Publicité
Autoriser l'accès au portail d'authentification et au VPN SSL pour les interfaces associées
l
aux profils d'authentification (Authd) : une règle autorisant l'accès au service https (port
443) est créée pour chaque interface associée à un profil d'authentification ayant activé le
portail captif. Les utilisateurs peuvent donc s'authentifier et accéder au VPN SSL depuis les
réseaux correspondant à ces interfaces.
Autoriser l'accès au serveur d'administration web du firewall (WebAdmin) : les
l
administrateurs pourront se connecter à l'interface d'administration web.
Cette règle autorise l'accès au portail captif, et donc à l'interface d'administration web
pour tous les utilisateurs connectés depuis une interface protégée. Pour restreindre
l'accès à l'administration web (répertoire /admin/), il faut indiquer une ou plusieurs
machines depuis le module Système > Configuration onglet Administration du Firewall.
Un tableau permet de restreindre l'accès à ces pages au niveau applicatif web.
Autoriser les requêtes "Bootp" avec une adresse IP spécifiée pour relayer les requêtes DHCP
l
: les requêtes du service BOOTP (Bootstrap Protocol) vers un serveur DHCP relayé par le
firewall sont autorisées lorsqu'elles utilisent une adresse IP spécifiée dans la configuration
du relai DHCP (option « adresse IP utilisée pour relayer les requêtes DHCP »). Cette option
est utilisée pour relayer les requêtes DHCP d'utilisateurs distants au travers d'un tunnel
IPsec vers un serveur interne.
Autoriser les clients à joindre le service VPN SSL du firewall sur les ports TCP et UDP : les
l
connexions relatives à l'établissement de tunnel VPN SSL sont autorisées sur les ports
TCP et UDP.
Autoriser les sollicitations de routeur (RS) en multicast ou à destination du firewall : si le
l
support d'IPv6 est activé sur le Firewall, les nœuds IPv6 peuvent envoyer des sollicitations
de routeur (RS) en multicast ou au firewall.
Autoriser les requêtes au serveur DHCPv6 et les sollicitations multicast DHCPv6 : si le
l
support d'IPv6 est activé sur le Firewall, les clients DHCPv6 peuvent émettre des requêtes
de sollicitations au serveur ou relai DHCPv6 présent sur le firewall.
Ne pas tracer les paquets IPFIX dans le trafic IPFIX : cette règle permet de ne pas inclure les
l
paquets nécessaires au fonctionnement du protocole IPFIX dans les traces envoyées vers
le(s) collecteur(s) IPFIX.
Autoriser la réception de paquets IGMP et PIM pour le fonctionnement du routage multicast
l
dynamique : cette règle permet de ne pas rejeter les paquets IGMP et PIM à destination du
firewall lorsque vous configurez du routage multicast dynamique.
IMPORTANT
Deux cas peuvent être dangereux :
Désactiver la règle « Serverd » : peut amener, en cas d'absence de règle explicite, à ne
l
plus avoir d'accès avec les outils annexes Stormshield utilisant le port 1300 (exemple :
Stormshield Network Centralized Management).
Désactiver la règle « WebAdmin » : vous n'aurez plus accès à l'interface
l
d'administration web, sauf si une règle explicite l'autorise.
Page 376/524
NOTE
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
44. RÈGLES IMPLICITES
Publicité
