Créer et gérer des stratégies de pare-feu

Créez des stratégies de pare-feu pour stocker les règles de stratégie de pare-feu que vous créez afin de contrôler la façon dont un pare-feu inspecte, autorise ou refuse le trafic réseau.

Créez des stratégies de pare-feu avant de créer des pare-feu. Chaque pare-feu doit être associé à au moins une stratégie de pare-feu.

Lorsque vous créez une stratégie de pare-feu, les limites et restrictions habituelles du service Network Firewall s'appliquent.

A propos des composants de règle de stratégie de pare-feu

Une fois que vous avez créé une stratégie de pare-feu, commencez à préparer la création de règles de stratégie de pare-feu. Avec les composants de règle de stratégie de pare-feu, vous pouvez créer des listes pour regrouper des applications, des services, des URL ou des adresses à utiliser dans une règle de stratégie de pare-feu. Tous les éléments d'une liste sont traités de la même façon lorsqu'ils sont utilisés dans une règle. La liste peut ensuite être référencée dans une règle.

Un composant de règle peut également inclure des profils de décryptage. Créez un profil de déchiffrement avec une clé secrète mise en correspondance pour contrôler la façon dont le proxy de transfert SSL et l'inspection entrante SSL effectuent les vérifications du mode de session, du serveur et des échecs.

A propos des règles de stratégie de pare-feu

Une règle de stratégie de pare-feu est un ensemble de critères que vous définissez pour une stratégie de pare-feu afin d'autoriser ou de refuser le trafic réseau avec un pare-feu. Vous pouvez créer les types de règle de stratégie de pare-feu suivants :

  • Règles de décryptage pour décrypter le trafic
  • Règles de sécurité pour autoriser ou bloquer le trafic
  • Règles d'inspection de tunnel pour inspecter le trafic

Si vous créez une stratégie de pare-feu et que vous ne définissez aucune règle de stratégie de pare-feu, tout le trafic réseau est refusé.

Les règles sont appliquées à un paquet réseau à l'aide des critères spécifiques suivants :
  • Les règles de décryptage sont toujours appliquées avant les règles de sécurité.
  • Les règles de décryptage et les règles de sécurité sont appliquées selon un ordre de priorité que vous pouvez définir
Une fois que vous avez associé une stratégie à un pare-feu, le pare-feu commence à autoriser ou à refuser le trafic en fonction des règles de la stratégie, comme suit :
  1. Le pare-feu évalue les règles de déchiffrement par ordre de priorité dans la liste.
  2. Lorsqu'une règle de décryptage correspond aux informations du paquet, le pare-feu applique l'action de règle spécifiée.
  3. Lorsqu'une action de règle est appliquée, le pare-feu n'évalue aucune autre règle de déchiffrement.
  4. Si les informations du paquet ne correspondent à aucune règle de décryptage, le pare-feu ne décrypte pas le paquet.
  5. Le pare-feu évalue les règles de sécurité par ordre de priorité dans la liste.
  6. Lorsqu'une règle de sécurité correspond aux informations du paquet, le pare-feu applique l'action de règle spécifiée.
  7. Lorsqu'une action de règle est appliquée, le pare-feu n'évalue aucune autre règle de sécurité.
  8. Si les informations du paquet ne correspondent à aucune règle de sécurité, le pare-feu supprime le paquet.

Les règles sont facultatives, mais si la stratégie que vous utilisez avec un pare-feu n'a pas au moins une règle spécifiée, le pare-feu refuse tout le trafic réseau.

Par défaut, chaque nouvelle règle que vous créez devient la première de la liste de priorités. Vous pouvez modifier l'ordre de priorité à tout moment.

A propos des règles de décryptage

Les règles de décryptage décryptent le trafic à partir d'une source et/ou d'une destination spécifiées. La condition de correspondance entre la source et la destination spécifiées pour le trafic se compose de listes d'adresses que vous configurez dans la stratégie avant de construire la règle.

Lorsque la source et la destination spécifiées sont satisfaites, le pare-feu effectue l'action de règle. Vous pouvez choisir d'effectuer les actions suivantes :

  • Décrypter le trafic avec le proxy de transfert SSL
  • Décrypter le trafic avec l'inspection entrante SSL
  • Ne déchiffrez pas le trafic.

Si vous choisissez de procéder au décryptage, choisissez le profil de décryptage et la clé secrète mise en correspondance à appliquer lors du décryptage du trafic. Vous devez configurer les profils de décryptage et les clés secrètes mises en correspondance dans la stratégie avant de construire la règle. Par défaut, l'ordre de priorité des règles de décryptage est leur ordre de création. Vous pouvez modifier l'ordre de priorité.

Limites:
  • Nombre maximal de règles de décryptage pour chaque stratégie : 1 000

Clés secrètes et profils pour les règles de décryptage

Si une stratégie de pare-feu utilise des règles de déchiffrement qui utilisent l'authentification par certificat, vous devez configurer des clés secrètes mises en correspondance et des profils de déchiffrement.

Les secondes secrètes mises en correspondance sont des clés secrètes que vous créez dans le service Vault, puis que vous mettez en correspondance avec des clés SSL entrantes ou sortantes. Les clés secrètes sont utilisées pour décrypter et inspecter le trafic SSL/TLS avec le proxy de transfert SSL et l'inspection entrante SSL.

Si vous prévoyez d'utiliser un proxy de transfert SSL ou une inspection entrante SSL, configurez un coffre et des clés secrètes avant de commencer à configurer une stratégie avec des règles. Reportez-vous à Configuration du décryptage et de l'inspection du trafic réseau.

Les profils de décryptage contrôlent la façon dont le proxy de transfert SSL et l'inspection entrante SSL effectuent les vérifications de mode de session, de serveur et d'échec.

Les options suivantes sont disponibles pour les profils de décryptage de proxy de transfert SSL :
  • Blocage de l'expiration du certificat : bloque les sessions si le certificat du serveur a expiré. Cette option empêche l'accès à des sites potentiellement non sécurisés. Si cette option n'est pas sélectionnée, les utilisateurs peuvent se connecter à des sites potentiellement malveillants et consulter des messages d'avertissement lorsqu'ils tentent de se connecter, mais la connexion n'est pas bloquée.
  • Blocage d'un émetteur non sécurisé : bloque les sessions si le certificat du serveur est émis par une autorité de certification non sécurisée. Un émetteur non sécurisé peut signaler une attaque de l'homme du milieu, une attaque par réexécution ou toute autre attaque.
  • Bloquer le certificat avec expiration : bloque les sessions si la vérification du statut du certificat expire. Les vérifications du statut du certificat utilisent la liste des certificats révoqués sur un serveur de révocation ou utilisent le protocole OCSP (Online Certificate Status Protocol) pour vérifier si l'autorité de certification qui a émis le certificat l'a révoqué. Les serveurs de révocation peuvent être lents à répondre, ce qui peut entraîner l'expiration de la session, même si le certificat est valide.
  • Bloquer le cryptage non pris en charge : bloque les sessions si le mécanisme de cryptage SSL indiqué dans la poignée de main SSL n'est pas pris en charge.
  • Bloquer la version non prise en charge : bloque les sessions si la version SSL indiquée dans l'établissement de liaison SSL n'est pas prise en charge.
  • Bloquer un certificat inconnu : bloque les sessions si le statut du certificat est "inconnu". Le statut du certificat peut être inconnu pour de nombreuses raisons. Utilisez donc cette option dans les zones de haute sécurité du réseau plutôt que pour la sécurité générale.
  • Limiter les extensions de certificat : restreint les extensions à l'utilisation de clé et à l'utilisation de clé étendue. Utilisez cette option uniquement si le déploiement ne nécessite aucune autre extension de certificat.
  • Inclure automatiquement le nom alternatif : ajoute automatiquement un nom de sujet alternatif à la fin du certificat d'emprunt d'identité si le certificat du serveur est manquant.
  • Bloquer si aucune ressource : bloque les sessions si les ressources de traitement disponibles ne sont pas suffisantes. Si vous n'utilisez pas cette option, le trafic crypté entre dans le réseau toujours crypté, ce qui risque d'entraîner des connexions potentiellement dangereuses. L'utilisation de cette option peut avoir une incidence sur l'expérience de l'utilisateur en rendant les sites temporairement inaccessibles.
Les options suivantes sont disponibles pour les profils de décryptage d'inspection entrante SSL :
  • Bloquer les sessions avec une version non prise en charge : bloque les sessions présentant une version faible et non prise en charge du protocole SSL.
  • Bloquer le cryptage non pris en charge : bloque les sessions si le mécanisme de cryptage SSL indiqué dans la poignée de main SSL n'est pas pris en charge.
  • Bloquer si aucune ressource : bloque les sessions si les ressources de traitement disponibles ne sont pas suffisantes. Si vous n'utilisez pas cette option, le trafic crypté entre dans le réseau toujours crypté, ce qui risque d'entraîner des connexions potentiellement dangereuses. L'utilisation de cette option peut avoir une incidence sur l'expérience de l'utilisateur en rendant les sites temporairement inaccessibles.
Limites:
  • Nombre maximal de clés secrètes mises en correspondance pour chaque stratégie : 300
  • Nombre maximal de clés secrètes mises en correspondance entrantes SSL pour chaque stratégie : 300
  • Nombre maximal de clés secrètes mises en correspondance de proxy de transfert SSL pour chaque stratégie : 1
  • Nombre maximal de profils de décryptage pour chaque stratégie : 500

Pour créer une clé secrète mise en correspondance, reportez-vous à Création d'une clé secrète mise en correspondance.

Pour créer un profil de déchiffrement, reportez-vous à Création d'un profil de déchiffrement.

A propos des règles de sécurité

Les pare-feu utilisent des règles de sécurité pour déterminer le trafic réseau autorisé ou bloqué. Chaque règle contient un ensemble de critères auquel les informations du paquet doivent correspondre pour qu'elle soit appliquée. Il s'agit de la condition de correspondance de règle.

Vous pouvez configurer une règle de sécurité à mettre en correspondance en fonction de l'application, du service ou de l'URL source et de destination. La condition de correspondance entre la source et la destination spécifiées pour le trafic se compose de listes que vous configurez dans la stratégie avant de construire la règle.

Important

Si aucun critère de correspondance n'est défini dans la règle de sécurité (une liste vide est indiquée pour la règle), la règle est mise en correspondance avec des critères de caractère générique ("n'importe lequel"). Ce comportement s'applique à tout le trafic examiné dans la règle.
L'action de règle définit la façon dont le pare-feu gère le paquet s'il répond aux conditions spécifiées. Le pare-feu peut effectuer les opérations suivantes :
  • Autoriser le trafic : le trafic peut continuer.
  • Supprimer le trafic : le trafic est supprimé sans invite et aucune notification de réinitialisation n'est envoyée.
  • Rejeter le trafic : le trafic est supprimé et une notification de réinitialisation est envoyée.
  • Détection d'intrusion : le trafic est consigné.
  • Prévention des intrusions : le trafic est bloqué.
    Important

    Pour utiliser la détection et la prévention des intrusions, activez la journalisation. Reportez-vous à Activité de pare-feu Logging.
Limites:
  • Nombre maximal de règles de sécurité pour chaque stratégie : 10 000

A propos des règles d'inspection de tunnel

Utilisez des règles d'inspection de tunnel pour inspecter le trafic mis en miroir vers une ressource Oracle à l'aide du service de point d'accès de test virtuel. Le trafic capturé au niveau de la source VTAP (Virtual Test Access Point) est encapsulé dans VXLAN, puis envoyé à la cible VTAP.

Vous pouvez mettre en miroir tout le trafic ou utiliser un filtre de capture pour ne mettre en miroir que le trafic qui vous intéresse.

Lorsque la condition de correspondance source et destination spécifiée est remplie, le pare-feu applique un profil d'inspection de tunnel Palo Alto Networks® par défaut. Le profil présente les caractéristiques suivantes et n'est pas modifiable :

  • Nom : VXLAN
  • Type :
  • Renvoyer le tunnel VXLAN scanné à la source : True. Renvoie le paquet encapsulé à l'extrémité de tunnel VXLAN d'origine (VTEP).

Le journal d'inspection du tunnel fournit des informations sur le trafic VXLAN mis en miroir passant par le pare-feu.

Limites:
  • Nombre maximal de règles d'inspection de tunnel pour chaque stratégie : 500

A propos des règles NAT

Les règles NAT sont un ensemble puissant d'instructions qui régissent la façon dont le trafic réseau est traduit ou modifié sur votre trafic réseau, offrant une solution flexible et efficace pour gérer les adresses IP et améliorer la sécurité. Avec les règles NAT, vous pouvez configurer un ensemble ordonné de règles au sein de la stratégie de pare-feu pour exécuter la traduction d'adresses réseau source (SNAT) de plusieurs à un. Vous pouvez définir des adresses source et de destination, ainsi que des services, en tant que critères de correspondance de règles pour un trafic spécifique.

En créant une stratégie de pare-feu et en intégrant des règles NAT, vous pouvez implémenter la conversion d'adresse réseau source (SNAT) sur le trafic sortant, en remplaçant efficacement l'adresse IP source par un pool d'adresses SNAT masquant les détails du réseau interne. Lorsque NAT est activé, les adresses IP NAT fixes sont automatiquement allouées à partir du sous-réseau du pare-feu. Actuellement, les règles NAT prennent en charge IPv4 uniquement.
Important

Le pare-feu ne peut effectuer que des opérations NAT privées, le NAT public n'est pas pris en charge.

Activation de NAT sur les pare-feu :

Pour activer NAT sur les pare-feu, assurez-vous qu'au moins quatre adresses IP de rechange sont disponibles sur le sous-réseau de pare-feu pour un pare-feu de 4 Gbits/s et au moins cinq adresses IP de rechange pour un pare-feu de 25 Gbits/s.

Lors de l'application de règles NAT, elles sont appliquées dans un ordre spécifique au sein des opérations de règle. Les règles NAT sont appliquées après les règles de décryptage, de sécurité et de tunnel, ce qui garantit un processus de gestion réseau complet et sécurisé.

Lorsque vous créez une stratégie de pare-feu et que vous incluez des règles NAT, vous pouvez l'affecter à un pare-feu pour activer la fonctionnalité NAT. A l'aide de règles NAT, le pare-feu effectue une conversion d'adresse source privée pour le trafic correspondant aux règles NAT définies.

Vous pouvez activer NAT sur les pare-feu à l'aide des éléments suivants :

  • Console : lors de l'utilisation de la console pour associer une stratégie de pare-feu à un pare-feu, NAT est automatiquement activé.
  • CLI/API : lorsque vous utilisez l'interface de ligne de commande ou l'API, vous devez activer explicitement NAT pour le pare-feu après avoir associé la stratégie de pare-feu. Cela vous garantit un contrôle précis sur le moment et la façon dont NAT est activé.

Evaluation et application des règles NAT :

Les règles NAT sont évaluées en fonction de leur ordre de priorité. Lorsque le trafic passe par le pare-feu, les règles sont traitées de manière séquentielle et la première règle de correspondance est appliquée. Cela garantit que la règle la plus spécifique ou la plus prioritaire prend effet, ce qui vous permet de contrôler précisément la traduction des adresses réseau. Le pare-feu effectue la conversion NAT lorsque les conditions de correspondance source et de destination spécifiées sont remplies, ce qui garantit que le trafic est converti en fonction des règles définies.

Désactivation de NAT sur les pare-feu :

Une fois qu'une stratégie de pare-feu contenant des règles NAT est attachée à un pare-feu, NAT ne peut pas être désactivé (désactivé) sur ce pare-feu. Pour désactiver NAT, vous devez d'abord mettre à jour le pare-feu avec une stratégie qui n'inclut pas de règles NAT. Vous ne pouvez désactiver NAT sur le pare-feu qu'après cette mise à jour. Cela garantit que NAT est appliqué de manière cohérente et sécurisée, en fonction de la présence de règles NAT dans la stratégie de pare-feu attachée.

Avantages et remarques :

Les règles NAT offrent plusieurs avantages, notamment une gestion efficace des adresses IP, une sécurité renforcée grâce à la traduction des adresses IP source et la possibilité de distribuer le trafic entrant pour l'équilibrage de charge. Cependant, il est essentiel de prendre en compte les exigences minimales du CIDR de sous-réseau et l'impact des adresses IP fixes NAT sur votre infrastructure réseau.

Limites:

  • Nombre maximal de règles NAT pour chaque stratégie de pare-feu : 2000
Remarques importantes concernant la configuration NAT :
  • Fonctionnalité NAT privée : le pare-feu ne peut effectuer que des opérations NAT privées, le NAT public n'est pas pris en charge.
  • Allocation d'adresses IP NAT : les adresses IP sont uniquement affectées à partir du sous-réseau de pare-feu.
  • Taille du pool NAT : pour les pare-feu de 4 Gbits/s, la fonctionnalité NAT requiert un minimum de 4 adresses IP de secours sur le sous-réseau de pare-feu. Pour un pare-feu de 25 Gbits/s, il nécessite au moins 5 adresses IP de secours. Nous vous recommandons de réserver des adresses IP supplémentaires pour tenir compte de la croissance future du pool NAT.
  • Prise en charge de NAT source : seul NAT source est pris en charge. NAT de destination non pris en charge.
  • NAT/PAT dynamique : la fonctionnalité NAT/PAT dynamique de plusieurs à un est prise en charge, ce qui offre une flexibilité dans la gestion de plusieurs connexions. NAT statique un-à-un n'est pas pris en charge.
  • Compatibilité IPv4 : seules les adresses IPv4 sont prises en charge pour NAT ; IPv6 n'est pas pris en charge.

Voir aussi