Un client pour lequel la fonctionnalité Services de pare-feu améliorés (EFS, Enhanced Firewall Services) est activée au niveau des paramètres globaux dans VMware SASE Orchestrator peut désormais configurer et gérer individuellement des services de sécurité tels que le filtrage d'URL (filtrage des catégories d'URL, filtrage de réputation d'URL), le filtrage d'adresses IP malveillantes, le système de détection des intrusions (IDS, Intrusion Detection System) et le système de prévention des intrusions (IPS, Intrusion Prevention System). Pour bloquer le trafic utilisateur en fonction de la correspondance de signature IDS/IPS, de la catégorie et/ou de la réputation de l'URL ou de l'adresse IP, le client doit créer un groupe de services de sécurité à l'aide des services de sécurité préconfigurés et associer ce groupe de services de sécurité aux règles de pare-feu.

Avant de commencer

Pour que la fonctionnalité EFS fonctionne :
  • Veillez à utiliser la version 6.0.0 d'Edge pour que le filtrage d'URL (catégorie d'URL et réputation d'URL) et le filtrage d'adresses IP malveillantes fonctionnent comme prévu. Pour la configuration du service IDS et IPS, veillez à utiliser les versions 5.2.0 et ultérieures d'Edge.
  • Assurez-vous que la fonctionnalité EFS est activée au niveau de l'entreprise. Contactez votre opérateur pour activer la fonctionnalité EFS. Un opérateur peut activer la fonctionnalité EFS sur la page de l'interface utilisateur SD-WAN > Paramètres globaux (Global Settings) > Configuration du client (Customer Configuration) > Paramètres de SD-WAN (SD-WAN Settings) > Accès à la fonctionnalité (Feature Access).
Dans le service SD-WAN du portail d'entreprise, pour configurer les services de sécurité, cliquez sur Configurer (Configure) > Sécurité (Security) > Services de sécurité (Security Services). La page Services de sécurité (Security Services) s'affiche.
Les clients peuvent configurer les services de sécurité suivants :

Configurer le service de catégories d'URL

Le service de catégories d'URL consiste à attribuer une ou plusieurs catégories à des URL/domaines. Dans la mesure où il existe des centaines de millions de sites Web et d'URL, il est très fastidieux de configurer la stratégie pour des URL individuelles. Ces URL sont donc déjà mappées à une catégorie spécifique, puis la stratégie de filtrage est appliquée aux catégories.
Note : Une URL est classée dans la catégorie « Inconnu » si aucune information de catégorisation n'est disponible auprès du service de filtrage d'URL.

Il existe actuellement plus de 80 catégories d'URL : Réseaux sociaux, Services financiers, Hameçonnage, etc.

Pour configurer des catégories d'URL, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Sécurité améliorée (Enhanced Security) > Services de sécurité (Security Services). La page Services de sécurité (Security Services) s'affiche.
  2. Cliquez sur l'onglet Catégories d'URL (URL Categories), puis sur + AJOUTER UNE RÈGLE (+ ADD RULE). La fenêtre contextuelle Configurer le service de catégorie d'URL (Configure URL Category Service) s'affiche.
  3. Entrez un nom unique pour le service de catégories d'URL et indiquez une description si nécessaire.
  4. Dans la liste Autoriser les catégories (Allow Categories), vous pouvez sélectionner les catégories que vous souhaitez bloquer et les déplacer vers la liste Catégories bloquées (Blocked Categories) à l'aide du bouton de flèche gauche. De même, vous pouvez sélectionner les catégories que vous souhaitez autoriser et consigner, puis les déplacer vers la liste Surveiller les catégories (Monitor Catégories) à l'aide du bouton de flèche droite.
    Note : Les journaux sont capturés automatiquement pour les règles de pare-feu qui correspondent aux Catégories bloquées (Blocked Categories) et à Surveiller les catégories (Monitor Catégories). Pour Autoriser les catégories (Allow Categories), le trafic est autorisé, mais il n'est pas consigné.
  5. Pour autoriser les URL avec des catégories Inconnu (Unknown), décochez la case dans la partie inférieure.
    Note : Par défaut, les catégories Inconnu (Unknown) sont bloquées.
  6. Cliquez sur Enregistrer les modifications (Save Changes). Une règle du service de catégorie d'URL est créée et s'affiche dans le tableau de la page Catégories d'URL (URL Categories).
  7. Cliquez sur le lien vers le service de sécurité pour modifier les paramètres. Pour supprimer un service de sécurité, cochez la case devant le groupe, puis cliquez sur Supprimer (Delete).
    Note : Les services de sécurité utilisés ne peuvent pas être supprimés. Si vous souhaitez supprimer un service de sécurité, vous devez d'abord le supprimer du groupe de services de sécurité et des règles de pare-feu associés.

    Pour afficher la liste des catégories bloquées, des catégories à surveiller et des groupes de sécurité associés au service de sécurité, cliquez sur les liens respectifs sous les colonnes Catégories bloquées (Blocked Categories), Surveiller les catégories (Monitor Categories) et Utilisé par - Groupe de sécurité (Used By - Security Group).

Configurer le service de réputation d'URL

La réputation des URL garantit la fiabilité du site Web. La classification du score de réputation pour les URL et les adresses IP est indiquée ci-dessous :

  • 81-100 : Approuvée (Trustworthy)
  • 61-80 : Risque faible (Low Risk)
  • 41-60 : Risque moyen (Medium Risk)
  • 21-40 : Suspecte (Suspicious)
  • 01-20 : Risque élevé (High Risk)
  • Note : Approuvée (Trustworthy) est la réputation la plus sûre et la moins risquée.

Le service de réputation d'URL recherche le score des URL de destination et bloque le trafic du dispositif Edge si leurs scores indiquent une menace.

Pour configurer la réputation d'URL, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Sécurité améliorée (Enhanced Security) > Services de sécurité (Security Services). La page Services de sécurité (Security Services) s'affiche.
  2. Cliquez sur l'onglet Réputation d'URL (Réputation d'URL), puis cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE). La fenêtre contextuelle Configurer le service de réputation d'URL (Configure URL Reputation Service) s'affiche.
  3. Entrez un nom unique pour le service de réputation d'URL et indiquez une description si nécessaire.
  4. Dans le menu déroulant Réputation minimale acceptable (Minimum Acceptable Reputation), sélectionnez une réputation acceptable pour autoriser le trafic vers/depuis une URL. Une fois que vous avez configuré la réputation minimale acceptable, toutes les autres réputations qui doivent être bloquées sont automatiquement répertoriées dans la zone Réputation(s) bloquée(s) (Blocked Reputation[s]). Le trafic vers/depuis n'importe quelle URL en dessous du niveau de réputation d'URL sélectionné est automatiquement bloqué et consigné. Le trafic au-dessus du niveau de réputation d'URL sélectionné est autorisé, mais il n'est pas consigné automatiquement. Vous pouvez spécifier les réputations à consigner à l'aide du menu déroulant Capturer des journaux (Capture Logs).
  5. Pour autoriser les URL avec des réputations Inconnu (Unknown), décochez la case dans la partie inférieure. Une URL est classée comme ayant une réputation « Inconnu » lorsqu'aucune information de réputation n'est disponible auprès du service Filtrage d'URL (URL Filtering).
    Note : Par défaut, les réputations Inconnu (Unknown) sont bloquées.
  6. Cliquez sur Enregistrer les modifications (Save Changes). Une règle du service de réputation d'URL est créée et s'affiche dans le tableau de la page Réputation d'URL (URL Reputation).
  7. Cliquez sur le lien vers le service de sécurité pour modifier les paramètres. Pour supprimer un service de sécurité, cochez la case devant le groupe, puis cliquez sur Supprimer (Delete).

Configurer le service d'adresses IP malveillantes

Le blocage des adresses IP peut être utile pour protéger un réseau ou un site Web contre des activités malveillantes. Le score de réputation IP attribué par Webroot indique la fiabilité de l'adresse IP. Le service d'adresses IP malveillantes recherche le score de réputation des adresses IP de destination et bloque le trafic du dispositif Edge si leurs scores indiquent une activité malveillante.

Pour configurer le service d'adresses IP malveillantes, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Sécurité améliorée (Enhanced Security) > Services de sécurité (Security Services). La page Services de sécurité (Security Services) s'affiche.
  2. Cliquez sur l'onglet Adresse IP malveillante (Malicious IP), puis sur + AJOUTER UNE RÈGLE (+ ADD RULE). La fenêtre contextuelle Configurer le service de filtrage d'adresses IP malveillantes (Configure Malicious IP Filtering Service) s'affiche.
  3. Entrez un nom unique pour le service d'adresses IP malveillantes et indiquez une description si nécessaire.
  4. Dans le menu déroulant Action, sélectionnez une action à effectuer lorsqu'un trafic IPv4 en provenance/à destination d'une adresse IP malveillante est détecté. Vous pouvez sélectionner l'une des options suivantes :
    • Surveiller (Monitor) : autorise et consigne automatiquement le trafic IPv4 à partir du service d'adresses IP malveillantes.
    • Bloquer (Block) : bloque et consigne automatiquement le trafic IPv4 à partir du service d'adresses IP malveillantes.
    Note : Si l'adresse IP n'est pas malveillante, le trafic IPv4 est autorisé, mais il n'est pas consigné.
  5. Cliquez sur Enregistrer les modifications (Save Changes). Une règle du service d'adresses IP malveillantes est créée et s'affiche dans le tableau de la page Adresse IP malveillante (Malicious IP).
  6. Cliquez sur le lien vers le service de sécurité pour modifier les paramètres. Pour supprimer un service de sécurité, cochez la case devant le groupe, puis cliquez sur Supprimer (Delete).

Configurer le service de sécurité IDS/IPS

Pour configurer les services Système de détection des intrusions (IDS)/Système de prévention des intrusions (IPS), procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Sécurité améliorée (Enhanced Security) > Services de sécurité (Security Services). La page Services de sécurité (Security Services) s'affiche.
  2. Cliquez sur l'onglet IDS/IPS, puis sur + AJOUTER UNE RÈGLE (+ ADD RULE). La fenêtre contextuelle Configurer le service de sécurité IDS/IPS (Configure IDS/IPS Security Service) s'affiche.
  3. Entrez un nom unique pour le service IDS/IPS et indiquez une description si nécessaire.
  4. Sous la section Détection et prévention des intrusions (Intrusion Detection and Prevention), activez les boutons bascule Détection d'intrusion (Intrusion Detection) et/ou Prévention d'intrusion (Intrusion Prevention). Lorsque l'utilisateur active uniquement IPS, IDS est automatiquement activé. Le moteur EFS inspecte le trafic envoyé/reçu via les dispositifs Edge et fait correspondre le contenu aux signatures configurées dans le moteur EFS. Les signatures IDS/IPS sont mises à jour de manière continue avec une licence EFS valide. Pour plus d'informations sur l'EFS, reportez-vous à la section Présentation des services de pare-feu améliorés.
    • Détection des intrusions (Intrusion Detection) : lorsqu'IDS est activé sur les dispositifs Edge, ceux-ci détectent si le flux de trafic est malveillant ou non selon certaines signatures configurées dans le moteur. Si une attaque est détectée, le moteur EFS génère une alerte et envoie le message d'alerte au SASE Orchestrator/Serveur Syslog si la journalisation de pare-feu est activée dans Orchestrator et n'abandonne aucun paquet.
    • Prévention des intrusions (Intrusion Prevention) : lorsqu'IPS est activé sur les dispositifs Edge, ceux-ci détectent si le flux de trafic est malveillant ou non selon certaines signatures configurées dans le moteur. Si une attaque est détectée, le moteur EFS génère une alerte et bloque le flux de trafic vers le client si l'action définie dans la règle de signature est « Rejeter » (Reject). Si l'action dans la règle de signature est « Alerte » (Alert), le trafic est autorisé sans abandonner de paquets, même si vous configurez IPS.
    Note : VMware recommande aux clients de ne pas activer la VNF lorsqu'IDS ou IPS est activé sur les dispositifs Edge.
  5. Dans le menu déroulant Journal (Log), sélectionnez Oui (Yes) si vous souhaitez envoyer les journaux IDS/IPS à Orchestrator.
  6. Cliquez sur Enregistrer les modifications (Save Changes). Une règle du service IDS/IPS est créée et s'affiche dans le tableau de la page IDS/IPS.
  7. Cliquez sur le lien vers le service de sécurité pour modifier les paramètres. Pour supprimer un service de sécurité, cochez la case devant le groupe, puis cliquez sur Supprimer (Delete).

Configurer le groupe de services de sécurité

Un groupe de services de sécurité permet de regrouper des services de sécurité individuels, à savoir le filtrage d'URL (catégories d'URL, réputation d'URL), la détection d'adresses IP malveillantes et IDS/IPS. Pour créer un groupe de services de sécurité, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Sécurité améliorée (Enhanced Security) > Services de sécurité (Security Services). La page Services de sécurité (Security Services) s'affiche.
  2. Cliquez sur l'onglet Groupe de services de sécurité (Security Service Group), puis cliquez sur + CRÉER UN GROUPE (+ CREATE GROUP). La page Nouveau groupe de services de sécurité (New Security Service Group) s'affiche.
  3. Si vous souhaitez créer un groupe de services à partir d'un groupe existant, choisissez une option dans le menu déroulant Groupe de services de sécurité en double (Duplicate Security Service Group), puis renommez uniquement le nom de la règle. Toutes les autres configurations seront automatiquement appliquées à partir du groupe de services de sécurité sélectionné.
  4. Pour créer un groupe de services, entrez un nom unique pour le groupe de services de sécurité et indiquez une description si nécessaire.
  5. Dans la section Créer un groupe de services de sécurité (Create Security Service Group), vous pouvez sélectionner les services de sécurité pré-créés pour les catégories d'URL, la réputation d'URL, les adresses IP malveillantes et IDS/IPS, puis les regrouper pour créer un groupe de sécurité. Si vous ne souhaitez pas utiliser les services pré-créés, vous pouvez cliquer sur le bouton Nouveau (New) et créer un service de sécurité pour l'associer au groupe de sécurité. Cliquez sur le bouton Afficher (View) pour afficher les détails de configuration du service de sécurité sélectionné.
  6. Cliquez sur Enregistrer les modifications (Save Changes). Un groupe de services de sécurité est créé et s'affiche dans le tableau de la page Groupe de services de sécurité (Security Service Group).
  7. Cliquez sur le lien vers le groupe de services de sécurité pour modifier les paramètres. Pour supprimer un groupe de services de sécurité, cochez la case devant le groupe, puis cliquez sur Supprimer (Delete).
    Note : Le groupe de services de sécurité utilisé ne peut pas être supprimé. Si vous souhaitez supprimer un groupe de services de sécurité, vous devez d'abord le supprimer des règles de pare-feu associées.
Note : Vous pouvez associer un groupe de services de sécurité à plusieurs règles de pare-feu. Pour obtenir des instructions, reportez-vous à la section Associer un groupe de services de sécurité à une règle de pare-feu au niveau du profil.
Note : Vous ne pouvez pas associer plusieurs groupes de services de sécurité à une règle de pare-feu.

Associer un groupe de services de sécurité à une règle de pare-feu au niveau du profil

Pour associer un groupe de services de sécurité à une nouvelle règle de pare-feu au niveau du profil, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
  2. Sélectionnez un profil pour configurer une règle de pare-feu, puis cliquez sur l'onglet Pare-feu (Firewall).
  3. Accédez à la section Configurer le pare-feu (Configure Firewall) et, sous la zone Règles de pare-feu (Firewall Rules), cliquez sur + NOUVELLE RÈGLE (+ NEW RULE). La page Nouvelle règle (New Rule) s'affiche.
  4. Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle. Pour créer une règle de pare-feu à partir d'une règle existante, sélectionnez la règle à dupliquer dans le menu déroulant Dupliquer la règle (Duplicate Rule).
  5. Dans les sections Correspondance (Match) et Action de pare-feu (Firewall Action), configurez respectivement les conditions de correspondance de la règle et les actions à effectuer lorsque le trafic correspond aux critères définis. Pour plus d'informations, reportez-vous à la section Configurer une règle de pare-feu.
  6. Dans la section Services de sécurité (Security Services), configurez le service de sécurité pour la règle en sélectionnant un groupe de services de sécurité dans le menu déroulant. Un résumé de tous les services de sécurité configurés dans le groupe de services de sécurité s'affiche. Vous pouvez cliquer sur le bouton Afficher (View) en regard de chaque service de sécurité pour examiner les détails de la configuration.
    Note : Vous pouvez uniquement activer les services de sécurité dans la règle si l'action de pare-feu est Autoriser (Allow). Si l'action de pare-feu est autre que Autoriser (Allow), les services de sécurité sont désactivés.
  7. Après avoir configuré tous les paramètres requis, cliquez sur Créer (Create). Une règle de pare-feu est créée pour le profil sélectionné et s'affiche dans la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall).
  8. Cliquez sur Enregistrer les modifications (Save Changes).
Pour associer un groupe de services de sécurité à une règle de pare-feu existante au niveau du profil, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
  2. Sélectionnez un profil pour configurer une règle de pare-feu, puis cliquez sur l'onglet Pare-feu (Firewall).
  3. Accédez à la section Configurer le pare-feu (Configure Firewall) et, sous la zone Règles de pare-feu (Firewall Rules), sélectionnez le nom de la règle pour laquelle vous souhaitez modifier la configuration du service de sécurité.
  4. Sous la section Services de sécurité (Security Services), sélectionnez un groupe de services différent à associer à la règle, puis cliquez sur Modifier (Edit).
  5. Cliquez sur Enregistrer les modifications (Save Changes).

Associer un groupe de services de sécurité à une règle de pare-feu au niveau du dispositif Edge

  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Dispositifs Edge (Edges). La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
  2. Pour configurer un dispositif Edge, cliquez sur le lien d'accès au dispositif Edge ou sur le lien Afficher (View) dans la colonne Pare-feu (Firewall) du dispositif Edge.
  3. Cliquez sur l'onglet Pare-feu (Firewall).
  4. Accédez à la section Configure Firewall (Configurer le pare-feu). Dans la zone Règles de pare-feu (Firewall Rules), vous pouvez créer une règle avec des configurations de service de sécurité ou modifier les paramètres du service de sécurité de la règle existante. Suivez la procédure décrite à l'étape 6 de la section Associer un groupe de services de sécurité à une règle de pare-feu au niveau du profil.
    Note : Les règles créées au niveau du profil ne peuvent pas être mises à jour au niveau du dispositif Edge. Pour remplacer la règle, l'utilisateur doit créer la même règle au niveau du dispositif Edge avec de nouveaux paramètres pour remplacer la règle au niveau du profil.
  5. Après avoir configuré tous les paramètres requis, cliquez sur Créer (Create). Une règle de pare-feu est créée pour le dispositif Edge sélectionné et s'affiche dans la zone Règles de pare-feu (Firewall Rules) de la page Pare-feu Edge (Edge Firewall).
  6. Cliquez sur Enregistrer les modifications (Save Changes).