Ajouter un écran

Vous êtes ici : Stratégies de sécurité et objets > Zones/Écrans.

Pour ajouter un écran :

Cliquez sur l’icône d’ajout (+) en haut à droite de la page Liste des écrans.

La page Ajouter un écran s’affiche.
Complétez la configuration en suivant les instructions fournies dans le tableau 1.
Cliquez sur OK pour enregistrer les modifications. Si vous souhaitez annuler vos modifications, cliquez sur Annuler.

Le tableau 1 décrit les champs de la page Ajouter un écran.

Tableau 1 : Champs de la page Ajouter un écran
Champ	Action
Principal
Nom d’écran	Entrez un nom pour l’objet écran.
Description de l’écran	Entrez une description pour l’objet écran.
Générez des alarmes sans perte de paquets	Cochez la case pour activer cette fonctionnalité.
usurpation d'adresse IP	Cochez la case pour activer cette fonctionnalité. Indique que vous pouvez activer l’usurpation d’adresse IP. L’usurpation d’adresse IP se produit lorsqu’une fausse adresse source est insérée dans l’en-tête du paquet pour faire croire que le paquet provient d’une source fiable.
Balayage IP	Cochez la case pour activer cette fonctionnalité. Spécifie le nombre de balayages d’adresses ICMP. Un balayage d’adresse IP peut se produire dans le but de déclencher des réponses de la part d’hôtes actifs.
Seuil	Entrez l’intervalle de temps pour un balayage IP. Note: Si un hôte distant envoie du trafic ICMP à 10 adresses au cours de cet intervalle, une attaque par balayage d’adresse IP est signalée et les autres paquets ICMP provenant de l’hôte distant sont rejetés. Plage : 1000 à 1000000 microsecondes. La valeur par défaut est de 5000 microsecondes.
Analyse des ports	Cochez la case pour activer cette fonctionnalité. Spécifie le nombre d’analyses de ports TCP. Le but de cette attaque est d’analyser les services disponibles dans l’espoir qu’au moins un port réponde, identifiant ainsi un service à cibler.
Seuil	Entrez l’intervalle de temps pour une analyse de port TCP. Note: Si un hôte distant analyse 10 ports au cours de cet intervalle, une attaque d’analyse des ports est signalée et les autres paquets provenant de l’hôte distant sont rejetés. Plage : 1000 à 1000000 microsecondes. La valeur par défaut est de 5000 microsecondes.
MS-Windows Défense	Protection contre les attaques WinNuke : cochez la case pour activer cette fonctionnalité. Note: WinNuke est une attaque DoS ciblant n’importe quel ordinateur sur Internet exécutant le système d’exploitation Windows.
Vérification IPv6	Saisissez les informations suivantes : IPv6 mal formé : activez cette case pour activer l’option IPv6 de service de détection d’intrusion (IDS) d’en-tête mal formé. ICMPv6 mal formé : cochez cette case pour activer l’option IDS mal formé ICMPv6.
Déni de service
Protection contre les attaques terrestres	Cochez la case pour activer cette fonctionnalité. Note: Les attaques terrestres se produisent lorsqu’un attaquant envoie des paquets SYN usurpés contenant l’adresse IP de la victime à la fois comme adresse IP de destination et comme adresse IP source.
Protection contre les attaques en forme de goutte d’eau	Cochez la case pour activer cette fonctionnalité. Note: Les attaques en goutte-d’eau exploitent le réassemblage de paquets IP fragmentés.
Protection des fragments ICMP	Cochez la case pour activer cette fonctionnalité. Note: Les paquets ICMP contiennent des messages très courts. Il n’y a aucune raison légitime pour que les paquets ICMP soient fragmentés.
Ping de la protection contre les attaques mortelles	Cochez la case pour activer cette fonctionnalité. Note: Un ping de la mort se produit lorsque des paquets IP sont envoyés qui dépassent la longueur maximale légale (65 535 octets).
Protection des paquets ICMP de grande taille	Cochez la case pour activer cette fonctionnalité.
Bloquer le trafic fragmenté	Cochez la case pour activer cette fonctionnalité.
Protection par proxy SYN-ACK-ACK	Cochez la case pour activer cette fonctionnalité.
Seuil	Entrez la valeur seuil pour la protection par proxy SYN-ACK-ACK. Note: La plage est de 1 à 250000 sessions. La valeur par défaut est 512 sessions.
Anomalies
IP	Saisissez les informations suivantes : Option Mauvais : cochez la case pour spécifier le nombre de compteurs d’options incorrectes. Security (Sécurité) : cochez la case pour activer la méthode d’envoi de la sécurité par les hôtes. Protocole inconnu : cochez la case pour activer l’option Adresse IP avec sécurité. Strict source route (Route source stricte) : cochez la case pour activer la liste complète des routes d’un paquet qui entreprendra son voyage de la source à la destination. Route source : cochez la case pour activer cette fonctionnalité. Spécifie le nombre d’adresses IP des périphériques définis à la source qu’une transmission IP est autorisée à prendre pour se rendre à sa destination. Horodatage : cochez la case pour activer l’heure enregistrée (en UTC) lorsque chaque périphérique réseau reçoit le paquet au cours de son trajet du point d’origine à sa destination. Stream (Flux) : cochez la case pour activer une méthode permettant à l’identificateur de flux SATNET 16 bits d’être acheminé sur des réseaux qui ne prennent pas en charge la diffusion en continu. Loose source route (Route source libre) : cochez la case pour activer une liste de routes partielle pour un paquet qui entreprendra son voyage de la source à la destination. Route d’enregistrement : cochez la case pour activer l’enregistrement des adresses IP des périphériques réseau le long du chemin emprunté par le paquet IP.
TCP	Saisissez les informations suivantes : SYN Fragment Protection : cochez la case pour activer le nombre de fragments SYN TCP. SYN and FIN Flags Set Protection (Définir la protection) : cochez la case pour activer le nombre d’indicateurs TCP SYN et FIN. Note: Lorsque vous activez cette option, Junos OS vérifie si les indicateurs SYN et FIN sont définis dans les en-têtes TCP. S’il découvre un tel en-tête, il abandonne le paquet. FIN Flag Without ACK Flag Set Protection (Indicateur FIN sans protection du jeu d’indicateurs ACK) : cochez la case pour activer le nombre d’indicateurs FIN TCP définis sans indicateur ACK. TCP Packet Without Flag Set Protection (Protection des paquets TCP sans indicateur d’indicateur) : cochez la case pour activer le nombre d’en-têtes TCP sans indicateur défini. Note: Un en-tête de segment TCP normal a au moins un jeu de contrôle d’indicateur.
Défense contre les inondations
Limiter les sessions provenant d’une même source	Entrez la plage dans laquelle les sessions sont limitées à partir de la même adresse IP source. Plage : 1 à 50000 séances.
Limiter les sessions à partir d’une même destination	Entrez la plage dans laquelle les sessions sont limitées à partir de la même adresse IP de destination. La plage va de 1 à 50000 séances. Plage : 1 à 8000000 sessions par seconde. La valeur par défaut est de 128 sessions.
Protection contre les inondations ICMP	Cochez la case pour activer le compteur d’inondation ICMP (Internet Control Message Protocol). Note: Un flood ICMP se produit généralement lorsque les demandes d’écho ICMP utilisent toutes les ressources pour répondre, de sorte que le trafic réseau valide ne peut plus être traité.
Seuil	Entrez la valeur seuil pour la protection contre les inondations ICMP. Note: Plage : 1 à 4000000 pps ICMP.
Protection contre les inondations UDP	Cochez la case pour activer le compteur d’inondation UDP (User Datagram Protocol). Note: Le flooding UDP se produit lorsqu’un attaquant envoie des paquets IP contenant des datagrammes UDP aux ressources système lentes, de sorte que les connexions valides ne peuvent plus être gérées.
Seuil	Entrez la valeur seuil pour la protection contre les inondations UDP. Note: Plage : 1 à 100000 session. La valeur par défaut est de 1000 sessions.
Liste d’autorisation UDP	Cliquez sur Sélectionner. La fenêtre Liste d’autorisation UDP s’affiche. Cliquez sur + pour ajouter les adresses IP que vous souhaitez ajouter à la liste d’autorisation. La fenêtre Ajouter une liste d’autorisation s’affiche. Saisissez les informations suivantes : Name (Nom) : entrez un nom pour identifier le groupe d’adresses IP. IPv4/IPv6 Address (Adresse IPv4/IPv6) : saisissez une adresse IPv4 ou IPv6. Adresse(s) IPv4/IPv6 : répertorie l’adresse que vous avez entrée. Note: Vous pouvez sélectionner l’adresse IP et cliquer sur X pour la supprimer. Cliquez sur OK pour enregistrer les modifications. Sélectionnez le nom de la liste d’autorisation dans la page Liste d’autorisation UDP que vous avez associé au groupe d’adresses IP que vous avez entré dans la fenêtre Ajouter une liste d’autorisation dans la colonne Disponible et déplacez-le vers la colonne Sélectionné à l’aide de la flèche vers la droite. Cliquez sur OK pour enregistrer les modifications. Note: L’option Liste d’autorisation UDP n’est activée que si vous sélectionnez Protection contre les inondations UDP. La liste d’autorisation que vous avez créée dans la fenêtre Liste d’autorisation UDP sera également disponible dans la fenêtre Liste d’autorisation TCP pour la sélection. Pour modifier une liste d’autorisation dans la page Liste d’autorisation UDP, sélectionnez le nom de la liste d’autorisation et cliquez sur l’icône en forme de crayon. Pour supprimer une liste d’autorisation dans la page Liste d’autorisation UDP, sélectionnez le nom de la liste d’autorisation et cliquez sur l’icône de suppression.
Protection contre les inondations SYN	Cochez la case pour activer toutes les options de seuil et de délai d’attente. Spécifie que le SYN flooding se produit lorsqu’un hôte est tellement submergé par des segments SYN qui initient des demandes de connexion incomplètes qu’il ne peut plus traiter les demandes de connexion légitimes.
Liste d’autorisation TCP	Cliquez sur Sélectionner. La fenêtre Liste d’autorisation TCP s’affiche. Cliquez sur + pour ajouter les adresses IP que vous souhaitez autoriser. La fenêtre Ajouter une liste d’autorisation s’affiche. Saisissez les informations suivantes : Name (Nom) : entrez un nom pour identifier le groupe d’adresses IP. IPv4/IPv6 Address (Adresse IPv4/IPv6) : saisissez une adresse IPv4 ou IPv6. Adresse(s) IPv4/IPv6 : répertorie l’adresse que vous avez entrée. Note: Vous pouvez sélectionner l’adresse IP et cliquer sur X pour la supprimer. Cliquez sur OK pour enregistrer les modifications. Sélectionnez le nom de la liste d’autorisation dans la page Liste d’autorisation TCP que vous avez associé au groupe d’adresses IP que vous avez entré dans la fenêtre Ajouter une liste d’autorisation dans la colonne Disponible et déplacez-le vers la colonne Sélectionné à l’aide de la flèche vers la droite. Cliquez sur OK pour enregistrer les modifications. Note: L’option Liste d’autorisation TCP n’est activée que si vous sélectionnez Protection contre les inondations SYN. La liste d’autorisation que vous avez créée dans la fenêtre de liste d’autorisation TCP sera également disponible dans la fenêtre Liste d’autorisation UDP pour la sélection. Pour modifier une liste d’autorisation dans la page Liste d’autorisation TCP, sélectionnez le nom de la liste d’autorisation et cliquez sur l’icône en forme de crayon. Pour supprimer une liste d’autorisation dans la page Liste d’autorisation TCP, sélectionnez le nom de la liste d’autorisation et cliquez sur l’icône de suppression.
Seuil d’attaque	Entrez une valeur pour spécifier le nombre de paquets SYN par seconde requis pour déclencher le mécanisme de proxy SYN. Note: Plage : 1 à 1000000 requêtes proxy par seconde. La valeur par défaut du seuil d’attaque est de 625 pps.
Seuil d’alarme	Entrez une valeur pour spécifier le nombre de connexions proxy semi-complètes par seconde auxquelles l’appareil effectue des entrées dans le journal des alarmes d’événements. Note: Plage : 1 à 1000000 segments par seconde. La valeur seuil d’alarme par défaut est de 250 pps.
Seuil source	Entrez une valeur pour spécifier le nombre de segments SYN reçus par seconde à partir d’une seule adresse IP source (indépendamment de l’adresse IP de destination et du numéro de port), avant que l’équipement ne commence à abandonner les demandes de connexion à partir de cette source. Note: Plage : 4 à 1000000 segments par seconde. La valeur de seuil source par défaut est de 25 pps.
Seuil de destination	Entrez une valeur pour spécifier le nombre de segments SYN reçus par seconde pour une seule adresse IP de destination avant que l’appareil ne commence à abandonner les demandes de connexion vers cette destination. Si un hôte protégé exécute plusieurs services, vous pouvez définir un seuil basé uniquement sur l’adresse IP de destination, quel que soit le numéro de port de destination. Note: Plage : 4 à 1000000 segments par seconde. La valeur de seuil de destination par défaut est de 0 pps.
Délai d’attente	Entrez une valeur pour spécifier la durée maximale avant qu’une connexion à moitié terminée ne soit supprimée de la file d’attente. Vous pouvez diminuer la valeur du délai d’expiration jusqu’à ce que vous constatiez une perte de connexion dans des conditions de trafic normales. Autonomie : 1 à 50 secondes. La valeur par défaut est de 20 secondes. Note: 20 secondes est une durée raisonnable pour mettre en attente les demandes de connexion incomplètes.
En-tête EXT IPv6
Type d’en-tête prédéfini	Configurez les options d’écran suivantes : En-tête Hop-by-Hop : sélectionnez une option dans la liste, entrez la valeur et cliquez sur + pour l’ajouter. Pour supprimer, sélectionnez un ou plusieurs en-têtes et cliquez sur X. En-tête de destination : sélectionnez une option dans la liste, entrez la valeur et cliquez sur + pour l’ajouter. Pour supprimer, sélectionnez un ou plusieurs en-têtes et cliquez sur X.
En-tête de routage	Cochez la case pour activer l’option d’écran d’en-tête de routage IPv6.
En-tête ESP	Cochez la case pour activer l’option d’écran d’en-tête de la charge utile de sécurité d’encapsulation IPv6.
En-tête No-Next	Cochez la case pour activer l’option IPv6 pas d’écran d’en-tête suivant.
En-tête de mobilité	Cochez la case pour activer l’option d’écran d’en-tête de mobilité IPv6.
En-tête de fragment	Cochez la case pour activer l’option d’écran d’en-tête de fragment IPv6.
En-tête AH	Cochez la case pour activer l’option d’écran En-tête d’authentification IPv6.
En-tête Shim6	Cochez la case pour activer l’option d’écran d’en-tête de cale IPv6.
En-tête HIP	Cochez la case pour activer l’option d’écran d’en-tête IPv6 Host Identify Protocol.
Type d’en-tête défini par le client	Entrez une valeur pour définir le type de plage d’en-tête et cliquez sur + pour l’ajouter. Plage : 0 à 255. Pour supprimer, sélectionnez un ou plusieurs types d’en-tête et cliquez sur X.
Limite d’en-tête ext IPv6	Entrez une valeur pour définir le nombre d’en-têtes d’extension IPv6 pouvant passer par l’écran. Plage : 0 à 32.
Appliquer aux zones
Appliquer aux zones	Sélectionnez des zones dans la colonne Disponible et déplacez-les vers la colonne Sélectionné à l’aide de la flèche vers la droite.

Ajouter un écran

Documentation connexe