Académique Documents
Professionnel Documents
Culture Documents
ADMINISTRATOR
LE GUIDE DE L’ADMINISTRATEUR
CONFIGURATION PROTECTION
VPN d’accès distant Règles et stratégies
VPN site à site Prévention des intrusions
Réseau Web
Routage Applications
Authentification
Réseau sans fil
Email
Services système
Serveurs Web
Protection avancée
Présentation du pare-feu Sophos
Cliquez sur l'icône pour ajouter une image
Présentation du pare-
feu Sophos
Présentation du pare-
feu Sophos
Présentation du pare-
feu Sophos
Présentation du pare-
feu Sophos
Présentation du pare-
feu Sophos
Présentation du pare-
feu Sophos
Sophos Firewall fonctionne avec Sophos
Central et Intercept X en temps réel. Ainsi,
lorsque Sophos Firewall ou Intercept X
identifient une menace, ils travaillent
ensemble pour fournir une surveillance de
l'intégrité et des menaces, une protection
contre les mouvements latéraux ainsi qu'un
contrôle synchronisé des applications et un
ID utilisateur synchronisé.
Cliquez sur l'icône pour ajouter une image
Présentation du pare-
feu Sophos
Sophos Firewall peut être déployé à l'aide
de machines virtuelles préconfigurées dans
le cloud où les serveurs cloud peuvent être
sécurisés, les protégeant contre les
tentatives de piratage.
SURVEILLANCE & ANALYSE
Mise en route
Options de déploiement
Options de déploiement
Matériel
Virtuel
Vous pouvez déployer les Appliances virtuelles en tant que pare-feu de nouvelle génération.
En fournissant des fonctionnalités de sécurité complètes disponibles dans ses dispositifs de sécurité matériels, sous forme
virtualisée, ces dispositifs virtuels offrent une sécurité basée sur l'identité de couche 8 sur un seul dispositif virtuel.
Vous pouvez installer des Appliances virtuelles dans des environnements hébergés sur VMware, Hyper-V, KVM et Citrix
Hypervisor.
Vous devez remplir les conditions minimales suivantes pour installer Sophos Firewall dans un environnement virtuel :
Mise en route
Mise en route
Options de déploiement
Logiciel
Interfaces administratives
Vous pouvez administrer Sophos Firewall via les consoles de pare-feu et les solutions d'administration centralisées
suivantes :
Console d'administration Web : une application Web pour configurer, surveiller et gérer Sophos Firewall.
Accédez à la console via n'importe quel navigateur utilisant HTTPS.
https://<adresse IP LAN de Sophos Firewall>:4444
Interface de ligne de commande : la CLI vous permet de gérer et de surveiller certains composants de Sophos
Firewall, ainsi que de Diagnostic et de résoudre les problèmes. Sophos Firewall offre un accès SSH à la CLI.
Mise en route
Accès administratif
En tant qu'administrateur, vous pouvez accéder à Sophos Firewall via les services HTTPS ou SSH. Le profil de
connexion administrateur définit les interfaces administratives que vous pouvez utiliser pour accéder à Sophos
Firewall.
Sophos Firewall est livré avec un compte administrateur et quatre profils administrateur.
Mise en route
Ports de gestion
Les modèles d‘Appliances Sophos Firewall 1U et supérieurs possèdent un ou plusieurs ports de gestion. Vous
pouvez les utiliser pour accéder à la console d'administration Web et à la console CLI.
Adresse IP par défaut du port de gestion : 10.0.1.1
Mise en route
Vous pouvez utiliser la zone de recherche en haut du menu de gauche pour rechercher des éléments dans le menu
de gauche, les onglets et les en-têtes de section. Vous pouvez voir la liste des résultats de la recherche avec les
chemins.
Centre de contrôle
Le centre de contrôle fournit un instantané sur un seul écran l'état et de la santé du système de sécurité.
Le centre de contrôle apparaît dès que vous vous connectez.
Pour plus de détails sur l'administrateur par défaut, voir Administration > Accès à l'appareil et faites défiler jusqu'à
Paramètres de mot de passe administrateur par défaut.
Si vous perdez la clé principale, accédez à la CLI pour en créer une nouvelle. Vous ne pouvez pas restaurer les sauvegardes et
les exportations de configuration effectuées à l'aide de l'ancienne clé, mais toutes les nouvelles sauvegardes et exportations
utiliseront la nouvelle clé.
Avertissement: Si vous perdez la clé principale de stockage sécurisé, vous ne pouvez pas la récupérer. Assurez-vous de le
stocker dans un système de gestion de mots de passe ou dans un autre emplacement sécurisé.
NB: Vous utilisez l'option Réinitialiser la clé principale de stockage sécurisé dans l'interface de ligne de commande pour créer
une nouvelle clé principale de stockage sécurisé. Cependant, cette option n'apparaît que si vous avez créé la clé sur la console
d'administration Web.
Centre de contrôle
Actuellement, les mots de passe des utilisateurs, les Vous pouvez importer des configurations qui ont une clé
secrets des points d'accès Wi-Fi, les bons de point principale sans entrer la clé principale de stockage
d'accès et les utilisateurs SPX sont cryptés. Si vous ne sécurisé, mais vous perdrez des informations sensibles et
saisissez pas la clé principale, Sophos Firewall les configurations dépendantes.
n'importera pas ces informations ni les configurations
Vous devrez ressaisir ou recréer les informations
dépendantes.
ultérieurement.
Centre de contrôle
Vous devez saisir la clé principale de stockage sécurisé Vous pouvez importer des configurations qui ont une clé
lorsque vous restaurez une sauvegarde effectuée après principale sans entrer la clé principale de stockage
la définition de la clé principale. Si vous n'entrez pas la sécurisé, mais vous perdrez des informations sensibles et
clé principale, vous ne pouvez pas restaurer ces les configurations dépendantes.
sauvegardes.
Vous devrez ressaisir ou recréer les informations
ultérieurement.
Vous pouvez restaurer les sauvegardes effectuées avant
la définition de la clé principale sans entrer la clé
principale.
Configuration d'usine
Si vous réinitialisez la configuration d'usine, Sophos
Firewall supprime la clé principale de stockage sécurisé.
Centre de contrôle
La liste des fonctionnalités pour la prise en charge d'IPv6 dans Sophos Firewall est la suivante :
Activités en cours
Gardez une trace des utilisateurs locaux et distants actuellement connectés, des connexions IPv4, IPv6, IPSec, SSL
et sans fil actuelles.
Connexions en direct
Vous pouvez voir les détails de connexion du trafic IPv4 et IPv6 pour les applications, les noms d'utilisateur et les
adresses IP source.
Vous pouvez voir le transfert de données, la bande passante consommée, le nombre de connexions et d'autres
détails du trafic.
Pour actualiser automatiquement les détails de connexion, sélectionnez l'Intervalle d'actualisation automatique
dans la liste.
Pour actualiser manuellement, cliquez sur Actualiser.
Activités en cours
Connexions en direct
Connexions IPSec
Vous pouvez voir une liste des connexions IPSec établies. Vous pouvez filtrer la liste en fonction du nom de la connexion,
du nom du serveur local, du sous-réseau local, du nom d'utilisateur, du serveur/hôte distant ou du sous-réseau distant.
Vous pouvez effectuer les actions suivantes sur une connexion IPSec :
Pour voir une connexion IPSec, accédez à Activités en cours > Connexions IPSec.
Pour déconnecter une connexion IPSec, cliquez sur Déconnecter.
Pour mettre à jour une connexion IPSec, cliquez sur Actualiser.
Activités en cours
Connexions en direct
Utilisateurs distants
Rapports
Les rapports vous aident à analyser le trafic et les menaces et à vous conformer à la réglementation.
Par exemple, vous pouvez afficher un rapport qui inclut toutes les activités de protection du serveur Web effectuées
par le pare-feu, telles que les demandes de serveur Web bloquées et les virus identifiés.
Pour générer des données de rapport, sélectionnez Consigner le trafic du pare-feu dans chaque règle de pare-feu.
Utilisez des rapports pour identifier les menaces, gérer l'utilisation et renforcer la sécurité.
Rapports
Tableaux de bord
Pour afficher des informations sur le trafic réseau traversant le pare-feu et les menaces de sécurité.
• Tableau de bord du trafic
Catégories de trafic réseau, par exemple, applications, catégories Web et utilisateurs.
• Tableau de bord de sécurité
Activités et trafic réseau refusés. Fournit également des informations sur les logiciels malveillants, les spams et les
principaux pays d'origine et de destination.
• Rapport exécutif
Informations fréquemment consultées sur le pare-feu, par exemple, le trafic réseau et les menaces.
• Quotient de menace utilisateur
Classement des utilisateurs par score de menace.
Rapports
Affichez des informations sur l'utilisation des applications et d'Internet sur votre réseau.
Note: Les rapports indiquent le niveau de risque et le nombre d'accès aux applications individuelles.
Rapports
• VPN
Trafic généré par les utilisateurs distants se connectant via des connexions IPsec, L2TP ou PPTP.
• VPN SSL
Trafic généré par les utilisateurs distants se connectant via un client VPN SSL.
• Accès sans client
Trafic généré par les utilisateurs distants se connectant via un navigateur Web.
Rapports
E-mail
Créez des rapports qui incluent uniquement les critères que vous spécifiez.
Vous pouvez créer les rapports personnalisés suivants :Rapport Web : recherchez une activité de navigation ou des virus.
Vous pouvez spécifier l'utilisateur, le domaine et d'autres critères.
Note: Les rapports Web personnalisés affichent uniquement les domaines, URL, catégories Web et adresses IP autorisés.
Pour voir les détails du trafic bloqué, accédez à Rapports > Applications et Web et sélectionnez Tentatives Web
bloquées.
• Rapport de messagerie : recherchez l'utilisation de la messagerie, les spams et les virus. Vous pouvez spécifier le
protocole, l'utilisateur et d'autres critères.
• Rapport FTP : recherchez l'utilisation du FTP et les virus. Vous pouvez spécifier le type de transfert, l'utilisateur, le
fichier ou l'IP source.
Rapports
Rapports personnalisés
• Rapport utilisateur : recherchez des informations sur l'utilisation telles que les applications à haut risque, les
domaines Web improductifs et les virus détectés. Vous pouvez spécifier le nom d'utilisateur, l'hôte source et d'autres
critères.
• Rapport de serveur Web : recherchez l'activité du serveur Web, telle que l'heure, l'utilisateur et l'URI. Vous pouvez
également rechercher l'activité de protection du serveur Web.
Les critères suivants sont utilisés pour rechercher la détection d'un virus spécifique sur un domaine protégé par le pare-
feu.
Rapports
Paramètres du rapport
Les paramètres de rapport vous permettent de spécifier les options de configuration des rapports. Par exemple, vous
pouvez spécifier les données à afficher dans les rapports personnalisés et gérer les planifications de rapports pour tous les
groupes de rapports. D'autres options vous permettent de spécifier les durées de conservation des données et de purger les
données.
Protection Zero-day
Sophos Zero-Day Protection est une solution puissante spécialement conçue pour vous protéger contre les menaces
avancées et en constante évolution,
La protection Zero-Day est optimisée par les SophosLabs Intelix™, un service cloud qui combine l'apprentissage
automatique, le sandboxing et la recherche pour détecter les menaces connues et inconnues en analysant les
téléchargements suspects et les pièces jointes aux e-mails.
Le pare-feu Sophos envoie les nouveaux fichiers aux SophosLabs Intelix pour une analyse de la protection zero-
day lorsqu'ils entrent dans votre réseau. Intelix utilise des couches d'analyse pour déterminer le niveau de risque
posé à votre réseau par chaque fichier. En plus de bloquer les fichiers à risque, la protection zero-day fournit
également des rapports détaillés de l'analyse effectuée pour vous aider à comprendre le risque.
Protection Zero-day
Paramètres de protection
Utilisez ces paramètres pour spécifier un centre de données et exclure des fichiers de l'analyse de la protection
Zero-day.
Emplacement du centre de données de protection de jour zéro
Les fichiers à analyser sont envoyés à un centre de données de protection Zero-day dans le cloud via une connexion
SSL sécurisée. Par défaut, Sophos Firewall sélectionne le centre de données le plus proche. Cependant, vous
pouvez sélectionner un centre de données de votre choix.
Le changement de centre de données peut entraîner la perte de l'analyse des fichiers en cours de traitement par la
protection Zero-day.
Protection Zero-day
Paramètres de protection
Exclure les types de fichiers
Exclure les types sélectionnés de pièces jointes aux e-mails et de téléchargements Web de l'analyse de la protection
Zero-day. Le type de fichier est déterminé par l'extension de fichier et l'en-tête MIME.
Les archives qui incluent des fichiers des types sélectionnés seront également exclues, quels que soient les autres
types de fichiers qu'elles contiennent.
Pour exclure des types de fichiers, cliquez sur Ajouter un nouvel élément et sélectionnez le type de fichier dans la
liste.
Note: Bien que vous puissiez exclure n'importe quel type de fichier, de nombreux types de fichiers considérés
comme sûrs (par exemple, les images) ne sont jamais envoyés pour analyse. Sophos Firewall envoie uniquement
les types de fichiers à risque pour détonation et analyse par la protection Zero-day.
Diagnostic
Vous pouvez vérifier la santé de votre pare-feu Sophos. Vous pouvez utiliser ces informations pour dépanner et
Diagnostic les problèmes.
Outils
Vous pouvez afficher les statistiques pour Diagnostic les problèmes de connectivité et de réseau et tester la
communication réseau. Vous pouvez résoudre des problèmes tels que la perte de paquets, la connectivité et les
incohérences sur votre réseau.
Outils de sortie
• Visionneuse de journaux
Par défaut, la visionneuse de journaux affiche les journaux du pare-feu. Il s'ouvre dans une nouvelle fenêtre de
navigateur plein écran.
• Testeur de politique
Utilisez le testeur de stratégie avant et après avoir modifié une règle ou une stratégie pour vérifier l'action appliquée.
Le testeur de stratégie s'ouvre dans une nouvelle fenêtre de navigateur.
Diagnostic
Outils
Ping
Ping est l'utilitaire d'administration réseau le plus couramment utilisé pour tester l'accessibilité d'un hôte sur un
réseau IP (Internet Protocol) et pour mesurer le temps d'aller-retour des messages envoyés de l'hôte d'origine à un
ordinateur de destination.
Traceroute
Traceroute trace le chemin emprunté par un paquet du système source au système de destination. La sortie affiche
tous les routeurs par lesquels les paquets de données passent du système source au système de destination, le
nombre maximal de sauts et le temps total pris par le paquet pour revenir (mesuré en millisecondes).
Recherche d'itinéraire
Si vous avez des réseaux routables et que vous souhaitez rechercher par quelle interface l'appareil achemine le
trafic, vous pouvez rechercher l'itinéraire. Pour ce faire, saisissez l'adresse IP (IPv4 ou IPv6).
Diagnostic
Outils
Recherche de nom
Vous pouvez utiliser la recherche de nom pour demander au service de nom de domaine des informations sur les
noms de domaine et les adresses IP. Il envoie un paquet de requête de nom de domaine à un serveur DNS (Domain
Name System) configuré. Si vous saisissez un nom de domaine, le serveur renvoie l'adresse IP associée à ce nom
de domaine, et si vous saisissez une adresse IP, le serveur renvoie le nom de domaine associé à cette adresse IP.
Rapport de dépannage consolidé
Pour aider l'équipe d'assistance à déboguer les problèmes du système, vous pouvez générer un rapport de
dépannage consolidé (CTR), composé du fichier d'état actuel du système et des fichiers journaux. Le fichier
contient des détails, tels qu'une liste de tous les processus en cours d'exécution sur le système et l'utilisation des
ressources, sous forme chiffrée.
Diagnostic
Graphiques système
Graphiques d'utilisation du processeur
Le graphique d'utilisation du processeur montre l'utilisation du processeur par les utilisateurs et les composants du
système.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des
ordonnées indique le pourcentage d'utilisation du processeur pour les utilisateurs et les composants du système.
Légende:
Orange : utilisation du processeur par utilisateur
Violet : utilisation du processeur par les composants du système
Vert : temps d'inactivité du processeur
Diagnostic
Graphiques système
Graphiques d'utilisation de la mémoire
Le graphique d'utilisation de la mémoire affiche l'utilisation de la mémoire en mégaoctets (Mo).L'axe des x indique
les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des ordonnées indique la quantité
de mémoire utilisée (en Mo).
Légende:
Orange : mémoire utilisée
Violet : Mémoire libre
Vert : Mémoire totale
Diagnostic
Graphiques système
Graphiques d'utilisation de la mémoire
Le graphique d'utilisation de la mémoire affiche l'utilisation de la mémoire en mégaoctets (Mo).L'axe des x indique
les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des ordonnées indique la quantité
de mémoire utilisée (en Mo).
Légende:
Orange : mémoire utilisée
Violet : Mémoire libre
Vert : Mémoire totale
Diagnostic
Graphiques système
Charger les graphiques de moyenne
Le graphique Charge moyenne affiche la charge sur votre pare-feu Sophos.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des
ordonnées montre la charge moyenne.
Légende:
Orange : une minute
Violet : cinq minutes
Vert : Quinze minutes
Diagnostic
Graphiques système
Graphiques d'utilisation du disque
Le graphique Utilisation du disque affiche le pourcentage d'utilisation du disque sur votre pare-feu Sophos.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).
L'axe des ordonnées indique le pourcentage d'utilisation du disque.
Légende:
Orange : Espace disque utilisé par les signatures.
Violet : Espace disque utilisé par les fichiers de configuration.
Vert : espace disque utilisé par les rapports.
Bleu : Espace disque temporaire utilisé.
Diagnostic
Graphiques système
Graphiques des utilisateurs en direct
Le graphique Utilisateurs en direct affiche le nombre d'utilisateurs en direct actuellement connectés à Internet pour
la période sélectionnée.
De plus, il indique le nombre minimum, maximum et moyen d'utilisateurs connectés pendant la période
sélectionnée.
Cela vous aide à déterminer l'heure de pointe de la journée.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).
L'axe des ordonnées indique le nombre d'utilisateurs.
Légende:
Orange : Nombre d'utilisateurs connectés en direct
Diagnostic
Graphiques système
Transfert de données via des graphiques de zone WAN
Il existe trois graphiques de zone WAN, qui fournissent des informations sur le transfert de données via la zone
WAN.
Transfert total de données de chargement et de téléchargement de la période sélectionnée
Ce graphique montre le transfert de données téléchargées et téléchargées. En outre, il affiche le transfert de données
minimum, maximum, moyen et actuel pour le trafic téléchargé et téléchargé individuellement.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des
ordonnées indique la quantité de données chargées et téléchargées (Kbps).
Légende:
Orange : Trafic téléchargé
Violet : Trafic téléchargé
Diagnostic
Graphiques système
Transfert total de données de la période sélectionnée
Ce graphique montre le total des données transférées depuis la zone WAN. De plus, il affiche le transfert de
données minimum, maximum, moyen et actuel.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des
ordonnées montre le trafic chargé et téléchargé (Kbps).
Légende:
Couleur orange : trafic total (téléchargé et téléchargé)
Diagnostic
Graphiques système
Transfert total de données par passerelle de la période sélectionnée
Ce graphique montre le transfert de données pour chaque passerelle depuis la zone WAN. En outre, il affiche le
transfert de données minimum, maximum, moyen et actuel pour chaque passerelle.
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des
ordonnées montre le trafic chargé et téléchargé (Kbps).
Légende:
Couleur différente pour chaque passerelle
Diagnostic
Graphiques système
Graphiques d'interface
Les graphiques d'interface affichent les statistiques de trafic pour les interfaces, y compris les interfaces physiques,
les interfaces LAN sans fil, WAN et VLAN dans la zone WAN.
Note:
Sophos Firewall affiche uniquement des graphiques séparés pour les interfaces VLAN dans la zone WAN. Le pare-
feu combine les données des VLAN d'autres zones avec les données de l'interface physique sur laquelle ils sont
configurés.
Diagnostic
Graphiques système
Graphiques d'interface
Les statistiques présentées sont les suivantes :
Bits reçus et transmis via l'interface
Des erreurs se sont produites lors de la transmission et de la réception de paquets via l'interface
Paquets abandonnés lors de la transmission et de la réception de paquets via l'interface
Des collisions se sont produites lors de la transmission et de la réception de paquets via l'interface
L'axe des x indique les minutes, les heures, les jours ou les mois (selon la période sélectionnée).L'axe des y montre
les kilobits par seconde (Kbps).
Diagnostic
Graphiques système
Graphiques d'interface
Légende:
Orange : Bits reçus (Kbps)
Violet : Bits transmis (Kbps)
Vert clair : Erreurs reçues (Kbps)
Bleu : Bits transmis mais abandonnés
Rose : collisions
Rouge : Erreurs transmises
Vert foncé : Bits reçus mais supprimés
Diagnostic
Performances SD-WAN
Vous pouvez voir des graphiques montrant les performances en temps réel des passerelles de votre réseau SD-
WAN.
Pour surveiller les performances en temps réel des passerelles, accédez à Diagnostics > Performances SD-WAN et
sélectionnez un profil SD-WAN.
Vous pouvez également accéder à Routage > Profils SD-WAN, sélectionner un profil SD-WAN et, sous Statut,
cliquer sur Performances historiques.
Vous pouvez voir des graphiques montrant le nombre total de connexions de chaque passerelle et la quantité de
données transférées.
Vous pouvez procéder comme suit :
• Cliquez sur Réinitialiser le transfert de données et le nombre de connexions pour réinitialiser ces compteurs.
• Cliquez sur Pondérations attribuées pour l'équilibrage de charge pour voir les pondérations d'équilibrage de
charge attribuées à chaque passerelle.
Diagnostic
Si l'URL est classée à la fois dans une catégorie personnalisée et dans une catégorie par défaut, le nom de la
catégorie personnalisée s'affiche dans le résultat de la recherche.
Pour rechercher une URL :
1. Accédez à Diagnostics > Recherche de catégorie d'URL.
2. Entrez l'URL dans URL de recherche.
3. Cliquez sur Rechercher.
Diagnostic
Capture de paquets
La capture de paquets affiche les détails des paquets qui transitent par une interface. Vous pouvez voir les détails de
connexion et les détails des paquets traités par chaque module, tels que le pare-feu et l'IPS. La capture de paquets
affiche également le numéro de règle de pare-feu, l'utilisateur, le Web et le numéro de politique de filtrage
d'application. Ces informations peuvent vous aider à dépanner les instances où les règles de pare-feu échouent.
Tu peux:
Configurez les paramètres de filtre pour capturer les paquets.
Afficher les informations sur le paquet.
Spécifiez les conditions de filtrage des paquets.
Démarrer et arrêter la capture de paquets.
Actualisez les détails des paquets capturés.
Effacez les détails des paquets capturés.
Diagnostic
Liste de connexion
La liste de connexion fournit un instantané de la connexion actuelle ou en direct de votre appareil. Il affiche les
informations de connexion. Vous pouvez filtrer la liste des connexions.
Cliquez sur ID de connexion (ID unique attribué à une connexion) pour voir un instantané en direct d'une
connexion spécifique.
Vous pouvez définir l'intervalle d'actualisation pour actualiser automatiquement la liste à l'intervalle de temps
configuré.
Pour actualiser manuellement la liste, cliquez sur Actualiser.
Pour filtrer la liste des connexions, cliquez sur Afficher le filtre et spécifiez les paramètres.
Diagnostic
Accès à l'assistance
Vous pouvez autoriser le support Sophos à accéder temporairement à votre pare-feu Sophos à des fins de
dépannage.
L'accès au support permet au support Sophos de se connecter à la console d'administration Web de Sophos
Firewall sans nécessiter d'informations d'identification d'administrateur.
Lorsque l'accès au support est activé, le support Sophos peut accéder à la console d'administration Web et au shell
de votre appareil Sophos Firewall.
Le pare-feu Sophos initie toutes les connexions avec le support Sophos via le port TCP 22 pour HTTPS et SSH.
Sophos Firewall ferme les sessions SSH inactives après 15 minutes.
SYSTEME
Sophos central
Vous pouvez enregistrer les appareils Sophos Firewall avec Sophos Central et gérer les appareils de manière
centralisée.
Vous pouvez également utiliser Security Heartbeat pour permettre aux terminaux de votre réseau de partager des
informations sur la santé.
Synchronized Application Control vous permet de détecter et de gérer les applications de votre réseau.
Enregistrez-vous sur de Sophos Central
Pour enregistrer ce pare-feu auprès de Sophos Central et activer Security Heartbeat et Synchronized Application
Control, sélectionnez Enregistrer.
Pour supprimer votre enregistrement auprès de Sophos Central, cliquez sur Désenregistrer.
Note: Vous devez utiliser un compte super administrateur Central pour vous inscrire à Sophos Central.
Sophos central
Vous pouvez enregistrer le pare-feu à l'aide d'un OTP ou des informations d'identification de super administrateur
comme suit :
OTP généré sur Sophos Central
Vous pouvez utiliser un OTP pour enregistrer le pare-feu si vous ne disposez pas des identifiants de super
administrateur pour Sophos Central. Par exemple, les partenaires configurant les installations des clients et les
administrateurs de pare-feu peuvent utiliser cette méthode.
L'administrateur Sophos Central a besoin du numéro de série du pare-feu pour générer l'OTP sur Sophos Central.
L'administrateur doit partager l'OTP avec l'administrateur du pare-feu. L'OTP est valable 14 jours. Pour plus de
détails, consultez Utiliser OTP pour vous enregistrer auprès de Sophos Central.
Identifiants du compte super administrateur pour Sophos Central
Vous pouvez l'utiliser pour enregistrer le pare-feu si vous disposez des informations d'identification de super
administrateur et d'un accès au pare-feu.
Sophos central
Vous pouvez enregistrer le pare-feu à l'aide d'un OTP ou des informations d'identification de super administrateur
comme suit :
OTP généré sur Sophos Central
Vous pouvez utiliser un OTP pour enregistrer le pare-feu si vous ne disposez pas des identifiants de super
administrateur pour Sophos Central. Par exemple, les partenaires configurant les installations des clients et les
administrateurs de pare-feu peuvent utiliser cette méthode.
L'administrateur Sophos Central a besoin du numéro de série du pare-feu pour générer l'OTP sur Sophos Central.
L'administrateur doit partager l'OTP avec l'administrateur du pare-feu. L'OTP est valable 14 jours. Pour plus de
détails, consultez Utiliser OTP pour vous enregistrer auprès de Sophos Central.
Identifiants du compte super administrateur pour Sophos Central
Vous pouvez l'utiliser pour enregistrer le pare-feu si vous disposez des informations d'identification de super
administrateur et d'un accès au pare-feu.
Sophos central
Security Heartbeat
Security Heartbeat est une fonctionnalité qui permet aux terminaux et aux pare-feu de communiquer leur état de
santé entre eux.
Cette rubrique couvre des détails sur son fonctionnement, ses différents états de santé et leur signification.
Canal de communication
Les terminaux et Sophos Firewall communiquent via une connexion TLS chiffrée sur l'adresse IP 52.5.76.173 sur le
port 8347.
Identification des points finaux
Chaque ordinateur d'extrémité reçoit un certificat de Sophos Central. Sophos Central partage ces certificats avec
Sophos Firewall afin que Sophos Firewall puisse associer un ordinateur d'extrémité à une organisation spécifique.
Sophos Firewall établit uniquement des connexions avec les terminaux pour lesquels il possède des certificats.
Sophos central
Security Heartbeat
Échange d'informations
Lorsqu'un ordinateur d'extrémité se connecte à Sophos Firewall pour la première fois, il envoie les détails de son
état de santé actuel, des interfaces réseau et des utilisateurs connectés.
Les terminaux envoient un heartbeat (leur état de santé) à Sophos Firewall toutes les 15 secondes.
Sophos Firewall envoie une liste d'endpoints dont l'état de santé est rouge (à risque) ou jaune (avertissement) tous
les deux heartbeat, toutes les 30 secondes.
Il existe 3 couleurs pour définir l’état de santé des endpoints,
Sophos central
Security Heartbeat
Security Heartbeat
Protection basée sur l'état de santé (protection contre les mouvements latéraux)
Les terminaux communiquent avec un autre terminal en fonction de son état de santé et de la stratégie spécifiée
dans Sophos Central. Par exemple, si un point de terminaison a un état de santé rouge et qu'une stratégie
correspondante est définie, les autres points de terminaison cesseront de communiquer avec ce point de
terminaison.
Sophos Firewall gérera cette communication entre les terminaux. Il agit comme un proxy de couche MAC 2 pour
indiquer à chaque point de terminaison dans le même domaine de diffusion le MAC et l'état de santé de tous les
autres points de terminaison.
Sophos central
Si vous avez sélectionné Utiliser l'administration Sophos Central, sélectionnez cette option pour enregistrer les
sauvegardes de configuration dans Sophos Central.
Dans Sophos Central, accédez à Gestion du pare-feu > Sauvegarde. Spécifiez une planification de sauvegarde ou
générez la sauvegarde.
Profil
Les profils vous permettent de contrôler l'accès Internet des utilisateurs et l'accès des administrateurs au pare-feu.
Vous pouvez définir des horaires, des temps d'accès et des quotas pour la navigation et le transfert de données.
Calendrier
Les horaires précisent la durée pendant laquelle les règles et les politiques sont en vigueur.
Vous pouvez créer des horaires récurrents et ponctuels, ou utiliser les horaires par défaut. Pour modifier un
programme, cliquez sur le bouton Modifier Modifier.
Appliquez des planifications aux règles, stratégies et analyses suivantes :
Règles de pare-feu, Politiques Web, Politiques d'application, Politiques de formation du trafic, Politiques de temps
d'accès, Analyse des points d'accès (AP) non autorisés
Note: Avant de supprimer une planification en cours d'utilisation, supprimez la règle qui l'utilise ou appliquez une
autre planification à la règle.
Profil
Temps d'accès
Vous pouvez contrôler le temps d'accès à Internet pour les utilisateurs, les groupes et les utilisateurs invités. Vous
pouvez autoriser ou refuser l'accès à Internet en fonction d'une période de temps planifiée.
Vous pouvez créer vos propres politiques de temps d'accès ou utiliser les politiques par défaut. Pour modifier une
politique de temps d'accès, cliquez sur le bouton Modifier.
Note: Les modifications apportées aux politiques de temps d'accès entrent en vigueur immédiatement.
Profil
Quotas de surf
Les quotas de surf vous permettent d'allouer du temps d'accès à Internet à
vos utilisateurs.
Les quotas autorisent l'accès sur une base cyclique (répétition) ou non
cyclique (une seule fois). Vous pouvez ajouter des quotas et spécifier le
temps d'accès autorisé, ou utiliser les quotas par défaut. Pour modifier un
quota de surf, cliquez sur le bouton Modifier.
Note: Lorsque plusieurs quotas s'appliquent à un utilisateur, le pare-feu
restreint l'accès en fonction de la première stratégie qui atteint sa limite.
Le quota suivant donne un accès illimité pendant une semaine sur une
base unique.
Profil
Utilisez des stratégies de quota de trafic réseau pour contrôler le transfert de données par les utilisateurs et les
groupes.
Vous pouvez limiter le transfert de données en fonction du transfert total de données ou du trafic réseau individuel
(téléchargement et téléchargement). Les quotas peuvent être cycliques (répétitifs) et non cycliques (non répétitifs).
Spécifiez la quantité de trafic réseau autorisée.
Vous pouvez créer vos propres politiques de quota de trafic réseau ou utiliser les politiques par défaut. Pour
modifier une stratégie de quota de trafic réseau, cliquez sur Modifier
Profil
Profils de déchiffrement
Les profils de déchiffrement vous permettent d'appliquer les paramètres de déchiffrement sur les connexions SSL/TLS.
Pour cloner un profil de déchiffrement, cliquez sur le bouton Cloner.
Pour modifier un profil de déchiffrement, cliquez sur le bouton Modifier.
Vous pouvez spécifier les autorités de certification de re-signature pour signer les certificats de serveur SSL/TLS après que
le pare-feu Sophos a intercepté, déchiffré et inspecté le trafic sécurisé. Vous pouvez également spécifier l'action pour le
trafic qui ne peut pas être déchiffré en raison de problèmes tels que des versions de protocole non sécurisées, des suites de
chiffrement non reconnues, une compression SSL ou des connexions qui dépassent les capacités de déchiffrement du pare-
feu.
Vous pouvez spécifier l'action pour les erreurs de validation de certificat et les algorithmes de chiffrement non sécurisés.
Vous pouvez également imposer une taille de clé RSA et les versions SSL/TLS à utiliser.
Profil
Conseil
Lorsque vous spécifiez un paramètre à la fois dans le profil de déchiffrement et les paramètres d'inspection
SSL/TLS, les paramètres du profil de déchiffrement remplacent les paramètres des paramètres d'inspection
SSL/TLS.
Note: Vous ne pouvez pas modifier les profils par défaut.
Les profils par défaut sont les suivants :Compatibilité maximale : décrypte autant de connexions que possible.
Ne limite pas l'utilisation du chiffrement.
Bloquer les SSL non sécurisés : empêche l'utilisation de chiffrements faibles. Autorise le trafic non déchiffrable.
Conformité stricte : met en œuvre une conformité stricte. Utilisez-le pour répondre aux spécifications PCI DSS
(norme de sécurité des données de l'industrie des cartes de paiement).
Profil
Vous pouvez créer un accès basé sur les rôles au pare-feu pour les administrateurs.
L'ensemble de profils par défaut spécifie les privilèges d'un super administrateur et de certains rôles
d'administrateur courants. Le compte d'utilisateur d'administration par défaut (admin) utilise le profil
Administrateur.
Vous pouvez créer des profils personnalisés et spécifier leur accès à la console d'administration Web de manière
granulaire.
Pour modifier ou afficher les privilèges d'un profil, cliquez sur Modifier.
Profil
Vous pouvez créer un accès basé sur les rôles au pare-feu pour les administrateurs.
L'ensemble de profils par défaut spécifie les privilèges d'un super administrateur et de certains rôles
d'administrateur courants. Le compte d'utilisateur d'administration par défaut (admin) utilise le profil
Administrateur.
Vous pouvez créer des profils personnalisés et spécifier leur accès à la console d'administration Web de manière
granulaire.
Pour modifier ou afficher les privilèges d'un profil, cliquez sur Modifier.
Profil
Administrateur: Super administrateur avec tous les privilèges. Profil de l'administrateur par défaut. Peut créer des
administrateurs avec des privilèges restreints ou complets.
Administrateur d'audit: Possède des privilèges de lecture-écriture sur les journaux et les rapports.
Administrateur crypto: Possède des privilèges de lecture-écriture pour configurer les certificats de sécurité.
Profil HA: Possède des privilèges en lecture seule sur le périphérique auxiliaire, si la haute disponibilité est
configurée.
Administrateur de la sécurité: Possède des privilèges de lecture-écriture sur toutes les fonctionnalités, à
l'exception des profils, des journaux et des rapports.
Conseil: Pour supprimer un profil, assurez-vous qu'il n'est pas attribué à un administrateur.
Hôtes et services
Gérez les licences et l'heure des appareils, l'accès administrateur, les mises à jour centralisées, la bande passante du
réseau et la surveillance des appareils, SNMP et les notifications des utilisateurs.
Administration
Licences
Vous pouvez activer vos évaluations et vos abonnements. Vous pouvez également synchroniser vos licences.
Enregistrement de l'appareil et activation de la licence
Pour voir les détails d'enregistrement de l'appareil et l'état des licences, accédez à Administration > Licences.
Le pare-feu récupère les informations d'enregistrement suivantes à partir de votre compte Sophos Licensing Portal :
Numéro de modèle et clé de l'appareil.
Nom de la société auprès de laquelle vous avez enregistré le pare-feu.
Personne de contact dans votre organisation.
Adresse e-mail utilisée pour enregistrer le pare-feu.
Les modules s'affichent comme désabonnés lorsque vous configurez le pare-feu pour la première fois.
Administration
Licences
Enregistrement ultérieur du pare-feu
Vous pouvez configurer le pare-feu sans l'enregistrer sur le serveur de licences. Vous pouvez reporter l'inscription
jusqu'à 30 jours. Vous pouvez configurer toutes les fonctionnalités du pare-feu à l'exception de Sophos Central et
Synchronized Security Heartbeat.
Pour différer l'enregistrement du pare-feu lors de la configuration du pare-feu, procédez comme suit en fonction de
votre scénario :
Licences
Une fois la configuration terminée, accédez à Administration > Licences pour vérifier que l'enregistrement a été
actuellement différé sur cet appareil est montré.
Administration
Licences
Détails de l'abonnement
Vous pouvez souscrire aux modules de licence comme suit :
Avec une clé de licence (abonnement payant).
Sans clé de licence pour un essai de 30 jours (abonnement gratuit).
Vous pouvez voir le statut des abonnements et leur date d'expiration.
Les statuts peuvent être l'un des suivants :
Abonné
Évaluation
Non abonné
Expiré
Administration
Licences
Activating license keys
You can activate paid and trial licenses
Pour activer les abonnements payants, procédez comme suit :
1. Accédez à Administration > Licences.
2. Sous Détails d'enregistrement de l'appareil, cliquez sur Activer l'abonnement.
3. Entrez la clé de licence que vous avez reçue de Sophos.
4. Cliquez sur Vérifier la clé.
5. Une fois la clé vérifiée, cliquez sur Confirmer.
6. Cliquez sur Synchroniser pour synchroniser le pare-feu avec le système de licence.
Le pare-feu met à jour la liste des abonnements.
Administration
Licences
Activating license keys
Pour activer les abonnements d'essai, procédez comme suit :
1. Accédez à Administration > Licences.
2. Cliquez sur Activer les évaluations. Une fenêtre apparaît.
3. Connectez-vous à l'aide de vos identifiants MySophos. La fenêtre contextuelle affiche immédiatement les
détails de la licence si vous êtes déjà connecté à l'aide d'une session de navigateur normale.
4. Sélectionnez les modules que vous souhaitez évaluer.
5. Cliquez sur Confirmer.
6. Cliquez sur Lancer la synchronisation des licences.
La page de licence sur le pare-feu affiche l'état Évaluation pour le module
Administration
Licences
Détails de l'abonnement
Vous pouvez souscrire aux modules de licence comme suit :
Avec une clé de licence (abonnement payant).
Sans clé de licence pour un essai de 30 jours (abonnement gratuit).
Vous pouvez voir le statut des abonnements et leur date d'expiration.
Les statuts peuvent être l'un des suivants :
Abonné
Évaluation
Non abonné
Expiré
Administration
Licences
Détails de l'abonnement
Accès au dispositif
Vous pouvez contrôler l'accès aux services d'administration de Sophos Firewall à partir de zones personnalisées et
par défaut à l'aide du service local ACL (Access Control List).
Les services locaux sont des services de gestion spécifiques au fonctionnement interne de Sophos Firewall, tels que
les consoles d'administration Web et CLI, et les services d'authentification. Vous pouvez autoriser ou bloquer
l'accès aux services locaux depuis Administration > Accès au dispositif.
1. Select the check boxes to allow access to these services from different zones.
2. To only allow specific hosts and networks to access the services, scroll down to Local service ACL exception
rule, and click Add.
Administration
Accès au dispositif
Vous pouvez les utiliser pour vous connecter à la console d'administration Web et à la CLI. Vous devez modifier le mot de
passe par défaut lorsque vous configurez Sophos Firewall pour la première fois. Votre mot de passe ne doit pas être un mot
de passe couramment utilisé ou un mot du dictionnaire.
Administration
Accès au dispositif
a) Installez une application d'authentification sur votre appareil mobile et scannez le code QR.
b) Saisissez votre mot de passe suivi du code d'accès au format suivant : <mot de passe><code d'accès>.
c) Cliquez sur Valider et cliquez sur Appliquer.
Administration
Accès au dispositif
Sécurité de connexion
Définissez la sécurité de connexion pour les administrateurs.
Déconnecter la session d'administration après : sélectionnez cette option pour déconnecter automatiquement
l'administrateur de la console d'administration Web après le temps d'inactivité configuré (en minutes).
Par défaut : 10 minutes
Bloquer la connexion : sélectionnez cette option pour bloquer la connexion pour tous les types d'authentification, tels que
la console d'administration Web, la CLI ou le VPN.
CAPTCHA : les administrateurs qui se connectent à la console d'administration Web et les utilisateurs locaux et invités
qui se connectent au portail utilisateur à partir des zones WAN ou VPN doivent saisir un CAPTCHA.
Administration
Paramètres d'administration
NB: Lorsque vous changez de serveur de temps NTP, toutes les connexions IPSec se reconnecteront.
Configurez un serveur de messagerie et des paramètres de messagerie pour envoyer et recevoir des e-mails d'alerte.
Vous pouvez configurer des notifications par e-mail pour les événements et les rapports générés par le système. Vous
pouvez utiliser soit le serveur de messagerie intégré, soit un serveur de messagerie externe.
Pour utiliser un serveur de messagerie externe pour envoyer des notifications, procédez comme suit :
1. Cliquez sur Administration > Paramètres de notification.
2. Activez le serveur de messagerie externe.
3. Spécifiez l'adresse IPv4 du serveur de messagerie ou FQDN et le numéro de port. Port par défaut : 25.
4. Activez l'authentification requise pour authentifier l'utilisateur avant d'envoyer un e-mail.
a) Spécifiez le nom d'utilisateur et le mot de passe.
5. Choisissez le Mode de sécurité de connexion à utiliser entre le client SMTP et le serveur.
6. Configurez maintenant vos paramètres de messagerie.
Administration
Netflow
Vous pouvez ajouter, mettre à jour ou supprimer des serveurs Netflow. L'appareil offre Netflow, un protocole réseau, pour
surveiller l'utilisation de la bande passante du réseau et le flux de trafic. Les enregistrements Netflow de la source, de la
destination et du volume de trafic sont exportés vers le serveur Netflow. Les enregistrements vous aident à identifier les
protocoles, les politiques, les interfaces et les utilisateurs consommant une bande passante élevée.
Configuration Netflow
1. Saisissez le nom du serveur Netflow.
2. Saisissez l'adresse IP/le domaine du serveur Netflow. Vous pouvez entrer des adresses IPv4 ou IPv6.
3. Entrez le numéro de port du serveur Netflow (port UDP). Les enregistrements sont envoyés au serveur Netflow sur le
port spécifié.
Par défaut : 2055
Administration
Messages
Utilisez des messages pour avertir les utilisateurs et émettre des alertes administratives. Vous pouvez envoyer des
messages de 256 caractères maximum à un ou plusieurs utilisateurs.
Pour modifier le message, cliquez sur Modifier.
Pour enregistrer les modifications, cliquez sur Appliquer.
Pour réinitialiser le message par défaut, cliquez sur Réinitialiser.
Vous pouvez envoyer des messages de notification pour les événements suivants :
Authentification : confirmation de connexion et de déconnexion, échec de connexion et déconnexion
SMTP : e-mails bloqués et reçus
Administration : Avis de non-responsabilité pour la connexion de l'administrateur
Personnalisation SMS : vous pouvez inclure les attributs dynamiques suivants dans le message :{nom d'utilisateur}
{mot de passe}{date d'expiration}
Administration
SNMP
Le protocole SNMP (Simple Network Management Protocol) donne accès aux informations du pare-feu Sophos, par
exemple, l'état du pare-feu, la disponibilité du service, l'utilisation du processeur, de la mémoire et du disque.
Sophos Firewall prend en charge les protocoles SNMPv3, SNMPv1 et SNMPv2c.
Pour configurer Sophos Firewall en tant qu'agent SNMP, sélectionnez Activer l'agent SNMP et spécifiez les paramètres.
Pour ajouter une communauté SNMPv1 et SNMPv2c, sélectionnez Ajouter.
Pour ajouter un utilisateur SNMPv3, sélectionnez Ajouter. Vous ne pouvez pas modifier le nom d'utilisateur
ultérieurement.
Sauvegarde et firmware
Sauvegarde et restauration
Les sauvegardes contiennent l'intégralité de la configuration sur Sophos Firewall et sont chiffrées. Vous pouvez
enregistrer les sauvegardes sur Sophos Firewall, utiliser FTP pour les enregistrer sur un serveur ou envoyer la
sauvegarde par e-mail. Vous pouvez configurer un programme de sauvegarde automatique ou effectuer une
sauvegarde manuellement.
Vous devez saisir un mot de passe pour chiffrer la sauvegarde. Pour restaurer la sauvegarde, vous devez ressaisir le
mot de passe et la clé principale de stockage sécurisé.
Sauvegarde et firmware
Sauvegarde et restauration
Sauvegarde et restauration
Les règles suivantes s'appliquent à la restauration de la configuration de sauvegarde sur un autre appareil Sophos
Firewall :
Vous pouvez restaurer la configuration sur un modèle avec un nombre égal ou supérieur de ports Ethernet.
Vous ne pouvez pas restaurer la configuration si le nombre de passerelles configurées dans la sauvegarde dépasse le
nombre de passerelles prises en charge par le pare-feu.
Versions du firmware : vous pouvez restaurer sur un appareil avec la même version de firmware ou une version
ultérieure.
Sauvegarde et firmware
API
Vous pouvez ajouter, mettre à jour ou supprimer la configuration du pare-feu à l'aide de l'interface de
programmation d'application (API).
L'API du pare-feu vous permet de gérer la configuration de votre pare-feu par programmation. Plutôt que de vous
connecter à la console d'administration Web de votre pare-feu et d'ajouter, de mettre à jour ou de supprimer
manuellement des configurations, vous pouvez utiliser le code API pour automatiser ces tâches.
Vous pouvez l'utiliser pour appliquer la même configuration à plusieurs pare-feux. Le client API peut être un
navigateur, le pare-feu ou l'interface de ligne de commande Linux du point de terminaison administrateur, ou une
application API, telle que Postman.
Sauvegarde et firmware
Importer/Exporter
Pour importer ou exporter une configuration, rendez-vous dans Sauvegarde et firmware > Importer exporter.
Firmware
Vous pouvez gérer les versions du firmware et modifier la langue par défaut.
Vous pouvez mettre à niveau vers une version ultérieure du firmware, rétrograder vers une version antérieure ou
revenir à la version précédente.
Sauvegarde et firmware
Firmware
Abonnement à l'assistance
À partir de la version 19.0 MR1, vous devez disposer d'un abonnement au support pour des mises à niveau
illimitées du firmware. Sans abonnement au support, vous avez droit à trois mises à niveau gratuites du firmware
de Sophos Firewall.
Après avoir terminé chaque mise à niveau gratuite, la console d'administration Web affiche un message indiquant le
nombre de mises à niveau gratuites restantes. Après avoir effectué trois mises à niveau, un abonnement au support
est requis, que ce soit à l'aide de la console d'administration Web ou de SFLoader. Sans abonnement à l'assistance,
vous pouvez télécharger le firmware, mais vous ne pouvez pas l'installer.
Certificats
Vous pouvez ajouter des certificats et générer un certificat signé localement ou une demande de signature de
certificat (CSR). Vous pouvez également ajouter des autorités de certification (CA) et des listes de révocation de
certificats (CRL).
CONFIGURATION
VPN d’accès à distance
You can configure remote access IPSec and SSL VPNs to establish connections using the Sophos Connect client.
You can also configure clientless SSL VPN, L2TP, and PPTP VPNs.
VPN IPSec
Vous pouvez établir des VPN IPSec d'accès à distance à l'aide du client Sophos Connect et de clients tiers.
VPN SSL
Vous pouvez établir des VPN SSL d'accès à distance à l'aide du client Sophos Connect.
Pour télécharger le client Sophos Connect, procédez comme suit :Administrateurs : accédez à VPN d'accès à
distance > VPN IPSec ou SSL et cliquez sur Télécharger le client.
Utilisateurs : sur le portail utilisateur, les utilisateurs peuvent télécharger le client depuis VPN > Client Sophos
Connect.
VPN d’accès à distance
IPSec
Présentation d'IPSec d'accès à distance
Vous pouvez établir des connexions VPN IPSec d'accès à distance à l'aide du client Sophos Connect.
Pour spécifier les paramètres IKE (Internet Key Exchange) phase 1 et phase 2 pour l'établissement de tunnels IPSec
entre deux firewalls, allez dans Remote access VPN > IPSec et cliquez sur IPSec profiles.
Pour télécharger le client Sophos Connect, cliquez sur Télécharger le client.
Pour voir les journaux, cliquez sur Journaux.
Pour exporter la configuration après avoir spécifié les paramètres, faites défiler vers le bas et cliquez sur Exporter
la connexion.
Pour réinitialiser les paramètres, faites défiler vers le bas et cliquez sur Réinitialiser.
VPN d’accès à distance
IPSec
Configuration des connexions d'accès à distance IPSec
Pour autoriser l'accès à distance à votre réseau via le client Sophos Connect à l'aide d'une connexion IPSec,
procédez comme suit :
1. Accédez à VPN d'accès à distance > IPSec et spécifiez les paramètres.
2. Ajoutez une règle de pare-feu pour autoriser le trafic entre les clients Sophos Connect et Sophos Firewall. Pour
des niveaux de sécurité plus élevés, configurez des règles individuelles pour le trafic entrant et sortant
3. Faites défiler vers le bas sur IPSec et cliquez sur Exporter la connexion pour télécharger les fichiers de
configuration.
4. Partagez le fichier .scx avec les utilisateurs. Le fichier .tgb n'a pas les paramètres avancés. Vous pouvez l'utiliser
avec des clients VPN tiers.
VPN d’accès à distance
IPSec
Utilisateurs distants
SSL VPN
Présentation du VPN SSL d'accès à distance
Vous pouvez permettre aux utilisateurs distants de se connecter au réseau en toute sécurité via Internet à l'aide de
connexions VPN SSL d'accès à distance.
Les utilisateurs peuvent établir des connexions VPN SSL IPv4 et IPv6. Ces connexions utilisent OpenVPN. L'accès
à distance nécessite des certificats numériques ainsi qu'un nom d'utilisateur et un mot de passe.
• Accédez à VPN d'accès à distance > VPN SSL.
• Cliquez sur Paramètres globaux VPN SSL pour spécifier les paramètres de toutes les stratégies VPN SSL
d'accès à distance.
• Cliquez sur Ajouter pour créer une stratégie d'accès à distance VPN SSL.
• Vous pouvez également cliquer sur Assistant pour lancer l'assistant d'accès à distance SSL VPN et configurer la
politique.
VPN d’accès à distance
SSL VPN
Présentation du VPN SSL d'accès à distance
SSL VPN
Configurer les connexions VPN SSL d'accès à distance
Pour autoriser l'accès à distance à votre réseau via le client Sophos Connect à l'aide d'une connexion SSL, procédez
comme suit :
1. Accédez à VPN d'accès à distance > VPN SSL.
2. Cliquez sur Paramètres globaux VPN SSL, spécifiez les paramètres, puis cliquez sur Appliquer.
3. Accédez au VPN SSL et ajoutez des utilisateurs et des groupes préconfigurés. Cela crée un fichier de
configuration .ovpn, qui apparaît sur le portail utilisateur pour les utilisateurs autorisés.
4. Ajoutez des règles de pare-feu autorisant le trafic entre les zones LAN et VPN. La règle permet aux clients
Sophos Connect d'accéder aux réseaux LAN configurés.
5. Facultatif : configurez un fichier de provisionnement et partagez-le avec les utilisateurs. Le fichier
d'approvisionnement importe la configuration .ovpn dans le client.
VPN d’accès à distance
L2TP
Le protocole L2TP (Layer Two Tunneling Protocol) vous permet de fournir des connexions à votre réseau via des
tunnels privés sur Internet.
Note: Pour activer les connexions L2TP, vous devez d'abord activer L2TP.
Accédez à VPN d'accès à distance > L2TP.
Cliquez sur Paramètres globaux L2TP, puis sur Activer L2TP et spécifiez les paramètres.
L2TP
VPN d’accès à distance
PPTP
À l'aide du protocole PPTP (Point-to-Point Tunneling Protocol), vous pouvez fournir des connexions à votre réseau
via des tunnels privés sur Internet. Le protocole lui-même ne décrit pas les fonctionnalités de chiffrement ou
d'authentification. Cependant, le pare-feu prend en charge plusieurs options d'authentification, notamment le
protocole d'authentification par mot de passe (PAP), le protocole CHAP (Challenge Handshake Authentication
Protocol) et le protocole MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol).
• Accédez à VPN d'accès à distance > PPTP.
• Pour autoriser les utilisateurs à accéder à votre réseau via PPTP, spécifiez les paramètres et cliquez sur
Appliquer. Ensuite, cliquez sur Ajouter des membres et sélectionnez les utilisateurs.
• Pour afficher les utilisateurs autorisés à accéder à l'aide de PPTP, cliquez sur Afficher les membres.
VPN d’accès à distance
PPTP
Activer PPTP
Activer PPTP : autorisez l'accès à votre réseau par des utilisateurs spécifiés via PPTP.
Réglages généraux
Attribuer l'adresse IP de: Plage à partir de laquelle une adresse IP est louée au client. Le client utilise l'adresse
attribuée pendant toute la durée de la connexion.
Entrez une plage d'adresses IP privées appartenant à un sous-réseau /24 ou inférieur. La plage ne peut pas contenir
plus de 254 adresses IP.
Note: Les plages d'adresses IP pour L2TP et PPTP ne doivent pas chevaucher la plage VPN SSL.
VPN d’accès à distance
Vous pouvez autoriser les utilisateurs à accéder à des services et à des zones, tels que le matériel réseau, les
terminaux et le partage de fichiers, à l'aide d'un navigateur.
Pour accéder au VPN SSL sans client, les utilisateurs n'ont pas besoin d'installer de clients VPN.
Utilisez des politiques VPN SSL sans client pour fournir un accès restreint aux ressources et aux services plutôt que
d'autoriser l'accès à des systèmes ou réseaux entiers.
VPN d’accès à distance
Signets
Vous devez créer des signets pour les services que vous souhaitez autoriser. Vous pouvez ensuite configurer des
stratégies d'accès sans client en spécifiant les utilisateurs (membres de la stratégie) et les signets.
Vous pouvez spécifier l'adresse IP du point de terminaison auquel vous souhaitez autoriser l'accès, le type de
connexion et les paramètres de sécurité.
Les membres d'une politique VPN SSL sans client peuvent accéder aux signets dans le portail utilisateur en
accédant à VPN > Connexions d'accès sans client. Cliquer sur un signet ouvre une connexion sécurisée à la
ressource sélectionnée dans une nouvelle fenêtre.
Pour autoriser l'accès au VPN SSL sans client pour les utilisateurs distants, accédez à Administration > Accès au
périphérique et autorisez l'accès WAN au portail utilisateur.
VPN d’accès à distance
Groupes de signets
Les groupes de signets vous permettent de combiner des signets pour une référence facile.
Par exemple, vous pouvez créer un groupe avec tous les signets pour les postes de travail distants plutôt que de les
ajouter individuellement à une politique VPN SSL sans client.
VPN d’accès à distance
IPsec (hérité)
Vous ne pouvez plus configurer les connexions IPsec d'accès à distance à l'aide de cette option. Nous arrêterons cela
bientôt.
Nous vous recommandons de configurer les connexions IPsec d'accès à distance correspondantes à l'aide de VPN
d'accès à distance > IPsec et de supprimer les connexions héritées.
Connexions héritées existantes
1. Pour établir une connexion à distance à l'aide de cette option, les utilisateurs distants doivent disposer d'un client
VPN tiers.
2. Accédez à la connexion que vous avez configurée et téléchargez le fichier .tar. Extrayez le fichier .tgb et
partagez-le avec les utilisateurs.
3. Les utilisateurs doivent l'importer dans le client VPN sur leurs terminaux.
Vous ne pouvez pas utiliser ce fichier de configuration avec le client Sophos Connect.
VPN site à site
Connexions IPSec
Vous pouvez configurer des connexions VPN IPSec pour permettre une communication sécurisée par chiffrement
sur le réseau public entre deux appareils Sophos Firewall ou entre Sophos Firewall et des pare-feux tiers.
Connexions IPSec
Profils IPSec
Les profils IPSec spécifient les algorithmes de cryptage et d'authentification et les mécanismes d'échange de clés
pour les connexions IPSec basées sur des politiques et sur des routes. Dans les profils IPSec, vous définissez les
paramètres de sécurité de la phase 1 et de la phase 2.
Pour configurer les profils IPSec, accédez à Profils > Profils IPSec.
Vous pouvez modifier les profils IPSec par défaut ou les cloner et créer des profils personnalisés. Vous pouvez
attribuer une stratégie IPSec par défaut ou personnalisée aux connexions IPSec. Le pare-feu Sophos établit des
connexions IPSec en fonction des profils IPSec correspondants configurés aux extrémités locale et distante de la
connexion.
VPN site à site
Connexions IPSec
Connexions IPSec
Vous pouvez configurer des connexions IPSec basées sur des stratégies (hôte à hôte et site à site) et basées sur des
routes (interface tunnel).
Vous pouvez effectuer les opérations suivantes :
• Cliquez sur Profils IPSec pour modifier ou créer un profil. Vous pouvez spécifier les paramètres IKE (Internet
Key Exchange) de phase 1 et de phase 2 pour établir des tunnels IPSec et L2TP.
• Cliquez sur Journaux pour afficher les journaux.
• Cliquez sur Ajouter et spécifiez les paramètres.
Connexions basées sur des stratégies : vous devez configurer des connexions IPSec basées sur des stratégies et les
règles de pare-feu correspondantes sur les deux réseaux. Si les sous-réseaux locaux et distants se chevauchent, vous
devez spécifier le paramètre NAT dans la configuration IPSec.
VPN site à site
Connexions IPSec
Connexions IPSec
• Cliquez sur Assistant et laissez l'assistant vous aider à spécifier les paramètres des VPN basés sur des stratégies.
Vous ne pouvez pas modifier les connexions à l'aide de l'assistant.
Connexions basées sur la route : vous pouvez configurer des VPN basés sur la route en définissant le type de
connexion sur l'interface de tunnel.
Actuellement, vous ne pouvez pas créer de connexions basées sur l'itinéraire à l'aide de l'assistant. Lorsque vous
configurez une connexion IPSec basée sur le routage, Sophos Firewall crée automatiquement une interface XFRM,
également appelée interface de tunnel virtuel (VTI).
L'interface s'affiche sous la forme xfrm suivi d'un nombre sur Réseau > Interfaces.
VPN site à site
Connexions IPSec
Routes Ipsec
Le pare-feu Sophos crée automatiquement des routes IPsec lorsque des tunnels IPsec basés sur des stratégies sont
établis. Cependant, vous devez ajouter manuellement des routes IPsec pour certains trafics. Voici quelques
exemples :
Vous souhaitez acheminer le trafic généré par le système, comme les demandes d'authentification, d'un bureau
distant vers le siège social via une connexion IPsec. Découvrez comment acheminer le trafic généré par le système
via un tunnel IPsec.
Vous ne pouvez pas ajouter certains sous-réseaux à la connexion IPsec pour des raisons internes. Cependant, vous
voulez que leur trafic passe par la connexion.
VPN site à site
VPC Amazon
Amazon Virtual Private Cloud (VPC) est un service de cloud computing qui vous permet de créer des réseaux
virtuels pour vos ressources Amazon Web Service (AWS).
Vous pouvez connecter Amazon VPC à Sophos Firewall en important les informations de connexion à l'aide de vos
identifiants de sécurité Amazon ou d'un fichier de configuration VPC.
VPN site à site
Avec le VPN SSL de site à site, vous pouvez fournir un accès entre les réseaux internes sur Internet à l'aide de
tunnels cryptés point à point.
Les points de terminaison du tunnel agissent en tant que client ou serveur. Le client initie la connexion et le serveur
répond aux demandes du client. Cela contraste avec IPsec où les deux points de terminaison peuvent initier une
connexion. Un VPN SSL peut se connecter à partir d'emplacements où IPsec rencontre des problèmes en raison de
la traduction d'adresses réseau et des règles de pare-feu.
• Accédez à VPN de site à site > VPN SSL.
• Pour télécharger une connexion au serveur, cliquez sur le bouton Télécharger.
• Cliquez sur Paramètres globaux VPN SSL pour spécifier les paramètres.
• Cliquez sur Journaux pour afficher les journaux.
Réseau
Les objets réseau améliorent la sécurité et optimisent les performances des périphériques derrière le pare-feu. Vous
pouvez utiliser ces paramètres pour configurer des ports physiques, créer des réseaux virtuels et prendre en charge
des périphériques Ethernet distants.
Les zones vous permettent de regrouper les interfaces et d'appliquer des règles de pare-feu à tous les appareils
membres. Le basculement et l'équilibrage de charge assurent la redondance et la disponibilité du réseau.
D'autres paramètres vous permettent de fournir un service haut débit sans fil sécurisé aux appareils mobiles et de
configurer la prise en charge avancée de l'approvisionnement des appareils IPv6 et de la tunnellisation du trafic.
Réseau
Lorsque vous déployez Sophos Firewall en mode découverte, vous pouvez surveiller le trafic réseau sans apporter de
modifications à votre schéma réseau.
Vous souhaitez déployer Sophos Firewall en mode découverte à l'aide d'une interface TAP et programmer un e-mail de
rapport d'audit de sécurité (SAR).
Réseau
Interfaces
Le pare-feu est livré avec des interfaces physiques et virtuelles. Une interface physique, par exemple, Port1, PortA ou
eth0.
Une interface virtuelle est une représentation logique d'une interface qui vous permet d'étendre votre réseau à l'aide de
ports existants (exemple: VLAN)
Vous pouvez lier plusieurs adresses IP à une seule interface physique à l'aide d'un alias.
Vous pouvez également créer et configurer des interfaces prenant en charge les périphériques Ethernet distants.
Réseau
Zones
Une zone est un regroupement d'interfaces. Les
zones spécifient également les services que vous
pouvez utiliser pour administrer les appareils et
authentifier les utilisateurs. Lorsqu'elles sont
utilisées avec des règles de pare-feu, les zones
offrent une méthode pratique de gestion de la
sécurité et du trafic pour un groupe d'interfaces
Réseau
Le gestionnaire de liens WAN vous permet de configurer des passerelles pour prendre en charge le basculement de lien
et l'équilibrage de charge.
Passerelles WAN : lorsque vous configurez une interface WAN physique sur Réseau > Interfaces, vous spécifiez
également ses paramètres de passerelle en fonction de votre lien ISP. Si vous disposez de plusieurs liaisons ISP, vous
pouvez terminer chaque liaison sur une interface WAN physique. Le pare-feu envoie le trafic vers le lien ISP via la
passerelle configurée pour le lien.
Réseau
Vous pouvez obtenir un équilibrage de charge de liaison WAN à l'aide d'une configuration active-active.
Sophos Firewall équilibre le trafic entre les passerelles actives. Par défaut, il ajoute une nouvelle passerelle en tant que
passerelle active. Ainsi, l'équilibrage de charge se produit automatiquement entre les liens ISP existants et
nouvellement ajoutés. Le pare-feu Sophos utilise un algorithme circulaire pondéré pour l'équilibrage de charge,
répartissant le trafic entre les liens ISP en fonction du poids spécifié pour les liens.
Réseau
DNS
Vous pouvez obtenir l'adresse d'un serveur DNS à partir d'un serveur DHCP ou PPPoE, ou vous pouvez spécifier des
serveurs DNS statiques.
Vous pouvez résoudre des requêtes pour des hôtes spécifiques à l'aide d'une adresse IP spécifiée et résoudre des
requêtes pour des domaines externes à l'aide de serveurs DNS sur votre réseau.
Paramétrage DNS
Note: La disponibilité des options dépend de la configuration des interfaces disponibles.
Obtenir le DNS de DHCP : Utilise le serveur DHCP configuré pour obtenir le DNS.
Obtenir le DNS de PPPoE : Utilise le serveur PPPoE configuré pour obtenir le DNS.
DNS statique : utilise les serveurs spécifiés pour les requêtes DNS. Le pare-feu interroge les serveurs DNS dans
l'ordre indiqué jusqu'à ce qu'il reçoive une réponse. Par exemple, il interroge le deuxième serveur uniquement s'il ne
reçoit pas de réponse du premier serveur dans le délai imparti.
Réseau
DNS
DHCP
Vous pouvez configurer Sophos Firewall en tant que serveur DHCP et agent de relais pour fournir des adresses IP et
des paramètres réseau aux clients.
Les paramètres réseau incluent la passerelle par défaut, le masque de sous-réseau, le nom de domaine, les serveurs
DNS et les serveurs WINS. Vous pouvez envoyer des paramètres supplémentaires aux clients à l'aide des options
DHCP sur la CLI.
Sur la console d'administration Web, vous pouvez également afficher les enregistrements de bail pour les adresses IP
louées aux clients.
Réseau
Le pare-feu prend en charge la configuration automatique des adresses sans état (SLAAC) pour les périphériques IPv6.
À l'aide de SLAAC, les périphériques IPv6 créent automatiquement des adresses lien-local uniques pour les interfaces
compatibles IPv6, et les clients utilisent automatiquement les messages d'annonce de routeur pour configurer leur
propre adresse IP.
Le pare-feu peut participer au SLAAC. Par défaut, le pare-feu fournit une adresse IPv6 et une passerelle par défaut au
client.
Réseau
Comment faire?
Configurer un module 5G
Réseau
Tunnels IP
Un tunnel IP est un mécanisme qui encapsule un protocole réseau en tant que charge utile pour un autre protocole
réseau. À l'aide d'un tunnel, vous pouvez encapsuler un paquet IPv6 dans un paquet IPv4 pour la communication entre
des hôtes ou des réseaux compatibles IPv6 sur un réseau IPv4, ou vice versa.
Réseau
Voisins (ARP-NDP)
Le pare-feu Sophos utilise le protocole de résolution d'adresse (ARP) et le protocole de découverte de voisin (NDP)
pour permettre la communication entre les hôtes résidant sur le même sous-réseau. Il utilise ces protocoles pour créer
des mappages IP/MAC et les stocke dans des caches voisins. Les mappages statiques sont également pris en charge.
Le pare-feu utilise des entrées mises en cache pour détecter les tentatives d'empoisonnement des voisins.
ARP est utilisé pour découvrir l'adresse de couche de liaison (adresse MAC) associée à une adresse IPv4. Les hôtes
trouvent l'adresse physique des autres hôtes en envoyant un paquet de requête ARP qui inclut l'adresse IP du récepteur.
Lorsque la réponse est renvoyée, le pare-feu met à jour le cache voisin avec l'adresse MAC correspondante. Pour
minimiser le trafic de diffusion, le pare-feu réutilise les mappages IP/MAC précédemment appris. NDP fournit des
fonctionnalités similaires pour les adresses IPv6.
Note: Le délai d'attente par défaut pour les requêtes ARP et NDP est de 600 secondes (10 minutes).
Réseau
DNS dynamique
Le DNS dynamique (DDNS) vous permet d'accéder au pare-feu lorsqu'il est provisionné avec une adresse IP
dynamique.
Lorsque le pare-feu reçoit une nouvelle adresse IP, il contacte le service DNS dynamique et met à jour le nom DNS
public avec la nouvelle adresse. Avec le DDNS, le nom DNS public pointe toujours vers la bonne adresse IP.
Note: Nous avons arrêté Sophos DDNS. Vous ne pouvez plus enregistrer de domaines DDNS avec myfirewall.co.
Nous vous recommandons de configurer un fournisseur DDNS tiers.
Les routes permettent à Sophos Firewall de transférer le trafic en fonction des critères que vous spécifiez.
Vous pouvez configurer des routes SD-WAN, statiques et dynamiques. Sophos Firewall crée automatiquement des
routes VPN pour le trafic IPsec.
Priorité de routage
Le routage suit la priorité que vous spécifiez sur l'interface de ligne de commande. La priorité de routage par défaut
est les routes statiques, SD-WAN, puis VPN.
Pour voir la priorité de l'itinéraire, procédez comme suit :
CLI : saisissez 4 pour la console de l'appareil, puis saisissez la commande suivante :
system route_precedence show
Console d'administration Web : accédez à Routage > Routes SD-WAN.
Routage
Les détails du protocole, du réseau et de l'itinéraire sont indiqués dans le tableau suivant :
• Routes statiques : Réseaux directement connectés, Itinéraires de monodiffusion, route dynamiques, Connexions VPN
SSL
• Routes SD-WAN
• Routes VPN (route par défaut): Créé automatiquement au niveau du backend pour les VPN IPsec basés sur des
politiques. Inclut les routes spécifiées à l'aide de la commande ipsec_route sur l'interface de ligne de commande.
Routage
Routes SD-WAN
Profils SD-WAN
Vous pouvez utiliser des profils SD-WAN pour définir une stratégie de routage SD-WAN sur plusieurs passerelles de
votre réseau SD-WAN. Avec deux passerelles ou plus configurées dans votre réseau, vous pouvez utiliser un profil SD-
WAN pour acheminer le trafic en fonction de la disponibilité ou des performances des passerelles. Cette approche
optimise les performances de votre réseau SD-WAN et contribue à assurer la continuité en cas de perturbation du FAI.
Stratégies de routage
Lors de la configuration d'un profil SD-WAN, vous ajoutez les passerelles configurées au profil SD-WAN et les
répertoriez dans l'ordre dans lequel vous souhaitez que le pare-feu les évalue. Le pare-feu utilise une stratégie de routage
pour sélectionner une passerelle. Vous pouvez sélectionner Première passerelle disponible ou Équilibrage de charge.
Routage
Passerelles
Vous pouvez ajouter des passerelles pour transférer le trafic au sein du réseau et vers des réseaux externes.
Vous pouvez ajouter des passerelles IPv4 et IPv6. Vous pouvez également modifier, cloner et supprimer des passerelles
personnalisées.
Vérification de l'état : Sophos Firewall applique les conditions de vérification de l'état que vous spécifiez pour
déterminer si la passerelle est active.
Indicateurs d'état de la passerelle :
: Passerelle active
: Passerelle inactive
Routage
Passerelles
Configurez Sophos Firewall pour l'équilibrage de charge et le basculement pour plusieurs liaisons montantes ISP en
fonction du nombre de ports WAN disponibles sur l'appliance.
Si vous disposez de plusieurs liaisons ISP, vous pouvez terminer chaque liaison sur une interface WAN physique. Le
pare-feu envoie le trafic vers le lien ISP via la passerelle configurée pour le lien.
Vous pouvez configurer une passerelle comme active ou de secours.
Actif-actif : Sophos Firewall équilibre le trafic entre les passerelles actives. Par défaut, il ajoute une nouvelle
passerelle en tant que passerelle active. Ainsi, l'équilibrage de charge se produit automatiquement entre les liens ISP
existants et nouvellement ajoutés.
Sauvegarde active : vous configurez une ou plusieurs passerelles en tant que passerelles de secours. Lorsqu'une
passerelle active tombe en panne, le trafic bascule vers une passerelle de secours disponible.
L'équilibrage de charge et le basculement sont pris en charge pour le trafic IPv4 et IPv6.
Routage
Passerelles
Équilibrage de charge de liaison WAN et persistance de session
Si vous avez configuré plusieurs liaisons WAN, vous pouvez attribuer une pondération à chaque liaison et équilibrer la
charge des sessions. De plus, vous pouvez spécifier la persistance de session pour acheminer le trafic en fonction du
facteur de persistance que vous spécifiez.
Pour voir les paramètres actuels, accédez à la CLI, cliquez sur 4 pour la console du périphérique et saisissez la
commande CLI suivante :
show routing wan-load-balancing
Routage
Routage statique
Vous pouvez créer une route statique pour transférer des paquets vers une destination autre que la passerelle par défaut
configurée.
Lorsque vous ajoutez une route statique, vous spécifiez quelle interface le paquet quitte et vers quel périphérique le paquet est
acheminé.
Vous pouvez configurer des routes monodiffusion et multidiffusion sur Sophos Firewall.
Les routes de monodiffusion envoient des données d'un expéditeur à un destinataire.
Les routes multidiffusion envoient des données d’un expéditeur à un groupe de destinataires.
Routage dynamique
Pour recevoir des mises à jour de routage dynamique et annoncer le réseau, vous devez autoriser le routage dynamique à partir de
la zone WAN depuis Administration > Accès au périphérique.
Les protocoles de routage supportés par Sophos : RIP, OSPF, OSPFv3, BGP et PIM-SM.
Authentification
Vous pouvez configurer l'authentification à l'aide d'une base de données d'utilisateurs interne ou d'un service
d'authentification tiers. Pour s'authentifier, les utilisateurs doivent avoir accès à un client d'authentification.
Cependant, ils peuvent contourner le client si vous les ajoutez en tant qu'utilisateurs sans client. Le pare-feu prend
également en charge l'authentification à deux facteurs, l'authentification transparente et l'accès des utilisateurs
invités via un portail captif.
Comment faire ?
1. Acheminer les requêtes d'authentification générées par le système via un tunnel Ipsec
2. Configurer l'authentification AD SSO par connexion pour les hôtes multi-utilisateurs
3. Configurer l'authentification unique Chromebook
Authentification
Vous pouvez configurer l'authentification à l'aide d'une base de données d'utilisateurs interne ou d'un service
d'authentification tiers. Pour s'authentifier, les utilisateurs doivent avoir accès à un client d'authentification.
Cependant, ils peuvent contourner le client si vous les ajoutez en tant qu'utilisateurs sans client. Le pare-feu prend
également en charge l'authentification à deux facteurs, l'authentification transparente et l'accès des utilisateurs
invités via un portail captif.
Comment faire ?
1. Acheminer les requêtes d'authentification générées par le système via un tunnel Ipsec
2. Configurer l'authentification AD SSO par connexion pour les hôtes multi-utilisateurs
3. Configurer l'authentification unique Chromebook
Authentification
Les serveurs
Les serveurs externes authentifient les utilisateurs qui tentent d'accéder au pare-feu et aux services associés.
Les serveurs d’authentification pris en charge par Sophos:
1. LDAP: Lightweight Directory Access Protocol un protocole réseau permettant d'interroger et de modifier les services d'annuaire
basés sur la norme X.500.
2. Active Directory servers: À l'aide de Microsoft Active Directory, vous pouvez enregistrer le pare-feu en tant que domaine
Windows et créer un objet pour celui-ci sur le contrôleur de domaine principal.
3. RADIUS: Remote Authentication Dial In User Service est un protocole qui permet aux périphériques réseau tels que les routeurs
d'authentifier les utilisateurs par rapport à une base de données.
4. TACACS: Terminal Access Controller Access Control System est un protocole propriétaire proposé par Cisco Systems. Il fournit
des informations comptables détaillées et un contrôle administratif sur les processus d'authentification et d'autorisation.
5. eDirectory: Novell eDirectory est un service d'annuaire compatible X.500 permettant de gérer l'accès aux ressources sur plusieurs
serveurs et périphériques sur un réseau.
6. Azure AD SSO:
Authentification
Prestations de service
Sélectionnez les serveurs d'authentification pour le pare-feu et d'autres services tels que VPN. Vous pouvez
configurer les paramètres d'authentification globale, ainsi que les paramètres pour Kerberos et NTLM, le client
Web et l'authentification unique RADIUS. Les actions de stratégie Web vous permettent de spécifier où diriger les
utilisateurs non authentifiés.
Authentification
Groupes
Les groupes contiennent des politiques et des paramètres que vous pouvez gérer comme une seule unité pour les
utilisateurs. Avec les groupes, vous pouvez simplifier la gestion des politiques pour les utilisateurs.
Si vous utilisez des serveurs d'authentification, comme Active Directory, les utilisateurs sont automatiquement
créés et ajoutés à leur groupe d'annuaire lorsqu'ils se connectent. Les utilisateurs d'annuaire qui appartiennent à une
UO (unité organisationnelle) mais pas à un groupe d'annuaire sont ajoutés au groupe par défaut lorsqu'ils se
connectent. Vous pouvez voir le groupe par défaut sur Authentification > Services sous Méthodes
d'authentification du pare-feu.
Authentification
Utilisateurs
Vous pouvez créer des enregistrements d'utilisateur localement sur le pare-feu pour les utilisateurs et les
administrateurs.
La liste affiche également les utilisateurs de vos serveurs d'authentification externes. Ces enregistrements sont
ajoutés lorsque les utilisateurs sont authentifiés pour la première fois.Pour modifier les statuts des utilisateurs entre
actif et inactif, sélectionnez les utilisateurs et cliquez sur Modifier le statut.
Pour voir plus de détails, cliquez sur Afficher les propriétés supplémentaires et sélectionnez les options.
Pour importer ou exporter des enregistrements d'utilisateurs, accédez à Sauvegarde et firmware > Fichier
d’importation.
Authentification
Note: Avant d'ajouter des utilisateurs invités, accédez à Authentification > Paramètres de l'utilisateur invité et spécifiez les
paramètres.
Authentification
Utilisateurs invités
• Pour imprimer les informations d'identification, sélectionnez les utilisateurs, puis cliquez sur Imprimer.
• Pour renvoyer les informations d'identification par SMS, cliquez sur le bouton Renvoyer les informations d'identification
pour renvoyer les informations d'identification.
• Pour modifier le statut d'un utilisateur entre actif et inactif, sélectionnez un utilisateur et cliquez sur Modifier le statut.
• Pour modifier un mot de passe, cliquez sur Modifier le mot de passe.
• Pour afficher les statistiques de trafic Internet, cliquez sur Afficher l'utilisation.
• Pour réinitialiser les statistiques de trafic Internet et redémarrer le quota de trafic réseau de l'utilisateur, cliquez sur
Réinitialiser la comptabilité utilisateur.
Authentification
Utilisateurs sans client
Vous pouvez configurer des périphériques réseau, tels que des serveurs et des imprimantes, en tant qu'utilisateurs sans client.
Les utilisateurs sans client n'ont pas besoin d'authentification et n'utilisent pas de client pour accéder au réseau. Le pare-feu
Sophos permet à ces utilisateurs d'accéder au réseau en faisant correspondre le nom d'utilisateur à l'adresse IP que vous
spécifiez dans la stratégie des utilisateurs sans client.
Les utilisateurs sans client apparaissent en tant qu'utilisateurs en direct dans les activités en cours. Si vous désactivez ces
utilisateurs, ils n'apparaissent pas en tant qu'utilisateurs actifs.
Vous pouvez également configurer des personnes en tant qu'utilisateurs sans client, par exemple des cadres supérieurs, pour
lesquels vous ne souhaitez pas exiger de connexion lorsqu'ils se trouvent sur le réseau. Si vous configurez des utilisateurs
plutôt que des périphériques réseau, nous vous recommandons de mapper les utilisateurs avec des adresses IP statiques sur
votre serveur DHCP.
Vous pouvez créer des utilisateurs sans client individuellement ou en groupe. Vous pouvez ensuite modifier la configuration
de chaque utilisateur et spécifier les politiques et l'utilisation de la bande passante.
Authentification
Téléchargements clients
Utilisez ces paramètres pour télécharger les clients et les composants qui prennent en charge l'authentification unique,
l'authentification transparente et le chiffrement des e-mails.
Vous pouvez utiliser une authentification sans client transparente via STAS et SATC ou une authentification via les clients
installés sur les terminaux des utilisateurs.
Sophos Transparent Authentication Suite (STAS) : permet une authentification transparente dans laquelle les
informations d'identification Windows peuvent être utilisées pour s'authentifier et l'utilisateur doit se connecter une seule
fois pour accéder aux ressources réseau. Cela ne nécessite pas de client sur la machine de l'utilisateur.
Sophos Authentication for Thin Client (SATC) : permet une authentification transparente pour les utilisateurs dans les
environnements Citrix ou Terminal Services, dans laquelle les informations d'identification réseau peuvent être utilisées
pour s'authentifier et l'utilisateur ne doit se connecter qu'une seule fois. Cela ne nécessite pas de client sur la machine de
l'utilisateur. SATC ne prend en charge que les connexions TCP, pas les connexions UDP.
Services système
Utilisez les services système pour configurer le service de provisionnement RED, la haute disponibilité et les
paramètres de protection globale contre les logiciels malveillants.
D'autres options vous permettent de visualiser l'utilisation de la bande passante et de gérer la bande passante pour
réduire l'impact d'une utilisation intensive. À l'aide des paramètres de journalisation, vous pouvez spécifier
l'activité du système à consigner et comment stocker les journaux. L'anonymisation des données vous permet de
chiffrer les identités dans les journaux et les rapports.
Services système
La haute disponibilité
Vous pouvez configurer un cluster haute disponibilité (HA) en modes actif-passif et actif-actif sur Sophos Firewall.
Sophos Firewall prend en charge la haute disponibilité. Cela garantit la connectivité WAN, la disponibilité des
appliances et le basculement du trafic et des services, ce qui minimise les temps d'arrêt et les interruptions de votre
réseau.
La haute disponibilité (HA) permet de placer deux firewalls dans un groupe et de synchroniser leur configuration.
Cela évite un point de défaillance unique sur votre réseau. Les deux pare-feu ont une connexion par pulsation, ce
qui assure le basculement si l'un des pare-feu tombe en panne.
Services système
RED
Un Remote Ethernet Device (RED) fournit un tunnel sécurisé entre un site distant et Sophos Firewall.
Les RED connectent les succursales distantes à vos bureaux principaux comme si la succursale faisait partie de
votre réseau local. À l'aide des interfaces RED, vous pouvez configurer et installer des appliances RED ou créer un
tunnel RED site à site entre deux appareils Sophos Firewall dans une configuration client-serveur.
Le service de provisionnement RED prend en charge le déploiement RED et fournit des options de sécurité, telles
que l'application de TLS 1.2. Nous maintenons les serveurs de provisioning RED (exemple : red.astaro.com). Il
vous suffit de remplir les détails de configuration RED pour vous inscrire auprès du serveur de provisionnement.
Services système
Réglages généraux
Moteur antivirus principal : moteur antivirus principal à utiliser pour analyser le trafic.
Note:
La modification de ce paramètre peut modifier un moteur antivirus spécifié localement.
Services système
Paramètres du journal
Sophos Firewall fournit des fonctionnalités de journalisation étendues pour les fonctions de protection du trafic, du
système et du réseau. Vous pouvez utiliser les journaux pour analyser l'activité du réseau afin d'identifier les
problèmes de sécurité et de réduire les abus du réseau.
Vous pouvez stocker les journaux localement, les envoyer à Sophos Central ou les envoyer à des serveurs syslog
tiers.
Vous pouvez sélectionner les journaux à stocker ou à envoyer par module ou fonctionnalité, ou vous pouvez
sélectionner tous les journaux.
Vous pouvez supprimer les journaux, en éliminant plusieurs entrées de journal consécutives pour un événement. La
suppression de journal permet d'économiser de l'espace de journalisation et des cycles de traitement. Si vous
activez cette fonctionnalité, elle s'applique aux journaux envoyés à la visionneuse de journaux, à Sophos Central et
aux serveurs syslog tiers. Vous pouvez voir le nombre d'entrées de journal pour un événement sous Occurrence de
journal dans la visionneuse de journal.
Services système
Gestion du trafic
Les politiques de gestion du trafic déterminent la qualité de service (QoS) du trafic.
Vous pouvez créer des politiques pour garantir et limiter la bande passante. Les stratégies peuvent attribuer une bande
passante à des objets individuels ou être partagées entre les objets auxquels vous les appliquez. Vous pouvez également
spécifier une heure pour la stratégie. Vous ne pouvez pas modifier une stratégie après l'avoir créée.
Vous pouvez appliquer des stratégies de gestion du trafic aux règles de pare-feu et aux règles WAF, aux utilisateurs et aux
groupes, aux applications et aux catégories d'applications et aux catégories Web. Pour appliquer une stratégie à ces objets,
vous l'associez à l'objet via le type d'association de stratégie. Seules les stratégies créées pour l'objet apparaissent sur la
page de l'objet pour sélection.
Services système
Gestion du trafic
Sophos Firewall implémente les stratégies de gestion du trafic dans un certain ordre si elles sont associées à plusieurs
objets dans la règle de pare-feu. Par exemple, si vous avez appliqué une règle de gestion du trafic à plusieurs objets dans la
règle de pare-feu, l'ordre suivant s'applique :
Application
Catégorie d'application
Catégorie Web
Utilisateur
Groupe
Règle de pare-feu
Services système
Prestations de service
Afficher l'état du service système et gérer les services.
PROTECTION
Règles et stratégies
Les règles et les politiques permettent au trafic de circuler entre les zones et les réseaux tout en appliquant les
contrôles de sécurité, la traduction des adresses IP, le déchiffrement et l'analyse.
Vous pouvez créer des règles d'inspection de pare-feu, de protection de serveur Web, NAT et SSL/TLS.
Règles et stratégies
Politiques et analyse
• Appliquez des stratégies pour le trafic Web, le contrôle des applications et l'IPS.
• Implémentez le filtrage du proxy Web avec décryptage et analyse.
• Envoyez du contenu pour l'analyse de la protection Zero-day.
• Appliquez l'analyse des logiciels malveillants pour le trafic Web, de messagerie et FTP.
• Appliquez une action sur les terminaux et les serveurs avec une pulsation de sécurité synchronisée, qui envoie
des informations sur leur état de santé à Sophos Firewall.
Règles et stratégies
Les règles WAF protègent les applications et les sites Web hébergés sur des serveurs Web physiques ou basés sur le
cloud contre les exploits et les attaques.
Sophos Firewall agit comme un proxy inverse, protégeant vos serveurs Web internes et externes. Vous pouvez créer
des règles WAF pour le trafic IPv4.Vous pouvez utiliser les règles WAF pour spécifier des serveurs Web virtuels et
les traduire en serveurs physiques sans configurer les règles DNAT et de pare-feu. Vous pouvez également protéger
les applications Web, telles que les applications Salesforce et Microsoft.
Sophos Firewall propose des modèles de règles WAF préconfigurés avec des chemins et des politiques de
protection spécifiques pour Exchange Autodiscover, Outlook Anywhere (Outlook 2007, 2010, 2013), Outlook Web
Access (dans une règle générale Exchange), Lync, Sharepoint (2010 et 2013), Remote Desktop Gateway 2008 R2
et Remote Desktop Web 2008 R2.
Règles et stratégies
Les règles WAF font partie des règles de pare-feu. Pour créer une règle WAF, vous devez ajouter une règle de pare-
feu et définir l'action sur Protéger avec la protection du serveur Web.
Fonctionnalité WAF
Sophos Firewall prend en charge le protocole HTTPS avec Server Name Indication (SNI), ce qui vous permet de
créer plusieurs serveurs Web virtuels sur la même adresse IP et le même port. Les règles WAF prennent en charge
les domaines génériques.
Vous pouvez transférer les demandes d'URL vers des serveurs Web spécifiques, lier des sessions à un serveur Web
ou envoyer toutes les demandes à un serveur Web principal, en utilisant les autres comme serveurs de secours. Les
politiques de mise en forme du trafic ajoutées aux règles WAF vous permettent d'allouer de la bande passante et de
hiérarchiser le trafic en fonction d'un calendrier.
Règles et stratégies
Protection et authentification
Politiques de protection : vous pouvez ajouter des politiques de prévention et de protection contre les intrusions aux
règles WAF. Les politiques de protection vous permettent de protéger les serveurs Web contre les exploits de
vulnérabilité, tels que la manipulation des cookies, des URL et des formulaires. Ils protègent également les serveurs
Web contre les attaques d'applications et de scripts intersites (XSS). Vous pouvez spécifier la puissance du filtre
pour les menaces courantes.
Pour empêcher les attaques lentes par déni de service (DoS) HTTP et appliquer les contrôles de version TLS,
accédez à Serveur Web > Paramètres généraux.
Règles et stratégies
Politiques d'authentification :
Dans les règles WAF, vous pouvez spécifier les réseaux clients à autoriser ou à bloquer. Vous pouvez également
ajouter des stratégies d'authentification aux règles WAF pour protéger les serveurs Web à l'aide d'une
authentification par proxy inverse de base ou basée sur un formulaire. Les paramètres d'authentification du client
dans ces stratégies vous permettent de contrôler l'accès aux chemins spécifiés dans la règle WAF.
Modèles d'authentification :
Vous pouvez télécharger des modèles de formulaire HTML préconfigurés. Pour des modèles HTML et CSS
personnalisables, accédez à la page d'aide du modèle d'authentification.
Ports réservés
Vous ne pouvez pas utiliser certains ports pour WAF car le pare-feu les réserve aux services système. Ces ports sont
réservés même lorsque les services ne sont pas utilisés.
Règles et stratégies
Règles NAT
La traduction d'adresses réseau (NAT) vous permet de traduire les adresses IP et les ports pour le trafic circulant
entre les réseaux.
Il traduit les adresses IP privées en adresses IP publiques, permettant aux réseaux IP privés de se connecter à
Internet et cachant le réseau interne derrière l'adresse IP publique.
Vous pouvez créer des règles NAT source (SNAT) et NAT de destination (DNAT) pour permettre le flux de trafic
entre les réseaux privés et publics en convertissant les adresses IP privées non routables en adresses IP publiques
routables. Vous pouvez créer des règles NAT pour les réseaux IPv4 et IPv6.
Les règles NAT liées sont des règles SNAT et sont créées à partir de règles de pare-feu.
Règles et stratégies
Règles NAT
Les règles de pare-feu autorisent ou rejettent le trafic entrant et sortant du réseau. Les règles NAT traduisent les
adresses IP pour le trafic autorisé par la règle de pare-feu. Vous devez donc créer des règles de pare-feu même si
vous avez créé des règles NAT.
Si Sophos Firewall ne trouve pas de règle de pare-feu correspondant aux critères de trafic, il supprime le trafic et
consigne l'événement. S'il ne trouve pas de règle NAT correspondante, il autorise le trafic mais ne traduit pas
l'adresse IP.
Règles et stratégies
Règles NAT
Trafic sortant : Sophos Firewall applique d'abord la règle de pare-feu, puis la règle SNAT.
Trafic entrant : Sophos Firewall recherche d'abord la règle DNAT pour déterminer la destination traduite (post-
NAT). Il correspond ensuite à la règle de pare-feu en fonction des zones source et de destination, des réseaux
source et de destination, des services et de la planification. Pour la zone de destination, il utilise la zone à laquelle
appartient la destination traduite (post-NAT).
Règles et stratégies
Règles NAT
Source NAT
La configuration d'usine a une règle NAT source par défaut (SNAT) avec la source traduite définie sur MASQ.
Les règles SNAT pour le trafic sortant permettent aux clients et serveurs internes d'accéder aux hôtes externes.
Sophos Firewall peut convertir l'adresse IP source de plusieurs clients et serveurs internes en la même adresse IP
publique avec des numéros de port différents. Vous pouvez configurer une adresse IP ou une plage IP comme
source traduite.
Note
Si vous configurez une plage d'adresses IP comme source traduite, Sophos Firewall attribue la prochaine adresse IP
disponible dans la plage. Il n'effectue pas de traduction un à un même si le nombre d'adresses IP dans la plage est le
même pour les sources originales et traduites.
Règles et stratégies
Règles NAT
Destination NAT
Vous pouvez créer des règles NAT de destination (DNAT) pour le trafic entrant afin de permettre aux hôtes externes
d'accéder aux clients et serveurs internes. Vous pouvez spécifier une traduction un-à-un, plusieurs-à-un, plusieurs-à-
plusieurs et un-à-plusieurs de vos adresses IP publiques vers des adresses IP privées.
Règles NAT
Destination NAT
First alive
Envoie les requêtes au premier serveur disponible de la liste. Le pare-feu n'envoie des demandes au serveur suivant
que lorsque le premier serveur devient indisponible et que vous avez spécifié les paramètres de vérification de
l'état.
Utilisez cette option si vous souhaitez envoyer toutes les demandes à un serveur à large bande passante et utiliser
les autres serveurs uniquement en tant que sauvegardes.
Random
Envoie des requêtes aux serveurs de manière aléatoire.
Règles et stratégies
Sticky IP
Le pare-feu dérive un hachage pour l'adresse IP source et l'adresse IP de destination d'origine. Il utilise ensuite un
modulo pour le nombre de serveurs afin de déterminer l'adresse IP de destination traduite pour le hachage. Ainsi,
pour un couple source-destination, le serveur reste le même.
Si le serveur attribué devient indisponible, le pare-feu envoie le trafic vers le prochain serveur disponible jusqu'à ce
que le serveur précédemment attribué devienne disponible (si vous avez spécifié les paramètres de vérification de
l'état). Cependant, le pare-feu maintient des connexions avec état et établit uniquement de nouvelles connexions
avec le serveur précédemment indisponible.
Utilisez-le lorsque vous souhaitez une persistance de session pour les applications, telles que les paniers d'achat et
les transactions bancaires.
Règles et stratégies
Ont-to-one
Effectue un mappage un à un des adresses IP de destination d'origine et traduites dans l'ordre indiqué et envoie des
demandes aux serveurs en fonction de ce mappage.
Par exemple, le pare-feu envoie toujours les requêtes atteignant la première destination d'origine vers la première
destination traduite de la liste.
Pour enregistrer la règle, assurez-vous que les destinations d'origine et traduites ont un nombre égal d'adresses IP.
Règles et stratégies
Règles NAT
Destination NAT
Traduction de services
Sophos Firewall implémente la redirection de port avec traduction de service. Les services sont une combinaison de
protocoles et de ports. Le protocole traduit doit correspondre au protocole d'origine.
Sophos Firewall implémente la traduction un-à-un, plusieurs-à-un et plusieurs-à-plusieurs. Pour la traduction
plusieurs-à-plusieurs, les ports des services d'origine et traduits doivent être en nombre égal.
Règles et stratégies
Règles NAT
Destination NAT
Règles de bouclage
Vous pouvez créer des règles de bouclage à partir des règles NAT de destination pour permettre aux hôtes internes
de communiquer avec d'autres hôtes internes via l'adresse IP externe ou le nom de domaine. Par exemple, créez une
règle NAT de destination pour traduire le trafic entrant vers vos serveurs et créez une règle de bouclage.
Pour créer une règle de bouclage, spécifiez les critères de règle NAT de destination suivants :
Source d'origine : Tout
Source traduite : Original
Destination traduite : ne pas définir sur l'original.
Règles et stratégies
Règles NAT
Destination NAT
Règles réflexives
Vous pouvez créer une règle NAT miroir pour les règles NAT de destination. Elle inverse les critères de
correspondance de la règle de destination. Par exemple, créez une règle NAT de destination pour traduire le trafic
entrant vers un serveur interne. La règle réflexive correspondante autorisera le trafic du serveur vers la source
spécifiée dans la règle NAT de destination.
Si la destination d'origine n'est pas une adresse IP ou est traduite, la source traduite est masquée.
Règles et stratégies
Certificats auto-signés
Certains serveurs utilisent un certificat auto-signé au lieu d'un certificat signé par une autorité de certification. Les
certificats auto-signés permettent un chiffrement de bout en bout mais ne garantissent pas l'identité du site Web.
Pour ces connexions, Sophos Firewall remplace uniquement la clé du certificat par la clé utilisée pour rechiffrer le
contenu déchiffré et inspecté, et signe le certificat avec cette clé. Il ne re-signe pas ces certificats en tant qu'autorité
de certification, et les clients (exemple : navigateurs) continuent de les voir comme des certificats auto-signés.
Règles et stratégies
Comment faire ?
1. Autoriser le trafic non déchiffrable à l'aide des règles d'inspection SSL/TLS
2. Autoriser les appareils Android à se connecter à Internet
Règles et stratégies
Grâce à la prévention des intrusions, vous pouvez examiner le trafic réseau à la recherche d'anomalies afin
d'empêcher les DoS et autres attaques d'usurpation d'identité. À l'aide de stratégies, vous pouvez définir des règles
qui spécifient une action à entreprendre lorsque le trafic correspond aux critères de signature. Vous pouvez spécifier
la protection sur une base spécifique à la zone et limiter le trafic aux adresses MAC approuvées ou aux paires IP-
MAC. Vous pouvez également créer des règles pour contourner l'inspection DoS.
Comment faire ?
Trouver le nombre de signatures IPS
Prévenir les attaques DoS et DDoS
Prévention des intrusions
Attaques DoS
Le statut d'attaque DoS vous permet de voir si les limites de trafic ont été appliquées et la quantité de données
supprimées après le dépassement de la limite. Le pare-feu applique les limites de trafic spécifiées dans les
paramètres DoS et enregistre les événements correspondants. Les données sont disponibles pour la source et la
destination en temps réel.
Lorsque le pare-feu détecte une attaque DoS, il applique des limites de trafic à la source ou à la destination pendant
10 secondes. Passé ce délai, si l'attaque DoS s'arrête, le pare-feu supprime les limites de trafic. Si l'attaque DoS
continue, le compteur est réinitialisé toutes les 10 secondes sur une base continue et le pare-feu conserve les limites
de trafic. S'il y a une nouvelle attaque DoS de la même source ou vers la même destination, le pare-feu réinitialise
le compteur et applique à nouveau les limites de trafic.
Pour afficher les détails de l'attaque, cliquez sur un type d'attaque.
Prévention des intrusions
Politiques IPS
Avec les stratégies IPS, vous pouvez empêcher les attaques réseau à l'aide de règles. Le pare-feu applique les
actions spécifiées dans les règles et consigne les événements correspondants. L'ensemble de politiques par défaut
empêche les attaques réseau pour plusieurs types de trafic courants. Vous pouvez créer des politiques
personnalisées avec des règles qui répondent à vos exigences de trafic.
Pour ajouter une stratégie, cliquez sur Ajouter et saisissez un nom. Ensuite, vous pouvez cloner les règles à partir
d'une stratégie existante.
Pour ajouter des règles à une stratégie, cliquez sur le bouton Modifier de la stratégie que vous souhaitez modifier et
cliquez sur Ajouter.
Prévention des intrusions
Politiques IPS
Activer la protection IPS
La protection IPS est désactivée par défaut. Pour télécharger les signatures IPS sur Sophos Firewall, configurer les
stratégies IPS et appliquer la protection IPS, vous devez l'activer.
Accédez à Prévention des intrusions > Stratégies IPS pour activer la protection IPS.
Pour pouvoir l'activer, vous devez disposer de l'un des éléments suivants :
• Abonnement à la protection réseau
• Licence d'essai
Note:
Après avoir activé l'abonnement, assurez-vous que la protection IPS est activée.
Prévention des intrusions
Politiques IPS
Signatures IPS
Les signatures identifient les menaces et spécifient une action recommandée à entreprendre lorsque le pare-feu
rencontre un trafic correspondant. Les signatures sont spécifiques aux applications, services ou plates-formes. Le
pare-feu comprend des signatures prédéfinies et vous pouvez également créer des signatures personnalisées.
Prévention des intrusions
Politiques IPS
Signatures IPS
SID : ID de la signature IPS.
Catégorie : Catégorie de signature IPS.
Gravité : Degré de gravité de la menace.
Plate-forme : signatures qui s'appliquent à des plates-formes spécifiques (par exemple, Microsoft Windows).Cible :
signatures basées sur le client ou le serveur.
Action recommandée : action recommandée par le pare-feu lorsque le trafic correspond à la signature.
Prévention des intrusions
Restriction
Vous ne pouvez pas configurer de signatures IPS personnalisées si votre licence d'évaluation a expiré ou si vous désactivez la
protection IPS dans Prévention des intrusions > Stratégies IPS.
Pour conserver les signatures IPS personnalisées que vous avez configurées, nous vous recommandons de réactiver la
protection IPS dans les 30 jours suivant l'expiration de la licence ou de désactiver manuellement la protection IPS.
Prévention des intrusions
Note: Pour sélectionner le filtre MAC, vous devez ajouter au moins une adresse MAC de confiance.
Filtre de paire IP–MAC : Une paire IP–MAC est une adresse MAC de confiance qui est liée à une adresse IP. Pour qu'une
correspondance se produise, les adresses IP et MAC d'un paquet entrant doivent correspondre à une paire IP-MAC. Si
l'adresse IP ou MAC ne correspond à aucune paire, le pare-feu abandonne le paquet.
Web
Comment faire ?
Stratégies
Avec les politiques Web, vous pouvez créer des règles pour contrôler les activités de navigation Web des
utilisateurs finaux.
Les stratégies prennent effet lorsque vous les ajoutez aux règles de pare-feu. L'ensemble de stratégies par défaut
spécifie certaines restrictions courantes. Vous pouvez modifier l'une des politiques par défaut pour l'adapter à vos
besoins ou créer de nouvelles politiques.
Pour modifier une politique, recherchez la politique que vous souhaitez modifier et cliquez sur le bouton Modifier.
Pour tester et dépanner les stratégies, cliquez sur Testeur de stratégie.
Web
Stratégies
Règles de politique
Les règles spécifient les critères suivants :
Utilisateurs auxquels la règle s'applique.
Note: Les utilisateurs spécifiés par les règles de pare-feu ont priorité sur ceux spécifiés par les politiques.
Activités décrivant le type d'utilisation à restreindre. Ceux-ci incluent les activités des utilisateurs, les catégories, les
groupes d'URL, les types de fichiers et les catégories dynamiques.
Filtres de contenu pour restreindre le contenu Web qui contient des termes dans les listes spécifiées.
Une action à entreprendre lorsque le pare-feu rencontre du trafic HTTP qui correspond aux critères de la règle.
Vous pouvez également spécifier une action distincte pour le trafic HTTPS et définir une planification pour la règle.
Web
Stratégies
Règles de politique
Note: Pour qu'une règle soit efficace, assurez-vous qu'elle est activée.
Le pare-feu évalue les règles de la plus élevée à la plus faible. Par exemple, si une règle qui autorise tout le trafic précède
une règle qui bloque un type de trafic spécifique, la règle qui autorise tout le trafic est la règle effective.
Voici un exemple :
La stratégie suivante inclut une règle distincte pour les fichiers .mdb. Étant donné que la règle est positionnée au-dessus de
la règle pour les fichiers de base de données, qui inclut le type de fichier .mdb, la stratégie autorise l'accès aux fichiers .mdb
et bloque tous les autres fichiers de base de données.
Web
Quota de stratégie
À l'aide du quota de temps, vous pouvez autoriser l'accès à des sites Web restreints pendant une période limitée. Cela
s'applique à toutes les catégories Web restreintes dans la stratégie avec une action de quota. Le quota de temps s'applique à
toutes les règles de la stratégie Web. Les utilisateurs peuvent avoir des quotas individuels pour chaque stratégie Web.
Lorsque vous modifiez le quota, les modifications ne sont pas appliquées si la stratégie Web n'est pas valide, si l'utilisateur
n'a plus de quota de temps ou si une session de quota est active dans la stratégie Web.
Détails des quotas :
Lorsque le trafic du quota correspond à une règle d'inspection SSL/TLS dont l'action est définie sur Refuser, le quota ne
prend pas effet et le site Web continue d'être bloqué. Pour éviter cela, accédez à Web > Exceptions et créez une exception
pour ignorer le déchiffrement HTTPS pour les critères correspondants.
Pour voir le quota restant et le réinitialiser, accédez à Web > État du quota de stratégie.
Pour personnaliser la page de notification de quota, accédez à Web > Notifications utilisateur.
Web
• Remplacements de stratégie et quota de temps : au lieu d'utiliser leur quota, les utilisateurs autorisés à remplacer les
stratégies Web peuvent se connecter au portail utilisateur et s'accorder un accès temporaire aux sites Web qu'une
stratégie Web bloquerait normalement. Lorsqu'ils utilisent le remplacement de la politique, le quota ne s'applique pas.
• Action de l'utilisateur : lorsque les utilisateurs tentent d'accéder à une page restreinte par un quota de temps, une page de
blocage de quota s'affiche. Ils peuvent spécifier le quota qu'ils souhaitent utiliser et sélectionner Continuer. S'ils ne
souhaitent pas utiliser leur quota, ils doivent sélectionner Retourner à la page précédente. La page de blocage
réapparaît à la fin de la période. Lorsque les utilisateurs dépassent leur quota, un message s'affiche indiquant qu'il ne
reste plus de quota de temps.
Web
Vous pouvez voir le quota de temps restant pour les utilisateurs individuels dans des politiques Web spécifiques sur une
période de 24 heures.
Le quota de temps s'applique aux catégories Web avec une action de quota dans une stratégie Web.
Pour réinitialiser le quota de temps des utilisateurs, sélectionnez les utilisateurs et sélectionnez Réinitialiser.
Web
Activités de l'utilisateur
Les activités des utilisateurs combinent des catégories Web, des types de fichiers et des groupes d'URL dans un conteneur.
Vous pouvez inclure les activités des utilisateurs dans les stratégies pour contrôler l'accès aux sites Web ou aux fichiers qui
correspondent à l'un des critères spécifiés.
• Pour modifier une activité utilisateur, cliquez sur le bouton Modifier.
• Pour cloner une activité utilisateur, cliquez sur le bouton Modifier.
Activités de l'utilisateur
Catégories
Avec les catégories Web, vous pouvez organiser et classer les domaines et les mots-clés dans un conteneur. Vous pouvez
utiliser des catégories dans les stratégies pour contrôler l'accès aux sites Web.
Pour modifier une catégorie, cliquez sur le bouton Modifier.
Au sein d'une catégorie, vous pouvez créer une liste de domaines et de mots-clés spécifiques à votre organisation ou
importer une base de données. Celles-ci incluent des listes de blocage spécifiques à un pays et des listes de catégorisation
open source. Sophos Firewall vérifie les mises à jour toutes les deux heures.
Pour les pages Web classées comme activités criminelles hautement répréhensibles, Sophos Firewall agit comme suit :
Bloquer toujours ces pages Web. Il ne mettra en œuvre aucune politique ou exclusion autorisant ces pages.
Masquer le nom de domaine dans les journaux et les rapports.
Web
Catégories
Classification : Catégorisation qui vous permet de filtrer et de gérer les catégories.
Politique de mise en forme du trafic : politique qui détermine les limites d'utilisation et la bande passante allouée pour le trafic de
chargement et de téléchargement.
Groupes d'URL
Les groupes d'URL contiennent un ou plusieurs domaines que vous pouvez utiliser dans les stratégies Web pour contrôler
l'accès aux sites Web.
Pour modifier un groupe d'URL, cliquez sur le bouton Modifier.
La règle d'exclusion SSL/TLS par défaut exclut ces groupes du déchiffrement TLS :Liste d'exclusion TLS locale : vous
pouvez ajouter des URL à cette liste.
Liste d'exclusion TLS gérée : domaines connus pour être incompatibles avec le déchiffrement TLS. Les mises à jour du
firmware peuvent mettre à jour cette liste.
Note: Vous pouvez avoir un maximum de 128 URL dans un groupe d'URL.
Web
Exceptions
Sauf exception, vous pouvez remplacer les paramètres de protection pour tout le trafic Web qui correspond aux critères
spécifiés, quelles que soient les stratégies ou règles en vigueur.
Par exemple, vous pouvez créer une exception pour ignorer le déchiffrement HTTPS pour les sites contenant des données
confidentielles. L'ensemble d'exceptions par défaut permet les mises à jour logicielles et d'autres fonctions importantes pour
les sites Web bien connus sans être affectés par le filtrage Web.
Les comportements que vous pouvez remplacer incluent la vérification par la protection Zero-day. Les exceptions (y
compris celles créées dans les versions précédentes) qui ignorent l'analyse des logiciels malveillants ignorent également
l'analyse de la protection Zero-day.
Note: Pour qu'une exception soit effective, elle doit être activée.
Web
Exceptions
Sauf exception, vous pouvez remplacer les paramètres de protection pour tout le trafic Web qui correspond aux critères
spécifiés, quelles que soient les stratégies ou règles en vigueur.
Par exemple, vous pouvez créer une exception pour ignorer le déchiffrement HTTPS pour les sites contenant des données
confidentielles. L'ensemble d'exceptions par défaut permet les mises à jour logicielles et d'autres fonctions importantes pour
les sites Web bien connus sans être affectés par le filtrage Web.
Les comportements que vous pouvez remplacer incluent la vérification par la protection Zero-day. Les exceptions (y
compris celles créées dans les versions précédentes) qui ignorent l'analyse des logiciels malveillants ignorent également
l'analyse de la protection Zero-day.
Note: Pour qu'une exception soit effective, elle doit être activée.
Web
Réglages généraux
Le pare-feu analyse le trafic HTTP(S) et FTP à la recherche de menaces telles que spécifiées par vos règles de pare-feu et
d'une utilisation Web inappropriée lorsqu'une stratégie Web est sélectionnée pour une règle. Ces paramètres s'appliquent
uniquement au trafic qui correspond aux règles de pare-feu avec ces options définies. Vous pouvez spécifier le type
d'analyse, la taille maximale du fichier à analyser et des vérifications supplémentaires. Vous pouvez également créer des
dérogations de stratégie pour permettre aux utilisateurs finaux d'accéder à des sites Web autrement bloqués.
Bloquer les protocoles SSL non reconnus : empêche le trafic qui évite l'analyse HTTPS en utilisant des protocoles SSL
non valides.
Bloquer les certificats invalides : se connecte uniquement aux sites avec un certificat valide. Le paramètre s'applique
uniquement au proxy Web. Pour configurer les paramètres de validation de certificat pour le moteur DPI, utilisez les profils
de déchiffrement.
Web
Pour désactiver la validation des certificats pour des sites Web, des catégories Web ou des adresses IP source et de
destination spécifiques, accédez à Web > Exceptions.
Pour les erreurs et les actions de politique de blocage/avertissement sur les connexions HTTPS lorsque Déchiffrer et
analyser est désactivé : lorsqu'une requête HTTPS entraîne une action de politique de blocage ou d'avertissement où
Déchiffrer et analyser HTTPS est désactivé, vous pouvez soit afficher une notification à l'utilisateur, soit interrompre la
connexion sans notification à l'utilisateur.
Note: Les navigateurs peuvent afficher des avertissements de certificat si l'autorité de certification HTTPS n'est pas
installée.
Web
Remplacements de politique
Les remplacements de stratégie permettent aux utilisateurs autorisés de s'accorder un accès temporaire à des sites Web qui
seraient normalement bloqués par une stratégie Web. Les utilisateurs autorisés créent des dérogations de stratégie dans le
portail utilisateur, en spécifiant des sites Web et des catégories, une plage horaire et des codes d'accès. Lorsqu'un utilisateur
visite un site pour lequel un remplacement est spécifié, la page de blocage contiendra un champ supplémentaire permettant à
l'utilisateur d'entrer un code d'accès.
Pour afficher et gérer les remplacements actuellement spécifiés, sélectionnez Afficher les remplacements. Ces
paramètres vous permettent d'activer ou de désactiver les remplacements et de les supprimer.
Activer le remplacement de politique : Autorisez les utilisateurs autorisés à créer des remplacements de politique Web
dans le portail utilisateur.
Utilisateurs et groupes autorisés : Utilisateurs et groupes qui pourront créer et gérer des remplacements.
Web
Remplacements de politique
Sites Web et catégories bloqués : sites Web et catégories Web qui ne peuvent jamais être contournés par les dérogations à
la politique Web.
Autoriser la saisie manuelle du code d'accès : autorisez les utilisateurs spécifiés à créer leurs propres codes d'accès dans le
portail utilisateur. Si cette option n'est pas activée, les utilisateurs doivent utiliser les codes générés.
Lorsque le trafic de remplacement de politique correspond à une règle d'inspection SSL/TLS dont l'action est définie sur
Refuser, le remplacement ne prend pas effet et le site Web est bloqué. Pour éviter cela, accédez à Web > Exceptions et
créez une exception pour ignorer le déchiffrement HTTPS pour les critères correspondants.
Web
Le remplacement de stratégie suivant permet aux utilisateurs du groupe Enseignants d'autoriser les utilisateurs finaux à
accéder à des sites Web autrement bloqués. Cependant, lorsque la dérogation est en vigueur, les utilisateurs finaux ne
pourront pas accéder aux sites Web de la catégorie Alcool et tabac.
Web
Note: La stratégie IPS s'applique au trafic entre le proxy et le WAN, mais pas entre l'utilisateur et le proxy.
Note: La politique de mise en forme du trafic ne s'applique pas au trafic proxy direct.
Port d'écoute du proxy Web : port sur lequel le proxy Web écoutera les demandes de connexion HTTP.
Ports de destination autorisés : le pare-feu peut recevoir des demandes de connexion à des serveurs distants à l'aide d'un port
non standard. Spécifiez les ports sur lesquels le proxy autorisera la connexion. (Ce paramètre s'applique uniquement lorsque
le port d'écoute du proxy Web est défini.)
Web
Avertissement:
Autoriser la connexion sur des ports non standard peut présenter un risque pour la sécurité.
Version TLS minimale : sélectionnez la version TLS minimale pour le proxy Web et le portail captif en même temps.
Web
Types de fichier
Un type de fichier est une classification déterminée par l'extension de fichier ou le type MIME.
Vous pouvez inclure des types de fichiers dans les politiques Web et de messagerie pour contrôler l'accès aux fichiers. Les
types de fichiers par défaut contiennent certains critères communs. Vous pouvez créer des types de fichiers supplémentaires.
Pour modifier un type de fichier, cliquez sur le bouton Modifier.
Note:
Vous ne pouvez modifier que les types de fichiers personnalisés.
Web
Quotas de surf
Les quotas de surf vous permettent d'allouer du temps d'accès à Internet à vos utilisateurs.
Les quotas autorisent l'accès sur une base cyclique (répétition) ou non cyclique (une seule fois). Vous pouvez ajouter des
quotas et spécifier le temps d'accès autorisé, ou utiliser les quotas par défaut. Pour modifier un quota de surf, cliquez sur le
bouton Modifier Modifier.
Note: Lorsque plusieurs quotas s'appliquent à un utilisateur, le pare-feu restreint l'accès en fonction de la première stratégie
qui atteint sa limite.
Le quota suivant donne un accès illimité pendant une semaine sur une base unique.
Web
Notifications utilisateur
Le pare-feu affiche une notification aux utilisateurs lorsqu'une stratégie Web est définie pour bloquer l'accès ou avertir avant
de se connecter.
Pour spécifier une image à afficher sur les pages de notification, cochez la case Utiliser des images personnalisées et
choisissez des images.
Pour créer une notification de blocage, sélectionnez l'une des instances suivantes et saisissez un message.
Utiliser un message de blocage personnalisé
Utiliser le message de remplacement personnalisé
Utiliser le message de quota personnalisé
Pour créer une notification d'avertissement, cochez la case Utiliser un message d'avertissement personnalisé et saisissez un
message.
Pour afficher un message dans votre navigateur, cliquez sur un lien d'aperçu.
Web
Filtres de contenu
Un filtre de contenu est une liste nommée de termes. Vous pouvez utiliser des filtres de contenu dans les stratégies pour
restreindre l'accès aux sites Web contenant l'un des termes répertoriés. L'ensemble de filtres par défaut comprend des termes qui
sont bloqués par de nombreuses organisations.
Pour créer un filtre, cliquez sur Ajouter un filtre de contenu, saisissez un nom et sélectionnez un fichier texte brut (.txt).
Pour le fichier texte, respectez les exigences suivantes :
Écrivez chaque terme sur une ligne distincte. Le pare-feu évalue le fichier ligne par ligne. Pour qu'une correspondance se
produise, la ligne doit être une correspondance exacte.
Les métadonnées, les commentaires et la mise en forme des colonnes ne sont pas pris en charge.
Les listes de mots contenant des caractères en dehors du jeu de caractères ASCII doivent être enregistrées à l'aide du codage
UTF-8.
La longueur maximale du fichier est de 2000 lignes.
La longueur de ligne maximale est de 80 caractères, y compris les espaces et la ponctuation.
Web
La protection Web protège votre entreprise contre les attaques résultant de la navigation sur le Web et vous aide à
augmenter votre productivité. Vous pouvez définir des restrictions de navigation avec des catégories, des groupes
d'URL et des types de fichiers.
En ajoutant ces restrictions aux politiques, vous pouvez bloquer des sites Web ou afficher un message
d'avertissement aux utilisateurs. Par exemple, vous pouvez bloquer l'accès aux sites de réseaux sociaux et aux
fichiers exécutables.
Les paramètres généraux vous permettent de spécifier les moteurs d'analyse et d'autres types de protection. Les
exceptions vous permettent de remplacer la protection selon les besoins de votre entreprise.
Applications
La protection des applications permet de protéger votre organisation contre les attaques et les logiciels malveillants
résultant des exploits du trafic des applications.
Vous pouvez également appliquer des restrictions de bande passante et restreindre le trafic des applications qui
réduisent la productivité. Les filtres d'application vous permettent de contrôler le trafic par catégorie ou sur une
base individuelle. Avec le contrôle synchronisé des applications, vous pouvez limiter le trafic sur les terminaux
administrés avec Sophos Central.
Comment faire ?
Filtre d'applications
Avec les politiques de filtrage des applications, vous pouvez contrôler l'accès aux applications pour les utilisateurs
derrière le pare-feu.
Les stratégies spécifient l'accès aux catégories d'applications ou aux applications individuelles à l'aide de règles.
L'ensemble de stratégies par défaut inclut certaines restrictions couramment utilisées. Vous pouvez également créer
des stratégies personnalisées en fonction des exigences de votre organisation.
Dans les stratégies de filtrage des applications, le proxy Web détecte les applications qui utilisent HTTPS.
Pour ajouter une politique de filtrage d'application, cliquez sur Ajouter. Lorsque vous ajoutez une politique, vous
pouvez sélectionner n'importe quelle politique comme modèle. Ensuite, après avoir enregistré la stratégie, vous
pouvez ajouter ou modifier des règles.
Pour modifier une politique, recherchez la politique que vous souhaitez modifier et cliquez sur le bouton Modifier
Applications
Note
Si vous utilisez Synchronized Application Control pour la première fois, vous devez l'activer depuis Sophos
Central.
Applications
Recherche d'applications
Vous pouvez rechercher des applications par nom d'application, chemin, catégorie ou endpoints. Pour contrôler l'étendue
de la recherche, sélectionnez une option dans la liste. Exemple : applications système.
Applications
Applications infonuagiques
En analysant le trafic des applications cloud, vous pouvez atténuer les risques posés par l'utilisation des applications
cloud. Les options vous permettent de classer le trafic et d'appliquer une politique de mise en forme du trafic.
Utilisez les filtres pour affiner les résultats de la recherche par date, classification, catégorie et octets transférés. Par
exemple, vous pouvez filtrer le trafic pour n'afficher que le trafic non autorisé sur les réseaux sociaux pendant une période
spécifiée.
Note: Les résultats incluent uniquement le trafic autorisé et les applications qui ont du trafic. Vérifiez les paramètres de
votre application bloquée.
Applications
Applications cloud
Note: Le pare-feu Sophos affiche le nombre de chargements et de téléchargements et les informations sur le type de
fichier uniquement pour le trafic où le déchiffrement HTTPS est activé. Certaines applications utilisent des méthodes non
standard pour envoyer ou recevoir des téléchargements de fichiers, ce qui fait que ces points de données sont vides ou
semblent inexacts.
Pour afficher les détails du trafic, cliquez sur le bouton Développer.
Par défaut, tout le trafic d'application est classé comme nouveau.
Pour appliquer une classification différente, cliquez sur Classer, sélectionnez une classification, puis cliquez sur
Appliquer.
Note: La nouvelle classification s'appliquera uniquement au nouveau trafic de l'application.
Pour contrôler l'utilisation de la bande passante par les applications cloud, vous pouvez appliquer une politique de gestion
du trafic. Par exemple, vous souhaiterez peut-être limiter le trafic de streaming vidéo,
Applications
Applications cloud
Paramètres recommandés
Pour optimiser l'efficacité des rapports sur le trafic cloud, utilisez les paramètres de règle de pare-feu suivants :Pour un
rapport de base sur les octets consommés (octets entrants et sortants), activez Consigner le trafic du pare-feu.
Pour plus de précision et de détails, activez Déchiffrer et analyser HTTPS et définissez une politique Web autre que
"Aucune".
Applications
Vous pouvez implémenter des restrictions de bande passante à l'aide de stratégies de mise en forme du trafic. Vous pouvez
appliquer des politiques de mise en forme du trafic par défaut à des catégories ou à des applications individuelles.
Pour afficher ou modifier la politique de mise en forme du trafic associée à une catégorie, cliquez sur le bouton Modifier.
Pour afficher les applications d'une catégorie, cliquez sur le bouton Développer. Pour afficher ou modifier la stratégie
associée à une application, cliquez sur le bouton Modifier.
Applications
Objet d'application
Un objet d'application est utilisé avec une route de stratégie SD-WAN permettant un contrôle facile de la façon dont le
trafic de l'application est acheminé sur le réseau.
Un objet application est composé d'une ou plusieurs applications pour lesquelles le trafic doit être acheminé ensemble.
Par exemple, vous pouvez utiliser plus d'une application VoIP mais souhaitez que tout le trafic de ces applications soit
acheminé ensemble.
Les applications disponibles sont mises à jour dynamiquement via les mises à jour IPS lorsqu'elles sont ajoutées par
Sophos ou via la découverte SSC lorsqu'elles sont ajoutées manuellement.
Réseau sans fil
La protection sans fil vous permet de définir des réseaux sans fil et d'en contrôler l'accès.
Le pare-feu prend en charge les derniers niveaux de sécurité et de cryptage, y compris l'analyse des points d'accès
non autorisés et WPA2 (Wi-Fi Protected Access 2). WPA2 est une norme de sécurité basée sur AES (Advanced
Encryption Standard) pour les réseaux sans fil.
La protection sans fil vous permet de configurer et de gérer les points d'accès, les réseaux sans fil et les clients.
Vous pouvez également ajouter et gérer des réseaux maillés et des points d'accès.
Réseau sans fil
Comment faire ?
La liste des clients sans fil affiche tous les clients actuellement connectés à un réseau sans fil via un point d'accès.
Vous pouvez afficher les clients par point d'accès ou SSID.
Les caractéristiques de connexion telles que la force du signal et la fréquence sont également affichées.
Réseaux sans fil
Un réseau sans fil fournit des paramètres de connexion communs pour les clients sans fil. Ces paramètres incluent
le SSID, le mode de sécurité et la méthode de gestion du trafic client.
Lorsque vous ajoutez un réseau sans fil à un point d'accès, vous définissez la méthode d'intégration du trafic sur le
réseau sans fil dans votre réseau local.
Réseau sans fil
Zone séparée
Le réseau sans fil est traité comme un réseau séparé avec la plage d'adresses IP spécifiée. Utilisez cette option pour
configurer les règles de pare-feu pour les SSID spécifiés. Tout le trafic provenant d'un réseau de zone distinct est
envoyé à Sophos Firewall à l'aide du protocole Virtual Extensible LAN (VXLAN). VXLAN est un tunnel virtuel
qui encapsule des trames Ethernet de couche 2 dans des paquets IP de couche 3.L'encapsulation réduit la taille de
MTU disponible. Un MTU inférieur entraîne une fragmentation plus élevée et peut parfois ralentir le trafic. Pour
éviter ce problème, vous pouvez effectuer l'une des opérations suivantes :Utilisez Bridge to AP LAN ou Bridge to
VLAN.
Si vous devez utiliser une zone distincte, réduisez la valeur MTU sur les terminaux des utilisateurs.
Réseau sans fil
Sophos Firewall prend en charge les types de points d'accès et de modules d'extension suivants :
Points d'accès intérieurs, tels que les séries APX et AP.
Points d'accès extérieurs, tels que AP 100X et APX 320X.Appareils sans fil RED, tels que RED 15w.
Pare-feu intégrés avec Wi-Fi intégré, tels que XG 135w et XGS 107w.
Module d'extension Wi-Fi : vous pouvez utiliser ce module optionnel avec certaines appliances Sophos Firewall et SD-
RED.
Réseau sans fil
Points d'accès
Vous pouvez ajouter jusqu'à huit réseaux sans fil à un seul point d'accès. Faites comme suit :
Accédez à Sans fil > Points d'accès.
Cliquez sur le nom du point d'accès auquel vous souhaitez ajouter le réseau sans fil.
Dans Réseaux sans fil, cliquez sur Ajouter un nouvel élément.
Sélectionnez jusqu'à huit réseaux et cliquez sur Appliquer.
Cliquez sur Enregistrer.
Réseau sans fil
Groupes de points d'accès
Avec les groupes de points d'accès, vous pouvez attribuer des réseaux sans fil et spécifier le balisage VLAN à un groupe de
points d'accès. Les groupes offrent une méthode pratique de gestion des réseaux sans fil pour plusieurs points d'accès, plutôt
qu'individuellement.
Note: Si vous désactivez un groupe, tous les points d'accès inclus cesseront de diffuser les réseaux sans fil.
Réglages généraux
Réseaux sans fil : réseaux sans fil à inclure dans le groupe. Tous les réseaux seront affectés aux points d'accès que vous
spécifiez.
Balisage VLAN : Connectez les points d'accès avec l'interface Ethernet VLAN spécifiée.
Points d'accès : points d'accès auxquels les réseaux sans fil spécifiés seront affectés.
Email
Gérez le routage des e-mails et protégez les domaines et les serveurs de messagerie. Vous pouvez configurer des
politiques SMTP/S, POP/S et IMAP/S avec des contrôles de spam et de logiciels malveillants, la protection des
données et le chiffrement des e-mails.
Comment faire ?
Configurer la protection du serveur de messagerie hébergé dans le cloud
Configurer la protection des e-mails en mode MTA
Configurer le mode MTA avec plusieurs adresses IP WAN ou alias
Configurer Microsoft Office 365 avec Sophos Firewall
Analyser le trafic SMTP entrant et sortant
Configurer l'analyse POP-IMAP
Configurer le résumé de quarantaine (mode MTA)Crypter les e-mails sortants en mode MTA
Protéger le serveur de messagerie interne en mode hérité
Activer la réputation IP
Email
Comment faire ?
Configurer la protection du serveur de messagerie hébergé dans le cloud
Configurer la protection des e-mails en mode MTA
Configurer le mode MTA avec plusieurs adresses IP WAN ou alias
Configurer Microsoft Office 365 avec Sophos Firewall
Analyser le trafic SMTP entrant et sortant
Configurer l'analyse POP-IMAP
Configurer le résumé de quarantaine (mode MTA)Crypter les e-mails sortants en mode MTA
Protéger le serveur de messagerie interne en mode hérité
Activer la réputation IP
Email
Politiques et exceptions
MTA mode
Vous pouvez spécifier les paramètres de routage, de protection et de cryptage des e-mails liés aux domaines
protégés. Vous pouvez créer des exceptions à partir de vérifications pour des expéditeurs et des destinataires
spécifiques.
• Pour ajouter une politique SMTP, cliquez sur Ajouter une politique, puis sur Route et analyse SMTP.
• Pour ajouter une politique POP-IMAP, cliquez sur Ajouter une politique, puis cliquez sur Analyse POP-IMAP.
• Pour ignorer les vérifications d'expéditeurs et de destinataires spécifiques, cliquez sur Ajouter une exception et
spécifiez vos paramètres.
• Pour modifier une stratégie, cliquez sur le bouton Modifier.
Email
Politiques et exceptions
MTA mode
Note:
Sophos Firewall applique automatiquement la stratégie de scan POP-IMAP par défaut (default-pop-av) au trafic
POP3/S et IMAP/S lorsque vous vous abonnez au module de protection de la messagerie.
Il supprime les pièces jointes infectées par des virus des e-mails et remplace le corps de l'e-mail par un message de
notification.
Email
Politiques et exceptions
Mode hérité
Avec les politiques, vous pouvez appliquer des contrôles de spam et de logiciels malveillants ainsi qu'une
protection des fichiers et des données pour les e-mails entrants et sortants. Vous pouvez spécifier les paramètres de
quarantaine, de chiffrement et de notification.
• Pour ajouter une stratégie anti-programme malveillant SMTP, cliquez sur Ajouter une stratégie, puis cliquez sur
Analyse anti-programme malveillant SMTP.
• Pour ajouter une politique anti-spam SMTP, cliquez sur Ajouter une politique, puis cliquez sur Analyse anti-
spam SMTP.
• Pour ajouter une politique POP-IMAP, cliquez sur Ajouter une politique, puis cliquez sur Analyse POP-IMAP.
• Pour modifier une stratégie, cliquez sur le bouton Modifier.
Email
Politiques et exceptions
Mode hérité
Note: En mode hérité, Sophos Firewall agit comme un proxy de messagerie transparent.
Sophos Firewall applique automatiquement les stratégies par défaut suivantes lorsque vous vous abonnez au
module de protection de la messagerie :
• Stratégie d'analyse des logiciels malveillants SMTP (default-smtp-av) sur le trafic SMTP.
• Politique d'analyse POP-IMAP (default-pop-av) vers le trafic POP3/S et IMAP/S. Il supprime les pièces jointes
infectées par des virus des e-mails et remplace le corps de l'e-mail par un message de notification.
Serveur Web
Vous pouvez protéger les serveurs Web contre les exploits de vulnérabilité de la couche 7 (application), tels que la
manipulation des cookies, des URL et des formulaires. Vous pouvez configurer les serveurs Web que vous
souhaitez protéger ainsi que les politiques de protection et d'authentification. Pour protéger les serveurs Web,
ajoutez-les ainsi que les stratégies aux règles du pare-feu d'application Web (WAF). Les paramètres généraux
s'appliquent à tous les serveurs Web protégés.
Vous pouvez créer n'importe quel nombre de règles WAF, mais seules 60 règles peuvent être actives simultanément.
Serveur Web
Définissez les serveurs à protéger. Les serveurs Web spécifient un hôte, un type et d'autres paramètres de
connexion. Vous pouvez protéger les serveurs de texte brut (HTTP) et chiffrés (HTTPS).
Connexion persistante
Gardez la connexion entre le pare-feu et le serveur Web ouverte au lieu d'ouvrir une nouvelle connexion pour chaque requête.
Note: Vérifiez si votre serveur Web prend en charge le maintien en vie avant d'activer ce paramètre.
Serveur Web
Serveur Web
Paramètres à spécifier
Port
Port de serveur. Saisissez le numéro de port sur lequel accéder au serveur Web hébergé. Les valeurs par défaut sont le port 80
pour HTTP et le port 443 pour HTTPS. Vous pouvez utiliser le même port (par exemple, 443) pour SSL VPN et WAF. Dans ce
cas, le VPN SSL fonctionne sur n'importe quelle adresse IP à l'exception de l'adresse IP (adresse hébergée) configurée pour
WAF.WAF ne peut pas partager le même port que le portail utilisateur. Le port du portail utilisateur par défaut est 443.
Délai d’attente
Définissez une valeur de délai d'attente de connexion, c'est-à-dire le nombre de secondes pendant lesquelles le WAF attend les
données envoyées par ou envoyées au serveur Web réel. Les valeurs de 1 à 65535 secondes sont autorisées. Les données
peuvent être reçues tant que le serveur Web envoie des données avant l'expiration du délai d'attente. Une fois le délai
d'expiration expiré, le WAF envoie un message HTTP 502 aux clients. Le délai d'attente par défaut est de 300 secondes.
Serveur Web
Serveur Web
Paramètres à spécifier
Note: L'activation de ce paramètre peut entraîner une diminution des performances et est recommandée uniquement à des fins
de dépannage.
Serveur Web
Politiques de protection
À l'aide de stratégies, vous pouvez définir une protection contre les exploits de vulnérabilité, tels que la manipulation de
cookies, d'URL et de formulaires.
Les stratégies atténuent également les menaces courantes, telles que les attaques de scripts d'application et intersites
(XSS).Sophos Firewall fournit des stratégies par défaut pour certains services Web courants, par exemple Exchange
Autodiscover.
Serveur Web
Politiques d'authentification
À l'aide de stratégies d'authentification, vous pouvez fournir une authentification par proxy inverse de base ou basée sur un
formulaire pour vos serveurs Web. Vous pouvez également les utiliser pour contrôler l'accès aux chemins spécifiés dans les
règles de pare-feu. Le pare-feu prend en charge l'authentification HTTP de base comme décrit dans RFC 7617. Les stratégies
d'authentification spécifient une méthode d'authentification et des utilisateurs.
Modèles d'authentification
Les modèles d'authentification définissent des formulaires HTML à utiliser dans les stratégies d'authentification basées sur des
formulaires.
Sophos Firewall fournit des modèles HTML et CSS personnalisables. Pour vous assurer que les modèles d'authentification
fonctionnent correctement, apprenez-en plus sur les variables.
Serveur Web
Réglages généraux
La protection HTTP lente permet de se protéger contre les attaques HTTP lentes en définissant un délai d'attente pour les en-
têtes de requête.
Serveur Web
Réglages généraux
Restriction:
Sophos Firewall implémente uniquement la protection pour les types d'hôtes IP IP et Réseau. Ne spécifiez pas de plage
d'adresses IP ni de liste d'adresses IP.
Serveur Web
Réglages généraux
Note:
Vérifiez la prise en charge TLS de votre navigateur avant de sélectionner une version. Si vous sélectionnez TLS version
1.2, les clients tels que Microsoft Internet Explorer 8 ou version antérieure et ceux qui s'exécutent sous Windows XP ne
pourront pas se connecter au WAF.
Protection avancée
La protection avancée analyse le trafic réseau entrant et sortant (par exemple les requêtes DNS, les requêtes HTTP et les
paquets IP) à la recherche de menaces.
Il vous permet de détecter les terminaux compromis sur votre réseau et de déclencher une alerte ou de supprimer le trafic
de ces terminaux.
Pour activer la protection avancée contre les menaces, cliquez sur le bouton marche/arrêt. Lorsque vous l'allumez, vous
pouvez configurer les paramètres suivants :
Protection avancée
Politique
Sélectionnez l'action que vous souhaitez qu'ATP entreprenne lorsqu'une menace est détectée :
• Journaliser uniquement : enregistre le paquet de données mais autorise toujours le flux de données.
• Journaliser et supprimer : enregistre et supprime le paquet.
Par défaut, Journal uniquement est sélectionné.
Exceptions réseau/hôte
Spécifiez les réseaux et les hôtes que vous souhaitez exclure de l'analyse ATP. Pour ce faire, cliquez sur Ajouter un
nouvel élément et sélectionnez le réseau ou l'hôte que vous souhaitez exclure. Si aucune définition n'existe, cliquez
sur Créer nouveau pour en ajouter une nouvelle.
Protection avancée
NB: Vous pouvez exposer votre réseau à de graves risques si vous excluez des sources ou des destinations.
Protection avancée
NB : La différence de performances entre Inspecter le contenu non approuvé et Inspecter tout le contenu est
minime. Cependant, il peut être important dans les environnements à fort trafic.