Formation Sophos Administrator

FORMATION SOPHOS
ADMINISTRATOR
LE GUIDE DE L’ADMINISTRATEUR
ANGE MARIE TREY

SOMMAIRE
 PRESENTATION DU PARE-FEU  SYSTÈME

SOPHOS  Sophos central
 SURVEILLANCE & ANALYSE  Profils
 Mise en route  Hôtes et services
 Le centre de contrôle  Administration
 Les activités ponctuelles  Sauvegarde et firmware
 Les rapports  Certificats
 Protrection Zero-days
 Diagnostic
SOMMAIRE
 CONFIGURATION  PROTECTION
 VPN d’accès distant  Règles et stratégies
 VPN site à site  Prévention des intrusions
 Réseau  Web
 Routage  Applications
 Authentification
 Réseau sans fil
 Email
 Services système
 Serveurs Web
 Protection avancée
Présentation du pare-feu Sophos
Cliquez sur l'icône pour ajouter une image
Présentation du pare-
feu Sophos
Sophos Firewall est un dispositif de

sécurité réseau complet, avec un
pare-feu basé sur les zones et des
stratégies basées sur l'identité en
son cœur.
feu Sophos
Sophos Firewall ne protège pas

seulement les réseaux câblés, mais
en tant que contrôleur sans fil pour
les points d'accès Sophos, il peut
fournir une fonctionnalité de mise
en réseau sans fil sécurisée.
feu Sophos
La protection est assurée via une

plate-forme cloud unique, ce qui
rend la gestion quotidienne de tous
vos produits Sophos (y compris
Sophos Firewall) simple et
évolutive.
feu Sophos
Il existe des fonctionnalités

spécialement conçues pour aider les
universités, l'enseignement supérieur,
la maternelle à la 12e année et les
établissements d'enseignement
primaire ou secondaire à surmonter
les principaux défis. Par exemple, de
puissantes politiques de filtrage Web,
des politiques intégrées pour la
sécurité des enfants et la conformité.
feu Sophos
Avec Sophos Firewall et SD-RED, vous

pouvez connecter des sites sur votre
réseau distribué géographiquement.
feu Sophos
Sophos Firewall fonctionne avec Sophos
Central et Intercept X en temps réel. Ainsi,
lorsque Sophos Firewall ou Intercept X
identifient une menace, ils travaillent
ensemble pour fournir une surveillance de
l'intégrité et des menaces, une protection
contre les mouvements latéraux ainsi qu'un
contrôle synchronisé des applications et un
ID utilisateur synchronisé.
feu Sophos
Sophos Firewall peut être déployé à l'aide
de machines virtuelles préconfigurées dans
le cloud où les serveurs cloud peuvent être
sécurisés, les protégeant contre les
tentatives de piratage.
SURVEILLANCE & ANALYSE
Mise en route
 Options de déploiement
Sophos Firewall est disponible dans les formats suivants :

 Matériel
 Virtuel
 Logiciel
Mise en route
 Matériel
Sophos Firewall est disponible dans une gamme de périphériques

matériels physiques pour répondre aux besoins des entreprises de
toutes tailles, y compris les particuliers, les petites entreprises et les
grandes entreprises.
Pour savoir quel appareil correspond à vos besoins, contactez notre

équipe commerciale ou votre partenaire privilégié, NEURONES
TECHNOLOGIES.
Mise en route
 Virtuel
Vous pouvez déployer les Appliances virtuelles en tant que pare-feu de nouvelle génération.
En fournissant des fonctionnalités de sécurité complètes disponibles dans ses dispositifs de sécurité matériels, sous forme
virtualisée, ces dispositifs virtuels offrent une sécurité basée sur l'identité de couche 8 sur un seul dispositif virtuel.
Vous pouvez installer des Appliances virtuelles dans des environnements hébergés sur VMware, Hyper-V, KVM et Citrix
Hypervisor.
Vous devez remplir les conditions minimales suivantes pour installer Sophos Firewall dans un environnement virtuel :
Mise en route
Mise en route
 Logiciel
Vous pouvez déployer l'appliance logicielle Sophos Firewall sur du matériel

personnalisé sur les systèmes Windows et macOS.
NB: L'installation du logiciel du système d'exploitation Sophos Firewall

(SFOS) écrase tout système d'exploitation ou fichier précédent sur
l'ordinateur.
Vous devez remplir les conditions minimales suivantes pour installer

Sophos Firewall sur votre propre matériel :
Mise en route
 Gestion du pare-feu Sophos

Découvrons les interfaces via lesquelles vous pouvez administrer Sophos Firewall.
 Interfaces administratives
Vous pouvez administrer Sophos Firewall via les consoles de pare-feu et les solutions d'administration centralisées
suivantes :
 Console d'administration Web : une application Web pour configurer, surveiller et gérer Sophos Firewall.
Accédez à la console via n'importe quel navigateur utilisant HTTPS.
https://<adresse IP LAN de Sophos Firewall>:4444
 Interface de ligne de commande : la CLI vous permet de gérer et de surveiller certains composants de Sophos
Firewall, ainsi que de Diagnostic et de résoudre les problèmes. Sophos Firewall offre un accès SSH à la CLI.
Mise en route

 Accès administratif
En tant qu'administrateur, vous pouvez accéder à Sophos Firewall via les services HTTPS ou SSH. Le profil de
connexion administrateur définit les interfaces administratives que vous pouvez utiliser pour accéder à Sophos
Firewall.
Sophos Firewall est livré avec un compte administrateur et quatre profils administrateur.
Mise en route

 Ports de gestion
Les modèles d‘Appliances Sophos Firewall 1U et supérieurs possèdent un ou plusieurs ports de gestion. Vous
pouvez les utiliser pour accéder à la console d'administration Web et à la console CLI.
Adresse IP par défaut du port de gestion : 10.0.1.1
Mise en route
 Console d'administration Web

Le système d'exploitation Sophos Firewall utilise une interface utilisateur graphique (console d'administration Web) pour
configurer et administrer Sophos Firewall.
Navigateurs pris en charge: Chrome, Edge, Firefox et Safari. Nous vous recommandons d'utiliser la dernière version du
navigateur.
 Paramètres de la console d'administration Web

Vous pouvez accéder à la console d'administration Web à partir d'un navigateur Web:
Services : HTTPS
Interface : port LAN
Port HTTPS de la console d'administration : 4444
Pour modifier l'interface par laquelle vous accédez à la console d'administration Web, accédez à Administration > Accès aux
appareils.
Mise en route
 Recherche de menu globale
Vous pouvez utiliser la zone de recherche en haut du menu de gauche pour rechercher des éléments dans le menu
de gauche, les onglets et les en-têtes de section. Vous pouvez voir la liste des résultats de la recherche avec les
chemins.
Centre de contrôle
Le centre de contrôle fournit un instantané sur un seul écran l'état et de la santé du système de sécurité.
Le centre de contrôle apparaît dès que vous vous connectez.
 La clé principale de stockage sécurisé

La clé principale de stockage sécurisé offre une protection supplémentaire pour les détails du compte stockés sur Sophos
Firewall. La clé crypte les informations sensibles, telles que les mots de passe, les secrets et les clés, empêchant tout accès
non autorisé.
 Administrateur par défaut

Vous ne pouvez créer la clé principale de stockage sécurisé que lorsque vous vous connectez à l'aide des informations
d'identification de l'administrateur par défaut. Sophos Firewall fournit un super administrateur par défaut avec le nom
d'utilisateur défini sur admin.
Centre de contrôle
Pour plus de détails sur l'administrateur par défaut, voir Administration > Accès à l'appareil et faites défiler jusqu'à
Paramètres de mot de passe administrateur par défaut.
Si vous perdez la clé principale, accédez à la CLI pour en créer une nouvelle. Vous ne pouvez pas restaurer les sauvegardes et
les exportations de configuration effectuées à l'aide de l'ancienne clé, mais toutes les nouvelles sauvegardes et exportations
utiliseront la nouvelle clé.
Avertissement: Si vous perdez la clé principale de stockage sécurisé, vous ne pouvez pas la récupérer. Assurez-vous de le
stocker dans un système de gestion de mots de passe ou dans un autre emplacement sécurisé.
NB: Vous utilisez l'option Réinitialiser la clé principale de stockage sécurisé dans l'interface de ligne de commande pour créer
une nouvelle clé principale de stockage sécurisé. Cependant, cette option n'apparaît que si vous avez créé la clé sur la console
d'administration Web.
Centre de contrôle
 Information sensible  Importer / Exporter
Actuellement, les mots de passe des utilisateurs, les Vous pouvez importer des configurations qui ont une clé
secrets des points d'accès Wi-Fi, les bons de point principale sans entrer la clé principale de stockage
d'accès et les utilisateurs SPX sont cryptés. Si vous ne sécurisé, mais vous perdrez des informations sensibles et
saisissez pas la clé principale, Sophos Firewall les configurations dépendantes.
n'importera pas ces informations ni les configurations
Vous devrez ressaisir ou recréer les informations
dépendantes.
ultérieurement.
Centre de contrôle
 Sauvegarde et restauration  Importer / Exporter
Vous devez saisir la clé principale de stockage sécurisé Vous pouvez importer des configurations qui ont une clé
lorsque vous restaurez une sauvegarde effectuée après principale sans entrer la clé principale de stockage
la définition de la clé principale. Si vous n'entrez pas la sécurisé, mais vous perdrez des informations sensibles et
clé principale, vous ne pouvez pas restaurer ces les configurations dépendantes.
sauvegardes.
Vous devrez ressaisir ou recréer les informations
ultérieurement.
Vous pouvez restaurer les sauvegardes effectuées avant
la définition de la clé principale sans entrer la clé
principale.
 Configuration d'usine
Si vous réinitialisez la configuration d'usine, Sophos
Firewall supprime la clé principale de stockage sécurisé.
Centre de contrôle
 Mot de passe administrateur par défaut

Sophos Firewall offre une protection renforcée par mot de passe pour l'administrateur par défaut (nom d'utilisateur :
admin). Pour bénéficier de la protection, vous devez modifier le mot de passe si vous effectuez une mise à niveau à
partir de la version 18.0 MR3 ou antérieure ou de la version 17.5 MR14. Vous pouvez utiliser l'une des options
suivantes pour modifier le mot de passe :
Vous pouvez utiliser l'une des options suivantes pour modifier le mot de passe :
Centre de contrôle : Effectuez la modification dans la fenêtre contextuelle qui s'affiche lorsque vous vous
connectez.
 Accès à l'appareil : accédez à Administration > Accès à l'appareil, faites défiler jusqu'à Paramètres de mot
de passe administrateur par défaut et modifiez le mot de passe.
 CLI : sur la ligne de commande, entrez 2 pour la configuration du système, puis entrez 1 pour définir le mot
de passe pour l'utilisateur admin et modifiez le mot de passe.
Prise en charge IPv6
La liste des fonctionnalités pour la prise en charge d'IPv6 dans Sophos Firewall est la suivante :
Activités en cours
Gardez une trace des utilisateurs locaux et distants actuellement connectés, des connexions IPv4, IPv6, IPSec, SSL
et sans fil actuelles.
 Utilisateurs en direct (live users)

Les utilisateurs en direct sont des utilisateurs actuellement connectés au pare-feu.
Pour déconnecter des utilisateurs, sélectionnez-les et cliquez sur Déconnecter. Vous pouvez modifier le texte de la
notification. Cliquez à nouveau sur Déconnecter.
Activités en cours
 Connexions en direct
Vous pouvez voir les détails de connexion du trafic IPv4 et IPv6 pour les applications, les noms d'utilisateur et les
adresses IP source.
Vous pouvez voir le transfert de données, la bande passante consommée, le nombre de connexions et d'autres
détails du trafic.
 Pour actualiser automatiquement les détails de connexion, sélectionnez l'Intervalle d'actualisation automatique
dans la liste.
 Pour actualiser manuellement, cliquez sur Actualiser.
Activités en cours
 Connexions en direct Pour voir les détails de la connexion

en direct, sélectionnez l'une des
 Pour voir le nombre de connexions actuelles, voir Connexions en direct
options suivantes :
dans le coin supérieur gauche.
 Application
 Nom d'utilisateur
 Adresse IP source
La liste affiche les détails des

connexions actuelles comme suit :
 Les détails de connexion en direct affichés datent du moment où une
connexion a été établie.
Par exemple, le transfert de téléchargement concerne le total des données
téléchargées depuis l'établissement de la connexion.
Activités en cours
 Connexions IPSec
Vous pouvez voir une liste des connexions IPSec établies. Vous pouvez filtrer la liste en fonction du nom de la connexion,
du nom du serveur local, du sous-réseau local, du nom d'utilisateur, du serveur/hôte distant ou du sous-réseau distant.
Vous pouvez effectuer les actions suivantes sur une connexion IPSec :
Pour voir une connexion IPSec, accédez à Activités en cours > Connexions IPSec.
Pour déconnecter une connexion IPSec, cliquez sur Déconnecter.
Pour mettre à jour une connexion IPSec, cliquez sur Actualiser.
Activités en cours
 Utilisateurs distants
Pour voir les utilisateurs distants connectés,

accédez à Activités en cours > Utilisateurs distants.
Vous pouvez filtrer les connexions en fonction de la date de connexion, du nom d'utilisateur, de l'adresse IP source et de
l'adresse IP louée.
Pour déconnecter un utilisateur distant, cliquez sur Déconnecter.
Rapports
 Rapports
Les rapports vous aident à analyser le trafic et les menaces et à vous conformer à la réglementation.
Par exemple, vous pouvez afficher un rapport qui inclut toutes les activités de protection du serveur Web effectuées
par le pare-feu, telles que les demandes de serveur Web bloquées et les virus identifiés.
Pour générer des données de rapport, sélectionnez Consigner le trafic du pare-feu dans chaque règle de pare-feu.
Utilisez des rapports pour identifier les menaces, gérer l'utilisation et renforcer la sécurité.
Rapports
Pour afficher un rapport, sélectionnez un groupe dans la liste Afficher.

Certaines sélections vous permettent d'affiner davantage les données du rapport. Vous pouvez également spécifier
une plage de dates pour le rapport.
 Pour actualiser les données du rapport, cliquez sur Générer.
 Pour télécharger les données du rapport, cliquez sur l'un des formats de téléchargement disponible. Pour créer
un signet pour le rapport, cliquez sur Signet.
 Pour planifier l'envoi d'un rapport par e-mail à des intervalles spécifiés, cliquez sur Planifier.
 Pour filtrer les résultats, cliquez sur le bouton Filtrer et spécifiez les critères.
 Pour spécifier les options de configuration des rapports, cliquez sur Afficher les paramètres de rapport.
Les sélections suivantes génèrent un rapport qui affiche le trafic des applications pour une plage de dates spécifiée.
Rapports
 Comment télécharger des rapports
Vous pouvez télécharger des rapports dans différents formats.

 Accédez à Rapports
 Cliquez sur Applications et Web.
 Sélectionnez les critères du rapport dans Afficher la liste
 Sélectionnez la plage de dates.
Pour télécharger les données du rapport, cliquez sur l'un des formats de téléchargement disponible.
L'image suivante montre des exemples de paramètres de rapport.
Rapports
 Tableaux de bord
Pour afficher des informations sur le trafic réseau traversant le pare-feu et les menaces de sécurité.
• Tableau de bord du trafic
Catégories de trafic réseau, par exemple, applications, catégories Web et utilisateurs.
• Tableau de bord de sécurité
Activités et trafic réseau refusés. Fournit également des informations sur les logiciels malveillants, les spams et les
principaux pays d'origine et de destination.
• Rapport exécutif
Informations fréquemment consultées sur le pare-feu, par exemple, le trafic réseau et les menaces.
• Quotient de menace utilisateur
Classement des utilisateurs par score de menace.
Rapports
 Applications & Internet
Affichez des informations sur l'utilisation des applications et d'Internet sur votre réseau.
• Compteur de risque d'application

Sophos Firewall calcule les scores en fonction du niveau de risque et du nombre d'accès des applications individuelles.
Le compteur de risque applicatif est basé sur le score moyen de tout le trafic applicatif.
Note: Les rapports indiquent le niveau de risque et le nombre d'accès aux applications individuelles.
Rapports
 Compteur de risque d'application

Sophos Firewall calcule les scores en fonction du niveau de risque et du nombre d'accès des applications individuelles.
Le compteur de risque applicatif est basé sur le score moyen de tout le trafic applicatif.
Note: Les rapports indiquent le niveau de risque et le nombre d'accès aux applications individuelles.
• Risques et utilisation de l'application utilisateur

Utilisation de diverses applications et risques associés.
• Applications utilisateur bloquées
Tentatives bloquées pour accéder à diverses applications.
• Risques et usages Web
Utilisation du Web sur votre réseau et risques associés
Rapports

• Tentatives Web bloquées
Tentatives infructueuses faites par les utilisateurs pour accéder à des sites bloqués.
• Moteur de recherche
Modèles de recherche d'utilisateurs.
• Contenu Web
Correspondances du filtre de contenu et détails associés.
Sophos Firewall bloque toujours les pages Web classées comme activités criminelles hautement répréhensibles et masque
le nom de domaine dans les journaux et les rapports.
• Utilisation du serveur Web
Trafic applicatif, Web, Internet et FTP.
Rapports
• Protection du serveur Web

État de sécurité de vos serveurs Web hébergés, y compris les attaques et les sources.
• Transfert de données utilisateur
Trafic utilisateur.
• Utilisation FTP
Activité FTP.
• Protection FTPA
Activité FTP malveillante.
Rapports
 Réseau et menaces
Afficher des informations sur l'utilisation du réseau et les menaces associées.
• Attaques par intrusion
Tentatives d'attaque.
• Protection avancée contre les menaces
Détails de l'utilisation du réseau et des menaces, y compris les menaces avancées.Sans filUtilisation du point d'accès et
SSID configurés.
• Battement de cœur de sécurité
Santé des points de terminaison de votre réseau en fonction de la communication entre un point de terminaison et le pare-
feu.
• Protection du jour zéro
Protection renforcée contre les attaques avancées et ciblées.
Rapports
 VPN
Affichez des informations sur les utilisateurs distants qui se connectent à votre réseau à l'aide d'un VPN IPsec, d'un VPN
SSL et d'un accès sans client.
• VPN
Trafic généré par les utilisateurs distants se connectant via des connexions IPsec, L2TP ou PPTP.
• VPN SSL
Trafic généré par les utilisateurs distants se connectant via un client VPN SSL.
• Accès sans client
Trafic généré par les utilisateurs distants se connectant via un navigateur Web.
Rapports
 E-mail
Afficher des informations sur le trafic de messagerie sur votre réseau.
• Utilisation des e-mails

Trafic de messagerie sur votre réseau.
• Protection des e-mails
Trafic de courrier électronique infecté par des virus et des spams sur votre réseau.
Rapports
 Conformité
Afficher des informations sur la conformité réglementaire.
HIPAA: Rapports de sécurité requis pour se conformer à la

Health Insurance Portability and Accountability Act (États-
Unis).
GLBA: Rapports de sécurité requis pour la conformité à la loi
Gramm–Leach–Bliley (États-Unis).
CIPA: Rapports de sécurité requis pour se conformer à la
Children's Internet Protection Act (États-Unis).
Rapports
 Rapports personnalisés
Créez des rapports qui incluent uniquement les critères que vous spécifiez.
Vous pouvez créer les rapports personnalisés suivants :Rapport Web : recherchez une activité de navigation ou des virus.
Vous pouvez spécifier l'utilisateur, le domaine et d'autres critères.
Note: Les rapports Web personnalisés affichent uniquement les domaines, URL, catégories Web et adresses IP autorisés.
Pour voir les détails du trafic bloqué, accédez à Rapports > Applications et Web et sélectionnez Tentatives Web
bloquées.
• Rapport de messagerie : recherchez l'utilisation de la messagerie, les spams et les virus. Vous pouvez spécifier le
protocole, l'utilisateur et d'autres critères.
• Rapport FTP : recherchez l'utilisation du FTP et les virus. Vous pouvez spécifier le type de transfert, l'utilisateur, le
fichier ou l'IP source.
Rapports
 Rapports personnalisés
• Rapport utilisateur : recherchez des informations sur l'utilisation telles que les applications à haut risque, les
domaines Web improductifs et les virus détectés. Vous pouvez spécifier le nom d'utilisateur, l'hôte source et d'autres
critères.
• Rapport de serveur Web : recherchez l'activité du serveur Web, telle que l'heure, l'utilisateur et l'URI. Vous pouvez
également rechercher l'activité de protection du serveur Web.
Les critères suivants sont utilisés pour rechercher la détection d'un virus spécifique sur un domaine protégé par le pare-
feu.
Rapports
 Paramètres du rapport
Les paramètres de rapport vous permettent de spécifier les options de configuration des rapports. Par exemple, vous
pouvez spécifier les données à afficher dans les rapports personnalisés et gérer les planifications de rapports pour tous les
groupes de rapports. D'autres options vous permettent de spécifier les durées de conservation des données et de purger les
données.
Protection Zero-day
Sophos Zero-Day Protection est une solution puissante spécialement conçue pour vous protéger contre les menaces
avancées et en constante évolution,
La protection Zero-Day est optimisée par les SophosLabs Intelix™, un service cloud qui combine l'apprentissage
automatique, le sandboxing et la recherche pour détecter les menaces connues et inconnues en analysant les
téléchargements suspects et les pièces jointes aux e-mails.
Le pare-feu Sophos envoie les nouveaux fichiers aux SophosLabs Intelix pour une analyse de la protection zero-
day lorsqu'ils entrent dans votre réseau. Intelix utilise des couches d'analyse pour déterminer le niveau de risque
posé à votre réseau par chaque fichier. En plus de bloquer les fichiers à risque, la protection zero-day fournit
également des rapports détaillés de l'analyse effectuée pour vous aider à comprendre le risque.
Protection Zero-day
 Apprentissage automatique (Machine Learning)

Les SophosLabs Intelix utilisent plusieurs modèles d'apprentissage automatique pour analyser les caractéristiques,
les fonctions, la génétique et la réputation mondiale d'un fichier. Il compare les nouveaux fichiers avec des millions
de fichiers bons et mauvais connus pour déterminer si les nouveaux fichiers sont susceptibles d'être malveillants ou
non.
 Analyse sandbox
L'analyse sandbox effectue une analyse dynamique et statique des nouveaux fichiers entrant sur votre réseau. Cette
analyse comprend une analyse d'apprentissage en profondeur, une détection d'exploit et CryptoGuard pour détecter
les fichiers de chiffrement de ransomware actifs en temps réel. Ce processus surveille également toutes les activités
des fichiers, de la mémoire, du registre et du réseau, ainsi que les techniques d'évasion du sandbox pour protéger
votre réseau contre les menaces du jour zéro, telles que les derniers ransomwares et les attaques ciblées par
hameçonnage, spam ou téléchargements Web.
Protection Zero-day
 Téléchargements et pièces jointes

Les enregistrements d'activité fournissent des informations de base telles que la date et l'heure auxquelles les
fichiers ou les e-mails contenant des pièces jointes suspectes ont été envoyés à la protection Zero-day.
Vous pouvez également afficher l'analyse, l'état de la version, les détails du rapport et les fichiers ou e-mails de
version.
Pour voir les rapports:
Rapports > Réseau et Ménace > Voir (choisir Protection Zero-day)
Protection Zero-day
 Paramètres de protection
Utilisez ces paramètres pour spécifier un centre de données et exclure des fichiers de l'analyse de la protection
Zero-day.
 Emplacement du centre de données de protection de jour zéro
Les fichiers à analyser sont envoyés à un centre de données de protection Zero-day dans le cloud via une connexion
SSL sécurisée. Par défaut, Sophos Firewall sélectionne le centre de données le plus proche. Cependant, vous
pouvez sélectionner un centre de données de votre choix.
Le changement de centre de données peut entraîner la perte de l'analyse des fichiers en cours de traitement par la
protection Zero-day.
Protection Zero-day
 Paramètres de protection
 Exclure les types de fichiers
Exclure les types sélectionnés de pièces jointes aux e-mails et de téléchargements Web de l'analyse de la protection
Zero-day. Le type de fichier est déterminé par l'extension de fichier et l'en-tête MIME.
Les archives qui incluent des fichiers des types sélectionnés seront également exclues, quels que soient les autres
types de fichiers qu'elles contiennent.
Pour exclure des types de fichiers, cliquez sur Ajouter un nouvel élément et sélectionnez le type de fichier dans la
liste.
Note: Bien que vous puissiez exclure n'importe quel type de fichier, de nombreux types de fichiers considérés
comme sûrs (par exemple, les images) ne sont jamais envoyés pour analyse. Sophos Firewall envoie uniquement
les types de fichiers à risque pour détonation et analyse par la protection Zero-day.
Diagnostic
Vous pouvez vérifier la santé de votre pare-feu Sophos. Vous pouvez utiliser ces informations pour dépanner et
Diagnostic les problèmes.
 Outils
Vous pouvez afficher les statistiques pour Diagnostic les problèmes de connectivité et de réseau et tester la
communication réseau. Vous pouvez résoudre des problèmes tels que la perte de paquets, la connectivité et les
incohérences sur votre réseau.
 Outils de sortie
• Visionneuse de journaux
Par défaut, la visionneuse de journaux affiche les journaux du pare-feu. Il s'ouvre dans une nouvelle fenêtre de
navigateur plein écran.
• Testeur de politique
Utilisez le testeur de stratégie avant et après avoir modifié une règle ou une stratégie pour vérifier l'action appliquée.
Le testeur de stratégie s'ouvre dans une nouvelle fenêtre de navigateur.
Diagnostic
 Outils
 Ping
Ping est l'utilitaire d'administration réseau le plus couramment utilisé pour tester l'accessibilité d'un hôte sur un
réseau IP (Internet Protocol) et pour mesurer le temps d'aller-retour des messages envoyés de l'hôte d'origine à un
ordinateur de destination.
 Traceroute
Traceroute trace le chemin emprunté par un paquet du système source au système de destination. La sortie affiche
tous les routeurs par lesquels les paquets de données passent du système source au système de destination, le
nombre maximal de sauts et le temps total pris par le paquet pour revenir (mesuré en millisecondes).
 Recherche d'itinéraire
Si vous avez des réseaux routables et que vous souhaitez rechercher par quelle interface l'appareil achemine le
trafic, vous pouvez rechercher l'itinéraire. Pour ce faire, saisissez l'adresse IP (IPv4 ou IPv6).
Diagnostic
 Outils
 Recherche de nom
Vous pouvez utiliser la recherche de nom pour demander au service de nom de domaine des informations sur les
noms de domaine et les adresses IP. Il envoie un paquet de requête de nom de domaine à un serveur DNS (Domain
Name System) configuré. Si vous saisissez un nom de domaine, le serveur renvoie l'adresse IP associée à ce nom
de domaine, et si vous saisissez une adresse IP, le serveur renvoie le nom de domaine associé à cette adresse IP.
 Rapport de dépannage consolidé
Pour aider l'équipe d'assistance à déboguer les problèmes du système, vous pouvez générer un rapport de
dépannage consolidé (CTR), composé du fichier d'état actuel du système et des fichiers journaux. Le fichier
contient des détails, tels qu'une liste de tous les processus en cours d'exécution sur le système et l'utilisation des
ressources, sous forme chiffrée.
Diagnostic
 Graphiques système
 Graphiques d'utilisation du processeur
Le graphique d'utilisation du processeur montre l'utilisation du processeur par les utilisateurs et les composants du
système.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des
ordonnées indique le pourcentage d'utilisation du processeur pour les utilisateurs et les composants du système.
Légende:
Orange : utilisation du processeur par utilisateur
Violet : utilisation du processeur par les composants du système
Vert : temps d'inactivité du processeur
Diagnostic
 Graphiques d'utilisation de la mémoire
Le graphique d'utilisation de la mémoire affiche l'utilisation de la mémoire en mégaoctets (Mo).L'axe des x indique
les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des ordonnées indique la quantité
de mémoire utilisée (en Mo).
Légende:
Orange : mémoire utilisée
Violet : Mémoire libre
Vert : Mémoire totale
Diagnostic
 Graphiques d'utilisation de la mémoire
Le graphique d'utilisation de la mémoire affiche l'utilisation de la mémoire en mégaoctets (Mo).L'axe des x indique
les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des ordonnées indique la quantité
de mémoire utilisée (en Mo).
Légende:
Orange : mémoire utilisée
Violet : Mémoire libre
Vert : Mémoire totale
Diagnostic
 Charger les graphiques de moyenne
Le graphique Charge moyenne affiche la charge sur votre pare-feu Sophos.
ordonnées montre la charge moyenne.
Légende:
Orange : une minute
Violet : cinq minutes
Vert : Quinze minutes
Diagnostic
 Graphiques d'utilisation du disque
Le graphique Utilisation du disque affiche le pourcentage d'utilisation du disque sur votre pare-feu Sophos.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).
L'axe des ordonnées indique le pourcentage d'utilisation du disque.
Légende:
Orange : Espace disque utilisé par les signatures.
Violet : Espace disque utilisé par les fichiers de configuration.
Vert : espace disque utilisé par les rapports.
Bleu : Espace disque temporaire utilisé.
Diagnostic
 Graphiques des utilisateurs en direct
Le graphique Utilisateurs en direct affiche le nombre d'utilisateurs en direct actuellement connectés à Internet pour
la période sélectionnée.
De plus, il indique le nombre minimum, maximum et moyen d'utilisateurs connectés pendant la période
sélectionnée.
Cela vous aide à déterminer l'heure de pointe de la journée.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).
L'axe des ordonnées indique le nombre d'utilisateurs.
Légende:
Orange : Nombre d'utilisateurs connectés en direct
Diagnostic
 Transfert de données via des graphiques de zone WAN
Il existe trois graphiques de zone WAN, qui fournissent des informations sur le transfert de données via la zone
WAN.
Transfert total de données de chargement et de téléchargement de la période sélectionnée
Ce graphique montre le transfert de données téléchargées et téléchargées. En outre, il affiche le transfert de données
minimum, maximum, moyen et actuel pour le trafic téléchargé et téléchargé individuellement.
ordonnées indique la quantité de données chargées et téléchargées (Kbps).
Légende:
Orange : Trafic téléchargé
Violet : Trafic téléchargé
Diagnostic
 Transfert total de données de la période sélectionnée
Ce graphique montre le total des données transférées depuis la zone WAN. De plus, il affiche le transfert de
données minimum, maximum, moyen et actuel.
ordonnées montre le trafic chargé et téléchargé (Kbps).
Légende:
Couleur orange : trafic total (téléchargé et téléchargé)
Diagnostic
 Transfert total de données par passerelle de la période sélectionnée
Ce graphique montre le transfert de données pour chaque passerelle depuis la zone WAN. En outre, il affiche le
transfert de données minimum, maximum, moyen et actuel pour chaque passerelle.
ordonnées montre le trafic chargé et téléchargé (Kbps).
Légende:
Couleur différente pour chaque passerelle
Diagnostic
 Graphiques d'interface
Les graphiques d'interface affichent les statistiques de trafic pour les interfaces, y compris les interfaces physiques,
les interfaces LAN sans fil, WAN et VLAN dans la zone WAN.
Note:
Sophos Firewall affiche uniquement des graphiques séparés pour les interfaces VLAN dans la zone WAN. Le pare-
feu combine les données des VLAN d'autres zones avec les données de l'interface physique sur laquelle ils sont
configurés.
Diagnostic
Les statistiques présentées sont les suivantes :
Bits reçus et transmis via l'interface
Des erreurs se sont produites lors de la transmission et de la réception de paquets via l'interface
Paquets abandonnés lors de la transmission et de la réception de paquets via l'interface
Des collisions se sont produites lors de la transmission et de la réception de paquets via l'interface
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des y montre
les kilobits par seconde (Kbps).
Diagnostic
Légende:
Orange : Bits reçus (Kbps)
Violet : Bits transmis (Kbps)
Vert clair : Erreurs reçues (Kbps)
Bleu : Bits transmis mais abandonnés
Rose : collisions
Rouge : Erreurs transmises
Vert foncé : Bits reçus mais supprimés
Diagnostic
 Performances SD-WAN
Vous pouvez voir des graphiques montrant les performances en temps réel des passerelles de votre réseau SD-
WAN.
Pour surveiller les performances en temps réel des passerelles, accédez à Diagnostics > Performances SD-WAN et
sélectionnez un profil SD-WAN.
Vous pouvez également accéder à Routage > Profils SD-WAN, sélectionner un profil SD-WAN et, sous Statut,
cliquer sur Performances historiques.
Vous pouvez voir des graphiques montrant le nombre total de connexions de chaque passerelle et la quantité de
données transférées.
Vous pouvez procéder comme suit :
• Cliquez sur Réinitialiser le transfert de données et le nombre de connexions pour réinitialiser ces compteurs.
• Cliquez sur Pondérations attribuées pour l'équilibrage de charge pour voir les pondérations d'équilibrage de
charge attribuées à chaque passerelle.
Diagnostic
 Recherche de catégorie d'URL

Utilisez la recherche de catégorie d'URL pour rechercher si l'URL est catégorisée. Il recherche l'URL spécifiée et
affiche le nom et la description de la catégorie.
Note: Pour utiliser cette fonctionnalité, vous avez besoin d'un abonnement Web Protection.
Si l'URL est classée à la fois dans une catégorie personnalisée et dans une catégorie par défaut, le nom de la
catégorie personnalisée s'affiche dans le résultat de la recherche.
Pour rechercher une URL :
1. Accédez à Diagnostics > Recherche de catégorie d'URL.
2. Entrez l'URL dans URL de recherche.
3. Cliquez sur Rechercher.
Diagnostic
 Capture de paquets
La capture de paquets affiche les détails des paquets qui transitent par une interface. Vous pouvez voir les détails de
connexion et les détails des paquets traités par chaque module, tels que le pare-feu et l'IPS. La capture de paquets
affiche également le numéro de règle de pare-feu, l'utilisateur, le Web et le numéro de politique de filtrage
d'application. Ces informations peuvent vous aider à dépanner les instances où les règles de pare-feu échouent.
Tu peux:
Configurez les paramètres de filtre pour capturer les paquets.
Afficher les informations sur le paquet.
Spécifiez les conditions de filtrage des paquets.
Démarrer et arrêter la capture de paquets.
Actualisez les détails des paquets capturés.
Effacez les détails des paquets capturés.
Diagnostic
 Liste de connexion
La liste de connexion fournit un instantané de la connexion actuelle ou en direct de votre appareil. Il affiche les
informations de connexion. Vous pouvez filtrer la liste des connexions.
Cliquez sur ID de connexion (ID unique attribué à une connexion) pour voir un instantané en direct d'une
connexion spécifique.
Vous pouvez définir l'intervalle d'actualisation pour actualiser automatiquement la liste à l'intervalle de temps
configuré.
Pour actualiser manuellement la liste, cliquez sur Actualiser.
Pour filtrer la liste des connexions, cliquez sur Afficher le filtre et spécifiez les paramètres.
Diagnostic
 Accès à l'assistance
Vous pouvez autoriser le support Sophos à accéder temporairement à votre pare-feu Sophos à des fins de
dépannage.
L'accès au support permet au support Sophos de se connecter à la console d'administration Web de Sophos
Firewall sans nécessiter d'informations d'identification d'administrateur.
Lorsque l'accès au support est activé, le support Sophos peut accéder à la console d'administration Web et au shell
de votre appareil Sophos Firewall.
Le pare-feu Sophos initie toutes les connexions avec le support Sophos via le port TCP 22 pour HTTPS et SSH.
Sophos Firewall ferme les sessions SSH inactives après 15 minutes.
SYSTEME
Sophos central
Vous pouvez enregistrer les appareils Sophos Firewall avec Sophos Central et gérer les appareils de manière
centralisée.
Vous pouvez également utiliser Security Heartbeat pour permettre aux terminaux de votre réseau de partager des
informations sur la santé.
Synchronized Application Control vous permet de détecter et de gérer les applications de votre réseau.
 Enregistrez-vous sur de Sophos Central
Pour enregistrer ce pare-feu auprès de Sophos Central et activer Security Heartbeat et Synchronized Application
Control, sélectionnez Enregistrer.
Pour supprimer votre enregistrement auprès de Sophos Central, cliquez sur Désenregistrer.
Note: Vous devez utiliser un compte super administrateur Central pour vous inscrire à Sophos Central.
Sophos central
Vous pouvez enregistrer le pare-feu à l'aide d'un OTP ou des informations d'identification de super administrateur
comme suit :
 OTP généré sur Sophos Central
Vous pouvez utiliser un OTP pour enregistrer le pare-feu si vous ne disposez pas des identifiants de super
administrateur pour Sophos Central. Par exemple, les partenaires configurant les installations des clients et les
administrateurs de pare-feu peuvent utiliser cette méthode.
L'administrateur Sophos Central a besoin du numéro de série du pare-feu pour générer l'OTP sur Sophos Central.
L'administrateur doit partager l'OTP avec l'administrateur du pare-feu. L'OTP est valable 14 jours. Pour plus de
détails, consultez Utiliser OTP pour vous enregistrer auprès de Sophos Central.
 Identifiants du compte super administrateur pour Sophos Central
Vous pouvez l'utiliser pour enregistrer le pare-feu si vous disposez des informations d'identification de super
administrateur et d'un accès au pare-feu.
Sophos central
Vous pouvez enregistrer le pare-feu à l'aide d'un OTP ou des informations d'identification de super administrateur
comme suit :
 OTP généré sur Sophos Central
Vous pouvez utiliser un OTP pour enregistrer le pare-feu si vous ne disposez pas des identifiants de super
administrateur pour Sophos Central. Par exemple, les partenaires configurant les installations des clients et les
administrateurs de pare-feu peuvent utiliser cette méthode.
L'administrateur Sophos Central a besoin du numéro de série du pare-feu pour générer l'OTP sur Sophos Central.
L'administrateur doit partager l'OTP avec l'administrateur du pare-feu. L'OTP est valable 14 jours. Pour plus de
détails, consultez Utiliser OTP pour vous enregistrer auprès de Sophos Central.
 Identifiants du compte super administrateur pour Sophos Central
Vous pouvez l'utiliser pour enregistrer le pare-feu si vous disposez des informations d'identification de super
administrateur et d'un accès au pare-feu.
Sophos central
 Article Comment faire?
Utilisez OTP pour vous inscrire à Sophos Central

Utilisez les identifiants de super administrateur pour vous inscrire à Sophos Central
Gérer une paire HA dans Sophos Central
Sophos central
 Présentation de la pulsation de sécurité

Security Heartbeat permet à Sophos Firewall et aux terminaux administrés par Sophos Endpoint Protection de
communiquer via Sophos Central et d'échanger des informations sur l'état de sécurité des terminaux (état de santé).
Les administrateurs Sophos Firewall ainsi que les administrateurs Sophos Central peuvent définir des politiques
d'accès au réseau en fonction de l'état de santé des terminaux. Les points finaux présentant des incidents de sécurité
peuvent être immédiatement isolés, empêchant ainsi les menaces de se propager sur le réseau.
Les terminaux s'authentifient via Sophos Central. Les endpoints doivent exécuter l'agent Endpoint Protection,
fourni par l'administrateur Sophos Central. L'agent Endpoint Protection s'assure que les endpoints appartiennent à
l'organisation et ont l'autorisation d'accéder au réseau. Ces terminaux envoient à intervalles réguliers des mises à
jour sur leur état de santé à Sophos Firewall, qui applique les stratégies définies en fonction de ces informations.
Sophos central
 Security Heartbeat
Security Heartbeat est une fonctionnalité qui permet aux terminaux et aux pare-feu de communiquer leur état de
santé entre eux.
Cette rubrique couvre des détails sur son fonctionnement, ses différents états de santé et leur signification.
 Canal de communication
Les terminaux et Sophos Firewall communiquent via une connexion TLS chiffrée sur l'adresse IP 52.5.76.173 sur le
port 8347.
 Identification des points finaux
Chaque ordinateur d'extrémité reçoit un certificat de Sophos Central. Sophos Central partage ces certificats avec
Sophos Firewall afin que Sophos Firewall puisse associer un ordinateur d'extrémité à une organisation spécifique.
Sophos Firewall établit uniquement des connexions avec les terminaux pour lesquels il possède des certificats.
Sophos central
 Échange d'informations
Lorsqu'un ordinateur d'extrémité se connecte à Sophos Firewall pour la première fois, il envoie les détails de son
état de santé actuel, des interfaces réseau et des utilisateurs connectés.
Les terminaux envoient un heartbeat (leur état de santé) à Sophos Firewall toutes les 15 secondes.
Sophos Firewall envoie une liste d'endpoints dont l'état de santé est rouge (à risque) ou jaune (avertissement) tous
les deux heartbeat, toutes les 30 secondes.
Il existe 3 couleurs pour définir l’état de santé des endpoints,
Sophos central
 Statut de battement de cœur vert

Un état de pulsation vert ne nécessite aucune action et signifie que :
 Le logiciel de sécurité Sophos fonctionne correctement.
 Aucun logiciel malveillant actif n'est détecté.
 Aucun logiciel malveillant inactif n'est détecté.
 Aucune application potentiellement indésirable n'est détectée.
Sophos central
 Statut de battement de cœur jaune

Les raisons typiques d'un statut jaune sont :
 Une PUA nouvellement installée (application potentiellement indésirable).
 Vingt-quatre heures depuis la dernière mise à jour de la signature.
 Un logiciel malveillant inactif est détecté.
 Une application potentiellement indésirable est détectée.
Habituellement, c'est temporaire et aucune action n'est requise. Cependant, vous pouvez choisir d'agir lorsqu'un
PUA ou un logiciel malveillant est détecté.
Sophos central
 Statut de battement de cœur rouge
Un statut rouge nécessite une action. Une raison typique est que des logiciels malveillants actifs ont été détectés et n'ont
pas pu être automatiquement supprimés.
Vous devez prendre des mesures si un ou plusieurs des problèmes suivants se produisent :
 Un logiciel malveillant actif est détecté.
 Un logiciel malveillant en cours d'exécution est détecté.
 Un trafic réseau malveillant est détecté. Ce trafic peut conduire à un serveur de commande et de contrôle impliqué
dans un botnet ou une autre attaque de logiciel malveillant.
 La communication envoyée à un hôte défectueux connu est détectée. Ceci est basé sur l'adresse IP ou la résolution
DNS.
 Les logiciels malveillants n'ont pas été supprimés.
 Le logiciel de sécurité Sophos ne fonctionne pas correctement.
Sophos central
 Protection basée sur l'état de santé (protection contre les mouvements latéraux)
Les terminaux communiquent avec un autre terminal en fonction de son état de santé et de la stratégie spécifiée
dans Sophos Central. Par exemple, si un point de terminaison a un état de santé rouge et qu'une stratégie
correspondante est définie, les autres points de terminaison cesseront de communiquer avec ce point de
terminaison.
Sophos Firewall gérera cette communication entre les terminaux. Il agit comme un proxy de couche MAC 2 pour
indiquer à chaque point de terminaison dans le même domaine de diffusion le MAC et l'état de santé de tous les
autres points de terminaison.
Sophos central
 Authentification synchronisée de l'ID utilisateur

L'authentification par ID utilisateur synchronisée utilise Security Heartbeat pour fournir une authentification
utilisateur pour les utilisateurs des terminaux.
L'ID utilisateur synchronisé fonctionne avec Active Directory (AD) configuré comme serveur d'authentification
dans Sophos Firewall et est actuellement pris en charge pour Windows 7 et Windows 10. Aucun agent n'est requis
sur le serveur ou les clients, et il ne partage ni n'utilise aucune information de mot de passe. L'ID utilisateur
synchronisé ne fonctionne pas avec d'autres services d'annuaire et ne reconnaît pas les utilisateurs locaux. L'ID
utilisateur synchronisé partage les informations de compte d'utilisateur de domaine à partir de l'appareil d'extrémité
auquel l'utilisateur est connecté avec Sophos Firewall via Security Heartbeat. Sophos Firewall vérifie ensuite le
compte utilisateur par rapport au serveur AD configuré et active l'utilisateur.
Sophos Endpoint Protection transmet les informations de connexion Windows à Sophos Firewall. Sophos Firewall
utilise ces informations pour s'authentifier auprès d'AD. Cette authentification est utilisée pour déclencher des
stratégies basées sur l'utilisateur et l'authentification générale des utilisateurs sur le pare-feu.
Sophos central
 Activer la pulsation de sécurité

La pulsation de sécurité est l'indicateur d'informations en temps réel sur les menaces, l'intégrité et la sécurité pour
une sécurité synchronisée.
Pour que la pulsation de sécurité fonctionne, vous avez besoin d'un compte Sophos Central et d'une version
d'évaluation ou d'une licence complète pour tout terminal administré Sophos Central comme prérequis.
Pour activer la pulsation de sécurité, procédez comme suit :
1. Connectez-vous à la console d'administration Web de Sophos Firewall.
2. Cliquez sur Centre de contrôle dans la navigation de gauche.
3. En haut à droite, sous Security Heartbeat, cliquez sur Activer.
4. Cliquez sur Enregistrer et, dans la fenêtre contextuelle, ajoutez l'adresse e-mail et le mot de passe du compte
administrateur Sophos Central à synchroniser avec le pare-feu. Cliquez sur S'inscrire au bas de la fenêtre
contextuelle.
Sophos central
 Activer la pulsation de sécurité

Note: Reportez-vous à la vidéo disponible sur Sophos Central : Prise en main, pour obtenir des instructions sur la
création d'un compte administrateur Sophos Central.
5. Security Heartbeat est maintenant activé.
 Vérifier si Security Heartbeat est activé

1. Connectez-vous à Sophos Central à l'aide du compte admin qui est synchronisé avec le pare-feu Sophos.
2. Accédez à Paramètres globaux dans la navigation de gauche.
3. Cliquez sur Appliances de pare-feu enregistrées.
4. Le numéro de série des pare-feux synchronisés avec le compte Sophos Central s'affiche.
Sophos central
 Présentation du contrôle des applications synchronisées

Synchronized Application Control détecte le trafic des applications sur votre réseau et catégorise automatiquement les
applications connues. Vous pouvez catégoriser et renommer les applications inconnues.
Vous pouvez contrôler le trafic des applications en fonction de ces informations. Les rapports d'application interactifs
fournissent des informations détaillées sur le trafic réseau.
Nettoyer la base de données des applications : Sophos Firewall peut automatiquement effacer les applications détectées
avant une certaine période. Il exécute ensuite une vérification quotidienne de ces applications et les supprime par lots de
100 toutes les cinq minutes. Les applications sont également supprimées des politiques de filtrage des applications si elles
ont été ajoutées individuellement.
Pour utiliser cette fonctionnalité, enregistrez ce pare-feu auprès de Sophos Central.
Note: Le domaine créé sur Sophos Firewall doit être le même que le domaine sélectionné sur l'ordinateur d'extrémité.
Sophos central
 Présentation des services de Sophos Central

Depuis Sophos Firewall, vous pouvez activer la création centralisée de rapports, de gestion et de sauvegarde de la
configuration dans Sophos Central. Pour utiliser cette fonctionnalité, enregistrez ce pare-feu auprès de Sophos Central.
Après avoir activé les services, un super administrateur doit les démarrer dans Sophos Central.
 Services Sophos Central
Activez-le pour configurer le reporting centralisé, la gestion et la sauvegarde de la configuration de ce pare-feu Sophos
dans Sophos Central.
Dans Sophos Central, sélectionnez Paramètres généraux. Sous Administration, sélectionnez Appliances de pare-feu
enregistrées pour afficher la liste des appliances enregistrées.
Sophos central
 Utiliser les rapports de Sophos Central

Sélectionnez pour activer les rapports centralisés.
Dans Sophos Central, accédez à Gestion des pare-feu > Pare-feu. Accédez au pare-feu et sélectionnez Accepter les
services.
 Utiliser la gestion Sophos Central

Sélectionnez pour activer la gestion centralisée.
Dans Sophos Central, accédez à Gestion des pare-feu > Pare-feu. Accédez au pare-feu et sélectionnez Accepter les
services.
Sophos central
 Envoyer la sauvegarde de la configuration à Sophos Central
Si vous avez sélectionné Utiliser l'administration Sophos Central, sélectionnez cette option pour enregistrer les
sauvegardes de configuration dans Sophos Central.
Dans Sophos Central, accédez à Gestion du pare-feu > Sauvegarde. Spécifiez une planification de sauvegarde ou
générez la sauvegarde.
Profil
Les profils vous permettent de contrôler l'accès Internet des utilisateurs et l'accès des administrateurs au pare-feu.
Vous pouvez définir des horaires, des temps d'accès et des quotas pour la navigation et le transfert de données.
 Calendrier
Les horaires précisent la durée pendant laquelle les règles et les politiques sont en vigueur.
Vous pouvez créer des horaires récurrents et ponctuels, ou utiliser les horaires par défaut. Pour modifier un
programme, cliquez sur le bouton Modifier Modifier.
Appliquez des planifications aux règles, stratégies et analyses suivantes :
Règles de pare-feu, Politiques Web, Politiques d'application, Politiques de formation du trafic, Politiques de temps
d'accès, Analyse des points d'accès (AP) non autorisés
Note: Avant de supprimer une planification en cours d'utilisation, supprimez la règle qui l'utilise ou appliquez une
autre planification à la règle.
Profil
 Temps d'accès
Vous pouvez contrôler le temps d'accès à Internet pour les utilisateurs, les groupes et les utilisateurs invités. Vous
pouvez autoriser ou refuser l'accès à Internet en fonction d'une période de temps planifiée.
Vous pouvez créer vos propres politiques de temps d'accès ou utiliser les politiques par défaut. Pour modifier une
politique de temps d'accès, cliquez sur le bouton Modifier.
Note: Les modifications apportées aux politiques de temps d'accès entrent en vigueur immédiatement.
Profil
 Quotas de surf
Les quotas de surf vous permettent d'allouer du temps d'accès à Internet à
vos utilisateurs.
Les quotas autorisent l'accès sur une base cyclique (répétition) ou non
cyclique (une seule fois). Vous pouvez ajouter des quotas et spécifier le
temps d'accès autorisé, ou utiliser les quotas par défaut. Pour modifier un
quota de surf, cliquez sur le bouton Modifier.
Note: Lorsque plusieurs quotas s'appliquent à un utilisateur, le pare-feu
restreint l'accès en fonction de la première stratégie qui atteint sa limite.
Le quota suivant donne un accès illimité pendant une semaine sur une
base unique.
Profil
 Quota de trafic réseau
Utilisez des stratégies de quota de trafic réseau pour contrôler le transfert de données par les utilisateurs et les
groupes.
Vous pouvez limiter le transfert de données en fonction du transfert total de données ou du trafic réseau individuel
(téléchargement et téléchargement). Les quotas peuvent être cycliques (répétitifs) et non cycliques (non répétitifs).
Spécifiez la quantité de trafic réseau autorisée.
Vous pouvez créer vos propres politiques de quota de trafic réseau ou utiliser les politiques par défaut. Pour
modifier une stratégie de quota de trafic réseau, cliquez sur Modifier
Profil
 Profils de déchiffrement
Les profils de déchiffrement vous permettent d'appliquer les paramètres de déchiffrement sur les connexions SSL/TLS.
Pour cloner un profil de déchiffrement, cliquez sur le bouton Cloner.
Pour modifier un profil de déchiffrement, cliquez sur le bouton Modifier.
Vous pouvez spécifier les autorités de certification de re-signature pour signer les certificats de serveur SSL/TLS après que
le pare-feu Sophos a intercepté, déchiffré et inspecté le trafic sécurisé. Vous pouvez également spécifier l'action pour le
trafic qui ne peut pas être déchiffré en raison de problèmes tels que des versions de protocole non sécurisées, des suites de
chiffrement non reconnues, une compression SSL ou des connexions qui dépassent les capacités de déchiffrement du pare-
feu.
Vous pouvez spécifier l'action pour les erreurs de validation de certificat et les algorithmes de chiffrement non sécurisés.
Vous pouvez également imposer une taille de clé RSA et les versions SSL/TLS à utiliser.
Profil
Conseil
Lorsque vous spécifiez un paramètre à la fois dans le profil de déchiffrement et les paramètres d'inspection
SSL/TLS, les paramètres du profil de déchiffrement remplacent les paramètres des paramètres d'inspection
SSL/TLS.
Note: Vous ne pouvez pas modifier les profils par défaut.
 Les profils par défaut sont les suivants :Compatibilité maximale : décrypte autant de connexions que possible.
Ne limite pas l'utilisation du chiffrement.
 Bloquer les SSL non sécurisés : empêche l'utilisation de chiffrements faibles. Autorise le trafic non déchiffrable.
 Conformité stricte : met en œuvre une conformité stricte. Utilisez-le pour répondre aux spécifications PCI DSS
(norme de sécurité des données de l'industrie des cartes de paiement).
Profil
 Accès aux appareils
Vous pouvez créer un accès basé sur les rôles au pare-feu pour les administrateurs.
L'ensemble de profils par défaut spécifie les privilèges d'un super administrateur et de certains rôles
d'administrateur courants. Le compte d'utilisateur d'administration par défaut (admin) utilise le profil
Administrateur.
Vous pouvez créer des profils personnalisés et spécifier leur accès à la console d'administration Web de manière
granulaire.
Pour modifier ou afficher les privilèges d'un profil, cliquez sur Modifier.
Profil
Vous pouvez créer un accès basé sur les rôles au pare-feu pour les administrateurs.
L'ensemble de profils par défaut spécifie les privilèges d'un super administrateur et de certains rôles
d'administrateur courants. Le compte d'utilisateur d'administration par défaut (admin) utilise le profil
Administrateur.
Vous pouvez créer des profils personnalisés et spécifier leur accès à la console d'administration Web de manière
granulaire.
Pour modifier ou afficher les privilèges d'un profil, cliquez sur Modifier.
Profil
Administrateur: Super administrateur avec tous les privilèges. Profil de l'administrateur par défaut. Peut créer des
administrateurs avec des privilèges restreints ou complets.
Administrateur d'audit: Possède des privilèges de lecture-écriture sur les journaux et les rapports.
Administrateur crypto: Possède des privilèges de lecture-écriture pour configurer les certificats de sécurité.
Profil HA: Possède des privilèges en lecture seule sur le périphérique auxiliaire, si la haute disponibilité est
configurée.
Administrateur de la sécurité: Possède des privilèges de lecture-écriture sur toutes les fonctionnalités, à
l'exception des profils, des journaux et des rapports.
Conseil: Pour supprimer un profil, assurez-vous qu'il n'est pas attribué à un administrateur.
Hôtes et services
Vous pouvez définir et gérer des hôtes et des services système.

Les types d'hôtes suivants sont disponibles :
 Hôte IP
 Hôte MAC
 Hôte FQDN
 Groupe de pays
Sophos Firewall inclut des services communs par défaut, tels que DHCP et DNS. Vous pouvez également ajouter,
modifier et supprimer des services personnalisés.
Administration
Gérez les licences et l'heure des appareils, l'accès administrateur, les mises à jour centralisées, la bande passante du
réseau et la surveillance des appareils, SNMP et les notifications des utilisateurs.
Administration
 Licences
Vous pouvez activer vos évaluations et vos abonnements. Vous pouvez également synchroniser vos licences.
 Enregistrement de l'appareil et activation de la licence
Pour voir les détails d'enregistrement de l'appareil et l'état des licences, accédez à Administration > Licences.
Le pare-feu récupère les informations d'enregistrement suivantes à partir de votre compte Sophos Licensing Portal :
 Numéro de modèle et clé de l'appareil.
 Nom de la société auprès de laquelle vous avez enregistré le pare-feu.
 Personne de contact dans votre organisation.
 Adresse e-mail utilisée pour enregistrer le pare-feu.
Les modules s'affichent comme désabonnés lorsque vous configurez le pare-feu pour la première fois.
Administration
 Licences
 Enregistrement ultérieur du pare-feu
Vous pouvez configurer le pare-feu sans l'enregistrer sur le serveur de licences. Vous pouvez reporter l'inscription
jusqu'à 30 jours. Vous pouvez configurer toutes les fonctionnalités du pare-feu à l'exception de Sophos Central et
Synchronized Security Heartbeat.
Pour différer l'enregistrement du pare-feu lors de la configuration du pare-feu, procédez comme suit en fonction de
votre scénario :
 Avec connexion Internet

1. Dans Enregistrez votre pare-feu, sélectionnez Je ne souhaite pas m'enregistrer maintenant.
2. Cliquez sur Continuer, puis cliquez sur Continuer dans l'invite d'avertissement.
3. Suivez les instructions de l'assistant.
Administration
 Licences
 Enregistrement ultérieur du pare-feu
 Sans connexion internet

1. Sur la connexion Internet, sélectionnez Continuer hors ligne.
2. Cliquez sur Continuer, puis cliquez sur Continuer dans l'invite d'avertissement.
3. Suivez les instructions de l'assistant.
Une fois la configuration terminée, accédez à Administration > Licences pour vérifier que l'enregistrement a été
actuellement différé sur cet appareil est montré.
Administration
 Licences
 Détails de l'abonnement
Vous pouvez souscrire aux modules de licence comme suit :
 Avec une clé de licence (abonnement payant).
 Sans clé de licence pour un essai de 30 jours (abonnement gratuit).
Vous pouvez voir le statut des abonnements et leur date d'expiration.
Les statuts peuvent être l'un des suivants :
 Abonné
 Évaluation
 Non abonné
 Expiré
Administration
 Licences
 Activating license keys
You can activate paid and trial licenses
Pour activer les abonnements payants, procédez comme suit :
1. Accédez à Administration > Licences.
2. Sous Détails d'enregistrement de l'appareil, cliquez sur Activer l'abonnement.
3. Entrez la clé de licence que vous avez reçue de Sophos.
4. Cliquez sur Vérifier la clé.
5. Une fois la clé vérifiée, cliquez sur Confirmer.
6. Cliquez sur Synchroniser pour synchroniser le pare-feu avec le système de licence.
Le pare-feu met à jour la liste des abonnements.
Administration
 Licences
 Activating license keys
Pour activer les abonnements d'essai, procédez comme suit :
1. Accédez à Administration > Licences.
2. Cliquez sur Activer les évaluations. Une fenêtre apparaît.
3. Connectez-vous à l'aide de vos identifiants MySophos. La fenêtre contextuelle affiche immédiatement les
détails de la licence si vous êtes déjà connecté à l'aide d'une session de navigateur normale.
4. Sélectionnez les modules que vous souhaitez évaluer.
5. Cliquez sur Confirmer.
6. Cliquez sur Lancer la synchronisation des licences.
La page de licence sur le pare-feu affiche l'état Évaluation pour le module
Administration
 Licences
Vous pouvez souscrire aux modules de licence comme suit :
 Avec une clé de licence (abonnement payant).
 Sans clé de licence pour un essai de 30 jours (abonnement gratuit).
Vous pouvez voir le statut des abonnements et leur date d'expiration.
Les statuts peuvent être l'un des suivants :
 Abonné
 Évaluation
 Non abonné
 Expiré
Administration
 Licences
 Ensembles (bundle) de licences

Les packs de licences suivants sont disponibles pour les
pare-feux XGS et XG Series :
Administration
 Licences 1. Base License: Stateful Firewall, VPN, Wireless.

2. Network Protection: Intrusion Prevention (IPS), Advanced
 Détails de l'abonnement Threat Protection (ATP), SD-RED Device Management.
3. Web Protection: Web Security and Control, Application
 Licences individuelles et fonctionnalités de pare-feu Control, Web Malware Protection.
Vous pouvez également souscrire à des licences 4. Zero-day protection: Machine Learning, Sandboxing File
individuelles. Analysis, Threat Intelligence.
Les licences offrent les fonctionnalités suivantes : 5. Central Orchestration: SD-WAN VPN Orchestration, CFR
Advanced.
6. Email Protection: Anti-spam, Antivirus, DLP, Encryption,
Email Malware Protection.
7. Webserver Protection: Web Application Firewall.
Administration
 Accès au dispositif
Vous pouvez contrôler l'accès aux services d'administration de Sophos Firewall à partir de zones personnalisées et
par défaut à l'aide du service local ACL (Access Control List).
Les services locaux sont des services de gestion spécifiques au fonctionnement interne de Sophos Firewall, tels que
les consoles d'administration Web et CLI, et les services d'authentification. Vous pouvez autoriser ou bloquer
l'accès aux services locaux depuis Administration > Accès au dispositif.
1. Select the check boxes to allow access to these services from different zones.
2. To only allow specific hosts and networks to access the services, scroll down to Local service ACL exception
rule, and click Add.
Administration
 ACL de service local : fonctionnement de l'accès aux appareils

Les conditions suivantes s'appliquent aux services locaux :Vous ne pouvez pas contrôler le trafic vers ces services à
l'aide de règles de pare-feu. Vous ne pouvez le faire que depuis Administration > Accès au dispositif.
Pour les zones personnalisées, vous pouvez également autoriser ou bloquer l'accès depuis Réseau > Zones.
Pour accéder à un service local qui partage le sous-réseau, la zone ou l'interface d'un hôte, vous devez sélectionner
la zone. Par exemple, pour accéder au service DNS depuis la zone LAN lorsque Sophos Firewall est le serveur
DNS, vous devez sélectionner LAN pour DNS.
Administration
 ACL de service local : fonctionnement de l'accès aux appareil

Les ports par défaut sont utilisés pour fournir l'accès à ces services et l'adresse IP de destination est définie sur
Sophos Firewall.
Vous pouvez modifier les ports par défaut de certains services, tels que le VPN SSL et le portail utilisateur, à partir
des pages de paramètres correspondantes.
Administration
 Paramètres de mot de passe administrateur par défaut

La configuration d'usine de Sophos Firewall comporte un super administrateur par défaut avec les identifiants suivants :
Nom d'utilisateur : admin
Mot de passe : admin
Vous pouvez les utiliser pour vous connecter à la console d'administration Web et à la CLI. Vous devez modifier le mot de
passe par défaut lorsque vous configurez Sophos Firewall pour la première fois. Votre mot de passe ne doit pas être un mot
de passe couramment utilisé ou un mot du dictionnaire.
Administration
 Authentification multifacteur (MFA) pour l'administrateur par défaut

Vous pouvez configurer MFA sur la base de jetons matériels ou logiciels pour l'administrateur par défaut.
1. Activez MFA pour l'administrateur par défaut et cliquez sur Appliquer.
2. Sélectionnez une méthode de jeton et cliquez sur Suivant :
Configurez un jeton matériel :

a) Entrez la clé fournie par le fabricant de l'appareil.
b) Entrez le pas de temps qui correspond à la valeur configurée dans le jeton matériel.
c) Cliquez sur Suivant et entrez le mot de passe de l'administrateur par défaut suivi du code d'accès indiqué sur le jeton
matériel.
d) Cliquez sur Valider et cliquez sur Appliquer.
Administration
 Authentification multifacteur (MFA) pour l'administrateur par défaut
Générez un jeton logiciel :
a) Installez une application d'authentification sur votre appareil mobile et scannez le code QR.
b) Saisissez votre mot de passe suivi du code d'accès au format suivant : <mot de passe><code d'accès>.
c) Cliquez sur Valider et cliquez sur Appliquer.
Administration
 Authentification par clé publique pour l'administrateur

Vous pouvez utiliser ces clés publiques pour un accès sécurisé à la CLI. Vous pouvez ajouter, modifier ou supprimer des
clés SSH.
1. Activez Activer l'authentification pour autoriser un accès sécurisé à l'interface de ligne de commande à l'aide d'une clé
SSH.
2. Pour générer une paire de clés publique-privée, utilisez les outils SSH (exemple : PuTTYgen).
3. Accédez à Administration > Accès à l'appareil, faites défiler jusqu'à Authentification par clé publique pour
l'administrateur et ajoutez la clé publique.
4. Partagez la clé privée avec l'administrateur qui doit accéder à la CLI. Pour accéder au CLI, l'administrateur doit entrer
la clé privée dans l'outil SSH (exemple : PuTTY).
Vous pouvez également utiliser cette méthode pour accorder un accès sécurisé au support Sophos à des fins de dépannage.
Administration
 Paramètres d'administration
 Nom d'hôte
Modifiez les paramètres du port administrateur et les paramètres de connexion. Personnalisez les paramètres de connexion
pour restreindre l'accès des utilisateurs locaux et distants en fonction de la durée.
Saisissez les détails de l'hôte de votre pare-feu Sophos.
Nom d'hôte : entrez un nom sous la forme d'un nom de domaine complet (FQDN).
Plage acceptable : 0 à 256 caractères.
Exemple : security.sophos.com
Lorsque vous vous connectez à la console d'administration Web, l'onglet du navigateur affiche ce nom d'hôte. Si vous vous
êtes connecté à plusieurs pare-feu dans la même fenêtre de navigateur, vous pouvez identifier un pare-feu par le nom
d'hôte affiché dans l'onglet du navigateur.
Administration
 Console d'administration et interaction avec l'utilisateur final
Configurez les paramètres de port et de certificat pour la console d'administration Web et le portail utilisateur.
Port HTTPS de la console d'administration : port HTTPS configuré dans Sophos Firewall.
Par défaut : 4444
Port HTTPS du portail utilisateur : numéro de port où les utilisateurs peuvent accéder au portail utilisateur.
Par défaut : 443
Administration
 Sécurité de connexion
Définissez la sécurité de connexion pour les administrateurs.
Déconnecter la session d'administration après : sélectionnez cette option pour déconnecter automatiquement
l'administrateur de la console d'administration Web après le temps d'inactivité configuré (en minutes).
Par défaut : 10 minutes
Bloquer la connexion : sélectionnez cette option pour bloquer la connexion pour tous les types d'authentification, tels que
la console d'administration Web, la CLI ou le VPN.
CAPTCHA : les administrateurs qui se connectent à la console d'administration Web et les utilisateurs locaux et invités
qui se connectent au portail utilisateur à partir des zones WAN ou VPN doivent saisir un CAPTCHA.
Administration
 Paramètres de complexité du mot de passe administrateur

Sélectionnez cette option pour activer les paramètres de complexité du mot de passe pour les administrateurs et appliquer
les contraintes requises.
 Paramètres d'exclusion de responsabilité de connexion

Vous pouvez configurer une clause de non-responsabilité de connexion qui s'affiche à l'écran chaque fois qu'un
administrateur se connecte à Sophos Firewall.
Sélectionnez Activer l'exclusion de responsabilité de connexion pour définir des messages pour l'authentification, SMTP,
l'administration et la personnalisation des SMS, que les administrateurs doivent accepter avant de pouvoir se connecter à la
console d'administration Web et à la CLI. Vous pouvez également personnaliser et prévisualiser les messages.
Administration
 Temps
 Régler l'horloge du pare-feu Sophos

Synchronisez l'horloge du pare-feu avec des serveurs NTP (Network Time Protocol) prédéfinis ou personnalisés. Sinon,
réglez-le sur le fuseau horaire local ou modifiez l'heure et la date manuellement.
NB: Lorsque vous changez de serveur de temps NTP, toutes les connexions IPSec se reconnecteront.
 Régler les horloges internes de l'appareil

Pour régler les horloges des appareils de votre réseau interne, créez des règles de pare-feu et NAT à l'aide du service NTP.
Administration
 Paramètres de notification
Configurez un serveur de messagerie et des paramètres de messagerie pour envoyer et recevoir des e-mails d'alerte.
Vous pouvez configurer des notifications par e-mail pour les événements et les rapports générés par le système. Vous
pouvez utiliser soit le serveur de messagerie intégré, soit un serveur de messagerie externe.
 Configurer le serveur de messagerie intégré

Pour utiliser le serveur de messagerie intégré pour envoyer des notifications, procédez comme suit :
1. Cliquez sur Administration > Paramètres de notification.
2. Activez le serveur de messagerie intégré.
3. Configurez vos paramètres de messagerie.
Administration
 Paramètres de notification
 Configurer un serveur de messagerie externe
Pour utiliser un serveur de messagerie externe pour envoyer des notifications, procédez comme suit :
1. Cliquez sur Administration > Paramètres de notification.
2. Activez le serveur de messagerie externe.
3. Spécifiez l'adresse IPv4 du serveur de messagerie ou FQDN et le numéro de port. Port par défaut : 25.
4. Activez l'authentification requise pour authentifier l'utilisateur avant d'envoyer un e-mail.
a) Spécifiez le nom d'utilisateur et le mot de passe.
5. Choisissez le Mode de sécurité de connexion à utiliser entre le client SMTP et le serveur.
6. Configurez maintenant vos paramètres de messagerie.
Administration
 Netflow
Vous pouvez ajouter, mettre à jour ou supprimer des serveurs Netflow. L'appareil offre Netflow, un protocole réseau, pour
surveiller l'utilisation de la bande passante du réseau et le flux de trafic. Les enregistrements Netflow de la source, de la
destination et du volume de trafic sont exportés vers le serveur Netflow. Les enregistrements vous aident à identifier les
protocoles, les politiques, les interfaces et les utilisateurs consommant une bande passante élevée.
 Configuration Netflow
1. Saisissez le nom du serveur Netflow.
2. Saisissez l'adresse IP/le domaine du serveur Netflow. Vous pouvez entrer des adresses IPv4 ou IPv6.
3. Entrez le numéro de port du serveur Netflow (port UDP). Les enregistrements sont envoyés au serveur Netflow sur le
port spécifié.
Par défaut : 2055
Administration
 Messages
Utilisez des messages pour avertir les utilisateurs et émettre des alertes administratives. Vous pouvez envoyer des
messages de 256 caractères maximum à un ou plusieurs utilisateurs.
 Pour modifier le message, cliquez sur Modifier.
 Pour enregistrer les modifications, cliquez sur Appliquer.
 Pour réinitialiser le message par défaut, cliquez sur Réinitialiser.
Vous pouvez envoyer des messages de notification pour les événements suivants :
 Authentification : confirmation de connexion et de déconnexion, échec de connexion et déconnexion
 SMTP : e-mails bloqués et reçus
 Administration : Avis de non-responsabilité pour la connexion de l'administrateur
 Personnalisation SMS : vous pouvez inclure les attributs dynamiques suivants dans le message :{nom d'utilisateur}
{mot de passe}{date d'expiration}
Administration
 SNMP
Le protocole SNMP (Simple Network Management Protocol) donne accès aux informations du pare-feu Sophos, par
exemple, l'état du pare-feu, la disponibilité du service, l'utilisation du processeur, de la mémoire et du disque.
Sophos Firewall prend en charge les protocoles SNMPv3, SNMPv1 et SNMPv2c.
Pour configurer Sophos Firewall en tant qu'agent SNMP, sélectionnez Activer l'agent SNMP et spécifiez les paramètres.
Pour ajouter une communauté SNMPv1 et SNMPv2c, sélectionnez Ajouter.
Pour ajouter un utilisateur SNMPv3, sélectionnez Ajouter. Vous ne pouvez pas modifier le nom d'utilisateur
ultérieurement.
Sauvegarde et firmware
 Sauvegarde et restauration
Vous pouvez effectuer des sauvegardes cryptées et restaurer les configurations.
Les sauvegardes contiennent l'intégralité de la configuration sur Sophos Firewall et sont chiffrées. Vous pouvez
enregistrer les sauvegardes sur Sophos Firewall, utiliser FTP pour les enregistrer sur un serveur ou envoyer la
sauvegarde par e-mail. Vous pouvez configurer un programme de sauvegarde automatique ou effectuer une
sauvegarde manuellement.
Vous devez saisir un mot de passe pour chiffrer la sauvegarde. Pour restaurer la sauvegarde, vous devez ressaisir le
mot de passe et la clé principale de stockage sécurisé.
 Les meilleures pratiques

Quand effectuer une sauvegarde :
Planifiez des sauvegardes automatiques.
Effectuez une sauvegarde manuelle avant et après avoir apporté une modification considérable à la configuration.
Effectuez une sauvegarde avant de mettre à jour le firmware.
Comment sécuriser la sauvegarde :
Si vous enregistrez des sauvegardes à un emplacement différent, assurez-vous que l'emplacement est sécurisé.
Assurez-vous de définir la clé principale de stockage sécurisé pour protéger et restaurer les informations sensibles.
 Appareils compatibles pour la restauration de la configuration
Les règles suivantes s'appliquent à la restauration de la configuration de sauvegarde sur un autre appareil Sophos
Firewall :
Vous pouvez restaurer la configuration sur un modèle avec un nombre égal ou supérieur de ports Ethernet.
Vous ne pouvez pas restaurer la configuration si le nombre de passerelles configurées dans la sauvegarde dépasse le
nombre de passerelles prises en charge par le pare-feu.
Versions du firmware : vous pouvez restaurer sur un appareil avec la même version de firmware ou une version
ultérieure.
 API
Vous pouvez ajouter, mettre à jour ou supprimer la configuration du pare-feu à l'aide de l'interface de
programmation d'application (API).
L'API du pare-feu vous permet de gérer la configuration de votre pare-feu par programmation. Plutôt que de vous
connecter à la console d'administration Web de votre pare-feu et d'ajouter, de mettre à jour ou de supprimer
manuellement des configurations, vous pouvez utiliser le code API pour automatiser ces tâches.
Vous pouvez l'utiliser pour appliquer la même configuration à plusieurs pare-feux. Le client API peut être un
navigateur, le pare-feu ou l'interface de ligne de commande Linux du point de terminaison administrateur, ou une
application API, telle que Postman.
 Importer/Exporter
Vous pouvez importer et exporter la configuration complète ou partielle de Sophos Firewall.

Vous ne pouvez importer et exporter des configurations qu'entre des appareils compatibles. Le fichier de
configuration est un fichier .xml. Vous pouvez mettre à jour la configuration hors ligne, puis l'importer.
Pour importer ou exporter une configuration, rendez-vous dans Sauvegarde et firmware > Importer exporter.
Le fichier à importer sont en .tar

 Firmware
Vous pouvez gérer les versions du firmware et modifier la langue par défaut.
Vous pouvez mettre à niveau vers une version ultérieure du firmware, rétrograder vers une version antérieure ou
revenir à la version précédente.
 Firmware
Abonnement à l'assistance
À partir de la version 19.0 MR1, vous devez disposer d'un abonnement au support pour des mises à niveau
illimitées du firmware. Sans abonnement au support, vous avez droit à trois mises à niveau gratuites du firmware
de Sophos Firewall.
Après avoir terminé chaque mise à niveau gratuite, la console d'administration Web affiche un message indiquant le
nombre de mises à niveau gratuites restantes. Après avoir effectué trois mises à niveau, un abonnement au support
est requis, que ce soit à l'aide de la console d'administration Web ou de SFLoader. Sans abonnement à l'assistance,
vous pouvez télécharger le firmware, mais vous ne pouvez pas l'installer.
Certificats
Vous pouvez ajouter des certificats et générer un certificat signé localement ou une demande de signature de
certificat (CSR). Vous pouvez également ajouter des autorités de certification (CA) et des listes de révocation de
certificats (CRL).
CONFIGURATION
VPN d’accès à distance
You can configure remote access IPSec and SSL VPNs to establish connections using the Sophos Connect client.
You can also configure clientless SSL VPN, L2TP, and PPTP VPNs.
 Client Sophos Connect

Vous pouvez autoriser l'accès à distance à votre réseau via le client Sophos Connect à l'aide d'une connexion VPN
IPSec ou SSL.
 VPN IPSec
Vous pouvez établir des VPN IPSec d'accès à distance à l'aide du client Sophos Connect et de clients tiers.
 VPN SSL
Vous pouvez établir des VPN SSL d'accès à distance à l'aide du client Sophos Connect.
 Politique VPN SSL sans client

Vous pouvez autoriser les utilisateurs à accéder à des services et à des zones, tels que le matériel réseau, les
terminaux et le partage de fichiers, à l'aide d'un navigateur.
Conditions préalables pour les VPN sans client : vous pouvez créer des signets pour spécifier des réseaux ou des
services internes. Vous ajoutez ensuite les signets aux stratégies d'accès sans client pour autoriser l'accès à ces
réseaux et services.
 IPSec and SSL VPN connections
Pour télécharger le client Sophos Connect, procédez comme suit :Administrateurs : accédez à VPN d'accès à
distance > VPN IPSec ou SSL et cliquez sur Télécharger le client.
Utilisateurs : sur le portail utilisateur, les utilisateurs peuvent télécharger le client depuis VPN > Client Sophos
Connect.
 IPSec and SSL VPN connections
 Fichier de provisioning versus fichiers de configuration

Vous pouvez utiliser un seul fichier d'approvisionnement pour importer automatiquement les connexions VPN
IPSec et SSL d'accès à distance et leurs mises à jour. Vous pouvez également utiliser les fichiers de configuration
correspondants pour ces types de connexion. Vous devrez importer les fichiers de configuration chaque fois que
vous apporterez des modifications.
Nous vous recommandons d'utiliser le fichier d'approvisionnement. Il n'est pas nécessaire que vous partagiez le
fichier .scx ou que les utilisateurs téléchargent le fichier .ovpn à partir du portail utilisateur lorsque vous mettez à
jour les stratégies et les paramètres d'accès à distance.
 IPSec
 Présentation d'IPSec d'accès à distance
Vous pouvez établir des connexions VPN IPSec d'accès à distance à l'aide du client Sophos Connect.
Pour spécifier les paramètres IKE (Internet Key Exchange) phase 1 et phase 2 pour l'établissement de tunnels IPSec
entre deux firewalls, allez dans Remote access VPN > IPSec et cliquez sur IPSec profiles.
Pour télécharger le client Sophos Connect, cliquez sur Télécharger le client.
Pour voir les journaux, cliquez sur Journaux.
Pour exporter la configuration après avoir spécifié les paramètres, faites défiler vers le bas et cliquez sur Exporter
la connexion.
Pour réinitialiser les paramètres, faites défiler vers le bas et cliquez sur Réinitialiser.
 IPSec
 Configuration des connexions d'accès à distance IPSec
Pour autoriser l'accès à distance à votre réseau via le client Sophos Connect à l'aide d'une connexion IPSec,
procédez comme suit :
1. Accédez à VPN d'accès à distance > IPSec et spécifiez les paramètres.
2. Ajoutez une règle de pare-feu pour autoriser le trafic entre les clients Sophos Connect et Sophos Firewall. Pour
des niveaux de sécurité plus élevés, configurez des règles individuelles pour le trafic entrant et sortant
3. Faites défiler vers le bas sur IPSec et cliquez sur Exporter la connexion pour télécharger les fichiers de
configuration.
4. Partagez le fichier .scx avec les utilisateurs. Le fichier .tgb n'a pas les paramètres avancés. Vous pouvez l'utiliser
avec des clients VPN tiers.
 IPSec
 Utilisateurs distants
Les utilisateurs doivent procéder comme suit :

1. Téléchargez le client Sophos Connect depuis le portail utilisateur.
2. Importez le fichier .scx partagé avec eux sur le client.
3. Entrez leurs identifiants de portail utilisateur sur le client.
Le client Sophos Connect établit ensuite la connexion.

 SSL VPN
 Présentation du VPN SSL d'accès à distance
Vous pouvez permettre aux utilisateurs distants de se connecter au réseau en toute sécurité via Internet à l'aide de
connexions VPN SSL d'accès à distance.
Les utilisateurs peuvent établir des connexions VPN SSL IPv4 et IPv6. Ces connexions utilisent OpenVPN. L'accès
à distance nécessite des certificats numériques ainsi qu'un nom d'utilisateur et un mot de passe.
• Accédez à VPN d'accès à distance > VPN SSL.
• Cliquez sur Paramètres globaux VPN SSL pour spécifier les paramètres de toutes les stratégies VPN SSL
d'accès à distance.
• Cliquez sur Ajouter pour créer une stratégie d'accès à distance VPN SSL.
• Vous pouvez également cliquer sur Assistant pour lancer l'assistant d'accès à distance SSL VPN et configurer la
politique.
 SSL VPN
 Présentation du VPN SSL d'accès à distance
De plus, vous pouvez effectuer les opérations suivantes :

• Cliquez sur Journaux pour afficher les journaux.
• Cliquez sur Télécharger le client pour télécharger le client Sophos Connect et le partager avec les utilisateurs.
Les utilisateurs peuvent également télécharger le client à partir du portail utilisateur.
Actuellement, le client Sophos Connect ne prend pas en charge certains terminaux.
Appareils macOS (Sophos Connect_x.x_(IPSec).pkg) : il prend uniquement en charge le VPN d'accès à distance
IPSec.
Appareils Windows (SophosConnect_x.x_(IPSec_and_SSLVPN).msi) : il prend en charge à la fois IPSec et SSL
VPN. Il prend également en charge le fichier d'approvisionnement, que vous configurez séparément.
 SSL VPN
 Configurer les connexions VPN SSL d'accès à distance
Pour autoriser l'accès à distance à votre réseau via le client Sophos Connect à l'aide d'une connexion SSL, procédez
comme suit :
1. Accédez à VPN d'accès à distance > VPN SSL.
2. Cliquez sur Paramètres globaux VPN SSL, spécifiez les paramètres, puis cliquez sur Appliquer.
3. Accédez au VPN SSL et ajoutez des utilisateurs et des groupes préconfigurés. Cela crée un fichier de
configuration .ovpn, qui apparaît sur le portail utilisateur pour les utilisateurs autorisés.
4. Ajoutez des règles de pare-feu autorisant le trafic entre les zones LAN et VPN. La règle permet aux clients
Sophos Connect d'accéder aux réseaux LAN configurés.
5. Facultatif : configurez un fichier de provisionnement et partagez-le avec les utilisateurs. Le fichier
d'approvisionnement importe la configuration .ovpn dans le client.
 L2TP
Le protocole L2TP (Layer Two Tunneling Protocol) vous permet de fournir des connexions à votre réseau via des
tunnels privés sur Internet.
Note: Pour activer les connexions L2TP, vous devez d'abord activer L2TP.
Accédez à VPN d'accès à distance > L2TP.
Cliquez sur Paramètres globaux L2TP, puis sur Activer L2TP et spécifiez les paramètres.
• Pour voir les journaux L2TP, cliquez sur Journaux.

• Pour activer une connexion, cliquez sur l'indicateur d'état Actif
• Pour vous connecter, cliquez sur l'indicateur d'état de la connexion.
 L2TP
 PPTP
À l'aide du protocole PPTP (Point-to-Point Tunneling Protocol), vous pouvez fournir des connexions à votre réseau
via des tunnels privés sur Internet. Le protocole lui-même ne décrit pas les fonctionnalités de chiffrement ou
d'authentification. Cependant, le pare-feu prend en charge plusieurs options d'authentification, notamment le
protocole d'authentification par mot de passe (PAP), le protocole CHAP (Challenge Handshake Authentication
Protocol) et le protocole MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol).
• Accédez à VPN d'accès à distance > PPTP.
• Pour autoriser les utilisateurs à accéder à votre réseau via PPTP, spécifiez les paramètres et cliquez sur
Appliquer. Ensuite, cliquez sur Ajouter des membres et sélectionnez les utilisateurs.
• Pour afficher les utilisateurs autorisés à accéder à l'aide de PPTP, cliquez sur Afficher les membres.
 PPTP
 Activer PPTP
Activer PPTP : autorisez l'accès à votre réseau par des utilisateurs spécifiés via PPTP.
 Réglages généraux
Attribuer l'adresse IP de: Plage à partir de laquelle une adresse IP est louée au client. Le client utilise l'adresse
attribuée pendant toute la durée de la connexion.
Entrez une plage d'adresses IP privées appartenant à un sous-réseau /24 ou inférieur. La plage ne peut pas contenir
plus de 254 adresses IP.
Note: Les plages d'adresses IP pour L2TP et PPTP ne doivent pas chevaucher la plage VPN SSL.
 VPN SSL sans client
Vous pouvez autoriser les utilisateurs à accéder à des services et à des zones, tels que le matériel réseau, les
terminaux et le partage de fichiers, à l'aide d'un navigateur.
Pour accéder au VPN SSL sans client, les utilisateurs n'ont pas besoin d'installer de clients VPN.
Utilisez des politiques VPN SSL sans client pour fournir un accès restreint aux ressources et aux services plutôt que
d'autoriser l'accès à des systèmes ou réseaux entiers.
 Signets
Vous devez créer des signets pour les services que vous souhaitez autoriser. Vous pouvez ensuite configurer des
stratégies d'accès sans client en spécifiant les utilisateurs (membres de la stratégie) et les signets.
Vous pouvez spécifier l'adresse IP du point de terminaison auquel vous souhaitez autoriser l'accès, le type de
connexion et les paramètres de sécurité.
Les membres d'une politique VPN SSL sans client peuvent accéder aux signets dans le portail utilisateur en
accédant à VPN > Connexions d'accès sans client. Cliquer sur un signet ouvre une connexion sécurisée à la
ressource sélectionnée dans une nouvelle fenêtre.
Pour autoriser l'accès au VPN SSL sans client pour les utilisateurs distants, accédez à Administration > Accès au
périphérique et autorisez l'accès WAN au portail utilisateur.
 Groupes de signets
Les groupes de signets vous permettent de combiner des signets pour une référence facile.
Par exemple, vous pouvez créer un groupe avec tous les signets pour les postes de travail distants plutôt que de les
ajouter individuellement à une politique VPN SSL sans client.
 IPsec (hérité)
Vous ne pouvez plus configurer les connexions IPsec d'accès à distance à l'aide de cette option. Nous arrêterons cela
bientôt.
Nous vous recommandons de configurer les connexions IPsec d'accès à distance correspondantes à l'aide de VPN
d'accès à distance > IPsec et de supprimer les connexions héritées.
 Connexions héritées existantes
1. Pour établir une connexion à distance à l'aide de cette option, les utilisateurs distants doivent disposer d'un client
VPN tiers.
2. Accédez à la connexion que vous avez configurée et téléchargez le fichier .tar. Extrayez le fichier .tgb et
partagez-le avec les utilisateurs.
3. Les utilisateurs doivent l'importer dans le client VPN sur leurs terminaux.
Vous ne pouvez pas utiliser ce fichier de configuration avec le client Sophos Connect.
VPN site à site
 Connexions IPSec
Vous pouvez configurer des connexions VPN IPSec pour permettre une communication sécurisée par chiffrement
sur le réseau public entre deux appareils Sophos Firewall ou entre Sophos Firewall et des pare-feux tiers.
Vous pouvez configurer les types de VPN IPSec suivants :

• VPN basés sur le routage
• VPN basés sur des politiques
Vous pouvez gérer les connexions IPSec à l'aide de groupes de basculement.
VPN site à site
 Profils IPSec
Les profils IPSec spécifient les algorithmes de cryptage et d'authentification et les mécanismes d'échange de clés
pour les connexions IPSec basées sur des politiques et sur des routes. Dans les profils IPSec, vous définissez les
paramètres de sécurité de la phase 1 et de la phase 2.
Pour configurer les profils IPSec, accédez à Profils > Profils IPSec.
Vous pouvez modifier les profils IPSec par défaut ou les cloner et créer des profils personnalisés. Vous pouvez
attribuer une stratégie IPSec par défaut ou personnalisée aux connexions IPSec. Le pare-feu Sophos établit des
connexions IPSec en fonction des profils IPSec correspondants configurés aux extrémités locale et distante de la
connexion.
VPN site à site
Vous pouvez configurer des connexions IPSec basées sur des stratégies (hôte à hôte et site à site) et basées sur des
routes (interface tunnel).
Vous pouvez effectuer les opérations suivantes :
• Cliquez sur Profils IPSec pour modifier ou créer un profil. Vous pouvez spécifier les paramètres IKE (Internet
Key Exchange) de phase 1 et de phase 2 pour établir des tunnels IPSec et L2TP.
• Cliquez sur Ajouter et spécifiez les paramètres.
Connexions basées sur des stratégies : vous devez configurer des connexions IPSec basées sur des stratégies et les
règles de pare-feu correspondantes sur les deux réseaux. Si les sous-réseaux locaux et distants se chevauchent, vous
devez spécifier le paramètre NAT dans la configuration IPSec.
VPN site à site
• Cliquez sur Assistant et laissez l'assistant vous aider à spécifier les paramètres des VPN basés sur des stratégies.
Vous ne pouvez pas modifier les connexions à l'aide de l'assistant.
Connexions basées sur la route : vous pouvez configurer des VPN basés sur la route en définissant le type de
connexion sur l'interface de tunnel.
Actuellement, vous ne pouvez pas créer de connexions basées sur l'itinéraire à l'aide de l'assistant. Lorsque vous
configurez une connexion IPSec basée sur le routage, Sophos Firewall crée automatiquement une interface XFRM,
également appelée interface de tunnel virtuel (VTI).
L'interface s'affiche sous la forme xfrm suivi d'un nombre sur Réseau > Interfaces.
VPN site à site
 Routes Ipsec
Le pare-feu Sophos crée automatiquement des routes IPsec lorsque des tunnels IPsec basés sur des stratégies sont
établis. Cependant, vous devez ajouter manuellement des routes IPsec pour certains trafics. Voici quelques
exemples :
Vous souhaitez acheminer le trafic généré par le système, comme les demandes d'authentification, d'un bureau
distant vers le siège social via une connexion IPsec. Découvrez comment acheminer le trafic généré par le système
via un tunnel IPsec.
Vous ne pouvez pas ajouter certains sous-réseaux à la connexion IPsec pour des raisons internes. Cependant, vous
voulez que leur trafic passe par la connexion.
VPN site à site
 VPC Amazon
Amazon Virtual Private Cloud (VPC) est un service de cloud computing qui vous permet de créer des réseaux
virtuels pour vos ressources Amazon Web Service (AWS).
Vous pouvez connecter Amazon VPC à Sophos Firewall en important les informations de connexion à l'aide de vos
identifiants de sécurité Amazon ou d'un fichier de configuration VPC.
VPN site à site
 VPN SSL de site à site
Avec le VPN SSL de site à site, vous pouvez fournir un accès entre les réseaux internes sur Internet à l'aide de
tunnels cryptés point à point.
Les points de terminaison du tunnel agissent en tant que client ou serveur. Le client initie la connexion et le serveur
répond aux demandes du client. Cela contraste avec IPsec où les deux points de terminaison peuvent initier une
connexion. Un VPN SSL peut se connecter à partir d'emplacements où IPsec rencontre des problèmes en raison de
la traduction d'adresses réseau et des règles de pare-feu.
• Accédez à VPN de site à site > VPN SSL.
• Pour télécharger une connexion au serveur, cliquez sur le bouton Télécharger.
• Cliquez sur Paramètres globaux VPN SSL pour spécifier les paramètres.
Réseau
Les objets réseau améliorent la sécurité et optimisent les performances des périphériques derrière le pare-feu. Vous
pouvez utiliser ces paramètres pour configurer des ports physiques, créer des réseaux virtuels et prendre en charge
des périphériques Ethernet distants.
Les zones vous permettent de regrouper les interfaces et d'appliquer des règles de pare-feu à tous les appareils
membres. Le basculement et l'équilibrage de charge assurent la redondance et la disponibilité du réseau.
D'autres paramètres vous permettent de fournir un service haut débit sans fil sécurisé aux appareils mobiles et de
configurer la prise en charge avancée de l'approvisionnement des appareils IPv6 et de la tunnellisation du trafic.
Réseau
 Article: Comment faire ?

Déployer Sophos Firewall en mode pont Déployer Sophos Firewall en mode passerelle
Réseau
 Article: Comment faire ?
Déployer Sophos Firewall en mode découverte
Lorsque vous déployez Sophos Firewall en mode découverte, vous pouvez surveiller le trafic réseau sans apporter de
modifications à votre schéma réseau.
Vous souhaitez déployer Sophos Firewall en mode découverte à l'aide d'une interface TAP et programmer un e-mail de
rapport d'audit de sécurité (SAR).
Réseau
 Interfaces
Le pare-feu est livré avec des interfaces physiques et virtuelles. Une interface physique, par exemple, Port1, PortA ou
eth0.
Une interface virtuelle est une représentation logique d'une interface qui vous permet d'étendre votre réseau à l'aide de
ports existants (exemple: VLAN)
Vous pouvez lier plusieurs adresses IP à une seule interface physique à l'aide d'un alias.
Vous pouvez également créer et configurer des interfaces prenant en charge les périphériques Ethernet distants.
Réseau
 Zones
Une zone est un regroupement d'interfaces. Les
zones spécifient également les services que vous
pouvez utiliser pour administrer les appareils et
authentifier les utilisateurs. Lorsqu'elles sont
utilisées avec des règles de pare-feu, les zones
offrent une méthode pratique de gestion de la
sécurité et du trafic pour un groupe d'interfaces
Réseau
 Gestionnaire de liens WAN
Le gestionnaire de liens WAN vous permet de configurer des passerelles pour prendre en charge le basculement de lien
et l'équilibrage de charge.
Accédez à Réseau > Gestionnaire de liens WAN.
Passerelles WAN : lorsque vous configurez une interface WAN physique sur Réseau > Interfaces, vous spécifiez
également ses paramètres de passerelle en fonction de votre lien ISP. Si vous disposez de plusieurs liaisons ISP, vous
pouvez terminer chaque liaison sur une interface WAN physique. Le pare-feu envoie le trafic vers le lien ISP via la
passerelle configurée pour le lien.
Réseau
 Gestionnaire de liens WAN

Vous pouvez configurer une passerelle comme active ou de secours. Ces passerelles apparaissent automatiquement
dans la liste des gestionnaires de liens WAN. Les passerelles personnalisées que vous configurez dans Routage >
Passerelles n'apparaissent pas dans cette liste même si vous leur attribuez la zone WAN.
• Équilibrage de la charge de la liaison WAN : il s'agit de la route par défaut. Lorsque vous sélectionnez cette option
pour les passerelles dans les routes SD-WAN, Sophos Firewall équilibre la charge du trafic entre les liaisons WAN
actives.
 Pour afficher un rapport de trafic pour une passerelle, cliquez sur le bouton Transfert de données Transfert de
données.
 Pour définir le délai après lequel Sophos Firewall détermine qu'un lien qui ne répond pas est inactif, saisissez une
valeur dans le champ Délai de basculement de la passerelle et cliquez sur Appliquer.
Réseau
 Rapport de trafic réseau pour la passerelle

Affichez le trafic réseau de votre passerelle WAN pour différentes périodes. Choisissez l'heure dans le menu déroulant.
Si vous sélectionnez Personnalisé, vous pouvez sélectionner une date de début et une date de fin. Cliquez sur Afficher
pour mettre à jour le graphique et le tableau.
Les données du graphique sont mises à jour toutes les heures, tandis que les données du tableau sont mises à jour
quotidiennement.
 Configuration de sauvegarde active pour le basculement
Vous configurez une ou plusieurs passerelles comme passerelles de secours. Vous pouvez réaliser un basculement de
liaison WAN à l'aide d'une configuration de sauvegarde active.
Grâce au basculement, vous pouvez minimiser les risques d'interruption de service et garantir une connectivité
permanente à Internet. Lorsqu'un lien échoue, le pare-feu redirige le trafic vers les passerelles de secours disponibles,
répartissant le trafic entre les liens en fonction de leurs pondérations attribuées. Pendant le basculement, le pare-feu
surveille la santé du lien mort et redirige le trafic vers celui-ci lorsqu'il devient disponible.
Réseau
 Configuration actif-actif pour l'équilibrage de charge
Vous pouvez obtenir un équilibrage de charge de liaison WAN à l'aide d'une configuration active-active.
Sophos Firewall équilibre le trafic entre les passerelles actives. Par défaut, il ajoute une nouvelle passerelle en tant que
passerelle active. Ainsi, l'équilibrage de charge se produit automatiquement entre les liens ISP existants et
nouvellement ajoutés. Le pare-feu Sophos utilise un algorithme circulaire pondéré pour l'équilibrage de charge,
répartissant le trafic entre les liens ISP en fonction du poids spécifié pour les liens.
Réseau
 DNS
Vous pouvez obtenir l'adresse d'un serveur DNS à partir d'un serveur DHCP ou PPPoE, ou vous pouvez spécifier des
serveurs DNS statiques.
Vous pouvez résoudre des requêtes pour des hôtes spécifiques à l'aide d'une adresse IP spécifiée et résoudre des
requêtes pour des domaines externes à l'aide de serveurs DNS sur votre réseau.
 Paramétrage DNS
Note: La disponibilité des options dépend de la configuration des interfaces disponibles.
Obtenir le DNS de DHCP : Utilise le serveur DHCP configuré pour obtenir le DNS.
Obtenir le DNS de PPPoE : Utilise le serveur PPPoE configuré pour obtenir le DNS.
DNS statique : utilise les serveurs spécifiés pour les requêtes DNS. Le pare-feu interroge les serveurs DNS dans
l'ordre indiqué jusqu'à ce qu'il reçoive une réponse. Par exemple, il interroge le deuxième serveur uniquement s'il ne
reçoit pas de réponse du premier serveur dans le délai imparti.
Réseau
 DNS
 Entrée d'hôte DNS

Vous pouvez résoudre les demandes de noms d'hôte ou de domaine spécifiques à l'aide des entrées d'hôte DNS. Si
l'hôte demandé par l'utilisateur correspond à l'entrée d'hôte DNS, le périphérique résout la requête à l'aide de l'adresse
IP spécifiée. Cela permet une résolution plus rapide et réduit les requêtes adressées au serveur DNS faisant autorité.
 Route de requête DNS

Vous pouvez résoudre les demandes de noms de domaine externes via les serveurs DNS de votre réseau à l'aide des
routes de demande DNS. Cela offre une résolution plus rapide, réduit le trafic Internet sur le réseau et améliore la
sécurité car moins d'informations DNS sont exposées sur Internet.
Réseau
 DHCP
Vous pouvez configurer Sophos Firewall en tant que serveur DHCP et agent de relais pour fournir des adresses IP et
des paramètres réseau aux clients.
Les paramètres réseau incluent la passerelle par défaut, le masque de sous-réseau, le nom de domaine, les serveurs
DNS et les serveurs WINS. Vous pouvez envoyer des paramètres supplémentaires aux clients à l'aide des options
DHCP sur la CLI.
Sur la console d'administration Web, vous pouvez également afficher les enregistrements de bail pour les adresses IP
louées aux clients.
Réseau
 Annonce de routeur IPv6
Le pare-feu prend en charge la configuration automatique des adresses sans état (SLAAC) pour les périphériques IPv6.
À l'aide de SLAAC, les périphériques IPv6 créent automatiquement des adresses lien-local uniques pour les interfaces
compatibles IPv6, et les clients utilisent automatiquement les messages d'annonce de routeur pour configurer leur
propre adresse IP.
Le pare-feu peut participer au SLAAC. Par défaut, le pare-feu fournit une adresse IPv6 et une passerelle par défaut au
client.
Réseau
 Réseau étendu cellulaire

Les réseaux WAN cellulaires fournissent un service haut débit sans fil sécurisé aux appareils mobiles.
Pour activer le WAN cellulaire, cliquez sur l'interrupteur marche/arrêt.
Pour vous connecter au modem qui fournit le service WAN cellulaire, cliquez sur Connecter.
Lorsque vous activez le W
AN cellulaire, le pare-feu crée l'interface WWAN1.
 Comment faire?
Configurer un module 5G
Réseau
 Tunnels IP
Un tunnel IP est un mécanisme qui encapsule un protocole réseau en tant que charge utile pour un autre protocole
réseau. À l'aide d'un tunnel, vous pouvez encapsuler un paquet IPv6 dans un paquet IPv4 pour la communication entre
des hôtes ou des réseaux compatibles IPv6 sur un réseau IPv4, ou vice versa.
Réseau
 Voisins (ARP-NDP)
Le pare-feu Sophos utilise le protocole de résolution d'adresse (ARP) et le protocole de découverte de voisin (NDP)
pour permettre la communication entre les hôtes résidant sur le même sous-réseau. Il utilise ces protocoles pour créer
des mappages IP/MAC et les stocke dans des caches voisins. Les mappages statiques sont également pris en charge.
Le pare-feu utilise des entrées mises en cache pour détecter les tentatives d'empoisonnement des voisins.
ARP est utilisé pour découvrir l'adresse de couche de liaison (adresse MAC) associée à une adresse IPv4. Les hôtes
trouvent l'adresse physique des autres hôtes en envoyant un paquet de requête ARP qui inclut l'adresse IP du récepteur.
Lorsque la réponse est renvoyée, le pare-feu met à jour le cache voisin avec l'adresse MAC correspondante. Pour
minimiser le trafic de diffusion, le pare-feu réutilise les mappages IP/MAC précédemment appris. NDP fournit des
fonctionnalités similaires pour les adresses IPv6.
Note: Le délai d'attente par défaut pour les requêtes ARP et NDP est de 600 secondes (10 minutes).
Réseau
 DNS dynamique
Le DNS dynamique (DDNS) vous permet d'accéder au pare-feu lorsqu'il est provisionné avec une adresse IP
dynamique.
Lorsque le pare-feu reçoit une nouvelle adresse IP, il contacte le service DNS dynamique et met à jour le nom DNS
public avec la nouvelle adresse. Avec le DDNS, le nom DNS public pointe toujours vers la bonne adresse IP.
Note: Nous avons arrêté Sophos DDNS. Vous ne pouvez plus enregistrer de domaines DDNS avec myfirewall.co.
Nous vous recommandons de configurer un fournisseur DDNS tiers.
Actuellement, nous prenons en charge les fournisseurs DDNS tiers suivants :

DynDNS, Google DDNS, DynAccess, EasyDNS, ZoneEdit, Namecheap, DNS-O-Matic, No-IP, FreeDNS, Cloudflare
Routage
Les routes permettent à Sophos Firewall de transférer le trafic en fonction des critères que vous spécifiez.
Vous pouvez configurer des routes SD-WAN, statiques et dynamiques. Sophos Firewall crée automatiquement des
routes VPN pour le trafic IPsec.
 Priorité de routage
Le routage suit la priorité que vous spécifiez sur l'interface de ligne de commande. La priorité de routage par défaut
est les routes statiques, SD-WAN, puis VPN.
Pour voir la priorité de l'itinéraire, procédez comme suit :
CLI : saisissez 4 pour la console de l'appareil, puis saisissez la commande suivante :
system route_precedence show
Console d'administration Web : accédez à Routage > Routes SD-WAN.
Routage
Les détails du protocole, du réseau et de l'itinéraire sont indiqués dans le tableau suivant :
• Routes statiques : Réseaux directement connectés, Itinéraires de monodiffusion, route dynamiques, Connexions VPN
SSL
• Routes SD-WAN
• Routes VPN (route par défaut): Créé automatiquement au niveau du backend pour les VPN IPsec basés sur des
politiques. Inclut les routes spécifiées à l'aide de la commande ipsec_route sur l'interface de ligne de commande.
Routage
 Routes SD-WAN
Le SD-WAN ajoute une couche d'intelligence logicielle à votre infrastructure WAN.

Les routes SD-WAN offrent un basculement sans impact avec des SLA de performance pour plusieurs passerelles, vous
permettant d'optimiser votre infrastructure WAN.
Vous pouvez acheminer le trafic en fonction des applications, des utilisateurs et des groupes, ainsi que des critères de
réseau, tels que l'interface entrante, les réseaux source et de destination et les services. Vous pouvez implémenter des
accords de niveau de service (SLA) pour les performances de la passerelle.
Routage
 Profils SD-WAN
Vous pouvez utiliser des profils SD-WAN pour définir une stratégie de routage SD-WAN sur plusieurs passerelles de
votre réseau SD-WAN. Avec deux passerelles ou plus configurées dans votre réseau, vous pouvez utiliser un profil SD-
WAN pour acheminer le trafic en fonction de la disponibilité ou des performances des passerelles. Cette approche
optimise les performances de votre réseau SD-WAN et contribue à assurer la continuité en cas de perturbation du FAI.
 Stratégies de routage
Lors de la configuration d'un profil SD-WAN, vous ajoutez les passerelles configurées au profil SD-WAN et les
répertoriez dans l'ordre dans lequel vous souhaitez que le pare-feu les évalue. Le pare-feu utilise une stratégie de routage
pour sélectionner une passerelle. Vous pouvez sélectionner Première passerelle disponible ou Équilibrage de charge.
Routage
 Passerelles
Vous pouvez ajouter des passerelles pour transférer le trafic au sein du réseau et vers des réseaux externes.
Vous pouvez ajouter des passerelles IPv4 et IPv6. Vous pouvez également modifier, cloner et supprimer des passerelles
personnalisées.
Vérification de l'état : Sophos Firewall applique les conditions de vérification de l'état que vous spécifiez pour
déterminer si la passerelle est active.
Indicateurs d'état de la passerelle :
: Passerelle active
: Passerelle inactive
Routage
 Passerelles
Configurez Sophos Firewall pour l'équilibrage de charge et le basculement pour plusieurs liaisons montantes ISP en
fonction du nombre de ports WAN disponibles sur l'appliance.
Si vous disposez de plusieurs liaisons ISP, vous pouvez terminer chaque liaison sur une interface WAN physique. Le
pare-feu envoie le trafic vers le lien ISP via la passerelle configurée pour le lien.
Vous pouvez configurer une passerelle comme active ou de secours.
 Actif-actif : Sophos Firewall équilibre le trafic entre les passerelles actives. Par défaut, il ajoute une nouvelle
passerelle en tant que passerelle active. Ainsi, l'équilibrage de charge se produit automatiquement entre les liens ISP
existants et nouvellement ajoutés.
 Sauvegarde active : vous configurez une ou plusieurs passerelles en tant que passerelles de secours. Lorsqu'une
passerelle active tombe en panne, le trafic bascule vers une passerelle de secours disponible.
L'équilibrage de charge et le basculement sont pris en charge pour le trafic IPv4 et IPv6.
Routage
 Passerelles
 Équilibrage de charge de liaison WAN et persistance de session
Si vous avez configuré plusieurs liaisons WAN, vous pouvez attribuer une pondération à chaque liaison et équilibrer la
charge des sessions. De plus, vous pouvez spécifier la persistance de session pour acheminer le trafic en fonction du
facteur de persistance que vous spécifiez.
Pour voir les paramètres actuels, accédez à la CLI, cliquez sur 4 pour la console du périphérique et saisissez la
commande CLI suivante :
show routing wan-load-balancing
Routage
 Routage statique
Vous pouvez créer une route statique pour transférer des paquets vers une destination autre que la passerelle par défaut
configurée.
Lorsque vous ajoutez une route statique, vous spécifiez quelle interface le paquet quitte et vers quel périphérique le paquet est
acheminé.
Vous pouvez configurer des routes monodiffusion et multidiffusion sur Sophos Firewall.
Les routes de monodiffusion envoient des données d'un expéditeur à un destinataire.
Les routes multidiffusion envoient des données d’un expéditeur à un groupe de destinataires.
 Routage dynamique
Pour recevoir des mises à jour de routage dynamique et annoncer le réseau, vous devez autoriser le routage dynamique à partir de
la zone WAN depuis Administration > Accès au périphérique.
Les protocoles de routage supportés par Sophos : RIP, OSPF, OSPFv3, BGP et PIM-SM.
Authentification
Vous pouvez configurer l'authentification à l'aide d'une base de données d'utilisateurs interne ou d'un service
d'authentification tiers. Pour s'authentifier, les utilisateurs doivent avoir accès à un client d'authentification.
Cependant, ils peuvent contourner le client si vous les ajoutez en tant qu'utilisateurs sans client. Le pare-feu prend
également en charge l'authentification à deux facteurs, l'authentification transparente et l'accès des utilisateurs
invités via un portail captif.
 Comment faire ?
1. Acheminer les requêtes d'authentification générées par le système via un tunnel Ipsec
2. Configurer l'authentification AD SSO par connexion pour les hôtes multi-utilisateurs
3. Configurer l'authentification unique Chromebook
Authentification
Vous pouvez configurer l'authentification à l'aide d'une base de données d'utilisateurs interne ou d'un service
d'authentification tiers. Pour s'authentifier, les utilisateurs doivent avoir accès à un client d'authentification.
Cependant, ils peuvent contourner le client si vous les ajoutez en tant qu'utilisateurs sans client. Le pare-feu prend
également en charge l'authentification à deux facteurs, l'authentification transparente et l'accès des utilisateurs
invités via un portail captif.
 Comment faire ?
1. Acheminer les requêtes d'authentification générées par le système via un tunnel Ipsec
2. Configurer l'authentification AD SSO par connexion pour les hôtes multi-utilisateurs
3. Configurer l'authentification unique Chromebook
Authentification
 Les serveurs
Les serveurs externes authentifient les utilisateurs qui tentent d'accéder au pare-feu et aux services associés.
Les serveurs d’authentification pris en charge par Sophos:
1. LDAP: Lightweight Directory Access Protocol un protocole réseau permettant d'interroger et de modifier les services d'annuaire
basés sur la norme X.500.
2. Active Directory servers: À l'aide de Microsoft Active Directory, vous pouvez enregistrer le pare-feu en tant que domaine
Windows et créer un objet pour celui-ci sur le contrôleur de domaine principal.
3. RADIUS: Remote Authentication Dial In User Service est un protocole qui permet aux périphériques réseau tels que les routeurs
d'authentifier les utilisateurs par rapport à une base de données.
4. TACACS: Terminal Access Controller Access Control System est un protocole propriétaire proposé par Cisco Systems. Il fournit
des informations comptables détaillées et un contrôle administratif sur les processus d'authentification et d'autorisation.
5. eDirectory: Novell eDirectory est un service d'annuaire compatible X.500 permettant de gérer l'accès aux ressources sur plusieurs
serveurs et périphériques sur un réseau.
6. Azure AD SSO:
Authentification
 Prestations de service
Sélectionnez les serveurs d'authentification pour le pare-feu et d'autres services tels que VPN. Vous pouvez
configurer les paramètres d'authentification globale, ainsi que les paramètres pour Kerberos et NTLM, le client
Web et l'authentification unique RADIUS. Les actions de stratégie Web vous permettent de spécifier où diriger les
utilisateurs non authentifiés.
Authentification
 Groupes
Les groupes contiennent des politiques et des paramètres que vous pouvez gérer comme une seule unité pour les
utilisateurs. Avec les groupes, vous pouvez simplifier la gestion des politiques pour les utilisateurs.
Si vous utilisez des serveurs d'authentification, comme Active Directory, les utilisateurs sont automatiquement
créés et ajoutés à leur groupe d'annuaire lorsqu'ils se connectent. Les utilisateurs d'annuaire qui appartiennent à une
UO (unité organisationnelle) mais pas à un groupe d'annuaire sont ajoutés au groupe par défaut lorsqu'ils se
connectent. Vous pouvez voir le groupe par défaut sur Authentification > Services sous Méthodes
d'authentification du pare-feu.
Authentification
 Utilisateurs
Vous pouvez créer des enregistrements d'utilisateur localement sur le pare-feu pour les utilisateurs et les
administrateurs.
La liste affiche également les utilisateurs de vos serveurs d'authentification externes. Ces enregistrements sont
ajoutés lorsque les utilisateurs sont authentifiés pour la première fois.Pour modifier les statuts des utilisateurs entre
actif et inactif, sélectionnez les utilisateurs et cliquez sur Modifier le statut.
Pour voir plus de détails, cliquez sur Afficher les propriétés supplémentaires et sélectionnez les options.
Pour importer ou exporter des enregistrements d'utilisateurs, accédez à Sauvegarde et firmware > Fichier
d’importation.
Authentification
 Authentification multifacteur (MFA)

Vous pouvez implémenter une authentification multifacteur à l'aide de jetons matériels ou logiciels.
Pour les jetons logiciels, les utilisateurs doivent scanner le code QR sur le portail utilisateur à l'aide d'une
application d'authentification sur leurs appareils mobiles, telle que la fonction d'authentification dans Intercept X
for Mobile.
 Paramètres d'authentification multifacteur (MFA)

Vous pouvez configurer MFA et l'appliquer aux utilisateurs qui se connectent à certains services de pare-feu, tels
que le portail utilisateur et le VPN d'accès à distance. Les paramètres déterminent si les utilisateurs peuvent utiliser
des jetons logiciels ou matériels.
Vous pouvez également définir le pas de temps (période) pendant lequel les codes d'accès restent valides.
Authentification
 Authentification Web
Vous pouvez utiliser Active Directory SSO ou le portail captif pour authentifier les utilisateurs. Les utilisateurs apparaîtront
alors dans la journalisation et les rapports et seront utilisés comme critères de correspondance dans les règles de pare-feu et
les politiques Web.
L'authentification unique (SSO) Active Directory tente d'authentifier silencieusement les utilisateurs connectés aux
terminaux avec Sophos Firewall sans interaction de l'utilisateur.
Le portail captif est une page Web qui demande aux utilisateurs derrière le pare-feu de s'authentifier lorsqu'ils tentent
d'accéder à un site Web. Vous pouvez également définir le comportement et la disposition du portail captif.
La longueur maximale du mot de passe pour le portail captif est de 50.
URL du portail captif : https://<adresse IP du pare-feu Sophos> :8090
Après s'être authentifié auprès du portail captif, Sophos Firewall permet aux utilisateurs de poursuivre vers la destination
demandée ou les redirige vers une URL que vous spécifiez.
Pour afficher les utilisateurs authentifiés, accédez à Activités en cours > Utilisateurs en direct.
Authentification
 Utilisateurs invités
Les utilisateurs invités sont des utilisateurs qui n'ont pas de compte et qui souhaitent se connecter à votre réseau pour
accéder à Internet. Vous pouvez enregistrer des utilisateurs invités ou leur permettre de s'enregistrer via le portail des
utilisateurs invités. Vous pouvez imprimer les informations d'identification ou les envoyer par SMS. Après authentification,
l'utilisateur invité se voit accorder l'accès selon les politiques sélectionnées ou est redirigé vers le portail captif.
Note: Avant d'ajouter des utilisateurs invités, accédez à Authentification > Paramètres de l'utilisateur invité et spécifiez les
paramètres.
Authentification
 Utilisateurs invités
• Pour imprimer les informations d'identification, sélectionnez les utilisateurs, puis cliquez sur Imprimer.
• Pour renvoyer les informations d'identification par SMS, cliquez sur le bouton Renvoyer les informations d'identification
pour renvoyer les informations d'identification.
• Pour modifier le statut d'un utilisateur entre actif et inactif, sélectionnez un utilisateur et cliquez sur Modifier le statut.
• Pour modifier un mot de passe, cliquez sur Modifier le mot de passe.
• Pour afficher les statistiques de trafic Internet, cliquez sur Afficher l'utilisation.
• Pour réinitialiser les statistiques de trafic Internet et redémarrer le quota de trafic réseau de l'utilisateur, cliquez sur
Réinitialiser la comptabilité utilisateur.
Authentification
 Utilisateurs sans client
Vous pouvez configurer des périphériques réseau, tels que des serveurs et des imprimantes, en tant qu'utilisateurs sans client.
Les utilisateurs sans client n'ont pas besoin d'authentification et n'utilisent pas de client pour accéder au réseau. Le pare-feu
Sophos permet à ces utilisateurs d'accéder au réseau en faisant correspondre le nom d'utilisateur à l'adresse IP que vous
spécifiez dans la stratégie des utilisateurs sans client.
Les utilisateurs sans client apparaissent en tant qu'utilisateurs en direct dans les activités en cours. Si vous désactivez ces
utilisateurs, ils n'apparaissent pas en tant qu'utilisateurs actifs.
Vous pouvez également configurer des personnes en tant qu'utilisateurs sans client, par exemple des cadres supérieurs, pour
lesquels vous ne souhaitez pas exiger de connexion lorsqu'ils se trouvent sur le réseau. Si vous configurez des utilisateurs
plutôt que des périphériques réseau, nous vous recommandons de mapper les utilisateurs avec des adresses IP statiques sur
votre serveur DHCP.
Vous pouvez créer des utilisateurs sans client individuellement ou en groupe. Vous pouvez ensuite modifier la configuration
de chaque utilisateur et spécifier les politiques et l'utilisation de la bande passante.
Authentification
 Téléchargements clients
Utilisez ces paramètres pour télécharger les clients et les composants qui prennent en charge l'authentification unique,
l'authentification transparente et le chiffrement des e-mails.
Vous pouvez utiliser une authentification sans client transparente via STAS et SATC ou une authentification via les clients
installés sur les terminaux des utilisateurs.
 Sophos Transparent Authentication Suite (STAS) : permet une authentification transparente dans laquelle les
informations d'identification Windows peuvent être utilisées pour s'authentifier et l'utilisateur doit se connecter une seule
fois pour accéder aux ressources réseau. Cela ne nécessite pas de client sur la machine de l'utilisateur.
 Sophos Authentication for Thin Client (SATC) : permet une authentification transparente pour les utilisateurs dans les
environnements Citrix ou Terminal Services, dans laquelle les informations d'identification réseau peuvent être utilisées
pour s'authentifier et l'utilisateur ne doit se connecter qu'une seule fois. Cela ne nécessite pas de client sur la machine de
l'utilisateur. SATC ne prend en charge que les connexions TCP, pas les connexions UDP.
Services système
Utilisez les services système pour configurer le service de provisionnement RED, la haute disponibilité et les
paramètres de protection globale contre les logiciels malveillants.
D'autres options vous permettent de visualiser l'utilisation de la bande passante et de gérer la bande passante pour
réduire l'impact d'une utilisation intensive. À l'aide des paramètres de journalisation, vous pouvez spécifier
l'activité du système à consigner et comment stocker les journaux. L'anonymisation des données vous permet de
chiffrer les identités dans les journaux et les rapports.
Services système
 La haute disponibilité
Vous pouvez configurer un cluster haute disponibilité (HA) en modes actif-passif et actif-actif sur Sophos Firewall.
Sophos Firewall prend en charge la haute disponibilité. Cela garantit la connectivité WAN, la disponibilité des
appliances et le basculement du trafic et des services, ce qui minimise les temps d'arrêt et les interruptions de votre
réseau.
La haute disponibilité (HA) permet de placer deux firewalls dans un groupe et de synchroniser leur configuration.
Cela évite un point de défaillance unique sur votre réseau. Les deux pare-feu ont une connexion par pulsation, ce
qui assure le basculement si l'un des pare-feu tombe en panne.
Services système
 RED
Un Remote Ethernet Device (RED) fournit un tunnel sécurisé entre un site distant et Sophos Firewall.
Les RED connectent les succursales distantes à vos bureaux principaux comme si la succursale faisait partie de
votre réseau local. À l'aide des interfaces RED, vous pouvez configurer et installer des appliances RED ou créer un
tunnel RED site à site entre deux appareils Sophos Firewall dans une configuration client-serveur.
Le service de provisionnement RED prend en charge le déploiement RED et fournit des options de sécurité, telles
que l'application de TLS 1.2. Nous maintenons les serveurs de provisioning RED (exemple : red.astaro.com). Il
vous suffit de remplir les détails de configuration RED pour vous inscrire auprès du serveur de provisionnement.
Services système
 Protection contre les logiciels malveillants

Spécifiez les paramètres globaux de protection contre les logiciels malveillants.
Moteur antivirus principal : moteur antivirus principal à utiliser pour analyser le trafic.
Note:
La modification de ce paramètre peut modifier un moteur antivirus spécifié localement.
Services système
 Paramètres du journal
Sophos Firewall fournit des fonctionnalités de journalisation étendues pour les fonctions de protection du trafic, du
système et du réseau. Vous pouvez utiliser les journaux pour analyser l'activité du réseau afin d'identifier les
problèmes de sécurité et de réduire les abus du réseau.
Vous pouvez stocker les journaux localement, les envoyer à Sophos Central ou les envoyer à des serveurs syslog
tiers.
Vous pouvez sélectionner les journaux à stocker ou à envoyer par module ou fonctionnalité, ou vous pouvez
sélectionner tous les journaux.
Vous pouvez supprimer les journaux, en éliminant plusieurs entrées de journal consécutives pour un événement. La
suppression de journal permet d'économiser de l'espace de journalisation et des cycles de traitement. Si vous
activez cette fonctionnalité, elle s'applique aux journaux envoyés à la visionneuse de journaux, à Sophos Central et
aux serveurs syslog tiers. Vous pouvez voir le nombre d'entrées de journal pour un événement sous Occurrence de
journal dans la visionneuse de journal.
Services système
 Liste des notifications

Vous pouvez envoyer des alertes à un administrateur sur les événements générés par le système via des notifications par e-mail et des
interruptions SNMP.
Vous devez configurer vos paramètres de messagerie avant de pouvoir envoyer des notifications par e-mail. Pour cela, rendez-vous dans
Administration > Paramètres de notification.
Vous devez configurer l'agent SNMP et les communautés ou les utilisateurs avant de pouvoir envoyer des alertes SNMP. Pour cela, allez
dans Administration > SNMP.
Pour activer les alertes, procédez comme suit :
1. Accédez à Services système > Liste des notifications.
2. Activez les notifications par e-mail pour envoyer des notifications à l'administrateur.
3. Activez les interruptions SNMP pour envoyer des interruptions au gestionnaire SNMP.
4. Sélectionnez les événements dans la liste et décidez si vous souhaitez des notifications par e-mail, des interruptions SNMP ou les deux.
5. Cliquez sur Enregistrer.
Services système
 Anonymisation des données

Grâce à l'anonymisation des données, vous pouvez chiffrer les identités dans les journaux et les rapports. Les identités
comprennent les noms d'utilisateur, les adresses IP, les adresses MAC et les adresses e-mail. Lorsque vous activez
l'anonymisation des données, vous spécifiez un ou plusieurs administrateurs autorisés à anonymiser les données. Vous
pouvez remplacer l'anonymisation à l'aide d'exceptions.
Pour chiffrer les identités dans les journaux et les rapports, sélectionnez Activer l'anonymisation des données, sélectionnez
un approbateur, puis cliquez sur Appliquer.
Conseil: Spécifiez au moins deux approbateurs. Si vous êtes connecté en tant que l'un des approbateurs, l'approbation d'au
moins un autre approbateur est requise.
Pour remplacer l'anonymisation, spécifiez des exceptions (utilisateurs, adresses IP, adresses MAC ou adresses e-mail) et
cliquez sur Appliquer. Ensuite, spécifiez un nom d'utilisateur (autorisateur) et un mot de passe et cliquez sur Enregistrer.
Une fois authentifié, ces identités ne seront pas chiffrées dans les journaux et les rapports.
Services système
 Gestion du trafic
Les politiques de gestion du trafic déterminent la qualité de service (QoS) du trafic.
Vous pouvez créer des politiques pour garantir et limiter la bande passante. Les stratégies peuvent attribuer une bande
passante à des objets individuels ou être partagées entre les objets auxquels vous les appliquez. Vous pouvez également
spécifier une heure pour la stratégie. Vous ne pouvez pas modifier une stratégie après l'avoir créée.
Vous pouvez appliquer des stratégies de gestion du trafic aux règles de pare-feu et aux règles WAF, aux utilisateurs et aux
groupes, aux applications et aux catégories d'applications et aux catégories Web. Pour appliquer une stratégie à ces objets,
vous l'associez à l'objet via le type d'association de stratégie. Seules les stratégies créées pour l'objet apparaissent sur la
page de l'objet pour sélection.
Services système
 Gestion du trafic
Sophos Firewall implémente les stratégies de gestion du trafic dans un certain ordre si elles sont associées à plusieurs
objets dans la règle de pare-feu. Par exemple, si vous avez appliqué une règle de gestion du trafic à plusieurs objets dans la
règle de pare-feu, l'ordre suivant s'applique :
 Application
 Catégorie d'application
 Catégorie Web
 Utilisateur
 Groupe
 Règle de pare-feu
Services système
 Paramètres de gestion du trafic

Le pare-feu applique les paramètres de mise en forme du trafic au trafic qui ne correspond à aucune stratégie de gestion du
trafic.
Pour configurer les paramètres de mise en forme du trafic, accédez à Services système > Paramètres de mise en forme du
trafic.
Pour voir l'utilisation de la bande passante en fonction de la priorité du trafic, cliquez sur Afficher l'utilisation de la bande
passante à côté de Appliquer.
Note:
• Paramètres de mise en forme du trafic : ils ne s'appliquent qu'au trafic sortant que le pare-feu transmet à la zone WAN.
• Politiques de gestion du trafic : vous pouvez les appliquer au trafic entrant et sortant transféré par le pare-feu.
Services système
 Paramètres de gestion du trafic
Note: Le pare-feu affiche les valeurs de mise en forme du trafic en kilo-octets par seconde (Ko/s). Les tests de vitesse Internet
affichent leurs valeurs en kilobits par seconde (kbps).
1 kilooctet = 8 kilobits.
Vous devez effectuer la conversion lorsque vous comparez les valeurs de mise en forme du trafic du pare-feu avec les valeurs de test
de vitesse.
Vous pouvez spécifier les paramètres de gestion du trafic comme suit :

1. Bande passante WAN totale disponible : entrez la bande passante totale disponible auprès des FAI sur tous les liens WAN du pare-
feu.
2. Optimiser pour le temps réel (VoIP) :
• Désactiver : applique d'abord les stratégies de mise en forme du trafic garanti. Donne la priorité au trafic en temps réel
uniquement pour la bande passante restante.
• Activer : donne toujours la priorité au trafic en temps réel, tel que la VoIP et les médias en streaming.
Services système
3. Appliquer la bande passante garantie :

• Désactiver : le pare-feu ne garantit pas la bande passante au trafic qui ne correspond à aucune politique de mise en
forme du trafic. Le trafic ne reçoit que ce qui est disponible.
• Activer : le pare-feu applique les paramètres par défaut pour le trafic qui ne correspond pas à une stratégie. Spécifiez les
paramètres sous Stratégie par défaut :
Garantie : Bande passante minimale disponible pour le trafic WAN sortant.
Limite : bande passante maximale disponible pour le trafic WAN sortant.
Priorité : définie de 1 (la plus élevée) à 7 (la plus faible).
 Politiques de formation du trafic

Vous pouvez configurer des politiques pour les utilisateurs, les règles de pare-feu, le trafic Web et les applications. Accédez
à Services système > Gestion du trafic.
Services système
 Prestations de service
Afficher l'état du service système et gérer les services.
PROTECTION
Règles et stratégies
Les règles et les politiques permettent au trafic de circuler entre les zones et les réseaux tout en appliquant les
contrôles de sécurité, la traduction des adresses IP, le déchiffrement et l'analyse.
Vous pouvez créer des règles d'inspection de pare-feu, de protection de serveur Web, NAT et SSL/TLS.
 Les règles de pare-feu

Vous pouvez autoriser ou interdire le flux de trafic entre les zones et les réseaux. Vous pouvez mettre en œuvre des
politiques et des actions pour appliquer les contrôles de sécurité et la hiérarchisation du trafic.
Vous pouvez créer des règles de pare-feu pour les réseaux IPv4 et IPv6. Vous pouvez mettre en œuvre les actions
suivantes via des règles de pare-feu :
 Accès et journalisation
• Autoriser, supprimer ou rejeter le trafic en fonction des critères de correspondance, qui incluent la source, la
destination, les services et les utilisateurs pendant la période spécifiée.
• Créez des règles NAT liées (source) pour la traduction d'adresses.
• Journalisez le trafic qui correspond aux critères de la règle.
 Politiques et analyse
• Appliquez des stratégies pour le trafic Web, le contrôle des applications et l'IPS.
• Implémentez le filtrage du proxy Web avec décryptage et analyse.
• Envoyez du contenu pour l'analyse de la protection Zero-day.
• Appliquez l'analyse des logiciels malveillants pour le trafic Web, de messagerie et FTP.
• Appliquez une action sur les terminaux et les serveurs avec une pulsation de sécurité synchronisée, qui envoie
des informations sur leur état de santé à Sophos Firewall.

 Priorisation du trafic
• Appliquez des contrôles de bande passante.
• Priorisez le trafic avec le marquage DSCP.
Vous n'avez pas besoin d'une règle de pare-feu pour le trafic généré par le système ou pour autoriser l'accès aux
services système.
Pour spécifier l'accès aux services système à partir de certaines zones, accédez à Administration > Accès aux
appareils.
• Pour ajouter une règle de pare-feu manuellement, sélectionnez Ajouter une règle de pare-feu, puis sélectionnez
Nouvelle règle de pare-feu.
• Pour créer automatiquement des règles NAT de destination avec des règles de pare-feu, sélectionnez Ajouter
une règle de pare-feu, puis sélectionnez Assistant d'accès au serveur (DNAT).

 Assistant d'accès au serveur (DNAT)
Créez des règles DNAT pour traduire le trafic entrant vers des serveurs, tels que des serveurs Web, de messagerie,
SSH ou autres, et accéder à des postes de travail distants. L'assistant crée également automatiquement une règle
SNAT réflexive (pour le trafic sortant des serveurs), une règle de bouclage (pour les utilisateurs internes accédant
aux serveurs) et une règle de pare-feu (pour autoriser le trafic entrant vers les serveurs).
 Règles et groupes de règles

Vous pouvez créer des règles de pare-feu et les ajouter à des groupes de règles.
Sophos Firewall évalue les règles de pare-feu, et non les groupes de règles, pour faire correspondre les critères avec
le trafic. Il utilise les critères de correspondance des groupes de règles uniquement pour regrouper les règles de
pare-feu.

 Règles NAT liées
Il s'agit de règles NAT source et elles sont répertoriées dans le tableau des règles NAT. Vous pouvez les identifier
par l'ID et le nom de la règle de pare-feu.
Sophos Firewall applique les règles de pare-feu avant d'appliquer les règles NAT source. Si une règle NAT au-
dessus de la règle liée répond aux critères de correspondance, Sophos Firewall applique cette règle et ne recherche
pas plus loin la règle liée. Cependant, les règles NAT liées s'appliquent uniquement au trafic qui correspond à la
règle de pare-feu à laquelle elles sont liées.
Vous pouvez dissocier une règle NAT liée du tableau des règles NAT. Une fois que vous avez dissocié la règle de la
règle de pare-feu d'origine, vous pouvez modifier la règle NAT. Elle sera désormais évaluée indépendamment de la
règle de pare-feu d'origine en fonction de ses critères et non des critères de la règle de pare-feu d'origine.
 Statut des règles
Inutilisé: Aucun trafic correspondant trouvé au cours des dernières 24 heures.

Désactivé: Désactivé manuellement.
Modifié: Mis à jour au cours des dernières 24 heures.
Nouveau: Créé au cours des dernières 24 heures.
 Règles de protection du serveur Web (WAF)
Les règles WAF protègent les applications et les sites Web hébergés sur des serveurs Web physiques ou basés sur le
cloud contre les exploits et les attaques.
Sophos Firewall agit comme un proxy inverse, protégeant vos serveurs Web internes et externes. Vous pouvez créer
des règles WAF pour le trafic IPv4.Vous pouvez utiliser les règles WAF pour spécifier des serveurs Web virtuels et
les traduire en serveurs physiques sans configurer les règles DNAT et de pare-feu. Vous pouvez également protéger
les applications Web, telles que les applications Salesforce et Microsoft.
Sophos Firewall propose des modèles de règles WAF préconfigurés avec des chemins et des politiques de
protection spécifiques pour Exchange Autodiscover, Outlook Anywhere (Outlook 2007, 2010, 2013), Outlook Web
Access (dans une règle générale Exchange), Lync, Sharepoint (2010 et 2013), Remote Desktop Gateway 2008 R2
et Remote Desktop Web 2008 R2.
Les règles WAF font partie des règles de pare-feu. Pour créer une règle WAF, vous devez ajouter une règle de pare-
feu et définir l'action sur Protéger avec la protection du serveur Web.
 Fonctionnalité WAF
Sophos Firewall prend en charge le protocole HTTPS avec Server Name Indication (SNI), ce qui vous permet de
créer plusieurs serveurs Web virtuels sur la même adresse IP et le même port. Les règles WAF prennent en charge
les domaines génériques.
Vous pouvez transférer les demandes d'URL vers des serveurs Web spécifiques, lier des sessions à un serveur Web
ou envoyer toutes les demandes à un serveur Web principal, en utilisant les autres comme serveurs de secours. Les
politiques de mise en forme du trafic ajoutées aux règles WAF vous permettent d'allouer de la bande passante et de
hiérarchiser le trafic en fonction d'un calendrier.
 Protection et authentification
Politiques de protection : vous pouvez ajouter des politiques de prévention et de protection contre les intrusions aux
règles WAF. Les politiques de protection vous permettent de protéger les serveurs Web contre les exploits de
vulnérabilité, tels que la manipulation des cookies, des URL et des formulaires. Ils protègent également les serveurs
Web contre les attaques d'applications et de scripts intersites (XSS). Vous pouvez spécifier la puissance du filtre
pour les menaces courantes.
Pour empêcher les attaques lentes par déni de service (DoS) HTTP et appliquer les contrôles de version TLS,
accédez à Serveur Web > Paramètres généraux.
 Politiques d'authentification :
Dans les règles WAF, vous pouvez spécifier les réseaux clients à autoriser ou à bloquer. Vous pouvez également
ajouter des stratégies d'authentification aux règles WAF pour protéger les serveurs Web à l'aide d'une
authentification par proxy inverse de base ou basée sur un formulaire. Les paramètres d'authentification du client
dans ces stratégies vous permettent de contrôler l'accès aux chemins spécifiés dans la règle WAF.
 Modèles d'authentification :
Vous pouvez télécharger des modèles de formulaire HTML préconfigurés. Pour des modèles HTML et CSS
personnalisables, accédez à la page d'aide du modèle d'authentification.
 Ports réservés
Vous ne pouvez pas utiliser certains ports pour WAF car le pare-feu les réserve aux services système. Ces ports sont
réservés même lorsque les services ne sont pas utilisés.
 Règles NAT
La traduction d'adresses réseau (NAT) vous permet de traduire les adresses IP et les ports pour le trafic circulant
entre les réseaux.
Il traduit les adresses IP privées en adresses IP publiques, permettant aux réseaux IP privés de se connecter à
Internet et cachant le réseau interne derrière l'adresse IP publique.
Vous pouvez créer des règles NAT source (SNAT) et NAT de destination (DNAT) pour permettre le flux de trafic
entre les réseaux privés et publics en convertissant les adresses IP privées non routables en adresses IP publiques
routables. Vous pouvez créer des règles NAT pour les réseaux IPv4 et IPv6.
Les règles NAT liées sont des règles SNAT et sont créées à partir de règles de pare-feu.
 Règles NAT
 Règles de pare-feu et règles NAT
Les règles de pare-feu autorisent ou rejettent le trafic entrant et sortant du réseau. Les règles NAT traduisent les
adresses IP pour le trafic autorisé par la règle de pare-feu. Vous devez donc créer des règles de pare-feu même si
vous avez créé des règles NAT.
Si Sophos Firewall ne trouve pas de règle de pare-feu correspondant aux critères de trafic, il supprime le trafic et
consigne l'événement. S'il ne trouve pas de règle NAT correspondante, il autorise le trafic mais ne traduit pas
l'adresse IP.
 Règles NAT
 Règles de pare-feu et règles NAT

Pour les règles NAT, les critères de correspondance sont la source, la destination et le service d'origine (pré-NAT),
ainsi que les interfaces entrantes et sortantes. L'ordre dans lequel Sophos Firewall recherche et applique les règles
NAT et de pare-feu est le suivant :
Trafic sortant : Sophos Firewall applique d'abord la règle de pare-feu, puis la règle SNAT.
Trafic entrant : Sophos Firewall recherche d'abord la règle DNAT pour déterminer la destination traduite (post-
NAT). Il correspond ensuite à la règle de pare-feu en fonction des zones source et de destination, des réseaux
source et de destination, des services et de la planification. Pour la zone de destination, il utilise la zone à laquelle
appartient la destination traduite (post-NAT).
 Règles NAT
 Source NAT
La configuration d'usine a une règle NAT source par défaut (SNAT) avec la source traduite définie sur MASQ.
Les règles SNAT pour le trafic sortant permettent aux clients et serveurs internes d'accéder aux hôtes externes.
Sophos Firewall peut convertir l'adresse IP source de plusieurs clients et serveurs internes en la même adresse IP
publique avec des numéros de port différents. Vous pouvez configurer une adresse IP ou une plage IP comme
source traduite.
Note
Si vous configurez une plage d'adresses IP comme source traduite, Sophos Firewall attribue la prochaine adresse IP
disponible dans la plage. Il n'effectue pas de traduction un à un même si le nombre d'adresses IP dans la plage est le
même pour les sources originales et traduites.
 Règles NAT
 Destination NAT
Vous pouvez créer des règles NAT de destination (DNAT) pour le trafic entrant afin de permettre aux hôtes externes
d'accéder aux clients et serveurs internes. Vous pouvez spécifier une traduction un-à-un, plusieurs-à-un, plusieurs-à-
plusieurs et un-à-plusieurs de vos adresses IP publiques vers des adresses IP privées.
 Équilibrage de charge et basculement

Vous pouvez spécifier une méthode d'équilibrage de charge pour les hôtes de destination traduits, par exemple, des
serveurs Web ou de messagerie. Vous pouvez sélectionner round robin, first alive, random, sticky IP ou one-to-one
comme méthode d'équilibrage de charge.
NB: Vous devez sélectionner Vérification de l'état et spécifier les paramètres si vous souhaitez que le pare-feu
détermine si un serveur est disponible.
 Règles NAT
 Destination NAT
 Équilibrage de charge et basculement

 Round robin
Envoie les requêtes à chaque serveur de manière séquentielle, en commençant par le premier serveur disponible de
la liste. Le pare-feu envoie alors la requête suivante au serveur suivant sur la liste et ainsi de suite.
Utilisez-le pour répartir équitablement le nombre de connexions lorsque vous n'avez pas besoin de la persistance de
session.
 First alive
Envoie les requêtes au premier serveur disponible de la liste. Le pare-feu n'envoie des demandes au serveur suivant
que lorsque le premier serveur devient indisponible et que vous avez spécifié les paramètres de vérification de
l'état.
Utilisez cette option si vous souhaitez envoyer toutes les demandes à un serveur à large bande passante et utiliser
les autres serveurs uniquement en tant que sauvegardes.
 Random
Envoie des requêtes aux serveurs de manière aléatoire.
 Sticky IP
Le pare-feu dérive un hachage pour l'adresse IP source et l'adresse IP de destination d'origine. Il utilise ensuite un
modulo pour le nombre de serveurs afin de déterminer l'adresse IP de destination traduite pour le hachage. Ainsi,
pour un couple source-destination, le serveur reste le même.
Si le serveur attribué devient indisponible, le pare-feu envoie le trafic vers le prochain serveur disponible jusqu'à ce
que le serveur précédemment attribué devienne disponible (si vous avez spécifié les paramètres de vérification de
l'état). Cependant, le pare-feu maintient des connexions avec état et établit uniquement de nouvelles connexions
avec le serveur précédemment indisponible.
Utilisez-le lorsque vous souhaitez une persistance de session pour les applications, telles que les paniers d'achat et
les transactions bancaires.
 Ont-to-one
Effectue un mappage un à un des adresses IP de destination d'origine et traduites dans l'ordre indiqué et envoie des
demandes aux serveurs en fonction de ce mappage.
Par exemple, le pare-feu envoie toujours les requêtes atteignant la première destination d'origine vers la première
destination traduite de la liste.
Pour enregistrer la règle, assurez-vous que les destinations d'origine et traduites ont un nombre égal d'adresses IP.
 Règles NAT
 Destination NAT
 Traduction de services
Sophos Firewall implémente la redirection de port avec traduction de service. Les services sont une combinaison de
protocoles et de ports. Le protocole traduit doit correspondre au protocole d'origine.
Sophos Firewall implémente la traduction un-à-un, plusieurs-à-un et plusieurs-à-plusieurs. Pour la traduction
plusieurs-à-plusieurs, les ports des services d'origine et traduits doivent être en nombre égal.
 Règles NAT
 Destination NAT
 Règles de bouclage
Vous pouvez créer des règles de bouclage à partir des règles NAT de destination pour permettre aux hôtes internes
de communiquer avec d'autres hôtes internes via l'adresse IP externe ou le nom de domaine. Par exemple, créez une
règle NAT de destination pour traduire le trafic entrant vers vos serveurs et créez une règle de bouclage.
Pour créer une règle de bouclage, spécifiez les critères de règle NAT de destination suivants :
Source d'origine : Tout
Source traduite : Original
Destination traduite : ne pas définir sur l'original.
 Règles NAT
 Destination NAT
 Règles réflexives
Vous pouvez créer une règle NAT miroir pour les règles NAT de destination. Elle inverse les critères de
correspondance de la règle de destination. Par exemple, créez une règle NAT de destination pour traduire le trafic
entrant vers un serveur interne. La règle réflexive correspondante autorisera le trafic du serveur vers la source
spécifiée dans la règle NAT de destination.
Si la destination d'origine n'est pas une adresse IP ou est traduite, la source traduite est masquée.
 Règles d'inspection SSL/TLS

Avec les règles d'inspection SSL/TLS, vous pouvez intercepter et déchiffrer les connexions SSL et TLS sur TCP,
permettant à Sophos Firewall d'appliquer des connexions sécurisées entre les clients et les serveurs Web.
L'inspection SSL/TLS permet la prévention des logiciels malveillants transmis via des connexions cryptées.
Vous pouvez appliquer des connexions et un déchiffrement basés sur des règles pour le trafic SSL/TLS en fonction
du trafic et du niveau de risque.
Les règles d'inspection SSL/TLS n'affectent pas le déchiffrement du trafic géré par le proxy Web. Vous spécifiez la
méthode de filtrage Web (proxy Web ou moteur DPI) dans les règles de pare-feu. Par défaut, Sophos Firewall
utilise le moteur DPI, appliquant les règles d'inspection SSL/TLS au trafic correspondant aux critères des règles de
pare-feu.

Avertissements:
1. Si les règles d'inspection SSL/TLS sont désactivées, Sophos Firewall ne les applique pas aux connexions. Le
centre de contrôle et la visionneuse de journaux n'affichent pas les détails de connexion et de décryptage
SSL/TLS.
2. Les appareils Android sont connus pour générer des erreurs de certificat SSL/TLS, provoquant l'échec du
déchiffrement. Nous vous recommandons de créer une liste d'exclusion SSL/TLS pour tous les appareils
Android.
 Certificats d'autorité de certification auto-signés ou de confiance

Le pare-feu Sophos maintient le niveau de confiance d'un certificat de serveur TLS lors de l'autorisation d'une
connexion TLS. Cela empêche les points de terminaison derrière le pare-feu de faire confiance à un certificat de
serveur auquel le pare-feu ne fait pas confiance.
 Certificats auto-signés
Certains serveurs utilisent un certificat auto-signé au lieu d'un certificat signé par une autorité de certification. Les
certificats auto-signés permettent un chiffrement de bout en bout mais ne garantissent pas l'identité du site Web.
Pour ces connexions, Sophos Firewall remplace uniquement la clé du certificat par la clé utilisée pour rechiffrer le
contenu déchiffré et inspecté, et signe le certificat avec cette clé. Il ne re-signe pas ces certificats en tant qu'autorité
de certification, et les clients (exemple : navigateurs) continuent de les voir comme des certificats auto-signés.

 Certificats auto-signés
Les navigateurs affichent alors un avertissement indiquant que le certificat du site Web n'a pas été émis par une
autorité de certification de confiance, permettant aux utilisateurs de voir que le certificat d'origine est auto-signé et
ne doit pas être approuvé.
 Certificats signés par une autorité de certification de confiance
Après le déchiffrement et l'inspection, Sophos Firewall signe ces certificats en tant qu'autorité de certification,
permettant aux utilisateurs de déterminer que l'autorité émettrice d'origine est une autorité de certification de
confiance et que l'inspection SSL/TLS a eu lieu.

 Certificats signés par une autorité de certification de confiance
Pour les connexions qui ne fournissent pas de chaîne de confiance remontant à une autorité de certification
approuvée par le pare-feu, Sophos Firewall ne re-signe pas le certificat à l'aide des autorités de certification locales.
Les certificats sans chaîne de confiance totale sont signés par un certificat généré par le système dont le CN
contient une explication du problème.
 Règles d'inspection SSL/TLS

L'inspection SSL/TLS détecte le trafic SSL/TLS sur n'importe quel port TCP. Les règles d'inspection s'appliquent
aux connexions SSL/TLS détectées. Vous pouvez spécifier des règles pour déchiffrer le trafic en fonction de la
source, de la destination, des utilisateurs et des groupes, des services, des sites Web et des catégories Web. Pour que
la règle prenne effet, elle doit trouver une correspondance dans tous les critères spécifiés.
 Règles d'inspection SSL/TLS

Vous devez sélectionner un profil de déchiffrement pour chaque règle afin de spécifier l'action pour le trafic
présentant des problèmes, tels que des versions de protocole non sécurisées, une compression SSL, des suites de
chiffrement non reconnues, des algorithmes de chiffrement à bloquer, des erreurs de certificat ou des connexions
qui dépassent les capacités de déchiffrement du pare-feu. Après avoir déchiffré et inspecté le trafic, Sophos
Firewall rechiffre le trafic avec l'autorité de certification de re-signature que vous spécifiez.
Vous pouvez utiliser les règles d'inspection SSL/TLS dans les cas suivants :
• Mettez en œuvre un déchiffrement basé sur des règles et respectez les exigences de conformité.
• Empêchez la transmission de logiciels malveillants via le trafic crypté.
• Appliquez des politiques de contenu Web au trafic crypté pour empêcher les chargements et les téléchargements
indésirables sans gêner la navigation générale.
 Exclusions des règles d'inspection SSL/TLS

Sophos Firewall fournit une règle d'exclusion par défaut, Exclusions par site Web ou catégorie, qui empêche le
déchiffrement des connexions à certains sites Web. La règle a une action définie sur Ne pas décrypter et le profil de
décryptage défini sur Compatibilité maximale.
La règle est positionnée en permanence en haut du tableau des règles d'inspection SSL/TLS. Les règles d'inspection
SSL/TLS sont évaluées de haut en bas dans la table de règles.
La règle d'exclusion contient les listes d'exclusion par défaut suivantes :
• Liste d'exclusion TLS locale : la liste est vide par défaut. Vous pouvez ajouter des sites Web à cette liste en
dépannant dans le centre de contrôle ou la visionneuse de journaux. Pour modifier cette liste, accédez à Web >
Groupes d'URL.
 Exclusions des règles d'inspection SSL/TLS

• Liste d'exclusion TLS locale
Les sites Web et les navigateurs qui utilisent l'épinglage de certificat bloquent totalement ou partiellement la page
demandée lorsque l'inspection SSL/TLS est activée. Si un message d'erreur s'affiche, il se peut qu'il n'indique pas de
raison identifiable. Si vous souhaitez contourner l'inspection SSL/TLS, vous pouvez utiliser la liste d'exclusion TLS
locale pour autoriser les domaines.
• Liste d'exclusion TLS gérée : la liste contient des sites Web connus pour être incompatibles avec l'inspection
SSL/TLS et est mise à jour via des mises à jour du micrologiciel.
Conseil
Pour ajouter des sites Web à la règle d'exclusion ou les supprimer, modifiez la règle et ajoutez ou supprimez les
catégories Web ou les groupes d'URL. Vous pouvez également accéder à Web > Groupes d'URL et modifier la liste
d'exclusion TLS locale du groupe.
 Comment faire ?
1. Autoriser le trafic non déchiffrable à l'aide des règles d'inspection SSL/TLS
2. Autoriser les appareils Android à se connecter à Internet
 Paramètres d'inspection SSL/TLS

Avec les paramètres d'inspection SSL/TLS, vous pouvez spécifier les paramètres par défaut pour appliquer les
versions et les occurrences de protocole sécurisé.
Vous pouvez spécifier les autorités de certification de re-signature pour signer les certificats de serveur SSL/TLS
après que le pare-feu Sophos a intercepté, déchiffré et inspecté le trafic sécurisé. Vous pouvez spécifier les
paramètres pour supprimer ou rejeter le trafic non déchiffrable, qui inclut les versions et les occurrences de
protocole non sécurisées, telles que la compression SSL et les connexions qui dépassent les capacités de
déchiffrement du pare-feu. Vous pouvez rétrograder les connexions TLS 1.3 vers TLS 1.2 si vous rencontrez des
problèmes lors de l'utilisation de TLS 1.3.
Conseil: Les paramètres s'appliquent à toutes les règles d'inspection SSL/TLS. Vous pouvez remplacer certains
paramètres d'inspection SSL/TLS en ajoutant des profils de déchiffrement individuels aux règles d'inspection.
Prévention des intrusions
Grâce à la prévention des intrusions, vous pouvez examiner le trafic réseau à la recherche d'anomalies afin
d'empêcher les DoS et autres attaques d'usurpation d'identité. À l'aide de stratégies, vous pouvez définir des règles
qui spécifient une action à entreprendre lorsque le trafic correspond aux critères de signature. Vous pouvez spécifier
la protection sur une base spécifique à la zone et limiter le trafic aux adresses MAC approuvées ou aux paires IP-
MAC. Vous pouvez également créer des règles pour contourner l'inspection DoS.
 Activer la protection IPS

Vous devez activer la protection IPS pour appliquer la protection. Pour l'activer, accédez à Prévention des
intrusions > Stratégies IPS.
Pour pouvoir activer la protection IPS, vous devez disposer d'un abonnement actif à la protection réseau ou d'une
licence d'essai.
 Comment faire ?
Trouver le nombre de signatures IPS
Prévenir les attaques DoS et DDoS
 Attaques DoS
Le statut d'attaque DoS vous permet de voir si les limites de trafic ont été appliquées et la quantité de données
supprimées après le dépassement de la limite. Le pare-feu applique les limites de trafic spécifiées dans les
paramètres DoS et enregistre les événements correspondants. Les données sont disponibles pour la source et la
destination en temps réel.
Lorsque le pare-feu détecte une attaque DoS, il applique des limites de trafic à la source ou à la destination pendant
10 secondes. Passé ce délai, si l'attaque DoS s'arrête, le pare-feu supprime les limites de trafic. Si l'attaque DoS
continue, le compteur est réinitialisé toutes les 10 secondes sur une base continue et le pare-feu conserve les limites
de trafic. S'il y a une nouvelle attaque DoS de la même source ou vers la même destination, le pare-feu réinitialise
le compteur et applique à nouveau les limites de trafic.
Pour afficher les détails de l'attaque, cliquez sur un type d'attaque.
 Politiques IPS
Avec les stratégies IPS, vous pouvez empêcher les attaques réseau à l'aide de règles. Le pare-feu applique les
actions spécifiées dans les règles et consigne les événements correspondants. L'ensemble de politiques par défaut
empêche les attaques réseau pour plusieurs types de trafic courants. Vous pouvez créer des politiques
personnalisées avec des règles qui répondent à vos exigences de trafic.
Pour ajouter une stratégie, cliquez sur Ajouter et saisissez un nom. Ensuite, vous pouvez cloner les règles à partir
d'une stratégie existante.
Pour ajouter des règles à une stratégie, cliquez sur le bouton Modifier de la stratégie que vous souhaitez modifier et
cliquez sur Ajouter.
 Politiques IPS
 Activer la protection IPS
La protection IPS est désactivée par défaut. Pour télécharger les signatures IPS sur Sophos Firewall, configurer les
stratégies IPS et appliquer la protection IPS, vous devez l'activer.
Accédez à Prévention des intrusions > Stratégies IPS pour activer la protection IPS.
Pour pouvoir l'activer, vous devez disposer de l'un des éléments suivants :
• Abonnement à la protection réseau
• Licence d'essai
Note:
Après avoir activé l'abonnement, assurez-vous que la protection IPS est activée.
 Politiques IPS
 Règles de stratégie IPS

Les règles spécifient des signatures et une action. Le pare-feu fait correspondre les signatures aux modèles de trafic
et prend l'action spécifiée dans la règle. L'action spécifiée pour la règle remplace l'action recommandée par la
signature.
 Signatures IPS
Les signatures identifient les menaces et spécifient une action recommandée à entreprendre lorsque le pare-feu
rencontre un trafic correspondant. Les signatures sont spécifiques aux applications, services ou plates-formes. Le
pare-feu comprend des signatures prédéfinies et vous pouvez également créer des signatures personnalisées.
 Politiques IPS
 Signatures IPS
SID : ID de la signature IPS.
Catégorie : Catégorie de signature IPS.
Gravité : Degré de gravité de la menace.
Plate-forme : signatures qui s'appliquent à des plates-formes spécifiques (par exemple, Microsoft Windows).Cible :
signatures basées sur le client ou le serveur.
Action recommandée : action recommandée par le pare-feu lorsque le trafic correspond à la signature.
 Niveaux de gravité des signatures IPS

Sophos LABS suit ces formules pour calculer le niveau de gravité. Dans certains cas, les exceptions peuvent ne pas
correspondre aux formules fournies. Vous pouvez alors classer le niveau de gravité différemment.
Critique : couvre les vulnérabilités critiques des produits ou logiciels des fournisseurs populaires dont le score CVSS (X) est
de 9 ≤ X ≤ 10.
Majeur : Couvre les vulnérabilités importantes des produits ou logiciels de divers fournisseurs dont le score CVSS (X) est de
7 ≤ X < 9.
Modéré : couvre les vulnérabilités à impact moyen des produits ou logiciels de divers fournisseurs dont le score CVSS (X)
est de 4 ≤ X < 7.
Mineur : les signatures de cette catégorie sont soit des signatures parentes, soit couvrent des vulnérabilités moins
importantes des produits ou logiciels de divers fournisseurs dont le score CVSS (X) est de 1 ≤ X < 4.
Avertissement : Les signatures de cette catégorie signifient un type particulier de trafic identifié au sein du réseau. L'action
pour cette catégorie est toujours d'alerter.
 Signatures IPS personnalisées

Grâce aux signatures personnalisées, vous pouvez protéger votre réseau contre les vulnérabilités liées aux objets réseau tels
que les serveurs, les protocoles et les applications. Vous pouvez créer des signatures personnalisées et les ajouter
ultérieurement aux règles de stratégie IPS.
 Restriction
Vous ne pouvez pas configurer de signatures IPS personnalisées si votre licence d'évaluation a expiré ou si vous désactivez la
protection IPS dans Prévention des intrusions > Stratégies IPS.
Pour conserver les signatures IPS personnalisées que vous avez configurées, nous vous recommandons de réactiver la
protection IPS dans les 30 jours suivant l'expiration de la licence ou de désactiver manuellement la protection IPS.
 DoS et protection contre l'usurpation d'identité

Pour empêcher les attaques d'usurpation d'identité, vous pouvez restreindre le trafic aux seules adresses IP reconnues, adresses
MAC de confiance et paires IP-MAC. Vous pouvez également définir des limites de trafic et des drapeaux pour empêcher les
attaques DoS et créer des règles pour contourner l'inspection DoS. Les journaux du pare-feu ont interrompu le trafic.
• Pour vous protéger contre les attaques d'usurpation d'identité, sélectionnez Activer la prévention d'usurpation d'identité,
spécifiez les paramètres et les zones, puis cliquez sur Appliquer. Pour supprimer le trafic d'une adresse IP inconnue sur une
adresse MAC approuvée, sélectionnez Restreindre l'adresse IP inconnue sur un MAC approuvé.
• Pour ajouter une adresse MAC de confiance, faites défiler jusqu'à Spoof protection MAC de confiance et cliquez sur
Ajouter. Pour importer des adresses, cliquez sur Importer.
• Pour vous protéger contre les attaques DoS, faites défiler jusqu'aux paramètres DoS, spécifiez les paramètres et cliquez sur
Appliquer. Pour afficher l'état actuel des attaques DoS, cliquez sur le lien fourni.
• Pour contourner l'inspection DoS pour une adresse IP ou un port spécifié, faites défiler jusqu'à Règle de contournement
DoS et cliquez sur Ajouter.
 Paramètres généraux de la protection anti-usurpation

Spécifiez le type de prévention contre l'usurpation et les zones que vous souhaitez protéger.
Usurpation d'adresse IP : si l'adresse IP source d'un paquet ne correspond à aucune entrée de la table de routage du pare-feu
ou si le paquet ne provient pas d'un sous-réseau direct, le pare-feu abandonne le paquet.
Filtre MAC : si le paquet ne spécifie pas d'adresse MAC répertoriée comme adresse MAC approuvée, le pare-feu abandonne
le paquet.
Note: Pour sélectionner le filtre MAC, vous devez ajouter au moins une adresse MAC de confiance.
Filtre de paire IP–MAC : Une paire IP–MAC est une adresse MAC de confiance qui est liée à une adresse IP. Pour qu'une
correspondance se produise, les adresses IP et MAC d'un paquet entrant doivent correspondre à une paire IP-MAC. Si
l'adresse IP ou MAC ne correspond à aucune paire, le pare-feu abandonne le paquet.
Web
 Comment faire ?
 Générer, appliquer et installer l'autorité de certification de signature

 Configurer l'inspection et le déchiffrement SSL/TLS
 Améliorez la protection Web
 Personnaliser la protection Web
 Contrôler l'accès aux sites Web
 Bloquer du contenu à l'aide d'une liste de termes
Web
 Stratégies
Avec les politiques Web, vous pouvez créer des règles pour contrôler les activités de navigation Web des
utilisateurs finaux.
Les stratégies prennent effet lorsque vous les ajoutez aux règles de pare-feu. L'ensemble de stratégies par défaut
spécifie certaines restrictions courantes. Vous pouvez modifier l'une des politiques par défaut pour l'adapter à vos
besoins ou créer de nouvelles politiques.
Pour modifier une politique, recherchez la politique que vous souhaitez modifier et cliquez sur le bouton Modifier.
Pour tester et dépanner les stratégies, cliquez sur Testeur de stratégie.
Web
 Stratégies
 Règles de politique
Les règles spécifient les critères suivants :
 Utilisateurs auxquels la règle s'applique.
Note: Les utilisateurs spécifiés par les règles de pare-feu ont priorité sur ceux spécifiés par les politiques.
 Activités décrivant le type d'utilisation à restreindre. Ceux-ci incluent les activités des utilisateurs, les catégories, les
groupes d'URL, les types de fichiers et les catégories dynamiques.
 Filtres de contenu pour restreindre le contenu Web qui contient des termes dans les listes spécifiées.
 Une action à entreprendre lorsque le pare-feu rencontre du trafic HTTP qui correspond aux critères de la règle.
Vous pouvez également spécifier une action distincte pour le trafic HTTPS et définir une planification pour la règle.
Web
 Stratégies
 Règles de politique
Note: Pour qu'une règle soit efficace, assurez-vous qu'elle est activée.
 Pour activer une règle, cliquez sur le statut .

 Pour ajouter une règle à une stratégie, cliquez sur le bouton Ajouter.
 Pour cloner une règle, cliquez sur le bouton Cloner.
 Pour positionner des règles dans une stratégie, cliquez sur le bouton Poignée de règle et faites-le glisser.
Web
 Positionnement des règles
Le pare-feu évalue les règles de la plus élevée à la plus faible. Par exemple, si une règle qui autorise tout le trafic précède
une règle qui bloque un type de trafic spécifique, la règle qui autorise tout le trafic est la règle effective.
Voici un exemple :
La stratégie suivante inclut une règle distincte pour les fichiers .mdb. Étant donné que la règle est positionnée au-dessus de
la règle pour les fichiers de base de données, qui inclut le type de fichier .mdb, la stratégie autorise l'accès aux fichiers .mdb
et bloque tous les autres fichiers de base de données.
Web
 Positionnement des règles
Le pare-feu évalue les règles de la plus élevée à la plus faible. Par exemple, si une règle qui autorise tout le trafic précède
une règle qui bloque un type de trafic spécifique, la règle qui autorise tout le trafic est la règle effective.
Voici un exemple :
La stratégie suivante inclut une règle distincte pour les fichiers .mdb. Étant donné que la règle est positionnée au-dessus de
la règle pour les fichiers de base de données, qui inclut le type de fichier .mdb, la stratégie autorise l'accès aux fichiers .mdb
et bloque tous les autres fichiers de base de données.
Web
 Quota de stratégie
À l'aide du quota de temps, vous pouvez autoriser l'accès à des sites Web restreints pendant une période limitée. Cela
s'applique à toutes les catégories Web restreintes dans la stratégie avec une action de quota. Le quota de temps s'applique à
toutes les règles de la stratégie Web. Les utilisateurs peuvent avoir des quotas individuels pour chaque stratégie Web.
Lorsque vous modifiez le quota, les modifications ne sont pas appliquées si la stratégie Web n'est pas valide, si l'utilisateur
n'a plus de quota de temps ou si une session de quota est active dans la stratégie Web.
 Détails des quotas :
Lorsque le trafic du quota correspond à une règle d'inspection SSL/TLS dont l'action est définie sur Refuser, le quota ne
prend pas effet et le site Web continue d'être bloqué. Pour éviter cela, accédez à Web > Exceptions et créez une exception
pour ignorer le déchiffrement HTTPS pour les critères correspondants.
Pour voir le quota restant et le réinitialiser, accédez à Web > État du quota de stratégie.
Pour personnaliser la page de notification de quota, accédez à Web > Notifications utilisateur.
Web
• Remplacements de stratégie et quota de temps : au lieu d'utiliser leur quota, les utilisateurs autorisés à remplacer les
stratégies Web peuvent se connecter au portail utilisateur et s'accorder un accès temporaire aux sites Web qu'une
stratégie Web bloquerait normalement. Lorsqu'ils utilisent le remplacement de la politique, le quota ne s'applique pas.
• Action de l'utilisateur : lorsque les utilisateurs tentent d'accéder à une page restreinte par un quota de temps, une page de
blocage de quota s'affiche. Ils peuvent spécifier le quota qu'ils souhaitent utiliser et sélectionner Continuer. S'ils ne
souhaitent pas utiliser leur quota, ils doivent sélectionner Retourner à la page précédente. La page de blocage
réapparaît à la fin de la période. Lorsque les utilisateurs dépassent leur quota, un message s'affiche indiquant qu'il ne
reste plus de quota de temps.
Web
 État du quota de stratégie
Vous pouvez voir le quota de temps restant pour les utilisateurs individuels dans des politiques Web spécifiques sur une
période de 24 heures.
Le quota de temps s'applique aux catégories Web avec une action de quota dans une stratégie Web.
Pour réinitialiser le quota de temps des utilisateurs, sélectionnez les utilisateurs et sélectionnez Réinitialiser.
Web
 Activités de l'utilisateur
Les activités des utilisateurs combinent des catégories Web, des types de fichiers et des groupes d'URL dans un conteneur.
Vous pouvez inclure les activités des utilisateurs dans les stratégies pour contrôler l'accès aux sites Web ou aux fichiers qui
correspondent à l'un des critères spécifiés.
• Pour modifier une activité utilisateur, cliquez sur le bouton Modifier.
• Pour cloner une activité utilisateur, cliquez sur le bouton Modifier.
 Combinaison de catégories et de groupes d'URL dans une activité utilisateur

L'activité utilisateur suivante combine la catégorie Web des logiciels espions et malveillants avec un groupe d'URL connues
pour être dangereuses.
Web
 Activités de l'utilisateur
 Combinaison de catégories et de groupes d'URL dans une activité utilisateur

L'activité de l'utilisateur est ajoutée à la stratégie par défaut. Si le trafic correspond à la catégorie de logiciels espions et
malveillants ou à l'une des URL spécifiées, l'activité de l'utilisateur s'applique et le trafic est bloqué.
Web
 Catégories
Avec les catégories Web, vous pouvez organiser et classer les domaines et les mots-clés dans un conteneur. Vous pouvez
utiliser des catégories dans les stratégies pour contrôler l'accès aux sites Web.
Pour modifier une catégorie, cliquez sur le bouton Modifier.
Au sein d'une catégorie, vous pouvez créer une liste de domaines et de mots-clés spécifiques à votre organisation ou
importer une base de données. Celles-ci incluent des listes de blocage spécifiques à un pays et des listes de catégorisation
open source. Sophos Firewall vérifie les mises à jour toutes les deux heures.
Pour les pages Web classées comme activités criminelles hautement répréhensibles, Sophos Firewall agit comme suit :
 Bloquer toujours ces pages Web. Il ne mettra en œuvre aucune politique ou exclusion autorisant ces pages.
 Masquer le nom de domaine dans les journaux et les rapports.
Web
 Catégories
Classification : Catégorisation qui vous permet de filtrer et de gérer les catégories.
Politique de mise en forme du trafic : politique qui détermine les limites d'utilisation et la bande passante allouée pour le trafic de
chargement et de téléchargement.
• Descriptions des catégories Web

La plupart des catégories sont fixes et basées sur une recherche d'URL. Cependant, il existe quatre catégories dynamiques. Ces
catégories sont attribuées en fonction de l'inspection du contenu effectuée sur le pare-feu Sophos. Les catégories dynamiques sont
les suivantes :
ActiveX
Applets
Cookies
Téléchargement HTTP
Web
 Groupes d'URL
Les groupes d'URL contiennent un ou plusieurs domaines que vous pouvez utiliser dans les stratégies Web pour contrôler
l'accès aux sites Web.
Pour modifier un groupe d'URL, cliquez sur le bouton Modifier.
La règle d'exclusion SSL/TLS par défaut exclut ces groupes du déchiffrement TLS :Liste d'exclusion TLS locale : vous
pouvez ajouter des URL à cette liste.
Liste d'exclusion TLS gérée : domaines connus pour être incompatibles avec le déchiffrement TLS. Les mises à jour du
firmware peuvent mettre à jour cette liste.
Note: Vous pouvez avoir un maximum de 128 URL dans un groupe d'URL.
Web
 Exceptions
Sauf exception, vous pouvez remplacer les paramètres de protection pour tout le trafic Web qui correspond aux critères
spécifiés, quelles que soient les stratégies ou règles en vigueur.
Par exemple, vous pouvez créer une exception pour ignorer le déchiffrement HTTPS pour les sites contenant des données
confidentielles. L'ensemble d'exceptions par défaut permet les mises à jour logicielles et d'autres fonctions importantes pour
les sites Web bien connus sans être affectés par le filtrage Web.
Les comportements que vous pouvez remplacer incluent la vérification par la protection Zero-day. Les exceptions (y
compris celles créées dans les versions précédentes) qui ignorent l'analyse des logiciels malveillants ignorent également
l'analyse de la protection Zero-day.
Note: Pour qu'une exception soit effective, elle doit être activée.
Web
 Exceptions
Sauf exception, vous pouvez remplacer les paramètres de protection pour tout le trafic Web qui correspond aux critères
spécifiés, quelles que soient les stratégies ou règles en vigueur.
Par exemple, vous pouvez créer une exception pour ignorer le déchiffrement HTTPS pour les sites contenant des données
confidentielles. L'ensemble d'exceptions par défaut permet les mises à jour logicielles et d'autres fonctions importantes pour
les sites Web bien connus sans être affectés par le filtrage Web.
Les comportements que vous pouvez remplacer incluent la vérification par la protection Zero-day. Les exceptions (y
compris celles créées dans les versions précédentes) qui ignorent l'analyse des logiciels malveillants ignorent également
l'analyse de la protection Zero-day.
Note: Pour qu'une exception soit effective, elle doit être activée.
Web
 Réglages généraux
Le pare-feu analyse le trafic HTTP(S) et FTP à la recherche de menaces telles que spécifiées par vos règles de pare-feu et
d'une utilisation Web inappropriée lorsqu'une stratégie Web est sélectionnée pour une règle. Ces paramètres s'appliquent
uniquement au trafic qui correspond aux règles de pare-feu avec ces options définies. Vous pouvez spécifier le type
d'analyse, la taille maximale du fichier à analyser et des vérifications supplémentaires. Vous pouvez également créer des
dérogations de stratégie pour permettre aux utilisateurs finaux d'accéder à des sites Web autrement bloqués.
 Analyse des logiciels malveillants et du contenu

Configurez les restrictions générales pour l'analyse et la restriction du trafic par type et protocole. Pour activer l'analyse des
logiciels malveillants et du contenu, sélectionnez Analyser HTTP et HTTPS déchiffré dans la règle de pare-feu. Pour
déchiffrer HTTPS et l'analyser à la recherche de logiciels malveillants, vous devez sélectionner des paramètres spécifiques
en fonction de votre
Web
 Analyse des logiciels malveillants et du contenu

Mode proxy Web : vous devez sélectionner Utiliser le proxy Web au lieu du moteur DPI et Déchiffrer HTTPS lors du
filtrage du proxy Web dans la règle de pare-feu.
Mode moteur DPI : vous devez définir Action sur Déchiffrer dans Règles et politiques > Règles d'inspection SSL/TLS.
 Sélection du moteur d'analyse : Moteur d'analyse à utiliser sur tout le trafic.

Moteur unique : analyse le trafic à l'aide du moteur antivirus principal (par défaut, Sophos). Cette sélection offre des
performances optimales.
Double moteur : analyse le trafic à l'aide des deux moteurs, d'abord par le moteur principal, puis par le secondaire. Cette
sélection offre un taux de reconnaissance et une sécurité maximum, mais peut affecter les performances.
Note: Si vous utilisez la protection Zero-day, définissez le moteur d'analyse unique sur Sophos ou sélectionnez l'analyse à
double moteur.
Web
 Déchiffrement et analyse HTTPS

Autorité de certification (CA) d'analyse HTTPS : Autorité de certification pour sécuriser les connexions HTTPS analysées.
Ceci est utilisé uniquement par le proxy Web. Pour configurer l'autorité de certification utilisée par le moteur DPI, utilisez
les profils de déchiffrement ou les paramètres d'inspection SSL/TLS.
Conseil: Pour télécharger le certificat CA sélectionné, cliquez sur le bouton de téléchargement à côté de la liste déroulante.
Bloquer les protocoles SSL non reconnus : empêche le trafic qui évite l'analyse HTTPS en utilisant des protocoles SSL
non valides.
Bloquer les certificats invalides : se connecte uniquement aux sites avec un certificat valide. Le paramètre s'applique
uniquement au proxy Web. Pour configurer les paramètres de validation de certificat pour le moteur DPI, utilisez les profils
de déchiffrement.
Web
 Déchiffrement et analyse HTTPS
Pour désactiver la validation des certificats pour des sites Web, des catégories Web ou des adresses IP source et de
destination spécifiques, accédez à Web > Exceptions.
Pour les erreurs et les actions de politique de blocage/avertissement sur les connexions HTTPS lorsque Déchiffrer et
analyser est désactivé : lorsqu'une requête HTTPS entraîne une action de politique de blocage ou d'avertissement où
Déchiffrer et analyser HTTPS est désactivé, vous pouvez soit afficher une notification à l'utilisateur, soit interrompre la
connexion sans notification à l'utilisateur.
Note: Les navigateurs peuvent afficher des avertissements de certificat si l'autorité de certification HTTPS n'est pas
installée.
Web
 Remplacements de politique
Les remplacements de stratégie permettent aux utilisateurs autorisés de s'accorder un accès temporaire à des sites Web qui
seraient normalement bloqués par une stratégie Web. Les utilisateurs autorisés créent des dérogations de stratégie dans le
portail utilisateur, en spécifiant des sites Web et des catégories, une plage horaire et des codes d'accès. Lorsqu'un utilisateur
visite un site pour lequel un remplacement est spécifié, la page de blocage contiendra un champ supplémentaire permettant à
l'utilisateur d'entrer un code d'accès.
 Pour afficher et gérer les remplacements actuellement spécifiés, sélectionnez Afficher les remplacements. Ces
paramètres vous permettent d'activer ou de désactiver les remplacements et de les supprimer.
Activer le remplacement de politique : Autorisez les utilisateurs autorisés à créer des remplacements de politique Web
dans le portail utilisateur.
Utilisateurs et groupes autorisés : Utilisateurs et groupes qui pourront créer et gérer des remplacements.
Web
 Remplacements de politique
Sites Web et catégories bloqués : sites Web et catégories Web qui ne peuvent jamais être contournés par les dérogations à
la politique Web.
Autoriser la saisie manuelle du code d'accès : autorisez les utilisateurs spécifiés à créer leurs propres codes d'accès dans le
portail utilisateur. Si cette option n'est pas activée, les utilisateurs doivent utiliser les codes générés.
Lorsque le trafic de remplacement de politique correspond à une règle d'inspection SSL/TLS dont l'action est définie sur
Refuser, le remplacement ne prend pas effet et le site Web est bloqué. Pour éviter cela, accédez à Web > Exceptions et
créez une exception pour ignorer le déchiffrement HTTPS pour les critères correspondants.
Web
 Autoriser l'accès aux sites Web bloqués
Le remplacement de stratégie suivant permet aux utilisateurs du groupe Enseignants d'autoriser les utilisateurs finaux à
accéder à des sites Web autrement bloqués. Cependant, lorsque la dérogation est en vigueur, les utilisateurs finaux ne
pourront pas accéder aux sites Web de la catégorie Alcool et tabac.
Web
 Mise en cache du contenu Web

Activer le cache de contenu Web : conservez une copie des sites récemment visités pour réduire la consommation de bande
passante et améliorer les performances.
Sophos Firewall ne l'applique qu'avec le proxy Web.
 Configuration du proxy Web

Le pare-feu intercepte le trafic de manière transparente et applique la protection Web (par exemple, les stratégies et l'analyse
des logiciels malveillants) lorsque le service de proxy Web est activé pour une zone réseau. Par défaut, le service est activé
pour les zones LAN et Wi-Fi. En mode transparent, le pare-feu autorise le trafic HTTP sur le port 80 et le trafic HTTPS sur
le port 443 uniquement.
Cependant, vous pouvez configurer le pare-feu pour qu'il agisse en tant que proxy pour les navigateurs Web configurés en
spécifiant un port d'écoute de proxy Web. Les utilisateurs qui se trouvent derrière le proxy doivent spécifier l'adresse et le
port LAN ou Wi-Fi dans les paramètres de configuration du proxy Web de leurs navigateurs.
Web

Spécifiez le port d'écoute du proxy Web et les ports de destination autorisés lorsque vous souhaitez que le pare-feu agisse en
tant que proxy Web pour les navigateurs Web configurés.
Note: La stratégie IPS s'applique au trafic entre le proxy et le WAN, mais pas entre l'utilisateur et le proxy.
Note: La politique de mise en forme du trafic ne s'applique pas au trafic proxy direct.
Port d'écoute du proxy Web : port sur lequel le proxy Web écoutera les demandes de connexion HTTP.
Ports de destination autorisés : le pare-feu peut recevoir des demandes de connexion à des serveurs distants à l'aide d'un port
non standard. Spécifiez les ports sur lesquels le proxy autorisera la connexion. (Ce paramètre s'applique uniquement lorsque
le port d'écoute du proxy Web est défini.)
Web
Avertissement:
Autoriser la connexion sur des ports non standard peut présenter un risque pour la sécurité.
Version TLS minimale : sélectionnez la version TLS minimale pour le proxy Web et le portail captif en même temps.
Web
 Types de fichier
Un type de fichier est une classification déterminée par l'extension de fichier ou le type MIME.
Vous pouvez inclure des types de fichiers dans les politiques Web et de messagerie pour contrôler l'accès aux fichiers. Les
types de fichiers par défaut contiennent certains critères communs. Vous pouvez créer des types de fichiers supplémentaires.
Pour modifier un type de fichier, cliquez sur le bouton Modifier.
Note:
Vous ne pouvez modifier que les types de fichiers personnalisés.
Web
 Quotas de surf
Les quotas de surf vous permettent d'allouer du temps d'accès à Internet à vos utilisateurs.
Les quotas autorisent l'accès sur une base cyclique (répétition) ou non cyclique (une seule fois). Vous pouvez ajouter des
quotas et spécifier le temps d'accès autorisé, ou utiliser les quotas par défaut. Pour modifier un quota de surf, cliquez sur le
bouton Modifier Modifier.
Note: Lorsque plusieurs quotas s'appliquent à un utilisateur, le pare-feu restreint l'accès en fonction de la première stratégie
qui atteint sa limite.
Le quota suivant donne un accès illimité pendant une semaine sur une base unique.
Web
 Notifications utilisateur
Le pare-feu affiche une notification aux utilisateurs lorsqu'une stratégie Web est définie pour bloquer l'accès ou avertir avant
de se connecter.
 Pour spécifier une image à afficher sur les pages de notification, cochez la case Utiliser des images personnalisées et
choisissez des images.
 Pour créer une notification de blocage, sélectionnez l'une des instances suivantes et saisissez un message.
 Utiliser un message de blocage personnalisé
 Utiliser le message de remplacement personnalisé
 Utiliser le message de quota personnalisé
 Pour créer une notification d'avertissement, cochez la case Utiliser un message d'avertissement personnalisé et saisissez un
message.
 Pour afficher un message dans votre navigateur, cliquez sur un lien d'aperçu.
Web
 Filtres de contenu
Un filtre de contenu est une liste nommée de termes. Vous pouvez utiliser des filtres de contenu dans les stratégies pour
restreindre l'accès aux sites Web contenant l'un des termes répertoriés. L'ensemble de filtres par défaut comprend des termes qui
sont bloqués par de nombreuses organisations.
 Pour créer un filtre, cliquez sur Ajouter un filtre de contenu, saisissez un nom et sélectionnez un fichier texte brut (.txt).
Pour le fichier texte, respectez les exigences suivantes :
 Écrivez chaque terme sur une ligne distincte. Le pare-feu évalue le fichier ligne par ligne. Pour qu'une correspondance se
produise, la ligne doit être une correspondance exacte.
 Les métadonnées, les commentaires et la mise en forme des colonnes ne sont pas pris en charge.
 Les listes de mots contenant des caractères en dehors du jeu de caractères ASCII doivent être enregistrées à l'aide du codage
UTF-8.
 La longueur maximale du fichier est de 2000 lignes.
 La longueur de ligne maximale est de 80 caractères, y compris les espaces et la ponctuation.
Web
La protection Web protège votre entreprise contre les attaques résultant de la navigation sur le Web et vous aide à
augmenter votre productivité. Vous pouvez définir des restrictions de navigation avec des catégories, des groupes
d'URL et des types de fichiers.
En ajoutant ces restrictions aux politiques, vous pouvez bloquer des sites Web ou afficher un message
d'avertissement aux utilisateurs. Par exemple, vous pouvez bloquer l'accès aux sites de réseaux sociaux et aux
fichiers exécutables.
Les paramètres généraux vous permettent de spécifier les moteurs d'analyse et d'autres types de protection. Les
exceptions vous permettent de remplacer la protection selon les besoins de votre entreprise.
Applications
La protection des applications permet de protéger votre organisation contre les attaques et les logiciels malveillants
résultant des exploits du trafic des applications.
Vous pouvez également appliquer des restrictions de bande passante et restreindre le trafic des applications qui
réduisent la productivité. Les filtres d'application vous permettent de contrôler le trafic par catégorie ou sur une
base individuelle. Avec le contrôle synchronisé des applications, vous pouvez limiter le trafic sur les terminaux
administrés avec Sophos Central.
La gestion du trafic des applications cloud est également prise en charge.

Applications
 Comment faire ?
 Bloquer les applications à l'aide du filtre d'application

 Bloquer les transferts de fichiers basés sur un navigateur
 Bloquer les applications de stockage en ligne et les sites Web
Applications
 Filtre d'applications
Avec les politiques de filtrage des applications, vous pouvez contrôler l'accès aux applications pour les utilisateurs
derrière le pare-feu.
Les stratégies spécifient l'accès aux catégories d'applications ou aux applications individuelles à l'aide de règles.
L'ensemble de stratégies par défaut inclut certaines restrictions couramment utilisées. Vous pouvez également créer
des stratégies personnalisées en fonction des exigences de votre organisation.
Dans les stratégies de filtrage des applications, le proxy Web détecte les applications qui utilisent HTTPS.
Pour ajouter une politique de filtrage d'application, cliquez sur Ajouter. Lorsque vous ajoutez une politique, vous
pouvez sélectionner n'importe quelle politique comme modèle. Ensuite, après avoir enregistré la stratégie, vous
pouvez ajouter ou modifier des règles.
Pour modifier une politique, recherchez la politique que vous souhaitez modifier et cliquez sur le bouton Modifier
Applications
 Contrôle d'application synchronisé

Synchronized Application Control surveille toutes les applications sur les terminaux connectés via Security
Heartbeat.
Vous pouvez voir les applications nouvellement détectées, masquer les applications connues, trier les applications
en catégories et contrôler leur trafic via des filtres d'application. Synchronized Application Control prend en charge
jusqu'à 10 000 applications.
Note
Si vous utilisez Synchronized Application Control pour la première fois, vous devez l'activer depuis Sophos
Central.
Applications

 Catégories et libellés d'applications
Sophos Firewall est livré avec un ensemble de catégories par défaut qui comprend les applications les plus courantes.
Lorsque Sophos Firewall détecte une application connue, il la catégorise en conséquence. Les applications inconnues
détectées obtiennent la catégorie Découverte SyncAppCtl ou Internet général. Vous pouvez renommer et personnaliser
ces applications. Attribuez des applications à des filtres d'applications pour contrôler leur trafic.
Développez la vue de l'application pour voir tous les emplacements sur tous les ordinateurs d'extrémité où Sophos
Firewall a détecté l'application.
Les applications ont les libellés suivants, que vous pouvez voir dans la colonne Gérer :
 Nouveau : applications nouvellement détectées inconnues de Sophos Firewall.
 Mappé : applications détectées qui ont été mappées automatiquement à une catégorie d'applications.
 Personnalisé : applications qui ont été mappées manuellement.
Applications

 Gestion des candidatures
Reconnaître : Reconnaître les nouvelles applications pour indiquer que vous les avez vues et que vous ne souhaitez pas
modifier leurs attributs. Cette option est utile pour les applications que vous ne souhaitez pas personnaliser et que vous ne
souhaitez plus que Sophos Firewall marque comme Nouveau. Leur nouvelle étiquette sera également personnalisée.
Personnaliser : Personnalisez (ou modifiez) le nom de l'application et sa catégorie. Ensuite, l'étiquette de l'application
sera personnalisée. Vous pouvez toujours modifier ces attributs. Pour personnaliser une application, cliquez sur le bouton
Plus d'options Plus d'options dans la colonne Gérer et sélectionnez Personnaliser.
Cacher/Montrer : Cachez les applications que vous ne voulez plus voir. Vous ne pouvez alors les voir que lorsque vous
sélectionnez Applications cachées. Pour les revoir sur d'autres vues, cliquez sur Afficher.
Applications
 Gestion des candidatures

Supprimer : la suppression d'applications les supprimera également des filtres d'applications. Si Sophos Firewall détecte
à nouveau une application supprimée sur un ordinateur d'extrémité, l'application réapparaît dans la liste des applications.
 Recherche d'applications
Vous pouvez rechercher des applications par nom d'application, chemin, catégorie ou endpoints. Pour contrôler l'étendue
de la recherche, sélectionnez une option dans la liste. Exemple : applications système.
Applications
 Personnaliser une application découverte

Vous pouvez modifier le nom ou la catégorie d'une application découverte sur un ordinateur d'extrémité administré par
Sophos Central.
1. Accédez à Applications > Contrôle des applications synchronisées.

2. Recherchez l'application que vous souhaitez modifier et cliquez sur Personnaliser.
3. Tapez un nom pour l'application.
4. Sélectionnez une catégorie pour l'application.
5. Cliquez sur Appliquer.
Applications
 Applications infonuagiques
En analysant le trafic des applications cloud, vous pouvez atténuer les risques posés par l'utilisation des applications
cloud. Les options vous permettent de classer le trafic et d'appliquer une politique de mise en forme du trafic.
Utilisez les filtres pour affiner les résultats de la recherche par date, classification, catégorie et octets transférés. Par
exemple, vous pouvez filtrer le trafic pour n'afficher que le trafic non autorisé sur les réseaux sociaux pendant une période
spécifiée.
Note: Les résultats incluent uniquement le trafic autorisé et les applications qui ont du trafic. Vérifiez les paramètres de
votre application bloquée.
Applications
 Applications cloud
Note: Le pare-feu Sophos affiche le nombre de chargements et de téléchargements et les informations sur le type de
fichier uniquement pour le trafic où le déchiffrement HTTPS est activé. Certaines applications utilisent des méthodes non
standard pour envoyer ou recevoir des téléchargements de fichiers, ce qui fait que ces points de données sont vides ou
semblent inexacts.
 Pour afficher les détails du trafic, cliquez sur le bouton Développer.
Par défaut, tout le trafic d'application est classé comme nouveau.
 Pour appliquer une classification différente, cliquez sur Classer, sélectionnez une classification, puis cliquez sur
Appliquer.
Note: La nouvelle classification s'appliquera uniquement au nouveau trafic de l'application.
Pour contrôler l'utilisation de la bande passante par les applications cloud, vous pouvez appliquer une politique de gestion
du trafic. Par exemple, vous souhaiterez peut-être limiter le trafic de streaming vidéo,
Applications
 Applications cloud
 Paramètres recommandés
Pour optimiser l'efficacité des rapports sur le trafic cloud, utilisez les paramètres de règle de pare-feu suivants :Pour un
rapport de base sur les octets consommés (octets entrants et sortants), activez Consigner le trafic du pare-feu.
Pour plus de précision et de détails, activez Déchiffrer et analyser HTTPS et définissez une politique Web autre que
"Aucune".
Applications
 Liste des applications

La liste des applications contient de nombreuses applications couramment utilisées.
Les nouvelles applications sont automatiquement ajoutées aux filtres d'application et aux règles de pare-feu lorsque la
base de données des signatures d'application est mise à jour. Par exemple, supposons qu'une nouvelle signature soit
ajoutée pour une application à haut risque et qu'il existe déjà un filtre d'application qui bloque toutes les applications à
haut risque. Dans ce cas, la nouvelle application sera bloquée.
Pour filtrer les applications, cliquez sur le bouton Filtrer le filtre à côté du type de filtre. Pour tous les types de filtres, à
l'exception de Nom, choisissez une option dans le menu déroulant.
Pour Nom, saisissez le nom de l'application et choisissez une option dans le menu déroulant. Les options sont les
suivantes :
Contient, est, n'est pas, ne contient pas,
Applications
 Gestion du trafic par défaut
Vous pouvez implémenter des restrictions de bande passante à l'aide de stratégies de mise en forme du trafic. Vous pouvez
appliquer des politiques de mise en forme du trafic par défaut à des catégories ou à des applications individuelles.
Pour afficher ou modifier la politique de mise en forme du trafic associée à une catégorie, cliquez sur le bouton Modifier.
Pour afficher les applications d'une catégorie, cliquez sur le bouton Développer. Pour afficher ou modifier la stratégie
associée à une application, cliquez sur le bouton Modifier.
Applications
 Objet d'application
Un objet d'application est utilisé avec une route de stratégie SD-WAN permettant un contrôle facile de la façon dont le
trafic de l'application est acheminé sur le réseau.
Un objet application est composé d'une ou plusieurs applications pour lesquelles le trafic doit être acheminé ensemble.
Par exemple, vous pouvez utiliser plus d'une application VoIP mais souhaitez que tout le trafic de ces applications soit
acheminé ensemble.
Les applications disponibles sont mises à jour dynamiquement via les mises à jour IPS lorsqu'elles sont ajoutées par
Sophos ou via la découverte SSC lorsqu'elles sont ajoutées manuellement.
Réseau sans fil
La protection sans fil vous permet de définir des réseaux sans fil et d'en contrôler l'accès.
Le pare-feu prend en charge les derniers niveaux de sécurité et de cryptage, y compris l'analyse des points d'accès
non autorisés et WPA2 (Wi-Fi Protected Access 2). WPA2 est une norme de sécurité basée sur AES (Advanced
Encryption Standard) pour les réseaux sans fil.
La protection sans fil vous permet de configurer et de gérer les points d'accès, les réseaux sans fil et les clients.
Vous pouvez également ajouter et gérer des réseaux maillés et des points d'accès.
Réseau sans fil
 Comment faire ?
Configurer un réseau sans fil

Créer un point d'accès avec une page de connexion personnalisée
Créer un réseau maillé
Déployer un réseau sans fil en tant que pont vers un point d'accès LAN
Déployer un réseau sans fil en tant que zone distincte
Fournir un accès invité à l'aide d'un bon hotspot
Gérer les points d'accès à distance avec awetool
Réseau sans fil
 Liste des clients sans fil
La liste des clients sans fil affiche tous les clients actuellement connectés à un réseau sans fil via un point d'accès.
Vous pouvez afficher les clients par point d'accès ou SSID.
Les caractéristiques de connexion telles que la force du signal et la fréquence sont également affichées.
 Réseaux sans fil
Un réseau sans fil fournit des paramètres de connexion communs pour les clients sans fil. Ces paramètres incluent
le SSID, le mode de sécurité et la méthode de gestion du trafic client.
Lorsque vous ajoutez un réseau sans fil à un point d'accès, vous définissez la méthode d'intégration du trafic sur le
réseau sans fil dans votre réseau local.
Réseau sans fil
 Zone séparée
Le réseau sans fil est traité comme un réseau séparé avec la plage d'adresses IP spécifiée. Utilisez cette option pour
configurer les règles de pare-feu pour les SSID spécifiés. Tout le trafic provenant d'un réseau de zone distinct est
envoyé à Sophos Firewall à l'aide du protocole Virtual Extensible LAN (VXLAN). VXLAN est un tunnel virtuel
qui encapsule des trames Ethernet de couche 2 dans des paquets IP de couche 3.L'encapsulation réduit la taille de
MTU disponible. Un MTU inférieur entraîne une fragmentation plus élevée et peut parfois ralentir le trafic. Pour
éviter ce problème, vous pouvez effectuer l'une des opérations suivantes :Utilisez Bridge to AP LAN ou Bridge to
VLAN.
Si vous devez utiliser une zone distincte, réduisez la valeur MTU sur les terminaux des utilisateurs.
Réseau sans fil
 Pont vers le LAN des AP

Le réseau sans fil est relié au réseau du point d'accès sélectionné. Les clients partagent la plage d'adresses IP du
point d'accès.
 Pont vers VLAN

Le réseau sans fil est relié à un VLAN. Utilisez cette méthode lorsque vous souhaitez que les points d'accès se
trouvent dans un réseau commun distinct des clients sans fil.
Réseau sans fil
 Pont vers le LAN des AP

Le réseau sans fil est relié au réseau du point d'accès sélectionné. Les clients partagent la plage d'adresses IP du
point d'accès.
 Pont vers VLAN

Le réseau sans fil est relié à un VLAN. Utilisez cette méthode lorsque vous souhaitez que les points d'accès se
trouvent dans un réseau commun distinct des clients sans fil.
Réseau sans fil

Trafic clients: Méthode pour intégrer le trafic sur le réseau sans fil dans votre réseau local.
Chiffrement: Algorithme de chiffrement à utiliser pour le trafic réseau. Nous vous recommandons d'utiliser AES.
Accès basé sur le temps: Autoriser l'accès au réseau sans fil selon le calendrier spécifié.
Isolement des clients: Empêchez le trafic entre les clients sans fil qui se connectent au même SSID sur la même
radio. Vous utilisez généralement ce paramètre sur les réseaux invités.
Masquer le SSID: Ne pas afficher le SSID du réseau sans fil.
Transition rapide: Forcez les réseaux sans fil à utiliser la norme IEEE 802.11r.
Filtrage MAC: Autoriser ou empêcher les clients de se connecter au réseau sans fil en fonction de leurs adresses
MAC.
Réseau sans fil

Trafic clients: Méthode pour intégrer le trafic sur le réseau sans fil dans votre réseau local.
Chiffrement: Algorithme de chiffrement à utiliser pour le trafic réseau. Nous vous recommandons d'utiliser AES.
Accès basé sur le temps: Autoriser l'accès au réseau sans fil selon le calendrier spécifié.
Isolement des clients: Empêchez le trafic entre les clients sans fil qui se connectent au même SSID sur la même
radio. Vous utilisez généralement ce paramètre sur les réseaux invités.
Masquer le SSID: Ne pas afficher le SSID du réseau sans fil.
Transition rapide: Forcez les réseaux sans fil à utiliser la norme IEEE 802.11r.
Filtrage MAC: Autoriser ou empêcher les clients de se connecter au réseau sans fil en fonction de leurs adresses
MAC.
Réseau sans fil
 Points d'accès
Les points d'accès Sophos, les appareils Wi-Fi intégrés et les appliances Wi-Fi RED permettent aux utilisateurs de se
connecter à votre réseau Wi-Fi.
Vous pouvez également utiliser le module d'extension Wi-Fi avec certains modèles Sophos Firewall et SD-RED.
Note: Sophos Firewall utilise le port 2712 pour gérer les points d'accès.
Les points d'accès obtiennent la configuration du pare-feu via une communication cryptée AES.
Utilisez les paramètres suivants pour gérer les points d'accès Sophos :
Pour autoriser un point d'accès à se connecter à votre réseau, sélectionnez un point d'accès et cliquez sur Accepter.
Pour supprimer un point d'accès après qu'il a été supprimé de votre réseau, sélectionnez un point d'accès et cliquez sur
Supprimer.
Pour redémarrer un point d'accès, sélectionnez un point d'accès et cliquez sur Redémarrer.
Réseau sans fil
 Points d'accès
 Types de points d'accès et modules Wi-Fi
Sophos Firewall prend en charge les types de points d'accès et de modules d'extension suivants :
 Points d'accès intérieurs, tels que les séries APX et AP.
 Points d'accès extérieurs, tels que AP 100X et APX 320X.Appareils sans fil RED, tels que RED 15w.
 Pare-feu intégrés avec Wi-Fi intégré, tels que XG 135w et XGS 107w.
 Module d'extension Wi-Fi : vous pouvez utiliser ce module optionnel avec certaines appliances Sophos Firewall et SD-
RED.
Réseau sans fil
 Points d'accès
 Ajouter un réseau sans fil à un point d'accès
Vous pouvez ajouter jusqu'à huit réseaux sans fil à un seul point d'accès. Faites comme suit :
Accédez à Sans fil > Points d'accès.
Cliquez sur le nom du point d'accès auquel vous souhaitez ajouter le réseau sans fil.
Dans Réseaux sans fil, cliquez sur Ajouter un nouvel élément.
Sélectionnez jusqu'à huit réseaux et cliquez sur Appliquer.
Cliquez sur Enregistrer.
Réseau sans fil
 Groupes de points d'accès
Avec les groupes de points d'accès, vous pouvez attribuer des réseaux sans fil et spécifier le balisage VLAN à un groupe de
points d'accès. Les groupes offrent une méthode pratique de gestion des réseaux sans fil pour plusieurs points d'accès, plutôt
qu'individuellement.
Note: Si vous désactivez un groupe, tous les points d'accès inclus cesseront de diffuser les réseaux sans fil.
Réseaux sans fil : réseaux sans fil à inclure dans le groupe. Tous les réseaux seront affectés aux points d'accès que vous
spécifiez.
Balisage VLAN : Connectez les points d'accès avec l'interface Ethernet VLAN spécifiée.
Points d'accès : points d'accès auxquels les réseaux sans fil spécifiés seront affectés.
Email
Gérez le routage des e-mails et protégez les domaines et les serveurs de messagerie. Vous pouvez configurer des
politiques SMTP/S, POP/S et IMAP/S avec des contrôles de spam et de logiciels malveillants, la protection des
données et le chiffrement des e-mails.
Mode de déploiement SMTP

Vous pouvez configurer Sophos Firewall dans les modes suivants :
 Mode MTA : agit comme un agent de transfert de courrier (MTA) qui achemine et relaie les e-mails. Vous
pouvez voir le spouleur de courrier et les journaux de courrier.
Sophos Firewall autorise le trafic des e-mails mais ne fournit pas de protection des e-mails sans un abonnement
valide à Email Protection.
 Mode hérité : agit comme un proxy de messagerie transparent qui transfère les e-mails.
Email
 Comment faire ?
Configurer la protection du serveur de messagerie hébergé dans le cloud
Configurer la protection des e-mails en mode MTA
Configurer le mode MTA avec plusieurs adresses IP WAN ou alias
Configurer Microsoft Office 365 avec Sophos Firewall
Analyser le trafic SMTP entrant et sortant
Configurer l'analyse POP-IMAP
Configurer le résumé de quarantaine (mode MTA)Crypter les e-mails sortants en mode MTA
Protéger le serveur de messagerie interne en mode hérité
Activer la réputation IP
Email
 Comment faire ?
Configurer la protection du serveur de messagerie hébergé dans le cloud
Configurer la protection des e-mails en mode MTA
Configurer le mode MTA avec plusieurs adresses IP WAN ou alias
Configurer Microsoft Office 365 avec Sophos Firewall
Analyser le trafic SMTP entrant et sortant
Configurer l'analyse POP-IMAP
Configurer le résumé de quarantaine (mode MTA)Crypter les e-mails sortants en mode MTA
Protéger le serveur de messagerie interne en mode hérité
Activer la réputation IP
Email
 Politiques et exceptions
 MTA mode
Vous pouvez spécifier les paramètres de routage, de protection et de cryptage des e-mails liés aux domaines
protégés. Vous pouvez créer des exceptions à partir de vérifications pour des expéditeurs et des destinataires
spécifiques.
• Pour ajouter une politique SMTP, cliquez sur Ajouter une politique, puis sur Route et analyse SMTP.
• Pour ajouter une politique POP-IMAP, cliquez sur Ajouter une politique, puis cliquez sur Analyse POP-IMAP.
• Pour ignorer les vérifications d'expéditeurs et de destinataires spécifiques, cliquez sur Ajouter une exception et
spécifiez vos paramètres.
• Pour modifier une stratégie, cliquez sur le bouton Modifier.
Email
 MTA mode
Note:
Sophos Firewall applique automatiquement la stratégie de scan POP-IMAP par défaut (default-pop-av) au trafic
POP3/S et IMAP/S lorsque vous vous abonnez au module de protection de la messagerie.
Il supprime les pièces jointes infectées par des virus des e-mails et remplace le corps de l'e-mail par un message de
notification.
Email
 Mode hérité
Avec les politiques, vous pouvez appliquer des contrôles de spam et de logiciels malveillants ainsi qu'une
protection des fichiers et des données pour les e-mails entrants et sortants. Vous pouvez spécifier les paramètres de
quarantaine, de chiffrement et de notification.
• Pour ajouter une stratégie anti-programme malveillant SMTP, cliquez sur Ajouter une stratégie, puis cliquez sur
Analyse anti-programme malveillant SMTP.
• Pour ajouter une politique anti-spam SMTP, cliquez sur Ajouter une politique, puis cliquez sur Analyse anti-
spam SMTP.
• Pour ajouter une politique POP-IMAP, cliquez sur Ajouter une politique, puis cliquez sur Analyse POP-IMAP.
• Pour modifier une stratégie, cliquez sur le bouton Modifier.
Email
 Mode hérité
Note: En mode hérité, Sophos Firewall agit comme un proxy de messagerie transparent.
Sophos Firewall applique automatiquement les stratégies par défaut suivantes lorsque vous vous abonnez au
module de protection de la messagerie :
• Stratégie d'analyse des logiciels malveillants SMTP (default-smtp-av) sur le trafic SMTP.
• Politique d'analyse POP-IMAP (default-pop-av) vers le trafic POP3/S et IMAP/S. Il supprime les pièces jointes
infectées par des virus des e-mails et remplace le corps de l'e-mail par un message de notification.
Serveur Web
Vous pouvez protéger les serveurs Web contre les exploits de vulnérabilité de la couche 7 (application), tels que la
manipulation des cookies, des URL et des formulaires. Vous pouvez configurer les serveurs Web que vous
souhaitez protéger ainsi que les politiques de protection et d'authentification. Pour protéger les serveurs Web,
ajoutez-les ainsi que les stratégies aux règles du pare-feu d'application Web (WAF). Les paramètres généraux
s'appliquent à tous les serveurs Web protégés.
Vous pouvez créer n'importe quel nombre de règles WAF, mais seules 60 règles peuvent être actives simultanément.
Pour gérer le service WAF, accédez à Services système > Services.

Serveur Web
 Serveur Web
Définissez les serveurs à protéger. Les serveurs Web spécifient un hôte, un type et d'autres paramètres de
connexion. Vous pouvez protéger les serveurs de texte brut (HTTP) et chiffrés (HTTPS).
Ajouter un serveur Web

Vous devez créer un hôte IP ou un hôte FQDN.
1. Accédez à Serveur Web > Serveurs Web et sélectionnez Ajouter.
2. Entrez un nom.
3. Spécifiez les paramètres.
4. Cliquez sur Enregistrer.
Serveur Web
 Serveur Web
Paramètres à spécifier
 Hôte
Hôte du serveur. Vous pouvez créer ou sélectionner un hôte IP ou un hôte FQDN.
Note: Les hôtes FQDN sont compatibles avec plus de serveurs.
 Connexion persistante
Gardez la connexion entre le pare-feu et le serveur Web ouverte au lieu d'ouvrir une nouvelle connexion pour chaque requête.
Note: Vérifiez si votre serveur Web prend en charge le maintien en vie avant d'activer ce paramètre.
Serveur Web
 Serveur Web
 Port
Port de serveur. Saisissez le numéro de port sur lequel accéder au serveur Web hébergé. Les valeurs par défaut sont le port 80
pour HTTP et le port 443 pour HTTPS. Vous pouvez utiliser le même port (par exemple, 443) pour SSL VPN et WAF. Dans ce
cas, le VPN SSL fonctionne sur n'importe quelle adresse IP à l'exception de l'adresse IP (adresse hébergée) configurée pour
WAF.WAF ne peut pas partager le même port que le portail utilisateur. Le port du portail utilisateur par défaut est 443.
 Délai d’attente
Définissez une valeur de délai d'attente de connexion, c'est-à-dire le nombre de secondes pendant lesquelles le WAF attend les
données envoyées par ou envoyées au serveur Web réel. Les valeurs de 1 à 65535 secondes sont autorisées. Les données
peuvent être reçues tant que le serveur Web envoie des données avant l'expiration du délai d'attente. Une fois le délai
d'expiration expiré, le WAF envoie un message HTTP 502 aux clients. Le délai d'attente par défaut est de 300 secondes.
Serveur Web
 Serveur Web
 Désactiver l’interrogation de la connexions du backend

Ne réutilisez pas les anciennes connexions du pool de connexions et créez plutôt une nouvelle connexion au serveur principal
à chaque fois qu'il est utilisé.
Note: L'activation de ce paramètre peut entraîner une diminution des performances et est recommandée uniquement à des fins
de dépannage.
Serveur Web
 Politiques de protection
À l'aide de stratégies, vous pouvez définir une protection contre les exploits de vulnérabilité, tels que la manipulation de
cookies, d'URL et de formulaires.
Les stratégies atténuent également les menaces courantes, telles que les attaques de scripts d'application et intersites
(XSS).Sophos Firewall fournit des stratégies par défaut pour certains services Web courants, par exemple Exchange
Autodiscover.
Serveur Web
 Politiques d'authentification
À l'aide de stratégies d'authentification, vous pouvez fournir une authentification par proxy inverse de base ou basée sur un
formulaire pour vos serveurs Web. Vous pouvez également les utiliser pour contrôler l'accès aux chemins spécifiés dans les
règles de pare-feu. Le pare-feu prend en charge l'authentification HTTP de base comme décrit dans RFC 7617. Les stratégies
d'authentification spécifient une méthode d'authentification et des utilisateurs.
 Modèles d'authentification
Les modèles d'authentification définissent des formulaires HTML à utiliser dans les stratégies d'authentification basées sur des
formulaires.
Sophos Firewall fournit des modèles HTML et CSS personnalisables. Pour vous assurer que les modèles d'authentification
fonctionnent correctement, apprenez-en plus sur les variables.
Serveur Web
Vous pouvez configurer la protection HTTP lente et définir la version TLS.
 Paramètres de protection HTTP lents

Les attaques HTTP lentes sont des attaques par déni de service (DoS) dans lesquelles l'attaquant envoie lentement des
requêtes HTTP par morceaux, une à la fois, à un serveur Web. Si une requête HTTP n'est pas complète ou si le taux de
transfert est très faible, le serveur occupe ses ressources en attendant le reste des données. Lorsque le pool de connexions
simultanées du serveur atteint son maximum, cela crée un DoS.
La protection HTTP lente permet de se protéger contre les attaques HTTP lentes en définissant un délai d'attente pour les en-
têtes de requête.
Serveur Web
 Paramètres de protection HTTP lents

Limite flexible : durée minimale pour recevoir un en-tête de requête.
Limite stricte : durée maximale de réception de l'en-tête de la requête.
Taux d'extension : quantité de données, en octets, pour prolonger le délai d'attente défini par la limite souple. Chaque fois
que le taux est dépassé, la limite souple est augmentée d'une seconde.
Réseaux/hôtes ignorés : réseaux ou hôtes qui ne doivent pas être affectés par la protection HTTP lente.
Restriction:
Sophos Firewall implémente uniquement la protection pour les types d'hôtes IP IP et Réseau. Ne spécifiez pas de plage
d'adresses IP ni de liste d'adresses IP.
Serveur Web
 Paramètres de version TLS

Sélectionnez la version minimale de TLS autorisée à se connecter au WAF.
Note:
Vérifiez la prise en charge TLS de votre navigateur avant de sélectionner une version. Si vous sélectionnez TLS version
1.2, les clients tels que Microsoft Internet Explorer 8 ou version antérieure et ceux qui s'exécutent sous Windows XP ne
pourront pas se connecter au WAF.
Protection avancée
La protection avancée analyse le trafic réseau entrant et sortant (par exemple les requêtes DNS, les requêtes HTTP et les
paquets IP) à la recherche de menaces.
Il vous permet de détecter les terminaux compromis sur votre réseau et de déclencher une alerte ou de supprimer le trafic
de ces terminaux.
Pour activer la protection avancée contre les menaces, cliquez sur le bouton marche/arrêt. Lorsque vous l'allumez, vous
pouvez configurer les paramètres suivants :
Protection avancée
 Protection avancée contre les menaces (ATP)
 Politique
Sélectionnez l'action que vous souhaitez qu'ATP entreprenne lorsqu'une menace est détectée :
• Journaliser uniquement : enregistre le paquet de données mais autorise toujours le flux de données.
• Journaliser et supprimer : enregistre et supprime le paquet.
Par défaut, Journal uniquement est sélectionné.
 Exceptions réseau/hôte
Spécifiez les réseaux et les hôtes que vous souhaitez exclure de l'analyse ATP. Pour ce faire, cliquez sur Ajouter un
nouvel élément et sélectionnez le réseau ou l'hôte que vous souhaitez exclure. Si aucune définition n'existe, cliquez
sur Créer nouveau pour en ajouter une nouvelle.
Protection avancée
 Protection avancée contre les menaces (ATP)
 Exceptions aux menaces

Ajoutez les domaines de destination ou les adresses IP que vous souhaitez exclure de l'analyse ATP. Pour ajouter
une entrée, saisissez une URL ou une adresse IP dans Rechercher/Ajouter et cliquez sur le bouton
NB: Vous pouvez exposer votre réseau à de graves risques si vous excluez des sources ou des destinations.
Protection avancée
 Paramètres de sécurité avancés
 Inspecter le contenu non fiable

Inspecte le trafic provenant de sources non fiables ou le trafic allant uniquement vers des destinations non fiables.
Cette option offre les meilleures performances.
 Inspecter tout le contenu

Inspecte tout le contenu vers et depuis les sources et les destinations fiables et non fiables. Cette option offre la
meilleure sécurité mais peut avoir un impact sur les performances.
NB : La différence de performances entre Inspecter le contenu non approuvé et Inspecter tout le contenu est
minime. Cependant, il peut être important dans les environnements à fort trafic.

Formation Sophos Administrator

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Formation Sophos Administrator

Transféré par

Droits d'auteur :

Formats disponibles

FORMATION SOPHOS

ANGE MARIE TREY

 PRESENTATION DU PARE-FEU  SYSTÈME

Sophos Firewall est un dispositif de

Sophos Firewall ne protège pas

La protection est assurée via une

Il existe des fonctionnalités

Avec Sophos Firewall et SD-RED, vous

Sophos Firewall est disponible dans les formats suivants :

Sophos Firewall est disponible dans une gamme de périphériques

Pour savoir quel appareil correspond à vos besoins, contactez notre

Vous pouvez déployer l'appliance logicielle Sophos Firewall sur du matériel

NB: L'installation du logiciel du système d'exploitation Sophos Firewall

Vous devez remplir les conditions minimales suivantes pour installer

 Gestion du pare-feu Sophos

 Gestion du pare-feu Sophos

 Gestion du pare-feu Sophos

 Console d'administration Web

 Paramètres de la console d'administration Web

 Recherche de menu globale

 La clé principale de stockage sécurisé

 Administrateur par défaut

 Information sensible  Importer / Exporter

 Sauvegarde et restauration  Importer / Exporter

 Mot de passe administrateur par défaut

 Utilisateurs en direct (live users)

 Connexions en direct Pour voir les détails de la connexion

La liste affiche les détails des

Pour voir les utilisateurs distants connectés,

Pour afficher un rapport, sélectionnez un groupe dans la liste Afficher.

 Comment télécharger des rapports

Vous pouvez télécharger des rapports dans différents formats.

 Applications & Internet

• Compteur de risque d'application

 Compteur de risque d'application

• Risques et utilisation de l'application utilisateur

 Compteur de risque d'application

 Compteur de risque d'application

• Protection du serveur Web

Afficher des informations sur le trafic de messagerie sur votre réseau.

• Utilisation des e-mails

Afficher des informations sur la conformité réglementaire.

HIPAA: Rapports de sécurité requis pour se conformer à la

 Apprentissage automatique (Machine Learning)

 Téléchargements et pièces jointes

 Recherche de catégorie d'URL

 Article Comment faire?

Utilisez OTP pour vous inscrire à Sophos Central

 Présentation de la pulsation de sécurité

 Statut de battement de cœur vert

 Statut de battement de cœur jaune

 Authentification synchronisée de l'ID utilisateur

 Activer la pulsation de sécurité

 Activer la pulsation de sécurité

 Vérifier si Security Heartbeat est activé

 Présentation du contrôle des applications synchronisées

 Présentation des services de Sophos Central

 Utiliser les rapports de Sophos Central

 Utiliser la gestion Sophos Central

 Envoyer la sauvegarde de la configuration à Sophos Central

 Quota de trafic réseau

 Accès aux appareils

 Accès aux appareils