Guide des paramètres du pare-feu
Lorsque vous configurez une stratégie de pare-feu, vous avez peut-être besoin de plus d'informations sur certains des paramètres et sur les raisons pour lesquelles vous devriez (ou non) les activer.
Cet article contient les règles et paramètres de configuration 'par défaut usine' du pare-feu Sophos lorsqu'il est configuré à l'aide du bouton Paramètres avancés de la stratégie de pare-feu. Dans la mesure du possible, nous avons décrit les implications du paramètre sur la sécurité ou expliqué pourquoi la valeur par défaut a été choisie.
Nous vous recommandons d'utiliser le guide de déploiement du pare-feu avant d'effectuer le déploiement sur vos ordinateurs d'extrémité.
Dans cet article
Configuration avancée :
Paramètres généraux | Paramètres de détection des emplacements | Paramètres de somme de contrôle | Paramètres de journal
Configuration de l'emplacement principal ou secondaire :
Paramètres généraux | Paramètres ICMP | Paramètres réseau local | Règles globales | Règles d'applications | Paramètres processus-contrôle
Configuration avancée
Onglet Paramètres généraux
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Emplacement principal : Autoriser tout le trafic | Désactivé | Ce paramètre est en place seulement pour des circonstances particulières. Il désactive le pare-feu lorsque dans l'emplacement principal. Généralement, il ne doit pas être utilisé. Si vous avez besoin d'autoriser une application ou une connexion, paramétrez une règle d'application, un règle ICMP ou une règle globale à la place. |
| Ajoutez une configuration pour un emplacement secondaire | Désactivé | Ce paramètre doit seulement être utilisé pour les portables et autres ordinateurs régulièrement connectés à un réseau supplémentaire comme un réseau sans fil à domicile ou public. |
| Emplacement appliqué | Appliquez la configuration pour l'emplacement détecté | Désactivé jusqu'à ce que vous sélectionniez l'option 'Ajouter une configuration pour un emplacement secondaire'. Vous permet de déterminer quelle stratégie est appliquée lorsqu'un nouvel emplacement est détecté. L'option par défaut 'Appliquer la configuration pour l'emplacement détecté' garantit que le pare-feu détecte automatiquement le réseau en cours et sélectionne la configuration associée. Si vous utilisateurs finaux appartiennent au groupe SophosPowerUsers ou SophosAdministrators, ils peuvent aussi choisir manuellement l'emplacement principal ou secondaire lorsqu'ils sont sur un troisième emplacement. Indiquez à ces utilisateurs de portables qu'ils peuvent exécuter cette opération lorsqu'ils sont connectés à un nouveau réseau et expliquez-leur la configuration qu'ils doivent choisir. |
Onglet Détection des emplacements
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Méthode de détection | DNS, aucune configurée | Nous vous conseillons d'utiliser si possible la détection Gateway MAC Address. Le pare-feu détecte facilement les paramètres de la passerelle et utilise en conséquence son emplacement principal ou secondaire. |
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Application/ Version/ Somme de contrôle | Aucune configurée | Avant de déployer le pare-feu, entrez dans cet écran les sommes de contrôle MD5 des applications les plus fréquemment utilisées sur votre réseau. Ceci vous fera gagner du temps et des opérations de duplication quand vous répondrez aux demandes de pare-feu lors du déploiement. |
Onglet Journal
| Nom du paramètre | Par défaut |
|---|---|
| Conserver tous les enregistrements/Supprimer les anciens enregistrements | Supprimer les anciens enregistrements |
| Supprimer les enregistrements après x jours | 1 jour désactivé |
| Ne pas garder plus de y enregistrements | 200 enregistrements désactivé |
| Conserver la taille sous z Mo | 50 Mo activé |
Configuration de l'emplacement principal ou secondaire
Remarque : aucun emplacement secondaire n'est préconfiguré. Si un est ajouté, ses paramètres par défaut sont identiques à l'emplacement principal.
Onglet Général
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Mode de fonctionnement | Bloquer par défaut | Lorsque vous paramétrez pour la première fois le Sophos Client Firewall sur un ordinateur exemple, il est plus prudent d'utiliser l'option par défaut "bloquer par défaut' jusqu'à ce que vous soyez prêt à commencer à autoriser les applications qui nécessitent l'accès au réseau. Lorsque vous êtes prêt à commencer votre déploiement du pare-feu, passez en mode 'interactif' pour établir les stratégies pour vos applications et processus fréquemment utilisés. En générél, une fois l'accès autorisé via le pare-feu pour toutes les applications approuvées, les ordinateurs doivent être paramétrés sur le mode 'Bloquer par défaut' car cela bloquer l'accès au réseau de tout le trafic non autorisé. |
| Bloquer les processus si la mémoire est modifiée | Activée | Cette option peut empêcher l'infection de votre ordinateur par des menaces. Cette option doit généralement rester sélectionnée. |
| Bloquer les processus cachés | Activée | Cette option doit toujours être activée afin d'empêcher les programmes malveillants de s'exécuter sur vos systèmes d'extrémité. |
| Ignorer les paquets envoyés aux ports bloqués | Activée | Cette option empêche une personne externe de connaître l'existence d'un port sur votre ordinateur et vous protége ainsi contre toute attaque. Cette option doit généralement rester sélectionnée. |
| Utiliser les sommes de contrôle pour authentifier les applications | Activée | Cette option aide le pare-feu à distinguer les applications légitimes des programmes malveillants portant le même nom. Cette option doit généralement rester sélectionnée. |
| Bloquer les paquets IPv6 | Activée | Pour l'instant, IPv6 est toujours utilisé uniquement par une poignée d'applications et de fournisseurs Internets ; ce paramètre vous permet donc de bloquer le trafic IPv6 sur vos postes d'extrémité si, par exemple, ils utilisent une application P2P. Pour bloquer toute utilisation des applications P2P sur votre réseau, configurez à la place une stratégie de contrôle des applications. |
| Afficher une alerte sur la console d'administration en cas de modifications locales de règles globales, d'applications, de processus ou de sommes de contrôle | Activée | Si vous sélectionnez 'Afficher une alerte sur la console d'administration...', vous pouvez voir si les paramètres du pare-feu sur vos postes de travail ont été changés par l'utilisateur ou par du malware. Dans la majeure partie des cas, cette option doit rester sélectionnée. |
| Signaler les applications et le trafic inconnus à la console d'administration | Activée | Nous vous conseillons de toujours laisser cette option sélectionnée afin de surveiller les actions de vos utilisateurs finaux. |
| Signaler les erreurs à la console d'administration | Activée | Cette option permet à l'administrateur de visualiser les messages d'erreur du pare-feu sur les postes de travail via l'Enterprise Console. Cette option doit généralement rester sélectionnée. |
| (Messagerie de bureau) Afficher les alertes et les erreurs | Activée | Nous vous conseillons de conserver cette option activée afin d'informer vos utilisateurs en cas de problème. |
| (Messagerie de bureau) Afficher les applications et le trafic inconnus | Désactivé | Ce paramètre affiche seulement les applications et le trafic inconnus si le mode interactif a été sélectionné. |
Onglet ICMP
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Réponse d'écho (0) | Bloqué en ENTREE | Utilisé pour répondre aux demandes d'écho (pings). L'activation de Réponse d'écho peut rendre votre ordinateur vulnérable aux attaques par réflexion. |
| Destination injoignable (3) | Bloqué en ENTREE et SORTIE | L'activation de cette option peut rendre votre ordinateur vulnérable à une attaque par destination injoignable. |
| Source éteinte (4) | Non paramétré | Pour gérer les surcharges, les messages source éteinte demandent que la quantité d'informations envoyées à la personne à l'origine du message soit réduite. L'activation de Source éteinte peut rendre votre ordinateur vulnérable aux attaques de l'homme du milieu et par déni de service (DoS). |
| Rediriger les messages (5) | Non paramétré | La redirection peut servir à changer les tables de routage sur les routeurs et ordinateurs afin de faciliter une attaque par déni de service |
| Demande d'écho (8) | Bloqué en SORTIE | Utilisé pour vérifier si un ordinateur en réseau est actif (par exemple, ping). L'activation de Demande d'écho peut rendre votre ordinateur vulnérable aux attaques par réflexion. |
| Annonce routeur (9) | Bloqué en ENTREE | Les messages d'annonce routeur sont envoyés en réponse aux messages de sollicitation routeur ou pour annoncer la présence du routeur. Les messages d'annonce routeur falsifiés peuvent être utilisés pour changer les tables de routage afin de faciliter les attaques de l'homme du milieu et par déni de service. |
| Sollicitation routeur (10) | Bloqué en SORTIE | Les messages de sollicitation routeur sont envoyés pour localiser les routeurs d'un réseau sous la forme d'un contrôle réseau. Les utilisateurs malveillants peuvent utiliser la sollicitation routeur pour rechercher les ordinateurs à attaquer. |
| Temps dépassé (11) | Bloqué en ENTREE | |
| Problème de paramétrage (12) | Non paramétré | |
| Demande d'horodatage (13) | Non paramétré | |
| Réponse d'horodatage (14) | Non paramétré | |
| Demande Informations (15) | Non paramétré | |
| Réponse Informations (16) | Non paramétré | |
| Demande masque adresse (17) | Non paramétré | |
| Réponse masque adresse (18) | Non paramétré |
Onglet Réseau local
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Réseau (adresse IP et sous-masque) | Rien de paramétré | NetBIOS autorise le partage de fichiers et d'imprimantes avec d'autres ordinateurs sur le réseau local ou le sous-masque fiable. Cette option doit être suffisante pour une grande partie du travail de bureau habituel. Acceptée autorise tout le trafic entre les ordinateurs du réseau local. Utilisez seulement cette option si c'est complètement nécessaire. |
Onglet Règles globales
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Allow loopback TCP connection | Où le protocole est TCP et l'adresse distante est 127.0.0.0 (255.0.0.0) | Une connexion de bouclage autorise les applications à vérifier qu'une connexion réseau existe. Les navigateurs web vérifient souvent de cette façon une connexion. |
| Allow GRE protocol | Où le protocole est IP et le type est GRE | Ceci permet à GRE dans les tunnels IP de s'exécuter vers ou à partir de l'ordinateur client, c'est-à-dire de connexions VPN (Virtual Private Network ou réseau privé virtuel). |
| Allow PPTP Control Connection | Où le protocole est TCP et la direction est Sortante et le port distant est 1723 et le port local est 1024-65535 L'autoriser | Ceci permet à PPTP dans les tunnels IP de s'exécuter vers ou à partir de l'ordinateur client, c'est-à-dire de connexions VPN (Virtual Private Network ou réseau privé virtuel). |
| Allow loopback UDP connection | Où le protocole est UDP | |
| Bloquer appel de procédure distant RPC (TCP) | Où le protocole est TCP et la direction est Entrante et le port local est 135 Le bloquer | Ce paramètre empêche d'effectuer des appels Remote Procedure Call (RPC) utilisant TCP sur l'ordinateur client. Ceci empêche tout intrus d'exécuter du code légitime sur l'ordinateur local d'une manière indésirable. Remarque : Le port utilisé par le mappeur de ports RPC (135) est associé à plusieurs failles importantes utilisées par des vers réseau pour la réplication et la propagation. |
| Bloquer appel de procédure distant RPC (UDP) | Où le protocole est UDP et le port local est 135 Le bloquer | Ce paramètre empêche d'effectuer des appels Remote Procedure Call (RPC) utilisant UDP sur l'ordinateur client. Ceci empêche tout intrus d'exécuter du code légitime sur l'ordinateur local d'une manière indésirable. |
Onglet Applications
Les services Windows les plus fréquents et les plus importants sont énumérés ici. Vous aurez vraisemblablement besoin d'ajouter plus d'application au moment du déploiement du pare-feu en mode interactif.
| Nom d'application | Par défaut |
|---|---|
alg.exe | Allow ALG Redirect Où le protocole est TCP et la direction est Entrante L'autoriser et l'inspection dynamique |
Connexion Microsoft Application Layer Gateway Service | |
lsass.exe | Connexion Local Security Authority Service Kerberos UDP Où le protocole est UDP et le port distant est 88 L'autoriser et l'inspection dynamique |
Connexion Local Security Authority Service Kerberos TCP | |
Connexion LSASS LDAP à Global Catalog Server | |
Connexion Local Security Authority Service LDAP UDP | |
Connexion Local Security Authority Service LDAP TCP | |
Allocation de ports dynamiques Local Security Authority Service DCOM | |
Connexion Local Security Authority Service DCOM | |
Allow DNS Resolving (TCP) | |
Allow DNS Resolving (UDP) | |
services.exe | Connexion Services DCOM Où le protocole est TCP et la direction est Sortante et le port distant est 135 L'autoriser |
| Allocation de ports dynamique Services DCOM Où le protocole est TCP et la direction est Sortante et le port distant est 1090-1110 L'autoriser | |
| Connexion Services LDAP Où le protocole est TCP et la direction est Sortante et le port distant est 389, 3268 L'autoriser | |
| Allow DNS Resolving (TCP) Où le protocole est TCP et la direction est Sortante et le port distant est 53 L'autoriser | |
Allow DNS Resolving (UDP) | |
| Allow DHCP Où le protocole est UDP et le port distant est 67 et le port local est 68 L'autoriser | |
| Allow DHCP (v6) Où le protocole est UDP et le port distant est 547 et le port local est 546 L'autoriser | |
svchost.exe | Allow DNS Resolving (TCP) |
Allow DNS Resolving (UDP) | |
Allow DHCP | |
Allow DHCP (v6) | |
userinit.exe | Connexion Microsoft Userinit LDAP "Où le protocole est TCP |
Connexion Microsoft Userinit DCOM "Où le protocole est TCP | |
winlogon.exe | Connexion Microsoft Winlogon LDAP Où le protocole est TCP et la direction est Sortante et le port distant est 389, 3268 L'autoriser |
Connexion Microsoft Winlogon DCOM |
Onglet Processus
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Avertir sur les nouveaux programmes de lancement. | Activé | Cette option est seulement disponible si vous utilisez le mode interactif. |
| Avertir sur l'utilisation des rawsockets. | Activé | Cette option est seulement disponible si vous utilisez le mode interactif. |
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.
- ID article : 57757
- Créé le : 28 avr 2009
- Mis à jour le : 15 jan 2010
