À propos des options de Gestion des paquets par défaut
Lorsque le Firebox reçoit un paquet, il examine sa source et sa destination. Il vérifie l'adresse IP et le numéro de port. Il contrôle également les paquets à la recherche de modèles indiquant un danger pour votre réseau. Ce processus est appelé gestion des paquets par défaut.
La gestion des paquets par défaut permet les actions suivantes :
- Rejeter un paquet qui pourrait représenter un risque de sécurité, y compris les paquets qui pourraient faire partie d'une attaque d'usurpation ou d'une attaque SYN Flood ;
- Bloquer automatiquement tout le trafic vers l'adresse IP et en provenant ;
- Ajouter un évènement au fichier journal ;
- Envoyer une interruption SNMP au Management Server SNMP ;
- Envoyer une notification relative aux risques de sécurité potentiels.
Les options de gestion des paquets par défaut liées aux attaques IPSec, IKE, ICMP, SYN et UDP Flood s'appliquent aux trafics IPv4 et IPv6. Les autres options ne s'appliquent qu'au trafic IPv4.
Pour plus d'informations sur les types d'attaques contre lesquelles le Firebox peut agir, consultez :
- À propos des Attaques par usurpation
- À propos des Attaques de Route source des Adresses IP
- À propos des Analyses de Port et d'Adresse IP
- À propos des Attaques Flood
- À propos des Paquets non Gérés
- À propos des Attaques de Refus de Service Distribué (DDoS)
Pour un Firebox configuré en Mode d'insertion ou Mode pont, vous pouvez utiliser la commande CLI default-packet-handling pour autoriser le Firebox à bloquer les attaques d'usurpation ARP. Cette option est configurable uniquement dans la CLI, et elle est prise en charge dans Fireware v12.2 et ultérieure. Pour plus d'informations, consultez le document Référence Command Line Interface, disponible sur la page Documentation Produit.
Configurer la Gestion des Paquets par Défaut
La plupart des options de gestion des paquets par défaut sont activées dans la configuration par défaut du Firebox. Vous pouvez modifier les seuils d'action de Firebox. Vous pouvez également modifier les options sélectionnées pour la gestion des paquets par défaut.
- Sélectionnez Pare-feu > Gestion des Paquets par Défaut.
La page de gestion des paquets par défaut s'ouvre.
- Cochez les cases pour les modèles de trafics contre lesquels vous souhaitez agir.
Pour configurer la gestion des paquets par défaut dans Policy Manager :
- Cliquez sur .
Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des Paquets par Défaut.
La page de gestion des paquets par défaut s'ouvre.
- Cochez les cases pour les modèles de trafics contre lesquels vous souhaitez agir.
Définir des options de journalisation et de notification
La configuration par défaut du périphérique indique au Firebox d'envoyer un message de journal lorsqu'un événement spécifié dans la boîte de dialogue Gestion des Paquets par Défaut se produit.
Les messages de journal pour ces événements sont activés par défaut et ne peuvent être désactivés :
- Attaques d’Usurpation ARP et IP
- Analyses de Ports et d'Adresses
- Route de l'IP Source
- Ping de la Mort
- Attaques IPSec, IKE, SYN, ICMP, UDP Flood
- Attaque DDOS, Origine et Destination
Les messages de journal pour ces événements sont activés par défaut et peuvent être désactivés au besoin.
- Paquet Interne et Externe Non Géré — Un paquet non géré est un paquet qui ne correspond à aucune règle de stratégie. Par défaut, le Firebox refuse toujours les paquets non gérés et enregistre chaque refus.
Les messages de journal pour ces événements sont désactivés par défaut et peuvent être activés au besoin.
- Diffusions Entrantes et Sortantes — Par défaut, les diffusions entrantes et sortantes autorisées ne sont pas enregistrées. Activez cette option pour envoyer des messages de journal pour ces diffusions autorisées. Les diffusions autorisées : DHCP (si le Firebox est configuré comme serveur DHCP), Relais DHCP et routage de diffusion/multidiffusion BOVPN. Les diffusions refusées sont toujours journalisées par défaut.
Pour configurer une interruption SNMP ou une notification :
- Cliquez sur Journalisation.
La boîte de dialogue Journalisation et Notification s'ouvre. - Configurez les paramètres de notification tel que décrit dans Définir les préférences de Journalisation et de Notification.
Pour plus d'informations, consultez À propos du Protocole SNMP