Ajouter une règle

Nom de la règle

Entrez un nom pour la nouvelle règle ou stratégie.

Description de la règle

Entrez une description pour la stratégie de sécurité.

Politique globale

Activez cette option pour spécifier que la stratégie définie est une stratégie globale et que les zones ne sont pas requises.

Source Zone

Pour ajouter des sources :

1. Cliquez sur +.

   La page Sélectionner les sources s’affiche.

2. Entrez les informations suivantes :

   • Zone : sélectionnez la zone source dans la liste à laquelle vous souhaitez associer la règle.

   • Adresses : sélectionnez une adresse ou Spécifique.

     Note:

     • À partir de Juons OS version 21.4R1, vous pouvez sélectionner les flux IP pour définir les critères de correspondance d’une stratégie. Vous pouvez également afficher le type de source (Adresse, Groupe d’adresses, caractère générique, Plage, flux IP) dans la nouvelle colonne Type.

     • Les flux ne s’affichent que si vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande request services security-intelligence download.

     Pour sélectionner une adresse ou un flux IP spécifique, sélectionnez les adresses ou les flux IP dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné. Vous pouvez sélectionner Exclure la sélection pour exclure uniquement l’adresse sélectionnée de la liste.

     Pour créer une nouvelle adresse, cliquez sur +. La page Créer une adresse s’affiche. Pour plus d’informations sur les champs, voir le tableau 2.

   • Identité source : sélectionnez l’identité de l’utilisateur dans la colonne Disponible, puis cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.

     Pour créer une identité source, cliquez sur +. Entrez un nouveau nom d’utilisateur ou une nouvelle identité dans la page Créer une identité source, puis cliquez sur OK.

   • Flux d’identité source : à partir de Juons OS version 21.4R1, vous pouvez sélectionner le flux de menaces d’identité utilisateur pour définir les critères de correspondance d’une stratégie.

     Sélectionnez le flux de menaces d’identité utilisateur dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.

     Le nombre maximal de flux de menaces d’identité utilisateur est de 1024. C’est-à-dire la somme du flux d’identité source et du flux d’identité de destination par stratégie.

     Note:

     Les flux ne s’affichent que si vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande request services security-intelligence download.

Destination Zone

Pour ajouter une destination :

1. Cliquez sur +.

   La page Sélectionner la destination s’affiche.

2. Entrez les informations suivantes :

   • Zone : sélectionnez la zone de destination dans la liste à laquelle vous souhaitez associer la règle.

   • Adresses : sélectionnez une adresse ou Spécifique.

     Note:

     • À partir de Juons OS version 21.4R1, vous pouvez sélectionner les flux IP pour définir les critères de correspondance d’une stratégie. Vous pouvez également afficher le type de source (Adresse, Groupe d’adresses, caractère générique, Plage, flux IP) dans la nouvelle colonne Type.

     • Les flux ne s’affichent que si vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande request services security-intelligence download.

     Pour sélectionner une adresse ou un flux IP spécifique, sélectionnez les adresses ou les flux IP dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné. Vous pouvez sélectionner Exclure la sélection pour exclure uniquement l’adresse sélectionnée de la liste.

     Pour créer une nouvelle adresse, cliquez sur +. Pour plus d’informations sur les champs, voir le tableau 2.

   • Applications dynamiques : sélectionnez Aucune, Spécifique ou Aucune.

     Note:

     L’option Applications dynamiques n’est pas prise en charge pour les locataires.

     Pour sélectionner une application spécifique, sélectionnez-la dans la colonne Disponible, puis cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.

     Note:

     La case à cocher Sélectionner tout n’est disponible que lorsque vous recherchez des applications dynamiques spécifiques.

     Pour créer une application, cliquez sur +. La page Créer une signature d’application s’affiche. Pour plus d’informations sur les champs, consultez Ajouter des signatures d’application.

     Note:

     Pour les systèmes logiques, vous ne pouvez pas créer une application dynamique en ligne.

   • Services : sélectionnez Aucun, Spécifique ou Aucun.

     Pour sélectionner un service spécifique, sélectionnez-le dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.

     Pour créer un service, cliquez sur +. La page Créer un service s’affiche. Pour plus d’informations sur les champs, voir le tableau 3.

   • Catégorie d’URL : sélectionnez Any, Specific ou Aucun pour correspondre aux critères d’une catégorie de filtrage Web.

     Pour sélectionner une catégorie d’URL spécifique, sélectionnez-la dans la colonne Disponible, puis cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.

     Note:

     Cette option n’est pas disponible pour les systèmes logiques et les locataires.

   • Flux d’identité de destination : à partir de Juons OS version 21.4R1, vous pouvez sélectionner le flux de menaces d’identité utilisateur pour définir les critères de correspondance d’une stratégie.

     Sélectionnez le flux de menaces d’identité utilisateur dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.

     Le nombre maximal de flux de menaces d’identité utilisateur est de 1024. C’est-à-dire la somme du flux d’identité source et du flux d’identité de destination par stratégie.

     Note:

     Les flux ne s’affichent que si vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande request services security-intelligence download.

Action

Sélectionnez une action à entreprendre lorsque le trafic correspond aux critères :

• Autoriser : autorise le passage des paquets à travers le pare-feu.

• Refuser (Deny) : bloque et supprime le paquet, mais ne renvoie pas de notification à la source.

• Rejeter (Reject) : bloque et supprime le paquet et envoie un avis à l’hôte source.

Cliquez sur +. La page Sélectionner les services avancés s’affiche.

Proxy SSL

Sélectionnez la stratégie de proxy SSL à associer à cette règle dans la liste.

UTM

Sélectionnez la stratégie UTM que vous souhaitez associer à cette règle dans la liste. La liste affiche toutes les stratégies UTM disponibles.

Si vous souhaitez créer une nouvelle stratégie UTM, cliquez sur Ajouter nouveau. La page Create UTM Policies (Créer des stratégies UTM) s’affiche. Pour plus d’informations sur la création d’une stratégie UTM, voir Ajouter une stratégie UTM.

Politique IPS

Sélectionnez la stratégie IPS dans la liste.

Politique de prévention des menaces

Sélectionnez la stratégie de prévention des menaces configurée dans la liste.

Profil de redirection ICAP

Sélectionnez le nom du profil de redirection ICAP configuré dans la liste.

IPsec VPN

Sélectionnez le tunnel VPN IPsec dans la liste.

Nom de la stratégie de paire

Entrez le nom de la stratégie avec le même VPN IPsec dans la direction opposée pour créer une stratégie de paire.

Profil QoS applicatif

Sélectionnez le profil AppQoS configuré dans la liste.

Si vous souhaitez créer un nouveau profil AppQoS, cliquez sur Ajouter nouveau. La page Ajouter un profil AppQoS s’affiche. Pour plus d’informations sur la création d’un profil AppQoS, consultez Ajouter un profil QoS d’application.

Profilage des menaces

À partir de Juons OS version 21.4R1, vous pouvez activer cette option pour générer des flux de profilage des menaces.

Vous pouvez ajouter des adresses source et de destination, ainsi que des identités source et destination aux flux de menaces. Une fois les flux générés, vous pouvez configurer d’autres stratégies de sécurité pour qu’elles les utilisent afin qu’elles correspondent au trafic désigné et effectuent des actions de stratégie.

• Ajouter l’adresse IP source au flux : sélectionnez le flux de menaces dans la liste pour l’ajouter à l’adresse IP source.

• Ajouter une identité source au flux : sélectionnez le flux de menaces dans la liste pour l’ajouter à l’identité de l’utilisateur source.

• Ajouter l’adresse IP de destination au flux : sélectionnez le flux de menaces dans la liste pour l’ajouter à l’adresse IP de destination.

• Ajouter une identité de destination au flux : sélectionnez le flux de menaces dans la liste pour l’ajouter à l’identité de l’utilisateur de destination.

Capture de paquets

Permet de capturer le trafic applicatif inconnu spécifique à une règle de stratégie de sécurité.

Par défaut, cette option est désactivée. Une fois activé, vous pouvez afficher les détails du fichier de capture de paquets (PCAP) ou télécharger le fichier PCAP sur la page Surveiller > consigner > sessions .

Cliquez sur Options de règle. La page SELECT RULE OPTIONS s’affiche.

Lancement de session

Activez cette option pour consigner un événement lors de la création d’une session.

Fermeture de la session

Activez cette option pour consigner un événement à la fermeture de la session.

Compter

Activez cette option pour collecter des statistiques sur le nombre de paquets, d’octets et de sessions qui traversent le pare-feu avec cette stratégie.

Spécifie les comptages statistiques. Une alarme se déclenche chaque fois que le trafic dépasse les seuils de paquets et d’octets spécifiés.

Envoi d’authentification dans JIMS

Activez cette option pour envoyer les entrées d’authentification de pare-feu, qui sont en état de réussite d’authentification, à Juniper Identity Management Server (JIMS). Cela permettra au pare-feu SRX Series d’interroger JIMS pour obtenir des informations sur le mappage IP/utilisateur et les équipements.

Ce n’est pas une option obligatoire. Vous pouvez le sélectionner lorsqu’au moins un domaine est configuré sur Active Directory local ou configurer la gestion des identités.

Type

Sélectionnez le type d’authentification du pare-feu dans la liste. Les options disponibles sont : Aucun, Pass-through, Pare-feu utilisateur et Authentification Web.

Accéder au profil

Sélectionnez un profil d’accès dans la liste.

Nom du client

Entrez le nom d’utilisateur du client ou le nom du groupe d’utilisateurs client.

Domaine

Sélectionnez un nom de domaine qui doit figurer dans un nom de client dans la liste.

Redirection Web (http)

Activez cette option pour rediriger les requêtes HTTP vers le serveur Web interne de l’appareil en envoyant une réponse HTTP de redirection au système client pour qu’il se reconnecte au serveur Web pour l’authentification de l’utilisateur.

Portail captif

Activez cette option pour rediriger une requête HTTP ou HTTPS client vers le serveur Web HTTPS interne de l’appareil. Les demandes du client HTTPS sont redirigées lorsque le profil de terminaison SSL est configuré.

Interface

Sélectionnez une interface pour le serveur Web où la requête HTTP ou HTTPS du client est redirigée.

Adresse IPv4

Entrez l’adresse IPv4 du serveur Web sur lequel la requête HTTP ou HTTPS du client est redirigée.

Profil de terminaison SSL

Sélectionnez un profil de terminaison SSL dans la liste qui contient les paramètres de connexion SSL terminée. La terminaison SSL est un processus dans lequel le périphérique SRX Series agit comme un serveur proxy SSL et met fin à la session SSL du client.

Pour ajouter un nouveau profil de terminaison SSL :

1. Cliquez sur Ajouter.

   La page Create SSL Termination Profile (Créer un profil de terminaison SSL) s’affiche.

2. Entrez les informations suivantes :

   • Nom : entrez le nom du profil de terminaison SSL ; 63 caractères maximum.

   • Certificat de serveur : sélectionnez un certificat de serveur dans la liste utilisée pour authentifier l’identité du serveur.

     Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, consultez Ajouter un certificat d’appareil.

     Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’appareil, voir Importer un certificat d’appareil.

Navigateur d’authentification uniquement

Activez cette option pour supprimer le trafic HTTP hors navigateur afin de permettre la présentation du portail captif aux utilisateurs non authentifiés qui demandent l’accès à l’aide d’un navigateur.

Agents utilisateurs

Entrez une valeur user-agent qui est utilisée pour vérifier que le trafic du navigateur de l’utilisateur est du trafic HTTP/HTTPS.

Traduction des adresses de destination

Sélectionnez l’action à effectuer sur une traduction d’adresse de destination dans la liste. Les options disponibles sont : Aucun, Drop Translated et Drop Untraduit.

Options de redirection

Sélectionnez une action de redirection dans la liste. Les options disponibles sont : Aucun, Redirection Wx et Redirection inverse Wx.

Vérification du numéro de séquence

Activez ou désactivez la vérification des numéros de séquence dans les segments TCP lors d’inspections dynamiques au niveau des règles de stratégie. Par défaut, la vérification s’effectue au niveau global. Pour éviter tout échec de validation, désactivez la vérification du numéro de séquence sous Options globales > Flux > Session TCP.

Vérification du drapeau SYN

Activez ou désactivez la vérification du bit TCP SYN avant de créer une session au niveau des règles de stratégie. Par défaut, la vérification s’effectue au niveau global. Pour éviter l’échec de la validation, désactivez la vérification de l’indicateur SYN sous Options globales > Flux > Session TCP.

Horaire

Cliquez sur Planifier et sélectionnez l’une des planifications configurées dans la liste.

Pour ajouter une nouvelle planification, cliquez sur Ajouter une nouvelle planification. La page Ajouter une nouvelle planification s’affiche. Pour plus d’informations sur la création d’une nouvelle planification, voir le tableau 4.

Nom

Entrez un nom pour l’adresse. Le nom doit être une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des deux-points, des points, des tirets et des traits de soulignement ; pas d’espaces autorisés ; 63 caractères maximum.

Type d’adresse IP

Sélectionnez IPv4 ou IPv6.

Adresse IPv4

Entrez une adresse IPv4 valide.

Sous-réseau

Entrez un masque de sous-réseau pour l’adresse IPv4.

Adresse IPv6

Entrez une adresse IPv6 valide.

Préfixe de sous-réseau

Entrez un préfixe de sous-réseau pour l’adresse IPv6.

Nom

Entrez un nom unique pour l’application.

Description

Entrez la description de l’application.

Protocole d’application

Sélectionnez une option dans la liste pour le protocole d’application.

Correspondance du protocole IP

Sélectionnez une option dans la liste pour correspondre au protocole IP.

Port source

Sélectionnez une option dans la liste pour le port source.

Port de destination

Sélectionnez une option dans la liste pour le port de destination.

Type ICMP

Sélectionnez une option dans la liste pour le type de message ICMP.

Code ICMP

Sélectionnez une option dans la liste pour le code de message ICMP.

Numéros de programme RPC

Entrez une valeur pour les numéros de programme RPC.

Le format de la valeur doit être W ou X-Y. Où W, X et Y sont des entiers compris entre 0 et 65535.

Délai d’inactivité

Sélectionnez une option dans la liste pour le délai d’inactivité spécifique à l’application.

UUID

Entrez une valeur pour les objets RPC DCE.

Groupe d’applications personnalisé

Sélectionnez un nom d’ensemble d’applications dans la liste.

Cliquez sur +. La page Créer un terme s’affiche.

Nom

Entrez un nom pour le terme.

ALG

Sélectionnez une option dans la liste pour ALG.

Correspondance du protocole IP

Sélectionnez une option dans la liste pour correspondre au protocole IP.

Port source

Sélectionnez une option dans la liste pour le port source.

Port de destination

Sélectionnez une option dans la liste pour le port de destination.

Type ICMP

Sélectionnez une option dans la liste pour le type de message ICMP.

Code ICMP

Sélectionnez une option dans la liste pour le code de message ICMP.

Numéros de programme RPC

Entrez une valeur pour les numéros de programme RPC.

Délai d’inactivité

Sélectionnez une option dans la liste pour le délai d’inactivité spécifique à l’application.

UUID

Entrez une valeur pour les objets RPC DCE.

Nom

Entrez le nom de la planification.

Description

Entrez une description pour la planification.

Répète

Sélectionnez une option dans la liste pour répéter la planification :

• Jamais

• Quotidienne

• Hebdomadaire

Toute la journée

Activez cette option pour planifier un événement sur une journée entière.

Cette option n’est disponible que pour la planification de type Jamais et Répétition quotidienne.

Date de début

Sélectionnez la date de début de la planification au format AAAA-MM-JJ.

Cette option n’est disponible que pour la planification de type Ne jamais répéter.

Date d’arrêt

Sélectionnez la date d’arrêt de la planification au format AAAA-MM-JJ.

Cette option n’est disponible que pour la planification de type Ne jamais répéter.

Heure de début

Entrez l’heure de début de la planification au format HH :MM :SS 24 heures.

Cette option n’est disponible que pour la planification de type répétition quotidienne.

Temps d’arrêt

Entrez l’heure de fin de l’horaire au format HH :MM :SS 24 heures.

Cette option n’est disponible que pour la planification de type répétition quotidienne.

Répétez le

Sélectionnez les jours et l’heure auxquels vous souhaitez répéter la planification.

Pour définir l’heure du ou des jours sélectionnés :

1. Cliquez sur Définir l’heure ou Définir l’heure sur les jours sélectionnés.

   La page Définir l’heure sur les jours sélectionnés s’affiche.

2. Entrez les informations suivantes :

   • Nom : affiche le(s) jour(s) sélectionné(s).

   • Toute la journée : activez cette option pour que l’événement se déroule toute la journée.

   • Heure de début : entrez l’heure de début au format HH :MM :SS 24 heures.

   • Heure d’arrêt : entrez l’heure d’arrêt au format HH :MM :SS 24 heures.

3. Cliquez sur OK pour enregistrer les modifications.

Cette option est disponible uniquement pour la planification hebdomadaire de type de répétition.

Critères d’horaire

Sélectionnez l’une des options suivantes :

• La planification ne s’arrête jamais : la planification peut être active pour toujours (périodique), mais uniquement selon les spécifications de la planification quotidienne ou hebdomadaire.

• Planifier la fenêtre Spécifier : la planification peut être active pendant un seul créneau horaire, comme spécifié par une date de début et une date de fin.

  Entrez les informations suivantes :

  • Début de la planification : entrez la date de début de la planification au format AAAA-MM-JJ.

  • Fin de la planification : entrez la date de début de la planification au format AAAA-MM-JJ.

Cette option est disponible uniquement pour la planification de type répétition quotidienne et hebdomadaire.