Tous les dispositifs Edge héritent des règles de pare-feu et des configurations d'accès aux dispositifs Edge du profil associé. Sous l'onglet Pare-feu (Firewall) de la boîte de dialogue Configuration du dispositif Edge (Edge Configuration), vous pouvez afficher toutes les règles de pare-feu héritées dans la zone Règle du profil (Rule From Profile). Éventuellement, au niveau du dispositif Edge, vous pouvez aussi remplacer les règles de pare-feu de profil et la configuration d'accès au dispositif Edge.



En tant qu'administrateur d'entreprise, vous pouvez configurer les règles de transfert de port et de pare-feu NAT 1:1 individuellement pour chaque dispositif Edge en suivant les instructions indiquées sur cette page.

Par défaut, tout le trafic entrant sera bloqué, sauf si les règles de transfert de port et de pare-feu NAT 1:1 sont configurées. L'adresse IP externe sera toujours celle de l'adresse IP WAN ou de l'adresse IP du sous-réseau WAN.

Règles de transfert de port et de pare-feu NAT 1:1

Note : Vous pouvez configurer les règles de transfert de port et NAT 1:1 uniquement au niveau du dispositif Edge.

Les règles de transfert de port et de pare-feu NAT 1:1 permettent aux clients Internet d'accéder aux serveurs connectés à une interface LAN du dispositif Edge. L'accès peut être mis à disposition via les règles de transfert de port ou les règles NAT (Network Address Translation) 1:1.

Règles de transfert de port

Les règles de transfert de port vous permettent de configurer des règles pour rediriger le trafic d'un port WAN spécifique vers un périphérique (adresse IP LAN/port LAN) dans le sous-réseau local. Le cas échéant, vous pouvez aussi limiter le trafic entrant avec une adresse IP ou un sous-réseau. Les règles de transfert de port peuvent être configurées avec l'adresse IP externe qui se trouve sur le même sous-réseau que l'adresse IP WAN. Il peut également traduire des adresses IP extérieures dans des sous-réseaux différents de l'adresse de l'interface WAN si le fournisseur de services route le trafic du sous-réseau vers le dispositif SD-WAN Edge.

La figure suivante illustre la configuration de transfert de port.

Dans la section Règles de transfert de port (Port Forwarding Rules), vous pouvez configurer des règles de transfert de port avec une adresse IPv4 en entrant les détails suivants.
Note : Pour configurer des règles de transfert de port avec une adresse IPv6, vous devez utiliser la nouvelle interface utilisateur d'Orchestrator. Pour plus d'informations, reportez-vous à la section Configurer le pare-feu avec la nouvelle interface utilisateur d'Orchestrator.
  1. Dans la zone de texte Nom (Name), entrez un nom (facultatif) pour la règle.
  2. Dans le menu déroulant Protocole (Protocol), sélectionnez TCP ou UDP comme protocole pour le transfert de port.
  3. Dans le menu déroulant Interface, sélectionnez l'interface pour le trafic entrant.
  4. Dans la zone de texte Adresse IP externe (Outside IP), entrez l'adresse IPv4 ou IPv6 à l'aide de laquelle l'hôte (application) est accessible depuis le réseau externe.
  5. Dans la zone de texte Ports du WAN (WAN Ports), entrez un port WAN ou une plage de ports séparés par un tiret (-), par exemple 20-25.
  6. Dans les zones de texte Adresse IP du LAN (LAN IP) et Port du LAN (LAN Port), entrez l'adresse IPv4 ou IPv6 et le numéro de port du LAN dans lequel la demande sera transférée.
  7. Dans le menu déroulant Segment, sélectionnez un segment auquel l'adresse IP du réseau local appartiendra.
  8. Dans la zone de texte Adresse IP distante/sous-réseau distant (Remote IP/subnet), spécifiez une adresse IP d'un trafic entrant que vous souhaitez transférer vers un serveur interne. Si vous ne spécifiez aucune adresse IP, tout le trafic est autorisé.

Paramètres NAT 1:1

Ces paramètres sont utilisés pour mapper une adresse IP externe prise en charge par le dispositif SD-WAN Edge à un serveur connecté à une interface LAN du dispositif Edge (par exemple, un serveur Web ou un serveur de messagerie). Il peut également traduire des adresses IP extérieures dans des sous-réseaux différents de l'adresse de l'interface WAN si le fournisseur de services route le trafic du sous-réseau vers le dispositif SD-WAN Edge. Chaque mappage se situe entre une adresse IP en dehors du pare-feu d'une interface WAN spécifique et une adresse IP de réseau local à l'intérieur du pare-feu. Dans chaque mappage, vous pouvez spécifier les ports qui seront transférés vers l'adresse IP interne. L'icône + à droite peut être utilisée pour ajouter des paramètres NAT 1:1 supplémentaires.

La figure suivante illustre la configuration NAT 1:1.

Dans la section Règles NAT 1:1 (1:1 NAT Rules), vous pouvez configurer des règles NAT 1:1 avec une adresse IPv4 en entrant les détails suivants.
Note : Pour configurer des règles NAT 1:1 avec une adresse IPv6, vous devez utiliser la nouvelle interface utilisateur d'Orchestrator. Pour plus d'informations, reportez-vous à la section Configurer le pare-feu avec la nouvelle interface utilisateur d'Orchestrator.
  1. Dans la zone de texte Nom (Name), entrez un nom pour la règle.
  2. Dans la zone de texte Adresse IP externe (Outside IP), entrez l'adresse IP IPv4 ou IPv6 à l'aide de laquelle l'hôte est accessible à partir d'un réseau externe.
  3. Dans le menu déroulant Interface, sélectionnez l'interface WAN à laquelle l'adresse IP externe sera liée.
  4. Dans la zone de texte Adresse IP interne (LAN) [Inside (LAN) IP], entrez l'adresse IPv4 ou IPv6 réelle (LAN) de l'hôte.
  5. Dans le menu déroulant Segment, sélectionnez un segment auquel l'adresse IP du réseau local appartiendra.
  6. Cochez la case Trafic sortant (Outbound Traffic), si vous souhaitez autoriser le trafic du client LAN vers Internet avec NAT à l'adresse IP externe.
  7. Entrez les détails de la source de trafic autorisée (Protocole, Ports, Adresse IP distante/sous-réseau distant) du mappage dans les champs respectifs.

Configurer les remplacements Edge

Au niveau du dispositif Edge, vous pouvez éventuellement remplacer les règles de pare-feu de profil héritées. Pour remplacer des règles de pare-feu au niveau du dispositif Edge, cliquez sur Nouvelle règle (New Rule) sous Règles de pare-feu (Firewall Rules) et suivez les étapes de la section Configurer des règles de pare-feu. Les règles de remplacement s'affichent dans la zone Remplacements Edge (Edge Overrides). Les règles de remplacement Edge sont prioritaires sur les règles de profil héritées du dispositif Edge. Toute valeur de correspondance de remplacement de pare-feu identique à une règle de pare-feu de profil remplacera cette règle de profil.

Remplacer les paramètres du pare-feu avec état

Si vous le souhaitez, au niveau du dispositif Edge, vous pouvez remplacer les paramètres du pare-feu avec état en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override) dans la zone pare-feu avec état (Stateful Firewall Settings). Pour plus d'informations sur les paramètres de pare-feu avec état, reportez-vous à la section Configuration des paramètres de pare-feu avec état.

Remplacer les paramètres de protection du réseau et de Flood

Si vous le souhaitez, au niveau du dispositif Edge, vous pouvez remplacer les paramètres de protection du réseau et de Flood en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override) dans la zone Paramètres de protection du réseau et de Flood (Network and Flood Protection Settings). Pour plus d'informations sur les paramètres de protection du réseau et de Flood, reportez-vous à la section Configuration des paramètres de protection du réseau et de Flood.

Remplacer les paramètres de configuration d'accès au dispositif Edge

Si vous le souhaitez, au niveau du dispositif Edge, vous pouvez remplacer les paramètres de configuration d'accès au dispositif Edge en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override) dans la zone Accès au dispositif Edge (Edge Access). Pour plus d'informations sur la configuration de l'accès au dispositif Edge, reportez-vous à la section Configuration de l'accès au dispositif Edge.

Liens associés