Gestion de la politique de pare-feu WAN

Cet article explique comment gérer la base de règles du pare-feu WAN, y compris : créer de nouvelles règles, modifier des règles, activer et désactiver une règle, rechercher une règle et supprimer des règles.

Pour plus d'informations sur la politique de pare-feu WAN dans Cato, voir Qu'est-ce que le pare-feu WAN de Cato ?.

Vue d'ensemble

Le pare-feu WAN dans le Cato Cloud contrôle l'accès aux objets et entités de votre WAN et vous permet de créer des règles pour empêcher l'accès non autorisé au réseau. Il utilise une base de règles ordonnée, inspectant la connexion et vérifiant chaque règle de manière séquentielle jusqu'à ce que la règle corresponde à la connexion.

Le pare-feu WAN permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut modifier des règles et enregistrer les modifications dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politique, voir Travailler avec les Révisions Politiques.

Activation et désactivation du pare-feu WAN

Lorsque le pare-feu WAN est désactivé, il n'y a aucun contrôle d'accès et toutes les ressources WAN sont accessibles à tout le monde.

Pour activer ou désactiver le pare-feu WAN :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
À Pare-feu activé au-dessus de la base de règles, cliquez sur le curseur pour activer (vert) ou désactiver (gris) le pare-feu WAN pour le compte.
Cliquez sur Sauvegarder.

Création de nouvelles règles de pare-feu WAN

Créez une nouvelle règle de pare-feu WAN et configurez les paramètres de la règle pour gérer le contrôle d'accès pour le WAN. Utilisez l'option Ajouter une règle ci-dessous pour ajouter facilement une règle à l'endroit approprié dans la base de règles.

Pour plus d'informations sur les éléments Source, Destination, Application, et Catégorie pour une règle, voir Référence pour les Objets de Règle.

Les options Temps définissent la période pendant laquelle la règle est activée. Vous pouvez configurer des options personnalisées pour une règle, ou choisir les heures de travail par défaut définies pour le compte.

Pour créer une nouvelle règle pour le pare-feu WAN :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.

La page Pare-feu WAN s'ouvre sur votre révision non publiée existante, ou sur la dernière révision publiée.
Cliquez sur Nouveau. Le panneau Nouveau s'ouvre.
Entrez le Nom pour la règle.
Activez ou désactivez la règle à l'aide du curseur (vert est activé, gris est désactivé).
Configurez la Position et la Direction pour la nouvelle règle :
- Par défaut, la règle s'applique dans une direction, de la source Vers la destination. Cliquez sur le menu déroulant Direction pour régler la règle de manière à fonctionner dans Les Deux Sens.
- Pour plus d'informations sur les options d'ordre de règle, voir Qu'est-ce que le Pare-feu WAN de Cato?.
Développez la section Source et sélectionnez un ou plusieurs objets pour la source du trafic pour cette règle (ou vous pouvez entrer une adresse IP).
1. Sélectionnez le type (par exemple : Hôte, Interface réseau, IP, N'importe lequel). La valeur par défaut est N'importe lequel.
2. Si nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.
Développez la section Destination pour entrer une chaîne ou sélectionner un ou plusieurs objets de destination pour cette règle.
1. Sélectionnez le type (par exemple : Hôte, Interface réseau, IP, N'importe lequel). La valeur par défaut est N'importe lequel.
2. Si nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.
Développez la section Critère et ajoutez les conditions d'appareil à la règle. Pour plus d'informations, voir Ajouter des Conditions de Périphérique aux Règles de Pare-feu. Les valeurs par défaut sont N'importe lequel.
Développez la section App/Catégorie et sélectionnez une ou plusieurs applications pour la règle.

Quand il y a plus d'un objet App/Catégorie dans une règle, il y a une relation OU entre eux. La valeur par défaut est Tout.
Développez la section Service/Port et définissez le ou les types (Service, Port/Protocole, Tout) qui sont appliqués à cette règle.

Quand il y a plus d'un objet Service/Ports dans une règle, il y a une relation OU entre eux. La valeur par défaut est Tout.
Sélectionnez l'Action pour cette règle. Les options sont Autoriser, Bloquer, Inviter.
(Facultatif) Configurez les options de suivi pour générer Événements et Envoyer une notification. La fréquence commence à compter après l'envoi de la première notification.

Pour plus d'informations sur les notifications, consultez l'article pertinent sur les Groupes d'Abonnement, les Listes de Diffusion et les Intégrations d'Alerte dans la section Alertes.
(Optionnel) Configurez les options de Temps qui définissent quand cette règle est activée.
Cliquez sur Appliquer. La nouvelle règle est ajoutée à la base de règles.
Cliquez sur Enregistrer.

Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à ce qu'elles soient publiées ou éliminées.

Ajout d'Exceptions au Pare-feu WAN

Vous pouvez utiliser des exceptions dans la base de règles du pare-feu WAN pour ignorer une règle spécifique et continuer avec les règles de priorité inférieure. Par exemple, si la règle n°3 permet l'accès VPN au sous-réseau RnD, vous pouvez créer une exception qui n'autorise pas l'accès VPN pour un petit sous-ensemble d'utilisateurs SDP. Lors de la création d'une exception pour une règle de blocage, le trafic doit correspondre à une règle d'autorisation avec une priorité inférieure, sinon la règle de blocage implicite finale TOUT TOUT bloque le trafic.

L'exception pour une règle est un sous-ensemble de la règle, et certains paramètres s'appliquent à la fois à la règle et à l'exception :

Lorsque vous désactivez la règle, l'exception est également désactivée
Lorsque vous déplacez la règle et modifiez la priorité, l'exception est également déplacée

Pour ajouter une exception à une règle de pare-feu :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
À droite de la règle, cliquez sur et sélectionnez Ajouter Exception.

Le panneau Ajouter une exception s'ouvre.
Développez et configurez les paramètres pour l'exception de règle.

L'action pour la règle parent n'est pas appliquée à l'exception de règle.
Cliquez sur Appliquer. L'exception est ajoutée sous la règle.
Cliquez sur Sauvegarder. L'exception est enregistrée dans votre révision non publiée et est disponible pour modification jusqu'à ce qu'elle soit publiée ou annulée.

Pour supprimer une exception d'une règle de pare-feu :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
Depuis la colonne de droite de la règle, cliquez sur et dans la fenêtre pop-up sélectionnez Supprimer l'Exception.

L'exception est supprimée de la règle.
Cliquez sur Sauvegarder. L'exception est supprimée de votre révision non publiée, et vous pouvez publier la révision pour retirer l'exception de la politique du compte.

Travailler avec les Règles de Pare-feu WAN

Utilisez la recherche de règles du pare-feu WAN pour trouver les règles avec lesquelles vous souhaitez travailler. La fonction de recherche trouve et affiche les règles qui incluent les termes de recherche dans l'un des champs suivants :

Nom
Source
Appareil
Destination
App/Catégorie
Service/Port

Si une règle fait partie d'une section, les résultats montrent la règle dans la section.

Modification des Règles WAN et de la Base de Règles

Vous pouvez modifier les règles et changer l'ordre des règles dans la base de règles du pare-feu.

Pour modifier une règle :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
Cliquez sur la règle. Le panneau Modifier s'ouvre.
Développez n'importe quelle section dans le panneau pour afficher et modifier les paramètres actuels de la règle.
Cliquez sur Appliquer pour changer les paramètres de la règle. Le panneau Modifier se ferme.
Cliquez sur Enregistrer pour sauvegarder les modifications.

Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à ce qu'elles soient publiées ou supprimées.

Changer l'Ordre d'une Règle

L'ordre des règles est défini en définissant la position d'une règle par rapport à d'autres règles. Par exemple, définissez une règle pour suivre une règle spécifique ou pour être la première dans une section.

Voici les options pour définir l'ordre des règles :

Avant la Règle - La règle est positionnée immédiatement avant la règle sélectionnée
Après la Règle - La règle est positionnée immédiatement après la règle sélectionnée
Premier dans la Section - La règle est positionnée première dans la section sélectionnée
Dernier dans la Section - La règle est positionnée dernière dans la section sélectionnée
Premier - La règle est positionnée en haut de la base de règles
Dernier - La règle est positionnée en bas de la base de règles

Pour changer l'ordre des règles :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
Survolez l'extrémité gauche de la règle, et cette icône est affichée : .
Cliquez sur l'icône et faites glisser la règle vers le haut ou vers le bas dans la base de règles.
Cliquez sur Sauvegarder.

Activation et Désactivation d'une Règle WAN

Pour activer ou désactiver une règle :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
À droite de la règle, cliquez sur l'icône et dans le menu pop-up sélectionnez Activer ou Désactiver.
Cliquez sur Sauvegarder. La règle est activée ou désactivée.

Suppression de Règles WAN

Vous pouvez supprimer une ou plusieurs règles de la base de règles du pare-feu. Après avoir supprimé les règles, vous ne pourrez pas les annuler ou les restaurer.

Pour supprimer des règles de la base de règles du pare-feu :

Dans le menu de navigation, cliquez sur Sécurité > Pare-feu WAN.
Cliquez sur l'icône et dans la fenêtre pop-up sélectionnez Supprimer la Règle.
Dans la fenêtre de confirmation, cliquez sur Supprimer la Règle. La règle est retirée.
Cliquez sur Sauvegarder. La règle est supprimée.