Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:stormshield:fiche5 [2022/10/10 22:52] – techer.charles_educ-valadon-limoges.fr
+++ reseau:stormshield:fiche5 [2022/10/10 23:04] (Version actuelle) – [Mise en place des règles de filtrage] techer.charles_educ-valadon-limoges.fr
@@ Ligne 65: / Ligne 65: @@
 Les règles implicites sont accessibles depuis le menu **CONFIGURATION / POLITIQUE DE SÉCURITÉ
 / Règles implicites**.
+{{ :reseau:stormshield:sns_94.png |}}
 Chaque règle peut être activée/désactivée.
@@ Ligne 71: / Ligne 71: @@
 La modification de l’état de ces règles a un impact direct sur le fonctionnement des services du firewall. Pour que le service concerné fonctionne toujours, il faut s’assurer au préalable que le flux est autorisé par les règles de priorité moindre telles que globales ou locales.
 </WRAP>
+====== Analyse des politiques prédéfinies de filtrage ======
+La découverte des règles déjà définies dans les deux premières politiques prédéfinies de filtrage, permet de comprendre le fonctionnement des règles de filtrage sur un pare-feu Stormshield.
+  * Ouvrir le menu **Configuration / Politique de sécurité / Filtrage et NAT / Filtrage**
+  * Dans la liste déroulante des politiques de sécurité, choisir **(1) Block all**.
+{{ :reseau:stormshield:sns_95.png |}}
+Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2.
+**La règle numéro 1** autorise l’accès en https et sur le port prédéfini **1300 pare-feu_srv** à toutes les interfaces du pare-feu, elle permet donc l’administration à distance depuis n’importe quel réseau.
+**La règle numéro 2** autorise les requêtes **ICMP Echo** vers toutes les interfaces du pare-feu, afin de pouvoir vérifier la présence du pare-feu à l’aide des commandes ICMP.
+  * Dans la liste déroulante des politiques de sécurité, choisir **(2) High**.
+{{ :reseau:stormshield:sns_96.png |}}
+Cette politique est un peu moins restrictive que la précédente, elle autorise plus de chose à partir des réseaux internes.
+**La règle numéro 1** autorise l’accès à des services web en **http, https, dns** ⇒ elle permet l’accès à des sites web.
+**La règle numéro 2** autorise l’accès à des services **ftp**.
+**La règle numéro 3** autorise l’accès à des services de messagerie en **imap, smtp, pop3** elle permet l’envoi et la réception de messages.
+**La règle numéro 4** autorise les requêtes **ICMP Echo** vers n’importe quelle destination des réseaux internes, afin de pouvoir vérifier la présence du pare-feu et des services en DMZ à l’aide des commandes ICMP.
+<WRAP center round info >
+Vous remarquerez que pour toutes ces règles la colonne « Inspection de sécurité » stipule **IPS(Intrusion Prevention System)** qui est le niveau le plus élevé de filtrage avec inspection du contenu et le cas échéant blocage si l’on suspecte un comportement anormal ou une tentative d’intrusion.
+</WRAP>
 Les règles de filtrage font partie d’une politique présentée précédemment dans la partie **Traduction
@@ Ligne 86: / Ligne 119: @@
 ===== Mise en place des règles de filtrage =====
 Vous allez mettre en place une nouvelle politique de sécurité, il faudra commencer par désactiver la règle de filtrage **Pass all** et ajouter les règles de filtrage qui respecteront le cahier des charges décrit ci-après.
-Au besoin ajoutez les adresses IP privées de vos serveurs et les IP publiques des serveurs de vos voisins dans les **Objets Réseaux** (cf Partie 3 Objets réseau).
-|**srv_dns_priv** : 172.16.x.x0|**srv_dns_pub_X** : 192.36.253.x0|
-|**srv_web_priv** : 172.16.x.x1|**srv_web_pub_X** : 192.36.253.x1|
-|**srv_ftp_priv** : 172.16.x.x2|**srv_ftp_pub_X** : 192.36.253.x2|
-|**srv_mail_priv** : 172.16.x.x3|**srv_mail_pub_X** : 192.36.253.x3|