Par défaut, tous les dispositifs Edge héritent des règles de pare-feu, des paramètres des fonctionnalités de sécurité, des paramètres de pare-feu avec état, des paramètres de protection de Flood, de la journalisation de pare-feu, du transfert Syslog et des configurations d'accès au dispositif Edge à partir du profil associé.

Sous l'onglet Pare-feu (Firewall) de la boîte de dialogue Configuration du dispositif Edge (Edge Configuration), vous pouvez afficher toutes les règles de pare-feu héritées dans la zone Règle du profil (Rule From Profile). Éventuellement, au niveau du dispositif Edge, vous pouvez également remplacer les règles de pare-feu héritées et les différents paramètres de pare-feu.
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge pour lequel vous souhaitez remplacer les paramètres de pare-feu hérités, puis cliquez sur l'onglet Pare-feu (Firewall).
  3. Cochez la case Remplacer (Override) en regard des différents paramètres de pare-feu si vous souhaitez modifier les règles et paramètres de pare-feu hérités du dispositif Edge sélectionné.
    Note : Les règles de remplacement Edge sont prioritaires sur les règles de profil héritées du dispositif Edge. Toute valeur de correspondance de remplacement de pare-feu identique à une règle de pare-feu de profil remplacera cette règle de profil.
  4. Au niveau du dispositif Edge, vous pouvez configurer les règles de transfert de port et NAT 1:1 IPv4 ou IPv6 individuellement en accédant à Paramètres supplémentaires (Additional Settings) > Listes ACL entrantes (Inbound ACLs). Pour obtenir des informations détaillées, reportez-vous aux sections Règles de transfert de port et Paramètres NAT 1:1.
    Note : Par défaut, tout le trafic entrant sera bloqué, sauf si les règles de transfert de port et de pare-feu NAT 1:1 sont configurées. L'adresse IP externe sera toujours celle de l'adresse IP WAN ou de l'adresse IP du sous-réseau WAN.
    Note : Lors de la configuration des règles de transfert de port IPv6 et NAT 1:1, vous pouvez entrer uniquement des adresses IP globales ou de monodiffusion, mais pas l'adresse locale de lien.

Règles de transfert de port et de pare-feu NAT 1:1

Note : Vous pouvez configurer les règles de transfert de port et NAT 1:1 uniquement au niveau du dispositif Edge.

Les règles de transfert de port et de pare-feu NAT 1:1 permettent aux clients Internet d'accéder aux serveurs connectés à une interface LAN du dispositif Edge. L'accès peut être mis à disposition via les règles de transfert de port ou les règles NAT (Network Address Translation) 1:1.

Règles de transfert de port

Les règles de transfert de port vous permettent de configurer des règles pour rediriger le trafic d'un port WAN spécifique vers un périphérique (adresse IP LAN/port LAN) dans le sous-réseau local. Le cas échéant, vous pouvez aussi limiter le trafic entrant avec une adresse IP ou un sous-réseau. Les règles de transfert de port peuvent être configurées avec l'adresse IP externe qui se trouve sur le même sous-réseau que l'adresse IP WAN. Il peut également traduire des adresses IP extérieures dans des sous-réseaux différents de l'adresse de l'interface WAN si le fournisseur de services route le trafic du sous-réseau vers le dispositif SD-WAN Edge.

La figure suivante illustre la configuration de transfert de port.

Dans la section Règles de transfert de port (Port Forwarding Rules), vous pouvez configurer les règles de transfert de port avec l'adresse IPv4 ou IPv6 en cliquant sur le bouton +Ajouter (+Add), puis en entrant les détails suivants.

  1. Dans la zone de texte Nom (Name), entrez un nom (facultatif) pour la règle.
  2. Dans le menu déroulant Protocole (Protocol), sélectionnez TCP ou UDP comme protocole pour le transfert de port.
  3. Dans le menu déroulant Interface, sélectionnez l'interface pour le trafic entrant.
  4. Dans la zone de texte Adresse IP externe (Outside IP), entrez l'adresse IPv4 ou IPv6 à l'aide de laquelle l'hôte (application) est accessible depuis le réseau externe.
  5. Dans la zone de texte Ports du WAN (WAN Ports), entrez un port WAN ou une plage de ports séparés par un tiret (-), par exemple 20-25.
  6. Dans les zones de texte Adresse IP du LAN (LAN IP) et Port du LAN (LAN Port), entrez l'adresse IPv4 ou IPv6 et le numéro de port du LAN dans lequel la demande sera transférée.
  7. Dans le menu déroulant Segment, sélectionnez un segment auquel l'adresse IP du réseau local appartiendra.
  8. Dans la zone de texte Adresse IP distante/sous-réseau distant (Remote IP/subnet), spécifiez une adresse IP d'un trafic entrant que vous souhaitez transférer vers un serveur interne. Si vous ne spécifiez aucune adresse IP, tout le trafic est autorisé.
  9. Cochez la case Journal (Log) pour activer la journalisation de cette règle.
  10. Cliquez sur Enregistrer les modifications (Save Changes).

Paramètres NAT 1:1

Ces paramètres sont utilisés pour mapper une adresse IP externe prise en charge par le dispositif SD-WAN Edge à un serveur connecté à une interface LAN du dispositif Edge (par exemple, un serveur Web ou un serveur de messagerie). Il peut également traduire des adresses IP extérieures dans des sous-réseaux différents de l'adresse de l'interface WAN si le fournisseur de services route le trafic du sous-réseau vers le dispositif SD-WAN Edge. Chaque mappage se situe entre une adresse IP en dehors du pare-feu d'une interface WAN spécifique et une adresse IP de réseau local à l'intérieur du pare-feu. Dans chaque mappage, vous pouvez spécifier les ports qui seront transférés vers l'adresse IP interne. L'icône + à droite peut être utilisée pour ajouter des paramètres NAT 1:1 supplémentaires.

La figure suivante illustre la configuration NAT 1:1.

Dans la section Règles NAT 1:1 (1:1 NAT Rules), vous pouvez configurer les règles NAT 1:1 avec l'adresse IPv4 ou IPv6 en cliquant sur le bouton +Ajouter (+Add), puis en entrant les détails suivants.

  1. Dans la zone de texte Nom (Name), entrez un nom pour la règle.
  2. Dans la zone de texte Adresse IP externe (Outside IP), entrez l'adresse IP IPv4 ou IPv6 à l'aide de laquelle l'hôte est accessible à partir d'un réseau externe.
  3. Dans le menu déroulant Interface, sélectionnez l'interface WAN à laquelle l'adresse IP externe sera liée.
  4. Dans la zone de texte Adresse IP interne (LAN) [Inside (LAN) IP], entrez l'adresse IPv4 ou IPv6 réelle (LAN) de l'hôte.
  5. Dans le menu déroulant Segment, sélectionnez un segment auquel l'adresse IP du réseau local appartiendra.
  6. Cochez la case Trafic sortant (Outbound Traffic), si vous souhaitez autoriser le trafic du client LAN vers Internet avec NAT à l'adresse IP externe.
  7. Entrez les détails de la source de trafic autorisée (Protocole, Ports, Adresse IP distante/sous-réseau distant) du mappage dans les champs respectifs.
  8. Cochez la case Journal (Log) pour activer la journalisation de cette règle.
  9. Cliquez sur Enregistrer les modifications (Save Changes).