Chapitre 11: Configuration de la protection Internet
11.1 Configuration des niveaux et des règles de sécurité
Cette section explique comment définir et sélectionner les niveaux de sécurité en fonction des besoins des utilisateurs.
Dans les exemples de configuration pratiques, on suppose que les hôtes gérés ont été importés dans une structure du domaine, où par exemple, les portables et ordinateurs de bureau se trouvent dans leur propre sous-domaine.
Lorsque vous activez un niveau de sécurité donné pour un domaine, vérifiez que le niveau de sécurité est approprié pour le domaine en question. Différents domaines peuvent avoir différents niveaux de sécurité.
Important: Lorsque vous changez un niveau de sécurité sur un hôte, cliquez sur le symbole cadenas en regard du paramètre pour vous assurer que le nouveau niveau de sécurité sera utilisé.
11.1.1 Sélection d'un niveau de sécurité actif pour un poste de travail
Dans cet exemple, le niveau de sécuritéBureauest défini comme niveau de sécurité actif pour les postes de travail dans le sous-domaineDesktops/Eng..
Pour changer le niveau de sécurité de la protection Internet du sous-domaineDesktops/Eng., procédez comme suit:
1. Sélectionnez le sous-domaineDesktops/Eng.dans l'ongletDomaines de stratégie.
2. Accédez à l'ongletParamètreset sélectionnez la pageNiveaux de sécurité du pare-feu.
Le niveau de sécurité par défaut actuellement appliqué à la stratégie apparaît dans la liste déroulante Niveau de sécurité de protection Internet sur l'hôte.
3. SélectionnezBureaudans la liste déroulanteNiveau de sécurité de protection Internet sur l'hôte.
4. Pour empêcher les utilisateurs de changer ces paramètres, cliquez sur le symbole cadenas correspondant.
5. Click to distribute the policy.
Vous pouvez vérifier que le nouveau changement de niveau de sécurité est devenu effectif en accédant à l'ongletEtatet en sélectionnant la fenêtreProtection globale.
Note: Si le niveau de sécurité sélectionné ne peut pas être utilisé pour une raison quelconque, celui par défaut est utilisé à la place. Le niveau de sécurité par défaut actuel est indiqué dans la table Niveaux de sécurité globalede la pageNiveaux de sécurité du pare-feu.
11.1.2 Configuration d'un niveau de sécurité par défaut pour les hôtes administrés
Le niveau de sécurité par défaut est un paramètre global et s'utilise uniquement si celui sélectionné par ailleurs est désactivé.
Dans cet exemple, le niveau de sécuritéBureauest configuré comme niveau par défaut pour tous les hôtes du domaine.
1. Sélectionnez le domaineLaptops/Eng.sur l'ongletDomaines de stratégie.
2. Accédez à l'ongletParamètreset sélectionnez la pageNiveaux de sécurité du pare-feu.
3. Dans la tableNiveaux de sécurité du pare-feu, activez la case d'optionPar défautsur la ligneBureau.
Policy Manager vous invite à confirmer le changement de niveau de sécurité pour tous les hôtes gérés.
4. Cliquez surOK.
5. Click to distribute the policy.
11.1.3 Ajout d'un nouveau niveau de sécurité pour un domaine particulier
Dans cet exemple, un nouveau niveau de sécurité est créé avec deux règles associées.
Le nouveau niveau de sécurité est ajouté pour un sous-domaine uniquement et les hôtes sont contraints à utiliser ce nouveau niveau. Le sous-domaine en question contient des ordinateurs utilisés uniquement pour la navigation sur Internet et qui ne sont pas connectés au réseau de l'entreprise.
Pour ajouter un nouveau niveau de sécurité à affecter à un domaine particulier, vous devez d'abord désactiver ce niveau de sécurité au niveau racine, puis le réactiver au niveau inférieur approprié.
Création d'un niveau de sécurité
La première étape pour ajouter un niveau de sécurité consiste à créer ce niveau de sécurité.
La procédure est la suivante:
1. SélectionnezRacinedans l'ongletDomaines de stratégie.
2. Accédez à l'ongletParamètres, puis sélectionnez la pageNiveaux de sécurité du pare-feu.
3. Cliquez surAjouterpour ajouter un niveau de sécurité.
La boîte de dialogueNiveau de sécurité - Descriptions'ouvre.
4. Entrez le nom à donner au nouveau niveau de sécurité, par exemple,Navigation.
Vous pouvez également inclure une description dans la zone de texteDescription.
5. Cliquez surTerminer.
6. Click to distribute the policy.
Création de règles pour le nouveau niveau de sécurité
La prochaine étape consiste à créer des règles pour le nouveau niveau de sécurité.
Les règles associées au nouveau niveau de sécurité sont créées comme suit:
1. Accédez à la pageRègles de pare-feu.
2. Sélectionnez le niveau de sécurité de la protection InternetNavigation.
La tableRègles de pare-feuest vide lorsque ce niveau de sécurité est sélectionné, parce qu'il n'y a pas encore de règles associées.
3. Cliquez surAjouter avantpour ajouter en début de liste une règle autorisant le trafic HTTP sortant.
La fenêtre de l'AssistantRègles de pare-feus'ouvre.
4. Complétez l'assistantRègles de pare-feu:
a) Sur la pageType de règle, sélectionnezAutoriser.
b) Sur la pageHôtes distants, sélectionnezTout hôte distantpour appliquer la règle à toutes les connexions Internet.
c) Sur la pageServices, sélectionnezHTTPdans la colonneServicepour appliquer la règle au trafic HTTP.
d) Sur la pageServices, sélectionnez=>dans la colonneDirectionpour appliquer la règle aux connexions sortantes uniquement.
e) Vous pouvez accepter les valeurs par défaut sur la pageParamètres avancés.
f) Vérifiez la nouvelle règle sur la pageRésumé.
Vous pouvez également ajouter un commentaire décrivant la règle, par exemple,Autorisation du trafic HTTP sortant pour la navigation..
g) Cliquez surTerminer.
5. Cliquez surAjouter aprèspour ajouter en fin de liste une règle interdisant tout autre trafic dans les deux sens.
6. Complétez l'AssistantRègles de pare-feu:
a) Sur la pageType de règle, sélectionnezRefuser.
b) Sur la pageHôtes distants, sélectionnezTout hôte distantpour appliquer la règle à toutes les connexions.
c) Sur la pageServices, sélectionnezTout le traficdans la colonneServicepour appliquer la règle à tout le trafic.
d) Sur la pageServices, sélectionnezLes deuxdans la colonneDirectionpour appliquer la règle aux connexions entrantes et sortantes.
e) Vous pouvez accepter les valeurs par défaut sur la pageParamètres avancés.
f) Vérifiez la nouvelle règle sur la pageRésumé.
Vous pouvez également ajouter un commentaire décrivant la règle. Par exemple,Refuser le reste.
g) Cliquez surTerminer.
Mise en application du nouveau niveau de sécurité
La prochaine étape consiste à mettre en application le nouveau niveau de sécurité.
Pour mettre en application le nouveau niveau de sécurité dans le ou les sous-domaines sélectionnés uniquement, vous devez commencer par le désactiver au niveau de la racine avant de l'activer à un niveau inférieur de la hiérarchie des domaines de stratégie. La procédure est la suivante:
1. SélectionnezRacinedans l'ongletDomaines de stratégie.
2. Accédez à la pageNiveaux de sécurité du pare-feu.
3. Désactivez le niveau de sécuritéNavigationen désactivant la caseActivécorrespondante dans la table Niveaux de sécurité du pare-feu.
4. Sélectionnez le sous-domaine dans lequel utiliser ce niveau de sécurité dans l'ongletDomaines de stratégie.
5. Activez le niveau de sécuritéNavigationen cochant la caseActivécorrespondante dans la caseNiveaux de sécurité du pare-feu.
6. Sélectionnez le nouveau niveau de sécurité comme niveau de sécurité actif en le sélectionnant dans la liste déroulanteNiveau de sécurité de protection Internet sur l'hôte.
7. Click to distribute the policy.
