Stormshield SN160 Manuel D'utilisation Et De Configuration page 349

Autoriser ISAKMP (port 500 UDP) et le protocole ESP pour les correspondants VPN IPSec: les
l
correspondants VPN IPSec pourront contacter le firewall via ces deux protocoles permettant
de sécuriser les données circulant sur le trafic IP.
Autoriser l'accès au serveur d'administration web du firewall (WebAdmin) : les administrateurs
l
pourront se connecter à l'interface d'administration web.
Autoriser les requêtes "Bootp" avec une adresse IP spécifiée pour relayer les requêtes DHCP :
l
les requêtes du service BOOTP (Bootstrap Protocol) vers un serveur DHCP relayé par le firewall
sont autorisées lorsqu'elles utilisent une adresse IP spécifiée dans la configuration du relai
DHCP (option « adresse IP utilisée pour relayer les requêtes DHCP »). Cette option est utilisée
pour relayer les requêtes DHCP d'utilisateurs distants au travers d'un tunnel IPsec vers un
serveur interne.
Autoriser les clients à joindre le service VPN SSL du firewall sur le port HTTPS : les connexions
l
relatives à l'établissement de tunnel VPN SSL sont autorisées sur le port HTTPS.
Autoriser les sollicitations de routeur (RS) en multicast ou à destination du firewall :
l
si le support d'IPv6 est activé sur le Firewall, les nœuds IPv6 peuvent envoyer des
sollicitations de routeur (RS) en multicast ou au firewall.
Autoriser les requêtes au serveur DHCPv6 et les sollicitations multicast DHCPv6 : si le support
l
d'IPv6 est activé sur le Firewall, les clients DHCPv6 peuvent émettre des requêtes de
sollicitations au serveur ou relai DHCPv6 présent sur le firewall.
Ne pas tracer les paquets IPFIX dans le trafic IPFIX : cette règle permet de ne pas inclure les
l
paquets nécessaires au fonctionnement du protocole IPFIX dans les traces envoyées vers le
(s) collecteur(s) IPFIX.
Deux cas peuvent être dangereux :
Page 347/464
NOTE
Cette règle autorise l'accès au portail captif, et donc à l'interface d'administration web
pour tous les utilisateurs connectés depuis une interface protégée. Pour restreindre
l'accès à l'administration web (répertoire « /admin/ »), il faut indiquer une ou plusieurs
machines depuis l'écran Système \ Configuration \ onglet Administration du Firewall.
Un tableau permet de restreindre l'accès à ces pages au niveau applicatif web.
AVERTISSEMENTS
Désactiver la règle « Serverd » : peut amener, en cas d'absence de règle
l
explicite, à ne plus avoir d'accès avec les outils utilisant le port 1300, à savoir
Stormshield Network RealTime Monitor, GlobalAdmin, Stormshield Network
Centralized Management et Stormshield Network Event Analyzer.
Désactiver la règle « WebAdmin » : vous n'aurez plus accès à l'interface
l
d'administration web, sauf si une règle explicite l'autorise.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
REGLES IMPLICITES