À propos de l'Ordre de Priorité des Stratégies

La priorité est l'ordre dans lequel le Firebox examine le trafic réseau et applique une règle de stratégie. Le Firebox trie automatiquement les stratégies en allant de la plus spécifique à la plus générique. Il compare les informations du paquet à la liste de règles de la première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets.

Ordre de priorité automatique des stratégies

Le Firebox accorde automatiquement la priorité aux stratégies les plus spécifiques au détriment des stratégies les moins spécifiques. Le Firebox examine la spécificité des critères de la stratégie. S'il ne peut pas déterminer la priorité à partir du premier critère, il passe au deuxième et ainsi de suite. Les critères de priorité sont examinés dans l'ordre suivant :

  1. Spécificité de stratégie
  2. Protocoles définis pour le type de stratégie
  3. Règles de trafic de la liste Vers
  4. Règles de trafic de la liste De
  5. Action de pare-feu (Autorisé, Refusé ou Refusé (envoi de ré-initialisation)) appliquée aux stratégies
  6. Calendriers appliqués aux stratégies
  7. Séquence alphanumérique basée sur le type de stratégie
  8. Séquence alphanumérique basée sur un nom de stratégie

Spécificité de stratégie et protocoles

Le périphérique Firebox utilise ces critères dans l'ordre pour comparer deux stratégies jusqu'à ce qu'il détermine que les deux stratégies sont égales ou que l'une est plus détaillée que l'autre.

  1. Une stratégie Tout a toujours la plus faible priorité.
  2. Vérifiez le nombre de protocoles TCP 0 (tout) ou UDP 0 (tout). La stratégie avec le plus petit nombre a la priorité la plus élevée.
  3. Vérifiez le nombre de ports uniques des protocoles TCP et UDP. La stratégie avec le plus petit nombre a la priorité la plus élevée.
  4. Additionnez les numéros de port uniques TCP et UDP. La stratégie avec le plus petit nombre a la priorité la plus élevée.
  5. Notez les protocoles en fonction de leur valeur de protocole IP. La stratégie avec le plus petit score a la priorité la plus élevée.

Si le périphérique Firebox ne peut établir la priorité lorsqu'il compare la spécificité de la stratégie et les protocoles, il examine les règles de trafic.

Règles de trafic

Le périphérique Firebox utilise ces critères dans l'ordre afin de comparer la règle de trafic la plus générique d'une stratégie avec celle d'une seconde stratégie. Il attribue une priorité plus élevée à la stratégie ayant la règle de trafic la plus détaillée.

  1. Adresse de l'hôte
  2. Plage d'adresses IP (plus petite que le sous-réseau auquel elle est comparée)
  3. Sous-réseau
  4. Plage d'adresses IP (plus grande que le sous-réseau auquel elle est comparée)
  5. Authentification du nom d'utilisateur
  6. Groupe d'authentification
  7. Interface, Firebox
  8. Tout-Externe, Tout-Approuvé, Tout-Facultatif
  9. Tout

Par exemple, comparez ces deux stratégies :

(HTTP-1) De : Approuvé, utilisateur1

(HTTP-2) De : 10.0.0.1, Tout-Approuvé

Approuvé est l'entrée la plus générale pour HTTP-1. Tout-Approuvé est l'entrée la plus générale pour HTTP-2. Approuvé étant inclus dans l'alias Tout-Approuvé, HTTP-1 est la règle de trafic la plus détaillée. Cela est correct même si HTTP-2 comprend une adresse IP, car le Firebox compare la règle de trafic la plus générique d'une stratégie à celle d'une seconde stratégie pour définir l'ordre de priorité.

Si le Firebox ne peut pas établir la priorité lorsqu'il compare les règles de trafic, il examine les actions de pare-feu.

Actions de pare-feu

Le Firebox compare les actions de pare-feu de deux stratégies afin de définir l'ordre de priorité. La priorité des actions de pare-feu, de la plus élevée à la plus faible est la suivante :

  1. Refusé ou Refusé (envoi de ré-initialisation)
  2. Stratégie de proxy autorisée
  3. Stratégie filtrée par paquets approuvée

Si le Firebox ne peut établir la priorité lorsqu'il compare les actions de pare-feu, il examine les calendriers.

Calendriers

Le Firebox compare les calendriers de deux stratégies pour définir la priorité. La priorité des calendriers de la plus élevée à la plus faible est la suivante :

  1. Toujours inactif
  2. Parfois actif
  3. Toujours actif (O)

Si le Firebox ne peut établir de priorité lorsqu'il compare les calendriers, il examine les types et les noms de stratégie.

Types et noms de stratégie

Si les deux stratégies ne correspondent à aucun autre critère de priorité, le Firebox classe les stratégies par ordre alphanumérique. D'abord, elle utilise le type de stratégie. Puis, elle utilise le nom de stratégie. Comme il ne peut pas y avoir deux stratégies de même type et de même nom, ce critère représente le dernier critère de priorité.

Créer manuellement la priorité

Vous pouvez changer le mode de classement manuel et définir la priorité de stratégies de votre Firebox.

Nous vous recommandons d'utiliser le mode de classement automatique pour définir la priorité des stratégies. Si vous activez le mode de classement manuel, assurez-vous de tester avec soin l'ordre des stratégies.

Pour passer en mode de classement manuel dans Fireware Web UI :

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
    La page Stratégies de pare-feu s'affiche.
  2. Dans la liste de stratégie suivante, cliquez sur Désactiver le mode de Classement Automatique.
    Un message de configuration apparaît.
  3. Cliquez sur Oui.
  4. Pour changer l'ordre d'une stratégie, cochez la case d'une stratégie et cliquez sur Monter ou Descendre pour la déplacer dans la liste, ou faites-la glisser vers un nouvel emplacement dans la Liste de Stratégies.
  5. Cliquez sur Sauvegarder l'Ordre des Stratégie.

Pour passer en mode de classement manuel dans Policy Manager :

  1. Sélectionnez Afficher > Mode de Classement Automatique.
    La coche disparaît et un message de confirmation s'affiche.
  2. Cliquez sur Oui pour confirmer que vous souhaitez basculer en mode de classement manuel.
    Lorsque vous basculez en mode de classement manuel, la fenêtre Policy Manager passe en mode Détails. Vous ne pouvez pas modifier l'ordre des stratégies si vous êtes en mode Grandes icônes.
  3. Pour modifier l'ordre d'une stratégie, utilisez l'une des méthodes suivantes :
    • Sélectionnez une stratégie et faites-la glisser vers un nouvel emplacement.
    • Sélectionnez le numéro de la stratégie puis saisissez le numéro de son nouvel emplacement.
    • Sélectionnez une stratégie puis utilisez les flèches Haut et Bas de la barre d'outils Ordre des Stratégies.

Voir Également

À propos des affichages de Stratégie

Définir des Règles d'Accès pour une Stratégie