Gestion de la stratégie de pare-feu Socket Next Gen LAN

Cet article explique comment configurer les règles de pare-feu Socket Next Gen LAN pour router et contrôler le trafic du site localement dans le Socket. Pour plus d'informations sur le Socket Next Gen LAN Firewall, voir Qu'est-ce que le Socket Next Gen LAN Firewall.

Vue d'ensemble

Configurer les règles réseau LAN pour définir le trafic à router localement avec le transport LAN, puis créer les règles de pare-feu LAN associées pour appliquer la politique de sécurité pour le trafic.

Voici un exemple de flux de travail de haut niveau pour configurer la politique :

  1. Déterminez quels sites nécessitent des capacités d'application de la couche 7 et configurez-les dans la politique.

    Cela permet l'application de la couche 7 pour les règles de pare-feu LAN, ainsi que les événements avec des données de couche 7 pour le site.

  2. Surveiller la performance du CPU du socket et les événements pour les sites afin d'évaluer l'impact de l'activation de la Couche 7.

  3. Créer des règles réseau LAN pour définir quel trafic des sites est routé localement via le Socket au lieu de passer par le WAN.

  4. Pour chaque règle réseau LAN, créer des règles de pare-feu LAN pour appliquer la politique de sécurité pour le trafic.

Activation de la Capacité Couche 7 pour un Site

Activez les capacités d'inspection de la couche 7 pour le trafic d'un site. Après activation, le Socket effectue une inspection approfondie des paquets sur le trafic, que des règles de pare-feu LAN soient configurées ou non, tant qu'il existe un trafic défini à utiliser pour le transport LAN (voir Qu'est-ce que le Pare-feu LAN de prochaine génération de Socket). Cela signifie que les données de couche 7 apparaissent dans les événements pour le trafic du site, y compris des champs tels que Application, Risque d'application et Application personnalisée. Cela impacte également l'utilisation du processeur Socket.

LAN_Firewall_L7_Sites.png

Pour activer la capacité Couche 7 pour un site :

  1. Dans le menu de navigation, cliquez sur Sécurité > Pare-feu LAN.

    La page du pare-feu LAN s'ouvre sur votre révision non publiée actuelle ou sur la dernière révision publiée.

  2. Sélectionnez l'onglet Sites Couche 7.

  3. Cliquez sur Nouveau. Le panneau Ajouter un site s'ouvre.

  4. Sous Site, sélectionnez un ou plusieurs sites dans la liste déroulante des sites Socket.

  5. Cliquez sur Appliquer. Le site est ajouté à la liste des sites Couche 7.

  6. Cliquez sur Sauvegarder. La fonctionnalité Couche 7 est configurée pour le site.

Création de Règles Réseau LAN

Créez une nouvelle règle de réseau LAN et configurez les paramètres pour définir le transport du trafic. Pour les règles définies avec un transport LAN, vous pouvez ajouter des règles de pare-feu LAN pour gérer le contrôle d'accès au trafic. Pour plus d'informations, voir ci-dessous Créer des Règles de Pare-feu LAN.

LAN_Firewall.png

Pour créer une règle réseau LAN :

  1. Dans le menu de navigation, cliquez sur Sécurité > Pare-feu LAN.

    La page du pare-feu LAN s'ouvre sur votre révision non publiée actuelle ou sur la dernière révision publiée.

  2. Cliquez sur Nouveau et dans le menu déroulant, sélectionnez Nouvelle Règle Réseau LAN. Le panneau Nouvelle Règle Réseau s'ouvre.

  3. Entrez le Nom pour la règle.

  4. Activer ou désactiver la règle à l'aide du curseur (vert est activé, gris est désactivé).

  5. Configurez la Position et la Direction pour la nouvelle règle.

    • Par défaut, la règle est appliquée dans une direction, de la source Vers la destination. Cliquez sur le menu déroulant Direction pour régler la règle afin qu'elle fonctionne dans Les Deux Sens.

  6. Développez la section Site et sélectionnez un ou plusieurs sites ou groupes de sites auxquels la règle s'applique. La valeur par défaut est N'importe lequel.

  7. Développez la section Source et sélectionnez un ou plusieurs objets pour la source de trafic de cette règle.

    1. Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Utilisateur, Groupe d'Utilisateurs, N'importe lequel). La valeur par défaut est N'importe lequel.

    2. Le cas échéant, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  8. Développez la section Destination et sélectionnez un ou plusieurs objets de destination pour cette règle.

    1. Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Utilisateur, Groupe d'Utilisateurs, N'importe lequel). La valeur par défaut est N'importe lequel.

    2. Le cas échéant, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  9. Développez la section Critères et ajoutez les conditions de l'appareil à la règle. Pour plus d'informations, voir Ajouter des Conditions de Périphérique aux Règles de Pare-feu. Les valeurs par défaut sont N'importe lequel.

  10. Développez la section Service/Port, et sélectionnez les protocoles auxquels la règle s'applique avec l'une des options suivantes :

    • Service simple - Sélectionnez les services de couche 4 pertinents dans la liste.

      La liste des services prédéfinis est basée sur la définition RFC de chaque service.

    • Service personnalisé - Entrez le port et le protocole pertinents au format "Protocole/Port" (par exemple TCP/80-88, UDP/53, ICMP)

    La valeur par défaut est Any.

  11. (Optionnel) Développez la section NAT pour activer le NAT sur l'interface sortante. Cela traduit toutes les IP d'origine en une IP NAT.

    image.png

  12. Sélectionnez le Transport pour le trafic correspondant à la règle. Les options sont :

    • LAN - Le trafic est routé localement par le Socket et non envoyé au PoP

    • WAN - Le trafic est envoyé sur le WAN au PoP pour inspection

  13. Cliquez sur Enregistrer.

    Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou annulation.

Création de règles de pare-feu LAN

Créez une nouvelle règle de pare-feu LAN et configurez les paramètres pour gérer le contrôle d'accès au trafic. Une règle de pare-feu LAN ne peut être configurée qu'avec des objets dans le cadre de sa règle de réseau LAN parent.

Les règles pour les sites activés avec des capacités de couche 7 peuvent inclure des conditions avec des objets de couche applicative tels que Application et Domaine. Si les règles pour les sites sans capacités de couche 7 incluent ces objets, les règles ne fonctionneront pas correctement.

Note : Le trafic au sein d'un même site qui ne correspond pas à une règle de pare-feu LAN est considéré comme du trafic WAN, même s'il se rend au PoP et revient au même site.

Remarque

Note : Pour utiliser les objets Utilisateur et Groupe d'Utilisateurs dans les champs Source et Destination, ou pour utiliser des critères d'appareil dans une règle, veuillez contacter feature-releases@catonetworks.com pour plus d'informations sur l'activation et l'utilisation de cette fonctionnalité.

Pour créer une règle de pare-feu LAN :

  1. Dans le menu de navigation, cliquez sur Sécurité > Pare-feu LAN.

    La page du pare-feu LAN s'ouvre sur votre révision non publiée actuelle ou sur la dernière révision publiée.

  2. Cliquez sur Nouveau et sélectionnez Nouvelle règle de pare-feu LAN dans le menu déroulant. Le panneau Nouvelle règle de pare-feu s'ouvre.

  3. Saisissez le Nom de la règle.

  4. Activez ou désactivez la règle en utilisant le curseur (vert signifie activé, gris signifie désactivé).

  5. Configurez la Position de la règle, et dans le menu déroulant Règles, sélectionnez la règle de référence pertinente, comme suit :

    • Pour les options Avant Règle et Après Règle, sélectionnez dans le menu déroulant Règles une règle de pare-feu LAN sous la règle de réseau LAN pertinente.

    • Pour les options Première dans Règle et Dernière dans Règle, sélectionnez dans le menu déroulant Règles la règle de réseau LAN parent pour cette règle.

  6. Configurez la Direction pour la règle.

    • Par défaut, la règle est appliquée dans une direction, de la source Vers la destination. Cliquez sur le menu déroulant Direction pour régler la règle afin qu'elle fonctionne dans les Deux directions.

  7. Développez la section Source et sélectionnez un ou plusieurs objets pour la source du trafic pour cette règle.

    1. Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Utilisateur, Groupe d'Utilisateurs, N'importe lequel). La valeur par défaut est Any.

    2. Si nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  8. Développez la section Destination et sélectionnez un ou plusieurs objets de destination pour cette règle.

    1. Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Utilisateur, Groupe d'Utilisateurs, N'importe lequel). La valeur par défaut est Any.

    2. Si nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  9. Développez la section App/Catégorie et sélectionnez une ou plusieurs applications pour la règle.

    Lorsqu'il y a plus d'un objet App/Catégorie dans une règle, il y a une relation OU entre eux. La valeur par défaut est Any.

    Remarque : Configurez uniquement des objets App/Catégorie pour les règles pour les sites avec les capacités de couche 7 activées. Sinon, la règle ne fonctionnera pas correctement.

  10. Développez la section Service/Port, et sélectionnez les protocoles auxquels la règle s'applique avec l'une des options suivantes :

    • Service simple - Sélectionnez les services de couche 4 pertinents dans la liste

      La liste des services prédéfinis est basée sur la définition RFC de chaque service.

    • Service - Sélectionnez les services de couche 7 pertinents dans la liste

    • Service personnalisé - Entrez le port et le protocole pertinents au format "Protocole/Port" (par exemple TCP/80-88, UDP/53, ICMP)

    La valeur par défaut est Any.

  11. Sélectionnez l'Action pour cette règle. Les options sont Autoriser et Bloquer.

  12. (Optionnel) Configurez les options de suivi pour générer des Événements et Envoyer une notification. La fréquence commence à compter après l'envoi de la première notification.

    Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alertes.

  13. Cliquez sur Enregistrer.

    Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou annulation.

Surveillance et Événements

Vous pouvez éventuellement activer le suivi des événements pour chaque règle définie dans la politique du Pare-Feu LAN nouvelle génération.

Remarque

Remarque : Le trafic du pare-feu LAN ne sera pas visible dans les tableaux de bord analytiques des applications et réseaux.

Les événements apparaissent sous Surveillance du site > Événements.

  • Type d'événement - Sécurité

  • Sous-type - Pare-Feu LAN

Pour filtrer les événements de Pare-Feu LAN :

  1. Allez à Accueil > Événements.

  2. Cliquez sur Filtrer et sélectionnez le champ, l'opérateur et la valeur pertinents.

    1. Champ - Plusieurs champs peuvent être sélectionnés comme filtre. Par exemple, nous pouvons choisir de filtrer par "site source" ou "sous-type" (Pare-Feu LAN)

    2. Opérateur - Choisissez d'inclure ou d'exclure des valeurs spécifiques (Est, N'est pas) ou plusieurs valeurs (Dans, Pas dans), par exemple "site source" avec l'opérateur "Dans" permet de sélectionner plusieurs sites sources comme valeurs.

    3. Valeur - La valeur pour le champ.

  3. Cliquez sur Ajouter filtre.

    image.png
image.png

Dans l'exemple suivant, vous pouvez voir les détails d'un événement de Pare-Feu LAN.

  • Action - Blocage ou Surveillance. (Le trafic a été bloqué ou autorisé localement par le Pare-Feu LAN)

  • Nom de l'hôte configuré - Informations supplémentaires sur l'hôte de l'adresse IP source, si disponible.

  • Sous-type - Pare-Feu LAN.  Tous les événements générés par le Pare-Feu LAN auront ce sous-type.

  • Règle de réseau - La règle de réseau LAN parent pour la règle de Pare-Feu LAN qui a généré l'événement.

  • Nom de la règle - Le nom de la règle de Pare-Feu LAN qui a généré l'événement.

LAN_FW_L7_Event.png

Contrairement au Pare-Feu WAN ou Internet, où les événements sont générés par le Cato PoP, les événements du Pare-Feu LAN sont générés sur le Socket lui-même. Ces événements sont envoyés via le tunnel du site pour être stockés dans l'application de gestion Cato. 

Tout le trafic de flux sur le tunnel est priorisé avant les événements Pare-Feu LAN, qui ont une priorité QoS par défaut de 255 et peuvent générer un surcoût supplémentaire. 

Cato recommande de suivre uniquement les règles de Pare-Feu LAN haute priorité pour éviter des frais supplémentaires sur le tunnel.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire