Sécurité

Vous pouvez configurer les paramètres de sécurité tels que le chiffrement réseau, le pare-feu et les certificats applicables à toutes les appliances du réseau.

Chiffrement

Le mode Network Encryption définit l’algorithme utilisé pour tous les chemins chiffrés du réseau SD-WAN. Il n’est pas applicable aux chemins non chiffrés. Vous pouvez définir le chiffrement comme AES-128 ou AES-256.

Mode de chiffrement réseau

Zones de pare-feu

Vous pouvez configurer des zones dans le réseau et définir des stratégies pour contrôler la manière dont le trafic entre et quitte les zones. Les zones suivantes sont disponibles par défaut :

  • Default_lan_zone : s’applique au trafic à destination ou en provenance d’un objet avec une zone configurable, où la zone n’a pas été définie.
  • Internet_Zone : s’applique au trafic à destination ou en provenance d’un service Internet utilisant une interface de confiance.
  • Untrusted_Internet_Zone : s’applique au trafic à destination ou en provenance d’un service Internet utilisant une interface non approuvée.

Zones de pare-feu

Vous pouvez également créer vos propres zones et les affecter aux types d’objets suivants :

  • Interfaces réseau virtuelles
  • Services Intranet
  • Tunnels GRE
  • Tunnels IPsec LAN

Paramètres par défaut du pare-feu

Vous pouvez configurer les paramètres de pare-feu globaux qui peuvent être appliqués à toutes les appliances du réseau SD-WAN. Les paramètres peuvent également être définis au niveau du site, ce qui remplace le paramètre global.

Paramètres par défaut du pare-feu

  • Action de pare-feu par défaut : sélectionnez une action (Autoriser/Déposer) dans la liste pour les paquets qui ne correspondent pas à une stratégie.

  • Suivi de l’état de connexion par défaut : Active le suivi de l’état de connexion directionnelle pour les flux TCP, UDP et ICMP qui ne correspondent pas à une stratégie de filtre ou à une règle NAT.

    Remarque

    Les flux asymétriques sont bloqués lorsque le suivi de l’état de connexion par défaut est activé même lorsqu’aucune stratégie de pare-feu n’est définie. S’il existe une possibilité de flux asymétriques sur un site, la recommandation est de l’activer au niveau d’un site ou d’une politique, et non au niveau mondial.

  • Délai (s) refusé (s) : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer les connexions refusées.

  • Délai (s) initial (s) TCP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer une session TCP incomplète.

  • Délai (s) d’inactivité TCP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer une session TCP active.

  • Délai defermeture TCP : délai(en secondes) d’attente pour les nouveaux paquets avant de fermer une session TCP après une demande de fin.

  • Délai d’attente TCP : Temps d’attente (en secondes) pour attendre de nouveaux paquets avant de fermer une session TCP terminée.

  • Délai (s) fermé (s) TCP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer une session TCP interrompue.

  • Délai d’expiration initial UDP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer la session UDP qui n’a pas vu de trafic dans les deux sens.

  • Délai (s) d’inactivité UDP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer une session UDP active.

  • Délai (s) initial (s) ICMP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer une session ICMP qui n’a pas vu de trafic dans les deux sens

  • Délai (s) d’inactivité ICMP : Temps (en secondes) d’attente pour les nouveaux paquets avant de fermer une session ICMP active.

  • Délai (s) initial (s) générique(s) : délai (en secondes) d’attente pour les nouveaux paquets avant de fermer une session générique qui n’a pas vu de trafic dans les deux sens.

  • Délai d’inactivité générique : Temps d’attente (en secondes) pour attendre de nouveaux paquets avant de fermer une session générique active.

Stratégies de pare-feu

Les stratégies de pare-feu assurent la sécurité en s’assurant que le trafic réseau est limité uniquement à une stratégie spécifique en fonction des critères de correspondance et en appliquant des actions spécifiques.

Vous pouvez définir des règles de pare-feu et les placer en fonction de la priorité. Vous pouvez choisir l’ordre de priorité à commencer en haut de la liste, en bas de la liste ou à partir d’une ligne spécifique.

Il est recommandé d’avoir des règles plus spécifiques pour les applications ou les sous-applications en haut, suivies de règles moins spécifiques pour celles qui représentent un trafic plus large.

Paramètres par défaut du pare-feu

Pour créer une règle de pare-feu, cliquez sur Créer une nouvelle règle.

Détails de la stratégie de pare-feu

  • Les critères de correspondance définissent le trafic de la règle, par exemple une application, une application personnalisée, un groupe d’applications, une famille d’applications ou un protocole IP.

  • Informations sur le réseau :

    • Zone source : zonede pare-feu source.

    • Zone de destination : zonede pare-feu de destination.

    • Type de service source : Le type de service SD-WAN source — Local, Virtual Path, Intranet, IPHost ou Internet sont des exemples de types de service.

    • Nom du service source : nom d’un service lié au type de service. Par exemple, si le chemin d’accès virtuel est sélectionné pour le type de service source, il s’agit du nom du chemin d’accès virtuel spécifique. Ce n’est pas toujours nécessaire et dépend du type de service sélectionné.

    • IP source : l’adresse IP et le masque de sous-réseau que la règle utilise pour faire correspondre.

    • Port source : port source utilisé par l’application spécifique.

    • Type de serviceDest : Le type de service SD-WAN de destination — Local, Virtual Path, Intranet, IPHost ou Internet sont des exemples de types de service.

    • Nom du service Dest : Nom d’un service lié au type de service. Ce n’est pas toujours nécessaire et dépend du type de service sélectionné.

    • IP Dest : L’adresse IP et le sous-réseau masquent que le filtre utilise pour correspondre.

    • Port Dest : port de destination utilisé par l’application spécifique (c’est-à-dire port de destination HTTP 80 pour le protocole TCP).

    • Protocole IP : si ce type de correspondance est sélectionné, sélectionnez un protocole IP avec lequel la règle correspond. Les options incluent ANY, TCP, UDP ICMP et ainsi de suite.

    • DSCP : permet à l’utilisateur de faire correspondre un paramètre de balise DSCP.

    • Autoriser les fragments : Autoriser les fragments IP correspondant à cette règle.

    • Inverser également : ajoutez automatiquement une copie de cette stratégie de filtre avec les paramètres source et destination inversés.

    • Correspondance établie : Correspondance des paquets entrants pour une connexion à laquelle les paquets sortants étaient autorisés.

  • L’étendue de la règle spécifie si une règle définie peut être appliquée globalement sur tous les sites du réseau ou sur certains sites spécifiques.

  • Les actions suivantes peuvent être effectuées sur un flux apparié :

    • Autoriser : Autoriserle flux à travers le pare-feu.

    • Déposer : Refuser le flux à travers le pare-feu en déposant les paquets.

    • Rejeter : Refuser le flux à travers le pare-feu et envoyer une réponse spécifique au protocole. TCP envoie une réinitialisation, ICMP envoie un message d’erreur.

    • Compter et continuer : comptez le nombre de paquets et d’octets pour ce flux, puis continuez vers le bas dans la liste des stratégies.

En plus de définir l’action à effectuer, vous pouvez également sélectionner les journaux à capturer.

Certificats

Il existe deux types de certificats : Identité et Trusted. Les certificats d’identité sont utilisés pour signer ou chiffrer des données afin de valider le contenu d’un message et l’identité de l’expéditeur. Les certificats de confiance sont utilisés pour vérifier les signatures de messages. Les appliances Citrix SD-WAN acceptent les certificats d’identité et de confiance. Les administrateurs peuvent gérer les certificats dans l’Éditeur de configuration.

Ajouter un certificat

Pour ajouter un certificat, cliquez sur Ajouter un certificat.

  • Certificats d’identité : Les certificats d’identité exigent que la clé privée du certificat soit disponible pour le signataire. Les certificats d’identité ou leurs chaînes de certificats qui sont approuvés par un homologue pour valider le contenu et l’identité de l’expéditeur. Les certificats d’identité configurés et leurs empreintes digitales respectives sont affichés dans l’éditeur de configuration.

  • Certificatsde confiance : Les certificats de confiance sont des certificats d’autorité de certification intermédiaire ou d’autorité de certification racine auto-signés utilisés pour valider l’identité d’un pair. Aucune clé privée n’est requise pour un certificat de confiance. Les certificats de confiance configurés et leurs empreintes digitales respectives sont répertoriés ici.

Certificat