Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=firewall-groups

Groupes de pare-feu

Vous pouvez créer et gérer les groupes de pare-feu dans Sophos Central.

Créer un groupe

Vous pouvez ajouter vos pare-feu à un groupe et les configurer simultanément avec une stratégie de groupe.

Vous devez être administrateur ou super administrateur dans Sophos Central pour créer un groupe.

  1. Allez dans Mes produits > Firewall Management > Pare-feu.
  2. Cliquez sur Créer un nouveau groupe.

  3. Sélectionner une option de configuration initiale pour votre groupe. Sélectionnez Utiliser les valeurs Sophos par défaut pour créer une nouvelle configuration ou Importer la configuration existante pour importer la configuration à partir d’un pare-feu existant.

    Vous pourrez personnaliser votre configuration ultérieurement.

  4. Nommez le groupe.

  5. Assignez des pare-feu au groupe.

    Vous n’avez pas à assigner de pare-feu lorsque vous créez un groupe. Vous pouvez créer un groupe vide, modifier sa stratégie, puis lui assigner des pare-feu. La stratégie de groupe est appliquée aux pare-feu chaque fois que vous les assignez au groupe. À partir de là, la configuration du pare-feu est synchronisée avec la stratégie de groupe.

  6. Cliquez sur Enregistrer.

Créer ou modifier des stratégies de groupe

Vous pouvez créer et modifier des stratégies qui s’appliqueront à tous les pare-feu d’un groupe.

Vous devez être administrateur ou super administrateur dans Sophos Central pour pouvoir accéder à vos pare-feu depuis Sophos Central.

Pour créer et modifier des stratégies, procédez comme suit :

  1. Cliquez sur le bouton « points de suspension » (…) à droite du groupe pour lequel vous souhaitez créer ou modifier la stratégie.

  2. Sélectionnez Administrer la stratégie.

    Ceci vous amène à la section Règles et stratégies de la console d’administration Web du groupe de pare-feu.

  3. Vous pouvez désormais créer et modifier vos stratégies.

    Si une stratégie porte sur des zones de pare-feu ou des interfaces, vous devrez peut-être créer des zones ou des interfaces dynamiques.

    Remarque

    Si vous supprimez le pare-feu du groupe, les stratégies que vous avez créées restent sur le pare-feu.

  4. Pour revenir à Sophos Central, cliquez sur Tableau de bord ou sur Retour à la Vue générale (dans le menu de gauche).

Dans Sophos Central, allez dans Mes produits > Firewall Management > File d’attente des tâches. Vous pouvez voir si la stratégie a été appliquée aux pare-feu.

Avertissement

Lorsque vous ajoutez des règles de pare-feu ou NAT, les paramètres supérieurs et inférieurs ne s’appliquent qu’à l’ordre des règles dans Sophos Central, et non aux règles qui peuvent avoir été créées localement sur le pare-feu. Toutes les règles activées depuis Sophos Central sont insérées en haut de la liste de règles sur le pare-feu. Pour éviter un comportement inattendu de pare-feu, lorsqu’un pare-feu est géré depuis Sophos Central, nous recommandons de créer et d’activer toutes les règles depuis Sophos Central.

Créer un sous-groupe

Vous pouvez créer un sous-groupe dans un groupe. Cela vous permet de modifier la stratégie de groupe différemment pour chaque sous-groupe.

Par exemple, si vous avez un groupe appelé « Acme Corporation » qui contient des sous-groupes appelés « Boston », « Londres » et « Hyderabad », la stratégie créée pour Acme Corporation est automatiquement appliquée à tous les pare-feu de tous les sous-groupes. Toutefois, si vous modifiez la stratégie pour Boston, vos modifications ne sont appliquées qu’aux pare-feu du sous-groupe Boston, et non aux pare-feu des sous-groupes Londres et Hyderabad.

Pour créer un sous-groupe, procédez comme suit :

  1. Sélectionnez le bouton « points de suspension » (…) à droite du pare-feu pour lequel vous souhaitez créer un sous-groupe.
  2. Sélectionnez Ajouter un sous-groupe.
  3. Saisissez le nom du sous-groupe.

  4. Assignez les pare-feu au sous-groupe.

    Vous n’avez pas à assigner de pare-feu lorsque vous créez un sous-groupe. Vous pouvez créer un sous-groupe vide, modifier sa stratégie, puis lui assigner des pare-feu. La stratégie de groupe est appliquée aux pare-feu chaque fois que vous les assignez au groupe. À partir de ce moment, la configuration du pare-feu est synchronisée avec la stratégie de sous-groupe.

  5. Cliquez sur Enregistrer.

Héritage d’objets et de paramètres par stratégie de sous-groupe

Les objets sont les pages de l’éditeur de stratégie de groupe qui contiennent généralement les boutons Ajouter et Supprimer. Exemples : règles de pare-feu, règles NAT, hôtes FQDN et hôtes IP.

Une stratégie de sous-groupe ne peut pas modifier les objets que vous créez pour un groupe parent. Par exemple, vous créez un objet Hôte FQDN personnalisé pour la stratégie « Acme Corporation ». Les stratégies de Boston, de Londres et de Hyderabad héritent d’une copie en lecture seule de l’objet, qui apparaît grisée dans ces stratégies. Une stratégie de sous-groupe peut néanmoins utiliser la stratégie de groupe parent comme modèle pour créer ses propres règles. Une stratégie de sous-groupe est également libre de créer ses propres objets. Ces objets ne sont visibles que pour cette stratégie de sous-groupe et les stratégies de ses sous-groupes.

Si vous essayez de supprimer un objet d’une stratégie de groupe parent, il est automatiquement supprimé des stratégies de sous-groupe s’il n’est pas utilisé par l’un d’eux. Toutefois s’il est utilisé, la suppression est empêchée et vous êtes informé du sous-groupe et de la règle dans lequel l’objet est utilisé.

Les paramètres sont les pages de l’éditeur de stratégie de groupe qui contiennent généralement un bouton Appliquer. Vous ne pouvez pas supprimer un paramètre. Vous pouvez uniquement le configurer, l’activer ou le désactiver. Les paramètres Protection avancée contre les menaces sont des exemples de paramètres.

Les paramètres ne peuvent être configurés que dans la stratégie de groupe parent la plus haute. Vous ne pouvez pas configurer les paramètres dans les stratégies de sous-groupe. Lorsqu’un paramètre est appliqué à la stratégie de groupe parent la plus haute, il s’applique automatiquement à toutes les stratégies de sous-groupe.

Attribuer un pare-feu à un groupe et ignorer la synchronisation complète

Vous pouvez désormais ajouter des pare-feu à un groupe et les gérer via Sophos Central. Vous pouvez le faire pour les pare-feu autonomes et les pare-feu appartenant à une paire haute disponibilité (HA).

Procédez comme suit :

  1. Allez dans Mes produits > Firewall Management > Pare-feu.
  2. Recherchez votre groupe de pare-feu dans la liste, dans la colonne la plus à droite, cliquez sur les trois points, puis cliquez sur Modifier le groupe.
  3. Sous Pare-feu disponibles, cliquez sur le pare-feu que vous souhaitez ajouter au groupe, puis cliquez sur la flèche pour le déplacer vers Pare-feu assignés.

  4. Sélectionnez Ignorer la synchronisation complète.

    Ignorer la synchronisation complète.

    Remarque

    Ignorer la synchronisation complète peut entraîner une incompatibilité de configuration entre Sophos Central et le pare-feu. Le pare-feu ne se synchronise pas avec les autres pare-feu du groupe, ce qui signifie que Sophos Central ne transmet pas les configurations existantes au pare-feu.

  5. Cliquez sur Enregistrer.

  6. Dans la liste des pare-feu, cliquez sur la flèche en regard du nom du groupe pour afficher votre pare-feu. Votre pare-feu s’affiche comme Connecté.

Vous pouvez configurer et appliquer les paramètres du groupe de pare-feu immédiatement. Les nouveaux paramètres seront appliqués à tous les pare-feu du groupe.

Pour forcer une synchronisation complète, procédez comme suit :

  1. Allez dans Mes produits > Firewall Management > Pare-feu.

  2. Dans la liste des pare-feu, cliquez sur la flèche en regard du nom du groupe pour afficher votre pare-feu.

    Sous Synchro et gestion, vous verrez l’état de votre pare-feu.

  3. Cliquez sur l’état du pare-feu. Dans ce cas, il sera Connecté.

  4. Cliquez sur Forcer la synchronisation.

    Forcer la synchronisation.

    Remarque

    Le lien Forcer la synchronisation n’apparaît pas pour les pare-feu passifs d’une paire HA. Pour mettre à jour une paire HA, vous devez forcer une synchronisation complète sur le pare-feu actif.

Votre pare-feu se synchronisera avec Sophos Central, ce qui signifie qu’il héritera de toutes les configurations de groupe.