Dans cette partie, vous allez configurer les objets réseau nécessaires à la mise en place de règles de filtrage et de NAT permettant d’accéder à vos services serveurs en DMZ de l'Agence A à ceux de l'Agence B.

Les menus de configuration des pare-feux Stormshield Network utilisent des objets qui représentent des valeurs (adresse IP, adresse réseau, URL, événement temporel, etc.).

L’utilisation d’objets au lieu de valeurs présente deux avantages majeurs :

• Cela permet à l’administrateur de manipuler des noms, plus parlants que des valeurs.
• Dans le cas où une valeur change, il suffira de modifier la valeur au niveau de l’objet et non dans tous les menus où l’objet est utilisé.

La création et la configuration des objets s’effectuent :

• Dans le menu : CONFIGURATION / OBJETS
• Dans le menu raccourci :
• Depuis n’importe quel autre menu via le bouton

Les objets sont classés en 3 catégories :

• 1. Objets Réseau : Regroupe tous les objets en relation avec les valeurs réseaux (adresse IP, numéro de port, numéro de protocole, etc.) et les objets temps.
• 2. Objets Web : Groupes d’URL (ou groupes de catégories) et groupes de noms de certificats.
• 3. Certificats et PKI : Permet la création et la gestion des autorités de certification et de tous les certificats (de type serveur, utilisateur, ou smartcard) qui en découlent.

Lors de la création de la passerelle par défaut, vous avez créé l’objet Machine GW_NatNetwork.

La syntaxe des noms des objets doit respecter quelques restrictions définies dans le tableau ci-dessous. De plus, elle est insensible à la casse.

Recommandations :

• suivre une convention de nommage des objets,
• limiter l’usage des objets dynamiques ;
• limiter le nombre d’objets inutilisés ;
• utiliser un groupe d’objet d’administration contenant l’ensemble des IP et des réseaux d’administration permet de réutiliser ce groupe dans toutes les règles de filtrage liées à l’administration et donc de maintenir leur cohérence tout en facilitant leur modification ;
• éviter les doublons. C’est une source d’erreur courante lors de la modification de règles de filtrage. On se retrouve dans un cas où la modification d’un objet n’impacte pas toutes les règles qui auraient dû l’être, créant ainsi des trous dans la sécurité.

On peut distinguer deux types d’objets particuliers en plus des objets qui peuvent être créés par l’administrateur :

• Objets implicites : Ils sont créés automatiquement par le firewall et dépendent de la configuration réseau. Ces objets sont en lecture seule et ne peuvent être ni modifiés ni supprimés par l’administrateur. Par exemple, l’objet Firewall_out, est créé automatiquement lorsqu’une adresse IP est associée à l’interface OUT. L'objet Network_internals regroupe tous les réseaux accessibles via les interfaces internes.
• Objets préconfigurés : Ils sont présents par défaut dans la liste des objets. Ils représentent des valeurs de paramètres réseaux standardisées (ports, protocoles, réseaux) et des valeurs nécessaires pour le fonctionnement du firewall (adresse IP des serveurs Stormshield pour les mises à jour). On trouvera par exemple le protocole ICMP et l’objet Internet. Ce dernier regroupe l’ensemble des machines ne faisant pas partie des réseaux internes.

Le menu Configuration / Objets onglet Objets réseau ou le menu Objets réseau permettent de visualiser les objets, de les modifier ou d’en ajouter.

• Stormshield