Configuration d`un Firewall StormShield modèle SN500 Nous allons
Transcription
Configuration d`un Firewall StormShield modèle SN500 Nous allons
Configuration d’un Firewall StormShield modèle SN500 Nous allons voir ici comment configurer un firewall Stormshield par le biais de l’interface Web de celui-ci. Comme vous pourrez le constater, les règles que l’on peut appliquer sur ce firewall sont très variées les possibilités sont quasi-infinies. Pour commencer, il vous faut être connecté au même réseau que le StromShield. Le firewall faisant DHCP, il est possible de se brancher firectement sur la facade avant du boitier avec un cable ethernet. Pour se connecter a l’interface Web, rien de très compliqué, il faut se connecter à l’adresse 10.0.0.254. On arrive alors au menu principal du boitier. Ici se présente un petit récapitulatif de ce qu’il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc. Dans le cadre du PPE, nous allons détailler 2 manipulations à faire pour : - Autoriser l’accès à internet à une certaine plage d’IP et non aux autres Bloquer l’accès à certains sites Internet Les deux manipulations sont très simples à faire, pour la première, il suffit de créer une règle qui n’autorise pas l’accès à une certaine plage d’adresses IP à Internet. On procède ainsi : Premièrement on créé un objet, qu’on nommera postes_no_internet. On clique sur l’onglet « Plage d’adresses IP » Et ici on rentre la plage d’adresse IP ou l’on souhaite que l’accès Internet soit impossible Maintenant que l’objet est créé, on va l’appliquer dans une règle. Pour cela il suffit d’aller dans « Politique de sécurité » puis dans « filtrage et nat » Ici, on clique sur « nouvelle règle » que l’on configure ainsi : - Action : bloquer Source : postes_no_internet Destination : Internet (et non pas any car on ne souhaite pas bloquer l’accès intranet) Port destination : any Enfin, il faut faire attention que la règle ne soit pas couverte par une autre car quand il y a plusieurs règles, le firewall les lit de haut en bas et, comme ici, la première règle est d’autoriser l’accès à tout le monde partout alors la regle d’interdire l’accès Internet à certains ne fonctionnera pas. On remonte donc la règle pour la mettre avant la règle d’autoriser l’accès internet à tout le monde. On enregistre les paramètres et voilà, les ordinateurs contenus dans la plage d’adresse IP que l’on a défini n’auront plus accès à Internet. Pour la seconde manipulation, on souhaite bloquer l’accès à certains sites Internet. Pour cela, on a deux solutions : la première est de créer sa liste personnalisée ou l’on écrira l’adresse URL des sites que l’on souhaite bloquer. Pour cela il faut aller dans l’onglet « objets » puis « objets web » Ici on clique sur « ajouter une catégorie personnalisée » on la nomme, et dans le cadre en bas à droite, on inscrit les adresses URL que l’on souhaite bloquer. Dans le cadre du PPE, on décide de bloquer l’accès au site www.gizmodo.fr. Il ne faut pas oublier quand on rentre l’url de mettre /* après l’adresse du site pour que cela bloque toutes les autres pages de ce site internet. Ensuite, on se rend dans l’onglet « politique de sécurité » dans le bandeau de gauche, puis dans « filtrage URL ». Ici on clique sur ajouter, dans « action » on met « blockpage_00 » qui est la page qui s’affichera quand on tentera de se connecter au site de gizmodo. Dans « catégorie d’url » on rentre la catégorie que l’on a crée et qui contient uniquement le site de gizmodo.fr On active, et on test ! Par défaut, c’est cette page qui s’affiche pour les sites internet que l’on a bloqué, mais rien ne nous empêche de la modifier et de la personnaliser, comme cela par exemple : Il existe aussi des catégories qui sont gérées par un tiers et qui sont téléchargées automatiquement par le StormShield, ici, pas besoin de rentrer des adresses URLs. Il suffit de choisir la catégorie de sites que vous souhaiter bloquer parmis les nombreuses catégories proposées. Mais ce firewall permet aussi d’aller beaucoup plus loin ! on peut par exemple autoriser l’accès au site internet facebook mais y bloquer les jeux qui y sont présents : On peut aussi autoriser ou non certains protocoles : http/https, SMTP, POP3, FTP… Ce firewall est très complet, etant destiné aux entreprises, il possède ne nombreuses autres fonctionnalitées : - Les alertes par email - Il fait aussi antivirus : (ClamAV sans licence et Kaspersky si l’on a acheté la licence.) - Il enregistre les logs sur son disque dur interne de 300go, mais peut aussi les envoyer sur un serveur distant dédié à cet usage. - Il permet aussi de faire du routage statique ou dynamique - Il fait office de DHCP : - Et il permet de créer des tunnels VPN, que ce soit SSL ou IPSEC Il faut savoir que tout cela à un prix, et si ce firewall est déjà cher en soit, ce qui revient le plus cher ce sont les licences !