Configurer une règle de pare-feu

Vous pouvez configurer des règles de pare-feu au niveau du profil et du dispositif Edge pour autoriser, annuler, rejeter ou ignorer le trafic entrant et le trafic sortant. Si la fonctionnalité de pare-feu avec état est activée, la règle de pare-feu est validée pour filtrer le trafic entrant et sortant. Avec un pare-feu sans état, vous pouvez uniquement filtrer le trafic sortant. La règle de pare-feu cherche des correspondances avec des paramètres tels que les adresses IP, les ports, les ID de VLAN, les interfaces, les adresses MAC, les noms de domaine, les protocoles, les groupes d'objets, les applications, les balises DSCP, les catégories d'URL, le score de réputation d'URL et les groupes de services de sécurité. Lorsqu'un paquet de données correspond aux conditions de correspondance, l'action ou les actions associées sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut est effectuée sur le paquet.

Pour configurer une règle de pare-feu au niveau du profil, procédez comme suit.

Procédure

Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
Sélectionnez un profil pour configurer une règle de pare-feu, puis cliquez sur l'onglet Pare-feu (Firewall).
À partir de la page Profils (Profiles), vous pouvez accéder directement à la page Pare-feu (Firewall) en cliquant sur le lien Afficher (View) dans la colonne Pare-feu (Firewall) du profil.
Accédez à la section Configurer le pare-feu (Configure Firewall) et, sous la zone Règles de pare-feu (Firewall Rules), cliquez sur + NOUVELLE RÈGLE (+ NEW RULE). La page Nouvelle règle (New Rule) s'affiche.
Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle. Pour créer une règle de pare-feu à partir d'une règle existante, sélectionnez la règle à dupliquer dans le menu déroulant Dupliquer la règle (Duplicate Rule).

Dans la section Correspondance (Match), configurez les conditions de correspondance pour la règle :

Champ	Description
Version de l'adresse IP (IP Version)	Par défaut, le type d'adresse IPv4 et IPv6 (IPv4 and IPv6) est sélectionné. Vous pouvez configurer les adresses IP source et de destination en fonction du type d'adresse sélectionné, comme suit : IPv4 : permet de configurer uniquement les adresses IPv4 en tant que source et destination. IPv6 : permet de configurer uniquement les adresses IPv6 en tant que source et destination. Pv4 et IPv6 (Pv4 and IPv6) : permet de configurer des adresses IPv4 et IPv6 dans les critères de correspondance. Si vous choisissez ce mode, vous ne pouvez pas configurer l'adresse IP source ou de destination. Note : En cas de mise à niveau, les règles de pare-feu des versions précédentes sont déplacées en mode IPv4.
Source	Permet de spécifier la source des paquets. Sélectionnez l'une des options suivantes : Indifférent (Any) : autorise toutes les adresses source par défaut. Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupe d'adresses et de groupe de services. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer la règle de pare-feu avec un groupe d'objets. Note : Dans une stratégie de pare-feu, lors de l'utilisation d'un groupe d'objets pour mettre en correspondance le trafic source, le groupe d'adresses basé sur un domaine n'est pas pris en charge. Définir (Define) : permet de définir le trafic source sur un VLAN, une interface, une adresse IPv4 ou IPv6, une adresse MAC ou un port de transport spécifique. Sélectionnez l'une des options suivantes : VLAN : correspond au trafic provenant du VLAN spécifié, sélectionné dans le menu déroulant. Note : Lorsque vous utilisez un VLAN pour mettre en correspondance le trafic source ou de destination dans une stratégie de pare-feu, les VLAN locaux et distants sont pris en compte. Interface et adresse IP (Interface and IP Address) : correspond au trafic provenant de l'interface et de l'adresse IPv4 ou IPv6 spécifiées, sélectionné dans le menu déroulant. Note : Si une interface ne peut pas être sélectionnée, elle n'est ni activée ni attribuée à ce segment. Note : Si vous sélectionnez IPv4 et IPv6 (IPv4 and IPv6) (mode mixte) comme type d'adresse, le trafic est mis en correspondance uniquement en fonction de l'interface spécifiée. Avec l'adresse IP, vous pouvez spécifier l'un des types d'adresses suivants pour faire correspondre le trafic source : Préfixe CIDR (CIDR prefix) : choisissez cette option si vous souhaitez que le réseau soit défini comme une valeur CIDR (par exemple, `172.10.0.0 /16`). Masque de sous-réseau (Subnet mask) : choisissez cette option si vous souhaitez que le réseau soit défini en fonction d'un masque de sous-réseau (par exemple, `172.10.0.0 255.255.0.0`). Masque wildcard (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque wildcard correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque wildcard de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable. Cette option est disponible uniquement pour les adresses IPv4. Adresse Mac (Mac Address) : correspond au trafic en fonction de l'adresse MAC spécifiée. Transport Port (Port de transport) : correspond au trafic provenant du port source ou de la plage de ports spécifiés.
Destination	Permet de spécifier la destination des paquets. Sélectionnez l'une des options suivantes : Indifférent (Any) : autorise toutes les adresses de destination par défaut. Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupe d'adresses et de groupe de services. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer la règle de pare-feu avec un groupe d'objets. Définir (Define) : permet de définir le trafic de destination sur un VLAN, une interface, une adresse IPv4 ou IPv6, un nom de domaine, un protocole ou un port spécifique. Sélectionnez l'une des options suivantes : VLAN : correspond au trafic provenant du VLAN spécifié, sélectionné dans le menu déroulant. Note : Lorsque vous utilisez un VLAN pour mettre en correspondance le trafic source ou de destination dans une stratégie de pare-feu, les VLAN locaux et distants sont pris en compte. Interface : correspond au trafic provenant de l'interface spécifiée, sélectionné dans le menu déroulant. Note : Si une interface ne peut pas être sélectionnée, elle n'est ni activée ni attribuée à ce segment. Adresse IP (IP Address) : correspond au trafic de l'adresse IPv4 ou IPv6 et du nom de domaine spécifiés. Note : Si vous sélectionnez le mode mixte IPv4 et IPv6 (IPv4 and IPv6) comme type d'adresse, vous ne pouvez pas spécifier l'adresse IP comme destination. Avec l'adresse IP, vous pouvez spécifier l'un des types d'adresses suivants pour qu'il corresponde au trafic source : Préfixe CIDR (CIDR prefix), Masque de sous-réseau (Subnet mask) ou Masque wildcard (Wildcard mask). Utilisez le champ Nom de domaine (Domain Name) pour faire correspondre tout ou partie du nom de domaine. Par exemple, « salesforce » fait correspondre le trafic avec « mixe ». Transport : correspond au trafic provenant du port source ou de la plage de ports spécifiés. Protocole (Protocol) : correspond au trafic du protocole spécifié, sélectionné dans le menu déroulant. Les protocoles pris en charge sont les suivants : GRE, ICMP, TCP et UDP. Note : ICMP n'est pas pris en charge en mode mixte (IPv4 et IPv6).
Application	Sélectionnez l'une des options suivantes : Indifférent (Any) : applique la règle de pare-feu à n'importe quelle application par défaut. Définir (Define) : permet de sélectionner une application et un indicateur de point de code de services différenciés (DSCP, Differentiated Services Code Point) pour appliquer une règle de pare-feu spécifique. Note : Lorsque vous créez des règles de pare-feu correspondant à une application, le pare-feu dépend du moteur d'inspection approfondie des paquets (DPI, Deep Packet Inspection) pour identifier l'application à laquelle un flux particulier appartient. Le DPI ne peut pas déterminer l'application en fonction du premier paquet. En général, le moteur DPI a besoin des 5 à 10 premiers paquets du flux pour identifier l'application, mais le pare-feu doit classer et transférer le flux à partir du tout premier paquet. Cela peut entraîner une correspondance du flux avec une règle plus généralisée dans la liste du pare-feu. Une fois que l'application a été correctement identifiée, tous les flux futurs correspondant aux mêmes tuples seront reclassés automatiquement et la bonne règle leur sera appliquée. Pour plus d'informations sur les cas d'utilisation spécifiques correspondant à la règle de pare-feu/business policy FTPv6, reportez-vous à la section Prise en charge du pare-feu Edge pour FTPv6.

Dans la section Action de pare-feu (Firewall Action), configurez les actions à effectuer lorsque le trafic correspond aux critères définis.

Champ	Description
Pare-feu (Firewall)	Sélectionnez l'une des actions suivantes que le pare-feu doit effectuer sur les paquets lorsque les conditions de la règle sont satisfaites : Autoriser (Allow) : autorise les paquets de données par défaut. Annuler (Drop) : annule les paquets de données en silence sans envoyer de notification à la source. Rejeter (Reject) : annule les paquets et informe la source en envoyant un message de réinitialisation explicite. Ignorer (Skip) : ignore la règle pendant les recherches et traite la règle suivante. Toutefois, cette règle sera utilisée au moment du déploiement de SD-WAN. Note : Vous pouvez uniquement configurer les actions Rejeter (Reject) et Ignorer (Skip) si la fonctionnalité Pare-feu avec état (Stateful Firewall) est activée pour les profils et les dispositifs Edge.
Journaliser	Cochez cette case si vous souhaitez qu'une entrée de journal soit créée lorsque cette règle est déclenchée.

Champ

Description

Pare-feu (Firewall)

Sélectionnez l'une des actions suivantes que le pare-feu doit effectuer sur les paquets lorsque les conditions de la règle sont satisfaites :

Autoriser (Allow) : autorise les paquets de données par défaut.
Annuler (Drop) : annule les paquets de données en silence sans envoyer de notification à la source.
Rejeter (Reject) : annule les paquets et informe la source en envoyant un message de réinitialisation explicite.
Ignorer (Skip) : ignore la règle pendant les recherches et traite la règle suivante. Toutefois, cette règle sera utilisée au moment du déploiement de SD-WAN.
Note : Vous pouvez uniquement configurer les actions Rejeter (Reject) et Ignorer (Skip) si la fonctionnalité Pare-feu avec état (Stateful Firewall) est activée pour les profils et les dispositifs Edge.

Journaliser

Cochez cette case si vous souhaitez qu'une entrée de journal soit créée lorsque cette règle est déclenchée.

Lors de la création ou de la mise à jour d'une règle de pare-feu, vous pouvez ajouter des commentaires sur la règle dans le champ Nouveau commentaire (New Comment) de la section Commentaire (Comment). Un maximum de 50 caractères est autorisé. Vous pouvez alors ajouter un nombre quelconque de commentaires pour la même règle.
Dans la section Services de sécurité (Security Services), configurez le service de sécurité pour la règle en sélectionnant un groupe de services de sécurité dans le menu déroulant. Un résumé de tous les services de sécurité configurés dans le groupe de services de sécurité s'affiche. Vous pouvez cliquer sur le bouton Afficher (View) en regard de chaque service de sécurité pour examiner les détails de la configuration.

Sur la page Pare-feu (Firewall), vous pouvez créer un groupe de services de sécurité en cliquant sur le lien + Créer (+ Create New) à droite de la section Services de sécurité (Security Services).

Note : Vous pouvez uniquement activer les services de sécurité dans la règle si l'action de pare-feu est Autoriser (Allow). Si l'action de pare-feu est autre que Autoriser (Allow), les services de sécurité sont désactivés.
Après avoir configuré tous les paramètres requis, cliquez sur Créer (Create).
Une règle de pare-feu est créée pour le profil sélectionné et s'affiche dans la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall).
Note : Les règles créées au niveau du profil ne peuvent pas être mises à jour au niveau du dispositif Edge. Pour remplacer la règle, l'utilisateur doit créer la même règle au niveau du dispositif Edge avec de nouveaux paramètres pour remplacer la règle au niveau du profil.
Dans la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall), vous pouvez effectuer les actions suivantes :
- SUPPRIMER (DELETE) : pour supprimer des règles de pare-feu existantes, cochez les cases qui les précèdent et cliquez sur SUPPRIMER (DELETE).
- CLONER (CLONE) : pour dupliquer une règle de pare-feu, sélectionnez la règle et cliquez sur CLONER (CLONE).
- HISTORIQUE DES COMMENTAIRES (COMMENT HISTORY) : pour afficher tous les commentaires ajoutés lors de la création ou de la mise à jour d'une règle, sélectionnez cette dernière et cliquez sur HISTORIQUE DES COMMENTAIRES (COMMENT HISTORY).
- Rechercher la règle (Search for Rule) : vous pouvez rechercher la règle par nom de règle, adresse IP, port/plage de ports, et noms de groupes d'adresses et de groupes de services.