Meilleures pratiques de Configuration du Firebox

Pour protéger vos réseaux internes, le Firebox refuse tous les paquets qui ne sont pas spécifiquement autorisés par une stratégie de pare-feu. Chaque stratégie de pare-feu définit un jeu de règles qui ordonne au Firebox d'autoriser ou de refuser le trafic en fonction de certains facteurs, tels que la source et la destination du paquet ou encore le port ou le protocole TCP/IP utilisé pour le paquet.

Cette rubrique concerne :

Configuration par Défaut Recommandée

Lorsque vous exécutez l'assistant Web Setup Wizard ou Quick Setup Wizard pour paramétrer un Firebox, l'assistant d'installation configure automatiquement les stratégies de pare-feu par défaut et active les services de sécurité souscrits avec les paramètres recommandés.

Les assistants d'installation des versions plus récentes de Fireware configurent le Firebox avec les services et les paramètres de configuration recommandés les plus récents.

Si votre nouveau Firebox exécute une version de Fireware antérieure à v12.0.1, nous vous conseillons de mettre à niveau Fireware puis de réinitialiser le Firebox et d'exécuter à nouveau l'assistant d'installation afin d'activer automatiquement les services de sécurité et les stratégies de proxy recommandées par défaut.

Pour configurer un nouveau Firebox avec les stratégies recommandées par défaut :

  1. Exécutez l'assistant Web Setup Wizard ou Quick Setup Wizard pour paramétrer votre Firebox avec une configuration basique.
    Pour plus d'informations, consultez À propos des Assistants d'Installation Firebox Setup Wizards.
  2. Vérifiez la version de Fireware installée sur votre Firebox.
  3. Si la version de Fireware installée est antérieure à v12.0.1 :
    1. Mettez à niveau le Firebox vers Fireware v12.0.1 ou une version ultérieure. Pour plus d'informations, consultez Mettre à Niveau le système d'exploitation Fireware OS ou WatchGuard System Manager.
    2. Réinitialisez le Firebox aux paramètres usine par défaut. Pour plus d'informations, consultez Réinitialiser un Firebox.
    3. Exécutez à nouveau l'assistant Web Setup Wizard ou Quick Setup Wizard.
      L'assistant configure le Firebox avec les stratégies de proxy par défaut et active les services de sécurité souscrits.

Les assistants d'installation ajoutent ces stratégies par défaut :

  • Proxy-FTP, avec l'action de proxy Client-FTP-par Défaut
  • Proxy-HTTP, avec l'action de proxy Client-HTTP-par Défaut
  • Proxy-HTTPS, avec l'action proxy Client-HTTPS-par Défaut
  • Portail de Certificats WatchGuard (Fireware v12.3 et versions ultérieures)
  • WatchGuard Web UI
  • Ping
  • DNS
  • WatchGuard
  • Sortant

Avec ces stratégies par défaut, le Firebox :

  • N'autorise pas les connexions du réseau externe aux réseaux approuvés ou facultatifs, ni au Firebox
  • Autorise les connexions de gestion vers le Firebox provenant uniquement des réseaux approuvés ou facultatifs
  • Surveille le trafic sortant FTP, HTTP, et HTTPS, selon les paramètres d'action de proxy recommandés.
  • Utilise les services de sécurité Application Control, WebBlocker, Gateway AntiVirus, Intrusion Prevention, Reputation Enabled Defense, Botnet Detection, Geolocation, et APT Blocker pour protéger les réseaux approuvés et facultatifs.
  • Autorise les connexions sortantes FTP, Ping, DNS, TCP, et UDP provenant des réseaux approuvés ou facultatifs

Pour plus d'informations sur la configuration par défaut des services et stratégies de pare-feu, consultez Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.

Notions de base des Stratégies de Pare-feu

Vous pouvez modifier les stratégies par défaut et ajouter de nouvelles stratégies pour que le Firebox n'autorise que les connexions approuvées. Avant de modifier ou créer de nouvelles stratégies de pare-feu, il est important de comprendre les bases des stratégies.

Types de stratégies

Il existe deux types de stratégies de pare-feu. Chacune examine les connexions selon un niveau de détail différent.

Stratégie de filtrage de paquets - n'inspecte que les en-têtes des paquets

Un filtre de paquets inspecte l'en-tête IP et TCP/UDP de chaque paquet mais n'examine pas le contenu.

Stratégie de proxy ou passerelles de couche d’application (ALG) - inspecte l'en-tête et le contenu des paquets

Une stratégie de proxy ou une passerelle ALG ouvre chacun des paquets dans l'ordre, supprime l'en-tête de couche réseau, et examine la charge utile du paquet. Quand vous configurez une stratégie de proxy ou une passerelle ALG, vous sélectionnez une action de proxy et configurez des règles et actions à appliquer en fonction des caractéristiques du contenu. Pour plus d'informations, consultez À propos des Stratégies de Proxy et des ALG.

La configuration par défaut utilise les stratégies de proxy pour que le Firebox puisse examiner le contenu et utiliser les services de sécurité souscrits pour protéger votre réseau.

Propriétés des Stratégies

Ports et Protocoles

Une stratégie est définie par les ports et protocoles qu'elle écoute. Lorsque vous ajoutez une stratégie, vous sélectionnez un modèle de stratégie qui spécifie les ports et protocoles auxquels la stratégie s'applique. Les ports et protocoles sont les seules propriétés d'une stratégie que vous ne pouvez pas modifier.

Source et Destination

Une stratégie ne s'applique qu'aux connexions qui correspondent à la source (De) et la destination (À) de la stratégie. Les sources et destinations peuvent contenir des alias, des utilisateurs, des groupes, des adresses IP et des FQDN.

Disposition (Action du Pare-feu)

La disposition indique si la stratégie autorise ou refuse les connexions qui correspondent aux règles de la stratégie. Vous pouvez configurer une stratégie de manière à Autoriser ou Refuser les connexions.

Pour plus de détails concernant la configuration de la source, la destination et la disposition de la stratégie, consultez Définir des Règles d'Accès pour une Stratégie.

Priorité des Stratégies

La priorité est l'ordre dans lequel le Firebox examine le trafic réseau et applique une règle de stratégie. Par défaut, les stratégies du Firebox sont configurées en mode de Classement Automatique. En mode de Classement Automatique, le Firebox trie automatiquement les stratégies en allant de la plus spécifique à la plus générique en comparant les propriétés de ces stratégies :

  • Ports et Protocoles
  • Source et Destination
  • Disposition
  • Calendrier

Les stratégies placées plus haut dans la liste ont une plus grande priorité. Lorsque le Firebox reçoit un paquet, il applique la stratégie correspondant aux caractéristiques du paquet qui a la plus haute priorité. Lorsque le mode de classement automatique est activé, si deux stratégies sont aussi spécifiques, la stratégie de proxy est prioritaire sur la stratégie de filtre de paquets. Seule la stratégie qui correspond au port, au protocole, à la source et à la destination et qui a la plus haute priorité s'applique au paquet. Vous pouvez également désactiver le mode de classement automatique pour changer manuellement l'ordre des stratégies. Cela requiert une gestion plus méticuleuse, notamment si votre configuration contient beaucoup de stratégies.

Conseil : utilisez le mode de Classement Automatique jusqu'à ce qu'il ne convienne plus à votre situation. Ce mode convient à la majorité des déploiements.

Vous pouvez ajouter plusieurs stratégies pour un même port/protocole avec des sources et destinations différentes pour permettre différents niveaux d'accès aux ressources réseau pour différents utilisateurs, groupes ou réseaux. Vous pouvez par exemple configurer une stratégie de proxy HTTP pour un service spécifique pour permettre un accès plus ou moins restreint aux ressources qu'avec la stratégie de proxy HTTP par défaut qui a une priorité moindre.

Pour plus d'informations sur l'ordre de priorité des stratégies et savoir comment désactiver le mode de classement automatique, consultez À propos de l'Ordre de Priorité des Stratégies.

Meilleures Pratiques de Configuration des Stratégies

Personnaliser les Noms des Stratégies

La configuration par défaut du Firebox utilise des noms standards pour les stratégies. Les noms de stratégie par défaut indiquent le type de trafic que la stratégie gère, mais ils ne sont peut-être pas très pertinents pour votre environnement réseau, surtout si vous ajoutez plusieurs stratégies du même type.

Conseil : Pour que vos stratégies soient plus faciles à comprendre et gérer, donnez à chaque stratégie un nom pertinent qui indique le but de la stratégie, les utilisateurs ou réseaux auxquels elle s'applique ou toute autre caractéristique unique telle que la période d'activation de la stratégie.

Réduire la Portée de la Stratégie de Pare-feu

Par défaut, les stratégies de Pare-feu utilisent les alias intégrés Tout-Externe, Tout-Approuvé, Tout-Facultatif et Tout. Les stratégies configurées avec ces alias risquent d'autoriser les connexions de plus de sources et de destinations que nécessaire. Pour un meilleur contrôle des connexions réseau, évaluez la source et la destination de chaque stratégie pour vous assurer que chacune n'autorise pas de connexion de davantage de sources ou vers davantage de destinations que nécessaire.

Conseils :

  • Pour chaque stratégie, restreignez au maximum les sources et destinations.
  • N'utilisez pas l'alias Tout dans vos stratégies (sauf dans les stratégies par défaut Ping et BOVPN-Allow.in et BOVPN-Allow.out).
  • Examinez toutes les stratégies qui contiennent les alias Tout, Tout-Externe, Tout-Facultatif ou Tout-Approuvé.
    • Assurez-vous que les alias de chaque stratégie sont vraiment nécessaires pour les connexions que vous souhaitez autoriser.
    • Si possible, remplacez ces alias par une source ou une destination plus spécifique pour restreindre la portée de la stratégie.

Voici quelques exemples de réduction de la portée des stratégies pour certaines stratégies générées automatiquement :

Modifier la destination dans la stratégie DNS par défaut

La stratégie DNS par défaut autorise les connexions depuis Tout-Approuvé et Tout-Facultatif vers Tout-Externe.

Conseil : pour réduire la portée de la stratégie, vous pouvez changer la destination pour n'inclure que les adresses IP ou FQDN des serveurs DNS externes dans vos paramètres DNS.

Modifier the source dans les stratégies de gestion du Firebox

Les stratégies par défaut de WatchGuard et Watchguard Web UI autorisent les connexions de gestion en provenance de Tout-Approuvé et Tout-Facultatif.

Conseil : vous pouvez supprimer Tout-Facultatif de ces stratégies pour empêcher les connexions de gestion depuis vos réseaux Facultatifs. Pour restreindre encore davantage la portée, supprimez Tout-Approuvé et ajoutez les sous-réseaux ou adresses IP spécifiques depuis lesquels le Firebox doit accepter les connexions de gestion.

Modifier la destination des stratégies d'accès Mobile VPN par défaut

Lorsque vous activez Mobile VPN with SSL ou Mobile VPN with L2TP, une stratégie de pare-feu générée automatiquement autorise les connexions de tous les utilisateurs et groupes indiqués dans la configuration du VPN vers la destination Tout.

Les stratégies d'accès VPN générées automatiquement sont :

  • Pour Mobile VPN with SSL : Autoriser SSLVPN-Users
  • Pour Mobile VPN with L2TP : Autoriser Utilisateurs-L2TP

Les ressources autorisées que vous configurez dans les paramètres de VPN contrôlent les connexions qu'un client VPN achemine par le tunnel. Les ressources autorisées ne sont pas des destinations dans la stratégie VPN. Si un utilisateur d'un groupe mobile VPN s'identifie sur le Firebox sans VPN, le Firebox reconnait l'utilisateur comme membre du groupe VPN et la stratégie VPN peut autoriser les connexions de cet utilisateur vers n'importe quelle destination.

Conseil : modifiez ces stratégies par défaut pour réduire la portée de la destination. Supprimez l'alias Tout et ajoutez au Firebox les ressources spécifiques que vous souhaitez pour permettre aux utilisateurs de VPN de s'y connecter.

Pour plus d'informations sur les alias, consultez À propos des Alias et Créer un Alias.

Désactiver la Stratégie Sortante

La configuration par défaut du Firebox inclut une stratégie de filtre de paquets Sortante. La stratégie Sortante autorise toutes les connexions TCP et UDP de n'importe quelle source facultative ou approuvée de votre réseau sur n'importe quel réseau externe. Étant donné qu'il s'agit d'une stratégie de filtrage de paquets, et non d'une stratégie de proxy, la stratégie Sortante ne filtre pas le contenu lorsqu'elle examine le trafic via votre périphérique Firebox. La stratégie Sortante existe pour s'assurer que le Firebox autorise les connexions TCP et UDP sortantes qui ne correspondent à aucune autre stratégie.

Conseil : Pour vous assurer que le Firebox n'autorise que les connexions que vous voulez autoriser, nous vous conseillons de désactiver la stratégie Sortante. C'est une bonne pratique qui requiert toutefois de la rigueur dans la planification comme dans le suivi. Avant de supprimer la stratégie Sortante, vous devez ajouter des stratégies pour toutes les connexions sortantes que vous souhaitez que le Firebox autorise. Vous pouvez ajouter une stratégie distincte pour chaque type de trafic sortant que vous souhaitez autoriser, ou vous pouvez créer un filtre de paquets personnalisé pour les ports spécifiques nécessaires aux connexions sortantes que vous souhaitez autoriser depuis votre réseau.

Même avec une planification rigoureuse, après la désactivation de la stratégie Sortante, il est probable que le Firebox rejette certaines connexions sortantes que vous voulez autoriser. Préparez-vous à corriger ces problèmes et ajouter les stratégies nécessaires pour que le Firebox autorise les connexions sortantes nécessaires.

Après avoir désactivé la stratégie Sortante, vous devez prévoir de consacrer du temps à l'identification des problèmes et à la mise à jour de vos stratégies pare-feu pour autoriser les connexions sortantes approuvées. Ce processus demande du temps, mais il offre une meilleure visibilité et un meilleur contrôle des types de trafic qui circulent sur votre réseau.

Activer l'Inspection de Contenu HTTPS

Dans l'action de proxy HTTPS, vous pouvez sélectionner l'action Inspecter pour activer l'inspection de contenu. Lorsque vous activez l'inspection de contenu, le Firebox déchiffre la connexion HTTPS, examine le contenu, puis rechiffre la connexion à l'aide d'un certificat signé par une Autorité de Certification approuvée par chaque utilisateur du réseau. L'inspection de contenu permet au proxy d'examiner le contenu du trafic réseau et d'agir en conséquence.

Certaines applications interprètent l'inspection de contenu comme une attaque par intercepteur, ce qui peut empêcher leur bon fonctionnement. Vous devez configurer l'action de proxy HTTPS pour qu'elle n'inspecte pas le trafic des domaines associés aux applications qui ne sont pas compatibles avec l'inspection de contenu.

Même avec une planification rigoureuse, il est probable que certaines applications ne fonctionnent plus quand vous aurez activé l'inspection de contenu. Prévoyez de tester immédiatement vos applications essentielles et d'ajouter les règles de nom de domaine nécessaires pour ignorer l'inspection.

Voici certaines applications qui ne fonctionnent pas correctement quand l'inspection de contenu HTTPS est activée :

  • Services Microsoft (Office Online, Skype, Teams, Exchange, Sharepoint, Onedrive et l'activation des produits)
  • Services Apple (iTunes, iCloud et App Store)
  • Services Adobe (Creative Cloud et Sign)
  • Autres services (Facebook, LinkedIn, Dropbox et Okta)

Recommandation : Activez l'inspection de contenu puis configurez l'action de proxy afin d'ignorer l'inspection pour les applications qui ne sont pas compatibles.

  1. Dans l'action de proxy HTTPS-Client, activez l'inspection de contenu HTTPS. Pour plus d'informations, consultez Proxy HTTPS : inspection du contenu.
  2. Dans les paramètres d'inspection de contenu, activer les exceptions prédéfinies d'inspection de contenu. Le proxy HTTPS n'inspecte pas le trafic des domaines qui figurent dans la liste des exceptions prédéfinies. Les exceptions permettent à de nombreux services de fonctionner correctement quand l'inspection de contenu est activée sans configuration manuelle de Règles de Nom de Domaine.

Les exceptions prédéfinies d'inspection de contenu sont prises en charge dans Fireware v12.1 et les versions ultérieures.

  1. Testez immédiatement les applications essentielles de votre réseau afin d'identifier celles qui ne sont pas compatibles avec l'inspection de contenu.
  2. Si votre version de Fireware ne gère pas les Exceptions Prédéfinies d'Inspection de Contenu, ou si vous souhaitez ignorer l'inspection de contenu pour une application qui ne figure pas sur la liste des exceptions prédéfinies, ajoutez des règles de nom de domaine pour les domaines auxquels l'application se connecte.
    1. Déterminez les noms de domaine associés à l'application.
    2. Ajoutez des règles de nom de domaine avec l'action Autoriser pour ignorer l'inspection de ces domaines.

Pour de plus amples informations concernant l'ajout de règles de nom de domaine, consultez Proxy HTTPS : Règles de Nom de Domaine.

Conseils de Dépannage des Stratégies

Si votre configuration contient beaucoup de stratégies, il peut parfois être difficile de savoir quelle stratégie s'applique à une connexion en particulier. Voici quelques conseils qui vous aideront au dépannage des stratégies.

Examiner les Messages de Journal

Le Firebox envoie des messages de journal de type Trafic lorsqu'il applique des règles de filtrage de paquets et de proxy au trafic transmis via le périphérique. Vous pouvez trier et filtrer les messages de journal pour savoir pourquoi le Firebox a rejeté une connexion.

Pour de plus amples informations sur la lecture des messages de journal, consultez Lire un message de journal.

Par défaut, le Firebox envoie un message de journal de trafic lorsqu'une stratégie rejette une connexion. Vous pouvez également configurer les stratégies pour envoyer des messages de journal pour les connexions autorisées. Ceci peut vous aider à :

  • Vérifier que les stratégies de trafic entrant autorisent les connexions à un serveur interne
  • Vérifier qu'une stratégie personnalisée de trafic sortant autorise les connexions

Nous ne vous conseillons pas d'activer la journalisation des connexions autorisées pour toutes les stratégies car cela génère un grand nombre de messages de journal. Cela peut remplir rapidement la base de données du Log Server de Dimension et peut nuire considérablement aux performances du Firebox.

Pour plus d'informations sur la configuration de la journalisation pour une stratégie, consultez Configurer la journalisation et la notification pour une stratégie.

Utiliser le Vérificateur de Stratégie

Dans Fireware Web UI, le Vérificateur de Stratégies est un autre outil que vous pouvez utiliser pour déterminer quelle stratégie s'applique à une connexion.

Pour plus d'informations, consultez Utiliser le Vérificateur de Stratégies pour Trouver une Stratégie.

Meilleures Pratiques de Configuration des Réseaux et VPN

Personnaliser les Noms des Interfaces

La configuration par défaut du Firebox utilise des noms standards pour les interfaces.

Conseil : pour que votre configuration soit plus facile à comprendre et à gérer, nous vous conseillons de donner à chaque interface un nom qui décrit le réseau auquel elle se connecte.

Configurer les Plages d'Adresses IP Internes qui ne sont pas Couramment Utilisées sur les Réseaux Domestiques

Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques.

Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.

Configurer Plusieurs Serveurs DNS

Il est important de configurer plusieurs serveur DNS (Domain Name System) sur le Firebox. Les serveurs DNS sont utilisés par les clients réseau et mobile VPN et par les services de sécurité pour résoudre les noms des serveurs auxquels ils doivent se connecter.

Conseil : pour vous assurer qu'un serveur DNS est toujours disponible sur votre réseau, nous vous conseillons de configurer au moins deux serveurs DNS, un avec une adresse IP privée, et un autre avec une adresse IP publique. Nous vous conseillons de placer le serveur DNS privé en haut de la liste pour qu'il soit prioritaire.

Vous ajoutez les serveurs DNS dans les paramètres réseau. Pour plus d'informations, consultez Configurer les Serveurs DNS et WINS.

Configurer des Pools d'Adresses Virtuelles VPN qui ne se Chevauchent pas

Lorsque vous configurez Mobile VPN with IPSec, L2TP, SSL ou IKEv2, vous devez indiquer un pool d'adresses IP pour les clients VPN.

Conseils :

  • Vérifiez que les pools d'adresses IP des clients VPN ne chevauchent pas d'autres adresses IP dans la configuration.
  • Si votre entreprise possède plusieurs sites avec des configurations mobile VPN, vérifiez que chaque site dispose d'un pool d'adresses IP mobile VPN qui ne chevauche pas les pools des autres sites.
  • N'utilisez pas les plages de réseau privé 192.168.0.0/24 ou 192.168.1.0/24 pour les pools d'adresses IP mobile VPN. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.

Meilleures Pratiques Concernant les Certificats

Utiliser une Infrastructure à Clé Publique (PKI) pour Créer les Certificats du Firebox

Par défaut, votre Firebox crée des certificats autosignés pour sécuriser les données des sessions de gestion et les tentatives d'authentification de Fireware Web UI et de l'inspection de contenu du proxy. Pour garantir l'unicité du certificat utilisé pour l'inspection de contenu, son nom comprend le numéro de série du périphérique et l'heure de création du certificat. Étant donné que ces certificats n'ont pas été signés par une autorité de certification approuvée et qu'ils ne contiennent pas d'informations valides d'IP ou de domaine, un avertissement de sécurité s'affiche sur les navigateurs Web des utilisateurs de votre réseau.

Conseil : remplacez les certificats autosignés par défaut par des certificats signés qui sont approuvés par les clients de votre réseau. Utilisez une infrastructure à clé privée (PKI) locale pour générer les certificats internes utilisés par le Firebox, tels que les certificats Web Server et Proxy Authority.

Cette méthode offre plusieurs avantages :

  • Il est plus facile de déployer des certificats avec une PKI interne que de les créer sur le Firebox.
  • Il est plus facile de déployer des certificats avec un logiciels tiers (tel qu'Active Directory) que de les installer manuellement sur chaque client du réseau.
  • Si les clients du réseau font confiance à votre autorité de certification PKI locale, ils feront automatiquement confiance aux certificats que vous émettrez sur le Firebox.
  • Si vous remplacez votre Firebox, il ne sera pas nécessaire de redéployer des certificats pour les clients de votre réseau.

Pour plus d'informations sur la manière dont le Firebox utilise les certificats, consultez À propos des Certificats.

Voir Également

Meilleures Pratiques du Proxy HTTPS

Meilleures Pratiques du Proxy FTP

À propos de la Segmentation du Réseau