Configuration d`un Firewall StormShield modèle SN500 Nous allons

Configuration d’un Firewall StormShield modèle SN500
Nous allons voir ici comment configurer un firewall Stormshield par le biais de l’interface Web de
celui-ci. Comme vous pourrez le constater, les règles que l’on peut appliquer sur ce firewall sont très
variées les possibilités sont quasi-infinies.
Pour commencer, il vous faut être connecté au même réseau que le StromShield. Le firewall faisant
DHCP, il est possible de se brancher firectement sur la facade avant du boitier avec un cable
ethernet.
Pour se connecter a l’interface Web, rien de très compliqué, il faut se connecter à l’adresse
10.0.0.254. On arrive alors au menu principal du boitier.
Ici se présente un petit récapitulatif de ce qu’il se passe sur le réseau : les connexions bloquées, le
matériel du boitier, les mises à jour, etc.
Dans le cadre du PPE, nous allons détailler 2 manipulations à faire pour :
-
Autoriser l’accès à internet à une certaine plage d’IP et non aux autres
Bloquer l’accès à certains sites Internet
Les deux manipulations sont très simples à faire, pour la première, il suffit de créer une règle qui
n’autorise pas l’accès à une certaine plage d’adresses IP à Internet.
On procède ainsi :
Premièrement on créé un objet, qu’on nommera postes_no_internet. On clique sur l’onglet « Plage
d’adresses IP »
Et ici on rentre la plage d’adresse IP ou l’on souhaite que l’accès Internet soit impossible
Maintenant que l’objet est créé, on va l’appliquer dans une règle. Pour cela il suffit d’aller dans
« Politique de sécurité » puis dans « filtrage et nat » Ici, on clique sur « nouvelle règle » que l’on
configure ainsi :
-
Action : bloquer
Source : postes_no_internet
Destination : Internet (et non pas any car on ne souhaite pas bloquer l’accès intranet)
Port destination : any
Enfin, il faut faire attention que la règle ne soit pas couverte par une autre car quand il y a plusieurs
règles, le firewall les lit de haut en bas et, comme ici, la première règle est d’autoriser l’accès à tout
le monde partout alors la regle d’interdire l’accès Internet à certains ne fonctionnera pas. On
remonte donc la règle pour la mettre avant la règle d’autoriser l’accès internet à tout le monde.
On enregistre les paramètres et voilà, les ordinateurs contenus dans la plage d’adresse IP que l’on a
défini n’auront plus accès à Internet.
Pour la seconde manipulation, on souhaite bloquer l’accès à certains sites Internet. Pour cela, on a
deux solutions : la première est de créer sa liste personnalisée ou l’on écrira l’adresse URL des sites
que l’on souhaite bloquer. Pour cela il faut aller dans l’onglet « objets » puis « objets web »
Ici on clique sur « ajouter une catégorie personnalisée » on la nomme, et dans le cadre en bas à
droite, on inscrit les adresses URL que l’on souhaite bloquer.
Dans le cadre du PPE, on décide de bloquer l’accès au site www.gizmodo.fr. Il ne faut pas oublier
quand on rentre l’url de mettre /* après l’adresse du site pour que cela bloque toutes les autres
pages de ce site internet.
Ensuite, on se rend dans l’onglet « politique de sécurité » dans le bandeau de gauche, puis dans
« filtrage URL ». Ici on clique sur ajouter, dans « action » on met « blockpage_00 » qui est la page qui
s’affichera quand on tentera de se connecter au site de gizmodo. Dans « catégorie d’url » on rentre la
catégorie que l’on a crée et qui contient uniquement le site de gizmodo.fr
On active, et on test !
Par défaut, c’est cette page qui s’affiche pour les sites internet que l’on a bloqué, mais rien ne nous
empêche de la modifier et de la personnaliser, comme cela par exemple :
Il existe aussi des catégories qui sont gérées par un tiers et qui sont téléchargées automatiquement
par le StormShield, ici, pas besoin de rentrer des adresses URLs. Il suffit de choisir la catégorie de
sites que vous souhaiter bloquer parmis les nombreuses catégories proposées.
Mais ce firewall permet aussi d’aller beaucoup plus loin ! on peut par exemple autoriser l’accès au
site internet facebook mais y bloquer les jeux qui y sont présents :
On peut aussi autoriser ou non certains protocoles : http/https, SMTP, POP3, FTP…
Ce firewall est très complet, etant destiné aux entreprises, il possède ne nombreuses autres
fonctionnalitées :
-
Les alertes par email
-
Il fait aussi antivirus : (ClamAV sans licence et Kaspersky si l’on a acheté la licence.)
-
Il enregistre les logs sur son disque dur interne de 300go, mais peut aussi les envoyer sur un
serveur distant dédié à cet usage.
-
Il permet aussi de faire du routage statique ou dynamique
-
Il fait office de DHCP :
-
Et il permet de créer des tunnels VPN, que ce soit SSL ou IPSEC
Il faut savoir que tout cela à un prix, et si ce firewall est déjà cher en soit, ce qui revient le plus cher
ce sont les licences !