Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Création de règles de stratégie de pare-feu

Avant de commencer

Utilisez la page Créer une règle pour configurer les règles de pare-feu qui contrôlent le trafic de transit dans un contexte donné (zone source à zone de destination). Le trafic est classé en faisant correspondre ses zones source et de destination, les adresses source et de destination et l’application qu’il transporte dans ses en-têtes de protocole avec la base de données de stratégies.

Security Director permet à un appareil d’avoir une stratégie spécifique à un équipement et de faire partie de plusieurs stratégies de groupe. Les règles d’un appareil sont mises à jour dans l’ordre suivant :

  • Règles au sein des stratégies appliquées avant les « stratégies spécifiques à l’appareil »

  • Règles au sein des stratégies spécifiques à l’appareil

  • Règles au sein des stratégies appliquées après « Politiques spécifiques à l’appareil »

Les règles des stratégies appliquées avant les « stratégies spécifiques à l’appareil » sont prioritaires et ne peuvent pas être remplacées. Toutefois, vous pouvez remplacer les règles dans Stratégies appliquées après « Stratégies spécifiques à l’appareil » en ajoutant une règle de remplacement dans les Stratégies spécifiques à l’appareil. Dans un scénario d’entreprise, des règles « communes doivent être appliquées » peuvent être affectées à un appareil à partir des stratégies appliquées avant « Politiques spécifiques à l’appareil », et des règles « agréables à avoir » peuvent être affectées à un appareil à partir des stratégies appliquées après « Politiques spécifiques à l’appareil ».

Note:

Une exception peut être ajoutée pour chaque appareil dans « Politiques spécifiques à l’appareil ». Pour obtenir la liste complète des règles appliquées à un appareil, sélectionnez Configurer > stratégie de pare-feu > périphériques. Sélectionnez un appareil pour afficher les règles qui lui sont associées.

Pour configurer une règle de stratégie de pare-feu :

  1. Sélectionnez Configurer > stratégie de pare-feu.
  2. Sélectionnez la stratégie pour laquelle vous souhaitez définir des règles et cliquez sur l’icône +.

    La page Créer des règles s’affiche.

    Note:

    Pour modifier et créer des règles en ligne, cliquez sur la stratégie pour rendre les champs modifiables.
  3. Effectuez la configuration conformément aux instructions fournies dans le tableau 1.
  4. Cliquez sur OK.

    Les règles que vous avez configurées sont associées à la stratégie sélectionnée.

Tableau 1 : définition des règles de stratégie de pare-feu

Réglage

Ligne directrice

General Information

Nom de la règle

Entrez une chaîne unique de caractères alphanumériques, de deux-points, de points, de tirets et de traits de soulignement. Aucun espace n’est autorisé et le ; La longueur maximale est de 63 caractères.

Description

Entrez une description pour les règles de stratégie ; La longueur maximale est de 1024 caractères. Les commentaires saisis dans ce champ sont envoyés à l’appareil.

Identify the traffic that the rule applies to

(La source) Zone géographique

Pour les équipements SRX Series, spécifiez une zone source (from-zone) pour définir le contexte de la stratégie. Les stratégies de zone sont appliquées au trafic entrant dans une zone de sécurité (zone source) vers une autre zone de sécurité (zone de destination). Cette combinaison d’une zone source et d’une zone de destination est appelée contexte.

À partir de Junos Space Security Director version 16.2, pour les routeurs MX Series, le champ de la zone source sert d’interface d’entrée à partir de laquelle le paquet entre. La direction de correspondance est entrée, si le paquet entre dans l’interface. Le sens de correspondance est la sortie, si le paquet quitte l’interface. Configurez la clé d’entrée en sélectionnant la valeur AMS (Aggregated Multiservices).

À partir de Junos Space Security Director version 16.2, les zones polymorphes peuvent être utilisées comme zone source et zone de destination lorsque vous affectez des périphériques SRX Series et des routeurs MX Series à la même stratégie de groupe.

(La source) Adresse(s)

Entrez un ou plusieurs noms d’adresses ou d’ensembles d’adresses. Cliquez sur Sélectionner pour ajouter des adresses source.

Sur la page Adresse source :

  • Inclure n’importe quelle adresse (Include Any Address) : ajoute n’importe quelle adresse à la règle de pare-feu.

  • Inclure spécifique (Include Specific) : ajoute l’adresse source sélectionnée à la règle.

    Lorsque vous ajoutez un gestionnaire NSX, les groupes de sécurité sont synchronisés et les groupes d’adresses dynamiques (DAG) correspondants sont créés dans la base de données Security Director. Pour votre gestionnaire NSX, sélectionnez les DAG requis dans la liste.

  • Exclure spécifique (Exclude Specific) : exempte les adresses sources sélectionnées de la règle.

  • Par filtre de métadonnées : choisissez l’adresse correspondante d’une métadonnée définie par l’utilisateur comme adresse source.

    • Filtre de métadonnées : cliquez sur le champ pour sélectionner les métadonnées requises dans la liste. Les adresses correspondantes sont filtrées et répertoriées dans le champ Adresse correspondante.

    • Adresses correspondantes (Matching Addresses) : répertorie les adresses correspondant aux métadonnées sélectionnées. Cette adresse est utilisée comme adresse source.

      Pour chaque expression de métadonnées, un groupe d’adresses dynamiques (DAG) unique est créé. L’URL du serveur de flux de ce DAG pointe vers l’URL du serveur de flux de Security Director.

      Office 365 est désormais inclus dans la liste des flux tiers pour transmettre les informations de point de terminaison (adresses IP) des services Microsoft Office 365 à l’appareil SRX Series. Ce flux fonctionne différemment des autres flux et nécessite certains paramètres de configuration, y compris un nom prédéfini de « ipfilter_office365 ». Vous devez activer le flux Office 365 dans Juniper ATP Cloud. Pour comprendre comment activer le flux Office 365 dans Juniper ATP Cloud et créer un DAG sur l’appareil SRX Series qui fait référence au flux ipfilter_office365, consultez Activation des flux de menaces tiers.

      Configurez l’URL du serveur de flux à l’aide de la commande CLI suivante pour chaque équipement SRX Series ou vSRX qui agit sur les stratégies basées sur les métadonnées.

      set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

Voir Création d’adresses et de groupes d’adresses.

(La source) Nom d’utilisateur

Spécifiez l’identité de la source (utilisateurs et rôles) à utiliser comme critère de correspondance pour la stratégie. Vous pouvez avoir différentes règles de stratégie en fonction des rôles d’utilisateur et des groupes d’utilisateurs.

Cliquez sur Sélectionner pour spécifier les identités source à autoriser ou refuser. Dans la page ID utilisateur, vous pouvez sélectionner une identité d’utilisateur dans la liste disponible ou ajouter une nouvelle identité en cliquant sur Ajouter un nouvel ID utilisateur.

Pour supprimer une identité d’utilisateur de la base de données Security Director, cliquez sur Supprimer l’ID utilisateur et sélectionnez une valeur dans la liste déroulante, qui n’est configurée dans aucune stratégie. Si vous essayez de supprimer une identité d’utilisateur configurée dans une stratégie, un message avec son ID de référence et son ID utilisateur s’affiche.

Note:

Les ID utilisateur créés uniquement dans Security Director sont affichés dans la liste déroulante.

(La source) Profil de l’utilisateur final

Sélectionnez un profil d’utilisateur final dans la liste. La règle de stratégie de pare-feu lui est appliquée.

Lorsque le trafic de l’équipement A arrive à un équipement SRX Series, celui-ci obtient l’adresse IP de l’équipement A à partir du premier paquet de trafic et l’utilise pour rechercher dans la table d’authentification d’identité de l’équipement une entrée d’identité de périphérique correspondante. Ensuite, il fait correspondre ce profil d’identité d’appareil avec une stratégie de sécurité dont le champ Profil de l’utilisateur final spécifie le nom du profil d’identité de l’appareil. Si une correspondance est trouvée, la stratégie de sécurité est appliquée au trafic provenant de l’appareil A.

(Destination) Zone géographique

Pour les équipements SRX Series, spécifiez une zone de destination (to-zone) pour définir le contexte de la stratégie. Les stratégies de zone sont appliquées au trafic entrant dans une zone de sécurité (zone source) vers une autre zone de sécurité (zone de destination). Cette combinaison d’une zone source et d’une zone de destination est appelée contexte.

À partir de Junos Space Security Director version 16.2, pour les routeurs MX Series, ce champ sert d’interface de sortie à partir de laquelle le paquet entre. La direction de correspondance est entrée, si le paquet entre dans l’interface. Le sens de correspondance est la sortie, si le paquet quitte l’interface. Configurez la clé de sortie en sélectionnant la valeur AMS (Aggregated Multiservices).

Les zones polymorphes peuvent être utilisées comme zone source et zone de destination lorsque vous affectez des périphériques SRX Series et des routeurs MX Series à la même stratégie de groupe.

(Destination) Adresse(s)

Sélectionnez un ou plusieurs noms ou ensembles d’adresses. Cliquez sur Sélectionner pour ajouter des adresses de destination.

Sur la page Adresse de destination :

  • Sélectionnez l’option Inclure pour ajouter les adresses de destination sélectionnées ou toute adresse à la règle.

  • Sélectionnez l’option Exclure pour exempter les adresses de destination sélectionnées de la règle.

  • Sélectionnez l’option Par filtre de métadonnées pour choisir l’adresse correspondante d’une métadonnée définie par l’utilisateur comme adresse de destination.

    • Filtre de métadonnées : cliquez sur le champ pour sélectionner les métadonnées requises dans la liste. Les adresses correspondantes sont filtrées et répertoriées dans le champ Adresse correspondante.

    • Adresses correspondantes (Matching Addresses) : répertorie les adresses correspondant aux métadonnées sélectionnées. Cette adresse est utilisée comme adresse de destination.

      Pour chaque expression de métadonnées, un groupe d’adresses dynamiques (DAG) unique est créé. L’URL du serveur de flux de ce DAG pointe vers l’URL du serveur de flux de Security Director.

      Office 365 est désormais inclus dans la liste des flux tiers pour transmettre les informations de point de terminaison (adresses IP) des services Microsoft Office 365 à l’appareil SRX Series. Ce flux fonctionne différemment des autres flux et nécessite certains paramètres de configuration, y compris un nom prédéfini de « ipfilter_office365 ». Vous devez activer le flux Office 365 dans Juniper ATP Cloud. Pour comprendre comment activer le flux Office 365 dans Juniper ATP Cloud et créer un DAG sur l’appareil SRX Series qui fait référence au flux ipfilter_office365, consultez Activation des flux de menaces tiers.

      Configurez l’URL du serveur de flux à l’aide de la commande CLI suivante pour chaque équipement SRX Series ou vSRX qui agit sur les stratégies basées sur les métadonnées.

      set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

Voir Création d’adresses et de groupes d’adresses.

(Destination) Catégorie d’URL

Sélectionnez une ou plusieurs catégories d’URL prédéfinies ou personnalisées comme critère de correspondance. La catégorie d’URL est prise en charge sur les équipements exécutant Junos OS version 18.4R3 et ultérieure.

Cliquez sur Sélectionner pour sélectionner une catégorie d’URL. Sélectionnez une ou plusieurs catégories d’URL prédéfinies ou personnalisées dans la liste Disponible et déplacez-les vers la liste Sélectionné. Cliquez sur OK.

(Protocoles de service) Services

Sélectionnez un ou plusieurs noms de service (application). Sélectionnez l’option Inclure, Tout service pour désactiver l’option Tout dans le générateur de liste des services. Désactivez la case à cocher Tout service pour autoriser ou refuser les services de la colonne Générateur de liste de services disponibles. Cliquez sur Ajouter un nouveau service pour créer un service. Voir Création de services et de groupes de services.

Signatures d’applications

Cliquez sur l’icône + pour ajouter les signatures d’application. Vous pouvez ajouter des signatures d’application prédéfinies et personnalisées.

Advanced Security

Action de la règle

L’action s’applique à tout le trafic qui correspond aux critères spécifiés.

  • Refuser : l’équipement abandonne silencieusement tous les paquets de la session et n’envoie aucun message de contrôle actif, tel que les réinitialisations TCP ou ICMP, inaccessibles.

  • Rejeter : l’appareil envoie une réinitialisation TCP s’il s’agit d’un protocole TCP, et l’appareil envoie une réinitialisation ICMP s’il s’agit d’UDP, d’ICMP ou de tout autre protocole IP. Cette option est utile face à des ressources approuvées afin que les applications ne perdent pas de temps à attendre des délais d’attente et obtiennent à la place le message actif.

  • Autoriser : l’appareil autorise le trafic en utilisant le type d’authentification de pare-feu que vous avez appliqué à la stratégie.

  • Tunnel : l’appareil autorise le trafic en utilisant le type d’options de tunnelisation VPN que vous avez appliquées à la stratégie.

Sécurité avancée

Les stratégies de pare-feu fournissent une couche de sécurité centrale qui garantit que le trafic réseau est limité à ce qu’une stratégie dicte par ses critères de correspondance.

Les stratégies de pare-feu fournissent une couche de sécurité centrale qui garantit que le trafic réseau est limité à ce qu’une stratégie dicte par ses critères de correspondance. Lorsque la stratégie traditionnelle ne suffit pas, sélectionnez les composants d’identification d’application pour créer un profil de sécurité avancé pour la stratégie :

  • Pare-feu d’applications : sélectionnez cette option pour appliquer des contrôles de pare-feu traditionnels sur le trafic tout en superposant le pare-feu applicatif afin de garantir que les applications sont conformes non seulement aux informations de port, mais également à ce qui est transmis entre un client et un serveur. Vous pouvez autoriser, refuser et rejeter des demandes. Il existe également une fonctionnalité de redirection spéciale pour HTTP et HTTPS.

    Cliquez sur le lien Ajouter pour créer une stratégie de pare-feu d’application, puis cliquez sur Ajouter une nouvelle règle APPFW pour créer des règles. Voir Création de stratégies de pare-feu d’application.

  • Proxy de transfert SSL : sélectionnez cette option pour activer un protocole au niveau de l’application qui fournit une technologie de chiffrement pour Internet.

    Cliquez sur Ajouter un proxy de transfert pour créer des profils de proxy de transfert SSL. Voir Création de profils proxy de transfert SSL.

    Cliquez sur Ajouter un proxy inverse pour créer des profils de proxy inverse SSL. Voir Création de profils SSL de proxy inverse.

  • IPS : sélectionnez la valeur IPS sur On ou Off.

  • Stratégie IPS : prend en charge la stratégie IPS dans la stratégie de pare-feu standard. Sélectionnez une stratégie IPS à affecter à la stratégie de pare-feu. Les stratégies IPS qui ne sont affectées à aucun périphérique sont répertoriées dans la liste déroulante.

    Pour les appareils dotés de Junos OS version 18.2 et ultérieure, la configuration CLI de la stratégie IPS affectée est générée en même temps que la stratégie de pare-feu standard.

    Note:

    L’action de règle doit être Autoriser.

    • Dans Junos OS version 18.1 et antérieure, si vous avez configuré une stratégie avec IPS activé ou désactivé et une stratégie IPS, Security Director ignore la stratégie IPS et envoie uniquement la commande IPS On CLI au périphérique.

    • Dans Junos OS version 18.2 et ultérieure, si vous avez configuré une stratégie avec IPS activé ou désactivé et une stratégie IPS, Security Director ignore la commande IPS On CLI et envoie uniquement la commande IPS policy CLI au périphérique.

  • UTM : sélectionnez cette option pour définir la protection de couche 7 contre les menaces côté client.

    Cliquez sur Ajouter nouveau pour créer des stratégies de sécurité du contenu. Voir Création de stratégies UTM.

  • Proxy Web sécurisé : sélectionnez un profil de proxy Web sécurisé créé dans Créer un profil de proxy Web sécurisé.

    Vous pouvez utiliser un proxy Web sécurisé pour activer le trafic des applications sélectionnées afin de contourner le serveur proxy externe et de l’envoyer directement à un serveur Web.

  • Stratégie de prévention des menaces : sélectionnez une option pour assurer la protection et la surveillance des profils de menaces sélectionnés, notamment les serveurs de commande et de contrôle, les hôtes infectés et les programmes malveillants.

Note:

Pour créer une stratégie de pare-feu d’application en ligne, des profils de proxy SSL et Content Security, l’action de règle doit être autorisée.

Profilage des menaces

Juniper ATP Cloud Adaptive Threat Profiling permet aux équipements SRX Series de générer, propager et consommer des flux de menaces en fonction de leurs propres événements de détection avancée et de correspondance des stratégies.

À partir de Junos Space Security Director version 21.2, vous pouvez configurer une stratégie de pare-feu avec les adresses source et de destination comme types de menaces, qui injecte l’adresse IP source et l’adresse IP de destination dans le flux de menaces sélectionné lorsque le trafic correspond à la règle. Le flux de menaces peut être exploité par d’autres appareils en tant que groupe d’adresses dynamiques (DAG).

Add Source IP to Feed (Ajouter l’IP source au flux) : sélectionnez un flux de sécurité dans la liste. L’adresse IP source est ajoutée au flux de menaces lorsque le trafic correspond à la règle.

Add Destination IP to Feed (Ajouter l’adresse IP de destination au flux) : sélectionnez un flux de sécurité dans la liste. L’adresse IP de destination est ajoutée au flux de menaces lorsque le trafic correspond à la règle.

Note:

Pour utiliser ces champs, commencez par inscrire les appareils dans ATP Cloud, puis configurez Policy Enforcer pour afficher les flux dans la liste déroulante.

Rule Options

Profil

Sélectionnez un profil par défaut ou un profil personnalisé, ou vous pouvez hériter d’un profil de stratégie d’une autre stratégie. Le profil de stratégie spécifie les paramètres de base d’une stratégie de sécurité. Reportez-vous à la section Création de profils de stratégie de pare-feu.

Horaire

Les calendriers de stratégie vous permettent de définir quand une stratégie est active et constituent donc un critère de correspondance implicite. Vous pouvez définir le jour de la semaine et l’heure à laquelle la stratégie est active. Par exemple, vous pouvez définir une stratégie de sécurité qui ouvre ou ferme l’accès en fonction des heures de bureau. Plusieurs planificateurs peuvent être appliqués à différentes stratégies, mais un seul planificateur peut être actif par stratégie. Sélectionnez une planification préenregistrée et les options de planification sont renseignées avec les données de la planification sélectionnée. Cliquez sur Nouveau pour créer une autre planification.

Rule Analysis

Nouvelle règle, effectuer une analyse

Sélectionnez cette option si vous souhaitez analyser vos règles pour éviter toute anomalie.

Rule Placement

Emplacement/séquence

Affiche le numéro de séquence et l’ordre dans lequel la règle est placée.

Documentation connexe

Tableau de l’historique des versions
Libération
Description
16.2
À partir de Junos Space Security Director version 16.2, pour les routeurs MX Series, le champ de la zone source sert d’interface d’entrée à partir de laquelle le paquet entre.
16.2
À partir de Junos Space Security Director version 16.2, les zones polymorphes peuvent être utilisées comme zone source et zone de destination lorsque vous affectez des périphériques SRX Series et des routeurs MX Series à la même stratégie de groupe.
16.2
À partir de Junos Space Security Director version 16.2, pour les routeurs MX Series, ce champ sert d’interface de sortie à partir de laquelle le paquet entre.