Pare-feu

Vous pouvez voir et configurer les pare-feu Sophos Firewall qui se connectent à Sophos Central.

Introduction

Lorsque vous ajoutez un pare-feu à Sophos Central, vous pouvez le surveiller dans Sophos Central et le gérer à partir de la console d’administration Web des pare-feu. Retrouvez plus de renseignements à la section Administration de Sophos Firewall depuis Sophos Central.

Vous pouvez gérer les pare-feu individuellement ou en groupe. Les pare-feu gérés individuellement sont placés dans un groupe appelé « Sans groupe ». Pour gérer les pare-feu, rendez-vous sur Gestion des pare-feu > Pare-feu.

Vous pouvez ajouter autant de pare-feu que vous le souhaitez dans Sophos Central. Sophos Central est basé dans le Cloud et s’adapte à vos besoins. Par exemple, si vos pare-feu produisent un grand nombre de journaux, vous pouvez stocker et utiliser ces données si vous disposez d’une capacité de licence suffisante. Sophos Central stocke les données du journal du pare-feu sur la base du premier entré, premier sorti. Ceci signifie que lorsque votre stockage de données est plein, nous supprimons d’abord vos anciennes données. Retrouvez plus de renseignements à la section Centre de rapports.

Retrouvez plus d’aide sur les pare-feu sur :

Informations sur le pare-feu

Les informations affichées pour chaque pare-feu comprennent les éléments suivants :

  • Alertes : Alertes au cours des dernières 24 heures.

    Icône

    Description

    Alerte d’utilisation de l’UC : pour afficher un graphique de l’utilisation de l’UC au cours des deux dernières heures, cliquez sur l’icône.

    Alerte de gestion et de rapport : pour plus d’informations, cliquez sur l’icône.

  • Synchro et gestion

    État

    Description

    Synchronisé

    Le pare-feu est en ligne et envoie régulièrement des signaux Heartbeat. La configuration du pare-feu correspond à la stratégie de groupe.

    Connecté

    Si le pare-feu n’est pas dans un groupe, cet état indique que le pare-feu est en ligne et envoie des signaux Heartbeat régulièrement.

    Si le pare-feu fait partie d’un groupe et que cet état reste inchangé pendant plus d’une minute environ, cela indique que le pare-feu est en ligne et envoie des signaux Heartbeat régulièrement, mais qu’il ne commence pas à se synchroniser avec la stratégie de groupe. Ceci peut être dû au fait que les tâches de synchronisation n’ont pas été créées ou que les tâches ont été créées mais que le pare-feu ne les récupère pas. Dans ce cas, consultez la file d’attente des tâches pour savoir quelles transactions sont en attente.

    Erreur nécessitant votre attention

    La configuration du pare-feu ne correspond pas à la stratégie de groupe. L’administrateur doit consulter la file d’attente des tâches pour savoir quelle stratégie ne peut pas être appliquée.

    En cours de synchronisation

    Le pare-feu vient d’être ajouté au groupe. Sophos Central applique la stratégie de groupe au pare-feu.

    Vu pour la dernière fois il y a x heures (pour Sophos Firewall 18.0 ou plus) ou Déconnecté

    Le pare-feu est hors connexion.

    Autorisation en attente

    Le pare-feu a été enregistré avec Sophos Central par un administrateur local depuis la console d’administration Web du pare-feu. Il attend d’être approuvé par un administrateur Sophos Central. Une fois approuvé, le pare-feu est prêt pour la gestion individuelle et en groupe des appareils.

    Gestion désactivée

    Le pare-feu est enregistré avec Sophos Central. Cependant, la gestion Sophos Central n’a pas été activée depuis la console d’administration Web du pare-feu.

    Si vous cliquez sur un état, des informations supplémentaires s’affichent :

    Informations supplémentaires

    Description

    Manquant depuis x heures

    Le pare-feu envoie un message de pulsation toutes les minutes. Si cinq messages de pulsation sont manqués, Sophos Central considère que le pare-feu est hors ligne.

    Impossible d’appliquer une stratégie il y a x jours

    Une stratégie n’a pas pu être appliquée au pare-feu. La file d’attente des tâches peut contenir plus de détails sur la raison de l’échec.

    Pare-feu suspendu.

    Le pare-feu a été déconnecté ou désynchronisé de la stratégie de groupe pendant plus de 30 jours. Cela signifie que Sophos Central ne peut pas détecter son état actuel. Pour résoudre ce problème, supprimez le pare-feu du groupe et ajoutez-le à nouveau.

    L’édition de rapports Central est désactivée

    Vous pouvez activer les rapports du pare-feu à partir de la console d’administration Web du pare-feu.

  • Sécurité synchronisée

    Icône

    Description

    Icône des applis

    Nombre d’applications découvertes par le pare-feu.

    Icône de graphique grise

    Édition de rapports désactivée.

    Icône de graphique bleue

    Édition de rapports activée.

  • Version : Version du système d’exploitation du pare-feu.

Cliquez sur un pare-feu pour ouvrir la console d’administration Web du pare-feu. Vous allez pouvoir configurer le pare-feu.

Remarque : Vous devez être administrateur ou super administrateur dans Sophos Central pour ouvrir la console d’administration Web. Vous disposez ainsi des mêmes autorisations que le compte « admin » local du pare-feu. Vous pouvez également modifier le mot de passe d’un compte « admin », ce qui est nécessaire lorsque vous déployez des pare-feu avec Zero Touch.

Ajouter un nouveau pare-feu

Pour ajouter un nouveau pare-feu, procédez de la manière suivante :

  1. Cliquez sur Ajouter un pare-feu et sélectionnez l’option pour ajouter un nouveau pare-feu.
  2. Enregistrez votre numéro de série.

    Vous allez être guidé tout au long des opérations d’enregistrement et de déploiement.

Ajouter un pare-feu existant

Pour ajouter un pare-feu déjà déployé, procédez comme suit :
  1. Connectez-vous à votre pare-feu.
  2. Sur la page Synchronisation Central, activez Gérer à partir de Sophos Central.
  3. Dans Sophos Central, sur la page Pare-feu, développez le groupe Dissocié, recherchez le pare-feu et cliquez sur Accepter les services.

Créer un groupe

Si vos pare-feu sont sur la version 18.0 ou ultérieure du firmware, vous pouvez les ajouter à un groupe et les configurer simultanément à l’aide d’une stratégie de groupe.

Remarque : Vous devez être administrateur ou super administrateur dans Sophos Central pour créer un groupe.
  1. Cliquez sur Créer un nouveau groupe.
  2. Nommez le groupe.
  3. Assignez des pare-feu au groupe.

    Vous n’avez pas à assigner de pare-feu lorsque vous créez un groupe. Vous pouvez créer un groupe vide, modifier sa stratégie, puis lui assigner des pare-feu. La stratégie de groupe est appliquée aux pare-feu chaque fois que vous les assignez au groupe. À partir de là, la configuration du pare-feu est synchronisée avec la stratégie de groupe.

  4. Cliquez sur Enregistrer.

Modifier la stratégie de groupe

Vous pouvez modifier la stratégie qui s’appliquera à tous les pare-feu d’un groupe. Procédez de la manière suivante :

  1. Cliquez sur le bouton « points de suspension » (…) à droite du groupe pour lequel vous souhaitez modifier la stratégie.
  2. Sélectionnez Administrer la stratégie.

    Ceci vous amène à la section Règles et stratégies de la console d’administration Web du pare-feu.

  3. Vous pouvez désormais modifier vos stratégies.

    Si une stratégie porte sur des zones de pare-feu ou des interfaces, vous devrez peut-être créer des zones ou des interfaces dynamiques.

  4. Pour revenir à Sophos Central, cliquez sur Tableau de bord ou sur Retour à la Vue générale (dans le menu de gauche).

Dans Sophos Central, rendez-vous sur Gestion des pare-feu > Tâches en file d’attente. Vous pouvez voir si la stratégie a été appliquée aux pare-feu.

Avertissement : Lorsque vous ajoutez des règles de pare-feu ou NAT, les paramètres supérieurs et inférieurs ne s’appliquent qu’à l’ordre des règles dans Sophos Central, et non aux règles qui peuvent avoir été créées localement sur le pare-feu. Toutes les règles activées depuis Sophos Central sont insérées en haut de la liste de règles sur le pare-feu. Pour éviter un comportement inattendu de pare-feu, lorsqu’un pare-feu est géré depuis Sophos Central, nous recommandons de créer et d’activer toutes les règles depuis Sophos Central.

Créer un sous-groupe

Vous pouvez créer un sous-groupe dans un groupe. Cela vous permet de modifier la stratégie de groupe différemment pour chaque sous-groupe.

Par exemple, si vous avez un groupe appelé « Acme Corporation » qui contient des sous-groupes appelés « Boston », « Londres » et « Hyderabad », la stratégie créée pour Acme Corporation est automatiquement appliquée à tous les pare-feu de tous les sous-groupes. Toutefois, si vous modifiez la stratégie pour Boston, vos modifications ne sont appliquées qu’aux pare-feu du sous-groupe Boston, et non aux pare-feu des sous-groupes Londres et Hyderabad.

Pour créer un sous-groupe, procédez comme suit :

  1. Sélectionnez le bouton « points de suspension » (…) à droite du pare-feu pour lequel vous souhaitez créer un sous-groupe.
  2. Sélectionnez Ajouter un sous-groupe.
  3. Saisissez le nom du sous-groupe.
  4. Assignez les pare-feu au sous-groupe.

    Vous n’avez pas à assigner de pare-feu lorsque vous créez un sous-groupe. Vous pouvez créer un sous-groupe vide, modifier sa stratégie, puis lui assigner des pare-feu. La stratégie de groupe est appliquée aux pare-feu chaque fois que vous les assignez au groupe. À partir de ce moment, la configuration du pare-feu est synchronisée avec la stratégie de sous-groupe.

  5. Cliquez sur Enregistrer.

Héritage d’objets et de paramètres par stratégie de sous-groupe

Les objets sont les pages de l’éditeur de stratégie de groupe qui contiennent généralement les boutons Ajouter et Supprimer. Exemples : règles de pare-feu, règles NAT, hôtes FQDN et hôtes IP.

Une stratégie de sous-groupe ne peut pas modifier les objets que vous créez pour un groupe parent. Par exemple, vous créez un objet Hôte FQDN personnalisé pour la stratégie « Acme Corporation ». Les stratégies de Boston, de Londres et de Hyderabad héritent d’une copie en lecture seule de l’objet, qui apparaît grisée dans les stratégies de Boston, de Londres et de Hyderabad. Une stratégie de sous-groupe peut néanmoins utiliser la stratégie de groupe parent comme modèle pour créer ses propres règles. Une stratégie de sous-groupe est également libre de créer ses propres objets. Ces objets ne sont visibles que pour cette stratégie de sous-groupe et les stratégies de ses sous-groupes.

Si vous essayez de supprimer un objet d’une stratégie de groupe parent, il est automatiquement supprimé des stratégies de sous-groupe s’il n’est pas utilisé par l’un d’eux. Toutefois s’il est utilisé, la suppression est empêchée et vous êtes informé du sous-groupe et de la règle dans lequel l’objet est utilisé.

Les paramètres sont les pages de l’éditeur de stratégie de groupe qui contiennent généralement un bouton Appliquer. Vous ne pouvez ni supprimer, configurer ou activer/désactiver un paramètre. Les paramètres Protection avancée contre les menaces sont des exemples de paramètres.

Les paramètres ne peuvent être configurés que dans la stratégie de groupe parent la plus haute. Vous ne pouvez pas configurer les paramètres dans les stratégies de sous-groupe. Lorsqu’un paramètre est appliqué à la stratégie de groupe parent la plus haute, il s’applique automatiquement à toutes les stratégies de sous-groupe.

Mettre à niveau le firmware des pare-feu

Restriction : Vous pouvez uniquement planifier des mises à niveau pour une date et une heure ultérieures à partir de la version 18.0 MR3 de Sophos Firewall.

Vous pouvez mettre à niveau le firmware pour Sophos Firewall. Si une mise à niveau est disponible, vous verrez un bouton de téléchargement Bouton de téléchargement à côté de tous les pare-feu concernés.

Pour mettre à niveau un pare-feu virtuel, procédez comme suit :

  1. Cliquez sur le bouton de téléchargement.
  2. Cliquez sur Planifier les mises à niveau.

    Planifier une mise à niveau du pare-feu
  3. Si plusieurs versions du firmware sont disponibles, sélectionnez celle de votre choix.
  4. Choisissez la date et l’heure de la mise à niveau.

    Vous pouvez également mettre à niveau le firmware immédiatement.

  5. Cliquez sur Planifier les mises à niveau.

    Bouton Planifier la mise à niveau

    Les pare-feu sont mis à jour en fonction du fuseau horaire configuré sur le pare-feu. La mise à niveau démarre à l’heure programmée sur le pare-feu. Lorsque la mise à niveau est en cours, une icône d’engrenage en mouvement s’affiche à côté du pare-feu.

    Icône d’engrenage

    Une fois la mise à niveau terminée, l’icône d’engrenage disparaît.

Vous pouvez mettre à niveau plusieurs pare-feu en même temps. Vous pouvez modifier ou annuler les mises à niveau planifiées.