Académique Documents
Professionnel Documents
Culture Documents
CHAKIR EL MOSTAPHA
chakirsmi@gmail.com
2
Introduction
Firewall Policies
3
Objectives
Dans cette formation, vous apprendrez:
Plan de cours
Vue d'ensemble des politiques
Network Address Translation
Propriétés de la politique
Exemple
Conditions de filtrage de paquets
Politiques proxy
Enregistrement et suivi des politiques de pare-feu
5
Source ✓ ✓
IP Header Destination ✓ ✓
Port(s)/Protocols ✓ ✓
Packet body ✓
Attachments ✓
Packet Content
RFC Compliance ✓
Commands ✓
13
Aliases
Dans une politique pare-feu, vous
pouvez utiliser un alias pour
spécifier la source de trafic ou de Built-in aliases
destination.
Interface aliases
Aliases
Aliases Prédéfinis: (non modifiable)
• Any-Trusted — Tous interfaces de confiance
• Any-Optional — Tous les interfaces optionnelles
Aliases personnalisés
Vous pouvez créer des alias personnalisés à utiliser dans vos
politiques de pare-feu.
Un alias peut contenir toute combinaison de ces éléments:
• Adresse de l'hôte IP
• Adresse IP du réseau
• Une plage d'adresses IP d'hôtes
• Nom de l'hôte (recherche DNS) – DNS lookup est effectuée sur le nom
d'hôte et les adresses IP résolues sont ajoutés à l'alias.
Aliases personnalisés
Adresse de Tunnel - définie par un utilisateur ou un groupe, l'adresse et
le nom du tunnel.
Un autre alias
Un utilisateur autorisé ou d'un groupe
19
Incoming et Outgoing
Le terme incoming et outgoing décrire les connexions que
les politiques peuvent appliquer.
WebBlocker
WebBlocker est activé dans
les stratégies de proxy HTTP et
de proxy HTTPS
Par défaut WebBlocker:
Bloque les connexions aux
sites Web dans les catégories
de contenu que vous
sélectionnez dans l'assistant
de configuration
Autorise toutes les connexions
si la licence WebBlocker expire
ou si Firebox ne peut pas se
connecter au serveur
WebBlocker
Politiques par default du Firewall et la
25
Gateway AntiVirus
Gateway AntiVirus est activé dans les stratégies de proxy
FTP et de proxy HTTP
• Le proxy HTTP:
– Refuse tous les exécutables
– Refuse toutes les archives compressées
– AV Scans tout le contenu autorisé
• Le proxy FTP:
– AV scanne tous les fichiers
– Les deux stratégies de proxy:
– Supprimer la connexion si un virus est détecté
– Autoriser la connexion si une erreur d'analyse se produit
Politiques par default du Firewall et Intrusion
26
Prevention
▪ Le service de prévention des intrusions (IPS) est activé
dans toutes les stratégies, à l'exception des stratégies
d'interface utilisateur WatchGuard et WatchGuard Web.
• Stratégies supprimant les connexions IPS détecte le contenu au
niveau critique, élevé ou moyen.
Politiques par default du Firewall et
27
Application Control
Le contrôle applicatif est activé dans toutes les stratégies, à
l'exception des stratégies WatchGuard et WatchGuard Web
UI
• L'action Application Control bloque les applications dans les
catégories d'application Crypto Admin et Bypass Proxies and
Tunnels.
Politiques par default du Firewall et APT
28
Blocker
APT Blocker est activé dans le proxy HTTP et le proxy FTP
• Les stratégies bloquent les connexions si APT Blocker détecte une
menace au niveau de menace élevé (ajoute la source à la liste Sites
bloqués)
• Les stratégies abandonnent les connexions si APT Blocker détecte une
menace au niveau de menace Moyen ou Faible.
29
Policy
La politique sortant est une politique de filtrage de paquets qui
autorise les connexions UDP et TCP sortant des réseaux
de confiance et facultatifs vers des réseaux externes si une
politique de priorité plus élevée ne permet pas la connexion
NAT
Pour comprendre comment les politiques sont applicables aux
connexions à travers le pare-feu, il est important de comprendre
Network Address Translation (NAT).
NAT décrit une de plusieurs formes d'adresse IP et de traduction de
port.
Types de NAT
Dynamic NAT — S’applique aux connexions sortantes
• Modifie l'adresse IP source à partir de l'adresse IP privée d'un
ordinateur local à l'adresse IP publique (externe)
Static NAT — S’applique aux connexions entrantes
• Également connu sous le transfert de port (Port Forwarding)
• Il permet de mapper les connexions entrantes sur un port
spécifique à l'adresse IP privée d'un ordinateur derrière le Firewall
1-to-1 NAT — S’applique aux connexions entrantes et sortantes
• Crée une correspondance entre les adresses IP sur un réseau et
des adresses IP sur un autre réseau différent
Dynamic NAT
Modifie la source des adresses IP pour le trafic sortant en utilisant
l'adresse IP de l'interface externe.
Activé par défaut pour les sous-réseaux IP de réseau privé RFC
1918, comme 192.168.0.0/16.
Les réponses aux connexions sortantes revient à l'adresse IP
privée où la connexion est née.
NAT Enabled
Devices and
users with private
IP addresses
Web server
Port 80 TCP
10.0.2.80
FTP server
203.0.113.2
Port 21 TCP
10.0.2.21
IKE
Without NAT-T
10.0.2.12 Intel Phone (H.323) — Another
external IP address
Intel-Video-Phone
Ports 1720, 522
10.0.2.13
• Policy type
• Protocol/Port
• Action (Allow/Deny)
• Source et destination
• Schedule
• Policy-based routing
• NAT / Traffic Management / QoS
• Quotas
• Security services
44
Protocol / Port
Définir les types de connexions
gérés par les politiques
• Intégré dans les modèles de
politique facilitent la configuration
des politiques pour de nombreux
types de connexion pour les
ports standards et protocoles
Après avoir ajouté la politique, le
port et le protocole apparaissent
dans l'onglet Propriétés dans la
politique
• Vous ne pouvez pas modifier
les ports dans la politique
46
Action
L’Action définit si la politique autorise
ou refuse les connexions
Source
▪ Le From specifier la source de
la connexion
▪ Ajouter une source:
• Alias
• User / Group
• IP address or subnet
• Host name
• Fully qualified domain name
(FQDN)
48
Destination
Le To specifier la destination de
la connexion.
Ajouter une destination:
• Alias
• Users / Groups
• IP address or subnet
• Host name
• Fully qualified domain name
(FQDN)
• Static NAT action
49
Policy-Based Routing
Si votre Firebox a plus d'une interface
externe, vous pouvez utiliser le routage
basé sur des stratégies dans les
politiques
Planification
Un calendrier permet une politique d'être
opérationnelle que parfois vous spécifiez
Par défaut, une politique est « Always On»
Vous pouvez définir un calendrier par politique
52
• Quota de bande passante -MB par jour, pour tous les trafics TCP et
UDP dans les deux sens
groupe.
l'application des quotas requiert une
authentification utilisateur
Les quotas sont utiles avec les politiques proxy HTTP et HTTPS
proxy pour appliquer une limite quotidienne à l'utilisation d'Internet
Vous pouvez appliquer un quota à une politique TCP ou UDP
60
Politiques et IPS
Intrusion Prevention Service (IPS) est un service basé sur
les signatures qui offre une protection en temps réel contre
les menaces telles que:
• Spyware, SQL injections
• Cross-site scripting, buffer overflows
* Pour utiliser Gateway, APT Blocker , IPS, ou à la RED pour le trafic HTTPS, vous devez activer l'inspection du contenu dans le proxy
HTTPS, et sélectionnez l'action proxy HTTP qui a les services activés
65
Exemple
Planifiez vos politiques de réseau
66
Exemple
Lorsque vous planifiez les politiques pour ajouter, considérer que
les connexions et les types de contenu que vous souhaitez
autoriser, refuser, ou le contrôle
• Modifier la valeur par défaut proxy HTTP et HTTPS politiques proxy pour
• Ajouter une stratégie SMTP proxy pour les connexions SMTP entrants.
67
Exemple
Serveur Web: Voulez-vous protéger un serveur Web public sur le réseau
privé?
• Ajouter une politique de proxy HTTP pour permettre les connexions entrantes
• Ajouter une politique qui autorise le trafic avec le port requis et le protocole sur le
serveur.
• Définir l'authentification
• Ajouter des politiques différentes pour chaque groupe d'utilisateurs
68
• HTTP-Proxy-enseignants
• HTTP-proxy-étudiants
• HTTP-Proxy-administration
67
Enabled policies
allow outgoing HTTP,
HTTPS, and DNS
connections
Outgoing policy
is disabled
74
Exemple –
Vous pouvez appliquer une planification à une politique
de sorte qu'il ne soit opérationnel que pendant certaines
heures de la journée ou les jours de la semaine.
77
Politiques de proxy
Cette section décrit les actions proxy et fournit plusieurs
exemples de configuration de stratégie proxy.
Exemples de configuration de stratégie
• SMTP-proxy
• Proxy HTTP et HTTPS-proxy
• l'action de contenu HTTP dans proxy HTTP et HTTPS-proxy
• l'action de routage dans une action HTTPS proxy
• Utilisez FQDN dans un proxy HTTP
• Configurer différentes stratégies pour des groupes, avec
l'authentification
• Proxy TCP / UDP
• proxy explicite
79
Actions de Proxy
Paramètres d'une stratégie de
proxy sont les mêmes que pour
une politique de filtrage de
paquets, sauf qu'une politique
proxy comprend un l'action proxy
ou l'action contenu
De nombreux paramètres de
service d'abonnement sont en
actions proxy
80
Select
actions to
take for
content that
does or
does not
match
85
• SMTP-proxy
• Proxy HTTP et HTTPS-proxy
• Utiliser des actions de contenu dans un proxy HTTP et un proxy
HTTPS
• Utilisez FQDN dans un proxy HTTP
• Configurer différentes stratégies pour des groupes, avec
l'authentification
• politique proxy TCP / UDP
• Explicite-proxy
89
Exemple — SMTP-Proxy
Vous avez un serveur SMTP sur le réseau DMZ,
avec une adresse IP privée de 10.0.2.25.
▪ Pour autoriser les connexions au serveur SMTP à partir du réseau
externe, vous pouvez ajouter soit un filtre de paquets SMTP ou
stratégie de proxy avec NAT statique.
• Cet exemple utilise une stratégie de proxy SMTP pour filtrer le trafic.
Exemple — SMTP-Proxy
Exemple
• Dans la section A de la politique, cliquez sur Ajouter, puis sélectionnez Ajouter
SNAT.
• Tapez l'adresse IP du serveur SMTP.
91
Exemple — SMTP-Proxy
Statique et dynamique
NAT travailler ensemble.
Exemple — SMTP-Proxy
Par défaut, le SMTP proxy utilise le
SMTP-Incoming.Standard
Exemple — SMTP-Proxy
Dans l'action proxy, sélectionnez
une catégorie pour voir et
modifier les paramètres.
Dans les paramètres d'action
proxy SMTP, vous pouvez:
Exemple — SMTP-Proxy
Dans l'action proxy SMTP entrant, vous pouvez
configurer les règles d'adresses pour empêcher un
spammeur de relayer le courrier via votre serveur SMTP.
▪ * @ successfulcompany.com
Exemple — SMTP-Proxy
Utilisez spamBlocker avec l'action proxy SMTP pour détecter les spams.
Après que le spamBlocker est activé, vous pouvez modifier les paramètres de
l'action proxy.
Vous pouvez configurer des
actions pour:
• Spam confirmé
• email en Bulk
• Suspect
96
Exemple — HTTP-Proxy
Ajouter une politique de proxy
HTTP.
Utilisez les paramètres par défaut:
Exemple — HTTPS-Proxy
Ajouter une politique HTTPS
proxy.
Utilisez les paramètres par
défaut:
de contenu à bloquer
101
Exemple — HTTP-Proxy
Activer Gateway AntiVirus pour le proxy HTTP.
▪ Sélectionnez Services d'abonnement> Antivirus de passerelle> Activer.
Exemple — HTTP-Proxy
Après avoir activé les services, vous pouvez voir que l'action
proxy pour le proxy HTTP a été cloné pour créer une nouvelle
action proxy (HTTP-Client.Standard.1)
Modifier l'action proxy pour afficher les paramètres pour
chaque service d'abonnement.
▪ WebBlocker
▪ Gateway Antivirus
▪ Repuation Enabled Defence
103
Exemple — HTTP-Proxy
L'assistant antivirus de passerelle configure le proxy HTTP pour analyser le
trafic autorisé et abandonner la connexion si un virus est détecté
• L'assistant modifie l'action pour les chemins URL, types de contenu, et le contenu
Types de corps rulesets dans l'action proxy HTTP de Allow à Scan AV
104
Exemple — HTTP-Proxy
▪ Pour améliorer les performances, vous pouvez configurer le proxy
HTTP pour contourner l'analyse antivirus pour le contenu qui est
moins susceptible de contenir des virus
• Pour plus d’informations:
WatchGuard Video Tutorial: Optimize Gateway AntiVirus for
HTTP Traffic
105
Exemple — HTTPS-Proxy
Après avoir activé WebBlocker pour
le proxy HTTPS, vous pouvez voir
que l'action proxy pour la politique
HTTPS-proxy a été cloné pour créer
une nouvelle action proxy (https-
▪ Client.Standard.1) avec WebBlocker
activé
106
Exemple — HTTPS-Proxy
Pour activer l'action proxy HTTPS pour utiliser la passerelle antivirus et
d'autres paramètres configurés dans une action HTTP-proxy:
• Activer l'inspection du contenu dans l'action proxy HTTPS
• Sélectionnez l'action Vérifier, avec l'action de proxy HTTP pour utiliser
107
Exemple — HTTPS-Proxy
108
Exemple — HTTPS-Proxy
Sélectionnez l'action proxy HTTP pour inspecter le contenu Web
uncategorized
109
Exemple — HTTPS-Proxy
Avec l'inspection de contenu activé, et l'action
Inspect sélectionné, l'action HTTPS-proxy:
• Déchiffre le trafic HTTPS
Exemple — HTTPS-Proxy
Le proxy HTTPS inspecte le contenu que pour les domaines autorisés et catégories
WebBlocker autorisés configurés pour l'inspection dans la Noms de domaine et
WebBlocker paramètres
Blocked
categories
are greyed
out
111
– Exemple: */Exemple.com/test/*
▪ Rule Actions précise quelle action proxy HTTP Server pour utiliser et comment
acheminer la demande
• les paramètres HTTPS Port et TLS/SSL Offload appliquent uniquement
aux politiques proxy HTTPS et ne modifient pas les politiques de proxy
HTTP
115
• Utilisez une action de contenu pour acheminer les requêtes entrantes vers
différents serveurs internes sur la base des règles de contenu dans l'action de
contenu
• a.example.com
• b.example.com
• abexample.com
125
Exemple — FQDN
Nous vous recommandons d'utiliser FQDN dans
les politiques lorsque vous voulez une politique pour
autoriser le trafic vers des domaines sélectionnés
alors que d'autres politiques nient tout autre trafic
Par exemple, votre entreprise pourrait vouloir refuser
l'accès web pour tous les utilisateurs ou groupes
d'utilisateurs, mais encore besoin d'un accès Web
pour les mises à jour du logiciel client:
Exemple — TCP-UDP-Proxy
▪ Les politiques HTTP-proxy et HTTPS-proxy s’appliquent
uniquement à la circulation sur le port standard pour chaque
protocole (port HTTP 80 et port 443 HTTPS) proxy HTTP et
HTTPS.
▪ Pour appliquer une action proxy HTTP, HTTPS ou tout autre trafic
TCP ou UDP sur un port non standard, ajoutez un TCP / UDP
proxy.
130
Exemple — TCP-UDP-Proxy
▪ Dans l'action proxy TCP-UDP, sélectionnez une action pour
chaque protocole.
• For HTTP, HTTPS, SIP, and FTP:
– Proxy action
– Allow
– Deny
• Pour les autres protocoles:
– Allow
– Deny
131
Exemple — TCP-UDP-Proxy
Avec HTTP, HTTPS et proxy TCP-UDP configurés comme
indiqué:
Exemple — Explicit-Proxy
Dans une configuration proxy typique, Firebox relaie de façon
transparente et inspecte les connexions client aux serveurs
Le proxy explicite permet au Firebox d'accepter les demandes
directes des clients, puis se connecter aux serveurs spécifiés et
récupérer les informations au nom du client. Le trafic est
inspecté par les services de sécurité du Firebox tout comme un
trafic proxy régulière
133
Exemple — Explicit-Proxy
▪ HTTP Explicit Proxy
• les clients de navigateur Web sont configurés pour envoyer des demandes
directement à l'adresse IP du Firebox et le port (port TCP 3128 par défaut)
• le trafic HTTP est inspecté parl es services de sécurité du Firebox et les règles
d'action Proxy HTTP configurées.
Exemple — Explicit-Proxy
Le support du tunnel HTTP CONNECT pour HTTPS
• Le client envoie une requête HTTP au Firebox Proxy explicite sur le numéro de
port 3128
• Proxy explicite répond à la requête HTTP d'origine avec une réponse HTTP,
et le client peut alors envoyer des données vers le serveur de destination
Exemple — Explicit-Proxy
▪ FTP over HTTP connection
support
• The Explicit Proxy can proxy
FTP connections sent over
HTTP (also known as Web FTP)
• The Explicit Proxy connects to
the destination server using
native FTP commands to
retrieve a directory listing or file,
and then sends the data to the
client in an HTTP response
• Set an FTP proxy action to apply
to Web FTP traffic
• Provide default FTP credentials
136
Exemple — Explicit-Proxy
▪ FTP over HTTP connection
support
• Le proxy explicite peut inspecter les connexions
FTP envoyé via HTTP (également connu sous
le nom Web FTP)
Proxy
Pour une politique de
proxy, vous devez
activer la journalisation
des rapports dans les
paramètres généraux de
l'action proxy.
Les politiques proxy
créées par les assistants
de configuration
permettent cela dans
les actions de proxy par
défaut
142
Destination port
Destination
Action Source port* interface
Source Destination Source
Date and time IP address IP address Protocol interface Action
2015-04-25 02:29:30 Allow 10.0.1.2 192.168.130.3 1666/tcp 62310 1666 1-Trusted 0-External Allowed 52 127 (Outgoing-
00) proc_id="firewall" rc="100" msg_id="3000-0148" src_ip_nat=“203.0.113.20" tcp_info="offset 8 S 2241693126 win
65535"
▪ (Unhandled Packet interne) indique que le paquet a été refusée parce qu'il
n'y a pas de politique Configuré pour le permettre.
Politique Checker
▪ L’utilisation de la Politique Checker est pour déterminer comment le
Firebox gère les connexions pour un protocole particulier entre une
source et la destination que vous spécifiez
▪ Ceci est un outil de dépannage utile si votre Firebox autorise ou
refuse le trafic de façon inattendue, ou si vous voulez vous assurer
la gestion de vos politiques de la façon dont vous attendez
153
Policy Checker
▪ Type the interface, protocol, port, and source and destination
address.
▪ Click Run to see the result of the policy resolution.
▪ If the packet was managed by a policy, the policy details
appear in the Results section, and the policy is highlighted in
the Firewall Policies list.
154
Policy Checker
▪ Tapez l'interface, le protocole, le port et la source et l'adresse de
destination.
▪ Cliquez sur Run pour voir le résultat de la résolution politique.
▪ Si le paquet a été géré par une politique, les détails de la politique
apparaissent dans la section Results, et la politique est mis en
évidence dans la liste des politique du FW.
155
Fin de la formation