FILTRAGE ET NAT
Le Filtrage et le NAT sont réunis en un seul module et font partie du menu Politique de Sécurité.
Evaluation du filtrage et impact du NAT
La politique de filtrage est évaluée sur les adresses IP avant modification par le NAT, c'est-à-dire
les adresses IP du paquet réseau avant qu'il n'atteigne le firewall. Par exemple, pour autoriser
l'accès à un serveur interne depuis un réseau public (Internet par exemple), il faut choisir
l'adresse IP publique de ce serveur (ou l'adresse publique du firewall par exemple) dans le
champ Destination de la règle de filtrage.
Les règles dont l'action est « passer » avec le service HTTP explicite activé, « décrypter » ou «
tracer » n'annulent pas l'exécution des règles suivantes. L'évaluation des règles continue. Il est
donc possible d'ajouter des règles de filtrage après ce type de règle.
Ce module se compose de 2 onglets, comportant chacun un emplacement réservé aux politiques
de filtrage et de NAT, et à leur configuration respective :
Le Filtrage : Il s'agit d'un ensemble de règles qui laissent passer ou bloquent certains trafics
l
réseaux suivant des critères définis.
Le NAT : Il permet de faire de la réécriture (ou translation) d'adresses et de ports source et
l
destination.
Mode « FastPath »
Pour les règles avec une inspection en mode « Firewall », le trafic a été optimisé et les débits
multipliés par un mécanisme appelé FastPath. Ces règles en mode « Firewall » sont conseillées
pour les besoins d'un simple contrôle d'accès, par exemple, pour des flux internes spécifiques.
Cela peut être des flux dédiés à la sauvegarde ou à la réplication de données en Datacenter, ou
encore réservé à l'accès de sites VPN satellites à un Firewall principal si celui-ci analyse déjà le
trafic.
Ce mécanisme permet alors d'alléger une charge importante de traitement du moteur de
prévention d'intrusion, en inscrivant ces connexions éligibles au FastPath, c'est-à-dire
dispensées après contrôle, de passage dans le moteur IPS. Ce mécanisme d'optimisation est
automatique pour les règles en mode Firewall appliquées aux flux IPv4, ne réalisant pas de
translation (NAT) et sans analyse de protocole utilisant des connexions dynamiques (FTP, SIP,
etc). De plus, les règles ne doivent pas avoir les options ou valeurs suivantes :
La Qualité de service (QoS),
l
Un Seuil de connexion : TCP avec ou sans la protection des attaques synflood (synproxy),
l
UDP, ICMP et requêtes applicatives
DSCP réécrit (valeur DSCP définie),
l
Règle avec port de destination non précisé et non conforme au protocole indiqué (onprobe).
l
Ce mécanisme est compatible avec les options de routage par règle (PBR) et de Load Balancing,
Pour assurer une vision complète et cohérente des flux, le suivi des connexions examine la table
pour notamment la génération de traces.
Les politiques
Le bandeau vous permet de sélectionner et de manipuler les politiques associés au Filtrage
d'une part, et au NAT d'autre part.
Page 145/464
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
FILTRAGE ET NAT