Aller au contenu

Pare-feu

Vous pouvez voir et configurer les pare-feu Sophos Firewall qui se connectent à Sophos Central.

Introduction

Lorsque vous ajoutez un pare-feu à Sophos Central, vous pouvez le surveiller dans Sophos Central et le gérer à partir de la console d’administration Web des pare-feu. Voir Administration de Sophos Firewall depuis Sophos Central.

Vous pouvez gérer les pare-feu individuellement ou en groupe. Les pare-feu gérés individuellement sont placés dans un groupe appelé « Sans groupe ». Pour gérer les pare-feu, allez dans Mes produits > Firewall Management > Pare-feu.

Vous pouvez ajouter autant de pare-feu que vous le voulez dans Sophos Central. Sophos Central est basé dans le Cloud et s’adapte à vos besoins. Par exemple, si vos pare-feu produisent un grand nombre de journaux, vous pouvez stocker et utiliser ces données si vous disposez d’une capacité de licence suffisante. Sophos Central stocke les données du journal du pare-feu sur la base du premier entré, premier sorti. Ceci signifie que nous supprimons vos anciennes données lorsque votre emplacement de stockage des données est plein. Retrouvez plus de renseignements à la section Centre de rapports.

Retrouvez plus d’aide sur les pare-feu sur :

Informations sur le pare-feu

Les informations affichées pour chaque pare-feu comprennent les éléments suivants :

Nom

Affiche vos listes de pare-feu groupés et non groupés. Pour afficher vos pare-feu, cliquez sur la flèche située à côté du nom de la liste.

Cliquez sur un nom de pare-feu pour ouvrir la console d’administration Web du pare-feu. Vous allez pouvoir configurer le pare-feu.

Pour ouvrir la console d’administration Web du pare-feu, vous devez être administrateur ou super administrateur dans Sophos Central. Vous disposez ainsi des mêmes autorisations que le compte « admin » local du pare-feu. Vous pouvez également modifier le mot de passe d’un compte « admin », ce qui est nécessaire lorsque vous déployez des pare-feu avec Zero Touch.

Remarque

Les pare-feu non groupés figurent dans une liste nommée Dissocié.

Firewall Management - Page des pare-feu.

Cliquez sur l’icône haute disponibilité (HA) Icône HA. à côté du nom de votre pare-feu pour afficher les détails suivants relatifs à votre cluster HA :

  • Rôle du pare-feu dans le cluster HA. Il peut être Primaire ou Auxiliaire.
  • Numéro de nœud du pare-feu. Exemple : "Nœud 1".
  • Informations sur le nœud de pare-feu. Exemple : « Appareil principal initial. Détient toutes les licences du client. »
  • Dernier changement d’état. Il s’agit de la dernière fois que le nœud de pare-feu a modifié les rôles. Exemple : « Vendredi 14 avril 2023 à 11h42".

    Remarque

    L’heure correspond à l’heure locale de votre navigateur. Cela peut différer légèrement de l’heure de votre pare-feu.

  • Nom du nœud du pare-feu : Le nom que vous avez donné au nœud de pare-feu.

  • Mode haute disponibilité : Type de cluster HA auquel appartiennent les pare-feu. Exemple : « Haute disponibilité en mode Actif-Passif. »

Voici un exemple des détails de la haute disponibilité du pare-feu.

Détails de la haute disponibilité du pare-feu.

Remarque

Vous pouvez également cliquer sur l’icône HA en regard du nom du pare-feu pour afficher les détails de la haute disponibilité lorsque vous créez un nouveau groupe de pare-feu, sous Pare-feu disponibles et Pare-feu assignés.

Alertes

Alertes au cours des dernières 24 heures.

Icône Description
Alerte d’utilisation de l’UC. Alerte d’utilisation de l’UC : Cliquez sur l’icône pour afficher un graphique de l’utilisation du processeur (UC) au cours des deux dernières heures.
Signaler une alerte. Alerte de gestion et de rapport : pour plus d’informations, cliquez sur l’icône.

Synchro et gestion

État Description
Synchronisé Le pare-feu est en ligne et envoie régulièrement des signaux Heartbeat. La configuration du pare-feu correspond à la stratégie de groupe.
Connecté

Si le pare-feu n’est pas dans un groupe, cet état indique que le pare-feu est en ligne et envoie des signaux Heartbeat régulièrement.

Si le pare-feu fait partie d’un groupe et que cet état reste inchangé pendant plus d’une minute, cela indique que le pare-feu est en ligne et envoie des signaux Heartbeat régulièrement, mais qu’il ne commence pas à se synchroniser avec la stratégie de groupe. Ceci peut être dû au fait que les tâches de synchronisation n’ont pas été créées ou que les tâches ont été créées mais que le pare-feu ne les récupère pas. Dans ce cas, consultez la file d’attente des tâches pour savoir quelles transactions sont en attente.

Erreur nécessitant votre attention La configuration du pare-feu ne correspond pas à la stratégie de groupe. L’administrateur doit consulter la file d’attente des tâches pour savoir quelle stratégie ne peut pas être appliquée.
En cours de synchronisation Le pare-feu vient d’être ajouté au groupe. Sophos Central applique la stratégie de groupe au pare-feu.
Vu pour la dernière fois il y a x heures (pour Sophos Firewall 18.0 ou plus) ou Déconnecté Le pare-feu est hors connexion.
Autorisation en attente Le pare-feu a été enregistré avec Sophos Central par un administrateur local depuis la console d’administration Web du pare-feu. Il attend d’être approuvé par un administrateur Sophos Central. Une fois approuvé, le pare-feu est prêt pour la gestion individuelle et en groupe des appareils.
Gestion désactivée Le pare-feu est enregistré avec Sophos Central. Cependant, la gestion Sophos Central n’a pas été activée depuis la console d’administration Web du pare-feu.

Si vous cliquez sur un état, des informations supplémentaires s’affichent :

Informations supplémentaires Description
Manquant depuis x heures Le pare-feu envoie un message de pulsation toutes les minutes. Sophos Central considère que le pare-feu est hors ligne s’il n’y a pas eu de réponse aux cinq derniers messages « Heartbeat ».
Impossible d’appliquer une stratégie il y a x jours Une stratégie n’a pas pu être appliquée au pare-feu. La file d’attente des tâches peut contenir plus de détails sur la raison de l’échec.
Pare-feu suspendu. Le pare-feu a été déconnecté ou désynchronisé de la stratégie de groupe pendant plus de 30 jours. Cela signifie que Sophos Central ne peut pas détecter son état actuel. Retrouvez plus de renseignements sur Pare-feu suspendus.
L’édition de rapports Central est désactivée Vous pouvez activer les rapports du pare-feu à partir de la console d’administration Web du pare-feu.

Sécurité Synchronisée

Icône Description
Icône des applis. Nombre d’applications découvertes par le pare-feu.
Icône de graphique grise. Édition de rapports désactivée.
Icône de graphique bleue. Édition de rapports activée.

Version

Version du firmware du pare-feu.

Une icône à côté de la version indique l’état de mise à niveau du pare-feu. Cliquez sur l’icône pour obtenir plus de renseignements.

Les icônes sont les suivantes :

Icône Description
Icône flèche bleue. Mise à niveau du firmware disponible.
Icône de coche verte. Mise à niveau du firmware réussie.
Icône d’avertissement rouge. Échec de la mise à niveau du firmware.
Icône d’horloge grise. Mise à niveau du firmware planifiée.
Icône de cercle tournant bleu. Mise à niveau du firmware en cours.

Exemple : Si vous cliquez sur la flèche bleue, vous verrez quelque chose comme ceci :

État du firmware du pare-feu.

Ajouter un nouveau pare-feu

Pour ajouter un nouveau pare-feu, procédez de la manière suivante :

  1. Cliquez sur Ajouter un pare-feu et sélectionnez l’option pour ajouter un nouveau pare-feu.
  2. Enregistrez votre numéro de série.

    Vous allez être guidé tout au long des opérations d’enregistrement et de déploiement.

Ajouter un pare-feu existant

Pour ajouter un pare-feu déjà déployé, procédez comme suit :

  1. Connectez-vous à votre pare-feu.
  2. Sur la page Synchronisation Central, activez Gérer à partir de Sophos Central.
  3. Dans Sophos Central, sur la page Pare-feu, développez le groupe Dissocié, recherchez le pare-feu et cliquez sur Accepter les services.

Créer un groupe

Si vos pare-feu sont sur la version 18.0 ou ultérieure du firmware, vous pouvez les ajouter à un groupe et les configurer simultanément à l’aide d’une stratégie de groupe.

Vous devez être administrateur ou super administrateur dans Sophos Central pour créer un groupe.

  1. Cliquez sur Créer un nouveau groupe.
  2. Sélectionner une option de configuration initiale pour votre groupe. Sélectionnez Utiliser les valeurs Sophos par défaut pour créer une nouvelle configuration ou Importer la configuration existante pour importer la configuration à partir d’un pare-feu existant.

    Vous pourrez personnaliser votre configuration ultérieurement.

  3. Nommez le groupe.

  4. Assignez des pare-feu au groupe.

    Vous n’avez pas à assigner de pare-feu lorsque vous créez un groupe. Vous pouvez créer un groupe vide, modifier sa stratégie, puis lui assigner des pare-feu. La stratégie de groupe est appliquée aux pare-feu chaque fois que vous les assignez au groupe. À partir de là, la configuration du pare-feu est synchronisée avec la stratégie de groupe.

  5. Cliquez sur Enregistrer.

Modifier la stratégie de groupe

Vous pouvez modifier la stratégie qui s’appliquera à tous les pare-feu d’un groupe.

Vous devez être administrateur ou super administrateur dans Sophos Central pour pouvoir accéder à vos pare-feu depuis Sophos Central.

Pour modifier la stratégie, procédez comme suit :

  1. Cliquez sur le bouton « points de suspension » (…) à droite du groupe pour lequel vous souhaitez modifier la stratégie.
  2. Sélectionnez Administrer la stratégie.

    Ceci vous amène à la section Règles et stratégies de la console d’administration Web du pare-feu.

  3. Vous pouvez désormais modifier vos stratégies.

    Si une stratégie porte sur des zones de pare-feu ou des interfaces, vous devrez peut-être créer des zones ou des interfaces dynamiques.

  4. Pour revenir à Sophos Central, cliquez sur Tableau de bord ou sur Retour à la Vue générale (dans le menu de gauche).

Dans Sophos Central, allez dans Mes produits > Firewall Management > File d’attente des tâches. Vous pouvez voir si la stratégie a été appliquée aux pare-feu.

Avertissement

Lorsque vous ajoutez des règles de pare-feu ou NAT, les paramètres supérieurs et inférieurs ne s’appliquent qu’à l’ordre des règles dans Sophos Central, et non aux règles qui peuvent avoir été créées localement sur le pare-feu. Toutes les règles activées depuis Sophos Central sont insérées en haut de la liste de règles sur le pare-feu. Pour éviter un comportement inattendu de pare-feu, lorsqu’un pare-feu est géré depuis Sophos Central, nous recommandons de créer et d’activer toutes les règles depuis Sophos Central.

Créer un sous-groupe

Vous pouvez créer un sous-groupe dans un groupe. Cela vous permet de modifier la stratégie de groupe différemment pour chaque sous-groupe.

Par exemple, si vous avez un groupe appelé « Acme Corporation » qui contient des sous-groupes appelés « Boston », « Londres » et « Hyderabad », la stratégie créée pour Acme Corporation est automatiquement appliquée à tous les pare-feu de tous les sous-groupes. Toutefois, si vous modifiez la stratégie pour Boston, vos modifications ne sont appliquées qu’aux pare-feu du sous-groupe Boston, et non aux pare-feu des sous-groupes Londres et Hyderabad.

Pour créer un sous-groupe, procédez comme suit :

  1. Sélectionnez le bouton « points de suspension » (…) à droite du pare-feu pour lequel vous souhaitez créer un sous-groupe.
  2. Sélectionnez Ajouter un sous-groupe.
  3. Saisissez le nom du sous-groupe.
  4. Assignez les pare-feu au sous-groupe.

    Vous n’avez pas à assigner de pare-feu lorsque vous créez un sous-groupe. Vous pouvez créer un sous-groupe vide, modifier sa stratégie, puis lui assigner des pare-feu. La stratégie de groupe est appliquée aux pare-feu chaque fois que vous les assignez au groupe. À partir de ce moment, la configuration du pare-feu est synchronisée avec la stratégie de sous-groupe.

  5. Cliquez sur Enregistrer.

Héritage d’objets et de paramètres par stratégie de sous-groupe

Les objets sont les pages de l’éditeur de stratégie de groupe qui contiennent généralement les boutons Ajouter et Supprimer. Exemples : règles de pare-feu, règles NAT, hôtes FQDN et hôtes IP.

Une stratégie de sous-groupe ne peut pas modifier les objets que vous créez pour un groupe parent. Par exemple, vous créez un objet Hôte FQDN personnalisé pour la stratégie « Acme Corporation ». Les stratégies de Boston, de Londres et de Hyderabad héritent d’une copie en lecture seule de l’objet, qui apparaît grisée dans ces stratégies. Une stratégie de sous-groupe peut néanmoins utiliser la stratégie de groupe parent comme modèle pour créer ses propres règles. Une stratégie de sous-groupe est également libre de créer ses propres objets. Ces objets ne sont visibles que pour cette stratégie de sous-groupe et les stratégies de ses sous-groupes.

Si vous essayez de supprimer un objet d’une stratégie de groupe parent, il est automatiquement supprimé des stratégies de sous-groupe s’il n’est pas utilisé par l’un d’eux. Toutefois s’il est utilisé, la suppression est empêchée et vous êtes informé du sous-groupe et de la règle dans lequel l’objet est utilisé.

Les paramètres sont les pages de l’éditeur de stratégie de groupe qui contiennent généralement un bouton Appliquer. Vous ne pouvez pas supprimer un paramètre. Vous pouvez uniquement le configurer, l’activer ou le désactiver. Les paramètres Protection avancée contre les menaces sont des exemples de paramètres.

Les paramètres ne peuvent être configurés que dans la stratégie de groupe parent la plus haute. Vous ne pouvez pas configurer les paramètres dans les stratégies de sous-groupe. Lorsqu’un paramètre est appliqué à la stratégie de groupe parent la plus haute, il s’applique automatiquement à toutes les stratégies de sous-groupe.

Joindre une étiquette

Vous pouvez ajouter une étiquette à Sophos Firewall. Cela permet d’identifier votre pare-feu lorsque nous envoyons des notifications par email pour diverses alertes, par exemple si la passerelle est en service ou hors service.

Pour ajouter une nouvelle étiquette, procédez de la manière suivante :

  1. Cliquez sur les trois points en regard de votre pare-feu, puis cliquez Joindre une étiquette.

    Joindre une étiquette du pare-feu.

  2. Une fenêtre contextuelle s’affiche. Saisissez le nom de l’étiquette du pare-feu dans la boîte de dialogue, puis cliquez sur Ajouter.

    Nommer l’étiquette du pare-feu.

    L’étiquette du pare-feu doit être différente du nom et du numéro de série du pare-feu.

    L’étiquette du pare-feu s’affiche à côté du pare-feu.

    Afficher l’étiquette du pare-feu.

  3. Pour modifier ou supprimer le libellé du pare-feu, cliquez sur les trois points en regard du pare-feu, puis sur Modifier/Supprimer une étiquette.

    Modifier ou supprimer l’étiquette du pare-feu.

Mettre à niveau le firmware des pare-feu

Remarque

Vous pouvez uniquement planifier des mises à niveau pour une date et une heure ultérieures à partir de la version 18.0 MR3 de Sophos Firewall.

Vous pouvez mettre à niveau le firmware pour Sophos Firewall. Si une mise à niveau est disponible, vous verrez un bouton de téléchargement Bouton de téléchargement. à côté de tous les pare-feu concernés.

Pour mettre à niveau un pare-feu virtuel, procédez comme suit :

  1. Cliquez sur le bouton de téléchargement.
  2. Cliquez sur Planifier les mises à niveau.

    Planifier une mise à niveau du pare-feu.

  3. Si plusieurs versions du firmware sont disponibles, sélectionnez celle de votre choix.

  4. Choisissez la date et l’heure de la mise à niveau.

    Vous pouvez également mettre à niveau le firmware immédiatement.

  5. Cliquez sur Planifier les mises à niveau.

    Bouton Planifier la mise à niveau.

    Les pare-feu sont mis à jour en fonction du fuseau horaire du pare-feu. La mise à niveau démarre à l’heure programmée sur le pare-feu. Vous verrez l’icône d’engrenage à côté du pare-feu lorsque la mise à niveau est en cours.

    Icône d’engrenage.

    Une fois la mise à niveau terminée, l’icône d’engrenage disparaît.

Vous pouvez mettre à niveau plusieurs pare-feu en même temps. Vous pouvez modifier ou annuler les mises à niveau planifiées.

En cas de problème lors de la migration de la configuration de votre pare-feu pendant le processus de mise à jour, nous restaurons automatiquement la version de votre firmware. Voir Sophos Firewall : Restauration automatique du firmware.