Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : wsl gestionparcactivite1cor glpi_configapiglpi fiche5 fiche3 fiche2
reseau:stormshield:fiche5

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:stormshield:fiche5 [2022/10/10 23:03] techer.charles_educ-valadon-limoges.frreseau:stormshield:fiche5 [2026/05/07 17:13] (Version actuelle) – [Mise en place des règles de filtrage] techer.charles_educ-valadon-limoges.fr
Ligne 73: Ligne 73:
  
 ====== Analyse des politiques prédéfinies de filtrage ====== ====== Analyse des politiques prédéfinies de filtrage ======
 +
 La découverte des règles déjà définies dans les deux premières politiques prédéfinies de filtrage, permet de comprendre le fonctionnement des règles de filtrage sur un pare-feu Stormshield. La découverte des règles déjà définies dans les deux premières politiques prédéfinies de filtrage, permet de comprendre le fonctionnement des règles de filtrage sur un pare-feu Stormshield.
  
Ligne 117: Ligne 118:
   * **Supprimer** : Supprimer une règle.   * **Supprimer** : Supprimer une règle.
   * **Monter / Descendre** : Monter ou descendre la/les règle(s) sélectionnée(s) d’une position dans la liste.   * **Monter / Descendre** : Monter ou descendre la/les règle(s) sélectionnée(s) d’une position dans la liste.
 +
 ===== Mise en place des règles de filtrage ===== ===== Mise en place des règles de filtrage =====
-Vous allez mettre en place une nouvelle politique de sécurité, il faudra commencer par désactiver la règle de filtrage **Pass all** et ajouter les règles de filtrage qui respecteront le cahier des charges décrit ci-après. 
  
-Au besoin ajoutez les adresses IP privées de vos serveurs et les IP publiques des serveurs de vos voisins dans les **Objets Réseaux** (cf Partie 3 Objets réseau). +Vous allez mettre en place une nouvelle politique de sécurité, il faudra commencer par désactiver la règle de filtrage **Pass all** et ajouter les règles de filtrage qui respecteront le cahier des charges décrit ci-après.
-|**srv_dns_priv** : 172.16.x.x0|**srv_dns_pub_X** : 192.36.253.x0| +
-|**srv_web_priv** : 172.16.x.x1|**srv_web_pub_X** : 192.36.253.x1| +
-|**srv_ftp_priv** : 172.16.x.x2|**srv_ftp_pub_X** : 192.36.253.x2| +
-|**srv_mail_priv** : 172.16.x.x3|**srv_mail_pub_X** : 192.36.253.x3|+
  
  
Ligne 130: Ligne 127:
 **Étape 1 :** Copiez la politique de filtrage/NAT (1) **Block all** vers une autre politique vide où nous allons les copier les règles de NAT de la politique 5. **Étape 1 :** Copiez la politique de filtrage/NAT (1) **Block all** vers une autre politique vide où nous allons les copier les règles de NAT de la politique 5.
 </WRAP> </WRAP>
 +
   * Dans la liste déroulante des politiques de sécurité, choisissez **(1) Block all**.   * Dans la liste déroulante des politiques de sécurité, choisissez **(1) Block all**.
 {{ :reseau:stormshield:sns_82.png |}} {{ :reseau:stormshield:sns_82.png |}}
Ligne 135: Ligne 133:
 Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2. Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2.
  
-La règle numéro 1 autorise l’accès en **https** et sur le port prédéfini **1300 firewall_srv** à toutes les interfaces du firewall, elle permet donc l’administration à distance.+La règle numéro 1 autorise l’accès en **https** et sur le port prédéfini **1300 firewall\_srv** à toutes les interfaces du firewall, elle permet donc l’administration à distance.
  
 La règle numéro 2 autorise les requêtes **ICMP Echo** vers toutes les interfaces du firewall, afin de pouvoir vérifier la présence du firewall à l’aide des commandes ICMP. La règle numéro 2 autorise les requêtes **ICMP Echo** vers toutes les interfaces du firewall, afin de pouvoir vérifier la présence du firewall à l’aide des commandes ICMP.
Ligne 141: Ligne 139:
   * Cliquez **Sauvegarder les modifications…**   * Cliquez **Sauvegarder les modifications…**
   * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **AgenceX_Block all & NAT**, puis **Mettre à jour**.   * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **AgenceX_Block all & NAT**, puis **Mettre à jour**.
-  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "AgenceX_Block all & NAT".+  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "AgenceX\_Block all & NAT".
   * Dans la liste des politiques de sécurité, choisissez la politique précédente **(05) AgenceX** / onglet **NAT** puis sélectionnez les 6 règles et cliquez sur **Copier**.   * Dans la liste des politiques de sécurité, choisissez la politique précédente **(05) AgenceX** / onglet **NAT** puis sélectionnez les 6 règles et cliquez sur **Copier**.
-  * Dans la liste des politiques de sécurité, choisissez la politique **(06) AgenceX_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. Les 6 règles de NAT/PAT sont copiées.+  * Dans la liste des politiques de sécurité, choisissez la politique **(06) AgenceX\_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. Les 6 règles de NAT/PAT sont copiées. 
 <WRAP center round todo> <WRAP center round todo>
 **Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Nous vous proposons d’utiliser les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité. **Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Nous vous proposons d’utiliser les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité.
- 
 </WRAP> </WRAP>
 +
 a) Votre réseau interne doit pouvoir émettre un **ping vers n’importe quelle destination**. a) Votre réseau interne doit pouvoir émettre un **ping vers n’importe quelle destination**.
   * Cliquez la règle numéro 2 qui passe en surbrillance et choisissez **Nouvelle règle / séparateur – Regroupement de règle**.   * Cliquez la règle numéro 2 qui passe en surbrillance et choisissez **Nouvelle règle / séparateur – Regroupement de règle**.
 +
 {{ :reseau:stormshield:sns_83.png |}} {{ :reseau:stormshield:sns_83.png |}}
 +
   * Cliquez le symbole du crayon et modifiez le nom du séparateur en **ping vers n’importe quelle destination**.   * Cliquez le symbole du crayon et modifiez le nom du séparateur en **ping vers n’importe quelle destination**.
   * Cliquez **Nouvelle règle / règle simple**   * Cliquez **Nouvelle règle / règle simple**
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : L’adresse IP ou le réseau source, ici **Network_internals** ; +    * **Source** : L’adresse IP ou le réseau source, ici **Network\_internals** ; 
     * **Protocole dest** : laisser **Any**.     * **Protocole dest** : laisser **Any**.
   * Double-cliquez sur **Protocole** et remplir les champs comme ci-dessous :   * Double-cliquez sur **Protocole** et remplir les champs comme ci-dessous :
Ligne 160: Ligne 161:
     * **Protocole IP** : **icmp** ;      * **Protocole IP** : **icmp** ; 
     * **Message ICMP** : choisir au milieu de la liste **requête Echo (Ping, type 8, code 0)**     * **Message ICMP** : choisir au milieu de la liste **requête Echo (Ping, type 8, code 0)**
 +
 {{ :reseau:stormshield:sns_84.png |}} {{ :reseau:stormshield:sns_84.png |}}
  
 La nouvelle règle se présente ainsi : La nouvelle règle se présente ainsi :
 +
 {{ :reseau:stormshield:sns_85.png |}} {{ :reseau:stormshield:sns_85.png |}}
  
Ligne 171: Ligne 174:
   * Cliquez **Nouvelle règle /règle simple**   * Cliquez **Nouvelle règle /règle simple**
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : **Network_in** ; +    * **Source** : **Network\_in** ; 
-    * **Destination** : **srv_ftp_priv** ;+    * **Destination** : **srv\_ftp\_priv** ;
     * **Port dest** : Port destination, ici **ftp**.     * **Port dest** : Port destination, ici **ftp**.
  
 {{ :reseau:stormshield:sns_86.png |}} {{ :reseau:stormshield:sns_86.png |}}
 +
   * Cliquez sur **Copier** puis **Coller** pour créer la deuxième règle à partir de la précédente :   * Cliquez sur **Copier** puis **Coller** pour créer la deuxième règle à partir de la précédente :
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : **Network_in** ; +    * **Source** : **Network\_in** ; 
-    * **Destination** : **srv_http_priv**+    * **Destination** : **srv\_http\_priv**
     * **Port dest** : Port destination, ici **http**     * **Port dest** : Port destination, ici **http**
  
Ligne 187: Ligne 191:
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
     * **Source** : **Network_in** ;      * **Source** : **Network_in** ; 
-    * **Destination** : **srv_http_priv** ;+    * **Destination** : **srv\_http\_priv** ;
     * **Port dest** : Port destination, ici **webmail** (port **TCP 808**).     * **Port dest** : Port destination, ici **webmail** (port **TCP 808**).
 +
 {{ :reseau:stormshield:sns_88.png |}} {{ :reseau:stormshield:sns_88.png |}}
 +
   * Cliquez sur **Copier** puis **Coller** pour créer la quatrième règle pour le serveur mail smtp à partir de la précédente :   * Cliquez sur **Copier** puis **Coller** pour créer la quatrième règle pour le serveur mail smtp à partir de la précédente :
     * **Action** : **Passer** ;      * **Action** : **Passer** ; 
     * **Source** : **Network_in** ;      * **Source** : **Network_in** ; 
-    * **Destination** : **srv_mail_priv** ; +    * **Destination** : **srv\_mail\_priv** ; 
     * **Port dest** : Port destination, ici **smtp**.     * **Port dest** : Port destination, ici **smtp**.
 +
 {{ :reseau:stormshield:sns_89.png |}} {{ :reseau:stormshield:sns_89.png |}}
  
Ligne 200: Ligne 207:
   * Cliquez **Nouvelle règle /règle simple**    * Cliquez **Nouvelle règle /règle simple** 
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : **srv_dns_priv** ;  +    * **Source** : **srv\_dns\_priv** ;  
-    * **Destination** : DNS_Google +    * **Destination** : DNS\_Google 
-    * **Port dest** : Port destination, ici **dns_udp**.+    * **Port dest** : Port destination, ici **dns\_udp**. 
 {{ :reseau:stormshield:sns_90.png |}} {{ :reseau:stormshield:sns_90.png |}}
 +
 Double cliquez sur le symbole **off** des règles pour les passer à l’état **on**, puis cliquez **Appliquer et Oui, activer la politique**. Double cliquez sur le symbole **off** des règles pour les passer à l’état **on**, puis cliquez **Appliquer et Oui, activer la politique**.
  
 Les règles actuellement mises en place sont les suivantes : Les règles actuellement mises en place sont les suivantes :
 +
 {{ :reseau:stormshield:sns_91.png |}} {{ :reseau:stormshield:sns_91.png |}}
  
 <WRAP center round todo> <WRAP center round todo>
 **Étape 3 :** Vous allez mettre en place une deuxième série de règles sur les trafics entrants et sortants qui respecteront le cahier des charges ci-dessous (utilisez les séparateurs en indiquant le rôle de chaque règle). **Étape 3 :** Vous allez mettre en place une deuxième série de règles sur les trafics entrants et sortants qui respecteront le cahier des charges ci-dessous (utilisez les séparateurs en indiquant le rôle de chaque règle).
- 
 </WRAP> </WRAP>
  
Ligne 224: Ligne 233:
  
 ==== Trafics entrants : ==== ==== Trafics entrants : ====
 +
   * Les utilisateurs de l'autre agence peuvent joindre vos serveurs Web et FTP ; ces événements doivent être tracés.   * Les utilisateurs de l'autre agence peuvent joindre vos serveurs Web et FTP ; ces événements doivent être tracés.
   * Le serveur mails de l'autre agence est autorisés à transmettre des e-mails à votre serveur de  messagerie   * Le serveur mails de l'autre agence est autorisés à transmettre des e-mails à votre serveur de  messagerie
reseau/stormshield/fiche5.1665435814.txt.gz · Dernière modification : 2022/10/10 23:03 de techer.charles_educ-valadon-limoges.fr