Configuration du pare-feu
Utilisation d'autres outils pour éviter les attaques, limiter les accès et contrôler le trafic entrant
ÉTAPE 1
ÉTAPE 2
ÉTAPE 3
ÉTAPE 4
Guide d'administration des appliances de sécurité de la gamme Cisco SA500
Configuration des contrôles d'attaque
Cette page permet de spécifier comment protéger votre réseau contre les types
communs d'attaques, notamment la détection, l'inondation et les orages d'écho.
Cliquez sur Firewall > Attacks. La fenêtre Attack Checks s'ouvre.
Dans la zone WAN Security Checks, sélectionnez la case de chaque fonctionnalité
à activer :
•
Block Ping to WAN interface : sélectionnez cette case pour empêcher les
agresseurs d'utiliser les demandes d'écho (ping) ICMP pour accéder à votre
réseau. Cisco vous recommande de désélectionner cette case uniquement
si vous devez autoriser l'appliance de sécurité à répondre aux demandes
ping à des fins de diagnostic.
Ce paramètre est remplacé dans les cas suivants :
-
Une règle de pare-feu qui dirige les demandes ping vers un ordinateur
spécifique sur le LAN. Voir aussi
pour contrôler le trafic entrant et sortant, page 107.
-
Des paramètres du mode WAN qui exécutent une commande ping sur
des adresses IP spécifiées à des fins de détection des défaillances. Voir
aussi
Configuration du renvoi automatique, de l'équilibrage de charge
et de la détection des défaillances, page 59.
•
Enable Stealth Mode : sélectionnez cette case pour empêcher l'appliance
de sécurité de répondre aux analyses de ports du WAN. En mode furtif, votre
réseau est moins exposé à la détection et aux attaques.
•
Block TCP Flood : sélectionnez cette case pour abandonner tous les
paquets TCP non valides. Cette fonction protège votre réseau contre une
attaque de type inondation SYN, dans laquelle un pirate envoie une
succession de requêtes SYN (synchronize) à un système cible.
Dans la section LAN Security Checks, sélectionnez la case Block UDP Flood
pour empêcher l'appliance de sécurité d'accepter plus de 25 connexions UDP
actives simultanées d'un même ordinateur sur le LAN.
Dans la zone ICSA Settings, saisissez les informations suivantes :
•
Block ICMP Notification : sélectionnez cette case pour activer le blocage
automatique sans envoyer de notification ICMP à l'expéditeur. Certains
protocoles, tels que la découverte du MTU de chemin, nécessitent des
notifications ICMP.
Configuration des règles de pare-feu
4
123