Réseaux, Sécurité Configuration d’un Firewall Netscreen 25

9 mai 2008 – 0:39

Dans cet article nous allons voir les bases afin de configurer un Netscreen 25. Les exemples fournis ont été réalisés sous Screen OS 4.0.x. Nous verrons comment installer ce matériel en FireWall transparent sur un réseau.

Reset du passe

Pour commencer j’ai eu à  resetter le mot de passe de connections du FireWall car j’avais “perdu” ce dernier. L’opération est très (trop) simple, il suffit au prompt du login de taper le numéro de série de l’appareil et de le retaper en password. Ensuite deux questions nous sont posés afin de vérifier que nous sommes bien sur de ce que nous voulons faire auxquelles il faut répondre “y”.

Mettre le hostname

Pour cela nous allons utiliser la commande:

ns25-> set hostname Firewall

Dans laquelle “Firewall” est le nom que je veux donner à  mon FireWall.

Mise en place des “Zones”

Ensuite nous allons associer chaque interface à  une zone particulière. Comme nous n’allons faire que du niveau 2, nous allons utiliser les zones v1-Trust, v1-Untrust et v1-DMZ. Dans notre cas nous allons utiliser l’architecture suivante:

Architecture Netscreen

Architecture Netscreen

Pour ce faire nous allons taper comme commandes:

Firewall-> set interface ethernet1 zone v1-Untrust
Firewall-> set interface ethernet2 zone v1-DMZ
Firewall-> set interface ethernet3 zone v1-Trust

Enregistrements d’adresses

Afin d’éviter d’avoir à  taper dans chaque règles les adresses des sous-réseaux et hôtes. Pour ce faire on va lancer les commandes suivantes:

Firewall-> set address V1-Trust my_network 192.168.1.0/24
Firewall-> set address V1-DMZ www 192.168.2.1/32
Firewall-> set address V1-DMZ mail 192.168.2.2/32

Création des règles de filtrage

Il nous reste le plus gros du travail, créer les règles de filtrage. Et comme Netscreen est une plate-forme “propre”, par défaut il bloque tout.

Les règles de filtrages basique pour ce genre de configuration sont les suivantes:

Firewall-> set policy from V1-Untrust to V1-DMZ any www HTTP permit
Firewall-> set policy from V1-Untrust to V1-DMZ any mail POP3 permit
Firewall-> set policy from V1-Untrust to V1-DMZ any mail MAIL permit
Firewall-> set policy from V1-Trust to V1-Untrust my_network any ANY permit
Firewall-> set policy from V1-Trust to V1-DMZ my_network www HTTP permit
Firewall-> set policy from V1-Trust to V1-DMZ my_network mail POP3 permit
Firewall-> set policy from V1-Trust to V1-DMZ my_network mail MAIL permit
Firewall-> set policy from V1-Trust to V1-DMZ my_network www SSH permit
Firewall-> set policy from V1-Trust to V1-DMZ my_network mail SSH permit
Firewall-> set policy from V1-DMZ to V1-Untrust www any ANY permit
Firewall-> set policy from V1-DMZ to V1-Untrust mail any ANY permit

Voila une fois cela fait il ne reste plus qu’à  sauvegarder la configuration via la commande:

Firewall-> save

Tags: , , ,

You must be logged in to post a comment.