Publicité
60. Support IPv6
Le support d'IPv6, proposé dans cette version, permet aux Firewalls d'être intégrés dans des
infrastructures IPv4 et/ou IPv6. Les fonctions de Réseau (interfaces et routage), Filtrage, VPN et
Administration sont compatibles IPv6. Ce support est optionnel et activable dans le module
Configuration.
L'interface d'administration web est alors accessible indifféremment en IPv6 ou IPv4 car les
interfaces réseau du Firewall peuvent disposer d'une adresse IPv6 fixe seule ou en
complément d'une adresse IPv4 (double pile). Les routes statiques et passerelles peuvent
désormais être renseignées en IPv6 ; de plus, le routage dynamique embarqué sur les Firewalls
Stormshield Network (Bird6) est également compatible.
Le mécanisme SLAAC (StateLess Address AutoConfiguration) est implémenté sur le Firewall
Stormshield Network afin de générer des Annonces Routeur (RA - Router Advertisements).
Celles-ci permettent l'auto-configuration des machines du réseau par la distribution des
préfixes IPv6 à utiliser. Ces annonces permettent également de communiquer des paramètres
DNS (Support du RDNSS - RFC 6106) et de définir le Firewall comme passerelle par défaut. Ce
mécanisme peut être complété par le service de serveur ou relai DCHPv6 du firewall, pour
bénéficier par exemple de la réservation d'adresses en IPv6.
Les objets réseau (machines, réseaux et plages d'adresses IP) peuvent être adressés en IPv6,
ou de manière hybride. Les politiques de filtrage sont ainsi applicables aux objets IPv6 et
peuvent faire appel à l'inspection de sécurité (profils d'inspection personnalisables). En
revanche, les fonctions d'inspections applicatives (Antivirus, Antispam et filtrages URL, SMTP,
FTP et SSL) ne sont pas disponibles dans cette version. De même, il n'est pas possible de
réaliser de la translation d'adresses (NAT) sur des objets IPv6.
NOTE
Pour chacune des interfaces définies en mode IPv6 et appartenant à un bridge, il est nécessaire
de désactiver l'option de routage sans analyse du protocole IPv6 (onglet configuration avancée
du module Réseau > Interfaces), afin d'autoriser le filtrage de ce trafic.
Les tunnels IPsec sont également compatibles IPv6 ; il est ainsi possible d'établir des tunnels
entre deux extrémités IPv6 et d'y faire transiter indifféremment des flux IPv4 ou IPv6.
Inversement, les flux IPv6 peuvent emprunter des tunnels IPsec IPv4.
60.1 Support IPv6
60.1.1 Détail des fonctionnalités supportées
Système
ACL
Un réseau interne IPv6 est automatiquement intégré au groupe « Network_internals ».
Configuration : NTP
Un firewall peut synchroniser son horloge avec un serveur de temps (serveur NTP) paramétré
en IPv6.
Serveur d'administration IPv4/IPv6
L'administration d'un firewall peut être réalisée indifféremment depuis une machine distante
adressée en IPv4 ou IPv6 (administration Web et connexions SSH). Pour ce faire, le serveur doit
Page 498/524
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
60. SUPPORT IPV6
Publicité
