Ajouter une règle à une stratégie de sécurité

Nom de la règle

Saisissez un nom pour la nouvelle règle ou stratégie.

Description de la règle

Saisissez une description de la stratégie de sécurité.

Politique globale

Activez cette option pour spécifier que la stratégie définie est une stratégie globale et que les zones ne sont pas requises.

Source Zone

Pour ajouter des sources :

1. Cliquez sur +.

   La page Sélectionner les sources s’affiche.

2. Saisissez les détails suivants :

   • Zone : sélectionnez la zone source dans la liste à laquelle vous souhaitez associer la règle.

   • Adresses : sélectionnez une ou une adresse spécifique.

     Note:

     • Vous pouvez sélectionner les flux IP pour définir les critères de correspondance d’une stratégie. Vous pouvez également afficher le type de source (adresse, groupe d’adresses, carte générique, plage, flux IP) dans la nouvelle colonne Type.

     • Les flux ne s’affichent que si vous vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande, request services security-intelligence download.

     Pour sélectionner une adresse ou un flux IP spécifique, sélectionnez les adresses ou les flux IP dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionnée. Vous pouvez sélectionner Exclure la sélection pour exclure uniquement l’adresse sélectionnée de la liste.

     Pour créer une nouvelle adresse, cliquez sur +. La page Créer une adresse s’affiche. Pour plus d’informations sur les champs, voir le tableau 2.

   • Identité de la source : sélectionnez l’identité de l’utilisateur dans la colonne Disponible, puis cliquez sur la flèche de droite pour la déplacer vers la colonne Sélectionnée.

     Pour créer une identité source, cliquez sur +. Saisissez un nouveau nom d’utilisateur ou une nouvelle identité dans la page Créer une identité source, puis cliquez sur OK.

   • Flux d’identité source : vous pouvez sélectionner le flux d’identité utilisateur pour définir les critères de correspondance d’une stratégie.

     Sélectionnez le flux de menaces d’identité utilisateur dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.

     Le nombre maximal de flux de menaces sur l’identité des utilisateurs est de 1024. C’est-à-dire la somme du flux d’identité source et du flux d’identité de destination par stratégie.

     Note:

     Les flux ne s’affichent que si vous vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande, request services security-intelligence download.

Destination Zone

Pour ajouter une destination :

1. Cliquez sur +.

   La page Sélectionner la destination s’affiche.

2. Saisissez les détails suivants :

   • Zone : sélectionnez la zone de destination dans la liste à laquelle vous souhaitez associer la règle.

   • Adresses : sélectionnez une ou une adresse spécifique.

     Note:

     • Vous pouvez sélectionner les flux IP pour définir les critères de correspondance d’une stratégie. Vous pouvez également afficher le type de source (adresse, groupe d’adresses, carte générique, plage, flux IP) dans la nouvelle colonne Type.

     • Les flux ne s’affichent que si vous vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande, request services security-intelligence download.

     Pour sélectionner une adresse ou un flux IP spécifique, sélectionnez les adresses ou les flux IP dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionnée. Vous pouvez sélectionner Exclure la sélection pour exclure uniquement l’adresse sélectionnée de la liste.

     Pour créer une nouvelle adresse, cliquez sur +. Pour plus d’informations sur les champs, voir le tableau 2.

   • Applications dynamiques : sélectionnez n’importe quelle application, spécifique ou aucune.

     Note:

     L’option Applications dynamiques n’est pas prise en charge pour les locataires.

     Pour sélectionner une application spécifique, sélectionnez l’application dans la colonne Disponible, puis cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionnée.

     Note:

     La case à cocher Select all est uniquement disponible lorsque vous recherchez des applications dynamiques spécifiques.

     Pour créer une nouvelle application, cliquez sur +. La page Créer une signature d’application s’affiche. Pour plus d’informations sur les champs, voir Ajouter des signatures d’application.

     Note:

     Pour les systèmes logiques, il est impossible de créer une application dynamique en ligne.

   • Services : sélectionnez n’importe quel, spécifique ou aucun.

     Pour sélectionner un service spécifique, sélectionnez le service dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.

     Pour créer un nouveau service, cliquez sur +. La page Créer un service s’affiche. Pour plus d’informations sur les champs, voir le tableau 3.

   • Catégorie d’URL : sélectionnez un, Spécifique ou Aucune pour correspondre aux critères d’une catégorie de filtrage Web.

     Pour sélectionner une catégorie d’URL spécifique, sélectionnez la catégorie URL dans la colonne Disponible, puis cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionnée.

     Note:

     Cette option n’est pas disponible pour les systèmes logiques et les locataires.

   • Flux d’identité de destination : vous pouvez sélectionner le flux d’identité des utilisateurs pour définir les critères de correspondance d’une stratégie.

     Sélectionnez le flux de menaces d’identité utilisateur dans la colonne Disponible, puis cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.

     Le nombre maximal de flux de menaces sur l’identité des utilisateurs est de 1024. C’est-à-dire la somme du flux d’identité source et du flux d’identité de destination par stratégie.

     Note:

     Les flux ne s’affichent que si vous vous êtes inscrit à Juniper ATP Cloud. Vous pouvez également télécharger les flux à l’aide de la commande, request services security-intelligence download.

Action

Sélectionnez une action à effectuer lorsque le trafic correspond aux critères :

• Autoriser : permet au paquet de passer par le pare-feu.

• Refuser : bloquez et déposez le paquet, mais ne renvoyez pas de notification à la source.

• Rejeter : bloquez et déposez le paquet et envoyez un avis à l’hôte source.

Cliquez sur +. La page Sélectionner des services avancés s’affiche.

Proxy SSL

Sélectionnez la stratégie de proxy SSL à associer à cette règle dans la liste.

Sécurité du contenu

Sélectionnez la stratégie de sécurité du contenu que vous souhaitez associer à cette règle dans la liste. La liste affiche toutes les stratégies de sécurité du contenu disponibles.

Si vous souhaitez créer une nouvelle stratégie de sécurité du contenu, cliquez sur Ajouter un nouveau. La page Créer une stratégie de sécurité du contenu s’affiche. Pour plus d’informations sur la création d’une nouvelle stratégie de sécurité du contenu, voir Créer une stratégie de sécurité du contenu.

Stratégie IPS

Sélectionnez la stratégie IPS dans la liste.

Stratégie de prévention des menaces

Sélectionnez la stratégie de prévention des menaces configurée dans la liste.

Profil de redirection ICAP

Sélectionnez le nom du profil de redirection ICAP configuré dans la liste.

AAMW

Sélectionnez un profil anti-malware dans la liste que vous souhaitez associer à la stratégie de sécurité.

Groupe de profils SecIntel

Sélectionnez un groupe de profils SecIntel dans la liste que vous souhaitez associer à la stratégie de sécurité.

IPsec VPN

Sélectionnez le tunnel VPN IPsec dans la liste.

Nom de la stratégie de paire

Saisissez le nom de la stratégie avec le même VPN IPsec dans la direction opposée pour créer une stratégie de paire.

Profil QoS des applications

Sélectionnez le profil AppQoS configuré dans la liste.

Si vous souhaitez créer un nouveau profil AppQoS, cliquez sur Ajouter un nouveau. La page Ajouter un profil AppQoS s’affiche. Pour plus d’informations sur la création d’un nouveau profil AppQoS, voir Ajouter un profil QoS d’application.

Profilage des menaces

À partir de la version 21.4R1 de Juons OS, vous pouvez activer cette option pour générer des flux de profilage des menaces.

Vous pouvez ajouter des adresses source et de destination, ainsi que des identités de source et de destination aux flux de menaces. Une fois les flux générés, vous pouvez configurer d’autres stratégies de sécurité pour qu’elles correspondent au trafic désigné et effectuent des actions de stratégie.

• Ajouter l’ADRESSE IP source au flux : sélectionnez le flux de menaces dans la liste pour l’ajouter à l’adresse IP source.

• Ajouter l’identité source au flux : sélectionnez le flux de menaces dans la liste pour l’ajouter à l’identité de l’utilisateur source.

• Ajouter l’ADRESSE IP de destination au flux : sélectionnez le flux sur les menaces dans la liste pour l’ajouter à l’adresse IP de destination.

• Ajouter l’identité de destination au flux : sélectionnez le flux sur les menaces dans la liste pour l’ajouter à l’identité de l’utilisateur de destination.

Capture de paquets

Capturez le trafic applicatif inconnu spécifique à une règle de sécurité.

Par défaut, cette option est désactivée. Une fois l’option activée, vous pouvez consulter les détails du fichier de capture de paquets (PCAP) ou télécharger le fichier PCAP sur la page Surveiller > journal > sessions .

Cliquez sur Options de règle. La page SELECT RULE OPTIONS s’affiche.

Lancement de session

Activez cette option pour enregistrer un événement lors de la création d’une session.

Fermeture des sessions

Activez cette option pour enregistrer un événement à la fin de la session.

Compter

Activez cette option pour collecter des statistiques sur le nombre de paquets, d’octets et de sessions qui passent par le pare-feu avec cette stratégie.

Spécifie des comptes statistiques. Une alarme est déclenchée chaque fois que le trafic dépasse les seuils de paquets et d’octets spécifiés.

Pousser l’entrée auth à JIMS

Activez cette option pour envoyer les entrées d’authentification de l’authentification du pare-feu, qui sont en état de réussite, vers Juniper Identity Management Server (JIMS). Le pare-feu SRX Series pourra ainsi interroger JIMS pour obtenir des informations sur les adresses IP/utilisateurs et les équipements.

Il ne s’agit pas d’une option obligatoire. Vous pouvez le sélectionner lorsque au moins un domaine est configuré sur Active Directory local ou configurer la gestion des identités.

Type

Sélectionnez le type d’authentification du pare-feu dans la liste. Les options disponibles sont : Aucune, pass-through, pare-feu utilisateur et authentification Web.

Profil d’accès

Sélectionnez un profil d’accès dans la liste.

Nom du client

Saisissez le nom d’utilisateur du client ou le nom du groupe d’utilisateurs.

Domaine

Sélectionnez un nom de domaine qui doit figurer dans un nom de client dans la liste.

Redirection Web (http)

Activez cette option pour rediriger les requêtes HTTP vers le serveur Web interne de l’équipement en envoyant une réponse HTTP de redirection au système client pour se reconnecter au serveur Web pour l’authentification de l’utilisateur.

Portail captif

Activez cette option pour rediriger une demande HTTP ou HTTPS client vers le serveur Web HTTPS interne de l’équipement. Les demandes des clients HTTPS sont redirigées lorsque le profil de terminaison SSL est configuré.

Interface

Sélectionnez une interface pour le serveur Web dans laquelle la requête HTTP ou HTTPS du client est redirigée.

Adresse IPv4

Saisissez l’adresse IPv4 du serveur Web sur lequel la requête HTTP ou HTTPS du client est redirigée.

Profil de terminaison SSL

Sélectionnez un profil de terminaison SSL dans la liste qui contient les paramètres de connexion ssl terminés. La terminaison SSL est un processus par lequel le pare-feu SRX Series agit comme un serveur proxy SSL et met fin à la session SSL du client.

Pour ajouter un nouveau profil de terminaison SSL :

1. Cliquez sur Ajouter.

   La page Créer un profil de terminaison SSL s’affiche.

2. Saisissez les détails suivants :

   • Nom : saisissez le nom du profil de terminaison SSL ; 63 caractères maximum.

   • Certificat de serveur : sélectionnez un certificat de serveur dans la liste utilisée pour authentifier l’identité du serveur.

     Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’équipement, voir Ajouter un certificat d’équipement.

     Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’équipement, reportez-vous à la section Importer un certificat d’équipement.

Navigateur auth uniquement

Activez cette option pour supprimer le trafic HTTP non-navigateur pour permettre de présenter le portail captif aux utilisateurs non authentifiés qui demandent l’accès à l’aide d’un navigateur.

Agents utilisateur

Saisissez une valeur utilisateur-agent qui permet de vérifier que le trafic du navigateur de l’utilisateur est un trafic HTTP/HTTPS.

Traduction des adresses de destination

Sélectionnez l’action à effectuer sur une traduction d’adresse de destination dans la liste. Les options disponibles sont : Aucune, Drop Translated et Drop Untranslated.

Options de redirection

Sélectionnez une action de redirection dans la liste. Les options disponibles sont : Aucune, Redirect Wx et Reverse Redirect Wx.

Vérification du numéro de séquence

Activez ou désactivez la vérification des numéros de séquence dans les segments TCP lors des inspections à états au niveau des règles de stratégie. Par défaut, la vérification a lieu au niveau mondial. Pour éviter un échec de validation, désactivez la vérification du numéro de séquence sous Options globales > Flux > session TCP.

Vérification de l’indicateur SYN

Activez ou désactivez la vérification du bit TCP SYN avant de créer une session au niveau des règles de stratégie. Par défaut, la vérification a lieu au niveau mondial. Pour éviter un échec de validation, désactivez la vérification des indicateurs SYN sous Options globales > Flux > session TCP.

Horaire

Cliquez sur Planifier et sélectionnez l’une des planifications configurées dans la liste.

Pour ajouter une nouvelle planification, cliquez sur Ajouter une nouvelle planification. La page Ajouter une nouvelle annexe s’affiche. Pour en savoir plus sur la création d’une nouvelle annexe, voir le tableau 4.

Nom

Saisissez un nom pour l’adresse. Le nom doit être une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des points, des points, des tirets et des soulignements ; pas d’espaces autorisés ; 63 caractères maximum.

Type IP

Sélectionnez IPv4 ou IPv6.

Adresse IPv4

Saisissez une adresse IPv4 valide.

Sous-réseau

Saisissez un masque de sous-réseau pour l’adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6 valide.

Préfixe de sous-réseau

Saisissez un préfixe de sous-réseau pour l’adresse IPv6.

Nom

Saisissez un nom unique pour l’application.

Description

Saisissez la description de l’application.

Protocole d’application

Sélectionnez une option dans la liste pour le protocole d’application.

Correspondance du protocole IP

Sélectionnez une option dans la liste pour correspondre au protocole IP.

Port source

Sélectionnez une option dans la liste pour le port source.

Port de destination

Sélectionnez une option dans la liste pour les ports de destination.

Type ICMP

Sélectionnez une option dans la liste pour le type de message ICMP.

Code ICMP

Sélectionnez une option dans la liste pour le code de message ICMP.

Numéros du programme RPC

Saisissez une valeur pour les numéros du programme RPC.

Le format de la valeur doit être W ou X-Y. Où, W, X et Y sont des entiers entre 0 et 65535.

Délai d’inactivité

Sélectionnez une option dans la liste pour un délai d’inactivité spécifique à l’application.

UUID

Saisissez une valeur pour les objets RPC DCE.

Groupe d’applications personnalisé

Sélectionnez le nom d’un ensemble d’applications dans la liste.

Cliquez sur +. La page Créer un terme s’affiche.

Nom

Saisissez un nom pour le terme.

ALG

Sélectionnez une option dans la liste pour ALG.

Correspondance du protocole IP

Sélectionnez une option dans la liste pour correspondre au protocole IP.

Port source

Sélectionnez une option dans la liste pour le port source.

Port de destination

Sélectionnez une option dans la liste pour les ports de destination.

Type ICMP

Sélectionnez une option dans la liste pour le type de message ICMP.

Code ICMP

Sélectionnez une option dans la liste pour le code de message ICMP.

Numéros du programme RPC

Saisissez une valeur pour les numéros du programme RPC.

Délai d’inactivité

Sélectionnez une option dans la liste pour un délai d’inactivité spécifique à l’application.

UUID

Saisissez une valeur pour les objets RPC DCE.

Nom

Saisissez le nom de l’annexe.

Description

Saisissez une description de l’annexe.

Répète

Sélectionnez une option dans la liste pour répéter la planification :

• Jamais

• Quotidienne

• Hebdomadaire

Toute la journée

Activez cette option pour planifier un événement d’une journée entière.

Cette option n’est disponible que pour les fréquences de répétition jamais et quotidiennes.

Date de début

Sélectionnez la date de début du calendrier au format AAAA-MM-JJ.

Cette option n’est disponible que pour ne jamais répéter la planification de type.

Date d’arrêt

Sélectionnez la date d’arrêt de l’horaire au format AAAA-MM-JJ.

Cette option n’est disponible que pour ne jamais répéter la planification de type.

Heure de début

Saisissez l’heure de début de l’horaire au format HH:MM:SS 24 heures.

Cette option n’est disponible que pour la planification quotidienne de type de type de répétition.

Temps d’arrêt

Saisissez l’heure de fin de l’horaire au format HH:MM:SS 24 heures.

Cette option n’est disponible que pour la planification quotidienne de type de type de répétition.

Répétez

Sélectionnez les jours et l’heure auxquels vous souhaitez répéter la planification.

Pour fixer l’heure pour le(s) jour(s) sélectionné(s) :

1. Cliquez sur Définir l’heure ou Définir l’heure à certains jours.

   La page Définir l’heure de sélection des jours s’affiche.

2. Saisissez les détails suivants :

   • Nom : affiche le ou les jours que vous avez sélectionnés.

   • Toute la journée : activez cette option pour que l’événement s’exécute pendant toute la journée.

   • Heure de début : saisissez l’heure de début au format HH:MM:SS 24 heures.

   • Temps d’arrêt : saisissez le temps d’arrêt au format HH:MM:SS 24 heures.

3. Cliquez sur OK pour enregistrer les modifications.

Cette option n’est disponible que pour la planification hebdomadaire de type de répétition.

Critères d’annexe

Sélectionnez l’une des options suivantes :

• L’annexe ne s’arrête jamais : l’horaire peut être actif pour toujours (récurrent), mais uniquement comme spécifié dans l’horaire quotidien ou hebdomadaire.

• Planification spécifiez la fenêtre : la planification peut être active au cours d’un seul créneau horaire, comme spécifié par une date de début et une date d’arrêt.

  Saisissez les détails suivants :

  • Début de la planification : saisissez la date de début du planning au format AAAA-MM-JJ.

  • Fin de l’annexe : saisissez la date de début du calendrier au format AAAA-MM-JJ.

Cette option n’est disponible que pour la planification de type de répétition quotidienne et hebdomadaire.