Applications de politiques prédéfinies

Le fournisseur d’accès à Internet (FAI) America Online fournit des applications Internet, de chat et de messagerie instantanée.

Protocole de configuration dynamique de l’hôte.

Le protocole de configuration dynamique de l’hôte alloue les adresses réseau et fournit les paramètres de configuration du serveur aux hôtes.

Le système de noms de domaine traduit les noms de domaine en adresses IP.

Le protocole FTP (File Transfer Protocol) permet l’envoi et la réception de fichiers entre les machines. Vous pouvez choisir de refuser ou d’autoriser N’IMPORTE QUEL ou d’autoriser ou de refuser de manière sélective.

Nous vous recommandons de refuser les applications FTP provenant de sources non fiables (Internet).

Gopher organise et affiche le contenu des serveurs Internet sous la forme d'une liste de fichiers structurée hiérarchiquement.

Nous vous recommandons de refuser l’accès à Gopher pour éviter d’exposer la structure de votre réseau.

Le protocole de transfert hypertexte est le protocole sous-jacent utilisé par le World Wide Web (WWW).

Le refus de l’application HTTP empêche vos utilisateurs d’accéder à Internet.

L’autorisation de l’application HTTP permet à vos hôtes approuvés d’afficher Internet.

Protocole de transfert hypertexte avec ports étendus non standard

Le protocole SSL (Hypertext Transfer Protocol with Secure Sockets Layer) est un protocole de transmission de documents privés via Internet.

Si vous refusez le protocole HTTPS, vos utilisateurs ne peuvent plus faire d’achats sur Internet ni accéder à certaines ressources en ligne qui nécessitent un échange sécurisé de mots de passe.

L’autorisation du protocole HTTPS permet à vos hôtes de confiance de participer à l’échange de mots de passe, de faire des achats en ligne et de visiter diverses ressources en ligne protégées qui nécessitent une connexion utilisateur.

Le service de localisation Internet comprend LDAP, le service de localisation d’utilisateurs et LDAP sur TSL/SSL.

Internet Relay Chat (IRC) permet aux personnes connectées à Internet de rejoindre des discussions en direct.

Le protocole léger d’accès aux répertoires est un ensemble de protocoles utilisés pour accéder aux répertoires d’informations.

PC-Anywhere est un logiciel de contrôle à distance et de transfert de fichiers.

Le protocole TFTP (Trivial File transfer Protocol) est un protocole de transfert de fichiers simple.

Wide Area Information Server est un programme qui trouve des documents sur Internet.

Protocole EPM (Endpoint Mapper) d’appel de procédure à distance (RPC) Microsoft.

Toutes les applications d’appel de procédure à distance (RPC) Microsoft.

Le groupe d’applications Microsoft Exchange comprend :

• Junos-MS-RPC-MSEXCHANGE-BASE DE DONNÉES

• Junos-MS-RPC-MSEXCHANGE-DIRECTORY

• Junos-MS-RPC-MSEXCHANGE-INFO-STORE

Application de base de données Microsoft Exchange.

Application d’annuaire Microsoft Exchange.

Application de la banque d’informations Microsoft Exchange.

Application Microsoft Transmission Control Protocol (TCP).

Application UDP (Microsoft User Datagram Protocol).

Microsoft Structured Query Language (SQL).

Application Microsoft Network Messenger.

RIP est un protocole de routage à vecteur de distance courant.

OSPF est un protocole de routage à état de liaison commun.

BGP est un protocole de routage externe/interdomaine.

H.323 est une norme approuvée par l’Union internationale des télécommunications (UIT) qui définit la manière dont les données de conférence audiovisuelle sont transmises à travers les réseaux.

Microsoft NetMeeting utilise TCP pour fournir des applications de téléconférence (vidéo et audio) sur Internet.

Real Media est une technologie de streaming vidéo et audio.

Le protocole RTSP (Real-Time Streaming Protocol) est destiné aux applications de streaming multimédia

Le protocole SIP (Session Initiation Protocol) est un protocole de contrôle de la couche applicative permettant de créer, de modifier et de clôturer des sessions.

VDOLive est une technologie de streaming vidéo évolutive.

Protocole Sun RPC Portmapper

Toutes les applications Sun RPC

Sun RPC Mount Daemon

Système de fichiers réseau Sun RPC

Gestionnaire de verrous réseau Sun RPC

Sun RPC Remote Quota Daemon

Démon d’état distant Sun RPC

Démon utilisateur distant Sun RPC

Démon d’administration système Sun RPC

Sun RPC Spray Daemon

Statut du Sun RPC

Sun RPC Wall Daemon

Application de reliure de pages jaunes SUN RPC

Internet Key Exchange est le protocole qui établit une association de sécurité dans la suite de protocoles IPsec.

Le protocole IKE (Internet Key Protocol) est un protocole permettant d’obtenir du matériel de clé authentifié à utiliser avec ISAKMP.

IKE : la traduction d’adresses réseau (NAT) effectue un NAT de couche 3 pour le trafic IKE S2C.

L2TP combine PPTP avec le transfert de couche 2 (L2F) pour l’accès à distance.

Le protocole de tunnelisation point à point permet aux entreprises d’étendre leur propre réseau privé via des tunnels privés sur l’Internet public.

N’importe quelle application

Tout protocole utilisant le protocole TCP

Tout protocole utilisant le protocole UDP

Gnutella est un protocole de partage de fichiers du domaine public qui fonctionne sur un réseau distribué. Vous pouvez attribuer n’importe quel port, mais la valeur par défaut est 6346.

Microsoft Network Messenger est un utilitaire qui vous permet d’envoyer des messages instantanés et de parler en ligne.

Network News Transport Protocol est un protocole utilisé pour publier, distribuer et récupérer des messages USENET.

Server Message Block (SMB) over IP est un protocole qui vous permet de lire et d’écrire des fichiers sur un serveur sur un réseau.

Yahoo ! Messenger est un utilitaire qui vous permet de vérifier quand d’autres personnes sont en ligne, d’envoyer des messages instantanés et de parler en ligne.

L’application de nom NetBIOS affiche tous les paquets de noms NetBIOS envoyés sur le port UDP 137.

L’application NetBIOS Datagram, publiée par IBM, fournit des applications sans connexion (datagramme) aux PC connectés à un support de diffusion pour localiser les ressources, lancer des sessions et mettre fin à des sessions. Ce n’est pas fiable et les paquets ne sont pas séquencés.

Le système de fichiers réseau utilise UDP pour permettre aux utilisateurs du réseau d’accéder aux fichiers partagés stockés sur des ordinateurs de différents types. SUN RPC est un élément constitutif de NFS.

NS-Global est le protocole de gestion central pour les périphériques pare-feu/VPN de Juniper Networks.

NS Global-PRO est le système de surveillance évolutif pour la famille d’appareils pare-feu/VPN de Juniper Networks.

Responsable réseau et sécurité

Le protocole Network Time Protocol permet aux ordinateurs de se synchroniser avec une référence temporelle.

RLOGIN démarre une session de terminal sur un hôte distant.

RSH exécute une commande shell sur un hôte distant.

Le protocole de gestion de réseau simple est un ensemble de protocoles permettant de gérer des réseaux complexes.

SQL*Net Version 1 est un langage de base de données qui permet la création, l’accès, la modification et la protection des données.

SQL*Net Version 2 est un langage de base de données qui permet la création, l’accès, la modification et la protection des données.

Microsoft SQL est un outil de serveur de base de données propriétaire qui permet la création, l’accès, la modification et la protection des données.

SSH est un programme permettant de se connecter à un autre ordinateur sur un réseau par le biais d’une authentification forte et de communications sécurisées sur un canal non sécurisé.

Syslog est un programme UNIX qui envoie des messages à l’enregistreur système.

Talk est un programme de communication visuelle qui copie les lignes de votre terminal vers celui d’un autre utilisateur.

Telnet est un programme UNIX qui fournit une méthode standard d’interfaçage entre les périphériques terminaux et les processus orientés terminaux.

WinFrame est une technologie qui permet aux utilisateurs d’ordinateurs non Windows d’exécuter des applications Windows.

X-Windows est le système de fenêtrage et de graphisme sur lequel Motif et OpenLook sont basés.

Le protocole d’accès aux messages Internet est utilisé pour récupérer les messages.

Le protocole de transfert de courrier simple est utilisé pour envoyer des messages entre les serveurs.

Le protocole postal est utilisé pour récupérer les e-mails.

Finger est un programme UNIX qui fournit des informations sur les utilisateurs.

UNIX-to-UNIX Copy Protocol (UUCP) est un utilitaire UNIX qui permet de transférer des fichiers entre deux ordinateurs via une connexion série ou modem directe.

Character Generator Protocol est un outil de débogage et de mesure basé sur UDP ou TCP.

Le protocole Discard est un protocole de couche applicative qui décrit un processus de suppression des données TCP ou UDP envoyées au port 9.

Le protocole d’identification est un protocole de couche applicative TCP/IP utilisé pour l’authentification des clients TCP.

Le protocole Line Printer Daemon est un protocole basé sur TCP utilisé pour les applications d’impression.

L’application Remote Authentication Dial-In User Service est un programme serveur utilisé à des fins d’authentification et de comptabilité.

Un serveur de comptabilité RADIUS reçoit des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local.

Moniteur SQL (Microsoft)

Le Virtual Network Computing facilite l’affichage et l’interaction avec un autre ordinateur ou appareil mobile Juniper Networks connecté à Internet.

Network Directory Application Protocol est un moyen de rechercher des noms de domaine.

Le protocole SCCP (Cisco Station Call Control Protocol) utilise le port de contrôle de la connexion de signalisation pour assurer une haute disponibilité et un contrôle de flux.

ICMP-ANY affecte n’importe quel protocole utilisant ICMP.

Le refus d’ICMP-ANY nuit à toute tentative de pinging ou de surveillance d’un réseau à l’aide d’ICMP.

L’autorisation de ICMP-ANY autorise tous les messages ICMP.

La requête de masque d’adresse ICMP est utilisée pour les systèmes qui ont besoin du masque de sous-réseau local à partir d’un serveur d’amorçage.

Le refus de messages de demande de masque d’adresse ICMP peut affecter négativement les systèmes sans disque.

L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres personnes de prendre l’empreinte digitale du système d’exploitation d’un hôte de votre réseau.

Le message d’erreur ICMP destination inaccessible indique que l’hôte de destination est configuré pour rejeter les paquets.

Les codes 0, 1, 4 ou 5 peuvent provenir d’une passerelle. Les codes 2 ou 3 peuvent provenir d’un hôte (RFC 792).

Le refus des messages d’erreur indiquant la destination ICMP inaccessible peut supprimer l’hypothèse selon laquelle un hôte est opérationnel derrière un pare-feu SRX Series.

L’autorisation des messages d’erreur ICMP de destination inaccessible peut permettre de faire certaines hypothèses, telles que le filtrage de sécurité, sur le réseau.

Le message d'erreur de fragmentation ICMP indique que la fragmentation est nécessaire, mais l'indicateur Do Not Fragment (Ne pas fragmenter) est défini.

Nous vous recommandons de refuser ces messages d’Internet vers un réseau interne.

L’erreur Le temps de réassemblage des fragments ICMP dépassé indique qu’un hôte qui réassemble un message fragmenté a manqué de temps et a abandonné le paquet. Ce message est parfois envoyé.

Nous vous recommandons de refuser ces messages d’Internet (externe) vers le réseau de confiance (interne).

Les messages d’erreur ICMP hôte inaccessible indiquent que les entrées de la table de routage ne répertorient pas ou ne répertorient pas à l’infini un hôte particulier. Parfois, cette erreur est envoyée par des passerelles qui ne peuvent pas se fragmenter lors de la réception d’un paquet nécessitant une fragmentation.

Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé.

L’autorisation de ces messages permet à d’autres personnes de déterminer les adresses IP de vos hôtes internes par un processus d’élimination ou de faire des hypothèses sur les passerelles et la fragmentation.

Les messages de requête ICMP-INFO permettent aux systèmes hôtes sans disque d’interroger le réseau et de s’autoconfigurer.

Le refus de messages de demande de masque d’adresse ICMP peut affecter négativement les systèmes sans disque.

L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres utilisateurs de diffuser des requêtes d’informations sur un segment de réseau pour déterminer le type d’ordinateur.

Les messages d’erreur de problème de paramètre ICMP vous avertissent lorsque des paramètres d’en-tête incorrects sont présents et ont entraîné la suppression d’un paquet

Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé.

L’autorisation des messages d’erreur de problème de paramètre ICMP permet à d’autres utilisateurs de faire des hypothèses sur votre réseau.

Les messages d’erreur ICMP port unreachability indiquent que les passerelles traitant des datagrammes demandant certains ports ne sont pas disponibles ou ne sont pas prises en charge sur le réseau.

Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé.

L’autorisation des messages d’erreur ICMP port inaccessible peut permettre à d’autres utilisateurs de déterminer quels ports vous utilisez pour certains protocoles.

Les messages d’erreur ICMP protocol unreachable indiquent que les passerelles traitant des datagrammes demandant certains protocoles ne sont pas disponibles ou ne sont pas prises en charge sur le réseau.

Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé.

Si vous autorisez les messages d’erreur ICMP inaccessibles, vous pouvez permettre à d’autres utilisateurs de déterminer les protocoles exécutés par votre réseau.

Les messages d’erreur réseau de redirection ICMP sont envoyés par un pare-feu SRX Series.

Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé.

Les messages de redirection ICMP indiquent que les datagrammes destinés à l’hôte spécifié doivent être envoyés le long d’un autre chemin.

Le type de service de redirection ICMP (TOS) et l’erreur d’hôte sont un type de message.

Les conditions d’utilisation de redirection ICMP et l’erreur réseau sont un type de message.

Le message d’erreur de trempe de source ICMP indique qu’un périphérique ne dispose pas de l’espace tampon disponible pour accepter, mettre en file d’attente et envoyer les paquets au saut suivant.

Le refus de ces messages n’aidera ni ne nuira aux performances du réseau interne.

L’autorisation de ces messages peut permettre à d’autres personnes de savoir qu’un appareil est encombré, ce qui en fait une cible d’attaque viable.

Message d’erreur d’échec de la route source ICMP

Nous vous recommandons de refuser ces messages provenant d’Internet (externe).

Le message d'erreur de dépassement du temps de vie (TTL) ICMP indique que le paramètre TTL d'un paquet a atteint zéro avant que le paquet n'atteigne sa destination. Cela permet de s’assurer que les paquets plus anciens sont éliminés avant que ceux qui ne renvoient ne soient traités.

Nous vous recommandons de refuser ces messages d’un réseau de confiance vers Internet.

Les messages de requête ICMP-TIMESTAMP permettent de synchroniser l’heure et de coordonner la distribution de l’heure sur un réseau vaste et diversifié.

Ping est un utilitaire permettant de déterminer si un hôte spécifique est accessible par son adresse IP.

Refuser la fonctionnalité ping vous empêche de vérifier si un hôte est actif.

Autoriser ping peut permettre à d’autres personnes d’exécuter une attaque par déni de service (DoS) ou Schtroumpf.

Le message d’erreur Temps de réassemblage de l’écho de fragment ICMP a expiré indique que le temps de réassemblage a été dépassé.

Nous vous recommandons de refuser ces messages.

Traceroute est un utilitaire permettant d’indiquer le chemin d’accès à un hôte spécifique.

Nous vous recommandons de refuser cet utilitaire d’Internet (externe) à votre réseau de confiance (interne).