Cisco Small Business ISA570W Guide D'administration Et D'utilisation
  1. Manuels
  2. Marques
  3. Cisco Manuels
  4. Matériel réseau
  5. Small Business ISA570W
  6. Guide d'administration et d'utilisation

Cisco Small Business ISA570W Guide D'administration Et D'utilisation

Appliances de sécurité intégrés
Masquer les pouces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
Table des Matières

Publicité

Liens rapides

Télécharger ce manuel
GUIDE
D'ADMINISTRATION
Gamme Cisco Small Business
Appliances de sécurité intégrés de la gamme ISA500
(ISA550, ISA550W, ISA570, ISA570W)

Publicité

Table des Matières
loading

Manuels Connexes pour Cisco Small Business ISA570W

Sommaire des Matières pour Cisco Small Business ISA570W

  • Page 1 GUIDE D'ADMINISTRATION Gamme Cisco Small Business Appliances de sécurité intégrés de la gamme ISA500 (ISA550, ISA550W, ISA570, ISA570W)
  • Page 2 Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company.
  • Page 3 Déclaration sur les interférences de la FCC (Federal Communication Commission) (Pour ISA570 et ISA570W) Cet équipement a été testé et jugé conforme aux limites d'un périphérique numérique de classe A en vertu de la partie15 des règlements de la FCC. Ces limites ont pour but de fournir une protection raisonnable contre les interférences nuisibles susceptibles de se produire, lorsque l'équipement est utilisé...
  • Page 4 REMARQUE IMPORTANTE : Déclaration FCC sur l’exposition aux radiations : (Pour ISA550W et ISA570W) Cet équipement est conforme aux normes d'exposition de la FCC en matière de radiations définies pour un environnement non contrôlé. Cet équipement doit être installé et utilisé en respectant une distance minimale de 20 cm entre l'émetteur de radiations et vous-même.
  • Page 5 Selon la réglementation d'Industrie Canada, cet émetteur radio peut fonctionner uniquement à l'aide d'une antenne d'un type et d'un gain maximal (ou inférieur) approuvés pour l'émetteur par Industrie Canada. Pour limiter les interférences radio potentielles avec les autres utilisateurs, le type d'antenne et son gain doivent être choisis de sorte que la puissance isotrope rayonnée équivalente (PIRE) ne soit pas supérieure à...

  • Page 6: Table Des Matières

    Configuration de l'administration à distance Configuration des ports physiques Configuration du WAN principal Configuration du WAN secondaire Configuration de la redondance du WAN Configuration des paramètres LAN par défaut Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 7 SSL Lancement de l'assistant VPN d'accès à distance avec l'accès à distance SSL Configuration de la passerelle VPN SSL Configuration de la stratégie de groupe VPN SSL Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 8 Configuration du SSID pour l'accès au portail captif Chapitre 3 : Status Tableau de bord de l'état du périphérique État du réseau Récapitulatif de l'état Statistiques de trafic Rapports d'utilisation Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 9 Gestion des ports Affichage de l'état des interfaces physiques Configuration des ports physiques Configuration de la mise en miroir des ports Configuration du contrôle d'accès basé sur les ports (802.1x) Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 10 Exemple de configuration de QoS WAN Configuration de la QoS WAN pour le trafic voix du LAN au WAN Configuration de la QoS WAN pour le trafic voix du WAN au LAN Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 11 Configuration des profils SSID Configuration de la sécurité sans fil Contrôle de l'accès sans fil par le biais des adresses MAC Mappage du SSID au VLAN Configuration de la programmation SSID Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 12 IP WAN Autorisation du trafic entrant vers un serveur RDP à l'aide d'une adresse IP publique spécifiée Autorisation du trafic entrant en provenance de l'intervalle spécifié des hôtes externes Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 13 Configuration de l'antivirus Paramètres antivirus généraux Configuration des paramètres antivirus avancés Configuration de la notification HTTP Configuration de la notification par e-mail Mise à jour des signatures antivirus Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 14 Tâches de configuration pour établir un tunnel VPN de site à site Paramètres VPN généraux de site à site Configurer des stratégies VPN IPsec Configuration des stratégies IKE Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 15 Configuration des règles NAT avancées pour autoriser les clients VPN SSL à accéder à Internet via les tunnels VPN SSL Configuration d'un serveur L2TP Configuration du transfert VPN Chapitre 9 : Gestion des utilisateurs Affichage des sessions utilisateur actives Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 16 Exportation de certificats vers un périphérique USB Importation de certificats depuis votre PC local Importation de certificats depuis un périphérique USB Génération de nouvelles demandes de signature de certificat Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 17 Gestion de la licence de sécurité Vérification de l'état de la licence de sécurité Installation ou renouvellement de la licence de sécurité Gestion des journaux Affichage des journaux Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...
  • Page 18 Gestion des utilisateurs Mise en réseau Sans fil Services de sécurité Pare-feu Rapports Objets de services par défaut Objets d'adresse par défaut Annexe D : Problèmes et solutions Guide d'administration des appareils de sécurité intégrés de la gamme Cisco ISA500...

  • Page 19: Chapitre 1 : Démarrage

    Démarrage Ce chapitre présente l'appareil de sécurité intégré de la gamme Cisco ISA500 et décrit les tâches de configuration de base pour vous permettre de configurer votre Cisco ISA500. Il comprend les sections suivantes : • Introduction, page 20 •...

  • Page 20: Introduction

    Introduction Nous vous remercions d'avoir choisi l'appareil de sécurité intégré de la gamme Cisco ISA 500, appartenant à la gamme Cisco Small Business. La gamme ISA500 est un ensemble d'appareils de sécurité de gestion unifiée des menaces (UTM). Ces appareils fournissent des solutions professionnelles de passerelle de sécurité...

  • Page 21: Présentation Du Produit

    POWER/SYS WLAN CONFIGURABLE ISA570 : façade ISA570 Cisco Small Business SPEED LINK /ACT POWER/SYS CONFIGURABLE ISA570W : façade ISA570W Cisco Small Business SPEED LINK /ACT POWER/SYS WLAN CONFIGURABLE Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 22 Démarrage Présentation du produit Voyants du panneau avant Le tableau suivant décrit les voyants de la façade du Cisco ISA500. Ces voyants permettent de surveiller l'activité du système. Voyant Description POWER/SYS Indique l’état de l’alimentation et du système. • Le voyant vert fixe indique que le système est sous tension et fonctionne normalement.

  • Page 23: Panneau Arrière

    ISA550 et ISA550W : panneau arrière Interrupteur d’alimentation Bouton ANT01 Reset ANT02 12VDC A NT01 A NT02 CONFIGURABLE L A N WA N RESET POWER Prise Port Port d'alimentation Ports Ports configurables Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 24 Le ISA570 et le ISA570W disposent de 4 ports LAN dédiés. Port WAN Permet de connecter l'appareil à un modem câble ou ADSL, ou à un appareil doté d'une connectivité WAN. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 25: Mise En Route À L'aide De L'utilitaire De Configuration

    L'utilitaire de configuration de la gamme ISA500 est un gestionnaire de périphériques Web permettant de mettre l'Cisco ISA500 en service. Pour utiliser cet utilitaire, vous devez pouvoir vous connecter à l'Cisco ISA500 depuis un PC ou un ordinateur portable. Vous pouvez accéder à l'utilitaire de configuration à l'aide des navigateurs web suivants : •...

  • Page 26: Connexion À L'utilitaire De Configuration

    Lorsque la page de connexion s’affiche, saisissez le nom d’utilisateur et le mot de ÉTAPE 3 passe. Le nom d'utilisateur par défaut est cisco. Le mot de passe par défaut est cisco. Les noms d’utilisateurs et les mots de passe sont sensibles à la casse. Cliquez sur Login.

  • Page 27: Navigation Dans L'utilitaire De Configuration

    Cliquez sur le titre d'une fonctionnalité ou d'une sous-fonctionnalité pour l'ouvrir. Contenu Le contenu principal de la fonctionnalité ou principal sous-fonctionnalité s'affiche dans cette zone. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 28: Utilisation Du Système D'aide

    Permet de réduire les sous-fonctionnalités forme de triangle d'une fonctionnalité dans le volet de navigation gauche ou de réduire les éléments sous une catégorie. Icône de connexion Permet d'établir une connexion VPN. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 29 Icône d'actualisation Permet d'actualiser les données. Icône de réinitialisation Permet de réinitialiser le périphérique sur les paramètres d'usine par défaut ou de renouveler la licence de sécurité. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 30: Paramètres D'usine Par Défaut

    WAN principal. Vous pouvez également modifier les autres paramètres WAN. Reportez-vous à la section Configuration des paramètres du WAN pour votre connexion internet, page 128. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 31 Paramètres d'usine par défaut • Configuration LAN : par défaut, le LAN de l'Cisco ISA500 est configuré dans le sous-réseau 192. 1 68.75.0 et l'adresse IP LAN est 192. 1 68.75. 1 . L'Cisco ISA500 agit comme un serveur DHCP pour les hôtes du réseau LAN.

  • Page 32: Restauration Des Paramètres Par Défaut Définis En Usine

    : Paramètres Valeur par défaut Nom d'utilisateur cisco Mot de passe cisco LAN IP 192. 1 68.75. 1 DHCP Range 192. 1 68.75. 1 00 à 200 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 33: Exécution De Tâches De Configuration De Base

    Ne répétez aucun mot de passe plus de trois fois sur une ligne. Ne définissez pas le nom d'utilisateur ou « cisco » comme mot de passe. Ne mettez pas ces mots en majuscule et ne les écrivez pas à l'envers.

  • Page 34: Mise À Niveau De Votre Microprogramme Après Votre Première Connexion

    L'Cisco ISA500 utilise un client IDA intégré pour interroger le microprogramme depuis le serveur Cisco IDA. Si un microprogramme plus récent est détecté lorsque vous vous connectez à l'utilitaire de configuration pour la première fois, nous vous recommandons d'effectuer une mise à niveau de votre microprogramme vers la version la plus récente avant d'exécuter une autre tâche.

  • Page 35: Sauvegarde De La Configuration

    • L'Cisco ISA500 recherche automatiquement les mises à jour du microprogramme à partir du serveur Cisco IDA toutes les 24 heures. Vous pouvez mettre à niveau votre microprogramme vers la dernière version si un microprogramme plus récent est disponible sur le site Web Cisco.com.

  • Page 36: Chapitre 2 : Assistants De Configuration

    Utilisation de l'assistant sans fil pour configurer les paramètres sans fil (pour l'ISA550W et l'ISA570W uniquement), page 81 Pour accéder aux pages des assistants de configuration, cliquez sur Configuration Wizards dans le volet de navigation de gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 37: Utilisation De L'assistant De Configuration Pour Paramétrer La Configuration Initiale

    Configuration des paramètres de la radio sans fil, page 49 • Configuration de l'accès WLAN Intranet, page 50 • Configuration des services de sécurité, page 51 • Affichage du résumé de la configuration, page 53 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 38: Lancement De L'assistant De Configuration

    éléments requis suivants : • Une connexion WAN active pour vérifier les informations d'identification de compte Cisco.com, valider la licence de sécurité et mettre à niveau le microprogramme vers la dernière version obtenue à partir de Cisco.com. •...

  • Page 39: Configuration Des Informations D'identification Du Compte Cisco.com

    Un compte Cisco.com valide est requis pour télécharger la dernière image du microprogramme à partir de Cisco.com, valider la licence de sécurité, ainsi que rechercher les mises à jour des signatures à partir du serveur de signatures Cisco pour IPS, le contrôle des applications et l'antivirus. Si vous n'en possédez pas encore, accédez à...

  • Page 40: Activation De La Mise À Niveau Du Microprogramme

    Reportez-vous à la page License Installation pour valider la licence de sécurité, qui ÉTAPE 10 est utilisée pour activer les services de sécurité sur le périphérique. Si la licence de sécurité est déjà installée sur l'Cisco ISA500, cliquez sur Next pour ÉTAPE 11 passer à l'étape suivante.

  • Page 41: Activation Des Protocoles Bonjour Et Cdp (Cdp Discovery Protocol)

    Reportez-vous à la page Discovery pour activer les protocoles Bonjour et/ou CDP ÉTAPE 14 sur l'Cisco ISA500. Pour une prise en charge optimale de la topologie et de la détection de périphériques, via le portail OnPlus, activez les deux protocoles de détection.

  • Page 42: Configuration De L'administration À Distance

    Configuration de l'administration à distance Reportez-vous à la page Remote Administration pour configurer les paramètres ÉTAPE 16 de gestion à distance. L'Cisco ISA500 permet une gestion à distance sécurisée via les protocoles HTTPS et HTTP, comme par exemple https://xxx.xxx.xxx.xxx:8080. •...

  • Page 43: Configuration Des Ports Physiques

    WAN de secours afin de pouvoir fournir une connexion de secours ou assurer l'équilibrage de charge. Si vous devez héberger des services publics, nous vous recommandons de définir un port DMZ. Lorsque vous avez terminé, cliquez sur Next. ÉTAPE 19 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 44: Configuration Du Wan Principal

    IP Address Assignment : en fonction des exigences de votre ISP, choisissez le mode d'adressage réseau et configurez les champs correspondants pour le port WAN principal. L'Cisco ISA500 prend en charge le client DHCP, l'IP statique, PPPoE, PPTP et L2TP. Pour plus d'informations, reportez-vous à la section Mode d'adressage réseau, page...

  • Page 45: Configuration Des Paramètres Lan Par Défaut

    • IP Address : entrez l'adresse IP de sous-réseau du LAN par défaut. • Netmask : entrez le masque de sous-réseau pour le LAN par défaut. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 46 IP statiques ou pour utiliser un autre serveur DHCP. DHCP Server : permet à l'Cisco ISA500 d'agir en tant que serveur DHCP et attribue les adresses IP à tous les périphériques connectés au LAN. Tout nouveau client DHCP se connectant au LAN reçoit une adresse IP du pool DHCP.

  • Page 47: Configuration De La Dmz

    IP statiques ou pour utiliser un autre serveur DHCP. DHCP Server : permet à l'Cisco ISA500 d'agir en tant que serveur DHCP et affecte les adresses IP à tous les périphériques connectés à la DMZ. Tout nouveau client DHCP se connectant au DMZ reçoit une adresse IP du pool DHCP.

  • Page 48: Configuration Des Services Dmz

    Create Firewall Rule : cochez cette case pour créer automatiquement une règle de pare-feu permettant d'autoriser l'accès pour ce service DMZ. Vous devez créer manuellement une règle de pare-feu si vous désactivez cette case à cocher. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 49: Configuration Des Paramètres De La Radio Sans Fil

    • Wireless Radio : cliquez sur On pour activer la transmission radio sans fil et par conséquent activer le SSID appelé « cisco-data », ou cliquez sur Off pour désactiver cette option. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 50: Configuration De L'accès Wlan Intranet

    à ce SSID est dirigé vers le VLAN sélectionné. Pour l'accès VLAN Intranet, vous devez sélectionner un VLAN mappé à une zone approuvée. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 51: Configuration Des Services De Sécurité

    • L'activation d'un service de sécurité appliquera ses paramètres par défaut sur l'Cisco ISA500 pour fournir un niveau modéré de protection. Nous vous recommandons fortement de personnaliser les paramètres de chaque service de sécurité activé une fois l'exécution de l'assistant de configuration terminée.
  • Page 52 IP ou le nom de domaine de votre serveur SMTP interne dans le champ Local SMTP Server IP Address. Le trafic Internet du serveur SMTP doit être acheminé via l'Cisco ISA500. Le serveur SMTP ou les clients qui utilisent ce serveur SMTP peuvent être configurés pour répondre aux balises de courrier indésirable et...

  • Page 53: Affichage Du Résumé De La Configuration

    Configuration de la redondance du WAN, page 55 • Configuration de la détection des défaillances du réseau, page 56 • Affichage du résumé de la configuration, page 56 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 54: Démarrage De L'assistant Double Wan

    IP Address Assignment : en fonction des exigences de votre ISP, choisissez le mode d'adressage réseau et configurez les champs correspondants pour le port WAN principal. L'Cisco ISA500 prend en charge le client DHCP, l'IP statique, PPPoE, PPTP et L2TP. Pour plus d'informations, reportez-vous à la section Mode d'adressage réseau, page...

  • Page 55: Configuration De La Redondance Du Wan

    ISA500 mettra en priorité la liaison principale par rapport à la liaison de secours une fois la liaison principale de nouveau active. La valeur par défaut est de 5 secondes. Lorsque vous avez terminé, cliquez sur Next. ÉTAPE 10 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 56: Configuration De La Détection Des Défaillances Du Réseau

    Reportez-vous à la page Network Detection pour configurer la détection des ÉTAPE 11 défaillances du réseau. • Retry Count : entrez le nombre de tentatives. L'Cisco ISA500 essaie à plusieurs reprises de se connecter à l'ISP après la détection de la défaillance du réseau. •...

  • Page 57: Utilisation De L'assistant Vpn D'accès À Distance Pour Configurer L'accès À Distance Ipsec Ou Ssl

    Utilisation de l'assistant VPN d'accès à distance pour configurer l'accès à distance IPsec ou SSL Utilisez l'assistant VPN d'accès à distance pour configurer l'Cisco ISA500 en tant que serveur VPN IPsec ou passerelle VPN SSL, afin que les utilisateurs distants puissent accéder en toute sécurité...

  • Page 58: Lancement De L'assistant Vpn D'accès À Distance Avec L'accès À Distance Ipsec

    Peer Certificate, pour l'authentification. Le certificat distant sélectionné sur le serveur VPN IPsec doit être configuré comme certificat local sur les clients VPN distants. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 59: Configuration Des Paramètres Wan

    Par exemple, si vous sélectionnez le mode client pour la stratégie de groupe d'accès à distance IPsec, seuls les clients matériels VPN Cisco en mode client peuvent être connectés à l'aide de cette stratégie de groupe. Pour obtenir plus d'informations sur le mode de fonctionnement, reportez-vous à...

  • Page 60: Configuration Des Paramètres De Contrôle D'accès

    Mode : sélectionnez l'un des modes suivants : Client : sélectionnez ce mode pour la stratégie de groupe qui est utilisée à la fois pour le PC exécutant le logiciel Client VPN Cisco et le périphérique Cisco qui prend en charge le client matériel VPN Cisco en mode client.

  • Page 61: Configuration Des Serveurs De Secours

    Pour utiliser le DNS fractionné, vous devez également activer la fonctionnalité de transmission tunnel partagée et spécifier les domaines. La fonctionnalité de DNS fractionné prend en charge jusqu'à 10 domaines. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 62: Affichage Du Résumé De La Stratégie De Groupe

    Password Confirm pour confirmer, puis cliquez sur Create. Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 24 Lorsque vous avez terminé, cliquez sur Next. ÉTAPE 25 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 63: Affichage Du Résumé De L'accès À Distance Ipsec

    ÉTAPE 27 cliquez sur Finish pour appliquer les paramètres. Une fois les paramètres enregistrés, l'Cisco ISA500 est configuré en tant que serveur VPN IPsec. Les utilisateurs distants qui appartiennent aux groupes d'utilisateurs spécifiés peuvent utiliser la stratégie de groupe spécifiée pour établir les connexions VPN.

  • Page 64: Configuration De La Passerelle Vpn Ssl

    Le groupement d'adresses du client est utilisé avec le masque réseau du client. Le tableau suivant montre les paramètres valides pour la saisie du groupement d'adresses du client et du masque réseau du client. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 65 Saisissez le délai de DPD pendant lequel une session sera maintenue avec un client distant inactif. La valeur par défaut est de 300 secondes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 66: Configuration De La Stratégie De Groupe Vpn Ssl

    Policy Name : entrez le nom de la stratégie de groupe VPN SSL. • Primary DNS : entrez éventuellement l'adresse IP du serveur DNS principal. • Secondary DNS : entrez éventuellement l'adresse IP du serveur DNS secondaire. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 67 Cochez cette case pour activer la fonctionnalité de transmission tunnel partagée afin que le tunnel soit utilisé uniquement pour le trafic spécifié par les routes du client. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 68 Dans la zone Zone-based Firewall Settings, vous pouvez contrôler l'accès des ÉTAPE 13 clients VPN SSL aux zones via les tunnels VPN SSL. Cliquez sur Permit pour permettre l'accès ou sur Deny pour le refuser. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 69: Configuration Des Groupes D'utilisateurs Vpn Ssl

    User Name et le mot de passe dans le champ Password, entrez le même mot de passe dans le champ Password Confirm pour confirmer, puis cliquez sur Create. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 70: Affichage Du Résumé Vpn Ssl

    ÉTAPE 23 cliquez sur Finish pour appliquer les paramètres. Une fois les paramètres enregistrés, l'Cisco ISA500 est configuré en tant que serveur VPN SSL. Les utilisateurs VPN SSL qui appartiennent aux groupes d'utilisateurs spécifiés peuvent utiliser les stratégies de groupe sélectionnées pour établir les connexions VPN SSL.

  • Page 71: Lancement De L'assistant Vpn De Site À Site

    Local Certificate et sélectionnez un certificat CA comme certificat distant dans la liste déroulante Remote Certificate. Le certificat distant sélectionné sur la passerelle locale doit être configuré comme certificat local sur l'homologue distant. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 72: Configuration Des Stratégies Ike

    ESP_3DES, ESP_AES_128, ESP_AES_192 et ESP_AES_256. • HASH : spécifiez l'algorithme d'authentification pour l'en-tête VPN. Deux algorithmes de hachage sont pris en charge par l'Cisco ISA500 : SHA1 et MD5. Veillez à ce que l'algorithme d'authentification soit configuré de manière identique des deux côtés.

  • Page 73: Configuration Des Stratégies De Transformation

    Integrity : sélectionnez l'algorithme de hachage utilisé pour assurer l'intégrité des données. L'algorithme de hachage garantit qu'un paquet provient d'où il dit provenir et qu'il n'a pas été modifié en chemin. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 74: Configuration Des Réseaux Locaux Et Distants

    Create a new address group pour ajouter un nouvel objet Groupe d'adresses. Pour gérer les objets d'adresses et de groupes d'adresses, accédez à la page Networking > Address Management. Reportez-vous à la Gestion d'adresse, page 182. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 75: Affichage Du Résumé De La Configuration

    à cette stratégie VPN IPsec et le tunnel VPN sera configuré automatiquement. Vous pouvez également accéder à la page VPN > Site-to-Site > IPsec Policies pour établir manuellement la connexion VPN en cliquant sur l'icône de connexion. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 76: Utilisation De L'assistant Dmz Pour Configurer Les Paramètres Dmz

    REMARQUE : Vous devez souscrire un compte auprès de l'un de ces fournisseurs avant de pouvoir utiliser ce service. • Active On Startup : cliquez sur On pour activer le paramètre DDNS au démarrage de l'Cisco ISA500. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 77: Configuration Du Réseau Dmz

    Reportez-vous à la page DMZ Configuration pour configurer les réseaux DMZ. ÉTAPE 8 REMARQUE : jusqu'à 4 stratégies de groupe VPN DMZ peuvent être configurées sur l'Cisco ISA500. Vous devez configurer au moins un réseau DMZ pour terminer l'assistant DMZ. Cliquez sur Add pour créer un réseau DMZ.
  • Page 78 DHCP. • DHCP Server : permet à l'Cisco ISA500 d'agir en tant que serveur DHCP et affecte les adresses IP à tous les périphériques connectés à la DMZ. Tout nouveau client DHCP se connectant à la DMZ reçoit une adresse IP du pool DHCP.

  • Page 79: Configuration Des Services Dmz

    ISP. Lorsque vous sélectionnez Both en tant que port WAN entrant, cette option est grisée. • Enable DMZ Service : cliquez sur On pour activer le service DMZ ou cliquez sur Off pour créer uniquement le service DMZ. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 80: Affichage Du Résumé De La Configuration

    Reportez-vous à la page Summary pour afficher les informations relatives à la ÉTAPE 20 configuration. Pour modifier des paramètres, cliquez sur Back. Si la configuration est correcte, ÉTAPE 21 cliquez sur Finish pour appliquer les paramètres. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 81: Utilisation De L'assistant Sans Fil Pour Configurer Les Paramètres Sans Fil (Pour L'isa550W Et L'isa570W Uniquement)

    802.11b/g/n mixed : sélectionnez ce mode pour autoriser les clients 802. 1 1b, 802. 1 1g et 802. 1 1n utilisant la fréquence 2,4 GHz à se connecter au point d'accès. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 82: Configuration Des Types De Connectivité Sans Fil

    Web spécifié après connexion avant de pouvoir accéder à Internet. REMARQUE : vous ne pouvez définir qu'un seul SSID à la fois pour l'accès au portail captif. Lorsque vous avez terminé, cliquez sur Next. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 83: Spécifier Les Paramètres De Connectivité Sans Fil Pour Tous Les Ssid Activés

    SSID pour configurer une connexion sans fil à ce SSID. • Station Isolation : cochez cette option afin que les clients sans fil sur le même SSID ne puissent pas se voir entre eux. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 84 0 (zéro), ce qui indique qu'il n'y a pas de limite pour ce SSID. REMARQUE : Le nombre maximal d'utilisateurs pouvant se connecter simultanément à tous les SSID activés est 200. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 85: Configuration Du Ssid Pour L'accès Wlan Invité

    0 (zéro), ce qui indique qu'il n'y a pas de limite pour ce SSID. REMARQUE : Le nombre maximal d'utilisateurs pouvant se connecter simultanément à tous les SSID activés est 200. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 86: Configuration Du Ssid Pour L'accès Au Portail Captif

    Si vous choisissez cette option, cliquez sur le bouton Accept sur la page de connexion de zone d'accès sans fil par défaut pour accéder au réseau sans fil sans authentification. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 87 (crayon). Pour supprimer une entrée, cliquez sur l'icône de suppression (x). REMARQUE : le portail captif surveille uniquement les requêtes HTTPS qui transitent par le port 443. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 88 0 (zéro), ce qui indique qu'il n'y a pas de limite pour ce SSID. REMARQUE : le nombre maximal d'utilisateurs pouvant se connecter simultanément à tous les SSID activés est 200. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 89: Chapitre 3 : Status

    Status Ce chapitre explique comment afficher l'état de l'Cisco ISA500. Il comprend les sections suivantes : • Tableau de bord de l'état du périphérique, page 89 • État du réseau, page 93 • État sans fil (pour l'ISA550W et l'ISA570W uniquement), page 104 •...
  • Page 90 Syslog peuvent avoir différents niveaux de gravité. Pour afficher les journaux complets, cliquez sur details. Emergency Nombre total de journaux d'urgence. Cliquez sur le lien pour afficher tous les détails. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 91 NAT est activé. Pour activer ou désactiver le mode de routage (Routing), cliquez sur details. Ports physiques Name Nom du port physique. Port Type Type de port physique, par exemple WAN, LAN, ou DMZ. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 92 Pour afficher tous les détails de tous les SSID, cliquez sur details. SSID Number Numéro du SSID. SSID Name Nom du SSID. VLAN Réseaux VLAN auxquels le SSID est mappé Client List Nombre de stations clientes connectées au SSID. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 93: État Du Réseau

    Type de port physique, par exemple WAN, LAN, ou DMZ. Line Status Indique si le port physique est connecté ou non. Speed/Duplex Mode duplex (paramètre de vitesse et duplex) du port physique. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 94 Longueur du masque de sous-réseau ou du préfixe Length IPv6 pour le port WAN. Gateway Passerelle par défaut pour le port WAN. DNS Server Serveur DNS pour le port WAN. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 95 Nom de la DMZ. ID du VLAN. IP Address Adresse IP de sous-réseau du DMZ. Subnet Mask/Prefix Longueur du masque de sous-réseau ou du préfixe Length IPv6 de la DMZ. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 96: Statistiques De Trafic

    Nombre de paquets IP reçus par le port WAN. Collisions Nombre de collisions de signal qui se sont produites sur ce port WAN. Tx Bytes/Sec Nombre d'octets transmis par le port WAN par seconde. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 97: Rapports D'utilisation

    25 premiers sites Web le plus souvent consultés, les 25 premiers utilisateurs de la bande passante Internet par adresse IP et les 25 premiers services et applications qui consomment le plus de bande passante. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 98 Pour plus d'informations sur le blocage des applications, reportez-vous à la section Configuration du contrôle des applications, page 277. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 99: Rapports De La Bande Passante Wan

    Dans l'onglet Secondary WAN, vous pouvez voir l'utilisation de la bande passante ÉTAPE 5 en temps réel par heure au cours des dernières 24 heures du port WAN secondaire si un port WAN secondaire est configuré. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 100: Table Arp

    Network Status > DHCP Bindings Champ Description IP Address Adresse IP attribuée à l'hôte ou au périphérique à distance. MAC Address Adresse MAC de l'hôte ou du périphérique à distance. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 101: État Du Stp

    Coût du chemin le plus court de l'appareil de sécurité vers le pont racine. La valeur 0 indique que cet appareil de sécurité est le pont racine. Tableau d'état de l'interface Champ Description Interfaces Nom de l'interface. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 102 ID du port désigné du segment LAN. Le port désigné est utilisé par tous les autres équipements du segment LAN pour atteindre le pont racine. Designated Cost Coût du chemin vers le pont désigné du segment LAN. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 103: Voisinage Cdp

    Interface utilisée par le périphérique voisin utilise pour la connexion. IP Address Adresse IP de l'équipement voisin. Duplex Mode duplex de la connexion. Voice VLAN ID du VLAN voix de l'équipement voisin. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 104: État Sans Fil (Pour L'isa550W Et L'isa570W Uniquement)

    Nombre de collisions de paquets signalées au SSID. Tx Bytes/Sec Nombre d'octets d'informations transmis sur le SSID. Rx Bytes/Sec Nombre d'octets d'informations reçus sur le SSID. Uptime Durée pendant laquelle le SSID était actif. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 105: Client Status

    Interface vers laquelle l'interface de destination Port spécifiée est traduite. Translated Source Interface vers laquelle l'interface source spécifiée est Port traduite. Tx Packets Nombre de paquets transmis. Rx Packets Nombre de paquets reçus. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 106: État Du Vpn

    État de connexion d'une session VPN IPsec. VPN Type Type de connexion VPN pour une session VPN IPsec, tel que Site-to-Site, IPsec Remote Access ou Teleworker VPN Client. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 107 Volume du trafic en kilo-octets reçu à partir du tunnel VPN. Tx Packets Nombre de paquets IP transmis à partir du tunnel VPN. Rx Packets Nombre de paquets IP reçus à partir du tunnel VPN Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 108: Ssl Vpn Status

    Description Teleworker VPN Client Si la fonctionnalité de client VPN pour télétravailleurs (Teleworker VPN Client) est activée et que l'Cisco ISA500 agit en tant que client matériel VPN Cisco, les informations ci-dessous sont affichées. Status Indique si la fonctionnalité Teleworker VPN Client est activée ou désactivée.
  • Page 109 Out CSTP Data Nombre de trames de données CSTP envoyées à tous les clients. Out CSTP Control Nombre de trames de contrôle CSTP envoyées à tous les clients. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 110 « Out » indique que le paquet est envoyé au client. Le client est le PC exécutant le logiciel client à mobilité sécurisé Cisco AnyConnect qui se connecte à l'Cisco ISA500 exécutant le serveur VPN SSL. Une trame CSTP est un paquet transportant des informations de protocole CSTP.

  • Page 111: Active User Sessions

    Reportez-vous à la page Active User Sessions pour consulter les informations relatives à toutes les sessions utilisateur actives qui sont actuellement connectées à l'Cisco ISA500. Cette page est automatiquement mise à jour toutes les 10 secondes. Cliquez sur Refresh pour actualiser manuellement les données.

  • Page 112: Rapport De Sécurité Web

    Web bloqués au cours des sept derniers jours. Total Today Nombre total de demandes d'accès Web traitées et nombre total de sites Web bloqués en une journée. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 113: Rapport Antivirus

    Total Last 7 Days Nombre total de fichiers vérifiés et nombre total de virus détectés au cours des sept derniers jours. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 114: Email Security Report

    Total Last 7 Days Nombre total de courriels vérifiés et nombre total de courriels indésirables ou suspectés d'être indésirables détectés au cours des sept derniers jours. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 115: Rapport De Réputation Du Réseau

    Nombre total de paquets vérifiés et nombre total de paquets bloqués au cours des sept derniers jours. Total Today Nombre total de paquets vérifiés et nombre total de paquets bloqués en une journée. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 116: Ips Report

    IPS. Total Last 7 Days Nombre total de paquets détectés et nombre total de paquets abandonnés au cours des sept derniers jours. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 117: Application Control Report

    Total Last 7 Days Nombre total de paquets détectés et nombre total de paquets bloqués au cours des sept derniers jours. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 118: System Status

    Protocole utilisé par le connecteur. Port Numéro de port de l'extrémité locale du connecteur. Local Address Adresse IP de l'extrémité locale du connecteur. Foreign Address Adresse IP de l'extrémité distante du connecteur. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 119: Utilisation Des Ressources

    Espace mémoire total actuellement non utilisé par les processus Cached Memory Espace mémoire total actuellement utilisé comme cache. Buffer Memory Espace mémoire total actuellement utilisé en tant que tampon. Guide d’administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 120: Chapitre 4 : Mise En Réseau

    Gestion d'adresse, page 182 • Gestion des services, page 184 • Pour accéder aux pages relatives à la mise en réseau, cliquez sur Networking dans le volet de navigation de gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 121: Affichage De L'état Du Réseau

    32 bits (dans IPv4) à 128 bits, permettant ainsi d'accroître l'espace d'adressage de façon exponentielle. Vous pouvez configurer l'Cisco ISA500 pour prendre en charge l'adressage IPv6 sur le WAN, le LAN et la DMZ.

  • Page 122: Gestion Des Ports

    SSID : • SSID Name : nom du SSID. • VLAN : VLAN auquel le SSID est mappé. • Client Associated : nombre de stations clientes connectées au SSID. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 123: Configuration Des Ports Physiques

    à un routeur sensible au VLAN. • Port : cliquez sur On pour activer le port, ou sur Off pour le désactiver. Par défaut, tous les ports sont activés. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 124 à la fois. Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 2 Dans la page Networking > Ports > Physical Interface, cliquez sur Save pour ÉTAPE 3 appliquer vos paramètres. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 125: Configuration De La Mise En Miroir Des Ports

    EAP (Extensible Authentication Protocol) sur le trafic LAN (EAPOL) via le port auquel le client est connecté. Une fois l'authentification réussie, le trafic normal peut passer par le port. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 126 Forced Unauthorized : passer le port à l'état non autorisé, en ignorant toutes les tentatives d'authentification effectuées par le client. L'Cisco ISA500 n'est pas en mesure de fournir des services d'authentification au client via le port. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 127 EAPOL via le port. Le processus d'authentification commence lorsque l'état des liaisons du port passe de bas en haut, ou lorsqu'une trame de départ EAPOL est reçue. L'Cisco ISA500 demande l'identité du client et commence par relayer les messages d'authentification entre le client et le serveur d'authentification.

  • Page 128: Configuration Du Wan

    Configuration du WAN Configuration du WAN Par défaut, l'Cisco ISA500 est configurée pour recevoir une adresse IP publique de votre FAI automatiquement via le protocole DHCP. En fonction des exigences de votre FAI, vous devrez peut-être utiliser les pages Networking > WAN pour modifier les paramètres du réseau WAN afin d'assurer la connectivité...
  • Page 129 IP Address Assignment : en fonction des exigences de votre FAI, choisissez le mode d'adressage réseau et complétez les paramètres correspondants. L'Cisco ISA500 prend en charge le client DHCP, l'IP statique, PPPoE, PPTP et L2TP. Pour obtenir des informations sur la configuration du mode d'adressage réseau, voir...
  • Page 130 IP Address Assignment : choisissez Static IP si votre FAI a attribué une adresse IP fixe (statique ou permanente) ou SLAAC si aucune adresse IP statique ne vous a été attribuée. Par défaut, votre Cisco ISA500 est configuré comme client DHCPv6 du FAI, avec la configuration automatique des adresses sans état (SLAAC).
  • Page 131 Connexion Internet, page 431. Mode d'adressage réseau L'Cisco ISA500 prend en charge cinq types de modes d'adressage réseau. Vous devez spécifier le mode d'adressage réseau pour le WAN principal et le WAN secondaire en fonction des exigences de votre FAI.
  • Page 132 MTU par défaut ou Manual si vous souhaitez spécifier une autre taille. • MTU Value : si vous choisissez Manual, entrez la taille MTU personnalisée en octets. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 133 Weekly : choisissez cette option pour réinitialiser la connexion PPPoE à un jour donné de la semaine. Spécifiez ensuite le jour de la semaine et de l'heure de la journée. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 134 MTU : choisissez Auto pour utiliser la taille MTU par défaut ou Manual si vous souhaitez spécifier une autre taille. • MTU Value : si vous choisissez Manual, entrez la taille MTU personnalisée en octets. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 135 MTU : choisissez Auto pour utiliser la taille MTU par défaut ou Manual si vous souhaitez spécifier une autre taille. • MTU Value : si vous choisissez Manual, entrez la taille MTU personnalisée en octets. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 136: Configuration De La Redondance Du Wan

    Configuration d'un WAN secondaire, page 130. Lorsque l'Cisco ISA500 fonctionne en mode Dual WAN Settings ou Failover, si une REMARQUE liaison WAN est en panne (par exemple, le câble est déconnecté), les paramètres de redondance du WAN et de PBR (Policy Based Routing) sont ignorés et l'ensemble du trafic est traité...
  • Page 137 PBR (Policy-Based Routing) sont ignorés. Select WAN Precedence : sélectionnez la liaison à utiliser comme liaison principale et de secours. L'option par défaut est principal : WAN1 ; secondaire : WAN2. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 138: Configuration De La Détection De Basculement De Liaison

    La valeur par défaut est de 5. • Retry Timeout : si la connexion au FAI est en panne, l'Cisco ISA500 essaie de se connecter au FAI après un délai spécifié. Entrez le délai, en secondes, avant de se reconnecter au FAI. La valeur par défaut est 5 secondes.

  • Page 139: Équilibrage De Charge Avec L'exemple De Configuration Du Pbr

    à passer via la liaison par câble. Solution : effectuez les tâches de configuration suivantes : • Configurez un port configurable comme WAN secondaire (WAN2). Voir Configuration d'un WAN secondaire, page 130. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 140: Configuration Du Dns Dynamique

    Active (updated WANx) : le processus de mise à jour du DDNS est terminé et l'adresse de l'interface WAN est mise à jour avec le nom de domaine spécifié par l'utilisateur. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 141 Update : cochez cette case pour mettre à jour les informations de l'hôte chaque semaine. Cliquez sur OK pour enregistrer vos paramètres et fermer la fenêtre contextuelle. ÉTAPE 2 Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 142: Mesure Et Limitation Du Trafic Avec L'utilitaire De Contrôle Du Trafic

    Utilisez les pages Networking > WAN > Traffic Metering pour mesurer et limiter le trafic acheminé par l'Cisco ISA500. Si vous avez activé une liaison WAN secondaire, utilisez l'arborescence de navigation pour choisir Primary WAN Metering ou Secondary WAN Metering.
  • Page 143 Volume du trafic moyen acheminé via ce port. Traffic Utilized Volume du trafic, en pourcentage, acheminé via ce port par rapport à la limite mensuelle. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 5 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 144: Configuration D'un Vlan

    Il est utilisé pour éviter les boucles de pont et garantir le rayonnement de la diffusion. • Voice VLAN : cochez la case si vous souhaitez que les applications vocales utilisent ce VLAN. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 145 IP statiques ou pour utiliser un autre serveur DHCP. • DHCP Server : permet à l'Cisco ISA500 d'agir en tant que serveur DHCP et attribue les adresses IP à tous les périphériques connectés au VLAN. Tout nouveau client DHCP se connectant au VLAN reçoit une adresse IP du pool DHCP.
  • Page 146 (,). REMARQUE : Les entreprises ayant des petites filiales qui mettent en œuvre une solution de voix sur IP de téléphonie IP Cisco mettent généralement en œuvre Cisco CallManager dans un bureau central pour contrôler les Cisco IP Phone dans les petites filiales.

  • Page 147: Configuration De La Dmz

    IP attribués au port DMZ. Cependant, ils ne peuvent pas être identiques à l'adresse IP donnée aux VLAN prédéfinis. Jusqu'à 4 DMZ peuvent être configurées sur l'Cisco ISA500. REMARQUE Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 148 à l'adresse 172. 1 6.2.30. Les utilisateurs d'Internet entrent le nom de domaine associé à l'adresse IP 209. 1 65.200.225 et peuvent alors se connecter au serveur Web. La même adresse IP est utilisée pour l'interface WAN. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 149 Pour ajouter une nouvelle DMZ, cliquez sur Add. Pour modifier les paramètres ÉTAPE 1 d'une DMZ, cliquez sur l'icône Edit (crayon). Autres options : pour supprimer une DMZ, cliquez sur l'icône Delete (x). Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 150 DHCP. • DHCP Server : permet à l'Cisco ISA500 d'agir en tant que serveur DHCP et affecte les adresses IP à tous les périphériques connectés à la DMZ. Tout nouveau client DHCP se connectant à la DMZ reçoit une adresse IP du pool DHCP.
  • Page 151 IPv6. Le nombre de bits initiaux communs des adresses est défini par le champ de longueur du préfixe. Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 152: Configuration Des Zones

    Le niveau de sécurité de la zone définit le niveau de confiance accordée à cette zone. L'Cisco ISA500 prend en charge cinq niveaux de sécurité pour les zones comme indiqué ci-dessous. Plus la valeur est grande, plus le niveau d'autorisation est élevé.

  • Page 153: Zones Prédéfinies

    VOICE : la zone VOIX est une zone de sécurité conçue pour le trafic voix. Le trafic entrant et sortant de cette zone est optimisé pour les opérations de voix. Si vous possédez des périphériques de voix, tels que le Cisco IP Phone, il est souhaitable de placer les périphériques dans la zone VOIX.

  • Page 154: Configuration Des Zones

    Configuration des zones Configuration des zones Cette section décrit comment configurer sur les zones sur l'Cisco ISA500. Vous pouvez restaurer la configuration des zones et revenir aux paramètres d'usine par défaut, modifier les paramètres des zones prédéfinies (sauf pour les zones VPN et SSLVPN), ou personnaliser de nouvelles zones pour répondre à...

  • Page 155: Configuration Des Ip Dhcp Réservés

    MAC Address : entrez l'adresse MAC de l'hôte sous un VLAN. • IP Address : Entrez l'adresse IP attribuée à l'hôte. Cette adresse doit se situer dans le pool DHCP du VLAN. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 156: Configuration Du Routage

    Interface : port physique via lequel cette route est accessible. Cette page est automatiquement mise à jour toutes les 10 secondes. Cliquez sur Refresh pour actualiser manuellement la table de routage. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 157: Configuration Du Mode De Routage

    Vous pouvez également affecter une priorité, qui détermine la sélection de la route lorsqu'il existe plusieurs routes se déplaçant vers la même destination. Vous pouvez configurer jusqu'à 150 règles de routage statique sur l'Cisco ISA500. REMARQUE Pour ajouter une route statique, cliquez sur Add. Pour modifier une entrée, cliquez ÉTAPE 1...

  • Page 158: Configuration Du Routage Dynamique - Rip

    Par défaut, le protocole RIP est désactivé. • RIP Version : si vous activez le protocole RIP, spécifiez la version. L'Cisco ISA500 prend en charge les versions1 et 2 du protocole RIP. RIP Version 1 est une version de routage basée sur les classes qui n'inclut pas les informations de sous-réseau.

  • Page 159: Configuration Du Pbr

    PBR. Ce dernier spécifie l'IP et/ou le service interne passant via un port WAN spécifié pour fournir des capacités de traitement du trafic plus souples et plus granulaires. Vous pouvez configurer jusqu'à 100 règles de PBR sur l'Cisco ISA500. Cette fonctionnalité peut être utilisée pour isoler le trafic entre des liaisons avec des vitesses différentes.
  • Page 160 Pour la liaison IP uniquement, sélectionnez l'adresse IP de destination pour le trafic sortant. • DSCP : choisissez la valeur DSCP pour définir le niveau de priorité du trafic. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 161: Configuration De La Qualité De Service

    Paramètres QoS généraux, page 162 • Configuration de la QoS WAN, page 162 • Configuration de la QoS LAN, page 174 • Configuration de la QoS sans fil, page 176 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 162: Paramètres Qos Généraux

    Configuration des règles de classe QoS WAN, page 167 • Mappage des profils de stratégie QoS WAN aux interfaces WAN, page 168 • Exemple de configuration de QoS WAN, page 169 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 163: Gestion De La Bande Passante Wan Pour Le Trafic En Amont

    Configuration des paramètres de file d'attente WAN Utilisez la page Queue Settings pour déterminer comment gérer le trafic des files d'attente pour chaque port WAN. L'Cisco ISA500 prend en charge six files d'attente pour les ports WAN, Q1 à Q6. Il existe trois façons de déterminer comment gérer le trafic des files d'attente :...
  • Page 164 à Q1 et les pondérations WRR des autres files d'attente que vous souhaitez utiliser. Si nécessaire, entrez une brève description de chaque file d'attente dans le champ ÉTAPE 3 de la colonne Queue Description. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 165: Configuration Des Sélecteurs De Trafic

    Si les objets d'adresse que vous souhaitez ne figurent pas dans la liste, sélectionnez Create a new address group pour créer un nouvel objet de groupe d'adresses ou Create a new address pour créer un nouvel objet Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 166 REMARQUE : le trafic correspondant aux paramètres ci-dessus est classé dans une classe à des fins de gestion. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 4 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 167: Configuration Des Profils De La Stratégie Qos Wan

    Configuration des profils de la stratégie QoS WAN Utilisez la page QoS Policy Profile pour configurer les profils de stratégie basés sur les classes afin de gérer le trafic via les interfaces WAN. Jusqu'à 32 profils de stratégie QoS WAN peuvent être configurés sur l'Cisco REMARQUE ISA500.

  • Page 168: Mappage Des Profils De Stratégie Qos Wan Aux Interfaces Wan

    QoS WAN aux interfaces WAN. Cliquez sur Networking > QoS > WAN QoS > Policy Profile to Interface ÉTAPE 1 Mapping. La fenêtre Policy Profile to Interface Mapping s'ouvre. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 169: Exemple De Configuration De Qos Wan

    SPA via l'Cisco ISA500. Use Case : un téléphone IP est connecté directement au commutateur de voix derrière l'Cisco ISA500 ou au port LAN de l'Cisco ISA500. Le trafic voix et de données est envoyé via le port WAN de l'Cisco ISA500.
  • Page 170 QoS WAN sur l'Cisco ISA500. • Accédez à la page Networking > QoS > WAN QoS > Bandwidth pour spécifier la bande passante en amont pour le port WAN. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 171: Configuration De La Qos Wan Pour Le Trafic Voix Du Lan Au Wan

    VLAN VLAN par défaut b. Ajoutez un sélecteur de trafic pour classer le trafic voix sortant en procédant comme suit : Class Name voice-outbound-class Source Address voice_phone_ip Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 172 Mapping pour appliquer ce profil de stratégie QoS sur le port WAN. Dans ce cas, sélectionnez le profil de stratégie « voice-outbound-profile » dans la liste déroulante Outbound Policy Name. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 173: Configuration De La Qos Wan Pour Le Trafic Voix Du Wan Au Lan

    Mapping pour appliquer le profil de stratégie QoS entrant sur le port WAN. Dans ce cas, sélectionnez le profil de stratégie QoS « voice-inbound-profile » dans la liste déroulante Inbound Policy Name. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 174: Configuration De La Qos Lan

    Ethernet est basée sur le SP ou le WRR, ou une combinaison des deux. L'Cisco ISA500 prend en charge quatre files d'attente pour le trafic LAN, Q1 à Q4. Cliquez sur Networking > QoS > LAN QoS > Queue Settings.

  • Page 175: Configuration Des Méthodes De Classification Qos Du Lan

    Q4 est le niveau de priorité le plus bas et Q1 le plus élevé. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 176: Mappage Du Dscp À La File Lan

    Configuration des méthodes de classification QoS sans fil, page 178 • Mappage de la CoS à la file d'attente sans fil, page 178 • Mappage du DSCP à la file d'attente sans fil, page 178 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 177: Paramètres Par Défaut De La Qos Sans Fil

    2 (priorité d'arrière-plan) 3 (priorité « Au mieux ») 4 (priorité de la vidéo) 5 (priorité de la vidéo) 6 (priorité de la voix) 7 (priorité de la voix) Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 178: Configuration Des Méthodes De Classification Qos Sans Fil

    Choisissez la file d'attente de transfert du trafic vers laquelle la valeur de ÉTAPE 2 marquage de priorité DSCP est mappée. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 179: Configuration Igmp

    ÉTAPE 2 • IGMP Proxy : cliquez sur On pour activer le proxy IGMP pour que l'Cisco ISA500 puisse servir de proxy pour toutes les requêtes IGMP et communiquer avec les serveurs IGMP du FAI ou sur Off pour le désactiver.

  • Page 180: Configuration Vrrp

    Si vous activez le protocole VRRP, entrez les informations suivantes : ÉTAPE 3 • Interface : port par défaut du routeur virtuel principal (votre Cisco ISA500). • Source IP : adresse IP source du routeur virtuel principal. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 181 Virtual IP Address : entrez l'adresse IP virtuelle utilisée pour tous les routeurs virtuels de secours d'un même groupe. • Status : affiche l'état de la vérification VRRP. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 4 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 182: Gestion D'adresse

    32 bits. Si vous choisissez Range, entrez l'adresse IP de début dans le champ Starting IP Address et l'adresse IP de fin dans le champ Ending IP Address. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 183: Configuration Des Groupes D'adresses

    Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 5 Configuration des groupes d'adresses Un objet de groupe d'adresses est associé à plusieurs objets d'adresse. L'Cisco ISA500 prend en charge jusqu'à 64 objets de groupe d'adresses. Un groupe d'adresses peut comporter jusqu'à 100 membres d'adresses.

  • Page 184: Gestion Des Services

    Gestion des services Utilisez la page Service Management pour gérer les objets de service ou de groupe de services. L'Cisco ISA500 est configurée avec une longue liste de services standards que vous pouvez utiliser pour configurer les règles de pare-feu, les règles de transfert de ports, ou d'autres fonctions. Voir Objets de services par défaut, page...

  • Page 185: Configuration Des Groupes De Services

    Les services qui s'appliquent aux applications courantes sont regroupés en tant qu'objet de groupe de services. Le groupe de services est traité comme un service unique. L'Cisco ISA500 prend en charge jusqu'à 64 groupes de services. Un groupe de services peut comprendre jusqu'à 64 membres de service.

  • Page 186: Configuration Du Portail Captif

    Apply on : sélectionnez le SSID, le VLAN ou l'interface DMZ sur lequel appliquer les paramètres Captive Portal. REMARQUE : Vous ne pouvez définir qu'une seule interface à la fois pour l'accès au portail captif. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 187 Le temps passé en ligne par l'utilisateur sans fil connecté s'affiche dans la barre de titre de la page de connexion. Cliquez sur Logout pour vous déconnecter. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 188 été chargé à cet effet. Cisco Logo : si vous souhaitez masquer le logo Cisco qui apparaît sur la page de connexion, sélectionnez Hide. Dans le cas contraire, sélectionnez Show.
  • Page 189 Entrez l'adresse IP ou le nom de domaine dans le champ Domain. c. Cliquez sur OK pour enregistrer vos paramètres. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 190: Chapitre 5 : Sans Fil (Pour Isa550W Et Isa570W Uniquement)

    Configuration de la détection des points d'accès indésirables sans fil, page 211 • Advanced Radio Settings, page 212 Pour accéder aux pages relatives au réseau sans fil, cliquez sur Wireless dans le volet de navigation gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 191: Affichage De L'état Du Réseau Sans Fil

    Nombre de collisions de paquets signalées au SSID. Tx Bytes/Sec Nombre d'octets d'informations transmis sur le SSID. Rx Bytes/Sec Nombre d'octets d'informations reçus sur le SSID. Uptime Durée pendant laquelle le SSID était actif. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 192: Affichage De L'état Du Client Sans Fil

    • Wireless Radio : cliquez sur On pour activer la transmission radio sans fil et par conséquent activer le SSID appelé « cisco-data », ou cliquez sur Off pour désactiver cette option. L'activation d'un SSID activera la transmission de données par liaison sans fil. La désactivation de tous les SSID entraîne la mise hors tension de la radio sans fil.
  • Page 193 Lorsque vous activez l'isolation SSID (entre les SSID), le trafic sur un SSID n'est pas acheminé vers un autre SSID. Dans la zone des SSID, tous les SSID prédéfinis sur l'Cisco ISA500 apparaissent ÉTAPE 3 dans le tableau. Vous pouvez configurer les propriétés suivantes pour chaque SSID prédéfini :...

  • Page 194: Configuration Des Profils Ssid

    Contrôle de l'accès sans fil par le biais des adresses MAC, page 202 • Mappage du SSID au VLAN, page 203 • Configuration de la programmation SSID, page 204 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 195: Configuration De La Sécurité Sans Fil

    Description Mode Open Tout périphérique sans fil qui se trouve à portée peut se connecter au SSID. Il s'agit du paramètre par défaut, mais il n'est pas recommandé. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 196 être piratée. Ne sélectionnez cette option que si vous voulez autoriser l'accès aux périphériques ne prenant pas en charge WPA ou WPA2. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 197 RADIUS. Ce mode prend en charge les mécanismes de cryptage TKIP et AES (la valeur par défaut est TKIP) et nécessite l'utilisation d'un serveur RADIUS pour authentifier les utilisateurs. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 198 WPA2-Enterprise. Vous disposez peut-être de périphériques clients utilisant WPA-Enterprise ou WPA2-Enterprise. RADIUS Utilise des serveurs RADIUS pour l'authentification client et la génération dynamique de clé WEP pour le cryptage des données. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 199 0 et 4 194 303 secondes. La valeur zéro (0) indique que la clé n'est pas actualisée. La valeur par défaut est de 3 600 secondes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 200 RADIUS suivant du groupe sélectionné s'affichent. Primary RADIUS Server IP Address : adresse IP du serveur RADIUS principal. Primary RADIUS Server Port : numéro de port du serveur RADIUS principal. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 201 0 et 4 194 303 secondes. La valeur zéro (0) indique que la clé n'est pas actualisée. La valeur par défaut est de 3 600 secondes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 202: Contrôle De L'accès Sans Fil Par Le Biais Des Adresses Mac

    Cliquez sur Wireless > Basic Settings. ÉTAPE 1 Dans la zone des SSID, cliquez sur l'icône de modification (crayon) pour modifier ÉTAPE 2 les paramètres du SSID. La fenêtre SSID - Edit s'ouvre. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 203: Mappage Du Ssid Au Vlan

    VLAN : choisissez le VLAN dans la liste déroulante. Le SSID est mappé au VLAN sélectionné. L'ensemble du trafic en provenance des clients sans fil connectés à ce SSID est dirigé vers le VLAN sélectionné. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 204: Configuration De La Programmation Ssid

    AM (matin) ou PM (après-midi) dans la liste déroulante. Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 4 Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 5 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 205: Configuration De Wi-Fi Protected Setup

    Configuration de Wi-Fi Protected Setup Utilisez la page Wi-Fi Protected Setup pour paramétrer la configuration protégée par Wi-Fi (WPS) sur l'Cisco ISA500 afin de permettre une connexion plus facile des périphériques WPS au réseau sans fil. Cliquez sur Wireless > Wi-Fi Protected Setup.
  • Page 206 Saisissez le code PIN dans le champ et cliquez sur Apply pour l'enregistrer. d. Activez WPS sur le périphérique client sans fil dans un délai de 2 minutes. e. Vérifiez que le client sans fil est connecté au SSID. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 207: Configuration Du Portail Captif

    Sans fil (pour ISA550W et ISA570W uniquement) Configuration du portail captif Si le périphérique client sans fil demande le code PIN de l'Cisco ISA500, procédez ÉTAPE 6 comme suit pour établir la connexion WPS : a. Activez WPS sur l'Cisco ISA500.
  • Page 208 Web défini soit http://www.ABcompanyC.com. Lorsqu'un utilisateur sans fil tente d'accéder à un site Web externe, tel que http://www.google.com, la page de connexion de zone d'accès par défaut s'ouvre. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 209 été chargé à cet effet. Cisco Logo : si vous souhaitez masquer le logo Cisco qui apparaît sur la page de connexion, sélectionnez Hide. Dans le cas contraire, sélectionnez Show.
  • Page 210 Entrez l'adresse IP ou le nom de domaine dans le champ Domain. c. Cliquez sur OK pour enregistrer vos paramètres. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 211: Configuration De La Détection Des Points D'accès Indésirables Sans Fil

    Pour modifier l'adresse MAC d'un point d'accès autorisé, cliquez sur l'icône de modification (crayon). • Pour exporter la liste des points d'accès autorisés vers un dossier, cliquez sur Export. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 212: Advanced Radio Settings

    ISA500 qui doit retenter la transmission d'une trame qui échoue. REMARQUE : la trame courte est disponible uniquement lorsque le mode sans fil spécifié inclut le mode 802. 1 1n. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 213 à des collisions. Définissez le seuil en saisissant la taille de paquet en octets. Entrez une valeur comprise entre1 et 2 347. La valeur par défaut est 2 347, ce qui désactive le RTS de manière efficace. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 214 Entrez une valeur comprise entre 256 et 2 346. La valeur par défaut est 2 346, ce qui désactive la fragmentation de manière efficace. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 215 Configuration des limites de session, page 255 • Configuration de la passerelle de niveau application, page 255 Pour accéder aux pages de pare-feu, cliquez sur Firewall dans le volet de navigation gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 216: Chapitre 6 : Pare-Feu

    Pour en savoir plus, reportez-vous au tableau Niveaux de sécurité et zones prédéfinies. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 217 Conçu exclusivement pour le trafic voix. VOICE Le trafic entrant et sortant est optimisé pour les opérations de voix. Par exemple, affectez des téléphones IP Cisco à la zone VOICE. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 218: Paramètres Du Pare-Feu Par Défaut

    Cliquez sur le triangle pour développer ou réduire les paramètres de contrôle ÉTAPE 2 d'accès par défaut d'une zone spécifique. Les comportements suivants sont définis pour toutes les zones prédéfinies. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 219: Priorités Des Règles De Pare-Feu

    L'Cisco ISA500 comprend trois types de règles de pare-feu : • Règles de pare-feu par défaut : règles de pare-feu définies sur l'Cisco ISA500 pour toutes les zones nouvelles et prédéfinies. Les règles de pare-feu par défaut ne peuvent pas être modifiées ni supprimées.

  • Page 220: Tâches Préliminaires De Configuration Des Règles De Pare-Feu

    Par exemple : un index cible 2 déplace la règle en position 2 et déplace les autres règles en position 3 dans la liste. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 221 Pour actualiser manuellement les données du tableau, cliquez sur Refresh. REMARQUE : les règles de pare-feu par défaut ne peuvent être ni désactivées, ni supprimées, ni modifiées, ni déplacées. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 222: Configuration D'une Règle De Pare-Feu

    Gestion des services, page 184. • Source Address : choisissez une adresse ou un groupe d'adresses existant comme adresse source ou comme réseau qui est couvert par cette règle de pare-feu. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 223 253. • Autoriser ou bloquer le trafic provenant des adresses MAC spécifiées. Voir Configuration du filtrage des adresses MAC pour autoriser ou bloquer le trafic, page 251 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 224: Configuration D'une Règle De Pare-Feu Pour Autoriser Le Trafic De Diffusion

    To Zone : sélectionnez LAN comme zone de destination du trafic. • Services : sélectionnez ANY pour cette règle de pare-feu. • Source Address : sélectionnez ANY comme adresse source. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 225: Configuration Des Paramètres De Consignation Du Pare-Feu

    • Pour enregistrer les journaux du pare-feu dans le serveur syslog distant, cochez la case du journal distant pour l'installation de pare-feu. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 226: Configuration Des Règles Nat Pour Accéder En Toute Sécurité À Un Réseau À Distance

    Priorités des règles NAT, page 228 • Configuration des règles de PAT dynamique, page 229 • Configuration des règles NAT statiques, page 230 • Configuration des règles de transfert de port, page 231 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 227: Affichage De L'état De La Traduction Nat

    Translated Destination Interface vers laquelle l'interface de destination Port spécifiée est traduite. Translated Source Interface vers laquelle l'interface source spécifiée est Port traduite. Tx Packets Nombre de paquets transmis. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 228: Priorités Des Règles Nat

    Par exemple, si une règle NAT avancée et une règle de transfert de port sont en conflit, alors la règle NAT avancée a priorité sur la règle de transfert de port et la règle de transfert de port n'est pas appliquée. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 229: Configuration Des Règles De Pat Dynamique

    VLAN sélectionné en une adresse IP publique spécifiée sur le port WAN2. • VLAN IP Address : adresse IP de sous-réseau et masque de réseau du VLAN sélectionné. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 4 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 230: Configuration Des Règles Nat Statiques

    Vous pouvez accéder à la page Firewall > Access Control > ACL Rules ou cliquez sur le lien Create Rule pour effectuer cette opération, mais devez d'abord enregistrer vos paramètres sur cette page. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 231: Configuration Des Règles De Transfert De Port

    FTP, les serveurs de messagerie ou d'autres applications Internet spécialisées. REMARQUE • Jusqu'à 64 règles de transfert de port peuvent être configurées sur l'Cisco ISA500. Vous devez créer des règles de pare-feu pour autoriser l'accès, de sorte que les règles de transfert de port puissent fonctionner correctement. •...
  • Page 232 Description : entrez le nom de la règle de transfert de port. Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 5 Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 233: Configuration Des Règles De Déclenchement De Port

    Le déclenchement de port ouvre un port entrant pour un type de trafic spécifié sur un port sortant défini. Lorsqu'un périphérique LAN établit une connexion sur l'un des ports sortants définis, l'Cisco ISA500 ouvre le port entrant spécifié pour prendre en charge l'échange de données. Les ports ouverts seront fermés à...

  • Page 234: Configuration Des Règles Nat Avancées

    Le NAT avancé vous permet d'identifier de vraies adresses et de vrais ports pour la traduction d'adresses en indiquant les adresses source et de destination. Il est possible de configurer jusqu'à 32 règles NAT avancées sur l'Cisco ISA500. REMARQUE Vous devez créer des règles de pare-feu pour autoriser l'accès de sorte que les règles NAT avancées puissent fonctionner correctement.
  • Page 235 NAT avancées puissent fonctionner correctement. Une fois avoir enregistré vos paramètres, rendez-vous sur la page Firewall > Access Control > ACL Rules pour effectuer cette opération. Voir Configuration d'une règle de pare-feu, page 222. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 236: Configuration D'alias Ip Pour Les Règles Nat Avancées

    Configuration d'alias IP pour les règles NAT avancées Un port WAN unique est accessible via des adresses IP multiples en ajoutant un alias IP au port. Lorsque vous configurez une règle NAT avancée, l'Cisco ISA500 crée automatiquement un alias IP dans les cas suivants : Exemple d'utilisation : l'interface entrante (From) est définie sur un port WAN,...
  • Page 237 IP source traduite (Translated Source Address) est différente de l'adresse IP publique du port WAN sélectionné. Par exemple, vous avez fourni une adresse IP statique (1. 1 . 1 .3). L'Cisco ISA500est définie en tant que VPN SSL. Vous souhaitez traduire les adresses IP des clients VPN SSL en adresse IP publique spécifique lorsque les clients VPN SSL accèdent...

  • Page 238: Configuration D'une Règle Nat Avancée Pour Prendre En Charge La Reconnexion Nat

    Une règle de pare-feu est automatiquement créée comme suit pour autoriser ÉTAPE 3 l'accès. From Zone To Zone Services FTP-CONTROL Source Address Destination Address FTPServer Match Action Permit Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 239: Exemples De Configuration D'une Règle De Pare-Feu Et Nat

    • Blocage du trafic sortant par programmation et par plage d'adresses IP, page 246 • Blocage du trafic sortant vers un serveur de messagerie hors site, page 246 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 240: Autorisation Du Trafic Entrant Vers Un Serveur Ftp Interne À L'aide De L'adresse Ip Wan

    Passez ensuite à la page Firewall > NAT > Advanced NAT pour créer une règle ÉTAPE 3 NAT avancée comme suit. From WAN1 DEFAULT Original Source Address Original Destination WAN1_IP Address Original Services FTP-CONTROL Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 241: Autorisation Du Trafic Entrant Vers Un Serveur Rdp À L'aide D'une Adresse Ip Publique Spécifiée

    172.39.202. 1 02 nommé « PublicIP ». Accédez à la page Networking > Service Management pour créer un objet ÉTAPE 2 service TCP avec le port 3389 nommé « RDP ». Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 242 Ou passez à la page Firewall > NAT > Advanced NAT pour créer une règle NAT ÉTAPE 4 avancée comme suit. From WAN1 Original Source Address Original Destination PublicIP Address Original Services Translated Source Address Translated RDPServer Destination Address Translated Services Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 243 192. 1 68. 1 2. 1 Netmask 255.255.255.0 Port Zone Dans la page DMZ Service, créez un service DMZ de la manière suivante : ÉTAPE 3 Original Service Translated Service Translated IP RDPServer Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 244: Autorisation Du Trafic Entrant En Provenance De L'intervalle Spécifié Des Hôtes Externes

    132. 1 77.88.2 à 132. 1 77.88.254 nommé « OutsideNetwork » et un objet d'adresse d'hôte avec l'adresse 192. 1 68.75. 1 10 nommé « InternalIP ». Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 245 Accédez à la page Firewall > Access Control > ACL Rules et créez une règle ÉTAPE 3 d'ACL comme il est décrit ci-dessous. From Zone To Zone Services CU-SEEME Source Address OutsideNetwork Destination Address InternalIP Match Action Permit Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 246: Blocage Du Trafic Sortant Par Programmation Et Par Plage D'adresses Ip

    Solution : créez un objet d'adresse d'hôte avec l'adresse IP 10.64. 1 73.20 nommé « OffsiteMail », puis créez une règle de pare-feu comme suit : From Zone To Zone Services SMTP Source Address Destination Address OffsiteMail Match Action Deny Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 247: Configuration Du Filtrage Du Contenu Pour Contrôler L'accès À Internet

    Policy Profile : entrez le nom profil de stratégie de filtrage du contenu. • Description : entrez une courte description du profil de stratégie de filtrage du contenu. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 248: Configuration De La Liste De Contrôle D'accès Aux Sites Web

    Web, ou sur Off pour créer uniquement la règle d'accès au site Web. • URL : entrez le nom de domaine ou le mot-clé d'URL d'un site Web que vous souhaitez autoriser ou bloquer. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 249: Mappage Des Profils De Stratégie De Filtrage Du Contenu Aux Zones

    Spécifiez le profil de stratégie pour chaque zone. Par défaut, le profil par défaut ÉTAPE 3 qui autorise tous les sites Web est sélectionné pour toutes les zones nouvelles et prédéfinies. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 4 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 250: Configuration Des Paramètres Avancés Du Filtrage Du Contenu

    Si vous choisissez cette option, entrez l'URL de redirection souhaitée. Vérifiez que l'URL spécifiée est bien autorisée par la liste de contrôle d'accès aux sites Web. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 251: Configuration Du Filtrage Des Adresses Mac Pour Autoriser Ou Bloquer Le Trafic251

    MAC. Pour gérer les objets d'adresse MAC, accédez à la page Networking > Address Management. Voir Gestion d'adresse, page 182. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 5 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 252: Configuration De La Liaison Ip-Mac Pour Empêcher L'usurpation D'adresse

    (l'adresse IP source du trafic ne correspond pas à l'adresse MAC attendue avec la même adresse IP), les paquets sont abandonnés et peuvent être consignés à des fins le diagnostic. Il est possible de configurer jusqu'à 100 règles de liaison IP-MAC sur l'Cisco REMARQUE ISA500.

  • Page 253: Configuration De La Protection Contre Les Attaques

    Block Ping WAN Interface : cochez cette option pour empêcher les agresseurs d'utiliser les demandes d'écho (ping) ICMP pour accéder à votre réseau. Nous vous conseillons de désactiver cette fonctionnalité uniquement si vous devez laisser l'Cisco ISA500 répondre aux requêtes ping à des fins de diagnostic. •...
  • Page 254 (0) indique que la fonctionnalité ICMP Flood est désactivée. REMARQUE : lorsque l'un des niveaux d'attaque DoS est dépassé, ce type de trafic est abandonné. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 255: Configuration Des Limites De Session

    VoIP via votre périphérique vocal. Les ALG sont créées pour fonctionner dans un environnement NAT pour maintenir la sécurité pour l'équipement privé de conférence protégé par votre périphérique vocal. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 256 FTP ou décochez la case pour désactiver cette fonctionnalité. Choisissez ensuite un port d'écoute. Le port par défaut est FTP-CONTROL (21). Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 257: Chapitre 7 : Services De Sécurité

    Configuration du filtrage URL Web, page 298 • Réputation de réseau, page 302 Pour accéder aux pages de services de sécurité, cliquez sur Security Services dans le volet de navigation de gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 258: À Propos Des Services De Sécurité

    À propos des services de sécurité À propos des services de sécurité L'Cisco ISA500 prend en charge divers services de sécurité UTM pour assurer la protection de votre réseau contre les menaces Internet. Par défaut, tous les services de sécurité, à l'exception de la réputation de réseau sont désactivés.

  • Page 259: Activation Des Services De Sécurité

    Activation des services de sécurité Les services de sécurité sont sous licence. Vous devez installer une licence de sécurité valide sur l'Cisco ISA500 pour activer les services de sécurité. Une licence de sécurité valide est également requise pour la prise en charge de SSLVPN avec les périphériques mobiles, tels que les téléphones intelligents et les...

  • Page 260: Priorité Des Services De Sécurité

    Pour activer un service de sécurité, cochez la case dans la colonne Enable. Par défaut, seule la réputation de réseau est activée. • Pour configurer les paramètres d'un service de sécurité, cliquez sur Configure. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 261 REMARQUE : Un compte Cisco.com valide est requis pour rechercher les mises à jour de signatures à partir du serveur de signatures Cisco. Accédez à la page Device Management > Cisco.com Account pour configurer vos informations d'identification de compte Cisco.com sur l'Cisco ISA500.

  • Page 262: Affichage Des Rapports De Services De Sécurité

    Ce rapport indique le nombre de demandes d'accès Web consignées et le nombre de sites Web bloqués par le filtrage URL Web, le filtrage par réputation Web, ou les deux. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 263 Web bloqués en une journée. Graph Nombre total de demandes d'accès Web traitées et nombre total de sites Web bloqués par jour au cours des sept derniers jours. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 264: Affichage Du Rapport Antivirus

    Nombre total de fichiers vérifiés et nombre total de virus détectés en une journée. Graph Nombre total de fichiers vérifiés et nombre total de virus détectés par jour au cours des derniers sept jours. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 265: Affichage Du Rapport De Sécurité De La Messagerie

    Graph Nombre total d'e-mails vérifiés et nombre total d'e-mails indésirables ou suspectés d'être indésirables détectés par jour au cours des sept derniers jours. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 266: Affichage Du Rapport De Réputation De Réseau

    Nombre total de paquets vérifiés et nombre total de paquets bloqués en une journée. Graph Nombre total de paquets vérifiés et nombre total de paquets bloqués par jour au cours des sept derniers jours. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 267: Affichage Du Rapport Ips

    Nombre total de paquets détectés et nombre total de paquets abandonnés en une journée. Graph Nombre total de paquets détectés et nombre total de paquets abandonnés par jour au cours des sept derniers jours. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 268: Affichage Du Rapport De Contrôle Des Applications

    Nombre total de paquets détectés et nombre total de paquets bloqués en une journée. Graph Nombre total de paquets détectés et nombre total de paquets bloqués par jour au cours des sept derniers jours. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 269: Configuration De L'antivirus

    à une adresse e-mail indiquée lors d'événements de virus et selon un intervalle spécifié. Voir Configuration des paramètres d'alerte par courriel, page 382. Reportez-vous aux rubriques suivantes : • Paramètres antivirus généraux, page 270 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 270: Paramètres Antivirus Généraux

    Logging pour les protocoles, puis accéder aux pages Device Management > Logs pour configurer les paramètres et les utilitaires du journal. Voir Gestion des journaux, page 421. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 271 REMARQUE : Si vous choisissez Notify ou Notify + Drop Connection, accédez à la page HTTP Notification pour configurer le message de notification. Voir Configuration de la notification HTTP, page 274. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 272 REMARQUE : Si vous choisissez Notify ou Notify + Destruct File, accédez à la page Email Notification pour configurer les paramètres de notification par e-mail. Voir Configuration de la notification par e-mail, page 275. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 273: Configuration Des Paramètres Antivirus Avancés

    ÉTAPE 5 signatures antivirus. Vous pouvez rechercher automatiquement les mises à jour de signatures à partir du serveur de signatures Cisco toutes les 24 heures ou rechercher manuellement ces mises à jour à tout moment en cliquant sur Update. Voir Mise à...

  • Page 274: Configuration De La Notification Http

    Si vous sélectionnez l'action Notify + Drop Connection pour le protocole HTTP, la connexion est abandonnée et le message d'alerte est envoyé à l'utilisateur. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 275: Configuration De La Notification Par E-Mail

    [Tag] Email Subject. • Mail Content : entrez le contenu de la notification qui apparaît dans l'e-mail d'alerte. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 276: Mise À Jour Des Signatures Antivirus

    Mise à jour des signatures antivirus Vous pouvez rechercher automatiquement les mises à jour des signatures antivirus à partir du serveur de signatures Cisco toutes les 24 heures ou rechercher manuellement ces mises à jour à tout moment en cliquant sur Update.

  • Page 277: Configuration Du Contrôle Des Applications

    Security Services > Dashboard pour mettre à jour manuellement les signatures antivirus. Configuration du contrôle des applications Le contrôle des applications surveille le trafic traité via le Cisco ISA500 afin d'autoriser ou de bloquer ce trafic pour certaines applications et catégories d'applications. Pour certaines applications, vous pouvez autoriser ou bloquer certaines fonctionnalités de l'application.

  • Page 278: Paramètres Généraux De La Stratégie De Contrôle Des Applications

    Cependant, si un commutateur établit une liaison montante avec le Cisco ISA500, l'appliance de sécurité ne traite pas le trafic passant par les ports de ce commutateur et, par conséquent, les stratégies de contrôle des applications ne s'appliquent pas.

  • Page 279: Ajout D'une Stratégie De Contrôle Des Applications

    à la catégorie choisie. Vous pouvez cliquer sur le triangle en regard d'une catégorie pour développer ou réduire toutes les applications de cette catégorie. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 280: Autorisation Ou Blocage Du Trafic Pour Toutes Les Applications Dans Une Catégorie

    Cette section explique comment configurer les paramètres par défaut de la catégorie. Les paramètres par défaut de la catégorie sont appliqués à toutes les applications dans une catégorie. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 281 REMARQUE : La modification des paramètres par défaut de la catégorie remplace les paramètres au niveau des applications pour toutes les applications de la catégorie. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 282: Autorisation Ou Blocage Du Trafic Pour Une Application

    Par exemple, pour l'application Google Talk, vous pouvez activer la fonctionnalité de chat mais bloquer la fonctionnalité de transfert de fichiers multimédia. Cochez cette case, puis spécifiez l'action pour chaque fonctionnalité de l'application. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 283: Paramètres Généraux Du Contrôle Des Applications

    Cependant, si un commutateur établit une liaison montante avec le Cisco ISA500, l'appliance de sécurité ne traite pas le trafic passant par les ports de ce commutateur et, par conséquent, les stratégies de contrôle des applications ne s'appliquent pas.

  • Page 284: Activation Du Service De Contrôle Des Applications

    Réorganisez les priorités de plusieurs règles de mappage de stratégie de contrôle des applications au sein d'une zone donnée. Pour déplacer la règle d'une position vers le haut, cliquez sur l'icône Move up. Pour déplacer la Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 285: Configuration Des Règles De Mappage De Stratégie De Contrôle Des Applications

    IP donnée. Sélectionnez l’une des options suivantes : All IP Addresses and Users : applique la stratégie de contrôle des applications sélectionnée à tous les utilisateurs. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 286: Mise À Jour La Base De Données De Signatures Des Applications

    Vous pouvez rechercher automatiquement les mises à jour de signatures à partir du serveur de signatures Cisco une fois par semaine ou rechercher manuellement les mises à jour de signatures à tout moment en cliquant sur Check for Update Now.

  • Page 287: Paramètres Avancés Du Contrôle Des Applications

    : a. Dans la zone Auto Update, cliquez sur On pour rechercher automatiquement les mises à jour de signatures à partir du serveur de signatures Cisco chaque lundi à 0h00. b. Cliquez sur Save pour appliquer vos paramètres.
  • Page 288 Dans la colonne Detection, choisissez Enable afin d'activer la détection pour une application ou Disable afin de désactiver la détection pour une application. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 5 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 289: Configuration Du Filtre De Courrier Indésirable

    SMTP Server Address/Domain : entrez l'adresse IP ou le nom de domaine de votre serveur SMTP interne. Le trafic Internet du serveur SMTP doit être acheminé via l'Cisco ISA500. Le serveur SMTP ou les clients qui utilisent ce serveur SMTP peuvent être configurés pour répondre aux balises de courrier indésirable et de suspicion de courrier indésirable que l'Cisco...

  • Page 290: Configuration De La Prévention Des Intrusions

    à la recherche d'activités malveillantes ou indésirables, telles que les vers, les logiciels espions et les violations de règles. Lorsque le service IPS détecte une menace, il répond en temps réel en effectuant des Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 291 Le trafic entre le LAN et le DMZ est inspecté une seule fois, pas deux. Si vous sélectionnez la zone WAN, l'IPS inspecte l'ensemble du trafic de la zone WAN, quelle que soit sa destination. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 292 REMARQUE : Pour faciliter l'utilisation, vous pouvez modifier les actions préventives pour un groupe de signatures. Cochez la case pour chaque signature à modifier, ou sélectionnez toutes les signatures en cochant la Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 293: Configuration Des Actions De Signature

    IPS. Log only : consigner l'événement uniquement lorsque la signature de sécurité est détectée par le moteur IPS. Cette option est principalement utilisée à des fins de dépannage. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 294: Mise À Jour De La Base De Données De Signatures Ips

    Vous pouvez également en premier lieu télécharger le dernier fichier de signatures à partir du serveur de signatures Cisco sur votre ordinateur local, puis mettre à jour manuellement les signatures IPS via l'utilitaire de configuration.
  • Page 295 Pour mettre à jour automatiquement les signatures IPS, procédez comme suit : ÉTAPE 3 a. Dans la zone Auto Update, cliquez sur On pour rechercher automatiquement les mises à jour de signatures à partir du serveur de signatures Cisco chaque lundi à 0h00. b. Cliquez sur Save pour appliquer vos paramètres.

  • Page 296: Configuration Du Filtrage Par Réputation Web

    Dans la zone Allowed Web Sites, vous pouvez spécifier les exceptions de site ÉTAPE 4 Web en fonction de vos paramètres de filtrage par réputation Web. Les sites Web Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 297 Allow Web Traffic even when web reputation filter services are not available : l'ensemble du trafic Web est autorisé jusqu'à ce que le filtrage par réputation Web soit disponible. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 298: Configuration Du Filtrage Url Web

    Other Options : pour modifier une entrée, cliquez sur l'icône de modification (crayon). Pour supprimer une entrée, cliquez sur l'icône de suppression (x). Le profil par défaut ne peut pas être supprimé. La fenêtre Policy Profile - Add/Edit s'ouvre. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 299: Configuration De La Liste De Contrôle D'accès Aux Sites Web

    Dans la zone Specify URLs or URL keywords you want to permit or deny, ÉTAPE 1 cliquez sur Edit. La fenêtre Policy Profile - Add/Edit s'ouvre. Pour ajouter une règle d'accès au site Web, cliquez sur Add. ÉTAPE 2 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 300: Mappage Des Profils De Stratégie De Filtrage Url Web Aux Zones

    Par défaut, le profil par défaut qui autorise toutes les catégories d'URL est affecté à toutes les zones prédéfinies et aux nouvelles zones. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 301: Configuration Des Paramètres Avancés Du Filtrage Url Web

    ActiveX : cochez cette case pour empêcher le téléchargement des applets ActiveX via Internet Explorer. Cookies : cochez cette case pour bloquer les cookies, qui contiennent généralement des sessions. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 302: Réputation De Réseau

    Aucune configuration n'est requise pour la réputation de réseau. Il vous suffit REMARQUE d'activer ou de désactiver cette fonctionnalité à partir de la page Security Services > Dashboard. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 303: Chapitre 8 : Vpn

    Configuration d'un serveur L2TP, page 357 • Configuration du transfert VPN, page 359 Pour accéder aux pages relatives aux VPN, cliquez sur VPN dans le volet de navigation gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 304: À Propos Des Vpn

    Voir Configuration d'un serveur L2TP, page 357. L'Cisco ISA500 peut faire office soit de serveur VPN IPsec, soit de client matériel REMARQUE VPN Cisco, mais pas les deux simultanément. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 305: Affichage De L'état Du Vpn

    Type de connexion VPN pour une session VPN IPsec, tel que Site-to-Site (site à site), IPsec Remote Access ou Teleworker VPN Client. WAN Interface Port WAN utilisé pour une session VPN IPsec. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 306 Teleworker VPN Client Si la fonctionnalité de client VPN pour télétravailleurs (Teleworker VPN Client) est activée et que l'Cisco ISA500 agit en tant que client matériel VPN Cisco, les informations ci-dessous sont affichées. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 307: Affichage De L'état Du Vpn Ssl

    Client IP (Actual) Adresse IP réelle utilisée par le client VPN SSL. Client IP (VPN) Adresse IP virtuelle du client VPN SSL attribuée par la passerelle VPN SSL. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 308 Nombre total d'octets dans les trames CSTP reçues du client. In CSTP Data Nombre de trames de données CSTP reçues du client. In CSTP Control Nombre de trames de contrôle CSTP reçues du client. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 309: Configuration D'un Vpn De Site À Site

    « Out » indique que le paquet est envoyé au client. Le client est le PC exécutant le logiciel client à mobilité sécurisé Cisco AnyConnect qui se connecte à l'Cisco ISA500 exécutant le serveur VPN SSL. Une trame CSTP est un paquet transportant les informations de protocole CSTP.

  • Page 310: Tâches De Configuration Pour Établir Un Tunnel Vpn De Site À Site

    Ajouter les objets d'adresse IP de sous-réseau de votre réseau local et du réseau distant. Voir Gestion d'adresse, page 182. • (Facultatif) Importez les certificats pour l'authentification entre deux homologues. Ignorez cette étape si vous souhaitez utiliser une clé Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 311: Paramètres Vpn Généraux De Site À Site

    Voir Gestion des certificats pour l'authentification, page 393. • Activez la fonctionnalité VPN de site à site sur l'Cisco ISA500. Voir Paramètres VPN généraux de site à site, page 311. • Configurez des stratégies IKE. Voir Configuration des stratégies IKE, page 319.

  • Page 312: Configurer Des Stratégies Vpn Ipsec

    Avant de créer une stratégie VPN IPsec, assurez-vous que les stratégies IKE et de REMARQUE transformation sont configurées. Ensuite, vous pouvez appliquer les stratégies IKE et de transformation à la stratégie VPN IPsec. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 313 (CA) tierce pour l'authentification. Si vous choisissez cette option, sélectionnez un certificat CA comme certificat local dans la liste déroulante Local Certificate et sélectionnez un certificat CA comme Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 314 être configuré comme certificat local sur l'homologue distant. REMARQUE : Vous devez avoir les certificats CA valides importés sur votre Cisco ISA500 avant de choisir cette option. Accédez à la page Device Management > Certificate Management pour importer les certificats CA. Voir...
  • Page 315 VPN distant vers les zones. Cliquez sur Permit pour permettre l'accès ou sur Deny pour le refuser. Par défaut, le trafic entrant du réseau distant vers toutes les zones est autorisé. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 316 Pour qu'un site accède aux hôtes sur l'autre site, la traduction d'adresses de réseau (NAT) est utilisée sur les routeurs pour modifier les adresses source et de destination en sous-réseaux différents. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 317 IKE Policy : sélectionnez la stratégie IKE utilisée pour la stratégie VPN IPsec. Vous pouvez cliquer sur IKE Policy Link pour maintenir les stratégies IKE, mais enregistrez vos paramètres sur cette page en premier lieu. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 318 ISA500 bascule sur le tunnel principal en désactivant le tunnel de secours. Saisissez une valeur comprise entre 3 et 59 secondes. La valeur par défaut est de 5 secondes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 319: Configuration Des Stratégies Ike

    REMARQUE Cliquez sur VPN > Site-to-Site > IKE Policies. ÉTAPE 1 La fenêtre IKE Policies s'ouvre. Les stratégies IKE par défaut et personnalisées sont répertoriées dans le tableau. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 320 ESP_3DES, ESP_AES_128, ESP_AES_192 et ESP_AES_256. • Hash : spécifiez l'algorithme d'authentification pour l'en-tête VPN. Deux algorithmes de hachage sont pris en charge par l'Cisco ISA500 : SHA1 et MD5. REMARQUE : Vérifiez que l'algorithme d'authentification est configuré de manière identique des deux côtés.

  • Page 321: Configuration Des Ensembles De Transformation

    ISAKMP (Internet Security Association and Key Management Protocol) mieux sécurisées (jusqu'à un certain point). Toutefois, les durées de vie plus courtes permettent à l'Cisco ISA500 de configurer les associations de sécurité IPsec futures plus rapidement. La valeur par défaut est de 24 heures.

  • Page 322: Exemples De Configuration De Télétravailleur Distant

    Exemples de configuration de télétravailleur distant Exemple d'utilisation : vous souhaitez établir un tunnel VPN de site à site entre l'Cisco ISA500 et un UC500 distant pour fournir des services voix et données sur les téléphones d'un site distant. VPN site à site Téléphone IP...
  • Page 323 Solution : lorsque vous configurez le VPN de site à site sur les dispositifs de sécurité, assurez-vous que le réseau local sur l'Cisco ISA500 du site A est défini sur « Any » et que le réseau distant sur l'Cisco ISA500 du site B est défini sur « Any ».
  • Page 324 Pour permettre aux hôtes de sous-réseaux non natifs du Cisco ISA500 d'accéder à Internet via des tunnels VPN, vous devez créer manuellement des règles NAT avancées sur votre Cisco ISA500. Accédez à la page Firewall > NAT > Advanced NAT pour effectuer cette opération. Par exemple, vous pouvez créer une règle NAT avancée, comme suit, pour permettre aux hôtes du LAN de données...

  • Page 325: Configuration D'un Accès À Distance Ipsec

    Configuration d'un accès à distance IPsec La fonctionnalité d'accès à distance IPsec introduit la prise en charge du serveur pour les clients logiciels Client VPN Cisco (version 4.x et 5.x) et les clients matériels VPN Cisco. Cette fonctionnalité permet aux utilisateurs distants d'établir les tunnels VPN afin d'accéder en toute sécurité...

  • Page 326: Compatibilité Du Client Vpn Cisco

    Le client VPN distant peut être un périphérique Cisco qui sert de client matériel VPN Cisco ou un PC qui exécute le logiciel Client VPN Cisco (version 4.x ou 5.x). Le logiciel Client VPN Cisco est un logiciel client IPsec destiné aux utilisateurs Windows, Mac ou Linux.

  • Page 327: Activation De L'accès À Distance Ipsec

    VPN pour Windows, Mac OS X et Linux. Sélectionnez le package du client VPN correspondant à votre système d'exploitation sur le CD afin de procéder à son téléchargement. Vous pouvez également télécharger le logiciel Client VPN Cisco via ce lien : http://www.cisco.com/cisco/software/navigator.html?mdfid=278875403 Sélectionnez ensuite Client VPN Cisco.

  • Page 328: Configuration Des Stratégies De Groupe D'accès À Distance Ipsec

    IPsec doit être configuré comme certificat local sur les clients VPN distants. REMARQUE : Vous devez avoir les certificats CA valides importés sur votre Cisco ISA500 avant de choisir cette option. Accédez à la page Device Management > Certificate Management pour importer les certificats CA. Voir...
  • Page 329 Configuration d'un accès à distance IPsec • Mode : le client matériel VPN Cisco prend en charge le mode « NEM » (Network Extension Mode) et le mode « Client ». La stratégie de groupe d'accès à distance IPsec doit être configurée avec le mode correspondant pour autoriser uniquement la connexion des clients matériels VPN Cisco au...
  • Page 330 Dans l'onglet Zone Access Control, vous pouvez contrôler l'accès à partir du PC ÉTAPE 4 exécutant le logiciel Client VPN Cisco ou du réseau privé du client matériel VPN Cisco aux zones sur les tunnels VPN. Cliquez sur Permit pour permettre l'accès ou sur Deny pour le refuser.

  • Page 331: Configuration De Règles Nat Avancées Pour Permettre Aux Clients Vpn Distants D'accéder À Internet Via Les Tunnels Vpn

    Group Name VPNGroup1 WAN Interface WAN1 IKE Authentication Pre-shared key Method Mode Client Pool Range for Client Start IP : 192. 1 68.3.2 End IP : 192. 1 68.3.254 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 332 Translated Services Si deux interfaces WAN sont configurées, accédez à la page Firewall > NAT > ÉTAPE 3 Advanced NAT pour créer deux règles NAT avancées comme suit. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 333 WAN1_IP Address Translated Destination Address Translated Services Champ Paramètre Name VPNClient_to_WAN2 Enable From WAN2 Original Source EZVPN_VPNGroup1 Address Original Destination Address Original Services Translated Source WAN2 IP Address Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 334: Configuration Du Client Vpn Pour Télétravailleurs

    La fonctionnalité de client VPN pour télétravailleurs réduit les exigences de configuration sur les sites distants en permettant à l'Cisco ISA500 de fonctionner comme un client matériel VPN Cisco pour recevoir les politiques de sécurité sur le tunnel VPN à partir d'un serveur VPN IPsec distant.

  • Page 335: Serveur Vpn Ipsec Requis

    Configuration du client VPN pour télétravailleurs Lorsque l'Cisco ISA500 sert de client matériel VPN Cisco, la stratégie IKE et REMARQUE l'ensemble de transformation ci-dessous sont utilisés par défaut. La stratégie IKE et l'ensemble de transformation utilisés sur l'Cisco ISA500 sont inconfigurables.

  • Page 336: Avantages De La Fonctionnalité De Client Vpn Pour Télétravailleurs

    La fonctionnalité de client VPN pour télétravailleurs définit l'Cisco ISA500 en tant que client matériel VPN Cisco. Le client matériel VPN Cisco prend en charge deux modes de fonctionnement : le mode « Client » ou le mode « NEM » (Network Extension Mode, mode d'extension de réseau).

  • Page 337: Mode Client

    10.0.0.0. Ces ordinateurs se connectent à l'interface Ethernet sur le Cisco ISA500, et le serveur attribue une adresse IP 192. 1 68. 1 01.2 à l'Cisco ISA500. Le Cisco ISA500 effectue la traduction NAT ou PAT sur le tunnel VPN afin que les PC puissent accéder au réseau de destination.

  • Page 338: Mode Nem

    PC clients d'avoir un accès direct aux PC et aux hôtes sur le réseau de destination. En mode « NEM », le client matériel VPN Cisco obtient une adresse IP privée d'un server DHCP local ou est configuré avec une adresse IP statique.

  • Page 339: Paramètres Généraux De Client Vpn Pour Télétravailleurs

    Teleworker VPN Client : cliquez sur On pour activer la fonctionnalité de client VPN pour télétravailleurs et, par conséquent, définir le Cisco ISA500 en tant que client matériel VPN Cisco, ou sur Off pour la désactiver. REMARQUE : L'activation de la fonctionnalité de client VPN pour télétravailleurs désactive les fonctionnalités de VPN de site à...

  • Page 340: Configuration Des Stratégies De Groupe De Client Vpn Pour Télétravailleurs

    La valeur par défaut est de 120 secondes. • Retry Limit : entrez le nombre de fois que le Cisco ISA500 doit tenter d'établir une connexion VPN. La valeur par défaut est 2. Cliquez sur Save pour appliquer vos paramètres.
  • Page 341 : Group Name : entrez le nom de la stratégie de groupe d'accès à distance IPsec qui est définie sur le serveur VPN IPsec. Le Cisco ISA500 utilise cette stratégie de groupe pour établir la connexion VPN avec le serveur VPN IPsec.
  • Page 342 • Mode : le mode de fonctionnement détermine si les hôtes internes relatives proches du client matériel VPN Cisco sont accessibles à partir du réseau de l'entreprise via le tunnel VPN. Il est obligatoire de spécifier un mode de fonctionnement avant d'établir une connexion VPN, car le client matériel VPN Cisco ne dispose pas d'un mode par défaut.
  • Page 343 Backup Server 1/2/3 : entrez l'adresse IP ou le nom d'hôte du serveur de secours. Vous pouvez spécifier jusqu'à trois serveurs de secours. Lorsque la connexion au serveur VPN IPsec principal échoue, le Cisco ISA500, lance la connexion VPN aux serveurs de secours. Le serveur de secours1 bénéficie de la priorité...

  • Page 344: Configuration Vpn Ssl

    Figure 9 montre un exemple de VPN SSL. Les utilisateurs peuvent accéder à distance au réseau à l'aide du logiciel client sécurisé de mobilité Cisco AnyConnect. Une fois que le tunnel VPN SSL est établi, chaque utilisateur dispose d'une adresse IP sur le réseau interne.
  • Page 345 Nous vous recommandons de ne pas connecter un PC ou un téléphone REMARQUE directement à un port WAN de l'Cisco ISA500 pour établir une connexion VPN SSL entre eux. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 346: Éléments Du Vpn Ssl

    351. • Cisco AnyConnect Secure Mobility Client : le client à mobilité sécurisé Cisco AnyConnect est le client VPN de nouvelle génération. Il fournit aux utilisateurs distants des connexions VPN sécurisées à la passerelle VPN SSL. Voir Installation du client à mobilité sécurisé Cisco AnyConnect, page 347.

  • Page 347: Installation Du Client À Mobilité Sécurisé Cisco Anyconnect

    à mobilité sécurisé Cisco AnyConnect et fournit les identifiants d'authentification pour établir la connexion VPN. L'Cisco ISA500 prend en charge la version 3.0 du client à mobilité sécurisé Cisco AnyConnect (utilisation pour SSL uniquement). Le client à mobilité sécurisé Cisco AnyConnect est compatible avec les plates-formes suivantes : •...

  • Page 348: Certificats D'importation Pour L'authentification Des Utilisateurs

    Configuration VPN SSL Pour plus d'informations sur la façon de télécharger, installer et configurer le logiciel client à mobilité sécurisé Cisco AnyConnect, allez sur ce site : http://www.cisco.com/en/US/products/ps10884/tsd_products_support_series_h ome.html Le client à mobilité sécurisé Cisco AnyConnect conserve l'état de reconnexion REMARQUE après que le câble de l'interface WAN sur le serveur ait été...

  • Page 349: Configuration De La Passerelle Vpn Ssl

    La fenêtre SSL VPN Configuration s'ouvre. Cliquez sur On pour activer la fonctionnalité VPN SSL et, par conséquent, définir ÉTAPE 2 l'Cisco ISA500 comme serveur VPN SSL, ou sur Off pour la désactiver. Dans la zone Mandatory Gateway, entrez les informations suivantes : ÉTAPE 3 •...
  • Page 350 Saisissez le délai de DPD pendant lequel une session sera maintenue avec un client distant inactif. La valeur par défaut est de 300 secondes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 351: Configuration Des Stratégies De Groupe Vpn Ssl

    Tous les membres du groupe d'utilisateurs VPN SSL peuvent établir les tunnels VPN SSL en fonction de la stratégie de groupe de VPN SSL spécifiée pour accéder aux ressources réseau. Jusqu'à 32 stratégies de groupe VPN SSL peuvent être configurées sur l'Cisco REMARQUE ISA500.
  • Page 352 Pour ajouter une entrée, saisissez l'adresse IP ou le nom de domaine d'un hôte et cliquez sur Add. Pour supprimer une entrée, sélectionnez-la et cliquez sur Delete. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 353 VPN. REMARQUE : Pour exclure des réseaux LAN, vérifiez que la fonctionnalité d'exclusion de LAN local est activée sur le serveur VPN SSL et les clients AnyConnect. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 354: Accès Au Portail Vpn Ssl

    Vous pouvez accéder au portail VPN SSL via un navigateur Web côté WAN à l'aide du protocole HTTPS. Vous devez tout d'abord activer la fonctionnalité VPN SSL sur l'Cisco ISA500, puis saisir la paire d'adresses complète « Adresse IP de passerelle : Numéro de port de passerelle » dans la barre d'adresse pour accéder au portail VPN SSL.

  • Page 355: Configuration Des Règles Nat Avancées Pour Autoriser Les Clients Vpn Ssl À Accéder À Internet Via Les Tunnels Vpn Ssl

    NAT > Advanced NAT pour créer une règle NAT avancée comme suit. Champ Paramètre Name SSLVPN_to_WAN1 Enable From WAN1 Original Source SSLVPN_ADDRESS_POOL Address Original Destination Address Original Services Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 356 SSLVPN_to_WAN1 Enable From WAN1 Original Source SSLVPN_ADDRESS_POOL Address Original Destination Address Original Services Translated Source WAN1_IP Address Translated Destination Address Translated Services Champ Paramètre Name SSLVPN_to_WAN2 Enable From Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 357: Configuration D'un Serveur L2Tp

    L2TP utilise le protocole PPP sur UDP (port 1701) pour la transmission tunnel des données. Le protocole L2TP est basé sur le modèle client-serveur. L'Cisco ISA500 peut mettre fin aux connexions L2TP-sur-IPsec des clients Microsoft Windows entrants. Cliquez sur VPN > L2TP Server.
  • Page 358 Firewall > Access Control > ACL Rules pour créer manuellement une règle de pare-feu comme suit : Champ Paramètre From Zone To Zone Service Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 359: Configuration Du Transfert Vpn

    Configuration du transfert VPN Reportez-vous à la page VPN Passthrough pour configurer le transfert VPN afin d'autoriser le trafic VPN qui provient de clients VPN à traverser votre Cisco ISA500. Utilisez cette fonctionnalité s'il existe des périphériques derrière votre Cisco ISA500 qui ont besoin des tunnels IPsec pour être configurés indépendamment, comme la connexion à...

  • Page 360: Chapitre 9 : Gestion Des Utilisateurs

    Reportez-vous à la page Active User Sessions pour consulter les informations relatives à toutes les sessions utilisateur actives qui sont actuellement connectées à l'Cisco ISA500. Cette page est automatiquement mise à jour toutes les 10 secondes. Cliquez sur Refresh pour actualiser manuellement les données.

  • Page 361: Configuration D'utilisateurs Et De Groupes D'utilisateurs

    100 utilisateurs. Tout utilisateur doit être membre d'un groupe d'utilisateurs. Le compte d'administrateur par défaut (« cisco ») dispose de privilèges complets pour définir la configuration et lire l'état du système. Le compte d'administrateur par défaut ne peut pas être supprimé. Pour des raisons de sécurité, vous devez changer le mot de passe administrateur par défaut à...

  • Page 362: Services Disponibles Pour Les Groupes D'utilisateurs

    VPN SSL en fonction de la stratégie de groupe VPN SSL sélectionnée pour accéder aux ressources du réseau. Le logiciel client à mobilité sécurisé Cisco AnyConnect doit être installé sur le PC de l'utilisateur.

  • Page 363: Configuration Des Utilisateurs Locaux

    Ne répétez aucun mot de passe plus de trois fois sur une ligne. Ne définissez pas le nom d'utilisateur ou « cisco » comme mot de passe. Ne mettez pas ces mots en majuscule et ne les écrivez pas à l'envers.

  • Page 364: Configuration Des Groupes D'utilisateurs Locaux

    REMARQUE : Vous ne pouvez pas désactiver le service de connexion Web, ni modifier son niveau de service pour le groupe d'utilisateurs par défaut (« admin »). Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 365: Configuration Des Paramètres D'authentification Des Utilisateurs

    à accéder à certains services limités. Par exemple, un utilisateur peut être identifié en tant qu'utilisateur de VPN SSL afin qu'il accède à vos ressources réseau via des tunnels VPN SSL. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 366: Utilisation D'une Base De Données Locale Pour L'authentification Des Utilisateurs

    ISA500. L'Cisco ISA500 prend en charge une base de données locale qui est stockée sur l'Cisco ISA500 et divers types de serveur AAA, tels que RADIUS, le protocole LDAP (LDAP) et Active Directory (AD).

  • Page 367: Utilisation D'un Serveur Radius Pour L'authentification Utilisateur

    RADIUS. Le serveur RADIUS renvoie les résultats de l'authentification à l'Cisco ISA500. En cas d'utilisateur RADIUS valide, l'Cisco ISA500 contrôle sa stratégie de service de groupe d'utilisateurs à partir de la base de données locale et autorise l'accès. En cas d'utilisateur RADIUS non valide, l'Cisco ISA500 bloque l'accès.
  • Page 368 L'Cisco ISA500 envoie tout d'abord un message de requête au serveur RADIUS principal. S'il n'y a pas de réponse du serveur RADIUS principal, l'Cisco ISA500 attend le nombre de secondes que vous avez défini dans le champ RADIUS Server Timeout, puis envoie un autre message de requête.
  • Page 369 Group2 une fois que l'utilisateur aura passé l'authentification RADIUS. Si l'utilisateur User1 n'existe pas dans la base de données locale, il sera défini sur le groupe par défaut spécifié. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 370: Utilisation De La Base De Données Locale Et Du Serveur Radius Pour L'authentification Des Utilisateurs

    à partir de la base de données locale et autorise l'accès. Pour un utilisateur RADIUS non valide, l'Cisco ISA500 utilise ensuite la base de données locale pour le vérifier à nouveau. Pour un utilisateur local valide, l'Cisco ISA500 contrôle sa stratégie de service de groupe d'utilisateurs à...

  • Page 371: Utilisation Du Protocole Ldap Pour L'authentification Des Utilisateurs

    ISA500 attendra une réponse du serveur LDAP avant l'expiration du délai. La valeur par défaut est de 5 secondes. L'Cisco ISA500 tentera à nouveau de se connecter au serveur LDAP s'il n'y a pas de réponse de ce dernier après l'expiration du délai. Par exemple, si le délai de serveur est défini sur 5 secondes et qu'il n'y a pas de réponse du...
  • Page 372 • Protocol Version : sélectionnez la version du protocole LDAP dans la liste déroulante. L'Cisco ISA500 prend en charge les versions 2 et 3 du protocole LDAP. La plupart des annuaires LDAP, y compris Active Directory, utilisent la version 3 du protocole LDAP.
  • Page 373 Allow Only Users Listed Locally : cliquez sur On pour autoriser uniquement les utilisateurs LDAP qui sont également présents dans la base de données locale à se connecter ou sur Off pour désactiver cette option. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 374: Utilisation De La Base De Données Locale Et Du Protocole Ldap Pour L'authentification

    Un groupe RADIUS inclut un serveur RADIUS principal et un serveur RADIUS de secours. L'Cisco ISA500 prédéfinit trois groupes RADIUS. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 375 Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 4 Répétez les étapes ci-dessus pour modifier les paramètres d'autres groupes ÉTAPE 5 RADIUS si nécessaire. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 6 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 376: Chapitre 10 : Gestion Des Périphériques

    Réamorçage et réinitialisation du périphérique, page 427 • Configuration des programmations, page 429 Pour accéder aux pages relatives à la gestion des périphériques, cliquez sur Device Management dans le volet de navigation gauche. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 377: Affichage De L'état Du Système

    Device Management > System Status > Resource Utilization Champ Description CPU Utilization CPU Usage by User Pourcentage de la ressource de CPU actuellement utilisée par les processus d'espace utilisateur. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 378: Administration

    Configuration des paramètres d'administration, page 379 • Configuration de l'administration à distance, page 380 • Configuration des paramètres d'alerte par courriel, page 382 • La configuration SNMP, page 389 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 379: Configuration Des Paramètres D'administration

    Ne répétez aucun mot de passe plus de trois fois sur une ligne. Ne définissez pas le nom d'utilisateur ou « cisco » comme mot de passe. Ne mettez pas ces mots en majuscule et ne les écrivez pas à l'envers.

  • Page 380: Configuration De L'administration À Distance

    à la page Outils > Options Internet > Sécurité, puis sélectionner la zone Sites de confiance et ajouter votre URL comme site de confiance. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 381 Off pour désactiver SNMP. L'activation de SNMP permet aux utilisateurs distants d'utiliser le protocole SNMP pour gérer l'Cisco ISA500 du côté WAN. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 3 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 382: Configuration Des Paramètres D'alerte Par Courriel

    à l'opérateur ou à l'administrateur pour des événements ou comportements spécifiques susceptibles d'avoir une incidence sur les performances, le fonctionnement et la sécurité de votre Cisco ISA500 ou pour le débogage. Lorsque cette fonctionnalité est activée, une alerte est envoyée aux trois conditions suivantes : •...
  • Page 383 événement. Lorsque les événements associés seront détectés, les courriels d'alertes seront envoyés à l'adresse courriel spécifiée. Le tableau suivant fournit des informations sur la manière d'activer la fonctionnalité d'alerte par courriel pour chaque événement. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 384 Cisco.com, puis installez-la sur votre Cisco ISA500. Pour plus d'informations, reportez-vous à la section Mise à niveau de votre microprogramme à partir du site Cisco.com, page 413. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 385 Pour activer l'alerte avant l'expiration de la licence, vous devez effectuer les tâches suivantes : • Valider la licence de sécurité dans l'Cisco ISA500 sur la page Device Management > License Management. Voir Installation ou renouvellement de la licence de sécurité, page 418.
  • Page 386 Configurez les paramètres de serveur de messagerie utilisés pour envoyer des courriels d'alerte. • Cochez l'option Site-to-Site VPN Up/Down Alert dans la colonne Enable et spécifiez l'adresse courriel utilisée pour recevoir les courriels d'alertes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 387 Configurez les paramètres de serveur de messagerie utilisés pour envoyer des courriels d'alerte. • Cochez l'option New Firmware Alert dans la colonne Enable et spécifiez l'adresse courriel utilisée pour recevoir les courriels d'alertes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 388 Configurez les paramètres de serveur de messagerie utilisés pour envoyer des courriels d'alerte. • Cochez l'option New Firmware Alert dans la colonne Enable et spécifiez l'adresse courriel utilisée pour recevoir les courriels d'alertes. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 389: La Configuration Snmp

    Le protocole SNMP (Simple Network Management Protocol) est un protocole réseau utilisé sur le protocole UDP (User Datagram Protocol). Il permet de surveiller et de gérer l'Cisco ISA500 à partir d'un gestionnaire SNMP. Le protocole SNMP permet de surveiller et de contrôler les périphériques réseau à distance et de gérer la configuration, la collecte des statistiques, les performances et la...
  • Page 390 Une fois que vous avez activé SNMP et sélectionné la version SNMP, entrez les ÉTAPE 4 informations suivantes : • System Contact : entrez le nom du contact pour votre Cisco ISA500. • Device : saisissez le nom du périphérique pour faciliter l'identification de votre Cisco ISA500.

  • Page 391: Sauvegarde Et Restauration D'une Configuration

    Key, puis cliquez sur OK. Les paramètres actuels seront enregistrés sous la forme d'un fichier de configuration (configure.bin) sur le périphérique USB. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 392 PC local et cliquez sur Restore. c. Si le fichier de configuration sélectionné est crypté, la fenêtre Encryption s'ouvre. Entrez le mot de passe dans le champ Key et cliquez sur OK. L'Cisco ISA500 se réinitialise avec les paramètres enregistrés du fichier de configuration sélectionné.

  • Page 393: Gestion Des Certificats Pour L'authentification

    Pour supprimer un certificat ou une demande de signature de certificat, cliquez sur l'icône de suppression (x) dans la colonne Configure. • Pour supprimer plusieurs certificats, cochez-les et cliquez sur Delete. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 394: Affichage De L'état Et Des Détails Des Certificats

    • Certificate : nom du certificat. • Type : type du certificat. L'Cisco ISA500 prend en charge trois types de certificats : Certificate Signing Request : demande de certificat générée par votre Cisco ISA500 qui doit être envoyée à l'autorité de certification (CA) pour signature.

  • Page 395: Exportation De Certificats Vers Votre Pc Local

    Entrez un mot de passe dans le champ Enter Export Password pour protéger le fichier de certificat et cliquez sur Download. Le fichier de certificat est enregistré au format .p12. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 396: Exportation De Certificats Vers Un Périphérique Usb

    Import a CA certificate from a PEM (.pem or .crt) encoded file : si vous sélectionnez cette option, cliquez sur Browse pour localiser et sélectionner un fichier certificat CA à partir de votre PC local et cliquez sur Import. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 397: Importation De Certificats Depuis Un Périphérique Usb

    Organization Unit Name : saisissez le nom de votre service. • Common Name : entrez le nom commun du certificat. • E-mail Address : entrez votre adresse électronique. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 398: Importation D'un Certificat Signé Pour Csr Depuis Votre Pc Local

    PC local, puis cliquez sur Upload. REMARQUE : Le fichier de certificat signé doit être au format PEM (fichier .pem ou .crt) codé. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 399: Configuration Des Paramètres D'assistance Et Des Services Cisco

    Un compte Cisco.com valide est requis pour télécharger la dernière image du microprogramme depuis le site Cisco.com, ainsi que pour rechercher les mises à jour des signatures à partir du serveur de signature Cisco pour IPS, le contrôle des applications et l'antivirus. Si vous n'en disposez pas, accédez à la page https:// tools.cisco.com/RPF/register/register.do...

  • Page 400: Configuration De Cisco Onplus

    Cochez la case en regard de Enable Cisco OnPlus Advanced Security Service ÉTAPE 2 pour activer Cisco OnPlus sur votre Cisco ISA500 ou décochez cette case pour le désactiver. Par défaut, Cisco OnPlus est activé. Ce paramètre est fourni principalement à des fins d'assistance et de dépannage. Si vous désactivez OnPlus sur l'Cisco ISA500, le service Cisco OnPlus ne pourra pas communiquer avec l'Cisco ISA500, et la gestion, la surveillance et la création de rapports seront...

  • Page 401: Configuration Des Paramètres D'assistance À Distance

    Utilisez la page Remote Support pour activer le serveur SSHv2 à des fins de débogage. Cette fonctionnalité permet aux ingénieurs d'utiliser un mot de passe racine unique de console pour se connecter à l'Cisco ISA500 afin d'effectuer des opérations de débogage.

  • Page 402: Configuration De L'heure Système

    ÉTAPE 2 Sélectionnez la case d'option Manually Set System Time pour régler ÉTAPE 3 manuellement la date et l'heure. Entrez les valeurs dans les champs Date et Time. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 403: Configuration Des Propriétés Du Périphérique

    Saisissez les informations suivantes : ÉTAPE 2 • Host Name : entrez le nom d'hôte de votre Cisco ISA500. Celui-ci est affiché sur le réseau afin d'identifier votre périphérique. • Domain Name : entrez un nom de domaine unique afin d'identifier votre réseau.

  • Page 404: Utilitaires De Diagnostic

    IP Address or URL : entrez l'adresse IP ou l'URL pour le test Ping. • Packet Size : saisissez une taille de paquet comprise entre 32 à 65 500 octets pour le test ping. L'Cisco ISA500 enverra un paquet de la taille définie à la destination. •...

  • Page 405: Traceroute

    Gestion des périphériques Utilitaires de diagnostic Traceroute Utilisez la page Traceroute pour afficher le routage entre l'Cisco ISA500 et une destination. Cliquez sur Device Management > Diagnostic Utilities > Traceroute. ÉTAPE 1 La fenêtre Traceroute s'ouvre. Saisissez les informations suivantes : ÉTAPE 2...

  • Page 406: Capture De Paquet

    L'Cisco ISA500 prend en charge les protocoles suivants pour détecter les périphériques : • UPnP Discovery, page 407 • Bonjour Discovery, page 408 • Détection CDP, page 409 • Détection LLDP, page 410 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 407: Upnp Discovery

    ÉTAPE 3 Une fois que vous avez activé UPnP, les informations de la table UPnP Portmaps ÉTAPE 4 sont immédiatement actualisées. Cliquez sur Refresh pour actualiser manuellement les données. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 408: Bonjour Discovery

    Pour dissocier les VLAN des services par défaut, cochez les cases en regard du VLAN approprié et cliquez sur Delete. Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 4 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 409: Détection Cdp

    Ethernet Sélectionnez l'une des options suivantes : Enable All : activez CDP sur tous les ports pris en charge par l'Cisco ISA500. Disable All : désactivez CDP sur tous les ports. Per Port : configurez CDP sur des ports sélectionnés. Nous recommandons l'option CDP per port.

  • Page 410: Détection Lldp

    • Mettre à niveau votre microprogramme vers la dernière version depuis le site Cisco.com. Voir Mise à niveau de votre microprogramme à partir du site Cisco.com, page 413. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 411: Affichage Des Informations Sur Le Microprogramme

    : • Primary Firmware Version : version du microprogramme principal que vous utilisez. • Secondary Firmware Version : version du microprogramme secondaire que vous utilisiez précédemment. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 412: Utilisation Du Microprogramme Secondaire

    180 seconds. » (Préparation de la réinitialisation. Voulez-vous continuer? AVERTISSEMENT : toutes les sessions en cours seront fermées et le système sera arrêté pendant environ 180 secondes) Cliquez sur Yes pour réinitialiser l'Cisco ISA500 à l'aide de l'image du ÉTAPE 3 microprogramme secondaire.

  • Page 413: Mise À Niveau De Votre Microprogramme À Partir Du Site Cisco.com

    Cisco.com L'Cisco ISA500 recherche automatiquement les mises à jour du microprogramme sur le site Cisco.com toutes les 24 heures. Vous pouvez mettre à niveau votre microprogramme vers la dernière version si un microprogramme plus récent est disponible sur le site Web Cisco.com. Un compte Cisco.com valide est requis pour télécharger l'image de microprogramme depuis le site Cisco.com.

  • Page 414: Mise À Niveau De Votre Microprogramme À Partir D'une Image De Microprogramme Stockée Sur Votre Pc Ou Sur Un Périphérique Usb

    Sélectionnez une image de microprogramme dans la liste pour effectuer la mise à niveau. d. Pour mettre à niveau le microprogramme et continuer à utiliser les paramètres actuels, cliquez sur Upgrade. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 415: Mécanisme De Basculement Automatique Du Microprogramme

    à niveau le microprogramme. Pour obtenir plus d'informations sur le mode Rescue, reportez-vous à la section Utilisation du mode Rescue pour récupérer le système, page 416. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 416: Utilisation Du Mode Rescue Pour Récupérer Le Système

    PC, interrompre le processus ou retirer le câble avant que l'opération soit terminée. Lorsque le voyant POWER/SYS sur la façade avant est vert fixe, le système fonctionne normalement. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 417: Gestion De La Licence De Sécurité

    SSLVPN avec les périphériques mobiles, tels que les téléphones intelligents et les tablettes. La clé d'autorisation de produit (PAK) et un compte Cisco.com valide sont nécessaires pour valider la licence de sécurité. Vous pouvez trouver le code de licence sur la licence imprimée fournie avec l'unité.

  • Page 418: Installation Ou Renouvellement De La Licence De Sécurité

    Vous pouvez également valider la licence de sécurité à l'aide de l'assistant de REMARQUE configuration. Voir Validation de la licence de sécurité, page Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 419 Gestion des périphériques Gestion de la licence de sécurité Contactez votre revendeur Cisco pour acheter une licence. Le numéro de série, le ÉTAPE 1 PID et l'UDI de votre périphérique sont requis pour faire une demande de licence. Vous trouverez ces informations sur les pages Status > Dashboard ou Device Management >...
  • Page 420 Gestion de la licence de sécurité pouvez cliquer sur le lien SEULA pour consulter les conditions détaillées du contrat de licence logicielle de l'utilisateur final sur le site Cisco.com. Cliquez sur Validate License pour valider la licence de sécurité sur votre Cisco ÉTAPE 6 ISA500.

  • Page 421: Gestion Des Journaux

    • Keyword : entrez le mot clé pour la recherche dans les fichiers journaux. Tous les journaux qui contiennent le mot clé spécifié sont affichés. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 422 • Cliquez sur Refresh pour actualiser les données du journal. • Cliquez sur Export pour exporter les journaux vers une destination définie pour le débogage. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 423: Configuration Des Paramètres De Journal

    événements que vous souhaitez enregistrer. Ces journaux seront enregistrés dans le daemon de journal local. Voir Étape Dans la zone System Logs, si vous souhaitez surveiller l'Cisco ISA500 avec plus ÉTAPE 3 de données de trafic, vous pouvez choisir d'enregistrer tout le trafic de monodiffusion et/ou tout le trafic de diffusion ou multidiffusion dirigé...
  • Page 424 Intervention immédiate requise. Critical (niveau 2) Conditions critiques. Error (niveau 3) Conditions d'erreur. Warning (niveau 4) Avertissements. Notification (niveau 5) Événements normaux, mais importants. Information (niveau 6) Message d'information uniquement. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 425 Par exemple : si vous sélectionnez « Critical », les messages de journal répertoriés dans les catégories « Critical », « Emergency » et « Alert » sont enregistrées sur le démon syslog local. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 426: Configuration Des Composants Journaux

    Les événements qui appartiennent au composant sélectionné et qui correspondent au niveau de gravité spécifié pour les courriels Syslog sont consignés et les messages syslog enregistrés sont envoyés à l'adresse courriel spécifiée selon une programmation. Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 427: Réamorçage Et Réinitialisation Du Périphérique

    ÉTAPE 3 Réamorçage et réinitialisation du périphérique Utilisez la page Reboot/Reset pour réamorcer l'Cisco ISA500 ou pour réinitialiser les paramètres d'usine par défaut de l'Cisco ISA500 (s'il y a lieu) depuis l'utilitaire de configuration. Reportez-vous aux rubriques suivantes : •...

  • Page 428: Réinitialisation De L'appareil De Sécurité

    » (Préparation de la restauration des paramètres d'usine par défaut. Voulez-vous continuer? AVERTISSEMENT : la configuration actuelle sera remplacée). Cliquez sur Yes pour réamorcer l'Cisco ISA500 avec les paramètres d'usine par ÉTAPE 3 défaut. Réinitialisation de l'appareil de sécurité...

  • Page 429: Configuration Des Programmations

    Définissez les options Start Time (heure de début) et End Time (heure de fin) en entrant les heures et minutes et en choisissant AM (matin) ou PM (après-midi). Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 430 Gestion des périphériques Configuration des programmations Cliquez sur OK pour enregistrer vos paramètres. ÉTAPE 4 Cliquez sur Save pour appliquer vos paramètres. ÉTAPE 5 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 431: Annexe A : Dépannage

    Windows et de MacOS génèrent et attribuent une adresse IP. Ces adresses sont générées automatiquement dans la plage 169.254.x.x. Si votre adresse IP se trouve dans cette plage, vérifiez la connexion du PC à l'Cisco ISA500 et redémarrez votre PC.
  • Page 432 Vérifiez que vous utilisez les informations de connexion appropriées. Le nom de ÉTAPE 6 connexion par défaut est « cisco » et le mot de passe est « cisco ». Vérifiez que VERR. MAJ est désactivé lorsque vous saisissez ces informations.
  • Page 433 Dépannage Connexion Internet Symptôme : L'Cisco ISA500 ne parvient pas à obtenir une adresse IP du FAI. Actions recommandées : Mettez hors tension le câble ou le modem DSL. ÉTAPE 1 Mettez la plate-forme Cisco ISA500 hors tension. ÉTAPE 2 Rétablissez l'alimentation du câble ou du modem DSL.

  • Page 434: Date Et Heure

    Dépannage Date et heure Symptôme : L'Cisco ISA500 peut obtenir une adresse IP, mais le PC ne parvient pas à charger les pages Internet. Actions recommandées : Demandez à votre FAI les adresses de ses serveurs DNS désignés. Configurez ÉTAPE 1 votre PC pour qu'il identifie ces adresses.

  • Page 435: Test Ping Pour Tester La Connectivité Lan

    • Si le chemin ne fonctionne pas, vérifiez les connexions physiques entre le PC et l'Cisco ISA500. Si le voyant du port LAN est éteint, vérifiez que les voyants de liaison correspondants sont allumés pour votre carte d'interface réseau et pour tous les ports du concentrateur qui sont connectés à votre station de travail et à...

  • Page 436: Évaluation Du Chemin Lan De Votre Pc À Un Périphérique Distant

    Vérifiez que le logiciel du pilote de carte Ethernet et le logiciel TCP/IP sont installés et configurés sur le PC. Assurez-vous que les adresses IP de l'Cisco ISA500 et du PC sont correctes et se trouvent sur le même sous-réseau.

  • Page 437: Annexe B : Spécifications Techniques Et Exigences Environnementales

    Humidité relative de fonctionnement 10 à 90 %, sans 10 à 90 %, sans 10 à 90 %, sans 10 à 90 %, sans condensation condensation condensation condensation Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 438 (1,24 pouces) de (1,24 pouces) de profondeur. profondeur. Poids (avec 1,20 kg (3,22 livres) 1,26 kg (3,38 livres) 1,3 kg (3,48 livres) 1,36 kg (3,64 livres) alimentation électrique) Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 439: Annexe C : Paramètres D'usine Par Défaut

    Objets d'adresse par défaut, page 455 Gestion des périphériques Fonctionnalité Paramètre Remote Administration Désactiver Remote management using HTTPS Désactiver Access type All IP addresses HTTPS listen port number 8080 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 440 Bonjour Activer Désactiver LLDP Désactiver Syslog Settings Désactiver Email Alert Settings CPU Overload Alert Désactiver CPU threshold setting 90 % (10 à 100 %) New Firmware Alert Désactiver Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 441: Gestion Des Utilisateurs

    Remote Access et Captive Portal (pour ISA550W et ISA570W uniquement) Maximum number of user groups Utilisateurs locaux Default administrator username cisco Default administrator password cisco Maximum number of local users Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 442: Mise En Réseau

    WAN1-Zone Mapping Réseau WAN Network Addressing Modes DHCP Client, L2TP, PPTP, PPPoE et Static IP Port Mirroring Désactiver Port-based Access Control (contrôle Désactiver d'accès basés sur les ports) Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 443 IP Address=192. 1 68.25. 1 Subnet=255.255.255.0 Spanning Tree=Disable DHCP Mode=DHCP Server DHCP Pool = 192. 1 68.25. 1 00 à Lease Time=1 day Default Gateway=192. 1 68.25. 1 Mapped Zone=GUEST Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 444 Maximum number of traffic selectors Maximum number of WAN QoS policy profiles Maximum number of traffic selectors associated with one WAN QoS policy profile LAN QOS (QoS LAN) Désactiver WLAN QoS Désactiver Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 445: Sans Fil

    Wireless Radio Désactiver Basic Radio Settings Wireless mode 802. 1 1b/g/n mixed Wireless channel Auto- Bandwidth channel Auto- Extension channel Lower U-APSD Désactiver SSID isolation (entre des SSID) Désactiver Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 446: Vpn

    5 minutes (de 0 à 480 minutes) Fonctionnalité Paramètre Site-to-Site VPN Désactiver Maximum number of Site-to-Site VPN 100 pour ISA570 et ISA570W tunnels 50 pour ISA550 et ISA550W Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 447 WAN1 Gateway port number Certificate file Par défaut Client address pool 192. 1 68.200.0 Client netmask 255.255.255.0 Idle timeout 2 100 secondes (de 60 à 86 400 secondes) Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 448: Services De Sécurité

    Services de sécurité Fonctionnalité Paramètre Antivirus Désactiver Application Control Désactiver Spam Filter Désactiver Intrusion Prevention (IPS) Désactiver Web Reputation Filtering Désactiver Web URL Filtering Désactiver Network Reputation Activer Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 449: Pare-Feu

    Maximum number of IP - MAC Binding rules Attack Protection Block Ping WAN Interface Activer Stealth Mode Activer Block TCP Flood Activer Block UDP Flood Activer Block ICMP Notification Activer Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 450: Rapports

    Bandwidth Usage Report by IP Désactiver Address Bandwidth Usage Report by Internet Désactiver Service Website Visits Report Désactiver WAN Bandwidth Reports Désactiver Security Services Reports Anti-Virus Report Désactiver Application Control Report Désactiver Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 451: Objets De Services Par Défaut

    Désactiver IPS Report Désactiver Network Reputation Report Activer Web Security Report Désactiver Objets de services par défaut Le tableau suivant présente tous les objets de services prédéfinis sur l'Cisco ISA500. Nom du service Protocoles Début Fin de Description de port...
  • Page 452 Exceeded ICMP Timestamp ICMP ICMP Type-6 ICMP Adresse d'hôte secondaire ICMP Type-7 ICMP Réservé 5 190 5 190 Messagerie instantanée IDENT Service d'authentification/protocole d'identification Échange de clés IPsec Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 453 1723 1723 Protocole de tunnellisation point à point Microsoft RCMD REAL-AUDIO 7070 7070 REXEC Exécution de processus à distance Protocole RIP (Routing Information Protocol, protocole d'informations de routage) Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...
  • Page 454 1521 TCP/UDP Protocole SSH (Secure Shell) STRMWORKS 1558 1558 TACACS Protocole LHP (Login Host Protocol) TELNET TELNET 8023 8023 secondaire TELNET SSL TFTP Trivial FTP VDOLIVE Protocole VDOLive Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 455: Objets D'adresse Par Défaut

    192. 1 68.25. 1 GUEST_Network Réseau 192. 1 68.25.0/255.255.255.0 GUEST_DHCP_POOL Plage 192. 1 68.25. 1 00 à 192. 1 68.25.200 IPv4_Multicast Plage 224.0.0.0 à 239.255.255.255 SSLVPN_ADDRESS_POOL Réseau 192. 1 68.200.0/255.255.255.0 Guide d'administration des appliances de sécurité intégrés de la gamme Cisco ISA500...

  • Page 456: Annexe D : Problèmes Et Solutions

    Problèmes et solutions Cisco propose une vaste gamme de ressources pour vous aider, ainsi que vos clients, à tirer pleinement parti des Cisco ISA500 Integrated Security Appliances. Ressources sur les produits Assistance Communauté d'assistance www.cisco.com/go/smallbizsupport Cisco Small Business Ressources et assistance www.cisco.com/go/smallbizhelp...

Ce manuel est également adapté pour:

Small business isa570Small business isa550wSmall business isa550Small business isa500 série

Table des Matières