Lorsque vous configurez des règles de pare-feu au niveau du profil et du dispositif Edge, vous pouvez sélectionner les groupes d'objets existants pour qu'ils correspondent à la source ou à la destination. Vous pouvez définir les règles d'une plage d'adresses IP ou d'une plage de ports TCP/UDP/ICMPv4/ICMPv6, en incluant les groupes d'objets dans les définitions de règle.
Pour configurer une règle de pare-feu avec un groupe d'objets au niveau du profil, procédez comme suit :
Procédure
Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
Sélectionnez un profil pour configurer une règle de pare-feu, puis cliquez sur l'onglet Pare-feu (Firewall).
À partir de la page
Profils (Profiles), vous pouvez accéder directement à la page
Pare-feu (Firewall) en cliquant sur le lien
Afficher (View) dans la colonne
Pare-feu (Firewall) du profil.
Accédez à la section Configurer le pare-feu (Configure Firewall) et, sous Règles de pare-feu (Firewall Rules), cliquez sur + Nouvelle règle (+ New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle. Pour créer une règle de pare-feu à partir d'une règle existante, sélectionnez la règle à dupliquer dans le menu déroulant Dupliquer la règle (Duplicate Rule).
Dans la zone Correspondance (Match), configurez les conditions de correspondance pour la règle :
Choisissez le type d'adresse IP pour la règle. Par défaut, le type d'adresse IPv4 et IPv6 est sélectionné. Vous pouvez configurer les adresses IP source et de destination en fonction du type d'adresse sélectionné.
Dans le menu déroulant Source, sélectionnez Groupes d'objets (Object Groups).
Sélectionnez le groupe d'adresses et le groupe de services pertinents dans le menu déroulant. Si le groupe d'adresses sélectionné contient des noms de domaine, ils sont ignorés lors de la correspondance pour la source.
Vous pouvez cliquer sur l'icône Infos (Info) en regard du menu déroulant Groupe d'adresses et Groupe de services (Address Group and Service Group) pour afficher les détails de configuration du groupe d'adresses et du groupe de services correspondants.
Si nécessaire, vous pouvez également sélectionner les groupes d'adresses et de services pour la destination.
En fonction du type d'adresse sélectionné, le comportement sera le suivant :
La règle de type IPv4 correspond uniquement aux adresses IPv4 disponibles dans le groupe d'adresses sélectionné.
La règle de type IPv6 correspond uniquement aux adresses IPv6 disponibles dans le groupe d'adresses sélectionné.
La règle de type mixte correspond aux adresses IPv4 et IPv6 du groupe d'adresses sélectionné.
Choisissez les actions de pare-feu requises et cliquez sur Créer (Create).
Pour plus d'informations sur les paramètres de correspondance et d'actions, reportez-vous à la section
Configurer une règle de pare-feu.
Cliquez sur Enregistrer les modifications (Save Changes).
Une règle de pare-feu est créée pour le profil sélectionné et s'affiche dans la zone
Règles de pare-feu (Firewall Rules) de la page
Pare-feu du profil (Profile Firewall).
Note : Les règles créées au niveau du profil ne peuvent pas être mises à jour au niveau du dispositif Edge. Pour remplacer la règle, l'utilisateur doit créer la même règle au niveau du dispositif Edge avec de nouveaux paramètres pour remplacer la règle au niveau du profil.
Dans la zone
Règles de pare-feu (Firewall Rules) de la page
Pare-feu du profil (Profile Firewall), vous pouvez effectuer les actions suivantes :
SUPPRIMER (DELETE) : pour supprimer des règles de pare-feu existantes, cochez les cases qui les précèdent et cliquez sur SUPPRIMER (DELETE).
CLONER (CLONE) : pour dupliquer une règle de pare-feu, sélectionnez la règle et cliquez sur CLONER (CLONE).
HISTORIQUE DES COMMENTAIRES (COMMENT HISTORY) : pour afficher tous les commentaires ajoutés lors de la création ou de la mise à jour d'une règle, sélectionnez cette dernière et cliquez sur HISTORIQUE DES COMMENTAIRES (COMMENT HISTORY).
Rechercher la règle (Search for Rule) : vous pouvez rechercher la règle par nom de règle, adresse IP, port/plage de ports, et noms de groupes d'adresses et de groupes de services.
Résultats
Les règles de pare-feu que vous créez pour un profil sont automatiquement appliquées à tous les dispositifs Edge associés au profil. Si nécessaire, vous pouvez créer des règles supplémentaires propres aux dispositifs Edge en accédant à
Configurer (Configure) >
Dispositifs Edge (Edge)s, sélectionner un dispositif Edge et cliquer sur l'onglet
Pare-feu (Firewall).
La section
Règles du profil (Rules From Profile) affiche les règles héritées du profil et elles sont en lecture seule. Si vous souhaitez remplacer une règle au niveau du profil, ajoutez une nouvelle règle. La règle ajoutée s'affiche dans le tableau au-dessus de la section
Règles du profil (Rules From Profile) et vous pouvez la manipuler en la modifiant ou en la supprimant, si nécessaire.
Note : Par défaut, les règles de pare-feu sont attribuées au segment global. Si nécessaire, vous pouvez choisir un segment dans la liste déroulante
Segment et créer des règles de pare-feu spécifiques au segment sélectionné.
Vous pouvez modifier les groupes d'objets avec des adresses IP, des numéros de ports, des types de services et des codes supplémentaires. Les modifications sont automatiquement incluses dans les règles de pare-feu qui utilisent les groupes d'objets.
Note : Avant de modifier les groupes d'objets, vous pouvez afficher les détails de configuration du groupe d'adresses et du groupe de services dans le même écran de l'interface utilisateur en cliquant sur l'icône Infos (Info) en regard du nom du groupe d'adresses et du service. Une fenêtre contextuelle s'affiche et indique les détails de configuration du groupe d'adresses et du groupe de services correspondants.