À Propos de SIP ALG

Si vous utilisez un protocole VoIP dans votre entreprise, vous pouvez ajouter un protocole SIP (Session Initiation Protocol) ou H.323 ALG (Application Layer Gateway) pour ouvrir les ports requis et activer le VoIP sur votre Firebox. Une passerelle ALG est créée de la même manière qu'une stratégie de proxy, et offre les mêmes options de configuration. Ces ALG ont été créées pour fonctionner dans un environnement NAT afin de maintenir la sécurité des équipements de visioconférence à adresse privée derrière votre Firebox.

Le protocole H.323 est couramment utilisé dans les équipements de visioconférence. Le protocole SIP est généralement utilisé avec des téléphones IP. Au besoin, vous pouvez utiliser le protocole H.323 et les ALG SIP en même temps. Pour déterminer quelle ALG ajouter, consultez la documentation de vos périphériques ou applications de VoIP.

Il n'y a pas de stratégie par défaut pour le trafic SIP-ALG. Avant de configurer SIP-ALG, vous devez créer une stratégie de proxy pour gérer le trafic. Pour des instructions détaillées sur la manière d'ajouter un SIP ALG à la configuration de votre Firebox, voir Ajouter une Stratégie de Proxy à Votre Configuration.

Pour connaître les configurations de déploiement prises en charge, voir Exemple de schémas réseau VoIP.

Composants du VoIP

Il est important de comprendre que vous implémentez généralement le VoIP à l'aide de :

Connexions pair à pair

Dans une connexion pair à pair, chacun des deux périphériques connaît l'adresse IP de l'autre, et la connexion se fait directement, sans devoir utiliser de serveur proxy pour router leurs appels.

Connexions situées sur un hôte

Connexions gérées par un système de gestion des appels (PBX). Le système de gestion des appels peut être auto-hébergé ou hébergé par un fournisseur de services tiers.

Le protocole SIP comporte deux principaux composants de gestion d'appels, qui sont le Registraire SIP et le Proxy SIP. Ensemble, ces composants gèrent les connexions hébergées par le système de gestion des appels. Le protocole WatchGuard SIP-ALG ouvre et ferme les ports nécessaires au fonctionnement du protocole SIP. Le protocole WatchGuard SIP-ALG prend en charge les liaisons SIP. Il peut prendre en charge à la fois le Registraire SIP et le Proxy SIP quand il est utilisé avec un système de gestion des appels qui se trouve à l'extérieur du Firebox.

La coordination des nombreux composants d'une installation VoIP peut s'avérer difficile. Nous vous conseillons de vous assurer que les connexions VoIP fonctionnent bien avant d'ajouter un protocole H.323 ou une ALG-SIP. Vous pouvez ainsi résoudre les problèmes éventuels.

Prise en charge de la messagerie instantanée

Le SIP-ALG prend en charge la messagerie instantanée basée sur les pages dans le cadre du protocole SIP par défaut. Vous ne devez suivre aucune autre étape de configuration supplémentaire pour utiliser la messagerie instantanée avec le SIP-ALG.

Fonctions d'ALG

Lorsque vous utilisez un SIP-ALG, votre Firebox :

Dirige le trafic pour les applications VoIP
Ouvre les ports nécessaires pour effectuer et recevoir des appels, et pour échanger des contenus audio et vidéo
S'assure que les connexions VoIP utilisent les protocoles SIP standard
Génère des messages de consignation à des fins d'audit
Prend en charge la présence SIP via l'utilisation de la méthode Publier SIP. Les utilisateurs de téléphones logiciels peuvent ainsi voir l'état de leurs pairs.

Bon nombre de périphériques et serveurs VoIP utilisent la NAT (traduction d'adresses réseau)pour ouvrir et fermer les ports de manière automatique. Le H.323 et les ALG SIP bénéficient aussi de cette fonction. Vous devez désactiver la NAT sur vos périphériques VoIP si vous configurez un H.323 ou une ALG SIP.

Configurer SIP ALG

Ces sections décrivent les onglets de configuration de SIP-ALG dans Fireware Web UI.

Onglet Paramètres

Sur l'onglet Paramètres, vous pouvez définir des informations de base sur une stratégie de proxy, par exemple, si elle autorise ou refuse le trafic, créer des règles d'accès pour une stratégie ou configurer la NAT statique ou l'équilibrage de charge côté serveur. L'onglet Paramètres affiche également le port et le protocole de la stratégie ainsi qu'une description facultative de la stratégie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la notification, le blocage automatique et les préférences de délai d'expiration.

Les connexions sont — Précisez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisé), et définissez celui qui apparaît dans les listes De et À (dans l'onglet Stratégie de la définition du proxy). Consultez Définir des Règles d'Accès pour une Stratégie .
Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Consultez Configurer la Traduction d'Adresses Réseau Statique (SNAT) et Configurer l'Équilibrage de Charge Côté Serveur.
Pour spécifier les paramètres de journalisation pour cette stratégie, configurez les paramètres dans la section Journalisation.

Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.
Si vous choisissez d ans la liste déroulante Les connexions sont l'état Refusé ou Refusé (envoi réinitialisé), les sites tentant de recourir au protocole POP3 seront bloqués.

Pour plus d'informations, consultez Bloquer Temporairement les Sites avec des Paramètres de Stratégie.
Pour modifier le délai d'inactivité défini par le Firebox ou le serveur d'authentification, consultez Définir un Délai d'Inactivité Personnalisé.

Onglet SD-WAN

Dans l'onglet SD-WAN, vous pouvez choisir d'appliquer une action SD-WAN à la stratégie. Vous pouvez également ajouter une nouvelle action SD-WAN. Pour plus d'informations sur le routage SD-WAN, consultez À propos du SD-WAN.

SD-WAN remplace le routage basé sur stratégie dans Fireware v12.3 et les versions ultérieures.

Onglet Application Control

Si Application Control est activé sur votre Firebox, vous pouvez définir l'action que ce proxy utilise pour cette application.

Sélectionnez l'onglet Application Control.
Dans la liste déroulante Action Application Control, sélectionnez une action d'Application Control à utiliser pour cette stratégie ou créez une nouvelle action.
(Facultatif) Modifier les paramètres d'Application Control pour l'action sélectionnée.
Cliquez sur Enregistrer.

Pour plus d'informations, consultez Activer Application Control dans une Stratégie.

Onglet Gestion du Trafic

Dans l'onglet Gestion du Trafic, vous pouvez sélectionnez l'action de Gestion de Trafic pour la stratégie. Vous pouvez également créer une nouvelle action de Gestion du Trafic. Pour plus d'informations sur les Actions de Gestion du Trafic, consultez Définir une Action de Gestion de Trafic dans v11.8.x et les Versions Antérieures et Ajouter une Action de Gestion de Trafic à une Stratégie.

Pour appliquer une action de Gestion de Trafic à une stratégie :

Sélectionnez l'onglet Gestion du trafic.
Dans la liste déroulante Action de Gestion de Trafic, sélectionnez une action de Gestion du Trafic.

Ou, pour créer une nouvelle action de Gestion de Trafic, sélectionnez Créer Nouveau et configurez les paramètres tel que décrit dans la rubrique Définir une Action de Gestion de Trafic dans v11.8.x et les Versions Antérieures.
Cliquez sur Enregistrer.

Onglet Action de Proxy

Vous pouvez choisir une action de proxy prédéfinie ou configurer une action de proxy définie par l'utilisateur pour ce proxy. Pour plus d'informations sur la façon de configurer les actions de proxy, consultez À propos des Actions de Proxy.

Pour configurer l'action de proxy :

Sélectionnez l'onglet Action de Proxy.
Dans la liste déroulante Action de Proxy, sélectionnez l'action de proxy à utiliser pour cette stratégie.

Pour plus d'informations sur les actions de proxy, consultez À propos des Actions de Proxy.
Cliquez sur Enregistrer.

Pour l'ALG SIP, vous pouvez configurer les catégories de paramètres suivantes pour une action de proxy :

Onglet Planification

Dans l'onglet Planification, vous pouvez définir un planning d'application pour la stratégie. Vous pouvez sélectionnez un planning existant ou en créer un nouveau.

Sélectionnez l'onglet Planification.
Dans la liste déroulante Planifier une action, sélectionnez un planning.
Ou, pour créer un nouveau planning, sélectionnez Créer un nouveau et configurez les paramètres tel que décrit dans les rubriques Créer des Plannings pour les Actions Firebox et Définir un Calendrier d'Application.
Cliquez sur Enregistrer.

Onglet Avancé

L'onglet Avancé comprend des paramètres pour les options NAT, QoS, multi-WAN et ICMP.

Pour modifier ou ajouter un commentaire à la configuration de cette stratégie de proxy, saisissez le commentaire dans la zone de texte Commentaire.

Pour plus d'informations sur les options de cet onglet, voir :

Ces sections décrivent les onglets de configuration de SIP ALG dans Policy Manager.

Onglet Stratégie

Pour définir les règles d'accès et d'autres options, sélectionnez l'onglet Stratégie.

Les connexions SIP ALG sont — Précisez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisé), et définissez celui qui apparaît dans les listes De et À (dans l'onglet Stratégie de la définition du proxy). Consultez Définir des Règles d'Accès pour une Stratégie .
Router le trafic sortant via > SD-WAN — Consultez la section À propos du SD-WAN. Astuce !
Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Consultez Configurer la Traduction d'Adresses Réseau Statique (SNAT) et Configurer l'Équilibrage de Charge Côté Serveur.
Activer Application Control — Activez Application Control et sélectionnez l'action Application Control à utiliser pour cette stratégie. Pour plus d'informations, consultez Activer Application Control dans une Stratégie.
Activer Geolocation — Activez Geolocation et sélectionnez l'action Geolocation à utiliser pour cette stratégie. Pour plus d'informations, consultez Configurer Geolocation.
Activer IPS — Activez IPS pour cette stratégie. Pour plus d'informations, consultez Activer ou désactiver IPS pour une Stratégie.
Action de proxy— Sélectionnez l'action de proxy à utiliser pour cette stratégie. Vous pouvez également modifier les ensembles de règles pour les actions de proxy.

Onglet Propriétés

Vous pouvez configurer les options suivantes dans l'onglet Propriétés :

Pour modifier ou ajouter un commentaire à la configuration de cette stratégie, saisissez le commentaire dans la zone de texte Commentaire.
Pour définir les paramètres de journalisation pour la stratégie, cliquez sur Journalisation.

Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.
Si vous choisissez l'état Refusé ou Refusé (envoi réinitialisé) dans la liste déroulante Les connexions SIP ALG sont (dans l'onglet Stratégie), les sites tentant de recourir au protocole POP3 seront bloqués.
Pour plus d'informations, consultez Bloquer Temporairement les Sites avec des Paramètres de Stratégie.
Pour modifier le délai d'inactivité défini par le Firebox ou le serveur d'authentification, consultez Définir un Délai d'Inactivité Personnalisé.

Onglet Avancé

Vous pouvez aussi configurer les options suivantes dans votre définition de proxy :

Définir un Calendrier d'Application
Ajouter une Action de Gestion de Trafic à une Stratégie
Définir la Gestion des Erreurs ICMP
Appliquer des Règles NAT (Les règles 1-to-1 NAT et NAT dynamique sont activées par défaut dans toutes les stratégies).
Définir des Limites de Vitesse de Connexion
Activer le Marquage QoS et la Priorité pour une Stratégie
Définir la Durée de Connexion Persistante pour une Stratégie

Configurer l'action de proxy

Pour l'ALG SIP, vous pouvez configurer les catégories de paramètres suivantes pour une action de proxy :

Voir Également

À propos des Stratégies de Proxy et des ALG

À Propos du codec H.323 ALG

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.