Vous êtes sur la page 1sur 155

Firewalling et Filtrage URL

CHAKIR EL MOSTAPHA
chakirsmi@gmail.com
2

Introduction
Firewall Policies
3

Objectives
Dans cette formation, vous apprendrez:

 Pourquoi avez-vous besoin de politiques de pare-feu


 Ce que les politiques de pare-feu par défaut faire
 Comment configurer les paramètres de stratégie de pare-feu
 Comment configurer NAT dans les politiques
 Comment configurer des stratégies de filtrage de paquets
 Comment configurer des stratégies de proxy
 Comment configurer des politiques avec les services de sécurité
 Comment activer la journalisation et suivi des politiques
 Comment lire les messages du journal de trafic
4

Plan de cours
 Vue d'ensemble des politiques
 Network Address Translation
 Propriétés de la politique
 Exemple
 Conditions de filtrage de paquets
 Politiques proxy
 Enregistrement et suivi des politiques de pare-feu
5

Vue d'ensemble des politiques


Un aperçu des politiques
6

Qu'est-ce qu'une politique?


 Une politique est une règle de contrôle de trafic, ce trafic est autorisé ou
refusé par le FW.

 Chaque politique définit un ensemble de règles qui indiquent le FW


pour autoriser ou refuser le trafic, en fonction de plusieurs facteurs tels
que la source et la destination du paquet ou le port TCP / IP ou le
protocole utilisé pour le paquet.

 Une politique s'applique aux connexions qui correspondent à la


source, la destination, les ports et protocoles définis dans la politique.
7

Qu'est-ce qu'une politique?


 Le Firewall inclut des modèles de politique prédéfinis que
vous pouvez utiliser pour créer des politiques applicables
aux différents types de trafic.

▪ Vous ne pouvez pas


modifier les modèles
de stratégie prédéfinis.
▪ Vous pouvez créer
des modèles de stratégie
personnalisée pour les
politiques de filtrage de
paquets ou proxy qui spécifient
les différents ports et protocoles.
8

Pourquoi créer des politiques de Firewall?


 Pour définir les connexions autorisés sur votre réseau

• Définir les types de connexions sont autorisées

• Autoriser les connexions à partir de sources spécifiques vers des


destinations spécifiques
 Pour protéger votre réseau
• Identifier et bloquer les virus, les réseaux de zombies et autres
logiciels malveillants

• Drop ou bloque les connexions en fonction du contenu de l'en-tête


IP ou le contenu des paquets
• Bloquer les connexions vers des sites avec une mauvaise
réputation
9

Pourquoi créer des politiques de Firewall?


 Pour forcer les ordinateurs de votre organisation à utiliser la
politique de sécurité
• Contrôle d'accès aux sites de médias sociaux
• Empêcher le téléchargement de certains types de fichiers
• Contrôler les types d'applications qui fonctionnent sur votre réseau
• Restreindre les types de trafic à des heures spécifiques
 Pour configurer différentes règles d'accès pour différents
utilisateurs
• Définissez des politiques par département ou d'un rôle (étudiants /
enseignants, ou départements)
• Autoriser les invités à se connecter en toute sécurité à Internet
10

Packet Filters, Proxies, et ALGs


 Avec le Firewall, vous pouvez configurer deux types de
politiques:
• Packet Filter
– Examine l'en-tête IP de chaque paquet au niveau des couches réseau
et transport . Si les informations d'en-tête de paquet est légitime et le
contenu de l'en-tête de paquet correspond aux critères définis dans la
politique, le Firewall autorise le paquet. Dans le cas contraire, le
Firewall refuse le paquet.
• Proxy Policy ou ALGs (Application Layer Gateway)
– Examine à la fois les informations d'en-tête IP et le contenu de chaque
paquet à la couche d'application pour vous assurer que les connexions
sont sécurisées.
11

Packet Filters, Proxies, et ALGs


 Proxy Policy et ALGs (Application Layer Gateway)
- Si les informations d'en-tête de paquet est légitime, et le
contenu du paquet correspond aux critères définis dans la
politique proxy, le proxy autorise le paquet.

- Si le contenu ne correspond pas aux critères établis dans la


politique proxy, le proxy supprime le paquet, ou dans
certains cas, peut supprimer le contenu interdit.
- Une ALG complète les mêmes fonctions en tant que proxy,
mais assure également la gestion de connexion
transparente.
12

Packet Filters, Proxies, et ALGs


▪ Proxies et ALGs inspectent l'en-tête IP et le contenu des
paquets
Packet Filter Proxy & ALG

Source ✓ ✓
IP Header Destination ✓ ✓
Port(s)/Protocols ✓ ✓
Packet body ✓
Attachments ✓
Packet Content
RFC Compliance ✓
Commands ✓
13

Types d’interfaces et les Zones Sécurité


 Il est important de comprendre les types d'interface lors de la
configuration des politiques.

 Pour chaque interface du FW, le type d'interface indique le


niveau de confiance (zone de sécurité) du réseau.
14

Types d’interfaces et les Zones Sécurité


▪ Types d’Interfaces :

• Trusted — Se connecte au réseau de confiance que vous


voulez protéger
• Optional — Se connecte à un réseau avec confiance mixte,
généralement une zone démilitarisée (DMZ) où vous connecter
des serveurs Web ou d'autres ressources du réseau accessible
de l’exterieur.
• External — Se connecte à un réseau externe, tel que l'Internet
• Custom — Se connecte à un réseau interne avec une zone de
sécurité que vous définissez
15

Aliases
 Dans une politique pare-feu, vous
pouvez utiliser un alias pour
spécifier la source de trafic ou de Built-in aliases
destination.
Interface aliases

 Un alias est un nom qui identifie


un groupe d'interfaces, des
réseaux, des hôtes ou des
utilisateurs.
16

Aliases
 Aliases Prédéfinis: (non modifiable)
• Any-Trusted — Tous interfaces de confiance
• Any-Optional — Tous les interfaces optionnelles

• Any-External — Tous les interfaces externes


• Any-BOVPN — Tous interfaces virtuelles BOVPN et
succursales des routes tunnel VPN
• Firebox — Toutes chambre de combustion interfaces physiques

• Any —Tout Destination, y compris tous les utilisateurs, des


groupes, des interfaces, des adresses et des tunnels, y compris
les interfaces personnalisées
• Chaque nom de l'interface est également un alias.
17

Aliases personnalisés
 Vous pouvez créer des alias personnalisés à utiliser dans vos
politiques de pare-feu.
 Un alias peut contenir toute combinaison de ces éléments:
• Adresse de l'hôte IP
• Adresse IP du réseau
• Une plage d'adresses IP d'hôtes

• Nom de l'hôte (recherche DNS) – DNS lookup est effectuée sur le nom
d'hôte et les adresses IP résolues sont ajoutés à l'alias.

• FQDN - Réalise en avant la résolution DNS et analyse les réponses DNS


pour le FQDN spécifié (y compris les domaines génériques tels que *.
Exemple.com). Résolue adresses IP du domaine principal et tous les sous-
domaines sont ajoutés à l'alias.
18

Aliases personnalisés
 Adresse de Tunnel - définie par un utilisateur ou un groupe, l'adresse et
le nom du tunnel.

 Adresse personnalisée - définie par un utilisateur ou d'un groupe,


l'adresse et l'interface du Firewall.

 Groupe de périphériques - pour Mobile Security. Cela comprend tout-


Mobile, Any-Android et Any-iOS.

 Un autre alias
 Un utilisateur autorisé ou d'un groupe
19

Incoming et Outgoing
 Le terme incoming et outgoing décrire les connexions que
les politiques peuvent appliquer.

• Incoming les connexions provenant d'une zone de sécurité de moins


confiance (comme externe) et envoie du trafic vers une zone de sécurité
plus fiable (par exemple en option) ou de confiance

• Outgoing les connexions proviennent d'une zone de sécurité plus fiable


(par exemple de confiance) et d'envoyer du trafic vers une zone de
sécurité moins confiance (comme externe)
20

Setup Wizard Defaults dans le Fireware v12.0


 Le setup wizards configure 8 politiques:
• Three proxy policies: FTP-proxy, HTTP-proxy, HTTPS-proxy
• Three packet filter policies: Ping, DNS, Outgoing
• Two management policies: WatchGuard, WatchGuard Web UI
 Le setup wizards configure les services d’abonnement avec
les recommandations suivantes:
• Application Control, Gateway AntiVirus, WebBlocker, Intrusion
Prevention Service, Reputation Enabled Defense, Botnet Detection,
Geolocation, APT Blocker
21

Politiques par default du Firewall


 Après l’execution du Web Setup ou Quick Setup wizard, les
politiques par défault du firewall autorise:
• Outgoing FTP, HTTP, HTTPS, TCP/UDP et DNS connections
• All ping connections from trusted and optional networks
• Management connections to the Firebox from trusted and
optional networks
22

Politiques par default du Firewall


 Les politiques de pare-feu par défaut ne permettent pas les
connexions entrantes
• Les connexions entrantes sont considérés comme non prise en
charge, et se voient refuser automatiquement
23

Politiques par default du Firewall et les services


d’abonnement
 L'assistant de configuration Web et l'assistant d'installation rapide
configurent automatiquement la plupart des services d'abonnement
sous licence avec les paramètres recommandés.
 Pour WebBlocker, vous sélectionnez les catégories de sites Web à
bloquer à partir d'une liste de catégories recommandées
Politiques par default du Firewall et le
24

WebBlocker
 WebBlocker est activé dans
les stratégies de proxy HTTP et
de proxy HTTPS
 Par défaut WebBlocker:
 Bloque les connexions aux
sites Web dans les catégories
de contenu que vous
sélectionnez dans l'assistant
de configuration
 Autorise toutes les connexions
si la licence WebBlocker expire
ou si Firebox ne peut pas se
connecter au serveur
WebBlocker
Politiques par default du Firewall et la
25

Gateway AntiVirus
 Gateway AntiVirus est activé dans les stratégies de proxy
FTP et de proxy HTTP
• Le proxy HTTP:
– Refuse tous les exécutables
– Refuse toutes les archives compressées
– AV Scans tout le contenu autorisé
• Le proxy FTP:
– AV scanne tous les fichiers
– Les deux stratégies de proxy:
– Supprimer la connexion si un virus est détecté
– Autoriser la connexion si une erreur d'analyse se produit
Politiques par default du Firewall et Intrusion
26

Prevention
▪ Le service de prévention des intrusions (IPS) est activé
dans toutes les stratégies, à l'exception des stratégies
d'interface utilisateur WatchGuard et WatchGuard Web.
• Stratégies supprimant les connexions IPS détecte le contenu au
niveau critique, élevé ou moyen.
Politiques par default du Firewall et
27

Application Control
 Le contrôle applicatif est activé dans toutes les stratégies, à
l'exception des stratégies WatchGuard et WatchGuard Web
UI
• L'action Application Control bloque les applications dans les
catégories d'application Crypto Admin et Bypass Proxies and
Tunnels.
Politiques par default du Firewall et APT
28

Blocker
 APT Blocker est activé dans le proxy HTTP et le proxy FTP
• Les stratégies bloquent les connexions si APT Blocker détecte une
menace au niveau de menace élevé (ajoute la source à la liste Sites
bloqués)
• Les stratégies abandonnent les connexions si APT Blocker détecte une
menace au niveau de menace Moyen ou Faible.
29

Politiques par default du Firewall et RED


 Reputation Enabled Defense (RED) est activé dans la stratégie de
proxy HTTP
• HTTP-proxy bloque immédiatement les URL avec une mauvaise
réputation
• HTTP-proxy ne contourne pas l'analyse AV pour les URL avec une bonne
réputation
 La licence RED permet également:
• Botnet Detection
• Géolocalisation
30

Politiques par default du Firewall et Logging


 La journalisation est activée dans
les stratégies par défaut

 Dans le Ping, DNS, et les


politiques sortant:
• Envoyer un message journal est
autorisé

• Envoyer un message de journal


pour les rapports est autorisé
 Dans les FTP, HTTP, et les
stratégies de proxy HTTPS:
• Activer la journalisation des
rapports est activée dans l'action
proxy
Politiques par default du Firewall Outgoing
31

Policy
 La politique sortant est une politique de filtrage de paquets qui
autorise les connexions UDP et TCP sortant des réseaux
de confiance et facultatifs vers des réseaux externes si une
politique de priorité plus élevée ne permet pas la connexion

 Si vous supprimez la politique sortant, assurez-vous


d'autres politiques existent pour permettre certains types
de trafic sortant

 Par exemple, si vous supprimez la politique sortant, et que vous


souhaitez autoriser la navigation sur le Web, assurez-vous que
la configuration a adopté des politiques pour permettre HTTP,
HTTPS, et les connexions DNS
32

Default Policies — Firebox Management


 Deux politiques de contrôle des connexions de gestion à Firebox:

• WatchGuard WUi- permet des connexions à l'interface utilisateur Web Fireware,

hébergées sur le Firebox

• WatchGuard - permet des connexions de gestion à Firebox de WatchGuard


System Manager

 Par défaut, ces politiques permettent des connexions de gestion des


réseaux de confiance ou en option.
33

La précédence des politiques


 Précédence détermine la politique s'applique à une connexion
• Politiques plus élevées dans la liste des politiques ont une priorité plus
élevée
• Si deux politiques pourraient s'appliquer à une connexion, seule la
politique avec la plus haute priorité s'applique
• Par défaut, les politiques sont classées par ordre décroissant au moins
spécifique
34

La précédence des politiques

 Pour la plupart des réseaux, c’est l’ordre automatique des


stratégies qui fonctionne le mieux

 Si vous désactivez l’ordre automatique des stratégies, vous


devez définir manuellement l'ordre pour chaque stratégie que
vous ajoutez
35

Network Address Translation (NAT)


Comment le NAT fonctionne avec les politiques du Firewall
36

NAT
 Pour comprendre comment les politiques sont applicables aux
connexions à travers le pare-feu, il est important de comprendre
Network Address Translation (NAT).
 NAT décrit une de plusieurs formes d'adresse IP et de traduction de
port.

• Dans le niveau le plus élémentaire, NAT modifie l'adresse IP


d'un paquet d'une valeur à une valeur différente.
 Les principaux objectifs de NAT sont les suivants:
• Pour augmenter le nombre d'ordinateurs qui peuvent
fonctionner à partir d'une seule adresse IP publique
routable
• Pour masquer les adresses IP privées d'hôtes sur votre
réseau local
37

Types de NAT
 Dynamic NAT — S’applique aux connexions sortantes
• Modifie l'adresse IP source à partir de l'adresse IP privée d'un
ordinateur local à l'adresse IP publique (externe)
 Static NAT — S’applique aux connexions entrantes
• Également connu sous le transfert de port (Port Forwarding)
• Il permet de mapper les connexions entrantes sur un port
spécifique à l'adresse IP privée d'un ordinateur derrière le Firewall
 1-to-1 NAT — S’applique aux connexions entrantes et sortantes
• Crée une correspondance entre les adresses IP sur un réseau et
des adresses IP sur un autre réseau différent

• Souvent utilisé pour donner l’accès à des ordinateurs externes


aux serveurs internes
38

Dynamic NAT
 Modifie la source des adresses IP pour le trafic sortant en utilisant
l'adresse IP de l'interface externe.
 Activé par défaut pour les sous-réseaux IP de réseau privé RFC
1918, comme 192.168.0.0/16.
 Les réponses aux connexions sortantes revient à l'adresse IP
privée où la connexion est née.

NAT Enabled
Devices and
users with private
IP addresses

Internet sees traffic from only


one public IP address
Your Network
39

Static NAT pour les services publiques


 Change d'adresse IP de destination entrante basée sur le port

Web server
Port 80 TCP
10.0.2.80

FTP server
203.0.113.2
Port 21 TCP
10.0.2.21

Email server Web traffic — Une adresse IP


Port 25 TCP externe à l'adresse IP statique privée
10.0.2.25 FTP traffic — Même Adresse IP externe
à la seconde, l'adresse IP statique privée
Your Network
SMTP traffic — Même Adresse IP externe
à la troisième, l'adresse IP statique privée
40

1-to-1 NAT pour les services publiques


 Traduire une plage d’adresses IP à une autre plage pour le
trafic entrant et sortant

IKE traffic — Second dedicated


public IP address
NetMeeting
Ports 1720, 389, dynamic
10.0.2.11

IKE
Without NAT-T
10.0.2.12 Intel Phone (H.323) — Another
external IP address
Intel-Video-Phone
Ports 1720, 522
10.0.2.13

Your Network NetMeeting traffic — Dedicated


IP address on the external
41

NAT et les Politiques de Firewall


 Vous configurez 1-to-1 NAT et
NAT dynamique dans les
paramètres réseau du Firewall

• Par défaut, toutes les


politiques utilisent le réseau
de paramètres NAT

• Vous pouvez désactiver 1-to-1


NAT ou NAT dynamique dans
les paramètres du NAT politique

 Vous pouvez ajouter une action


statique NAT (SNAT) comme
destination dans une politique
42

Propriétés des politiques


Configurer les propriétés d'une politique
43

Propriétés des politiques


 Pour chaque stratégie, vous pouvez configurer ces
propriétés de la stratégie: Add Policy

• Policy type
• Protocol/Port
• Action (Allow/Deny)
• Source et destination
• Schedule
• Policy-based routing
• NAT / Traffic Management / QoS
• Quotas
• Security services
44

Type des politiques — Packet Filter ou Proxy


 Pour certains protocoles, vous pouvez configurer un filtre de
paquets ou une politique de proxy
 Vous pouvez configurer des
politiques de proxy pour ces
protocoles:
• DNS
• Explicit Proxy
• FTP
• H323 and SIP (ALG)
• HTTP and HTTPS
• SMTP, POP3, and IMAP (email)
• TCP-UDP (TCP and UDP on all ports)
45

Protocol / Port
 Définir les types de connexions
gérés par les politiques
• Intégré dans les modèles de
politique facilitent la configuration
des politiques pour de nombreux
types de connexion pour les
ports standards et protocoles
 Après avoir ajouté la politique, le
port et le protocole apparaissent
dans l'onglet Propriétés dans la
politique
• Vous ne pouvez pas modifier
les ports dans la politique
46

Action
 L’Action définit si la politique autorise
ou refuse les connexions

 Le pare-feu refuse une connexion


à moins qu'une politique
configurée l’autorise
• Vous pouvez configurer une stratégie
pour refuser des connexions pour les
utilisateurs spécifiques ou des périodes
de temps si une autre politique plus
générale autorise les connexions

• Si vous créez deux politiques pour


permettre le même type de connexions,
la politique plus spécifique est prioritaire
47

Source
▪ Le From specifier la source de
la connexion
▪ Ajouter une source:
• Alias
• User / Group
• IP address or subnet
• Host name
• Fully qualified domain name
(FQDN)
48

Destination
 Le To specifier la destination de
la connexion.
 Ajouter une destination:
• Alias
• Users / Groups
• IP address or subnet
• Host name
• Fully qualified domain name
(FQDN)
• Static NAT action
49

Forward et Reverse Traffic


 Chaque politique gère le trafic
dans les deux sens:
• Forward- Connexions initiées à
partir de la source vers une
destination

• Reverse- le trafic de réponse de


la destination à la source

 Il est pas nécessaire d'ajouter une


politique distincte pour permettre le
trafic inverse à partir d'une
destination à la source qui a initié
la connexion
50

Policy-Based Routing
 Si votre Firebox a plus d'une interface
externe, vous pouvez utiliser le routage
basé sur des stratégies dans les
politiques

 Définissez la destination Any External

 Activer le routage basé sur des


stratégies
 Sélectionnez l'interface externe ou la
politique route le trafic
 Indiquez si vous souhaitez basculer
vers une autre interface si l'interface
sélectionnée n’est pas disponible
51

Planification
 Un calendrier permet une politique d'être
opérationnelle que parfois vous spécifiez
 Par défaut, une politique est « Always On»
 Vous pouvez définir un calendrier par politique
52

Traffic Management et la qualité de service


 Si vous avez activé la gestion du trafic ou de la
qualité de service, vous pouvez personnaliser
les paramètres de la politique.

• Veuillez utiliser les actions de gestion du trafic pour


gérer la bande passante pour le trafic avant et
arrière

• Veuillez utiliser le marquage QoS pour définir la


priorité pour les connexions dont la politique est
appliquée

 Ces paramètres sont activés que si la gestion


du trafic et la qualité de service sont activés
dans les paramètres globaux pour FW.
53

Bande passante et Time Quotas


 Si vous avez besoin d'authentifier les utilisateurs, vous pouvez
activer les quotas dans une politique.
 Types de quotas:

• Quota de bande passante -MB par jour, pour tous les trafics TCP et
UDP dans les deux sens

• Quota - minutes par jour


58

Bande passante et Time Quotas


 Pour activer les quotas, la liste De doit
inclure un utilisateur ou d'un groupe

• Pour les groupes, les limites de quotas

applicables à chaque utilisateur dans un

groupe, et non comme une limite

combinée pour tous les utilisateurs du

groupe.
 l'application des quotas requiert une
authentification utilisateur

• Les quotas ne peuvent pas être


appliquées si une autre politique permet
à l'utilisateur d'accéder aux sites sans
authentification
55

Bande passante et Time Quotas

 Les quotas sont utiles avec les politiques proxy HTTP et HTTPS
proxy pour appliquer une limite quotidienne à l'utilisation d'Internet
 Vous pouvez appliquer un quota à une politique TCP ou UDP
60

Bande passante et Time Quotas


▪ Pour activer les quotas de temps et de bande passante
pour les utilisateurs, vous devez:
• Activer les quotas et créer des actions de quotas
• Ajouter des règles de quotas qui assignent des actions de
quotas aux utilisateurs ou groupes
• Activer les quotas dans une politique
57

Politiques et services de sécurité


 Les services de sécurité, que vous pouvez
utiliser peuvent déterminer le type de
politiques dont vous avez besoin

• Vous pouvez activer le contrôle des


applications et Intrusion Prevention
Service dans toute politique de filtrage
de paquets ou la politique proxy

• Vous pouvez activer d'autres services


de sécurité que dans les politiques de
proxy

 L'assistant de configuration rapide et la


configuration Web Assistant permettent
aux services de sécurité les plus
autorisées et les politiques avec les
paramètres recommandés.
58

Politiques et le contrôle applicatif


 Application Control est un service
d'abonnement qui vous permet de surveiller
et de contrôler l'utilisation des applications
sur votre réseau.

• Les signatures de contrôle des


applications peuvent identifier des
milliers d'applications.

• Dans l'action de contrôle des applications,


vous sélectionnez les applications par
nom, et choisissez de refuser ou autoriser
le trafic pour chaque application ou de la
catégorie.

 Vous pouvez modifier l'action de contrôle


applicatif à utiliser lorsque vous modifiez
un filtre de paquets ou la politique proxy
59

Politiques et IPS
 Intrusion Prevention Service (IPS) est un service basé sur
les signatures qui offre une protection en temps réel contre
les menaces telles que:
• Spyware, SQL injections
• Cross-site scripting, buffer overflows

 Lorsque vous configurez l’IPS, le service est activé


automatiquement dans toutes les politiques
 Vous pouvez le désactiver pour une politique spécifique
60

Politiques et Security Services


 Vous pouvez activer d'autres services de sécurité que dans les
politiques de proxy
Security Service Supported Proxy Policies
WebBlocker HTTP, HTTPS
Gateway AntiVirus HTTP, HTTPS*, SMTP, POP3, IMAP,
FTP, TCP-UDP
APT Blocker SMTP, POP3, IMAP, FTP, HTTP,
HTTPS*
Data Loss Prevention SMTP, FTP, HTTP, HTTPS*
Reputation Enabled HTTP, HTTPS*
Defense

* Pour utiliser Gateway, APT Blocker , IPS, ou à la RED pour le trafic HTTPS, vous devez activer l'inspection du contenu dans le proxy
HTTPS, et sélectionnez l'action proxy HTTP qui a les services activés
65

Exemple
Planifiez vos politiques de réseau
66

Exemple
 Lorsque vous planifiez les politiques pour ajouter, considérer que
les connexions et les types de contenu que vous souhaitez
autoriser, refuser, ou le contrôle

 Navigation sur le Web: Voulez-vous contrôler l'accès Web sortant de


votre réseau?

• Modifier la valeur par défaut proxy HTTP et HTTPS politiques proxy pour

configurer les paramètres de proxy pour appliquer votre politique;

• Serveur de courrier: Voulez-vous protéger un serveur SMTP sur


le réseau privé?

• Ajouter une stratégie SMTP proxy pour les connexions SMTP entrants.
67

Exemple
 Serveur Web: Voulez-vous protéger un serveur Web public sur le réseau
privé?

• Ajouter une politique de proxy HTTP pour permettre les connexions entrantes

 Autres ressources: Avez-vous d'autres serveurs ou des ressources qui


doivent être accessibles à partir de l'extérieur de votre réseau privé?

• Ajouter une politique qui autorise le trafic avec le port requis et le protocole sur le
serveur.

 Utilisateurs et groupes: Voulez-vous des politiques différentes pour différents


utilisateurs?

• Définir l'authentification
• Ajouter des politiques différentes pour chaque groupe d'utilisateurs
68

Politique de planification -Web trafic


 La stratégie par défaut sortant permet toutes les connexions
TCP et UDP à partir d'une source de confiance ou en option
sur votre réseau à un réseau externe

• La politique sortant est une politique de filtrage de paquets, donc ne pas


filtrer le trafic

 Le proxy HTTP par défaut et les politiques HTTPS proxy permettent


les connexions HTTP et HTTPS à partir d'une source de confiance
ou en option sur votre réseau à un réseau externe
• Les politiques proxy ont une priorité supérieure à la valeur par
défaut politique sortant, ils gèrent les connexions HTTP et HTTPS
qui correspondent à la source et la destination de la politique
 Vous pouvez ajouter d'autres politiques de proxy et de services pour
filtrer et contrôler d'autres connexions TCP et UDP sortant
69

Politique de planification - trafic e-mail


 SMTP (email trafic)
 Vous pouvez ajouter une stratégie SMTP
pour permettre à votre serveur SMTP
pour recevoir les connexions externes à
votre réseau
 Utilisez NAT statique pour traduire les
connexions SMTP entrantes sur le port
25 à l'adresse IP privée du serveur
SMTP
 Activer spamBlocker dans l'action
proxy pour contrôler le spam
 Les politiques de procuration section de
cette formation décrit comment
configurer la stratégie présentée ici, y
compris SNAT
70

Exemple - Politique relative aux noms


 Nous vous recommandons de donner à chaque politique un nom qui
indique clairement ce que le trafic de la politique s'applique à
• Ceci est particulièrement important si vous créez des
stratégies similaires applicables à différents groupes
d'utilisateurs ou des réseaux
 Par exemple, si vous ajoutez les stratégies de proxy HTTP pour
différents groupes d'utilisateurs, inclure le nom du groupe au nom de
la politique.

• HTTP-Proxy-enseignants
• HTTP-proxy-étudiants
• HTTP-Proxy-administration
67

Packet Filter Policies


Use Packet Filter Policies and
Policy Templates
68

Politiques de filtrage de paquets

 Cette section décrit comment utiliser des modèles de


politiques et de configurer des politiques de filtrage de
paquets.

• Utilisez un modèle de stratégie de filtrage de paquet standard


• Désactivez la stratégie par défaut sortant et ajoutez une politique
HTTP, HTTPS, et les politiques DNS
• Créer et utiliser un modèle de stratégie personnalisée
• Ajouter un calendrier à une politique
69

Politiques de filtrage de paquets


 Fireware comprend des modèles de
stratégie de filtrage de paquets pour de
nombreux types de trafic qui utilisent
différents ports et protocoles

• Sélectionnez le modèle de stratégie


pour voir les détails sur le port et le
protocole appliqué
 Pour créer des modèles de stratégie
personnalisés, cliquez sur Manage Custum.
 Pour ajouter une politique de filtrage de
paquets, sélectionnez le modèle et cliquez
sur Ajouter une stratégie.

• Dans la politique, spécifiez la


source, la destination et
d'autres paramètres
70

Exemple - Désactiver la politique sortant


 La politique sortant permet à tous les T CP et UDP sortants sur tous
les ports.
 Pour permettre aux utilisateurs sur vos réseaux internes pour naviguer
sur le Web, mais nibloquent permettre à d'autres trafic TCP UDP
sortant /, vous pouvez:

• Vérifiez que la configuration de Firebox comprend d'autres politiques pour


permettre HTTP, HTTPS et DNS sortant :

- HTTP sur le port TCP 80 et HTTPS sur le port TCP 443

- DNS sur le port TCP 53 et le port UDP 53

• Supprimer ou désactiver la stratégie sortant


 Si vous désactivez la stratégie sortant, le Firebox bloque toute
TCP sortant et UDP à moins qu'une autre politique leur
permet
71

Exemple - Désactiver la politique sortant


 Pour autoriser le trafic Web, ajoutez HTTP sortant, HTTPS et filtre de paquets
DNS ou politiques proxy

• Dans les nouvelles versions Fireware les assistants de configuration


ajoute automatiquement ces politiques
72

Exemple - Désactiver la politique sortant


 Après avoir ajouté les politiques pour le trafic TCP et UDP que
vous souhaitez autoriser, désactiver la politique sortant.

 Cette configuration autorise le trafic sortant:

• Navigation sur le Web sur les ports TCP 80 et 443

• DNS sur le port TCP 53 et le port UDP 53

• FTP sur le port TCP 21 (autorisé par la politique FTP-proxy)


73

Exemple - Désactiver la politique sortant


 Vérifiez que les politiques existent pour permettre à tout
le trafic TCP / UDP sortant vous souhaitez autoriser

Enabled policies
allow outgoing HTTP,
HTTPS, and DNS
connections

Outgoing policy
is disabled
74

Exemple - Modèle de stratégie personnalisée


 Vous pouvez créer des modèles de stratégie personnalisés pour les
ports et des protocoles spécifiques.
• Par exemple, World of Warcraft (WoW) requiert les ports TCP et UDP
supplémentaires non autorisé par la politique HTTP.
• Vous pouvez créer un modèle de stratégie personnalisée avec les ports et les
protocoles nécessaires
75

Exemple - Modèle de stratégie personnalisée


 Sélectionnez le modèle de stratégie personnalisée pour
ajouter une politique qui l'utilise.
76

Exemple –
 Vous pouvez appliquer une planification à une politique
de sorte qu'il ne soit opérationnel que pendant certaines
heures de la journée ou les jours de la semaine.
77

Politiques de proxy (Filtrage URL)


Comment utiliser les stratégies de proxy et actions proxy
78

Politiques de proxy
 Cette section décrit les actions proxy et fournit plusieurs
exemples de configuration de stratégie proxy.
 Exemples de configuration de stratégie

• SMTP-proxy
• Proxy HTTP et HTTPS-proxy
• l'action de contenu HTTP dans proxy HTTP et HTTPS-proxy
• l'action de routage dans une action HTTPS proxy
• Utilisez FQDN dans un proxy HTTP
• Configurer différentes stratégies pour des groupes, avec
l'authentification
• Proxy TCP / UDP
• proxy explicite
79

Actions de Proxy
 Paramètres d'une stratégie de
proxy sont les mêmes que pour
une politique de filtrage de
paquets, sauf qu'une politique
proxy comprend un l'action proxy
ou l'action contenu

 Une action proxy est un


ensemble de règles qui
déterminent si la politique proxy
permet, refuse ou prend une
autre action pour le trafic qu'il
inspecte

 De nombreux paramètres de
service d'abonnement sont en
actions proxy
80

Action de Proxy et Action de contenu


 Une action de contenu est
un type d'action proxy pour
les politiques proxy HTTP
entrantes et les actions
proxy HTTPS Server

 Utilisez une action de


contenu uniquement
lorsque vous souhaitez
utiliser la même adresse
IP publique pour les
connexions entrantes vers
plusieurs serveurs Web
derrière Firebox
81

Action de Proxy et Action de contenu


 Dans une stratégie de
proxy, vous pouvez:

• Utilisez l'action proxy par


défaut
• Sélectionnez une autre
action proxy
• Sélectionnez une action de
View/Edit
contenu Proxy Action

• Cloner l'action proxy


Clone
sélectionné ou l'action Proxy
Action
contenu pour le
personnaliser.
82

Action de Proxy et Action de contenu


 Vous pouvez utiliser la même action proxy ou une action de
contenu pour plusieurs stratégies proxy ou actions proxy.
 Pour modifier les actions proxy, sélectionnez Configuration>
Actions> Procurations.
 Pour modifier les actions de contenu, sélectionnez Configuration>
Actions> Contenu.
83

Actions proxy par défaut et pré-définies


 Fireware inclut des actions de proxy
prédéfinies pour chaque type de proxy

 Actions proxy sont pré-définies ont des


paramètres pour gérer le trafic entrant ou
sortant, ou pour protéger les clients ou les
serveurs

▪ Actions proxy standard utilisent les paramètres


recommandés par WatchGuard.

▪ Lorsque vous ajoutez une nouvelle stratégie de


proxy, la norme actions proxy sont utilisées par
défaut.

 Default- actions proxy sont créés par


l'Assistant de configuration Web ou Assistant
d'installation rapide et sont utilisés par les
politiques par défaut
84

Comparer Actions proxy client et serveur


 Comparez client HTTP et les actions proxy serveur - de
nombreux paramètres sont différents.
• Par exemple, seul le proxy HTTP client inclut des règles de
type de contenu par défaut.

Select
actions to
take for
content that
does or
does not
match
85

Comment sélectionner l'action Proxy


 Comment sélectionner
l'action Proxy
• Sélectionnez l'action proxy en
fonction de ce que le proxy
Incoming
protège.
connections
(from external)
• Pour les connexions HTTP
entrantes des clients externes
vers des serveurs Web sur
votre réseau en option, le
proxy protège votre serveur
web. Utilisation
HTTPServer.Standard
86

Comment sélectionner l'action Proxy


Pour les connexions HTTP
sortantes des clients sur votre
réseau à des serveurs Web
externes, le proxy protège vos Outgoing
clients. Utilisation: connections
(to external
HTTPClient.Standard
87

Assistant de Configuration: Créer Actions proxy


 L’Assistants de configuration Fireware ajoute plusieurs actions proxy par
défaut:
 Licence a permis - les utiliser pour activer des services
• FTP-client Par défaut
- Basé sur FTP-Client.Standard,
avec antivirus de passerelle activé
• HTTP-client Par défaut
- Basé sur HTTP Client.Standard, avec
WebBlocker, Gateway AntiVirus, RED et
APT Blocker permis
• HTTPS-client Par défaut
- Basé sur HTTPS-Client.Standard,
avec WebBlocker activé

- Inspection de contenu n'est pas


activé
88

Exemples de Politique Proxy


 Cette section comprend des exemples de configuration
de stratégie proxy

• SMTP-proxy
• Proxy HTTP et HTTPS-proxy
• Utiliser des actions de contenu dans un proxy HTTP et un proxy
HTTPS
• Utilisez FQDN dans un proxy HTTP
• Configurer différentes stratégies pour des groupes, avec
l'authentification
• politique proxy TCP / UDP
• Explicite-proxy
89

Exemple — SMTP-Proxy
 Vous avez un serveur SMTP sur le réseau DMZ,
avec une adresse IP privée de 10.0.2.25.
▪ Pour autoriser les connexions au serveur SMTP à partir du réseau
externe, vous pouvez ajouter soit un filtre de paquets SMTP ou
stratégie de proxy avec NAT statique.

• Cet exemple utilise une stratégie de proxy SMTP pour filtrer le trafic.

Email server 203.0.113.10


Port 25 TCP
10.0.2.25

SMTP traffic — Use static NAT to map the


Your Network external IP address to a private static IP
address
90

Exemple — SMTP-Proxy
 Exemple
• Dans la section A de la politique, cliquez sur Ajouter, puis sélectionnez Ajouter
SNAT.
• Tapez l'adresse IP du serveur SMTP.
91

Exemple — SMTP-Proxy
 Statique et dynamique
NAT travailler ensemble.

• Pour les connexions SMTP entrants:


L'action SNAT modifie l'adresse IP de
destination de l'adresse IP de l'interface
externe à l'adresse IP privée du serveur
SMTP.

• Pour les connexions SMTP sortantes: Les


règles de NAT dynamiques par défaut
modifier l'adresse IP source pour les
connexions SMTP sortantes à l'adresse IP
de l'interface externe.
92

Exemple — SMTP-Proxy
 Par défaut, le SMTP proxy utilise le
SMTP-Incoming.Standard

 Cette action proxy par défaut est


configuré avec les paramètres
recommandés, avec la journalisation
activée.

 Vous pouvez modifier l'action proxy


pour personnaliser davantage.
93

Exemple — SMTP-Proxy
 Dans l'action proxy, sélectionnez
une catégorie pour voir et
modifier les paramètres.
 Dans les paramètres d'action
proxy SMTP, vous pouvez:

• Configurer les services de


sécurité, tels que spamBlocker
et Gateway AntiVirus
• types de fixation autorisés de contrôle

• Limiter les adresses proxy accepte


le courrier en provenance ou à
94

Exemple — SMTP-Proxy
 Dans l'action proxy SMTP entrant, vous pouvez
configurer les règles d'adresses pour empêcher un
spammeur de relayer le courrier via votre serveur SMTP.

 Proxy SMTP refuse tout


courriel destiné à une
adresse autre que les
domaines dans la liste.
• Dans la catégorie des
adresses. Dans les
régles RCPT to,
ajouter tous les
domaines que votre
serveur SMTP reçoit du
courrier.

▪ * @ successfulcompany.com

Met le none matched action Deny.


95

Exemple — SMTP-Proxy
 Utilisez spamBlocker avec l'action proxy SMTP pour détecter les spams.

 Pour activer le spamBlocker dans Policy Manager, sélectionnez


▪ Les services d'abonnement> spamBlocker> Activer.

 Après que le spamBlocker est activé, vous pouvez modifier les paramètres de
l'action proxy.
 Vous pouvez configurer des
actions pour:
• Spam confirmé
• email en Bulk
• Suspect
96

Exemple — HTTP-Proxy and HTTPS-Proxy


 Dans Fireware v11.12 et plus, les assistants de configuration
configurer proxy HTTP et HTTPS et permettent aux services
recommandés

 Si vous avez initialement utilisé une ancienne version de


Fireware pour configurer Firebox, l'assistant de configuration
n'a pas créé ces politiques.

 Pour améliorer la sécurité et la sécurité de l'accès à


Internet à partir du réseau de confiance, ajoutez ces
politiques proxy:
• Ajouter une politique de proxy HTTP pour les connexions
HTTP à partir du réseau de confiance
• Ajouter une politique HTTPS proxy pour les connexions HTTPS à partir du
réseau de confiance
97

Exemple — HTTP-Proxy and HTTPS-Proxy


 Activer les services de sécurité recommandées pour
chaque stratégie de proxy:

• Configurer WebBlocker pour refuser les catégories de contenu


indésirables
• Activer antivirus de passerelle et configurer les procurations pour
analyser le contenu
• Activer Réputation Enabled Defense pour refuser des connexions
vers des sites avec une mauvaise réputation
• Activer les quotas utilisation du temps et de bande passante pour
appliquer une limite quotidienne à l'utilisation d'Internet de vos
utilisateurs et d'appliquer les politiques d'entreprise d'utilisation
acceptable
98

Exemple — HTTP-Proxy
 Ajouter une politique de proxy
HTTP.
 Utilisez les paramètres par défaut:

• Autoriser les connexions de


Any-Trusted à Any-Externe.
• l'action Proxy :
HTTP-Client.Standard
99

Exemple — HTTPS-Proxy
 Ajouter une politique HTTPS
proxy.
 Utilisez les paramètres par
défaut:

• Autoriser les connexions de Any-


Trusted à Any-Externe
• l'action Proxy :
HTTPS Client.Standard
100

Exemple — HTTP-Proxy and HTTPS-Proxy


 Activer les services d'abonnement pour plus de contrôle sur les permis
connexions HTTP et HTTPS
 Activer WebBlocker pour le proxy HTTP et HTTPS-proxy

• Sélectionnez les catégories

de contenu à bloquer
101

Exemple — HTTP-Proxy
 Activer Gateway AntiVirus pour le proxy HTTP.
▪ Sélectionnez Services d'abonnement> Antivirus de passerelle> Activer.

 Activer Reputation Enabled Defense pour le proxy HTTP.

▪ Sélectionnez Services d'abonnement> Reputation Enabled Defense.


102

Exemple — HTTP-Proxy
 Après avoir activé les services, vous pouvez voir que l'action
proxy pour le proxy HTTP a été cloné pour créer une nouvelle
action proxy (HTTP-Client.Standard.1)
 Modifier l'action proxy pour afficher les paramètres pour
chaque service d'abonnement.
▪ WebBlocker
▪ Gateway Antivirus
▪ Repuation Enabled Defence
103

Exemple — HTTP-Proxy
 L'assistant antivirus de passerelle configure le proxy HTTP pour analyser le
trafic autorisé et abandonner la connexion si un virus est détecté

• L'assistant modifie l'action pour les chemins URL, types de contenu, et le contenu
Types de corps rulesets dans l'action proxy HTTP de Allow à Scan AV
104

Exemple — HTTP-Proxy
▪ Pour améliorer les performances, vous pouvez configurer le proxy
HTTP pour contourner l'analyse antivirus pour le contenu qui est
moins susceptible de contenir des virus
• Pour plus d’informations:
WatchGuard Video Tutorial: Optimize Gateway AntiVirus for
HTTP Traffic
105

Exemple — HTTPS-Proxy
 Après avoir activé WebBlocker pour
le proxy HTTPS, vous pouvez voir
que l'action proxy pour la politique
HTTPS-proxy a été cloné pour créer
une nouvelle action proxy (https-
▪ Client.Standard.1) avec WebBlocker
activé
106

Exemple — HTTPS-Proxy
 Pour activer l'action proxy HTTPS pour utiliser la passerelle antivirus et
d'autres paramètres configurés dans une action HTTP-proxy:
• Activer l'inspection du contenu dans l'action proxy HTTPS
• Sélectionnez l'action Vérifier, avec l'action de proxy HTTP pour utiliser
107

Exemple — HTTPS-Proxy
108

Exemple — HTTPS-Proxy
 Sélectionnez l'action proxy HTTP pour inspecter le contenu Web
uncategorized
109

Exemple — HTTPS-Proxy
 Avec l'inspection de contenu activé, et l'action
Inspect sélectionné, l'action HTTPS-proxy:
• Déchiffre le trafic HTTPS

• Applique les paramètres de l'action HTTP-proxy sélectionné


pour le trafic

• Crypte le trafic avec un nouveau certificat après inspection est


terminée
110

Exemple — HTTPS-Proxy
Le proxy HTTPS inspecte le contenu que pour les domaines autorisés et catégories
WebBlocker autorisés configurés pour l'inspection dans la Noms de domaine et
WebBlocker paramètres

Blocked
categories
are greyed
out
111

HTTP Content Action


 Pour acheminer les requêtes HTTP entrantes pour une adresse IP publique à
plus d'un serveur Web interne, utilisez un l'action contenu
• Une action de contenu réduit le nombre d'adresses IP publiques dont vous avez
besoin pour les connexions entrantes vers les serveurs Web sur votre réseau

• Vous pouvez spécifier une adresse IP interne différente et une action


proxy HTTP différent pour les connexions à chaque serveur interne

 Pour acheminer les requêtes HTTPS entrant pour une adresse


IP publique à plus d'un serveur Web interne, il y a deux
options:
• Si l'inspection de contenu est activé, sélectionnez l'action de contenu dans le
proxy HTTPS serveur paramètres de contrôle de contenu d'action

• Si l'inspection de contenu n'est pas activée, ajoutez une règle de nom de


domaine pour rediriger les requêtes HTTPS en fonction du nom de domaine
112

Exemple — HTTP Content Action


 Cet exemple montre comment configurer une action de contenu
pour acheminer les requêtes HTTP entrantes pour une adresse
IP publique à différents serveurs internes en fonction de l'en-
tête HTTP ou modèle nom de domaine
Internet

Public IP address: 203.0.113.80

10.1.10.10 10.1.10.20 10.10.50.10 10.0.10.80


Blog Forums Store Main web server
113

Exemple — HTTP Content Action


 Ajouter une action de contenu HTTP dans le Gestionnaire des
politiques.
1. Sélectionner Setup > Actions > Content.
2. Sélectionner the predefined content action.
3. Cliquer Clone.
114

Exemple — HTTP Content Action


 Cliquez sur Ajouter d'ajouter une règle de contenu
 Paramètres des règles spécifier le motif pour correspondre à
une requête HTTP

• Choisir un match Motif, Match exacte


Expression régulière

• Spécifiez le modèle pour correspondre à


la requête HTTP

– Exemple: */Exemple.com/test/*
▪ Rule Actions précise quelle action proxy HTTP Server pour utiliser et comment
acheminer la demande
• les paramètres HTTPS Port et TLS/SSL Offload appliquent uniquement
aux politiques proxy HTTPS et ne modifient pas les politiques de proxy
HTTP
115

Exemple — HTTP Content Action


 Cet exemple comprend des règles de contenu pour trois serveurs web
 les Mesures à prendre si aucune règle ci-dessus correspond est configuré
pour acheminer toutes les autres requêtes HTTP vers la destination
par défaut de la politique, et d'utiliser un proxy préciser l'action
116

Exemple — HTTP Content Action


 Une politique de proxy HTTP
entrant utilise l'exemple de
l'action contenu
▪ Politique source et destination:
• De: Any-External
• Vers: SNAT action for the
default web server
▪ L'action SNAT dans la politique est
utilisée uniquement lorsque l'action
de routage dans l'action Le
contenu est mis à Use Policy
Default.
117

Exemple — HTTP Content Action


 Pour cet exemple:

• demandes HTTP entrantes


qui correspondent à une
règle de contenu utilisent
l'action de procuration et une
action de calcul d'itinéraire
dans la règle de contenu
correspondant
 Toutes les autres demandes HTTP
• entrantes utilisent l'action proxy
pour prendre si aucune règle ne
correspond, et sont acheminés
vers la destination spécifiée dans
la politique
118

Exemple — HTTP Content Action


 Pour appliquer l'action de contenu aux connexions HTTPS, activez
l'inspection du contenu et utiliser l'action de contenu pour l'inspection
 Ajouter une stratégie de proxy HTTPS entrant avec cette action proxy
119

Exemple — HTTP Content Action


 Ajouter une stratégie de proxy
HTTPS qui utilise l'action proxy
HTTP
 Cette politique utilise l'action
proxy qui utilise l'action de
contenu

 Le NAT statique dans la destination


de cette politique est utilisé que
lorsque les Précise d'action de
routage Utilise la politique
par défaut
120

Exemple — HTTP Content Action


 Avec cette action de contenu et ces politiques HTTP et HTTPS:
• Toutes les connexions HTTP entrantes et inspectés requêtes HTTPS
correspondant à une règle de contenu dans l'action de contenu sont
acheminés à l'adresse IP spécifiée dans la règle de contenu

• Toutes les autres demandes HTTP entrantes sont acheminées vers


10.0.10.80, la destination spécifiée dans les politiques proxy HTTP et HTTPS
121

Exemple — HTTPS with a Domain Name Rule


 Pour acheminer les connexions HTTPS entrants vers une adresse IP
basée sur le nom de domaine sans inspection du contenu, configurer
une règle de nom de domaine avec une action de routage

 Pour les requêtes HTTPS itinéraire vers la destination politique,


définir l'action de routage Utilise la politique par défaut
122

Content Action vs Domain Name Rule


 Dans une action proxy HTTPS avec l'inspection de contenu activé:

• Utilisez une action de contenu pour acheminer les requêtes entrantes vers
différents serveurs internes sur la base des règles de contenu dans l'action de
contenu

- Les règles de contenu peuvent correspondre à l'en-tête HTTP hôte et le


chemin de la requête HTTP déchiffré

- le TLS / SSL Offload option dans l'action de contenu applique


uniquement lorsqu'il est utilisé dans une action proxy HTTPS
 Dans une action proxy HTTPS sans inspection du contenu activé:

- Utiliser des règles de nom de domaine pour acheminer les requêtes


HTTPS entrants vers différents serveurs Web internes basés sur le
domaine ou sous-domaine
- Le modèle dans une règle de nom de domaine ne peut pas inclure un
chemin
123

FQDN (Fully Qualified Domain Name)


 Vous pouvez utiliser un nom de
domaine complet dans:
• Source (De) et de destination
(A) champs dans une
politique
• Alias
• Sites bloqués et exceptions
du site Bloqué
• Exceptions de quotas
124

FQDN (Fully Qualified Domain Name)


 Un nom de domaine complet peut être:

• Un nom de domaine spécifique ( host.example.com)

• Un nom de domaine générique (*. example.com)

 Par exemple, le domaine générique *. example.com


inclurait:

• a.example.com

• b.example.com

• abexample.com
125

Exemple — FQDN
 Nous vous recommandons d'utiliser FQDN dans
les politiques lorsque vous voulez une politique pour
autoriser le trafic vers des domaines sélectionnés
alors que d'autres politiques nient tout autre trafic
 Par exemple, votre entreprise pourrait vouloir refuser
l'accès web pour tous les utilisateurs ou groupes
d'utilisateurs, mais encore besoin d'un accès Web
pour les mises à jour du logiciel client:

▪ Windows Update pour les mises à


jour du système d'exploitation
▪ sites de mise à jour de signature antivirus
▪ Utilisez les domaines génériques de telle sorte
que tous les sous-domaines et les adresses IP
dynamiques sont incluses
126

Exemple — Policies for Groups


 Si vous avez besoin d'authentifier les
utilisateurs, vous pouvez ajouter
plusieurs stratégies pour gérer le
même type de trafic.
 Par exemple, dans une école, vous
pouvez créer des politiques HTTP
distinctes pour trois groupes:

• Les étudiants (accès plus restreint)


• Les enseignants (moins accès restreint)
• IT (accès illimité)
127

Exemple — Policies for Groups


 Dans la politique de chaque groupe:

▪ Spécifiez le groupe dans le De liste

▪ Configurer une action proxy unique pour chaque politique

• règles WebBlocker, types de contenu autorisés, etc.

 Pour créer des stratégies pour les groupes d'utilisateurs, vous


devez:
▪ Configurer l'authentification, les utilisateurs et les groupes
▪ Demander aux utilisateurs d'authentifier
128

Exemple — Policies for Groups


 Les politiques, appliquer à la circulation pour différents
groupes d'utilisateurs.

• Pour connaître les étapes détaillées pour configurer cet


exemple, voir le Fireware Aide : Configure WebBlocker
Policies for Groups with Firebox Authentication.
129

Exemple — TCP-UDP-Proxy
▪ Les politiques HTTP-proxy et HTTPS-proxy s’appliquent
uniquement à la circulation sur le port standard pour chaque
protocole (port HTTP 80 et port 443 HTTPS) proxy HTTP et
HTTPS.
▪ Pour appliquer une action proxy HTTP, HTTPS ou tout autre trafic
TCP ou UDP sur un port non standard, ajoutez un TCP / UDP
proxy.
130

Exemple — TCP-UDP-Proxy
▪ Dans l'action proxy TCP-UDP, sélectionnez une action pour
chaque protocole.
• For HTTP, HTTPS, SIP, and FTP:
– Proxy action
– Allow
– Deny
• Pour les autres protocoles:
– Allow
– Deny
131

Exemple — TCP-UDP-Proxy
 Avec HTTP, HTTPS et proxy TCP-UDP configurés comme
indiqué:

Le HTTP-proxy gére outbound HTTP traffic sur le port 80


• le HTTPS-proxy gére outbound HTTPS traffic sur le port 443
• le TCP-UDP-proxy gére outbound HTTP ou HTTPS traffic sur
tout non-standard port.
132

Exemple — Explicit-Proxy
 Dans une configuration proxy typique, Firebox relaie de façon
transparente et inspecte les connexions client aux serveurs
 Le proxy explicite permet au Firebox d'accepter les demandes
directes des clients, puis se connecter aux serveurs spécifiés et
récupérer les informations au nom du client. Le trafic est
inspecté par les services de sécurité du Firebox tout comme un
trafic proxy régulière
133

Exemple — Explicit-Proxy
▪ HTTP Explicit Proxy
• les clients de navigateur Web sont configurés pour envoyer des demandes
directement à l'adresse IP du Firebox et le port (port TCP 3128 par défaut)

• le trafic HTTP est inspecté parl es services de sécurité du Firebox et les règles
d'action Proxy HTTP configurées.

• Firebox ajoute un en-tête Via à la demande /réponse HTTP


– Cela peut être l'adresse IP ou Firebox un alias personnalisé
• la mise en cache Web n'est pas effectuée par le Firebox
134

Exemple — Explicit-Proxy
 Le support du tunnel HTTP CONNECT pour HTTPS

• Le client envoie une requête HTTP au Firebox Proxy explicite sur le numéro de
port 3128

• Le proxy explicite établit une connexion TCP à la destination spécifiée en fonction


de vos règles de protocoles et ports autorisés

• Proxy explicite répond à la requête HTTP d'origine avec une réponse HTTP,
et le client peut alors envoyer des données vers le serveur de destination

• Allow, deny ou bloc en fonction des ports spécifiés, ou sélectionnez un proxy


HTTPS action pour gérer le trafic HTTPS Tunneled
135

Exemple — Explicit-Proxy
▪ FTP over HTTP connection
support
• The Explicit Proxy can proxy
FTP connections sent over
HTTP (also known as Web FTP)
• The Explicit Proxy connects to
the destination server using
native FTP commands to
retrieve a directory listing or file,
and then sends the data to the
client in an HTTP response
• Set an FTP proxy action to apply
to Web FTP traffic
• Provide default FTP credentials
136

Exemple — Explicit-Proxy
▪ FTP over HTTP connection
support
• Le proxy explicite peut inspecter les connexions
FTP envoyé via HTTP (également connu sous
le nom Web FTP)

• Le proxy explicite se connecte au serveur de


destination en utilisant les commandes FTP
natif pour récupérer une liste de répertoires
ou un fichier, et envoie ensuite les données
au client dans une réponse HTTP

• Définir une action proxy FTP pour appliquer


au trafic FTP Web
• Fournir des informations d'identification par
défaut FTP
137

Firewall Policy Logging


and Monitoring
Utilisez la journalisation pour le suivi des
événements des politiques
138

Activer la journalisation dans une politique


 Vous pouvez activer la
journalisation pour
chaque politique pour
suivre les événements
(Allow ET Deny)
▪ Vous pouvez utiliser les
messages du journal
pour surveiller l'activité
et résoudre les
problèmes de
résolution des
politiques
Category is Denied Packets
for a packet filter policy that
denies connections
139

Activer la journalisation dans une politique


▪ For traffic that is allowed through
packet filter policies, you can
enable the Firebox to send log
messages that are only used in
reports
▪ These log messages do not
appear in Traffic Monitor or Log
Manager
▪ To see log messages in Traffic
Monitor or Log Manager from a Category is Allowed Packets
Firebox that runs Fireware OS for a packet filter policy that
v11.10.5 or higher, you must also allows connections
select the Send a log message
check box
140

Activer la journalisation dans une politique


 Pour le trafic qui est permis par les
politiques de filtrage de paquets, vous
pouvez activer le Firebox pour envoyer
des messages journaux qui ne sont
utilisés que dans les rapports
 Ces messages du journal ne figurent
pas dans Traffic Monitor ou Log
Manager
 Pour voir les messages de
journalisation dans Traffic Monitor ou
Log Manager à partir d'une chambre
de combustion qui fonctionne
Fireware OS v11.10.5 ou plus, vous Category is Allowed Packets
devez également sélectionner la for a packet filter policy that
Envoyer un message journal case à allows connections
cocher
Activer la journalisation dans un Action
141

Proxy
 Pour une politique de
proxy, vous devez
activer la journalisation
des rapports dans les
paramètres généraux de
l'action proxy.
 Les politiques proxy
créées par les assistants
de configuration
permettent cela dans
les actions de proxy par
défaut
142

Voir les évenements dans le Traffic Monitor


 Dans Firebox System Manager, dans le Moniteur de trafic onglet, vous
pouvez voir que la politique est autorisé ou refusé une connexion et pourquoi
 Pour afficher uniquement les messages du journal pour le trafic Firebox,
sélectionnez le filtre Traffic Monitor
 Vous pouvez également utiliser le filtre de recherche pour afficher uniquement
les messages contenant un texte spécifique, comme un nom de la stratégie
ou l'adresse IP
143

Lire les messages de log du Traffic

Destination port
Destination
Action Source port* interface
Source Destination Source
Date and time IP address IP address Protocol interface Action

2015-04-25 02:29:30 Allow 10.0.1.2 192.168.130.3 1666/tcp 62310 1666 1-Trusted 0-External Allowed 52 127 (Outgoing-
00) proc_id="firewall" rc="100" msg_id="3000-0148" src_ip_nat=“203.0.113.20" tcp_info="offset 8 S 2241693126 win
65535"

Dynamic NAT changed the source


IP address to 203.0.113.20, the
IP address of the External interface.
144

Traffic Monitor — Proxy Policies


 Pour les politiques proxy, les messages du journal peuvent montrer beaucoup de détails
sur les raisons pour les quelles une politique est autoriser ou refuse un paquet

 Ce message de journal affiche une requête HTTP refusée par la politique de


proxy HTTP car il correspond une catégorie WebBlocker bloquée

2015-04-25 04:00:24 Deny 10.0.1.2 206.251.244.20 http/tcp 63527 80 1-Trusted 0-


External ProxyDeny: HTTP Request categories (HTTP-proxy-00) HTTP-
Client.QuickStart proc_id="http-proxy" rc="595" msg_id="1AFF-0021"
proxy_act="HTTP-Client.QuickStart" cats="Marijuana" op="GET" dstname="norml.org"
arg="/" Traffic
145

Traffic Monitor — Unhandled Packets


 Firebox utilise deux politiques de faible priorité cachés pour refuser
les paquets qui ne correspondent pas à une stratégie configurée
▪ Unhandled Internal Packet – refuser les paquets reçus sur une
interface interne
▪ Unhandled External Packet - refuser les paquets reçus sur une
interface externe

2015-04-25 03:24:52 Deny 10.0.1.2 192.168.130.81 dns/udp 57854 53 1-Trusted 0-


External Denied 60 127 (Unhandled Internal Packet-00) proc_id="firewall" rc="101"
msg_id="3000-0148" Traffic

2015-04-25 02:29:28 Deny 192.168.43.9 192.168.43.255 netbios-ns/udp 137 137 0-


External Firebox Denied 78 128 (Unhandled External Packet-00) proc_id="firewall"
rc="101" msg_id="3000-0148" Traffic
146

Traffic Monitor — Unhandled Packets


▪ Les messages de journal pour les paquets démenties par une
politique cachée affiche le nom de la politique cachée au lieu
du nom d'une stratégie configurée
• Unhandled Internal Packet
• Unhandled External Packet
▪ Pour les paquets externes non gérées, la destination est «
Firebox »
147

Traffic Monitor pour le Troubleshooting


 Exemple: Vous voulez savoir pourquoi le FW a refuseé une
connexion sortante spécifique
 Moniteur de trafic affiche ce message journal lorsque le trafic
est refusé:

2015-04-25 04:24:38 Deny 10.0.1.2 192.168.130.3 1666/tcp 63715 1666


1-Trusted 0-External Denied 52 127 (Unhandled Internal Packet-00)
148

Traffic Monitor pour le Troubleshooting


 A partir de ce message journal vous pouvez voir:

▪ La Action est Deny .

▪ Le paquet refusé utilise le protocole tcp avec le port de destination 1666

▪ (Unhandled Packet interne) indique que le paquet a été refusée parce qu'il
n'y a pas de politique Configuré pour le permettre.

 Vous pouvez utiliser ces informations pour déterminer la politique à ajouter


pour permettre la connexion

▪ Dans ce cas, utilisez un modèle personnalisé pour ajouter une stratégie


pour permettre les connexions TCP sur le port 1666.
149

FQDN dans les Messages Log et Rapports


 Les messages de journaux et rapports indiquent le nom de domaine
complet qui a été utilisé lorsqu'une politique est appliquée à la
circulation par FQDN.
150

Policy Map dans WatchGuard Dimension


 Carte des politiques est un outil de rapport interactif de
WatchGuard Dimension qui agrège le trafic autorisé par vos
périphériques Firebox qui ont permis et se voient refuser le
trafic dans une visualisation du flux de trafic
 Chaque flux de trafic est défini par le chemin unique une
connexion prend en interne à travers le dispositif tel qu'il est
traité par les paramètres de stratégie et de configuration
151

Policy Map in WatchGuard Dimension


 Le Carte des politiques par défaut inclut toutes les connexions
agrégées par interface Source, Politique pare-feu, l’action et
l'interface de destination
 Vous pouvez voir ce que les politiques sont en cours d'utilisation et
quelles politiques utilisent la bande passante plus
152

Politique Checker
▪ L’utilisation de la Politique Checker est pour déterminer comment le
Firebox gère les connexions pour un protocole particulier entre une
source et la destination que vous spécifiez
▪ Ceci est un outil de dépannage utile si votre Firebox autorise ou
refuse le trafic de façon inattendue, ou si vous voulez vous assurer
la gestion de vos politiques de la façon dont vous attendez
153

Policy Checker
▪ Type the interface, protocol, port, and source and destination
address.
▪ Click Run to see the result of the policy resolution.
▪ If the packet was managed by a policy, the policy details
appear in the Results section, and the policy is highlighted in
the Firewall Policies list.
154

Policy Checker
▪ Tapez l'interface, le protocole, le port et la source et l'adresse de
destination.
▪ Cliquez sur Run pour voir le résultat de la résolution politique.
▪ Si le paquet a été géré par une politique, les détails de la politique
apparaissent dans la section Results, et la politique est mis en
évidence dans la liste des politique du FW.
155

Fin de la formation

Vous aimerez peut-être aussi