Lorsque vous configurez des règles de pare-feu au niveau du profil et du dispositif Edge, vous pouvez sélectionner les groupes d'objets existants pour qu'ils correspondent à la source ou à la destination. Vous pouvez définir les règles d'une plage d'adresses IP ou d'une plage de ports TCP/UDP/ICMPv4/ICMPv6, en incluant les groupes d'objets dans les définitions de règle.
Pour configurer une règle de pare-feu avec un groupe d'objets au niveau du profil, procédez comme suit :
Procédure
Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
Sélectionnez un profil pour configurer une règle de pare-feu, puis cliquez sur l'onglet Pare-feu (Firewall).
À partir de la page
Profils (Profiles), vous pouvez accéder directement à la page
Pare-feu (Firewall) en cliquant sur le lien
Afficher (View) dans la colonne
Pare-feu (Firewall) du profil.
Accédez à la section Configurer le pare-feu (Configure Firewall) et, sous Règles de pare-feu (Firewall Rules), cliquez sur + Nouvelle règle (+ New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle. Pour créer une règle de pare-feu à partir d'une règle existante, sélectionnez la règle à dupliquer dans le menu déroulant Dupliquer la règle (Duplicate Rule).
Dans la zone Correspondance (Match), configurez les conditions de correspondance pour la règle :
Choisissez le type d'adresse IP pour la règle. Par défaut, le type d'adresse IPv4 et IPv6 est sélectionné. Vous pouvez configurer les adresses IP source et de destination en fonction du type d'adresse sélectionné.
Dans le menu déroulant Source, sélectionnez Groupes d'objets (Object Groups).
Sélectionnez le groupe d'adresses et le groupe de services pertinents dans le menu déroulant. Si le groupe d'adresses sélectionné contient des noms de domaine, ils sont ignorés lors de la correspondance pour la source.
Si nécessaire, vous pouvez également sélectionner les groupes d'adresses et de services pour la destination.
En fonction du type d'adresse sélectionné, le comportement sera le suivant :
La règle de type IPv4 correspond uniquement aux adresses IPv4 disponibles dans le groupe d'adresses sélectionné.
La règle de type IPv6 correspond uniquement aux adresses IPv6 disponibles dans le groupe d'adresses sélectionné.
La règle de type mixte correspond aux adresses IPv4 et IPv6 du groupe d'adresses sélectionné.
Choisissez les actions de pare-feu requises et cliquez sur Créer (Create).
Pour plus d'informations sur les paramètres de correspondance et d'actions, reportez-vous à la section
Configurer une règle de pare-feu.
Cliquez sur Enregistrer les modifications (Save Changes).
Résultats
Les règles de pare-feu que vous créez pour un profil sont automatiquement appliquées à tous les dispositifs Edge associés au profil. Si nécessaire, vous pouvez créer des règles supplémentaires propres aux dispositifs Edge ou modifier la règle héritée en accédant à
Configurer (Configure) >
Dispositifs Edge (Edge)s, sélectionner un dispositif Edge et cliquer sur l'onglet
Pare-feu (Firewal)l.
La section
Règles du profil (Rules From Profile) affiche les règles héritées du profil et elles sont en lecture seule. Si vous souhaitez remplacer une règle au niveau du profil, ajoutez une nouvelle règle. La règle ajoutée s'affiche dans le tableau au-dessus de la section
Règles du profil (Rules From Profile) et vous pouvez la manipuler en la modifiant ou en la supprimant, si nécessaire.
Note : Par défaut, les règles de pare-feu sont attribuées au segment global. Si nécessaire, vous pouvez choisir un segment dans la liste déroulante
Segment et créer des règles de pare-feu spécifiques au segment sélectionné.
Vous pouvez modifier les groupes d'objets avec des adresses IP, des numéros de ports, des types de services et des codes supplémentaires. Les modifications sont automatiquement incluses dans les règles de pare-feu qui utilisent les groupes d'objets.