fwpolext
Le modèle d'exception du pare-feu contient des exceptions de stratégie que vous pouvez configurer de manière à autoriser ou à bloquer divers types de trafic réseau à partir des numéros de port et des adresses IP de l'ordinateur client. Lorsque vous avez créé une exception de stratégie, modifiez les stratégies auxquelles elle s'applique.
Choisissez le type d'exception de stratégie que vous voulez utiliser. Deux types sont proposés :
Les exceptions restrictives
Elles bloquent uniquement les types spécifiés de trafic réseau et s'appliquent aux stratégies qui autorisent tout le trafic réseau. Un exemple d'utilisation d'une exception de stratégie restrictive est de bloquer les ports clients vulnérables aux attaques, tels que les ports souvent utilisés par les chevaux de Troie.
Les exceptions permissives
Elles autorisent uniquement les types spécifiés de trafic réseau et s'appliquent aux stratégies qui bloquent tout le trafic réseau. Par exemple, lorsque vous souhaitez autoriser des clients à accéder uniquement au serveur OfficeScan et à un serveur Web. Pour cela, autorisez le trafic depuis le port sécurisé (utilisé pour communiquer avec le serveur OfficeScan) et le port que le client utilise pour la communication HTTP.
Port d'écoute du client : Ordinateurs en réseau > Gestion des clients > État Le numéro de port se trouve sous Informations de base.
Port d'écoute du serveur : Administration > Paramètres de connexion. Le numéro de port se trouve sous Paramètres de connexion pour les ordinateurs en réseau.
OfficeScan est fourni avec un ensemble d'exceptions de stratégie de pare-feu par défaut, que vous pouvez modifier ou supprimer.
Exceptions de stratégie de pare-feu par défaut |
Nom de l'exception |
Action |
Protocole |
Port |
Direction |
DNS |
Autoriser |
TCP/UDP |
53 |
Entrant et sortant |
NetBIOS |
Autoriser |
TCP/UDP |
137, 138, 139, 445 |
Entrant et sortant |
HTTPS |
Autoriser |
TCP |
443 |
Entrant et sortant |
HTTP |
Autoriser |
TCP |
80 |
Entrant et sortant |
Telnet |
Autoriser |
TCP |
23 |
Entrant et sortant |
SMTP |
Autoriser |
TCP |
25 |
Entrant et sortant |
FTP |
Autoriser |
TCP |
21 |
Entrant et sortant |
POP3 |
Autoriser |
TCP |
110 |
Entrant et sortant |
LDAP |
Autoriser |
TCP/UDP |
389 |
Entrant et sortant |
Les exceptions par défaut s'appliquent à tous les clients. Si vous souhaitez qu'une exception par défaut s'applique uniquement à certains clients, modifiez-la et spécifiez les adresses IP des clients.
L'exception LDAP n'est pas disponible si vous effectuez une mise à jour à partir d'une version précédente d'OfficeScan. Ajoutez cette exception manuellement si vous ne la voyez pas dans la liste d'exceptions.
Pour ajouter une exception de stratégie :
Ordinateurs en réseau > Pare-feu > Stratégies
Cliquez sur Modifier le modèle d'exception.
Cliquez sur Ajouter.
Entrez un nom pour l'exception de stratégie.
Sélectionnez le type d'application. Vous pouvez sélectionner toutes les applications ou spécifier un chemin d'application ou des clés de registre.
Vérifiez le nom et les chemins complets saisis. L'exception d'application ne prend pas en charge les caractères génériques.
Sélectionnez l'action qu'OfficeScan effectuera sur le trafic réseau (bloquer ou autoriser le trafic qui répond au critère d'exception) et le sens du trafic (trafic réseau entrant ou sortant sur l'ordinateur client)
Sélectionnez le type de protocole réseau : TCP, UDP, ICMP ou ICMPv6.
Spécifiez les ports de l'ordinateur client sur lesquels vous souhaitez exécuter l'action.
Sélectionnez les adresses IP de l'ordinateur client à inclure dans l'exception : Par exemple, si vous choisissez de refuser tout le trafic réseau (entrant et sortant) et que vous saisissez l'adresse IP d'un ordinateur unique sur le réseau, les clients dont la stratégie contient cette exception ne pourront pas envoyer de données vers cette adresse IP ou en recevoir à partir de celle-ci.
Sélectionnez l'une des options suivantes :
Toutes les adresses IP : comprend toutes les adresses IP
Adresse IP unique : saisissez une adresse IPv4 ou IPv6, ou un nom d'hôte.
Plage (pour IPv4 ou IPv6) : saisissez une plage d'adresses IPv4 ou IPv6.
Plage (pour IPv6) : saisissez le préfixe et la longueur d'une adresse IPv6.
Masque de sous-réseau : saisissez une adresse IPv4 et son masque de sous-réseau.
Cliquez sur Enregistrer.
Pour modifier une exception de stratégie :
Ordinateurs en réseau > Pare-feu > Stratégies
Cliquez sur Modifier le modèle d'exception.
Cliquez sur une exception de stratégie.
Modifiez ce qui suit :
Nom de l'exception de stratégie
Type, nom ou chemin de l'application
Action qu'OfficeScan effectuera sur le trafic réseau et direction du trafic
Le type de protocole réseau
Les numéros de port de l'exception de stratégie
Les adresses IP des ordinateurs clients
Cliquez sur Enregistrer.
Pour supprimer une entrée :
Ordinateurs en réseau > Pare-feu > Stratégies
Cliquez sur Modifier le modèle d'exception.
Cochez les cases qui se trouvent à côté de l'exception (des exceptions) à supprimer.
Cliquez sur Supprimer.
Saisissez l'ordre des exceptions dans la liste :
Ordinateurs en réseau > Pare-feu > Stratégies
Cliquez sur Modifier le modèle d'exception.
Cochez la case qui se trouve à côté de l'exception à déplacer.
Cliquez sur l'une des flèches pour déplacer l'exception vers le haut ou le bas de la liste. Le numéro ID de l'exception change pour indiquer cette nouvelle position.
Pour enregistrer les paramètres de la liste des exceptions :
Ordinateurs en réseau > Pare-feu > Stratégies
Cliquez sur Modifier le modèle d'exception.
Cliquez sur l'une des options d'enregistrement suivantes :
Enregistrer les modifications du modèle : enregistre le modèle d'exception avec les exceptions de stratégie et les paramètres actuels. Cette option n'applique le modèle d'exception qu'aux stratégies créées ultérieurement, pas aux stratégies existantes.
Enregistrer et appliquer aux stratégies existantes: enregistre le modèle d'exception avec les exceptions de stratégie et les paramètres actuels. Cette option applique le modèle aux stratégies existantes et futures.
Consultez aussi: