuelles. Utilisez la page
Exportation programmée des configurations pour collecter les configurations en cours
d'exécution de tous les périphériques gérés, regroupez-les dans un fichier gzip, puis planifiez
une livraison quotidienne du module sur un serveur FTP ou à l'aide de la fonction SCP
(Secure Copy) afin de transférer les données à un hôte distant et en toute sécurité. Les fichiers
sont au format XML et leurs noms sont basés sur les numéros de série des périphériques.
Utilisez cette page pour configurer un calendrier de collecte et d'exportation des
configurations des périphériques gérés.
456 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Mise à niveau du logiciel Panorama
Pour mettre à niveau vers une nouvelle version du logiciel Panorama, vous devez consulter
les dernières versions du logiciel Panorama disponibles auprès de Palo Alto Networks, lire les
notes de version de chaque version, puis sélectionner la version que vous souhaitez
télécharger et installer (une licence est requise).
Pour mettre à niveau le logiciel Panorama, cliquez sur Rafraîchir pour connaître les dernières
versions logicielles disponibles auprès de Palo Alto Networks. Pour consulter une description
des modifications apportées dans une version, cliquez sur Notes de version en regard de la
version.
b. Pour installer une version téléchargée, cliquez sur Installer en regard de la version.
Palo Alto Networks Gestion centralisée des périphériques à l'aide de Panorama • 457
Mise à niveau du logiciel Panorama
Une fois l'installation terminée, vous êtes déconnecté lorsque le système Panorama est
redémarré.
458 • Gestion centralisée des périphériques à l'aide de Panorama Palo Alto Networks
Chapitre 14
Configuration de WildFire
Ce chapitre décrit l'utilisation de WildFire pour l'analyse et la création de rapports sur les
logiciels malveillants qui traversent le pare-feu :
• « A propos de WildFire » dans la section suivante
A propos de WildFire
WildFire permet aux utilisateurs d'envoyer des fichiers à l'environnement Palo Alto Networks
sécurisé, en nuage et virtualisé, où ils sont automatiquement analysés pour détecter toute
activité malveillante. Le système WildFire permet l'exécution de fichiers dans un
environnement vulnérable, et surveille de nombreux comportements et techniques
malveillants spécifiques, tels que la modification de fichiers système, la désactivation de
fonctions de sécurité ou l'utilisation de diverses méthodes pour échapper à la détection.
Les types de fichiers pris en charge incluent les fichiers Win32 PE (Portable Executable), p. ex. exe,
dll et scr. Lorsque vous choisissez les types de fichiers dans le profil des objets, vous pouvez
sélectionner PE pour prendre en charge tous les types de fichiers Win32 PE.
Les types de fichiers peuvent être analysés même s'ils sont compressés (zip, gzip) ou sur SSL si le
chiffrement est activé dans la politique. Les types de fichiers PE sont également pré-analysés
directement sur le périphérique, afin de rechercher les contenus présentant un risque élevé avant
de les transférer à WildFire.
Le choix d'une catégorie garantit également que lorsqu'un nouveau type de fichier
est ajouté à une catégorie donnée, celui-ci fait automatiquement partie de le profil
des objets. Vous pouvez également sélectionner Indifférent pour charger tous les
types de fichiers pris en charge dans WildFire.
• Journaux WildFire intégrés : lorsque les fichiers sont chargés et analysés par le
serveur WildFire, les données des journaux sont renvoyées au périphérique après
analyse, avec les résultats d'analyse. Les journaux sont écrits sur la page Surveillance >
Journaux > WildFire.
• API WildFire : la licence API WildFire vous permet un accès par programme au
service WildFire dans le cloud, à l'exclusion de son utilisation par les pare-feu Palo Alto
Networks. L'API WildFire peut être utilisée pour envoyer, analyser et vérifier des
rapports sur les fichiers envoyés au système WildFire. Vous pouvez charger jusqu'à
100 fichiers par jour.
Les résultats de l'analyse détaillée des fichiers envoyés sont également disponibles via le
portail WildFire ; vous pouvez afficher ces informations sans aucun abonnement. Le
portail WildFire peut vous permettre de voir les utilisateurs ciblés, les applications utilisées et
le comportement malveillant observé. Vous pouvez également configurer le portail WildFire
de manière à envoyer des notifications par e-mail, lorsque les résultats sont disponibles pour
vérification. Reportez-vous à la section « Utilisation du portail WildFire » à la page 466.
2. Sur le pare-feu, configurez vos profils de blocage de fichiers de manière à inclure l'action
Transférer ou Continuer et transférer. Reportez-vous à la section « Configuration du transfert
de WildFire » à la page 464 pour les procédures à suivre ou à la section « Profils de blocage des
fichiers » à la page 237 pour plus d'informations.
3. Incorporez des profils de blocage de fichiers dans une politique de sécurité, comme vous le
feriez pour tout autre profil de blocage de fichiers. Reportez-vous à la section « Politiques de
sécurité » à la page 201.
Vous pouvez désormais accéder au portail WildFire pour afficher les rapports. Reportez-vous à la
section « Affichage des rapports WildFire » à la page 467.
L'onglet WildFire vous permet de contrôler les informations à envoyer au serveur WildFire.
2. Cliquez sur Ajouter pour ajouter un nouveau profil, puis saisissez un Nom et une
Description.
3. Cliquez sur Ajouter dans la fenêtre Profil de blocage des fichiers. Cliquez dans le champ
Noms pour saisir un nom de règle.
4. Sélectionnez la ou les Application(s) qui seront identifiées pour ce profil. Par exemple, si vous
choisissez l'application Navigation Web, le profil identifie les fichiers téléchargés à partir
d'une page Web.
5. Dans le champ Type de fichier, sélectionnez les types de fichiers que vous souhaitez
transférer pour analyse.
6. Dans le champ Direction, sélectionnez Charger, Télécharger ou les deux. Si vous sélectionnez
les deux, le profil identifie les fichiers chargés ou téléchargés par l'utilisateur.
7. Dans le champ Action, sélectionnez Charger. Tout fichier identifié sera envoyé au
système WildFire , puis analysé et enfin fourni à l'utilisateur. Si vous sélectionnez Continuer
et transférer, une page vous invitant à continuer s'affiche avant que le téléchargement puisse
être effectué.
Si WildFire détermine que le fichier est un fichier malveillant au jour 0, un rapport est généré
sur le portail WildFire et une nouvelle signature antivirus est créée dans les 24-48 heures. Si
vous êtes un abonné WildFire, une entrée est ajoutée dans le journal de filtrage des données
sur le pare-feu et une signature est créée en une heure.
2. Cliquez sur Ajouter pour créer une nouvelle politique, ou sélectionnez-en une existante.
3. Cliquez sur l'onglet Actions, puis sous Configuration du profil, cliquez sur la liste
déroulante en regard de Blocage des fichiers et choisissez le profil de sécurité que vous
avez créé.
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Il s'agit d'un test</title>
<style>
<!--
</head>
<body lang=EN-US>
<div class=Section1>
</div>
</body>
</html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Il s'agit d'un test</title>
<style>
<!--
/* Définitions des polices */
@font-face
{font-family:"Microsoft Sans Serif";
panose-1:2 11 6 4 2 2 2 2 2 4;}
/* Définitions des styles */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
h4
{margin-top:12.0pt;
margin-right:0in;
margin-bottom:3.0pt;
margin-left:0in;
page-break-after:avoid;
font-size:14.0pt;
font-family:"Times New Roman";}
p.SanSerifName, li.SanSerifName, div.SanSerifName
{margin:0in;
margin-bottom:.0001pt;
text-autospace:none;
font-size:10.0pt;
font-family:"Microsoft Sans Serif";
font-weight:bold;}
p.BoldNormal, li.BoldNormal, div.BoldNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";
font-weight:bold;}
</head>
<body lang=EN-US>
<div class=Section1>
</div>
</body>
</html>
<pan_form/>
<hr>
<p id="continueText">Si vous pensez que cette page a été bloquée de manière
inappropriée, cliquez sur Continuer pour accéder à la page. Cette action ne
sera toutefois pas consignée.</p>
<div id="formdiv">
<pan_form/>
</div>
<a href="#" onclick="history.back();return false;">Revenir à la page
précédente</a>
</div>
</body>
</html>
</style>
</HEAD>
<BODY bgcolor="#F2F6FA">
<table style="background-color: white; width:100%; height:45px; border-
bottom: 2px solid #888888;">
<tr style="background-image:url(/images/logo_pan_158.gif);
background-repeat: no-repeat">
<td align="left"> </td>
</tr>
</table>
<div align="center">
<h1>Palo Alto Networks - Portail VPN SSL</h1>
</div>
<div id="formdiv">
<pan_form/>
</div>
</BODY>
</HTML>
<head>
<title>Erreur de certificat</title>
<style>
#content{border:3px solid#aaa;background-
color:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sans-
serif;font-size:12px;}
h1{font-size:20px;font-weight:bold;color:#196390;}
b{font-weight:bold;color:#196390;}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Erreur de certificat</h1>
<p>Un problème lié au certificat SSL du serveur que vous tentez de contacter
s'est produit.</p>
</div>
</body>
</html>
La base de données Applipedia est également accessible sur le pare-feu dans Objets >
Applications, en ligne à l'adresse http://apps.paloaltonetworks.com/applipedia/, et une
application est disponible dans l'App Store d'Apple.
– service d'authentification
– base de données
– ERP-CRM
– grand public/professionnel
– gestion
– programmes bureautiques
– sauvegarde de secours
• collaboration
– courrier électronique
– messagerie instantanée
– conférence Web
– social/professionnel
– utilitaire Internet
– réseaux sociaux
– VoIP/vidéo
– publication Web
– partage de fichier
– utilitaire Internet
• multimédia
– jeux
– photo/vidéo
• réseau
– tunnel crypté
– infrastructure
– protocole IP
– proxy
– accès à distance
– routage
• inconnu
Technologies d'applications
Les technologies d'applications suivantes sont prises en charge.
Caractéristiques d'applications
Les caractéristiques d'applications suivantes sont prises en charge.
• Pour pouvoir se connecter au pare-feu, le navigateur doit être compatible avec TLS 1.0.
• Tous les mots de passe du pare-feu doivent comporter six caractères minimum.
• Les comptes sont verrouillés une fois le nombre d'échecs de tentatives configuré dans la
page Périphérique > Configuration > Gestion atteint. Si le pare-feu n'est pas en mode
FIPS, il peut être configuré afin de ne jamais être verrouillé ; il peut toutefois l'être en
mode FIPS et une durée de verrouillage doit être définie.
• Les algorithmes approuvés non FIPS ne sont pas décryptés et sont donc ignorés lors du
décryptage.
• Les certificats générés automatiquement et importés doivent contenir des clés publiques
de 2 048 bits ou plus.
BSD
Les détenteurs de droits d'auteur suivants proposent des logiciels sous la licence BSD :
• Julian Steward
• Nick Mathewson
• Niels Provos
• Dug Song
• Todd C. Miller
• University of Cambridge
La redistribution et l'utilisation sous forme source et binaire, avec ou sans modification, sont
autorisées pourvu que les conditions suivantes soient remplies :
1. Les redistributions du code source doivent contenir la mention de copyright ci-dessus, cette liste
de conditions et l'avis de non-responsabilité ci-dessous.
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-dessus,
cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la documentation et/ou les
autres documents fournis avec la distribution.
3. Les noms des auteurs ne peuvent pas être utilisés pour s'approprier ou promouvoir des
produits dérivés de ce logiciel sans accord écrit préalable.
CE LOGICIEL EST FOURNI « EN L'ETAT » ET SANS GARANTIE EXPLICITE OU IMPLICITE,
NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES IMPLICITES DE QUALITE
MARCHANDE OU D'ADEQUATION A UN USAGE PARTICULIER.
Licence artistique
Ce document est une adaptation libre de la « Licence artistique » distribuée dans le cadre du
kit Perl v4.0 par Larry Wall et qui est disponible sur la plupart des principaux sites
d'archivage.
Ce document vise à énoncer les conditions dans lesquelles ces Modules (voir la définition ci-
dessous), à savoir « Crack », Unix Password Cracker, « CrackLib », la bibliothèque Unix
Password Checking, qui sont protégés par des droits d'auteur par Alec David Edward
Muffett, peuvent être copiés de sorte que le détenteur du droit d'auteur puisse conserver un
certain contrôle artistique sur le développement des modules doit en accordant aux
utilisateurs du module le droit d'utiliser et de distribuer le Module de manière plus ou moins
personnalisée, ainsi que le droit d'apporter des modifications raisonnables.
Définitions :
Un « Module » représente l'ensemble de fichiers distribués par le Détenteur du droit d'auteur,
et les produits dérivés de cet ensemble de fichiers créés par le biais d'une modification
textuelle ou d'une partie de celui-ci.
« Version standard » représente un tel Module s'il n'a pas été modifié, ou s'il l'a été
conformément aux souhaits du Détenteur du droit d'auteur.
« Détenteur du droit d'auteur » représente toute personne nommément citée dans la ou les
mentions de droits d'auteur du module.
« Vous » vous représente, si vous envisagez de copier ou de distribuer ce Module.
« Coût de copie raisonnable » est le coût que vous pouvez justifier sur la base du prix du
support, des frais de duplication, du temps de main d'œuvre nécessaire, etc. (Vous ne devra
pas justifier ce coût auprès du Détenteur du droit d'auteur, mais uniquement à la
communauté informatique dans son ensemble.)
« Disponible gratuitement » signifie qu'aucun coût n'est demandé pour l'objet en lui-même, même
si des frais de gestion de l'objet sont possibles. Cela signifie également que les destinataires de
l'objet peuvent le redistribuer dans les mêmes conditions que lorsqu'ils l'ont reçu.
1. Vous pouvez réaliser et fournir des copies exactes de la source de la Version standard de ce
Module sans restriction, à condition que vous dupliquiez l'ensemble des mentions de droit
d'auteur et avis de non-responsabilité associés d'origine.
2. Vous pouvez appliquer des corrections de bogues, des corrections de portabilité et d'autres
modifications dérivées du Domaine public ou du Détenteur du droit d'auteur. Un Module
ainsi modifié doit toujours être considéré comme la Version standard.
3. Vous pouvez modifier votre copie de ce Module d'une quelconque autre manière, à
condition que vous insériez et mettiez en évidence un avis dans chacun des fichiers modifiés
indiquant comment, quand et POURQUOI vous avez modifié ce fichier et à condition de
réaliser au moins UNE des actions suivantes :
a) placer vos modifications dans le Domaine public ou les rendre Disponible gratuitement, en
publiant lesdites modifications sur Usenet ou un support équivalent ou en plaçant les
modifications sur un site d'archivage majeur tel que uunet.uu.net, ou en autorisant le
Détenteur du droit d'auteur à inclure vos modifications dans la Version standard du Module.
b) utiliser le Module modifié au sein de votre entreprise ou organisation uniquement.
c) renommer les exécutables non standard de sorte qu'ils n'entrent pas en conflit avec les
exécutables standard, qui doivent également être fournis, et fournir une documentation
distincte pour chaque exécutable non standard qui décrit clairement en quoi il diffère de la
Version standard.
d) négocier avec le Détenteur du droit d'auteur d'autres accords de distribution.
4. Vous pouvez distribuer les programmes de ce Module sous forme de code objet ou
d'exécutable, à condition de réaliser au moins UNE des actions suivantes :
a) distribuer une Version standard des fichiers exécutables et de bibliothèques ainsi que des
instructions (page de manuel ou équivalent) sur l'obtention de la Version standard.
b) joindre la distribution de la source lisible par une machine du Module avec vos
modifications.
c) joindre tous les exécutables non standard avec les exécutables Version standard
correspondants, en donnant aux exécutables non standard des noms non standard et en
indiquant clairement les différences dans les pages de manuel (ou équivalents), ainsi que des
instructions sur l'obtention de la Version standard.
d) négocier avec le Détenteur du droit d'auteur d'autres accords de distribution.
5. Vous pouvez facturer un coût de copie raisonnable pour toute distribution de ce Module.
Vous pouvez facturer un coût de votre choix pour l'assistance de ce Module. VOUS NE
POUVEZ PAS FACTURER UN COUT POUR CE MODULE LUI-MEME. Cependant, vous
pouvez distribuer ce Module en l'associant à d'autres programmes (potentiellement
commerciaux) dans le cadre d'une distribution logicielle (potentiellement commerciale) plus
importante à condition DE NE PAS DECLARER que ce module est un de vos produits.
6. Le nom du Détenteur du droit d'auteur ne peut pas être utilisé pour s'approprier ou
promouvoir des produits dérivés de ce logiciel sans accord écrit préalable.
7. CE MODULE EST FOURNI « EN L'ETAT » ET SANS GARANTIE EXPLICITE OU
IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES IMPLICITES DE
QUALITE MARCHANDE OU D'ADEQUATION A UN USAGE PARTICULIER.
0. La présente Licence s'applique à tout programme (ou autre travail) où figure un avis, placé par
le détenteur des droits, stipulant que ledit programme ou travail peut être distribué selon les
termes de la présente Licence publique générale. Le terme « Programme » désigne aussi bien le
programme lui-même que tout travail qui en est dérivé selon la loi, c'est-à-dire tout ouvrage
reproduisant le Programme ou une partie de celui-ci, à l'identique ou bien modifié, et/ou traduit
dans une autre langue (la traduction est considérée comme une modification). Chaque personne
concernée par la licence sera désignée par le terme « Vous ».
Les activités autres que la copie, la distribution et la modification ne sont pas couvertes par la
présente Licence et sortent de son cadre. Rien ne restreint l'utilisation du Programme et les
données issues de celui-ci ne sont couvertes que si leur contenu constitue un travail basé sur le
Programme (indépendamment du fait d'avoir été réalisé en exécutant le Programme). Tout
dépend de ce que le Programme est censé produire.
1. Vous pouvez copier et distribuer des copies conformes du code source du Programme, tel que
vous l'avez reçu, sur n'importe quel support, à condition de placer sur chaque copie une mention
de copyright appropriée et une restriction de garantie, de ne pas modifier ou omettre tous les avis
se référant à la présente Licence et à la limitation de garantie, et de fournir avec toute copie du
Programme un exemplaire de la Licence.
Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez libre
de proposer une garantie assurée par vos soins, moyennant finances.
2. Vous pouvez modifier votre ou vos copies du Programme ou une partie de celui-ci, ou d'un
travail basé sur ce Programme, et copier et distribuer ces modifications selon les termes de
l'article 1 ci-dessus, à condition de vous conformer également aux conditions suivantes :
a) Ajouter aux fichiers modifiés l'indication très claire des modifications apportées, ainsi que la
date de chaque changement.
b) Distribuer sous les termes de la Licence l'ensemble de toute réalisation contenant tout ou
partie du Programme, avec ou sans modifications.
c) Si le programme modifié lit des commandes de manière interactive lors de son exécution, faire
en sorte qu'il affiche, lors d'une invocation ordinaire, le copyright approprié en indiquant
clairement la limitation de garantie (ou la garantie que vous vous engagez à fournir), qu'il stipule
que tout utilisateur peut librement redistribuer le programme selon ces conditions de la Licence
publique générale, et qu'il montre à tout utilisateur comment lire une copie de celle-ci (exception :
si le Programme original est interactif mais n'affiche pas un tel message en temps normal, tout
travail dérivé de ce Programme ne sera pas non plus contraint de l'afficher).
Toutes ces conditions s'appliquent à l'ensemble des modifications. Si des éléments identifiables de
ce travail ne sont pas dérivés du Programme et peuvent être raisonnablement considérés comme
indépendants, la présente Licence ne s'applique pas à ces éléments lorsque vous les distribuez
seuls. Toutefois, si vous distribuez ces mêmes éléments comme partie d'un ensemble cohérent
dont le reste est basé sur un Programme soumis à la Licence, ils lui sont également soumis, et la
Licence s'étend ainsi à l'ensemble du produit, quel qu'en soit l'auteur.
Cet article n'a pas pour but de s'approprier ou de contester vos droits sur un travail entièrement
réalisé par vous, mais plutôt d'ouvrir droit à un contrôle de la libre distribution de tout travail
dérivé ou collectif basé sur le Programme.
En outre, toute fusion d'un autre travail, non basé sur le Programme, avec le Programme (ou avec
un travail dérivé de ce dernier), effectuée sur un support de stockage ou de distribution, ne fait pas
tomber cet autre travail sous le contrôle de la Licence.
3. Vous pouvez copier et distribuer le Programme (ou tout travail dérivé selon les conditions
énoncées dans l'article 2) sous forme de code objet ou exécutable, selon les termes des articles 1 et 2
ci-dessus, à condition de respecter l'une des clauses suivantes :
a) Fournir le code source complet du Programme, sous une forme lisible par un ordinateur et
selon les termes des articles 1 et 2 ci-dessus, sur un support habituellement utilisé pour l'échange
de données ; ou
b) Faire une offre écrite, valable pendant au moins trois ans, prévoyant de donner à tout tiers qui
en fera la demande une copie, sous forme lisible par un ordinateur, du code source correspondant,
pour un tarif n'excédant pas le coût de la copie, selon les termes des articles 1 et 2 ci-dessus, sur un
support habituellement utilisé pour l'échange de données ; ou
c) Informer le destinataire de l'endroit où le code source peut être obtenu (cette solution n'est
recevable que dans le cas d'une distribution non commerciale, et uniquement si vous avez reçu le
programme sous forme de code objet ou exécutable avec l'offre prévue à l'alinéa b ci-dessus).
Le code source d'un travail désigne la forme de cet ouvrage sous laquelle les modifications sont les
plus aisées. Sont ainsi désignés la totalité du code source de tous les modules composant un
programme exécutable, de même que tout fichier de définition associé, ainsi que les scripts utilisés
pour effectuer la compilation et l'installation du programme exécutable. Toutefois,
l'environnement standard de développement du système d'exploitation mis en œuvre (source ou
binaire), compilateurs, bibliothèques, noyau, etc., constitue une exception, sauf si ces éléments sont
diffusés en même temps que le programme exécutable.
Si la distribution de l'exécutable ou du code objet consiste à offrir un accès permettant de copier le
programme depuis un endroit particulier, l'offre d'un accès équivalent pour se procurer le code
source au même endroit est considéré comme une distribution de ce code source, même si
l'utilisateur choisit de ne pas profiter de cette offre.
4. Vous ne pouvez pas copier, modifier, céder ou distribuer le Programme d'une autre manière
que l'autorise cette Licence. Toute tentative de ce type annule immédiatement vos droits
d'utilisation du Programme sous cette Licence. Toutefois, les tiers ayant reçu de vous des copies
du programme ou le droit d'utiliser ces copies continueront à bénéficier de leur droit d'utilisation
tant qu'ils respecteront pleinement les conditions de la Licence.
5. Ne l'ayant pas signée, vous n'êtes pas obligé d'accepter cette Licence. Cependant, rien d'autre ne
vous autorise à modifier ou distribuer le Programme ou ses travaux dérivés : la loi l'interdit tant
que vous n'acceptez pas les termes de cette Licence. En conséquence, en modifiant ou en
distribuant le Programme (ou tout travail basé sur lui), vous acceptez implicitement tous les
termes et conditions de cette Licence.
6. La diffusion d'un Programme (ou de tout travail dérivé) suppose l'envoi simultané d'une licence
autorisant la copie, la distribution ou la modification du Programme, aux termes et conditions de
la Licence. Vous n'avez pas le droit d'imposer de restrictions supplémentaires aux droits transmis
au destinataire. Vous n'êtes pas responsable du respect de la Licence par un tiers.
7. Si, à la suite d'une décision de justice, d'une plainte en contrefaçon ou pour toute autre raison
(liée ou non à la contrefaçon), des conditions vous sont imposées (que ce soit par ordonnance,
accord amiable ou autre) qui se révèlent incompatibles avec les termes de la présente Licence, vous
n'êtes pas pour autant dégagé des obligations liées à celle-ci : si vous ne pouvez concilier vos
obligations légales ou autres avec les conditions de cette Licence, vous ne devez pas distribuer le
Programme. Par exemple, si une licence brevetée ne permet pas une redistribution gratuite du
Programme de tous les utilisateurs qui reçoivent directement ou indirectement des copies par
vous, le seul moyen de vous conformer à cette licence brevetée et à la présente Licence serait de ne
pas distribuer le Programme.
Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que ce
soit, le reste de l'article continue de s'appliquer et l'intégralité de l'article s'appliquera en toute autre
circonstance.
Le présent article n'a pas pour but de vous pousser à enfreindre des droits ou des dispositions
légales ni en contester la validité ; son seul objectif est de protéger l'intégrité du système de
distribution du logiciel libre. De nombreuses personnes ont généreusement contribué à la large
gamme de programmes distribuée de cette façon en toute confiance ; il appartient à chaque
auteur/donateur de décider de diffuser ses programmes selon les critères de son choix.
Cet article vise à décrire clairement ce qui est considéré comme une conséquence du reste de cette
Licence.
8. Si la distribution et/ou l'utilisation du Programme est limitée dans certains pays par des brevets
ou des droits sur des interfaces, le détenteur original des droits qui place le Programme sous cette
Licence peut ajouter explicitement une clause de limitation géographique excluant ces pays. Dans
ce cas, cette clause devient une partie intégrante de la Licence.
9. La Free Software Foundation se réserve le droit de publier périodiquement des mises à jour ou
de nouvelles versions de la Licence publique générale. Rédigées dans le même esprit que la
présente version, elles seront cependant susceptibles d'en modifier certains détails à mesure que
de nouveaux problèmes se font jour.
Chaque version possède un numéro distinct. Si le Programme précise un numéro de version de
cette Licence et « toute version ultérieure », vous avez le choix de suivre les termes et conditions de
cette version ou de toute autre version plus récente publiée par la Free Software Foundation. Si le
Programme ne spécifie aucun numéro de version, vous pouvez alors choisir l'une quelconque des
versions publiées par la Free Software Foundation.
10. Si vous souhaitez incorporer des éléments du Programme dans d'autres programmes libres
dont les conditions de distribution diffèrent, vous devez écrire à l'auteur pour lui en demander la
permission. Pour ce qui est des programmes directement déposés par la Free Software
Foundation, écrivez-nous : une exception est toujours envisageable. Notre décision sera basée sur
notre volonté de préserver la liberté de notre programme ou de ses dérivés et celle de promouvoir
le partage et la réutilisation du logiciel en général.
LIMITATION DE GARANTIE
11. PARCE QUE L'UTILISATION DE CE PROGRAMME EST LIBRE ET GRATUITE, AUCUNE
GARANTIE N'EST FOURNIE, COMME LE PERMET LA LOI. SAUF MENTION ECRITE, LES
DETENTEURS DES DROITS D'AUTEUR ET/OU D'AUTRES PARTIES FOURNISSENT LE
PROGRAMME « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU
IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES IMPLICITES DE
QUALITE MARCHANDE ET D'ADEQUATION A UN USAGE PARTICULIER. VOUS
ASSUMEZ TOUS LES RISQUES QUANT A LA QUALITE ET AUX PERFORMANCES DU
PROGRAMME. SI LE PROGRAMME EST DEFECTUEUX, VOUS ASSUMEZ LE COUT DE
TOUS LES SERVICES, REPARTIONS OU CORRECTIONS NECESSAIRES.
12. SAUF LORSQU'EXPLICITEMENT PREVU PAR LA LOI OU ACCEPTE PAR ECRIT, NI LE
DETENTEUR DES DROITS, NI QUICONQUE AUTORISE A MODIFIER ET/OU
REDISTRIBUER LE PROGRAMME COMME IL EST PERMIS CI-DESSUS NE POURRA ETRE
TENU POUR RESPONSABLE DE TOUT DOMMAGE, NOTAMMENT TOUT DOMMAGE
GENERAL, SPECIAL, ACCESSOIRE OU CONSECUTIF DECOULANT DE L'UTILISATION DU
PROGRAMME OU DE L'IMPOSSIBILITE D'UTILISER CELUI-CI (NOTAMMENT, MAIS SANS
S'Y LIMITER, LA PERTE DE DONNEES OU DES DONNEES INEXACTES OU DES PERTES
FINANCIERES POUR VOUS OU DES TIERS OU L'INCOMPATIBILITE DU PROGRAMME
AVEC D'AUTRES PROGRAMMES), ET CE MEME SI LE DETENTEUR OU AUTRE PARTIE A
ETE INFORME DE L'EVENTUALITE DE TELS DOMMAGES.
[Il s'agit de la première version de la Licence publique générale limitée (LGPL). Elle succède à
la Licence publique générale de bibliothèque GNU, version 2, d'où le numéro de version 2.1.]
Préambule :
Les licences d'utilisation de la plupart des programmes sont définies pour limiter ou
supprimer toute liberté à l'utilisateur. A l'inverse, les Licences publiques générales GNU sont
destinées à vous garantir la liberté de partager et de modifier les logiciels libres, et de s'assurer
que ces logiciels sont effectivement accessibles à tout utilisateur.
Cette licence, la Licence publique générale limitée, s'applique à certains modules logiciels
désignés spécifiquement, généralement des bibliothèques, de la Free Software Foundation et
d'autres auteurs qui décident de l'utiliser. Vous pouvez également l’utiliser, mais nous vous
suggérons de considérer d’abord si la présente licence ou la Licence publique générale GNU
ordinaire est la meilleure stratégie à utiliser dans chaque cas particulier, suivant les
explications données ci-dessous.
Liberté d'utilisation des logiciels ne signifie pas nécessairement gratuité. Nos Licences
publiques générales sont conçues pour vous assurer la liberté de distribuer des copies des
programmes, gratuitement ou non, de recevoir le code source ou de pouvoir l'obtenir, de
modifier les programmes ou d'en utiliser des éléments dans de nouveaux programmes libres,
en sachant que vous y êtes autorisé.
Afin de garantir ces droits, nous avons dû introduire des restrictions interdisant aux
distributeurs de vous les refuser ou de vous demander d'y renoncer. Ces restrictions vous
imposent en retour certaines obligations si vous distribuez ou modifiez des copies de la
bibliothèque ou si vous la modifiez.
Par exemple, si vous distribuez des copies de la bibliothèque, que ce soit gratuitement ou non,
vous devez transmettre aux destinataires tous les droits que nous vous concédons. Vous
devez vous assurer d'expédier aux destinataires le code source ou bien tenir celui-ci à leur
disposition. Si vous liez d’autres codes avec la bibliothèque, vous devez fournir des fichiers
objets complets aux concessionnaires, de sorte qu’ils peuvent les lier à nouveau avec la
bibliothèque après l’avoir modifiée et recompilée. Vous devez également leur remettre cette
Licence afin qu'ils prennent connaissance de leurs droits.
Nous protégeons vos droits par une méthode en deux étapes : (1) par le copyright de la
bibliothèque, et (2) par la remise de cette licence qui vous autorise légalement à copier,
distribuer et/ou modifier la bibliothèque.
Pour protéger chaque distributeur, nous voulons établir de façon très claire qu’il n’y a aucune
garantie pour la bibliothèque libre. De plus, si un tiers la modifie puis la redistribue, les
concessionnaires doivent savoir qu'il ne s'agit pas de l'original afin qu'une copie défectueuse
n'entache pas la réputation de l'auteur de la bibliothèque.
Enfin, les brevets logiciels constituent une menace constante contre l’existence même de tout
logiciel libre. Nous voulons être sûrs qu’une société ne peut pas effectivement restreindre les
utilisateurs d’un programme libre en obtenant une licence restrictive d’un titulaire de brevet.
Par conséquent, nous insistons pour que toute licence de brevet obtenue pour une version de
la bibliothèque soit cohérente avec sa pleine liberté d’utilisation spécifiée dans la présente
Licence.
La plupart des logiciels GNU, y compris certaines bibliothèques, sont couverts par la Licence
publique générale GNU. La présente licence s’applique à certaines bibliothèques désignées et
est assez différente de la Licence publique générale ordinaire. Nous utilisons la présente
licence pour certaines bibliothèques afin de permettre de lier ces bibliothèques à des
programmes non libres.
Lorsqu'un programme est lié à une bibliothèque, que ce soit statiquement ou avec une
bibliothèque partagée, la combinaison des deux constitue, en termes légaux, un travail
combiné, un dérivé de la bibliothèque originale. La Licence publique générale ordinaire ne
permet donc une telle liaison que si l’entière combinaison remplit ses critères et conditions de
liberté. La Licence publique générale limitée permet de desserrer les critères permettant de lier
d’autres codes à la bibliothèque.
Nous appelons cette licence la Licence publique générale « Limitée » car elle offre en fait une
protection plus limitée de la liberté de l’utilisateur que celle offerte par la Licence publique
générale ordinaire. Elle offre aux autres développeurs de logiciels libres un avantage plus
limité face aux programmes concurrents non libres. Ces inconvénients sont la raison pour
laquelle nous utilisons la Licence publique générale ordinaire pour de nombreuses
bibliothèques. La licence limitée offre toutefois des avantages dans certaines circonstances
spéciales.
Par exemple, en de rares occasions, il peut exister le besoin particulier d’encourager
l’utilisation la plus large possible d’une certaine bibliothèque, afin qu’elle devienne un
standard de facto. Pour arriver à cette fin, des programmes non libres doivent pouvoir être
autorisés à utiliser la bibliothèque. Un cas plus fréquent est qu’une bibliothèque libre effectue
les mêmes tâches que des bibliothèques non libres largement utilisées. Dans ce cas, il n’y a pas
grand chose à gagner à limiter la bibliothèque libre aux seuls logiciels libres, et nous utilisons
donc la Licence publique générale limitée.
Dans d’autres cas, l’autorisation d’utiliser une bibliothèque particulière dans des programmes
non libres permet à un plus grand nombre de personnes d’utiliser un corpus très large de
logiciels libres. Par exemple, l’autorisation d’utiliser la bibliothèque C GNU dans des
programmes non libres permet à plus de personnes d’utiliser le système d’exploitation GNU
tout entier, de même que sa variante, le système d'exploitation GNU/Linux.
Bien que la Licence publique générale limitée semble limiter la protection de la liberté de
l’utilisateur, elle assure que l’utilisateur d’un programme lié à la bibliothèque dispose de la
liberté et du choix d’exécuter ce programme en utilisant une version modifiée de la
bibliothèque.
Les dispositions exactes et les conditions de copie, de distribution et de modification sont les
suivantes : Prenez une attention tout particulière aux différences entre un travail basé sur la
bibliothèque et un travail utilisant la bibliothèque. Le premier contient du code dérivé de la
bibliothèque, tandis que le second doit être combiné avec la bibliothèque afin de pouvoir être
exécuté.
CONDITIONS RELATIVES A LA COPIE, LA DISTRIBUTION ET LA MODIFICATION
0. Cet Accord de licence s’applique à toute bibliothèque logicielle ou tout programme
contenant un avis placé par le détenteur des droits ou toute autre partie autorisée indiquant
que ce logiciel peut être distribué selon les termes de cette Licence publique générale limitée
(appelée ci-dessous « cette Licence »). Chaque personne concernée par la licence sera désignée
par le terme « Vous ».
Une « bibliothèque » signifie une collection de fonctions logicielles ou de données préparées
de façon à être liée facilement à des programmes applicatifs (utilisant tout ou partie de ces
fonctions et données) afin de former des exécutables
La « Bibliothèque », ci-dessous, fait référence à toute bibliothèque logicielle ou travail qui a été
distribué selon ces conditions. Un « travail basé sur la Bibliothèque » signifie soit la
Bibliothèque, soit tout travail dérivé pouvant être soumis aux droits d'auteur : c'est-à-dire tout
ouvrage reproduisant la Bibliothèque ou une partie de celle-ci, à l'identique ou bien modifié,
et/ou traduit dans une autre langue (la traduction est considérée comme une modification).
Le « code source » d'un travail désigne la forme de cet ouvrage sous laquelle les modifications
sont les plus aisées. Sont ainsi désignés la totalité du code source de tous les modules
composant une bibliothèque, de même que tout fichier de définition associé, ainsi que les
scripts utilisés pour effectuer la compilation et l'installation de la bibliothèque.
Les activités autres que la copie, la distribution et la modification ne sont pas couvertes par la
présente Licence et sortent de son cadre. Rien ne restreint l'utilisation de la Bibliothèque et les
données issues de celle-ci ne sont couvertes que si leur contenu constitue un travail basé sur la
Bibliothèque (indépendamment du fait d'avoir été réalisé en exécutant la Bibliothèque). Tout
dépend de ce que la Bibliothèque est censée produire.
1. Vous pouvez copier et distribuer des copies conformes du code source complet de la
Bibliothèque, tel que vous l'avez reçue, sur n'importe quel support, à condition de placer sur
chaque copie une mention de copyright appropriée et une restriction de garantie, de ne pas
modifier ou omettre tous les avis se référant à la présente Licence et à la limitation de garantie,
et de fournir avec toute copie de la Bibliothèque un exemplaire de la Licence.
Vous pouvez demander une rétribution financière pour la réalisation de la copie et demeurez
libre de proposer une garantie assurée par vos soins, moyennant finances.
2. Vous pouvez modifier votre ou vos copies de la Bibliothèque ou une partie de celle-ci, ou
d'un travail basé sur cette Bibliothèque, et copier et distribuer ces modifications selon les
termes de l'article 1 ci-dessus, à condition de vous conformer également aux conditions
suivantes :
* a) Le travail modifié doit être lui-même une bibliothèque logicielle.
* b) Ajouter aux fichiers modifiés l'indication très claire des modifications apportées, ainsi
que la date de chaque changement.
* c) Distribuer l'ensemble du travail sous licence sans frais à tous tiers selon les conditions de
cette Licence.
* d) Si une fonctionnalité de la Bibliothèque modifiée fait référence à une fonction ou une
table de données devant être fournie par une application utilisant la fonctionnalité, autre
qu’un argument transmis lors de l'invocation de la fonctionnalité, vous devez alors vous
assurer en toute bonne foi que dans l’éventualité où une application ne fournirait pas une telle
fonction ou table, la fonctionnalité restera opérationnelle et effectuera une partie quelconque
de sa finalité de façon sensée.
(Par exemple, une fonction dans une bibliothèque de calcul des racines carrées a une finalité
totalement indépendante de l’application. Par conséquent, l'alinéa 2d requiert que toute
fonction de l’application ou de la table utilisée par cette fonction doit être optionnelle : si
l’application n’en fournit pas, la fonction racine carrée doit encore pouvoir calculer des racines
carrées).
Toutes ces conditions s'appliquent à l'ensemble des modifications. Si des éléments
identifiables de ce travail ne sont pas dérivés de la Bibliothèque et peuvent être
raisonnablement considérés comme indépendants, la présente Licence ne s'applique pas à ces
éléments lorsque vous les distribuez seuls. Toutefois, si vous distribuez ces mêmes éléments
comme partie d'un ensemble cohérent dont le reste est basé sur une Bibliothèque soumise à la
Licence, ils lui sont également soumis, et la Licence s'étend ainsi à l'ensemble du produit, quel
qu'en soit l'auteur.
Cet article n'a pas pour but de s'approprier ou de contester vos droits sur un travail
entièrement réalisé par vous, mais plutôt d'ouvrir droit à un contrôle de la libre distribution
de tout travail dérivé ou collectif basé sur la Bibliothèque.
En outre, toute fusion d'un autre travail, non basé sur la Bibliothèque, avec la Bibliothèque (ou
avec un travail dérivé de cette dernière), effectuée sur un support de stockage ou de
distribution, ne fait pas tomber cet autre travail sous le contrôle de la Licence.
3. Vous pouvez choisir d’appliquer les conditions de la Licence publique générale GNU
ordinaire au lieu de ceux de cette Licence à une copie donnée de cette Bibliothèque. Pour ce
faire, vous devez modifier les avis correspondants à cette Licence, de sorte qu’ils se réfèrent
plutôt à la Licence publique générale GNU version 2, au lieu de cette Licence. (Si une version
officielle plus récente que la version 2 de la Licence publique générale GNU ordinaire a été
publiée, alors vous pouvez spécifier plutôt cette version si vous le souhaitez.) N'apportez
aucune autre modification dans ces avis.
Une fois cette modification apportée dans une copie donnée, celle-ci est irréversible pour cette
copie et la Licence publique générale GNU ordinaire s’applique à toutes les copies et travaux
dérivés suivants effectués à partir de cette copie
Cette option est utile lorsque vous souhaitez copier une partie du code de la Bibliothèque dans
un programme qui n’est pas une bibliothèque.
4. Vous pouvez copier et distribuer la Bibliothèque (ou une partie ou un produit dérivé de
celle-ci selon l'article 2) sous forme de code objet ou d'exécutable selon les termes des articles 1
et 2 ci-dessus, à condition que vous le fournissiez avec le code source complet, sous une forme
lisible par un ordinateur et selon les termes des articles 1 et 2 ci-dessus, sur un support
habituellement utilisé pour l'échange de données.
Si la distribution de l'exécutable ou du code objet consiste à offrir un accès permettant de la
copier depuis un endroit particulier, l'offre d'un accès équivalent pour se procurer le code
source au même endroit répond à l'exigence de distribuer le code source, même si l'utilisateur
choisit de ne pas profiter de cette offre.
5. Un programme qui ne contient aucun dérivé d’une quelconque portion de la Bibliothèque,
mais qui est conçu pour travailler avec la Bibliothèque en étant compilé ou lié avec cette
Bibliothèque, est appelé un « travail utilisant la Bibliothèque ». Un tel travail, pris isolément,
n’est pas un travail dérivé de la Bibliothèque et tombe par conséquent hors du champ
d’application de cette Licence.
Cependant, la liaison avec la Bibliothèque d’un « travail utilisant la Bibliothèque » crée un
exécutable qui est un dérivé de la Bibliothèque (car il contient des parties de la Bibliothèque),
plutôt qu’un « travail utilisant la Bibliothèque ». L’exécutable est par conséquent couvert par
cette Licence. L'article 6 définit les termes de distribution de tels exécutables.
Lorsqu'un « travail utilisant la Bibliothèque » utilise des éléments d’un fichier d’en-tête faisant
partie de la Bibliothèque, le code objet de ce travail peut être un travail dérivé de la Bibliothèque
même si son code source ne l’est pas. Cette définition prend tout particulièrement son sens si le
travail peut être lié sans la Bibliothèque ou si le travail est lui-même une bibliothèque. Les
délimitations de ce cas ne sont pas définies de façon précise par la loi.
Si un tel fichier objet utilise uniquement des paramètres numériques, des schémas et
accesseurs de structures de données et de petites macros et petites fonctions en ligne
(dix lignes de source maximum), alors l’utilisation du fichier objet n'est pas restreinte,
indépendamment du fait que cela constitue légalement un travail dérivé (les termes de
l'article 6 s’appliquent tout de même aux exécutables contenant ce code objet plus des parties
de la Bibliothèque).
Sinon, si le travail est un dérivé de la Bibliothèque, vous pouvez distribuer le code objet du
travail selon les termes de l'article 6. Ceux-ci s’appliquent alors à tout exécutable contenant ce
travail, que ce dernier soit ou ne soit pas lié directement à la Bibliothèque elle-même.
6. Par exception aux articles ci-dessus, vous pouvez aussi combiner ou lier un « travail
utilisant la Bibliothèque » à la Bibliothèque pour produire un travail contenant des parties de
la Bibliothèque et distribuer ce travail selon les termes de votre choix, pourvu que ces termes
permettent la modification du travail pour les besoins propres du client et l’ingénierie inverse
permettant le débogage de telles modifications
Vous devez insérer un avis visible dans chaque copie du travail montrant que la Bibliothèque
est utilisée dans celui-ci et que la Bibliothèque et son utilisation sont couvertes par cette
Licence. Vous devez fournir une copie de cette Licence. Si le travail lors de son exécution
affiche des avis de droits d'auteur, vous devez inclure l'avis relatif à la Bibliothèque parmi
celles-ci, ainsi qu’une référence adressée à l’utilisateur vers une copie de cette Licence. Vous
devez également réaliser l’une des tâches suivantes :
* a) Accompagner le travail avec le code source complet correspondant lisible par une
machine pour la Bibliothèque, notamment toute modification apportée dans le travail (qui
doit être distribué selon les termes des articles 1 et 2 ci-dessus) ; et, si le travail est un
exécutable lié à la Bibliothèque, fournir la totalité du « travail utilisant la Bibliothèque » lisible
par une machine, sous forme de code objet et/ou de code source, de sorte que l’utilisateur
puisse modifier la Bibliothèque et la relier pour produire un exécutable modifié contenant la
Bibliothèque modifiée. (Il est admis que l’utilisateur qui modifie le contenu des fichiers de
définition dans la Bibliothèque ne sera pas nécessairement capable de recompiler l’application
pour utiliser les définitions modifiées.)
* b) Utiliser un mécanisme approprié de bibliothèque partagée pour la liaison à la
Bibliothèque. Un mécanisme approprié est celui qui (1) utilise lors de l’exécution une copie de
la bibliothèque déjà présente sur le système de l’ordinateur de l’utilisateur, plutôt que de
copier des fonctions de bibliothèque dans l’exécutable et (2) fonctionnera correctement avec
une version modifiée de la bibliothèque, si l’utilisateur en installe une, tant que la version
modifiée est compatible au niveau de l’interface avec la version avec laquelle le travail a été
réalisé.
* c) Accompagner le travail d’une offre écrite, valide pendant au moins trois ans, pour
donner au même utilisateur les éléments spécifiés dans l'alinéa 6a ci-dessus, contre un
paiement n’excédant pas le coût requis pour effectuer cette distribution.
* d) Si la distribution du travail est faite en offrant l’accès à une copie depuis un
emplacement désigné, offrir un accès équivalent depuis le même emplacement pour copier les
éléments spécifiés ci-dessus.
* e) Vérifier que l’utilisateur a déjà reçu une copie de ces éléments ou que vous en avez déjà
envoyé une copie à cet utilisateur.
Pour un exécutable, la forme requise du « travail utilisant la Bibliothèque » doit inclure toutes
les données et programmes utilitaires nécessaires permettant de reproduire l’exécutable à
partir de ceux-ci. Toutefois, l'environnement standard de développement du système
d'exploitation mis en œuvre (source ou binaire), compilateurs, bibliothèques, noyau, etc.,
constitue une exception, sauf si ces éléments sont diffusés en même temps que le programme
exécutable.
Il est possible que ces conditions nécessaires contredisent les restrictions de licence d’autres
bibliothèques propriétaires qui n’accompagnent pas normalement le système d’exploitation.
Une telle contradiction signifie que vous ne pouvez pas les utiliser en même temps que la
Bibliothèque dans un exécutable que vous distribuez.
7. Vous pouvez placer les facilités de bibliothèque qui sont un travail basé sur la Bibliothèque
côte à côte dans une bibliothèque unique avec d’autres facilités de bibliothèque non couvertes
par cette Licence et distribuer une telle bibliothèque combinée, à condition que la distribution
séparée du travail basé sur la Bibliothèque et des autres facilités de bibliothèque soient
autrement autorisée et à condition de réaliser les deux tâches suivantes :
* a) Accompagner la bibliothèque combinée avec une copie du même travail basé sur la
Bibliothèque, non combinée avec d’autres facilités de la Bibliothèque. Cela doit être distribué
selon les termes des articles ci-dessus.
* b) Insérer un avis visible avec la bibliothèque combinée du fait qu’une partie de celle-ci est
un travail basé sur la Bibliothèque et expliquant où trouver la forme non combinée du même
travail.
8. Vous ne pouvez pas copier, modifier, céder, lier à ou distribuer la Bibliothèque d'une autre
manière que l'autorise cette Licence. Toute tentative de ce type annule immédiatement vos
droits d'utilisation de la Bibliothèque sous cette Licence. Toutefois, les tiers ayant reçu de vous
des copies du programme ou le droit d'utiliser ces copies continueront à bénéficier de leur
droit d'utilisation tant qu'ils respecteront pleinement les conditions de la Licence.
9. Ne l'ayant pas signée, vous n'êtes pas obligé d'accepter cette Licence. Cependant, rien
d'autre ne vous autorise à modifier ou distribuer la Bibliothèque ou ses travaux dérivés : la loi
l'interdit tant que vous n'acceptez pas les termes de cette Licence. En conséquence, en
modifiant ou en distribuant la Bibliothèque (ou tout travail basé sur celle-ci), vous acceptez
implicitement tous les termes et conditions de cette Licence.
10. La diffusion d'une Bibliothèque (ou de tout travail dérivé) suppose l'envoi simultané d'une
licence autorisant la copie, la distribution ou la modification de la Bibliothèque, aux termes et
conditions de la Licence. Vous n'avez pas le droit d'imposer de restrictions supplémentaires
aux droits transmis au destinataire. Vous n'êtes pas responsable du respect de la Licence par
un tiers.
11. Si, à la suite d'une décision de justice, d'une plainte en contrefaçon ou pour toute autre
raison (liée ou non à la contrefaçon), des conditions vous sont imposées (que ce soit par
ordonnance, accord amiable ou autre) qui se révèlent incompatibles avec les termes de la
présente Licence, vous n'êtes pas pour autant dégagé des obligations liées à celle-ci : si vous ne
pouvez concilier vos obligations légales ou autres avec les conditions de cette Licence, vous ne
devez pas distribuer la Bibliothèque. Par exemple, si une licence brevetée ne permet pas une
redistribution gratuite de la Bibliothèque de tous les utilisateurs qui reçoivent directement ou
indirectement des copies par vous, le seul moyen de vous conformer à cette licence brevetée et
à la présente Licence serait de ne pas distribuer la Bibliothèque.
Si une partie quelconque de cet article est invalidée ou inapplicable pour quelque raison que
ce soit, le reste de l'article continue de s'appliquer et l'intégralité de l'article s'appliquera en
toute autre circonstance.
Le présent article n'a pas pour but de vous pousser à enfreindre des droits ou des dispositions
légales ni en contester la validité ; son seul objectif est de protéger l'intégrité du système de
distribution du logiciel libre. De nombreuses personnes ont généreusement contribué à la
large gamme de programmes distribuée de cette façon en toute confiance ; il appartient à
chaque auteur/donateur de décider de diffuser ses programmes selon les critères de son
choix.
Cet article vise à décrire clairement ce qui est considéré comme une conséquence du reste de
cette Licence.
12. Si la distribution et/ou l'utilisation de la Bibliothèque est limitée dans certains pays par des
brevets ou des droits sur des interfaces, le détenteur original des droits qui place la
Bibliothèque sous cette Licence peut ajouter explicitement une clause de limitation
géographique excluant ces pays. Dans ce cas, cette clause devient une partie intégrante de la
Licence.
13. La Free Software Foundation se réserve le droit de publier périodiquement des mises à
jour ou de nouvelles versions de la Licence publique générale limitée. Rédigées dans le même
esprit que la présente version, elles seront cependant susceptibles d'en modifier certains
détails à mesure que de nouveaux problèmes se font jour.
Chaque version possède un numéro distinct. Si la Bibliothèque précise un numéro de version
de cette Licence et « toute version ultérieure », vous avez le choix de suivre les termes et
conditions de cette version ou de toute autre version plus récente publiée par la Free Software
Foundation. Si la Bibliothèque ne spécifie aucun numéro de version, vous pouvez alors choisir
l'une quelconque des versions publiées par la Free Software Foundation.
14. Si vous souhaitez incorporer des éléments de la Bibliothèque dans d'autres programmes
libres dont les conditions de distribution sont incompatibles avec les présentes, vous devez
écrire à l'auteur pour lui en demander la permission. Pour ce qui est des programmes
directement déposés par la Free Software Foundation, écrivez-nous : une exception est
toujours envisageable. Notre décision sera basée sur notre volonté de préserver la liberté de
notre programme ou de ses dérivés et celle de promouvoir le partage et la réutilisation du
logiciel en général.
LIMITATION DE GARANTIE
15. PARCE QUE L'UTILISATION DE CETTE BIBLIOTHEQUE EST LIBRE ET GRATUITE,
AUCUNE GARANTIE N'EST FOURNIE, COMME LE PERMET LA LOI. SAUF MENTION
ECRITE, LES DETENTEURS DES DROITS D'AUTEUR ET/OU D'AUTRES PARTIES
FOURNISSENT LA BIBLIOTHEQUE « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE,
EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES
IMPLICITES DE QUALITE MARCHANDE ET D'ADEQUATION A UN USAGE
PARTICULIER. VOUS ASSUMEZ TOUS LES RISQUES QUANT A LA QUALITE ET AUX
PERFORMANCES DE LA BIBLIOTHEQUE. SI LA BIBLIOTHEQUE EST DEFECTUEUSE,
VOUS ASSUMEZ LE COUT DE TOUS LES SERVICES, REPARTIONS OU CORRECTIONS
NECESSAIRES.
16. SAUF LORSQU'EXPLICITEMENT PREVU PAR LA LOI OU ACCEPTE PAR ECRIT, NI
LE DETENTEUR DES DROITS, NI QUICONQUE AUTORISE A MODIFIER ET/OU
REDISTRIBUER LA BIBLIOTHEQUE COMME IL EST PERMIS CI-DESSUS NE POURRA
ETRE TENU POUR RESPONSABLE DE TOUT DOMMAGE, NOTAMMENT TOUT
DOMMAGE GENERAL, SPECIAL, ACCESSOIRE OU CONSECUTIF DECOULANT DE
L'UTILISATION DE LA BIBLIOTHEQUE OU DE L'IMPOSSIBILITE D'UTILISER CELLE-CI
(NOTAMMENT, MAIS SANS S'Y LIMITER, LA PERTE DE DONNEES OU DES DONNEES
INEXACTES OU DES PERTES FINANCIERES POUR VOUS OU DES TIERS OU
L'INCOMPATIBILITE DE LA BIBLIOTHEQUE AVEC D'AUTRES BIBLIOTHEQUE), ET CE
MEME SI LE DETENTEUR OU AUTRE PARTIE A ETE INFORME DE L'EVENTUALITE DE
TELS DOMMAGES.
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Tous droits réservés.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman et Daniel Veillard. Tous droits
réservés.
Copyright (C) 1998 Bjorn Reese et Daniel Stenberg.
Copyright (C) 2000 Gary Pennington et Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>
Copyright (c) 2001, 2002, 2003 Python Software Foundation
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>
L'autorisation est accordée gratuitement à toute personne d'obtenir une copie de ce logiciel et
des fichiers de documentation associés (le « Logiciel »), d'utiliser le Logiciel sans restrictions,
notamment, mais sans s'y limiter, le droit d'utiliser, copier, modifier, fusionner, publier,
distribuer, céder et/ou de vendre des copies du Logiciel, et d'autoriser les personnes
auxquelles le Logiciel est fourni de faire ainsi, sous les conditions suivantes :
L'avis de droits d'auteur ci-dessus et cet avis d'autorisation doivent être inclus dans toutes les
copies ou parties substantielles du Logiciel.
LE LOGICIEL EST FOURNI « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE,
EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES
IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER
ET DE NON CONTREFACON. EN AUCUN CAS LES AUTEURS OU DETENTEURS DES
DROITS D'AUTEUR NE POURRONT ETRE TENUS POUR RESPONSABLES DE TOUT
DOMMAGE OU AUTRE RESPONSABILITE, QUE CE SOIT DE MANIERE
CONTRACTUELLE, A TORT OU AUTRE, DECOULANT DE, EN DEHORS DE OU EN
RELATION AVEC LE LOGICIEL OU DE L'UTILISATION OU AUTRES DU LOGICIEL.
OpenSSH
Ce fichier fait partie du logiciel OpenSSH.
Les licences auxquelles des composants du logiciel s'appliquent sont les suivantes. Nous
résumerons tout d'abord tous les composants liés à une licence BSD, puis une licence plus
gratuite que celle-ci.
OpenSSH ne contient pas de code GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finlande
Tous droits réservés.
Le code que j'ai écrit pour ce logiciel peut être utilisé librement à toutes fins utiles. Toutes les
versions dérivées de ce logiciel peuvent être clairement indiquées comme telles et, si le travail
dérivé est incompatible avec le protocole décrit dans le fichier RFC, il doit porter un nom autre
que « ssh » ou « Secure Shell ».
[Tatu, suite]
Je n'envisage cependant pas d'accorder de licence pour des brevets ou des droits d'auteur
détenus par des tiers, et le logiciel inclut des parties que je ne contrôle pas directement.
L'ensemble du code source inclus est utilisé conformément aux termes et conditions de la
licence correspondante et peut être utilisé librement à toute fin utile (la licence GNU étant la
plus restrictive) ; voir ci-dessous pour plus d'informations.
Aucun de ces termes ne s'applique cependant à ce stade. Tous les composants logiciels sous
licence restrictifs mentionnés ont été retirés d'OpenSSH, à savoir,
-RSA n'est plus inclus, disponible dans la bibliothèque OpenSSL
-IDEA n'est plus inclus et n'est plus utilisé
-DES est désormais externe, dans la bibliothèque OpenSSL
-GMP n'est plus utilisé et nous appelons désormais le code BN d'OpenSSL
-Zlib est désormais externe, dans une bibliothèque
-Le script make-ssh-known-hosts n'est plus inclus
-TSS a été supprimé
-MD5 est désormais externe, dans la bibliothèque OpenSSL
-la prise en charge RC4 a été remplacé par la prise en charge ARC4 depuis OpenSSL
-Blowfish est désormais externe, dans la bibliothèque OpenSSL
[Suite de la licence]
Notez que toutes les informations et tous les algorithmes cryptographiques utilisés dans ce logiciel
sont disponibles publiquement sur dans toutes les documentations, bibliothèques scientifiques et
organismes de brevets du mon entier. De plus amples informations sont disponibles, par exemple,
à l'adresse http://www.cs.hut.fi/crypto.
Le statut légal de ce programme est une combinaison de toutes ces autorisations et restrictions.
Vous l'utilisez sous votre entière responsabilité. Vous serez tenu pour responsable de toute
conséquence juridique ; je décline toute responsabilité de possession ou d'utilisation de ce statut
légal ou non dans votre pays et je ne serai pas tenu pour responsable en votre nom.
LIMITATION DE GARANTIE
PARCE QUE L'UTILISATION DE CE PROGRAMME EST LIBRE ET GRATUITE, AUCUNE
GARANTIE N'EST FOURNIE, COMME LE PERMET LA LOI. SAUF MENTION ECRITE, LES
DETENTEURS DES DROITS D'AUTEUR ET/OU D'AUTRES PARTIES FOURNISSENT LE
PROGRAMME « EN L'ETAT » SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU
IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES IMPLICITES DE
QUALITE MARCHANDE ET D'ADEQUATION A UN USAGE PARTICULIER. VOUS
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-
dessus, cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la
documentation et/ou les autres documents fournis avec la distribution.
CE LOGICIEL EST FOURNI PAR L'AUTEUR « EN L'ETAT » ET TOUTE GARANTIE
EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER, LES GARANTIES
IMPLICITES DE QUALITE MARCHANDE OU D'ADEQUATION A UN USAGE
PARTICULIER EST EXCLUE. EN AUCUN CAS L'AUTEUR NE POURRA ETRE TENU
POUR RESPONSABLE DE TOUT DOMMAGE DIRECT, INDIRECT, ACCESSOIRE,
SPECIAL, EXCEPTIONNEL OU CONSECUTIF (NOTAMMENT, MAIS SANS S'Y LIMITER,
LA FOURNITURE DE PRODUITS OU SERVICES DE REMPLACEMENT, LA PERTE
D'UTILISATION, DE DONNEES OU DE PROFILS ; OU UNE INTERRUPTION DES
ACTIVITES) DUS OU LIES A UNE RESPONSABILITE, QU'ELLE SOIT CONTRACTUELLE,
RESPONSABILITE STRICTE OU A TORT (NOTAMMENT UNE NEGLIGENCE OU AUTRE)
DECOULANT D'UNE QUELCONQUE UTILISATION DE CE LOGICIEL, ET CE MEME S'IL
A ETE INFORME DE L'EVENTUALITE DE TELS DOMMAGES.
PSF
1. Ce CONTRAT DE LICENCE est conclu entre Python Software Foundation (« PSF ») et la
personne ou l'organisation (« Licencié ») accédant ou utilisant autrement le logiciel Python 2.3
sous forme source ou binaire et sa documentation associée.
2. Selon les termes et conditions de ce Contrat de licence, PSF octroie au Licencié une licence
non exclusive, sans frais et mondiale pour reproduire, analyser, tester, exécuter et/ou afficher
publiquement, créer des travaux dérivés et autrement utiliser Python 2.3 seul ou dans une
version dérivée. Toutefois, ce Contrat de licence de PSF et la mention de droits d'auteur de
PSF, à savoir la mention « Copyright (c) 2001, 2002, 2003 Python Software Foundation. Tous
droits réservés » doivent être conservés dans Python 2.3 seul ou dans toute version dérivée
créée par le Licencié.
3. Dans l'éventualité où le Licencié développerait un travail dérivé basé ou intégré à Python
2.3 ou à une quelconque partie de celui-ci, et s'il souhaite mettre le travail dérivé à disposition
d'autres utilisateurs tel qu'il est proposé dans la présente, le Licencié accepte alors d'inclure
dans tout travail dérivé un bref résumé des modifications apportées à Python 2.3.
4. PSF permet de mettre Python 2.3 à disposition du Licencié « TEL QUEL ». PSF NE
FOURNIT AUCUNE REPRESENTATION OU GARANTIE, EXPLICITE OU IMPLICITE. A
TITRE D'EXEMPLE, MAIS SANS S'Y LIMITER, PSF NE FOURNIT ET N'ASSUME AUCUNE
REPRESENTATION OU GARANTIE DE QUALITE MARCHANDE OU D'ADEQUATION A
UN USAGE PARTICULIER OU TELLE QUE L'UTILISATION DE PYTHON 2.3
N'ENFREINDRA AUCUN DROIT TIERS.
5. PSF NE SERA PAS TENU POUR RESPONSABLE ENVERS LE LICENCIE OU TOUT
AUTRE UTILISATEUR DE PYTHON 2.3 DE TOUT DOMMAGE ACCESSOIRE, SPECIAL OU
CONSECUTIF OU D'UNE PERTE SUITE A LA MODIFICATION, DISTRIBUTION OU
AUTRE UTILISATION DE PYTHON 2.3, OU DE TOUT TRAVAIL DERIVE DE CELUI-CI, ET
CE MEME S'IL A ETE INFORME DE L'EVENTUALITE D'UN TEL DOMMAGE.
6. Ce Contrat de licence sera automatiquement résilié en cas de manquement aux termes et
conditions.
7. Aucune information contenue dans ce Contrat de licence ne doit être utilisée dans le but de
créer une quelconque relation de filiation, de partenariat ou d'association entre PSF et le
Licencié. Ce Contrat de licence n'accorde pas d'autorisation pour utiliser les marques
commerciales PSF ou un nom de marque afin de s'approprier ou promouvoir des produits ou
services du Licencié ou d'un tiers.
8. En copiant, installant ou utilisant autrement Python 2.3, le Licencié accepté d'être lié par les
termes et conditions de ce Contrat de licence.
PHP
Licence PHP, version 3.01
Copyright (c) 1999 - 2009 The PHP Group. Tous droits réservés.
La redistribution et l'utilisation sous forme source et binaire, avec ou sans modification, sont
autorisées pourvu que les conditions suivantes soient remplies :
1. Les redistributions du code source doivent contenir la mention de copyright ci-dessus, cette liste
de conditions et l'avis de non-responsabilité ci-dessous.
2. Les redistributions sous forme binaire doivent reproduire la mention de copyright ci-dessus,
cette liste de conditions et l'avis de non-responsabilité ci-dessous dans la documentation et/ou les
autres documents fournis avec la distribution.
3. Le nom « PHP » ne doit pas être utilisé pour s'approprier ou promouvoir des produits dérivés
de ce logiciel sans accord écrit préalable. Pour obtenir un accord écrit, contactez group@php.net.
4. Les produits dérivés de ce logiciel ne peuvent pas être nommés « PHP » et « PHP » ne peut pas
apparaître dans leurs noms sans un accord écrit préalable obtenu auprès de group@php.net. Vous
pouvez indiquer que votre logiciel est utilisé en association avec PHP en indiquant « Foo pour
PHP » au lieu de le nommer « PHP Foo » ou « phpfoo »
5. Le PHP Group se réserve le droit de publier périodiquement des mises à jour ou de nouvelles
versions de la licence. Chaque version possède un numéro distinct. Une fois le code concerné
publié selon une version spécifique de la licence, vous pouvez continuer à l'utiliser selon les termes
de cette version. Vous pouvez également choisir d'utiliser ce code concerné selon les termes d'une
version ultérieure de la licence publiée par le PHP Group. Aucune entité autre que le PHP n'a le
droit de modifier les termes applicables au code concerné et créé selon cette Licence.
6. Les redistributions d'une quelconque forme doivent inclure la mention suivante : « Ce produit
inclut le logiciel PHP, disponible gratuitement à l'adresse <http://www.php.net/software/> ».
CE LOGICIEL EST FOURNI PAR L'EQUIPE DE DEVELOPPEMENT DE PHP « EN L'ETAT » ET
TOUTE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT, MAIS SANS S'Y LIMITER,
LES GARANTIES IMPLICITES DE QUALITE MARCHANDE OU D'ADEQUATION A UN
USAGE PARTICULIER EST EXCLUE. EN AUCUN CAS L'EQUIPE DE DEVELOPPEMENT DE
PHP NE POURRA ETRE TENU POUR RESPONSABLE DE TOUT DOMMAGE DIRECT,
INDIRECT, ACCESSOIRE, SPECIAL, EXCEPTIONNEL OU CONSECUTIF (NOTAMMENT,
MAIS SANS S'Y LIMITER, LA FOURNITURE DE PRODUITS OU SERVICES DE
REMPLACEMENT, LA PERTE D'UTILISATION, DE DONNEES OU DE PROFILS ; OU UNE
INTERRUPTION DES ACTIVITES) DUS OU LIES A UNE RESPONSABILITE, QU'ELLE SOIT
CONTRACTUELLE, RESPONSABILITE STRICTE OU A TORT (NOTAMMENT UNE
NEGLIGENCE OU AUTRE) DECOULANT D'UNE QUELCONQUE UTILISATION DE CE
LOGICIEL, ET CE MEME SI ELLE A ETE INFORMEE DE L'EVENTUALITE DE TELS
DOMMAGES.
Ce logiciel inclut des contributions volontaires développées par des individus au nom du PHP
Group.
Le PHP Group peut être contacté par courrier électronique à l'adresse group@php.net.
Pour plus d'informations sur le PHP Group et le projet PHP, consultez le site <http://
www.php.net>.
PHP inclut le moteur Zend, disponible gratuitement à l'adresse <http://www.zend.com>.
Zlib
Copyright (C) 1995-2005 Jean-loup Gailly et Mark Adler
Ce logiciel est fourni en l'état, sans garantie explicite ou implicite. En aucun cas les auteurs ne
seront tenus pour responsables de tout dommage découlant de l'utilisation de ce logiciel.
L'autorisation est accordée à toute personne d'utiliser ce logiciel à toute fin utile, notamment
des applications commerciales, et de le modifier et de le redistribuer gratuitement selon les
restrictions suivantes :
1. L'origine de ce logiciel ne doit pas être représentée de manière incorrecte et vous ne devez
pas déclarer que vous avez créé le logiciel d'origine. Si vous utilisez ce logiciel dans un
produit, il est apprécié (mais non obligatoire) de l'indiquer dans la documentation du produit.
2. Les versions source modifiées doivent être clairement identifiées en tant que telles et ne
doivent pas être représentées de manière incorrecte comme étant le logiciel d'origine.
3. Cet avis ne doit pas être supprimé ni modifié dans une quelconque distribution source.
Jean-loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu