Pare-feu
Principes du pare-feu
Un pare-feu filtre les paquets IP selon un ensemble de règles ordonnées:
-
Si c’est le cas, la décision est appliquée au paquet pour Autoriser ou pour Interdire selon la règle.
-
Si c’est le cas, la décision est appliquée au paquet. Autoriser ou Interdire selon la règle.
-
Si ce n’est pas le cas, le pare-feu vérifie s’il correspond à la deuxième règle ; et ainsi de suite.
-
Si le paquet ne correspond à aucune des règles du tableau, la politique par défaut est appliquée au paquet (Autoriser ou Interdire).
Règles de trafic WAN et VPN
Pour configurer les règles, accéder au menu Configuration > Sécurité > Pare-feu
Cette section vous aide à créer des règles de pare-feu. Pour une meilleure organisation, les règles sont divisées en deux sections, toutes deux ayant la même structure.
Les Règles pour le trafic WAN filtrent les paquets transmis en dehors des VPN et les Règles pour le trafic VPN filtrent les paquets transmis à l’intérieur des VPN.
Le pare-feu est en charge de filtrer les trames IP entre les interfaces (LAN/WAN/VPN). Les deux sections peuvent filtrer les paquets entrants (depuis LAN/WAN/VPN).
Le trafic WAN vers LAN et le trafic LAN vers WAN sont considérés séparément, car la décision peut être différente pour un paquet provenant du WAN ou provenant du LAN. Par exemple, si la politique par défaut attribuée au trafic WAN vers LAN est Interdire, cela signifie qu’un paquet IP qui ne correspond à aucune des règles sera rejeté.
|
Les règles définies dans le tableau "Redirection de port" ne sont pas vérifiées par les règles de cette section. Ces paquets sont directement transférés vers le périphérique défini (voir Redirection de port) |
Voici la description des paramètres avec leurs valeurs par défaut:
Politique par défaut LAN→WAN |
Autoriser ou Interdire. Décision qui sera appliquée si un paquet ne correspond à aucune des règles du filtre. Interdire par défaut |
Politique par défaut WAN→LAN |
Autoriser ou Interdire. Décision qui sera appliquée si un paquet ne correspond à aucune des règles du filtre. Interdire par défaut |
Activer le filtre anti Déni de Service (DoS) |
Activer les règles de protection contre les attaques par déni de service. True par défaut |
Activer les 'conntrack helpers' (Non recommandé) |
Les assistants de suivi de connexion sont des modules qui fournissent un support pour le suivi et la manipulation de certains protocoles de la couche application au sein du sous-système de suivi de connexion (par exemple: FTP, H.323, SIP, PPTP, IRC). Il est désactivé par défaut pour des raisons de sécurité par défaut |
Autoriser le ping |
Accepter le ping sur l’interface WAN. Activé par défaut |
Politique par défaut LAN→VPN |
Autoriser ou Interdire. Décision qui sera appliquée si un paquet ne correspond à aucune des règles du filtre. Autoriser par défaut |
Politique par défaut VPN→LAN |
Autoriser ou Interdire. Décision qui sera appliquée si un paquet ne correspond à aucune des règles du filtre. Autoriser par défaut |
Autoriser le trafic entre VPN |
Autoriser le trafic provenant d’un VPN à être transféré vers un autre VPN. Activé par défaut |
Dans ces sections, il y a des tableaux, chaque ligne étant une règle. Chaque règle du filtre est composée de plusieurs champs qui définissent un flux de données particulier et d’un autre champ qui est appelé le champ d’action.
Direction |
La direction que prend le paquet Example 1. Direction
WAN → LAN |
Action |
Autoriser : autoriser les paquets concernés ou Interdire : rejeter les paquets concernés |
Protocole |
TCP, UDP, ICMP, AH, ESP, GRE, IGMP ou Tous pour tous les types de protocoles |
Port source & Port destination |
Numéro de port Si TCP ou UDP sélectionné, laisser vide si tous les ports sont concernés |
Adresse IP source & Adresse IP destination |
Adresses IP concernées, laisser vide si toutes les adresses sont concernées |
Log |
Les paquets correspondant à cette règle seront enregistrés dans le menu Diagnostics > Journaux > Pare-feu |