Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de pare-feu dynamiques pour les services de nouvelle génération

Pour configurer des pare-feu dynamiques, vous devez configurer des règles de pare-feu dynamiques et appliquer ces règles à un ensemble de services. Vous pouvez également configurer des ensembles de règles de pare-feu dynamiques, qui contiennent un ensemble de règles de pare-feu dynamiques.

Configuration de règles de pare-feu dynamiques pour les services de nouvelle génération

Une règle de pare-feu dynamique spécifie quel trafic est traité et quelle action appliquer au trafic.

Pour configurer une règle de pare-feu dynamique :

  1. Configurez un nom pour la règle de pare-feu dynamique.
  2. Spécifiez le sens de flux de trafic auquel s’applique la règle de pare-feu dynamique.

    Si vous configurez input-output, la règle s’applique aux sessions lancées dans l’une ou l’autre direction.

    Si cette règle de pare-feu dynamique est appliquée à un ensemble de services de type interface, la direction est déterminée par l’entrée ou la sortie d’un paquet de l’interface sur laquelle l’ensemble de services est appliqué. Si cette règle de pare-feu dynamique est appliquée à un ensemble de services de saut suivant, la direction est entrée si l’interface interne est utilisée pour acheminer le paquet, et la direction est sortie si l’interface externe est utilisée pour acheminer le package.

  3. Configurez un nom pour une stratégie.

    Vous pouvez configurer plusieurs stratégies pour une règle de pare-feu dynamique. Chaque stratégie identifie les conditions de correspondance d’un flux et indique s’il faut l’autoriser ou non. Une fois qu’une stratégie de la règle correspond à un paquet, cette stratégie est appliquée et aucune autre stratégie de la règle n’est traitée.

  4. Spécifiez l’adresse de destination des flux auxquels la stratégie s’applique.

    Vous pouvez également spécifier un address-book sous la services hiérarchie de configuration à utiliser à cette étape.

    L’adresse de destination peut être IPv4 ou IPv6.

  5. Spécifiez l’adresse de destination des flux auxquels la stratégie ne s’applique pas.

    L’adresse de destination peut être IPv4 ou IPv6.

  6. Spécifiez l’adresse source des flux auxquels la stratégie s’applique.

    Vous pouvez également spécifier un address-book sous la services hiérarchie de configuration à utiliser à cette étape.

    L’adresse source peut être IPv4 ou IPv6.

  7. Spécifiez l’adresse source des flux auxquels la stratégie ne s’applique pas.

    L’adresse source peut être IPv4 ou IPv6.

  8. Spécifiez un ou plusieurs protocoles d’application auxquels la stratégie s’applique.

    Utilisez une définition de protocole d’application que vous avez configurée au niveau de la [edit applications] hiérarchie.

  9. Spécifiez une action effectuée par la stratégie.

    où:

    count

    Permet de compter, en octets ou en kilo-octets, l’ensemble du trafic réseau autorisé par la stratégie.

    deny

    Lâchez les paquets.
    permit

    Acceptez les paquets et envoyez-les à leur destination.
    reject

    Lâchez les paquets. Pour le trafic TCP, envoyez un segment TCP reset (RST) à l’hôte source. Pour le trafic UDP, envoyez un message ICMP destination unreachable, port unreachable (type 3, code 3) à l’hôte source.

Configuration d’ensembles de règles de pare-feu dynamiques pour les services de nouvelle génération

Un ensemble de règles de pare-feu dynamique vous permet de spécifier un ensemble de règles de pare-feu dynamiques, qui sont traitées dans l’ordre dans lequel elles apparaissent dans la configuration de l’ensemble de règles. Une fois qu’une règle de pare-feu dynamique dans l’ensemble de règles correspond à un paquet, cette règle est appliquée et aucune autre règle de l’ensemble de règles n’est traitée ̇.

Pour configurer un ensemble de règles de pare-feu dynamique :

  1. Configurez un nom pour l’ensemble de règles de pare-feu dynamique.
  2. Spécifiez les règles de pare-feu dynamiques qui appartiennent à l’ensemble de règles.

Configuration de l’ensemble de services pour les pare-feu dynamiques pour les services de nouvelle génération

Les règles de pare-feu dynamiques doivent être affectées à un ensemble de services avant de pouvoir être appliquées au trafic.

Pour configurer un ensemble de services afin d’appliquer des règles de pare-feu dynamiques :

  1. Définissez l’ensemble de services.
  2. Configurez soit un ensemble de services d’interface, qui nécessite une interface de service unique, soit un ensemble de services de saut suivant, qui nécessite une interface de service interne et externe.

    ou

  3. Spécifiez les règles de pare-feu dynamiques à utiliser avec l’ensemble de services. Vous pouvez spécifier des règles individuelles ou des ensembles de règles, mais pas les deux.

    Pour appliquer des règles de pare-feu dynamiques individuelles :

    Pour appliquer des ensembles de règles de pare-feu dynamiques :

    L’ensemble de services traite les règles de pare-feu dynamiques ou les ensembles de règles dans l’ordre dans lequel ils apparaissent dans la configuration de l’ensemble de services.