À propos des Stratégies relatives au Trafic Généré par le Firebox
Outre le trafic transitant par le Firebox, ce dernier génère son propre trafic. Le trafic généré par le Firebox est également connu sous le nom de « trafic autogénéré ».
Voici quelques exemples de trafic généré par le Firebox :
- Mises à jour des signatures des services WatchGuard tels que Gateway AntiVirus, Intrusion Prevention Service, Application Control, Data Loss Prevention, Botnet Detection, et Geolocation
- Requêtes destinées aux serveurs WatchGuard des services tels que WebBlocker, spamBlocker et APT Blocker
- Trafic VPN des tunnels non liés à une interface tels que les tunnels de gestion SSL et les tunnels BOVPN over TLS
- Journaliser le trafic du Firebox sur un serveur Dimension
Dans Fireware v12.2 et les versions ultérieures, vous pouvez ajouter des stratégies de manière à contrôler le trafic généré par le Firebox. Vous pouvez par exemple créer une stratégie de filtrage de paquets HTTPS portant sur le trafic du Firebox destiné aux services d'abonnement WatchGuard en nuage. Dans cette stratégie, vous pouvez spécifier l'interface WAN que le trafic doit utiliser. Vous pouvez ainsi bloquer le trafic des services d'abonnement vers les interfaces indésirables ou coûteuses. Vous pouvez créer différentes stratégies destinées à différents types de trafic généré par le Firebox.
Vous pouvez appliquer la NAT global, la NAT par stratégie, le routage basé sur stratégie, QoS (qualité de service) et la gestion du trafic aux stratégies spécifiant le trafic généré par le Firebox. Dans une stratégie spécifiant la gestion du trafic, seule l'action de gestion du trafic montant est appliquée.
Paramètres Non Pris en Charge
Les paramètres de la page de configuration multi-WAN ne s'appliquent pas au trafic généré par le Firebox.
Les actions de proxy ne sont pas prises en charge pour le trafic généré par le Firebox.
Les types suivants de trafic généré par le Firebox ne peuvent pas être contrôlés par une stratégie :
- Trafic de 127.0.0.1 à 127.0.0.1
- Trafic entre les adresses IP de gestion des membres de FireCluster
- Trafic reçu ou envoyé à partir d'une interface FireCluster
- Trafic IKE UDP 500/4500 et ESP/AH
Configuration
Pour contrôler le trafic généré par le Firebox, vous devez :
- Activer le paramètre global Activer la configuration des stratégies pour le trafic généré par le Firebox.
- Ajouter une stratégie qui spécifie le trafic généré par le Firebox.
Pour de plus amples informations concernant le paramètre global, consultez Définir les Paramètres Généraux de Firebox.
Pour configurer les stratégies destinées au trafic généré par le Firebox, consultez Configurer les Stratégies relatives au Trafic Généré par le Firebox.
Pour obtenir les exemples de configuration, consultez Exemples de Configuration de Contrôle du Trafic Généré par le Firebox.
Nous vous recommandons d'adopter la meilleure pratique consistant à ne pas créer de stratégies de refus pour le trafic généré par le Firebox.
Ordre des Stratégies
Lorsque vous activez le paramètre Activer la configuration des stratégies pour le trafic généré par le Firebox, la stratégie Tout-À-partir-du-Firebox précédemment masquée s'affiche dans la liste des stratégies. Cette stratégie ne peut pas être modifiée ou supprimée. Si le mode de tri automatique est activé dans la liste Stratégies (paramètre par défaut), les modifications suivantes se produisent également :
- Modification du numéro de rang des stratégies existantes.
Ces opérations se produisent car la stratégie Tout-À-partir-du-Firebox s'affiche désormais. - Les stratégies qui contrôlent le trafic généré par le Firebox figurent avant toutes les autres stratégies.
S'il n'existe pas d'autres stratégies qui contrôlent le trafic généré par le Firebox, la stratégie Tout-À-partir-du-Firebox figure en tête de liste et est numérotée 1. - Les stratégies que vous ajoutez pour le trafic généré par le Firebox figurent avant la stratégie Tout-À-partir-du-Firebox, car elles sont plus granulaires.
Tunnels et Interfaces Virtuelles BOVPN
Dans Fireware v12.2 et les versions ultérieures, lorsque vous activez le paramètre global Activer la configuration des stratégies pour le trafic généré par le Firebox :
BOVPN
- Le Firebox cesse de définir l'adresse IP source du trafic qu'il génère afin de le faire correspondre à une route de tunnel BOVPN. Cela signifie que le trafic généré par le Firebox utilise une interface WAN au lieu du tunnel BOVPN.
- Si vous activez le paramètre global mais que vous souhaitez que le trafic généré par le Firebox utilise un tunnel BOVPN, vous pouvez ajouter une stratégie.
Interface Virtuelle BOVPN
- Vous pouvez ajouter une stratégie de manière à forcer le trafic généré par le Firebox à utiliser une interface WAN au lieu du tunnel d'interface virtuelle BOVPN.
Pour contrôler le trafic généré par le Firebox lorsque votre configuration comprend un tunnel ou une interface virtuelle BOVPN, consultez Exemples de Configuration de Contrôle du Trafic Généré par le Firebox.
Définir l'Adresse IP Source
Vous pouvez définir l'adresse IP source dans les stratégies destinées au trafic généré par le Firebox. Tout trafic qui utilise la stratégie indique l'adresse spécifiée en tant que source. Vous pouvez définir l'adresse IP source pour le trafic généré par le Firebox si :
- Votre FAI utilise un sous-réseau séparé pour le routage et le trafic et vous souhaitez que le Firebox utilise l'adresse IP principale pour le routage et une adresse IP appartenant à un réseau secondaire pour le trafic généré par le Firebox.
- Vous disposez d'un bloc d'adresses IP indépendant du fournisseur et souhaitez configurer le Firebox de manière à utiliser les adresses IP du trafic généré par le Firebox sans les lier à une interface spécifique.
Vous pouvez utiliser l'interface de bouclage pour lier au Firebox les adresses IP non associées à une interface WAN spécifique. Dans Fireware v12.2 et les versions ultérieures, vous pouvez spécifier l'adresse IP principale ou secondaire de l'interface de bouclage dans les paramètres NAT dynamique d'une stratégie. Pour utiliser des adresses IP indépendantes du fournisseur pour le trafic généré par le Firebox, définissez l'adresse IP source dans une règle DNAT comme une ou plusieurs adresses IP du bloc indépendant du fournisseur.
Pour configurer une stratégie spécifiant une adresse IP source pour le trafic généré par le Firebox, consultez Configurer les Stratégies relatives au Trafic Généré par le Firebox.
Pour de plus amples informations concernant la NAT dynamique global, consultez À propos des Adresses IP Source du NAT Dynamique.
Pour de plus amples informations concernant les adresses IP de bouclage, consultez Configurer une Interface de Bouclage.
Journaux
La journalisation de la stratégie Tout-À-partir-du-Firebox est contrôlée par la case Activer la journalisation du trafic envoyé depuis ce périphérique. Cette case se trouve dans les paramètres de journalisation globaux :
- Web UI — Système > Journalisation > Paramètres
- Policy Manager — Configuration > Journalisation > Niveau de Journalisation de Diagnostic
La journalisation des stratégies créées pour le trafic généré par le Firebox est contrôlée dans ces stratégies.
Voir Également
Configurer les Stratégies relatives au Trafic Généré par le Firebox
Exemples de Configuration de Contrôle du Trafic Généré par le Firebox