Gérer l'Explore Next Generation Firewall

Envie de mettre en place votre propre firewall de protection personnalisé ? Nous allons vous expliquer les principes de base de son installation.

L'Explore Next Generation Firewall utilise le firewall Palo Alto Networks, le contrôle des applications, la protection avancée contre les menaces, l'IPS, le filtrage des URL et la fonctionnalité SSL Teleworking. Téléchargez le manuel(PDF, 4 MB) .


Premiers pas

Nous allons vous expliquer comment vous connecter et vous fournir un aperçu des caractéristiques principales.

Une aide contextuelle est également disponible dans l'interface de votre firewall en appuyant sur l'icône bleu ? Help.

L'accès aux paramètres de configuration n'est possible qu'au départ de votre réseau Explore :

  1. Surfez sur https://ngfw.explore.proximus.comNouvelle fenêtre
  2. Introduisez les identifiants suivants et cliquez sur Log In. Notez que le nom d'utilisateur et le mot de passe sont sensibles à la casse, veillez à les taper correctement.
  3. Après l'authentification, un message de bienvenue s'affiche. Après avoir fermé le message de bienvenue, vous accédez à l'Application Control Center (ACC).

Nous vous recommandons vivement de changer le mot de passe par défaut fourni par Proximus. Veuillez suivre la procédure pour changer votre mot de passe.

Avant toute chose, vous devez savoir que les changements n'entrent pas en vigueur immédiatement. Pour appliquer des changements, vous devez cliquer sur Commit dans le coin supérieur droit de l'interface web.

Cliquez à nouveau sur le bouton Commit pour confirmer vos modifications.

L'interface de votre firewall comporte 6 onglets :

  1. Application Control Center (ACC) : fournit des renseignements utiles sur l'activité de votre réseau.
  2. Monitor : fournit les rapports de firewall ainsi que les journaux relatifs à votre activité sur le réseau.
  3. Policies : configure les policies de firewall (sécurité, NAT, transfert, QoS, authentification, contournements des applications, etc.).
  4. Objects : configure les éléments (tels des objets ou profils de sécurité) que vous pouvez utiliser avec des policies.
  5. Device : configure les paramètres de base du système et les tâches de maintenance. La plupart des tâches ne peuvent être effectuées que par Proximus.

Nous vous recommandons d'utiliser l'aide contextuelle pour en savoir plus sur les différents éléments présents sur la page que vous regardez.

L'ACC présente une vue d'ensemble de toutes les activités. Chacun de ses onglets contient des widgets.

Vous pouvez facilement ajouter un widget en appuyant sur le petit stylo en regard du nom de l'onglet ou le supprimer en appuyant sur l'icône noir X en regard du nom de l'onglet.

Network activity

Cette rubrique vous donne un aperçu du trafic et de l'activité des utilisateurs sur le réseau. Les principaux widgets sont :

  • Application usage : 10 principales applications utilisées sur votre réseau. Les applications restantes sont regroupées dans "other". Le graphique montre toutes les applications par catégorie, sous-catégorie et application. Utilisez ce widget pour surveiller les applications à forte utilisation de bande passante, le nombre de sessions, les transferts de fichiers, les menaces et les URL consultées.
  • User activity : 10 utilisateurs les plus actifs du réseau en termes de trafic et de ressources réseau. Utilisez ce widget pour surveiller la consommation triée par bytes, sessions, menaces, contenu (fichiers et modèles) et URL visitées.
  • Source IP activity : 10 premières adresses IP ou noms d'hôtes d'appareils générant une activité de réseau.
  • Destination IP activity : 10 premières adresses IP ou noms d'hôtes auxquels des utilisateurs du réseau ont accédé.
  • Rule usage : 10 principales règles ayant permis le plus de trafic sur le réseau. Utilisez ce wigdet pour surveiller les règles et modèles d'utilisation les plus utilisés et voir s'ils sont efficaces pour sécuriser votre réseau.
Threat activity

Cette rubrique donne un aperçu des menaces qui touchent votre réseau. Ces informations sont basées sur des correspondances de signature dans les profils Antivirus, Anti-Spyware, Vulnerability Protection et les virus signalés par WildFire.

Blocked activity

Cette rubrique montre tout le trafic bloqué avant d'arriver à votre réseau. Les principaux widgets sont :

  • Blocked application activity : affiche les applications qui ont été refusées sur votre réseau, ainsi que les menaces, le contenu et les URL.
  • Blocked user activity : affiche les demandes d'utilisateurs qui ont été bloquées par une correspondance à un profil Antivirus, Anti-Spyware, File Blocking ou URL Filtering associé à une règle de profil de sécurité.
  • Blocked threats : affiche les menaces qui ont été bloquées sur la base de signatures d'antivirus, de vulnérabilité et de DNS.
  • Blocked content : affiche les fichiers et données bloqués par un profil de sécurité de blocage de fichiers ou de filtrage de données faisant partie de votre policy.
  • Security policies blocking activity : affiche les règles de sécurité qui ont bloqué ou restreint le trafic en raison de menaces, contenu et URL pour lesquels l'accès à votre réseau a été refusé. Les règles de refus définies dans votre policy sont exclues. Utilisez ce widget pour contrôler l'efficacité de vos règles de sécurité.

L'onglet Monitor vous permet de visualiser tous vos journaux :

  • Traffi c: affiche tout le trafic sur votre firewall.
  • Threats : affiche toutes les alarmes de sécurité (virus, logiciels malveillants, URL Filtering, WildFire, etc.). Pour certaines alarmes, vous devez disposer d'un pack Proximus Advanced Security, une option supplémentaire.
  • User-id : montre les événements liés à la fonction Palo Alto UserID.
  • Systems :montre les changements de configuration, y compris les interventions de Proximus.
  • Authentication : centralise les événements d'authentification (Teleworking, Palo Alto UserID, etc.).
  • Unified : affiche un journal collectif des entrées de journal Traffic, URL Filtering et WildFire Submissions. Vous pouvez ainsi facilement filtrer et comparer les journaux qui vous intéressent.

Vous pouvez créer ici vos propres rapports que le firewall génère immédiatement ou de façon programmée. Suivez ces étapes :

  1. Cliquez sur l'onglet Monitor.
  2. Clicquez sur Manage custom report.
  3. Clicquez sur Add et choisissez un nom pour votre rapport.
  4. Pour utiliser ou modifier un modèle existant, cliquez sur Load Template et choisissez un modèle.
  5. Choisissez une Data Base à utiliser pour le rapport.
  6. Cochez la case Scheduled et définissez vos filtres : la période (Time Frame), l'ordre (Sort By), la préférence (Group By), et sélectionnez les colonnes que vous souhaitez voir apparaître dans le rapport. Sélectionnez éventuellement les attributs Query Builder pour affiner les critères de sélection.
  7. Clicquez sur Run Now pour tester votre rapport. Modifiez les paramètres selon vos besoins.
  8. Clicquez sur OK pour enregistrer votre rapport personnalisé.

Proximus est en charge des mise à jour et upgrade du Next Generation Firewall. Proximus conserve de manière automatique les 50 configurations précédentes (version/commit) du Next Generation Firewall.

Les temps de disponibilités sont repris dans le SLA du service Explore Internet. Seules les configuration HA (option SLA Gold) en mode Actif/Passif sont entièrement redondantes et permettent un service de très haute disponibilité. Ces configurations sont disponibles sur toutes les versions et sont généralement associées à un SLA Gold pour la connectivité et le Next Generation Firewall.


Policies, objets et profils de sécurité

Policies

Les policies sont des paramètres qui vous permettent d'autoriser, de restreindre et de suivre le trafic en fonction de l'application, de l'utilisateur, du groupe d'utilisateurs ou du service (port et protocole). Cette rubrique vous permet de définir vos règles de sécurité, mais aussi votre NAT, votre contournement d'application et vos politiques d'authentification.

Votre firewall utilise l'inspection des paquets et une bibliothèque de signatures d'applications pour distinguer les applications (par protocole ou par port) et pour identifier les applications malveillantes utilisant des ports non standard.

Pour une sécurité maximale, utilisez des politiques de sécurité pour des applications ou des groupes d'applications spécifiques plutôt qu'une seule politique pour toutes les connexions du port 80 par exemple. Pour chaque application, vous pouvez bloquer ou autoriser le trafic en fonction des zones et adresses sources et de destination (IPv4 et IPv6). Chaque policy peut également avoir des profils de sécurité contre les virus, les logiciels espions, etc.

Par défaut, Proximus configure certaines policies qui ne peuvent être ni modifiées ni supprimées afin de garantir une connectivité de base permanente. Elle propose également d'autres policies standard pour fournir un accès initial à internet. Vous pouvez les modifier ou créer vos propres policies en plus de celles-là afin de gérer votre trafic.

  • Default Web Access : cette règle permet aux applications les plus connues d'accéder à internet.
  • Blocked High Risk applications : cette règle permet de bloquer les applications réputées présenter un risque élevé pour la sécurité.
  • Règle 'Accept All' : cette règle permet de prendre en compte tout le trafic restant qui ne correspond pas aux règles précédentes.  Elle est là pour assurer une connectivité complète une fois que le firewall est mis en service sur votre réseau et doit être supprimée dès que possible.

Si vous avez souscrit le service "Advanced Security", un ensemble de profils de sécurité est lié à cette policy afin de vous protéger contre les virus, logiciels espions, etc.

Le profil URL Filtering peut également être configuré pour mieux répondre à vos besoins.

Avant de commencer, assurez-vous que vous avez créé tous les objets (par ex. adresses IP) et profils de sécurité (par ex. un profil URL Filtering) nécessaires que vous souhaitez utiliser dans votre policy.

Pour créer votre policy, suivez ces étapes :

  1. Cliquez sur Policies et Security à gauche. Cliquez sur Add.
  2. Dans l'onglet General, choisissez un nom pour votre policy. Comme Rule Type, sélectionnez universal (default). Vous pouvez éventuellement aussi ajouter un tag que vous avez créé en tant qu'objet.
  3. Dans l'onglet Source tab, sélectionnez une Source Zone à gauche :
    • Inside (Explore side) : il s'agit de la zone sécurisée (trust).
    • Outside (Internet side) : il s'agit de la zone non sécurisée.
    • Teleworking : uniquement disponible si vous avez souscrit le service Teleworking.
    • Any : votre policy s'applique à toutes les zones.
  4. Dans l'onglet Source, sélectionnez une Source Address ou Source User si vous souhaitez que la policy s'applique à une adresse IP ou à un utilisateur spécifique. Si ce n'est pas le cas, laissez la valeur sur Any.
  5. Dans l'onglet Destination, sélectionnez une Destination Zone à gauche et une Destination Address ou Destination User à droite, comme aux étapes 3 et 4.
  6. Dans l'onglet Application, choisissez une ou plusieurs applications, groupes d'applications ou filtres d'applications que vous souhaitez activer en toute sécurité. Comme meilleure pratique, utilisez toujours des règles basées sur des applications plutôt que sur des ports.
  7. Dans l'onglet Service/URL Category, laissez le Service sur application-default.
  8. Dans l'onglet Actions, vérifiez ces paramètres :
    • Action : choisissez l'action que vous voulez que le firewall entreprenne pour le trafic qui correspond à la règle : Allow, Deny (bloque l'application en fonction de sa configuration en tant qu'objet), Drop (coupe l'application sans réinitialisation du TCP), Reset client (envoie une réinitialisation du TCP sur l'appareil côté client), Reset server (envoie une réinitialisation du TCP sur l'appareil côté serveur) ou Reset both (appareil côté client et appareils côté serveur).
    • Log at Session End : cette option doit être cochée.
    • Log forwarding : sélectionnez default.
    • Profile type : vous pouvez soit sélectionner Profiles pour ajouter des profils de sécurité individuels, soit Groupe pour sélectionner un groupe de profils de sécurité.
  9. Cliquez sur OK pour créer votre policy et n'oubliez pas de valider vos modifications.

Plus d'infos sur l'implémentation et la théorie de NAT Palo AltoNouvelle fenêtre (en Anglais).


Dans les firewalls Palo Alto, la NAT (Network Address Translation) est distincte des règles de filtrage du firewall. Par conséquent, il est important de comprendre la logique de flux du firewall pour définir correctement vos policies d'utilisation des adresses natives ou NAT.

Les règles NAT sont basées sur des zones/adresses sources et de destination et un service applicatif (par ex. HTTP). À l'instar des policies de sécurité, les règles NAT sont comparées au trafic entrant dans l'ordre, et la première règle qui correspond au trafic est appliquée. Pour assurer la correspondance du trafic, il est donc très important d'organiser vos règles NAT de la plus spécifique à la moins spécifique.

  1. Le paquet entre dans le firewall.
  2. Un contrôle est effectué si une session existe. Dans le cas d'une nouvelle configuration, la session n'existe pas encore.
  3. La NAT est inspectée en vue d'une recherche de route (route lookup), mais n'est pas appliquée. C'est important en cas d'entrée NAT statique ! Consultez l'exemple TYPICAL STATIC NAT FROM INTERNET TO SERVERS.
  4. Les policies de firewall sont vérifiées.
  5. La NAT est appliquée au paquet.
  6. Le paquet est transmis.

Pour un aperçu de la logique de traitement des paquets du firewall, consultez le Palo Alto websiteNouvelle fenêtre (en Anglais).

Pour créer votre policy NAT, suivez les étapes suivantes :

  1. Cliquez sur l'onglet Policies, puis sur NAT. Cliquez sur Add.
  2. Dans l'onglet General, choisissez un nom et une description. Ajoutez un ou plusieurs tags que vous avez créés en tant qu'objet. Définissez le NAT type sur ipv4 (default).
  3. Dans l'onglet Original Packet, choisissez une Source Zone (généralement "inside") et une Destination Zone (généralement "outside"). Choisissez éventuellement une ou plusieurs Source Addresses (IP, subnet ou pool) qui correspondront à la règle NAT.
  4. Dans l'onglet Translated Packet, choisissez le Source Address Translation type (l'adresse IP et le port dynamiques) et ne modifiez pas la Destination Address Translation. Il existe deux possibilités pour la Source Address Translation :
    • Translated Address (si vous utilisez une adresse IP Pack) : ajoutez au moins une adresse IP, qui peut être une adresse ou un groupe d'adresses que vous avez créés en tant qu'objet. Chaque entrée de la liste sera utilisée par la règle NAT de manière séquentielle. Ces adresses doivent être acheminées vers les pairs externes pour que le procédé NAT puisse fonctionner.
    • Interface Address (si vous utilisez l'adresse IP WAN) : seul le loopback.100 peut être utilisé pour le procédé NAT. N'utilisez pas les interfaces ethernet1/1 ou ethernet1/2 comme adresse NAT.
  5. Clicquez sur OK et validez vos modifications.

Attention : par défaut, le NAT oversubscription rate diffère selon le modèle de VM. La "NAT oversubscription" est le nombre de fois qu'une même paire d'IP et de ports traduits peut être utilisée simultanément.

Attention : les règles de NAT statique n'ont pas la priorité sur les autres formes de NAT. Par conséquent, pour que la NAT statique fonctionne, les règles de NAT statique doivent avoir priorité sur toutes les autres règles NAT de la liste du firewall.

Pour créer votre policy NAT, suivez les étapes suivantes :

  1. Clicquez sur l'onglet Policies et sur NAT. Clicquez sur Add.
  2. Dans l'onglet General, choisissez un nom et une description. Ajoutez un ou plusieurs tags que vous avez créés en tant qu'objet. Définissez le NAT type sur ipv4 (default).
  3. Dans l'onglet Original Packet, choisissez la même Source Zone et Destination Zone (généralement "outside"). Sous Service, sélectionnez le service internet de votre serveur (par ex. HTTP) pour éviter que toutes les connexions entrantes soient traduites. Pour la Source Address, assurez-vous que Any soit coché. Comme Destination Address, introduisez l'adresse internet de votre serveur. Il s'agit de l'adresse IP publique utilisée pour atteindre votre serveur depuis le monde extérieur.
  4. Dans l'ongletTranslated Packet, ne modifiez pas le Source Address Translation type et, comme Destination Address Translation, indiquez votre adresse IP statique. Si vous le souhaitez, vous pouvez spécifier un port ou une plage de ports. Si aucun port n'est spécifié, le port d'origine sera utilisé.
  5. Clicquez sur OK et validez vos modifications.

Attention : vos règles de firewall s'appliqueront à la zone de destination réelle. La destination est l'adresse IP publique (et le port, s'il est traduit) du serveur, et non l'IP interne. Consultez la section Implémentation et théorie de NAT Palo AltoNouvelle fenêtre (en Anglais) pour en savoir plus sur les raisons.

Objets

Les objets sont des éléments que vous pouvez utiliser dans vos policies ou profils de sécurité :

  • Addresses & address groups : sous-réseaux IP, plages ou FQDN à utiliser dans les policies.
  • Applications, applications groups & filters : liste de toutes les applications et de leurs détails fournie et constamment mise à jour par Palo Alto, à utiliser dans les policies.
  • Services & Service groups : ports TCP et/ou UDP pouvant être configurés pour limiter une application à certains ports ou être utilisés de manière autonome dans les policies.
  • Tags : une fonctionnalité qui s'applique à l'ensemble de votre firewall et que vous pouvez utiliser pour faire référence à des mots clés spécifiques (tags) au lieu d'objets. Par exemple, vous pouvez définir une liste d'adresses IP que vos télétravailleurs utilisent et nommer le tag "teleworking". Vous pouvez ainsi facilement faire référence au tag "teleworking" dans votre policy et savoir que cette policy s'applique à vos télétravailleurs.
  • External dynamic list : permet d'importer une liste d'adresses IP, d'URL ou de noms de domaine à utiliser dans les policies. Si vous disposez d'un pack Proximus Advanced Security, 2 listes d'IP dynamiques vous sont proposées : les adresses IP à haut risque et les adresses IP malveillantes connues, qui font l'objet de mises à jour quotidiennes.
  • Custom objects : fonctionnalités de sécurité avancées configurées par Proximus, sauf pour les URL categories.
Profils de sécurité

Les profils de sécurité sont des objets que nous pouvons ajouter en plus de l'inspection standard du firewall. Ils permettent un contrôle accru ainsi que la réalisation de vérifications de sécurité supplémentaires sur le trafic du réseau.

Comme meilleures pratiques, il est recommandé d'implémenter les profils de sécurité par défaut prédéfinis. Ces profils de sécurité par défaut sont appliqués à la configuration initiale standard et suivent cette convention de dénomination : Sec_Prof_xx_PM (où "xx" est remplacé par le type de profil : AV pour Antivirus, VP pour Vulnerability Protection, etc.). Ces profils peuvent être appliqués dans l'onglet Objects sous Security Profiles, soit individuellement soit en tant que profil de groupe. Votre firewall offre plusieurs types de profils de sécurité :

Ce profil de sécurité détecte les fichiers infectés transférés par une ou plusieurs applications.

Dans l'onglet Objects sous Security Profiles, vous trouvez le profil Antivirus par défaut. Ce profil vérifie la présence de virus dans tous les décodeurs de protocole répertoriés, génère des alertes pour SMTP, IMAP et POP3 et entreprend l'action par défaut pour les autres applications (Alert ou Deny), en fonction du type de virus détecté.

Vous pouvez lier ce profil de sécurité à vos policies. Si vous avez d'autres besoins en termes de conformité d'antivirus, vous pouvez créer un profil personnalisé :

  1. Cliquez sur l'onglet Objects, puis sur Security Profiles. Cliquez sur Antivirus.
  2. Sélectionnez le profil par défaut de Proximus et appuyez sur Clone.
  3. Assurez-vous que Name est sélectionné, décochez Error our on first detected error in validation et appuyez sur OK.
  4. Adaptez les paramètres Antivirus en fonction de vos besoins :
    • Le Name de votre profil (jusqu'à 31 caractères) est obligatoire. Il apparaît dans la liste de profils Antivirus lors de la définition des policies de sécurité. Le nom est sensible à la casse et doit être unique. Utilisez uniquement des lettres, des chiffres, des espaces, des traits d'union, des points et des traits de soulignement.
    • Dans l'onglet Antivirus, vous pouvez choisir l'action à entreprendre pour différents types de trafic, comme FTP et HTTP. Dans le tableau Application Exception, vous pouvez définir les applications qui ne doivent pas être inspectées.
    • Dans l'onglet Virus Exceptions, vous pouvez définir une liste de menaces qui seront ignorées par le profil antivirus.
  5. Cliquez sur OK. Pour utiliser votre nouveau profil, vous devrez le lier à une policy.
  6. Cliquez sur l'onglet Policies, puis sur Security.
  7. Cliquez sur la policy à laquelle vous souhaitez appliquer le profil de sécurité.
  8. Cliquez sur l'onglet Actions. Dans Profile Setting, cliquez sur le menu déroulant en regard de chaque profil que vous souhaitez activer et choisissez le profil que vous avez créé.
  9. Cliquez sur OK et validez vos modifications.

Ce profil de sécurité détecte les téléchargements de logiciels espions et le trafic de logiciels espions déjà installés.

Vous pouvez créer un profil personnalisé :

  1. Cliquez sur l'onglet Objects, puis sur Security Profiles. Cliquez sur Anti-spyware.
  2. Sélectionnez le profil par défaut de Proximus et appuyez sur Clone.
  3. Assurez-vous que Name est sélectionné, décochez Error our on first detected error in validation et appuyez sur OK.
  4. 4. Adaptez les paramètres Anti-Spyware en fonction de vos besoins. Le Name de votre profil (jusqu'à 31 caractères) est obligatoire. Il apparaît dans la liste de profils lors de la définition des policies de sécurité. Le nom est sensible à la casse et doit être unique. Utilisez uniquement des lettres, des chiffres, des espaces, des traits d'union, des points et des traits de soulignement.
  5. Cliquez sur OK. Pour utiliser votre nouveau profil, vous devrez le lier à une policy.
  6. Cliquez sur l'onglet Policies, puis sur Security.
  7. Cliquez sur la policy à laquelle vous souhaitez appliquer le profil de sécurité.
  8. Cliquez sur l'onglet Actions. Dans Profile Setting, cliquez sur le menu déroulant en regard de chaque profil que vous souhaitez activer et choisissez le profil que vous avez créé.
  9. Cliquez sur OK et validez vos modifications.

Ce profil de sécurité détecte les tentatives d'exploitation de vulnérabilités logicielles connues.

Vous pouvez créer un profil personnalisé :

  1. Cliquez sur l'onglet Objects, puis sur Security Profiles. Cliquez sur Vunerability protection.
  2. Sélectionnez le profil par défaut de Proximus et appuyez sur Clone.
  3. Assurez-vous que Name est sélectionné, décochez Error our on first detected error in validation et appuyez sur OK.
  4. Adaptez les paramètres vunerability protection en fonction de vos besoins. Le Name de votre profil (jusqu'à 31 caractères) est obligatoire. Il apparaît dans la liste de profils lors de la définition des policies de sécurité. Le nom est sensible à la casse et doit être unique. Utilisez uniquement des lettres, des chiffres, des espaces, des traits d'union, des points et des traits de soulignement.
  5. Cliquez sur OK. Pour utiliser votre nouveau profil, vous devrez le lier à une policy.
  6. Cliquez sur l'onglet Policies, puis sur Security.
  7. Cliquez sur la policy à laquelle vous souhaitez appliquer le profil de sécurité.
  8. Cliquez sur l'onglet Actions. Dans Profile Setting, cliquez sur le menu déroulant en regard de chaque profil que vous souhaitez activer et choisissez le profil que vous avez créé.
  9. Cliquez sur OK et validez vos modifications.

Ce profil de sécurité classifie et contrôle la navigation web sur la base du contenu.

La solution de filtrage d'URL de Palo Alto Networks complète l'APP-ID en vous permettant d'identifier et de contrôler le trafic HTTP et HTTPS. Lorsque le filtrage d'URL est activé, le trafic web est comparé à la base de données de filtrage d'URL, qui contient des millions de sites web classés dans environ 60 à 80 catégories.

Palo Alto propose deux méthodes principales de filtrage des URL.  Proximus a opté pour la solution de filtrage d'URL PAN-DB, qui est configurée via un profil de sécurité. Par conséquent, n'utilisez PAS l'onglet Service/URL category, mais choisissez plutôt un profil dans l'onglet Actions.

Il y a deux façons d'utiliser la catégorisation d'URL :

  • Bloquer ou autoriser le trafic en fonction de la catégorie d'URL : vous pouvez créer un profil de sécurité de filtrage d'URL qui spécifie une action pour chaque catégorie d'URL et lier ce profil à une policy. Par exemple : pour bloquer tous les sites de gaming, vous devez définir "Block" comme action pour la catégorie d'URL "games" dans le profil de sécurité URL Filtering. Vous devez lier ce profil à votre policy d'accès au web.
  • Faire correspondre le trafic en fonction d'une catégorie d'URL pour appliquer une policy : si vous souhaitez qu'une policy spécifique s'applique uniquement au trafic web dans une catégorie d'URL spécifique, vous devez ajouter la catégorie d'URL comme critère de correspondance lorsque vous créez votre policy. Par exemple : pour vous assurer que les sites de streaming n'utilisent pas toute votre bande passante, vous pouvez ajouter la catégorie URL "streaming-media" à votre policy QoS.

Pour savoir à quelle catégorie appartient un site web, consultez le site Palo Alto Networks URL filteringNouvelle fenêtre (en Anglais). Vous trouverez la liste complète des catégories de filtrage d'URL sur les Palo Alto’s FAQNouvelle fenêtre (en Anglais).

Vous pouvez configurer un profil de sécurité URL Filtering :

  1. Cliquez sur l'onglet Objects, puis sur Security Profiles. Cliquez sur URL Filtering.
  2. Palo Alto recommande le profil "default". Si vous le souhaitez, sélectionnez le profil par défaut de Proximus et appuyez sur Clone.
  3. Assurez-vous que Name est sélectionné, décochez Error our on first detected error in validation et appuyez sur OK.
  4. Adaptez les paramètres URL Filtering en fonction de vos besoins :
    • Le Name de votre profil (jusqu'à 31 caractères) est obligatoire. Il apparaît dans la liste de profils lors de la définition des policies de sécurité. Le nom est sensible à la casse et doit être unique. Utilisez uniquement des lettres, des chiffres, des espaces, des traits d'union, des points et des traits de soulignement.
    • Dans l'onglet Categories, cochez les catégories de filtrage d'URL que vous souhaitez utiliser. Sous Site Access, choisissez l'action que vous souhaitez effectuer (par ex. Allow (autoriser), Block (bloquer), Alert (générer une alerte) etc.) pour chaque catégorie.
  5. Cliquez sur OK. Pour utiliser votre nouveau profil, vous devrez le lier à une policy.
  6. Cliquez sur l'onglet Policies, puis sur Security.
  7. Cliquez sur la policy à laquelle vous souhaitez appliquer le profil de sécurité.
  8. Cliquez sur l'onglet Actions. Dans Profile Setting, cliquez sur le menu déroulant en regard de chaque profil que vous souhaitez activer et choisissez le profil que vous avez créé.
  9. Cliquez sur OK et validez vos modifications.

Ce profil de sécurité transmet les fichiers inconnus à WildFire, un service d'analyse des logiciels malveillants basé sur le cloud. Il détecte et empêche les logiciels malveillants grâce à une combinaison de techniques de sandboxing et de détection et blocage basés sur la signature.

Lorsque votre firewall détecte un fichier ou lien inconnu (par ex. dans un e-mail), il peut le transmettre à WildFire pour analyse. Sur la base des propriétés, des comportements et des activités analysés et exécutés dans le sandbox WildFire, ce dernier détermine s'il est bénin, s'il s'agit d'un logiciel gris ou s'il est malveillant. WildFire génère ensuite des signatures pour reconnaître les logiciels malveillants nouvellement découverts. Ces signatures sont mises à disposition toutes les 5 minutes dans le monde entier et peuvent être utilisées par tous les firewalls Palo Alto pour bloquer les logiciels malveillants.

Vous pouvez configurer un profil d'analyse WildFire :

  1. Cliquez sur l'onglet Objects, puis sur Security Profiles. Cliquez sur WildFire Analysis.
  2. Sélectionnez le profil par défaut de Proximus et appuyez sur Clone.
  3. Assurez-vous que Name est sélectionné, décochez Error our on first detected error in validation et appuyez sur OK.
  4. Adaptez les paramètres WildFire Analysis en fonction de vos besoins : le Name de votre profil (jusqu'à 31 caractères) est obligatoire. Il apparaît dans la liste de profils lors de la définition des policies de sécurité. Le nom est sensible à la casse et doit être unique. Utilisez uniquement des lettres, des chiffres, des espaces, des traits d'union, des points et des traits de soulignement.
  5. Clicquez sur Add pour définir le trafic inconnu qui doit être transmis pour analyse en fonction de :
    • Applications : transmission de fichiers pour analyse en fonction de l'application utilisée.
    • File types : transmission de fichiers pour analyse en fonction du type de fichier (par ex. PDF), y compris les liens contenus dans les messages e-mail.
    • Direction : transmission de fichiers en fonction de leur mode de transmission (téléchargement, envoi ou les deux), par ex., transmission des fichiers PDF uniquement lorsqu'ils sont téléchargés et non lorsqu'ils sont envoyés.
  6. Définissez l'Analysis location sur l'endroit où le firewall transmet les fichiers correspondant à la règle.
  7. Select public-cloud to forwards files to the WildFire analysis cloud.
  8. Cliquez sur OK. Pour utiliser votre nouveau profil, vous devrez le lier à une policy.
  9. Cliquez sur l'onglet Policies, puis sur Security.
  10. Cliquez sur la policy à laquelle vous souhaitez appliquer le profil de sécurité.
  11. Cliquez sur l'onglet Actions. Dans Profile Setting, cliquez sur le menu déroulant en regard de chaque profil que vous souhaitez activer et choisissez le profil que vous avez créé.
  12. Cliquez sur OK et validez vos modifications.

Teleworking

Si vous avez souscrit ce service, vous pouvez fournir un accès à distance aux utilisateurs de votre réseau en utilisant le logiciel GlobalProtect.

Ce service est proposé en 2 formules :

  1. Local users : vos utilisateurs qui télétravaillent et les mots de passe sont stockés localement sur la plateforme Explore Next Generation Firewall, par paquet de 5 télétravailleurs simultanés.
  2. LDAP/AD : vos utilisateurs qui télétravaillent et les mots de passe sont définis dans un Active Directory. Une configuration supplémentaire entre le firewall et votre serveur Active Directory est requise. Cette variante ne fait pas partie du package autogéré et doit être configurée avec l'aide d'un ingénieur Explore. Si vous avez des questions à ce sujet, n'hésitez pas à nous contacterNouvelle fenêtre .

Si vous disposez de la 1ère formule, vous trouverez ci-dessous toutes les informations pour gérer vos utilisateurs qui télétravaillent et vos mots de passe.

Vous pouvez ajouter, supprimer ou modifier des utilisateurs et des mots de passe :

  1. Clicquez sur l'onglet Device, puis sur Local user DataBase. Clicquez sur Users.
  2. Vous avez le choix entre plusieurs possibilités :
    • Add a user : clicquez sur Add. Cliquez sur Clone pour cloner un utilisateur et l'adapter à vos besoins. Choisissez un nom pour votre utilisateur, un mot de passe et confirmez votre mot de passe. Le mot de passe doit comporter 8 caractères minimum, dont au moins 1 majuscule, 1 minuscule, 1 chiffre et 1 caractère spécial et ne peut pas inclure le nom d'utilisateur de l'utilisateur (y compris inversé). Cliquez sur OK.
    • Change a user : cliquez sur l'utilisateur que vous souhaitez modifier. Vous pouvez à présent choisir un nouveau nom et un nouveau mot de passe en suivant les exigences en matière de mot de passe ci-dessus. Cliquez sur OK.
    • Delete a user : cochez l'utilisateur que vous voulez supprimer et cliquez sur Delete.

    Attention  le nombre d'utilisateurs pouvant se connecter simultanément dépend de votre abonnement Teleworking. Si vous devez ajouter d'autres utilisateurs, contactez-nousNouvelle fenêtre .

  3. Si vous avez ajouté un utilisateur, vous devez l'ajouter ensuite au groupe de télétravailleurs. Pour ce faire, cliquez sur User Groups dans la partie gauche de l'écran.
  4. Cliquez sur UserGrp_Local_TWK. Cliquez sur Add et ajoutez les utilisateurs que vous venez de créer.
  5. Clicquez sur OK et validez vos modifications.

Proximus vous fournira un lien vers votre portail de teleworking ainsi que vos identifiants de connexion. Suivez ces étapes pour télécharger le logiciel GlobalProtect :

Sur mobile

Une fois le téléchargement terminé, installez l'app sur votre appareil.

Sur PC ou Mac

  1. Accédez à votre portail de teleworking en surfant sur yourportal.teleworking.proximus.com/ et remplacez "yourportal" par le portail de votre entreprise.
  2. Introduisez le nom d'utilisateur du télétravailleur et le mot de passe, puis cliquez sur LOG IN.
  3. Cliquez sur le lien pour télécharger le logiciel GlobalProtect pour Windows ou pour Mac.
  4. Pour installer le logiciel GlobalProtect par la suite, vous devrez disposer de droits d'administrateur sur l'ordinateur sur lequel vous l'installerez. Double-cliquez sur le fichier que vous venez de télécharger et suivez les étapes de l'assistant d'installation.

Après avoir installé le logiciel, vous pouvez vous connecter à la passerelle :

  1. Double-cliquez sur l'icône GlobalProtect.
  2. Introduisez vos paramètres dans l'application GlobalProtect :
    Portal: introduisez le lien vers votre portail de teleworking (par ex. yourportal.teleworking.proximus.com/ où "yourportal" est remplacé par le portail de votre entreprise) tel que fourni par Proximus.
  3. Clicquez sur Connect.
  4. Introduisez les identifiants de connexion :
    • Username : introduisez le nom d'utilisateur du télétravailleur.
    • Password : introduisez le mot de passe du télétravailleur.
  5. Clicquez sur Sign In.

Une fois que vous êtes connecté, votre statut de connexion est visible lorsque vous double-cliquez sur l'icône GlobalProtect en bas à droite de la barre des tâches de votre ordinateur.

Cliquez sur l'icône Settings dans le coin supérieur droit pour obtenir plus de détails.

Dans l'onglet General, vous voyez le nom d'utilisateur qui est connecté, l'adresse IP ou le nom d'hôte du portail et le statut de la connexion.

Dans l'onglet Connection, vous pouvez voir l'adresse IP attribuée au télétravailleur.

Si vous rencontrez des problèmes, vérifiez les policies de firewall entre les zones teleworking, inside et outside si tous les accès requis sont autorisés.


Modifier ou réinitialiser le mot de passe de votre firewall

Votre mot de passe ne peut être modifié que si vous êtes déjà connecté. Si vous ne pouvez pas vous connecter, contactez-nousNouvelle fenêtre pour réinitialiser votre mot de passe.

Pour modifier votre mot de passe, suivez les étapes suivantes :

  1. Cliquez sur customer en bas de la page.
  2. Vous devrez choisir un nouveau mot de passe :
    • Dans l'onglet Old Password, introduisez votre mot de passe actuel.
    • Dans l'onglet New Password, choisissez un mot de passe de 8 caractères minimum contenant au moins 1 majuscule, 1 minuscule, 1 caractère spécial et 1 caractère numérique.
    • Dans l'onglet Confirm New Password, répétez le mot de passe choisi et cliquez sur OK.
    • Clicquez sur Commit en haut de la page pour confirmer vos modifications.
    • Clicquez de nouveau sur Commit dans la fenêtre pop-up qui apparaît.

Votre login et votre mot de passe ne peuvent être utilisés que par vous. Proximus dispose d'informations d'identification distinctes pour accéder au Firewall. Si vous perdez votre mot de passe, vous devez contacter le Service Desk pour demander une réinitialisation de votre mot de passe.


Vos droits d'accès aux fonctions sur le firewall

Téléchargez un aperçu des droits d'accès(PDF, 498 KB, en Anglais) avec une liste des fonctions que vous pouvez voir, modifier et ne pas voir sur votre firewall.


Consultance et formations

Nous proposons à nos clients des services de consultance et des formations :

En tant que client, vous pouvez faire appel à nos services de consultance. Ces services comprennent une migration et une amélioration continue :

Remarque, la migration n'est possible que si la marque de votre firewall actuel figure sur la liste des fournisseurs compatibles : Check Point, Cisco (ASA et Firepower dans la syntaxe ASA), Fortinet, Juniper, Forcepoint...

  1. Migration:
    • Nous commençons par une migration de base de vos règles de firewall actuelles vers la solution Explore NGFW de Proximus.
    • Nous avons recours à des outils automatisés et à des techniciens qualifiés pour réaliser la migration.
    • Nous passons d'une politique de sécurité basée sur les ports à une politique de sécurité basée sur les applications.
    • N'ayez crainte : les efforts requis pour mettre en œuvre une politique basée sur les applications sont bien inférieurs aux risques de sécurité encourus en conservant une politique basée sur les ports.
  2. Amélioration continue:

    Après migration vers une politique de sécurité basée sur les applications, il sera temps d'apporter quelques améliorations. Palo Alto dispose de plusieurs outils qui permettent d'optimiser en permanence vos règles de sécurité, une nécessité dans un paysage de menaces en constante évolution. Nous nous chargeons d'apporter ces améliorations :

    • 'Policy optimizer': aide à améliorer les règles individuelles.
    • BPA-rapport: indique dans quelle mesure les meilleures pratiques de Palo Alto sont respectées. L'ingénieur sécurité établira ce rapport après la migration, au terme d'une première série d'optimisations et après chaque amélioration successive. Ce rapport contribue à une traçabilité précise de l'amélioration de la posture de sécurité.

En tant que client, vous pouvez suivre une formation de 4 heures consistant en 3 heures de cours et 1 heure de préparation et de suivi. N'hésitez pas à contacter votre contact SalesNouvelle fenêtre si cette formation vous intéresse.
Au terme de cette formation, vous serez capable :

  • de créer vos propres politiques de sécurité de manière autonome ;
  • d'utiliser l'interface utilisateur NGFW Palo Alto ;
  • d'implémenter des changements et de nouvelles applications et de gérer leur configuration sur votre NGFW Explore.

La formation est:

  • Personnalisable en fonction de vos besoins.
  • Pratique (pas de certification nécessaire).
  • Disponible sur votre firewall ou sur le portail de démo en ligne.
  • Dispensée à distance par défaut (Microsoft Teams), mais également possible sur site.

Aide

En tant que client, vous pouvez compter sur nous pour vous aider via:

Attention : Proximus propose une version personnalisée du firewall Palo Alto, si bien que certaines fonctionnalités peuvent ne pas être disponibles ou se présenter différemment de celles décrites.

Besoin d'aide pour modifier la configuration de votre firewall ? Vous pouvez facilement demander à Proximus de modifier votre configurationNouvelle fenêtre et suivre votre demande en ligne.

Vous avez une autre question ? N’hésitez pas de nous contacterNouvelle fenêtre . Nous nous ferons un plaisir de vous aider.