Types de Stratégies de Pare-Feu
S'applique à : Fireboxes Gérés sur le Cloud
Lorsque vous ajoutez une stratégie à un Firebox géré sur le cloud, vous spécifiez le type de stratégie. Le type de stratégie détermine les paramètres que vous pouvez configurer dans la stratégie ainsi que les services pris en charge par la stratégie.
Voici les différents types de stratégies :
Le type de la stratégie détermine également la priorité globale de celle-ci. Pour les stratégies de même type, la priorité d'une stratégie dépend de sa source, de sa destination et de son type de trafic. Pour plus d'informations, consultez Priorité des Stratégies de Pare-Feu.
Stratégies de Base
Les stratégies de Base autorisent ou refusent le trafic en fonction des informations d'en-tête des paquets et de leur contenu. Le type de stratégie détermine les services de sécurité et les paramètres de stratégie disponibles. Les stratégies de Base présentent une priorité normale et conviennent à la plupart du trafic.
Types de stratégies de Base :
Sortante — Concerne les connexions d'un réseau interne vers un réseau externe
Les stratégies Sortantes prennent en charge les paramètres appropriés aux connexions des réseaux internes vers les réseaux externes. Les stratégies sortantes prennent en charge tous les services de sécurité. Vous pouvez éventuellement configurer une stratégie Sortante pour déchiffrer le trafic HTTPS afin d'activer les services d'analyse du contenu pour les connexions HTTPS.
Entrante — Concerne les connexions d'un réseau externe vers un réseau interne
Les stratégies entrantes prennent en charge les paramètres et les services appropriés aux connexions des réseaux externes vers les réseaux internes. Les stratégies entrantes ne prennent pas en charge le déchiffrement HTTPS ni l'analyse du contenu HTTPS. Elles ne prennent pas non plus en charge les services de filtrage du contenu.
Personnalisée — Concerne les connexions entre réseaux privés
Les stratégies personnalisées comprennent des paramètres appropriés aux connexions entre réseaux privés. Contrairement aux autres stratégies, vous pouvez configurer une stratégie Personnalisée de manière à ce qu'elle s'applique aux connexions d'une adresse source ou de destination d'une stratégie.
Stratégies de Première et Dernière Exécution
Les stratégies Première Exécution et Dernière Exécution autorisent ou refusent le trafic en se basant uniquement sur les informations d'en-tête des paquets telles que :
- Source
- Destination
- Port
- Protocole
Ces types de stratégies n'examinent pas le contenu du trafic et ne prennent pas en charge les services d'analyse du contenu ni le service de filtrage du contenu WebBlocker.
Ajoutez une stratégie de Première ou Dernière Exécution en tant qu'exception si vous souhaitez que la stratégie s'applique avant ou après les stratégies de Base et que vous ne souhaitez pas utiliser les services d'Analyse du Contenu ou WebBlocker.
Première Exécution
Les stratégies de Première Exécution présentent une priorité plus élevée que toutes les stratégies de Base et de Dernière Exécution. Configurez une stratégie de Première Exécution si vous souhaitez toujours autoriser ou refuser des types de trafic spécifiques en tant qu'exception aux stratégies de Base.
À titre d'exemple, vous pouvez ajouter une stratégie de Première Exécution pour :
- Refuser les connexions sortantes des caméras de sécurité de votre réseau
- Autoriser les connexions VPN sortantes des clients du réseau vers un endpoint VPN externe.
Dernière Exécution
Les stratégies de Dernière Exécution présentent une priorité inférieure à toutes les stratégies de Base et de Première Exécution. Une stratégie de Dernière Exécution s'applique uniquement au trafic ne correspondant pas aux stratégies de Base ou de Première Exécution configurées.
Le Firebox refuse les connexions ne correspondant à aucune stratégie. Il n'est pas nécessaire d'ajouter de stratégie Dernière Exécution pour refuser les connexions ne correspondant à aucune stratégie configurée.
Stratégies Système
La configuration du Firebox comprend également des stratégies système non modifiables. Les stratégies système sont masquées par défaut. Pour plus d'informations, consultez Stratégies de Pare-Feu Système.