Accueil Documentation technique Produits et services Administrer le pare-feu(firewall)

Retour à l'accueil

Administrer le pare-feu(firewall)

Chez Numergy, chaque environnement est cloisonné et étanche, les flux entrants et sortants étant filtrés avec un dispositif de sécurité de dernière génération. Vous pouvez définir vous-même les règles qui régissent ce pare-feu (firewall) et déterminer ainsi la politique d’exposition de votre environnement sur Internet, sans avoir recours à un expert en sécurité pour assurer un premier niveau de protection de vos données.

 

La configuration d’une règle du pare-feu est simple : vous sélectionnez les adresses IP des serveurs de votre environnement, la direction du flux, les protocoles concernés (TCP ou UDP), les ports à ouvrir et les adresses IP externes.

Note :
Consultez le lexique à la fin de cette documentation pour avoir une brève description des ports et des masques. Vous trouverez des informations plus complètes des ports et des masques de réseau sur Wikipédia.

 

Matrice de flux

C’est la matrice de flux qui gère les règles. Par défaut, elle comporte plusieurs règles de base pour les accès Web en HTTP et HTTPS et les accès d’administration en SSH et RDP, mais vous pouvez créer autant de règles que vous le souhaitez en fonction de vos besoins propres. Seules les règles engendrant des conflits logiques sont rejetées. C’est le cas notamment quand il y a un recouvrement, même partiel, d’adresses et de ports.

 

Pour gérer les flux, et donc les règles du pare-feu, cliquez sur Flux dans le menu Administration. La page affiche les règles activées. Utilisez si besoin l’ascenseur à droite pour visualiser toutes les règles. Le nombre de flux ouverts, affiché sur la droite, correspond au nombre de flux actuellement actifs : il ne comptabilise pas les flux actifs au cours du mois.

 

Matrice de flux

Chaque règle est représentée par un bandeau divisé en trois sections avec : à gauche, les adresses IP publiques de votre environnement ; au centre, la direction, les protocoles et les ports ouverts pour le flux ; et, à droite, les adresses IP externes concernées par la règle.

Pour faciliter le repérage, chaque règle dispose d’un nom attribué lors de sa création. Par ailleurs, il est possible de constituer des groupes d’adresses IP, de protocoles et de ports, pour faciliter leur manipulation en leur donnant un nom en clair. Quand vous passez le curseur sur la zone Adresse(s) ou la zone Port(s), une infobulle affiche la liste des adresses et des ports associés.

 

Regle

Si vous cliquez sur l’icône de crayon, à droite du bandeau, la présentation de la règle change pour vous permettre quelques modifications, dans la section de gauche uniquement. Vous pouvez ainsi décochez la case Activée ? pour désactiver la règle et choisir une autre adresse IP dans la liste déroulante qui s’affiche. Si les adresses de la liste ne vous conviennent pas, vous pouvez créer un nouveau groupe en cliquant sur le bouton + sur fond vert, juste à droite (voir plus bas pour la gestion des groupes). Une fois vos modifications effectuées, cliquez à droite sur l’icône de disquette pour valider ou sur la croix rouge pour abandonner sans rien changer.

 

Regle

Note :
Les règles sur fond gris foncé correspondent aux trois règles définies par défaut (HTTP/HTTPS EN ENTREE, HTTP/HTTPS EN SORTIE et ADMINISTRATION). Vous ne pouvez pas supprimer ces règles, juste modifier les adresses. Les règles sur fond gris clair correspondent aux règles privées. Elles peuvent être totalement modifiées et supprimées.

 

Création d’une règle

Pour créer une nouvelle règle, cliquez sur le bouton Nouvelle règle, en haut. Une fenêtre Ouverture de flux s’affiche, vous demandant d’abord de donner un nom à cette nouvelle règle. Tapez le nom de votre choix dans le champ de saisie puis cliquez sur Valider pour continuer ou sur Annuler pour abandonner.

 

Creation d'une regle

 

Après validation, la nouvelle règle s’affiche sur la page principale, à la suite des autres. Vous pouvez encore modifier son nom en le saisissant directement dans le champ dédié.

 

Exemple de regle

Cette fois, vous pouvez modifier tous les paramètres constituant la règle. Ainsi, pour sélectionner les adresses concernées à gauche, sous le nom de la règle, cliquez sur la liste déroulante Adresse(s) et choisissez une des adresses disponibles. Dans la zone Pare-feu, cliquez sur la liste déroulante Direction pour définir le sens du flux (Sortant, Entrant ou Les deux), sur la liste déroulante Protocole(s) pour définir le protocole concerné (TCP, UDP ou TCP/UDP), et sur la liste déroulante Port(s) pour choisir les ports concernés (HTTP/HTTPS, Administration SSH/RDP ou FTP). Enfin, dans la zone Internet, cliquez sur la liste déroulante Adresse(s) pour définir les adresses autorisées (IPs d’administration ou ANY).

 

Modification d’une règle

Pour modifier une règle déjà créée, cliquez sur l’icône de crayon à droite de son bandeau. Modifier les différents champs de la même façon que lors d’une création de règle (voir ci-dessus), puis cliquez sur l’icône de disquette pour valider ou sur la croix pour annuler.

 

Gestion des groupes

Pour personnaliser et manipuler plus facilement les adresses publiques de votre environnement, les adresses externes et les ports, vous pouvez les regrouper dans des groupes. Pour cela, cliquez sur Gestion des groupes, en haut de la page.

 

Gestion des groupes

 

Gestion des groupes

 

Gestion des groupes

 

La fenêtre Gestion des groupes qui apparaît comporte trois sections auxquelles vous accédez en cliquant directement sur leur intitulé : Groupes publiques, Groupes Internet et Groupes port. Toutes les sections se présentent de la même façon, avec la liste des groupes existants, les éléments les composants, les actions possibles, et un bouton Ajouter permettant de créer un nouveau groupe dans chaque catégorie.

 

Pour être facilement identifié et manipulé, chaque groupe porte un nom personnalisé, que vous lui donnez lors de sa création, et que vous pouvez modifier par la suite.

 

La liste des actions possibles pour un groupe comporte deux icônes : un crayon, pour le modifier, et une croix blanche sur fond rouge, pour le supprimer. Elles apparaissent uniquement pour les groupes que vous avez créés : les groupes créés par défaut ne sont ni modifiables, ni supprimables.

 

Gestion des groupes

 

Pour quitter la fenêtre de gestion des groupes, cliquez sur le bouton Fermer, en bas à droite.

 

Création et modification de groupe

La création et la modification de groupes s’effectuent sur le même principe dans les trois sections, avec quelques petites différences liées aux spécificités de chaque catégorie.

Pour créer un groupe d’adresses publiques, allez dans la section Groupes publiques puis cliquez sur le bouton Ajouter. La fenêtre Nouveau Groupe : Environnement apparaît.

 

Nouveau groupe

 

Saisissez un nom de groupe dans le champ Nom. Sélectionnez ensuite une adresse dans la liste à gauche puis cliquez sur le bouton + sur fond vert. L’adresse s’ajoute dans le cadre droit. Renouvelez l’opération autant de fois que nécessaire pour créer votre groupe. Vous pouvez à tout moment retirer une adresse en la sélectionnant dans le cadre droit et en cliquant sur le bouton en forme de croix blanche sur fond rouge. Quand votre groupe est constitué, cliquez sur Valider pour confirmer sa création ou sur Annuler pour abandonner.

 

Nouveau groupe

Une fenêtre de confirmation vous invite à valider la création du groupe. Cliquez sur Valider pour confirmer ou sur Fermer pour abandonner. Après quelques secondes, le nouveau groupe apparaît dans la section Groupes publiques.

 

Gestion des groupes

 

Pour créer un groupe Internet, allez dans la section Groupes Internet puis cliquez sur le bouton Ajouter. La fenêtre Nouveau Groupe : Internet apparaît.

 

Nouveau Groupe

Saisissez un nom de groupe dans le champ Nom. Saisissez ensuite une adresse IP au format IPV4 (xxx.yyy.zzz.nnn, par exemple 83.225.12.91) dans champ Ajouter une IP  puis cliquez sur le bouton + sur fond vert. L’adresse s’ajoute dans le cadre droit. Saisissez ensuite un masque de sous-réseau au format RFC 3021 (par exemple, 192.44.78.64/26) dans le champ Ajouter un sous-réseau puis cliquez sur le bouton + sur fond vert. Le masque s’ajoute dans le cadre droit. Sélectionnez ensuite un sous-groupe dans la liste déroulante Ajouter un sous-groupe puis cliquez sur le bouton + sur fond vert. Le sous-groupe s’ajoute dans le cadre droit. Renouvelez l’opération autant de fois que nécessaire pour créer votre groupe. Vous pouvez à tout moment retirer une adresse en la sélectionnant dans le cadre droit et en cliquant sur le bouton en forme de croix blanche sur fond rouge. Quand votre groupe est constitué, cliquez sur Valider pour confirmer sa création ou sur Annuler pour abandonner.

Nouveau groupe

 

Une fenêtre de confirmation vous invite valider la création du groupe. Cliquez sur Valider pour confirmer ou sur Fermer pour abandonner. Après quelques secondes, le nouveau groupe apparaît dans la section Groupes Internet.

Pour créer un groupe de ports, allez dans la section Groupes Port puis cliquez sur le bouton Ajouter. La fenêtre Nouveau Groupe : Ports apparaît.

 

Nouveau groupe

Saisissez un nom de groupe dans le champ Nom. Si vous souhaitez ajouter un port isolé, Saisissez son numéro dans champ Ajouter un port  puis cliquez sur le bouton + sur fond vert. Le port s’ajoute dans le cadre droit. Si vous souhaitez ajouter une série de ports consécutifs, indiquez le numéro du premier et le numéro du dernier dans les champs De et à sous Ajouter une plage de ports puis cliquez sur le bouton + sur fond vert. La plage de ports s’ajoute dans le cadre droit. Sélectionnez si besoin un sous-groupe dans la liste déroulante Ajouter un sous-groupe puis cliquez sur le bouton + sur fond vert. Le sous-groupe s’ajoute dans le cadre droit. Renouvelez l’opération autant de fois que nécessaire pour créer votre groupe. Vous pouvez à tout moment retirer un élément en le sélectionnant dans le cadre droit et en cliquant sur le bouton en forme de croix blanche sur fond rouge. Quand votre groupe est constitué, cliquez sur Valider pour confirmer sa création ou sur Annuler pour abandonner.

 

Nouveau Groupe

 

Une fenêtre de confirmation vous invite valider la création du groupe. Cliquez sur Valider pour confirmer ou sur Fermer pour abandonner. Après quelques secondes, le nouveau groupe apparaît dans la section Groupes Port.

Une fois les groupes créés, ils deviennent disponibles dans les listes déroulantes correspondantes lorsque vous modifiez ou vous créez une règle.

 

Gestion firewall