Fonctionnalités de pare-feu

Les rubriques suivantes expliquent comment configurer les fonctionnalités du pare-feu ASA, ou leurs équivalents, dans le Cisco Secure Firewall Threat Defense à l'aide du Cisco Secure Firewall Management Center ou du Cisco Firewall Management Center en nuage. Les fonctionnalités sont regroupées de façon approximative selon l’organisation de la documentation dans le livre 2 de la CLI/ASDM : Guide de configuration de la CLI/ASDM pour les pare-feu de la gamme Cisco Secure Firewall ASA .

Contrôle d’accès

Lorsque vous utilisez l’interface de ligne de commande ASA ou ADSM pour configurer un ASA, vous configurez toujours un seul périphérique à la fois.

En comparaison, la politique de contrôle d’accès dans Cisco Secure Firewall Management Center est toujours une politique partagée. Vous créez la politique, puis vous l’affectez à un ou plusieurs périphériques.

Généralement, vous devez créer une politique de contrôle d’accès pour plusieurs périphériques. Par exemple, vous pouvez affecter la même politique à tous les pare-feu de lieu éloigné (qui connectent les sites distants au réseau principal de l’entreprise). Ensuite, vous pourriez avoir une politique différente pour les pare-feu qui résident dans votre centre de données principal. Vous pouvez bien sûr créer des politiques distinctes pour chaque périphérique, mais ce n’est pas une utilisation efficace d’un gestionnaire d'appareils multiples.

L’application d’une règle de contrôle d’accès donnée à un périphérique est contrôlée par les interfaces spécifiées dans la règle :

  • Si vous spécifiez aucune interface, la règle s’applique à tous les périphériques auxquels la politique est affectée.

  • Si vous précisez des zones de sécurité, qui sont des objets composés d’une liste d’interfaces de périphériques spécifiques, la règle s’applique et est déployée uniquement aux périphériques qui ont des interfaces dans les zones spécifiées. Les périmètres de sécurité ne se limitent pas simplement aux noms d’interface, mais aux paires « interface sur périphérique ». Par exemple, « inside on device1 » pourrait se trouver dans une zone qui ne contient pas   inside on device2 ».

Le tableau suivant présente les principales fonctionnalités de contrôle d’accès pour les ASA, ainsi que l’endroit où vous devez les configurer, ou leurs équivalents, sur un périphérique Cisco Secure Firewall Threat Defense.

Tableau 1. Fonctionnalités de contrôle d'accès

Fonctionnalité ASA

Fonctionnalité Défense contre les menaces (Threat Defense) dans Cisco Secure Firewall Management Center

Notes

Objets pour le contrôle d’accès.

Objets

Chemin de l’interface utilisateur : Objects (Objets) > Object Management (Gestion des objets).

Consultez la section : Gestion des objets.

Instructions : configurer les objets dynamiques

Vous pouvez également créer des objets de réseau et de port (service) lors de la modification de la politique de contrôle d’accès.

Les balises de groupes de sécurité et les plages de temps sont également prises en charge. Les groupes d’utilisateurs locaux et de service en réseau ne sont pas pris en charge (ou sont nécessaires).

Objets supplémentaires que vous pouvez utiliser dans les règles de contrôle d’accès : filtres d’application, géolocalisation, périmètres de sécurité d’interface, URL et balise VLAN. Ces objets s’appliquent aux fonctionnalités non disponibles sur les ASA.

Listes de contrôle d’accès (ACL) pour les groupes et les règles de contrôle qui ne sont pas des éléments de contrôle d’accès.

Listes de contrôle d'accès (ACL)

Chemin de l’interface utilisateur : ACL standard et ACL étendues : Objects (objets) > Object Management (Gestion des objets).

Ethertype ACLs (ACL) : Devices (Périphériques) > FlexConfig.

Consultez les sections : Gestion des objets et Politiques FlexConfig.

Instructions :

  • Configurer le filtrage du trafic pour les connexions VPN d’accès à distance (RA) : créer une liste d’accès étendue pour filtrer le trafic sur une connexion VPN RA, ajouter une liste d’accès étendue à une stratégie de groupe pour filtrer le trafic sur une connexion VPN RA.

Vous créez des objets pour les listes de contrôle d’accès standard ou étendues, puis utilisez ces objets lors de la configuration du routage ou d’autres fonctionnalités qui nécessitent des listes de contrôle d’accès.

Règles de contrôle d'accèsde base (réseau, port, protocole, ICMP).

Règles de contrôle d’accès

Chemin de l’interface utilisateur : Policies (Politiques) > Access Control (Contrôle d'accès).

Consultez la section : Règles de contrôle d’accès.

Instructions :

  • Configurer votre périphérique. Ajouter une règle de contrôle d’accès. Entrer une procédure pas à pas de fonctionnalité. Créer une politique de contrôle d’accès.

  • Configurer un tunnel VTI : configurer une règle de contrôle d’accès afin de permettre le trafic chiffré via VTI

  • La nouvelle interface utilisateur Access Control Policy UI (Interface utilisateur de la politique de contrôle d’accès) — A Feature Walkthrough (Visite virtuelle des fonctionnalités), Accessing the New AC Policy UI (Accès à la nouvelle interface utilisateur de la politique AC), Rules Table (Tableau des règles), Rule Creation (Création de règles), Rule Editing (Modification de règles).

La politique de contrôle d’accès prend en charge les règles de contrôle d’accès de type 5-tuple de base et VLAN. De plus, vous pouvez utiliser des objets de géolocalisation pour cibler des adresses IP associées à des emplacements géographiques particuliers.

Vous pouvez également utiliser des règles de préfiltrage pour contrôler le trafic en tunnel (comme GRE) et d’autres trafics de type 5-tuple. Les règles de préfiltrage sont traitées avant les règles de contrôle d’accès et ne sont pas disponibles sur les ASA. Consultez les sectionsPolitiques > Préfiltre.

Règles de contrôle d’accès; contrôle basé sur l’utilisateur

Règles de contrôle d’accès

Chemin de l’interface utilisateur : pour configurer les règles d’obtention des correspondances entre le nom d’utilisateur et les groupes, accédez à Policies (Politiques) > Identity (Identité).

Vous pouvez ensuite sélectionner des noms d’utilisateur et des groupes dans les règles de contrôle d’accès ; Policies (Politiques) > Access Control (Contrôle d’accès.

Consultez les sections : Règles de contrôle d’accès et Politiques d’identité de l’utilisateur.

Instructions : configurer une règle de politique de contrôle d’accès pour un objet dynamique

Il existe davantage d’options pour obtenir des informations sur l’appartenance des utilisateurs ou des groupes par rapport aux ASA.

Règles de contrôle d’accès – groupe de sécurité et Trustsec

Règles de contrôle d’accès

Chemin de l’interface utilisateur : Pour configurer le moteur de services de vérification des identités (ISE) de Cisco, accédez à Integration (Intégration) > Other Integrations (Autres intégrations) > Identity Sources (Sources d'identité).

Vous pouvez ensuite sélectionner les balises de groupe de sécurité dans les règles de contrôle d’accès ; Policies (Politiques) > Access Control (Contrôle d’accès).

Consultez les sections : Règles de contrôle d’accès et Contrôle utilisateur avec ISE/ISE-PIC.

Vous pouvez également utiliser le moteur du service de vérification des identités pour recueillir des informations sur le nom d’utilisateur ou le groupe d’utilisateurs à des fins de contrôle basé sur l’utilisateur.

(Non disponible sur les ASA.) Règles de contrôle d’accès : contrôle des applications de couche 7.

Règles de contrôle d’accès

Chemin de l’interface utilisateur : Policies (Politiques) > Access Control (Contrôle d'accès).

Consultez la section : Règles de contrôle d’accès.

Vous pouvez écrire des règles de contrôle d’accès pour des applications qui utilisent autrement le même protocole et le même port, ce qui vous permet de différencier différents types de trafic HTTP/HTTPS, par exemple Le filtrage des applications peut vous aider à appliquer un contrôle plus granulaire que ce qui est disponible sur les ASA.

Règles de contrôle d’accès– filtrage des URL.

Règles de contrôle d’accès

Chemin de l’interface utilisateur : Policies (Politiques) > Access Control (Contrôle d'accès).

Consultez la section : Filtrage des URL.

Nécessite une licence de filtrage des URL pour contrôler l’accès en fonction de la catégorie et de la réputation de l’URL.

Vous pouvez également utiliser la politique de renseignements de sécurité définie dans une politique de contrôle d’accès pour effectuer un filtrage anticipé en fonction de l’URL ou d’un objet réseau. La stratégie DNS peut faire la même chose pour les demandes de consultation de systèmes de noms de domaine.

Règles d’accès ICMP pour le trafic adressé au périphérique (commandes icmp permit/deny et ipv6 icmp permit/deny .)

Règles d’accès ICMP

Chemin de l’interface utilisateur : Devices (Périphériques) > Platform Settings (Paramètres de plateforme) , page ICMP Access (Accès ICMP) . .

Consultez la section : Paramètres de la plateforme.

Tout comme la politique de contrôle d’accès, la politique des paramètres de la plateforme est partagée et vous pouvez l’appliquer à plusieurs appareils.

Cisco Umbrella

Cisco Umbrella

Chemin de l’interface utilisateur : Integration (Intégration) > Other Integrations (Autres intégrations) > Cloud Services (Services Cloud)

Policies (Politiques) > DNS

Devices (Périphériques) > VPN : Site-to-Site (Site à site) > SASE Topology (+Topologie SASE).

Consultez les sections : Politiques DNS et VPN de site à site pour Cisco Secure Firewall Threat Defense.

Vous pouvez créer des politiques DNS Cisco Umbrella et des topologies VPN Cisco Umbrella SASE.

NAT (Network Address Translation; Translation d'adresses de réseau)

Tout comme la stratégie de contrôle d’accès, la stratégie de traduction d’adresses réseau (NAT) est partagée. Vous créez la stratégie NAT, puis vous l’affectez à un ou plusieurs périphériques. La stratégie FlexConfig est également partagée.

Le déploiement d’une règle NAT donnée sur un périphérique dépend du fait que vous limitiez la règle par interface ou que vous l’appliquiez à toutes les interfaces.

  • Si vous ne spécifiez aucune interface, la règle s’applique à tous les périphériques auxquels la stratégie est assignée.

  • Si vous spécifiez des objets d’interface, la règle s’applique uniquement aux périphériques qui possèdent ces interfaces et elle est déployée sur ceux-ci.

Le tableau suivant présente les principales fonctionnalités de traduction d’adresses réseau pour l’ASA et précise où vous pouvez les configurer, ou leurs équivalents, sur un périphériqu Cisco Secure Firewall Threat Defense.

Tableau 2. Fonctionnalités de traduction d’adresses réseau

Fonctionnalité ASA

Fonctionnalité Défense contre les menaces (Threat Defense) dans Cisco Secure Firewall Management Center

Notes

Traduction d’adresses réseau (NAT) :NAT dynamique/NAT PAT, NAT statique, NAT d’identité.

Traduction d’adresses réseau (NAT)

Chemin de l’interface utilisateur : Devices (Périphériques) > NAT.

Consultez la section : Traduction d'adresse réseau (NAT).

Instructions :

  • Configurer votre périphérique : créer une stratégie NAT de fonction : guide fonctionnel

  • Configurer le routage virtuel : fournir un accès Internet avec des espaces d’adressag superposés, configurer la NAT pour un routeur virtuel

Vous pouvez configurer à la fois l’objet et deux fois la NAT. Cependant, elles sont appelées NAT automatique et NAT manuelle dans Cisco Secure Firewall Threat Defense.

Traduction d’adresses de port (PAT) avec allocation de blocs de ports.

Traduction d’adresses de port (PAT) avec allocation de blocs de ports.

Chemin de l’interface utilisateur : pour configurer les paramètres d’allocation de port PAT global (commande xlate block-allocation ), utilisez Devices (Périquériques) > FlexConfig.

Vous pouvez ensuite configurer les règles PAT via Devices (Périphériques) > NAT

Consultez la section : Politiques de traduction d’adresses réseau (NAT) et FlexConfig.

Cette fonctionnalité est utilisée pour la PAT à grande échelle ou de niveau opérateur.

PAT par session ou PAT multisession (la commande xlate per-session ).

PAT par session ou PAT multisession

Chemin de l’interface utilisateur : Devices (Périphériques) > FlexConfig.

Consultez la section : Politiques FlexConfig.

La configuration par défaut de Cisco Secure Firewall Threat Defense comprend les mêmes règles de session prédéfinies que l’ASA. La configuration est nécessaire uniquement si vous souhaitez un comportement personnalisé.

Mappage de l’adresse et du port (MAP)

Mappage de l’adresse et du port (MAP)

Chemin de l’interface utilisateur : Devices (Périphériques) > FlexConfig.

Consultez la section : Politiques FlexConfig.

Le mappage de l’adresse et du port (MAP) est conçu pour la traduction d’adresses IPv4 vers IPv6 à l’échelle opérateur.

Inspection des applications

Snort est le principal moteur d’inspection sur un périphérique Cisco Secure Firewall Threat Defense. Toutefois, les inspections ASA continuent de s’exécuter et sont appliquées avant l’inspection Snort.

Comme Snort effectue une grande partie de l’inspection HTTP, le moteur d’inspection HTTP de l’ASA n’est pas du tout pris en charge et vous ne pouvez pas le configurer.

De nombreux moteurs d’inspection ASA sont activés par défaut avec leurs paramètres par défaut. Dans les cas où le moteur d’inspection ASA prend en charge une configuration supplémentaire, vous devez utiliser FlexConfig (une politique partagée) pour configurer ces paramètres. Si vous utilisez les mêmes paramètres sur plusieurs périphériques, vous pouvez créer une seule politique FlexConfig pour vos paramètres d’inspection et l’appliquer à tous les périphériques concernés.

Si vous souhaitez simplement activer ou désactiver une inspection, vous pouvez utiliser la commande configure inspection dans l’interface CLI du périphérique, comme alternative à FlexConfig. Cependant, toutes les inspections de protocoles possibles ne sont pas offertes avec cette commande.

Le tableau suivant présente les différents moteurs d’inspection ASA et indique ceux qui sont activés par défaut sur un périphérique Cisco Secure Firewall Threat Defense.

Tableau 3. Fonctionnalités d’inspection des applications

Fonctionnalité ASA

Fonctionnalité Défense contre les menaces (Threat Defense) dans Cisco Secure Firewall Management Center

Notes

Inspection des protocoles Internet de base

Inspection

Chemin de l’interface utilisateur : Devices (Périphériques) > FlexConfig.

Consultez la section : Politiques FlexConfig.

Voici les inspections prises en charge. Le texte en gras indique que l’inspection est activée dans la configuration par défaut.

  • DCERPC

  • DNS

  • FTP

  • ICMP

  • Erreur ICMP

  • ILS

  • Options d’adresse IP

  • Intercommunication IPsec

  • IPv6

  • Lisp

  • NetBIOS

  • PPTP

  • RSH

  • SMTP/ESMTP

  • SNMP

  • SQL*Net

  • Sun RPC

  • TFTP

  • WAAS

  • XDMCP

  • VXLAN

Non pris en charge (par Snort) : HTTP, IM (Messagerie instantanée), .

Inspection des protocoles vocaux et vidéo

Inspection

Chemin de l’interface utilisateur : Devices (Périphériques) > FlexConfig.

Consultez la section : Politiques FlexConfig.

Voici les inspections prises en charge. Le texte en gras indique que l’inspection est activée dans la configuration par défaut.

  • CTIQBE

  • H.323 H.225

  • H.323 RAS

  • MGCP

  • RTSP

  • SIP

  • Skinny

  • STUN

Inspection des réseaux mobiles.

Inspection

Chemin de l’interface utilisateur : Devices (Périphériques) > FlexConfig.

Consultez la section : Politiques FlexConfig.

Voici les inspections prises en charge. Ces inspections nécessitent la licence Carrier. Aucune n’est activée par défaut.

  • Diamètre

  • GTP/GPRS

  • M3UA

  • SCTP

  • Comptabilité RADIUS (cette inspection ne nécessite pas la licence Carrier)

Politique de service, paramètres de connexion, détection des menaces

Le tableau suivant répertorie certaines fonctionnalités faiblement liées qui contrôlent certains aspects des connexions qui passent par le périphérique. La plupart de ces paramètres ont des valeurs par défaut qui fonctionnent dans la plupart des cas.

Tableau 4. Politique de service, paramètres de connexion, fonctionnalités de détection des menaces

Fonctionnalité ASA

Fonctionnalité Défense contre les menaces (Threat Defense) dans Cisco Secure Firewall Management Center

Notes

Délais d’expiration globaux

Délais d’expiration globaux

Chemin de l’interface utilisateur : Devices (Périphériques) > Platform Settings (Paramètres de plateforme), page Timeouts (Délai d’expiration).

Consultez la section : Paramètres de la plateforme.

Les paramètres de plateforme constituent une politique partagée. Ces paramètres sont appliqués à chaque appareil auquel la politique est attribuée.

Politique de service pour les paramètres de connexion

Politique du service Threat Defense

Chemin de l’interface utilisateur  : Policies (Politiques) > Access Control (Contrôle d’accès), puis lors de la modification d’une politique, recherchez Threat Defense Service Policy (Politique de service de défense contre les menaces) dans Advanced Settings (Paramètres avancés).

Consultez la section : Politiques de service.

Ces paramètres incluent le contournement de l’état TCP, la randomisation des séquences TCP, l’interception TCP, la détection des connexions inactives (DCD), la normalisation TCP et les limites générales de connexion et délais d’expiration par classe de trafic.

La politique de service de défense contre les menaces est définie dans le cadre de la politique de contrôle d’accès, qui est une politique partagée que vous affectez à un ou plusieurs périphériques.

Toutes les règles que vous limitez à des interfaces précises ne sont configurées que sur les périphériques qui incluent cette interface. Les règles globales sont appliquées à chaque périphérique auquel la politique de contrôle d’accès est affectée.

Qualité de service (QoS)

Qualité de service (QoS)

Chemin de l’interface utilisateur : Devices (Périphériques) > QoS.

Conslutez la section : Qualité de service.

La politique de QoS est partagée, mais chaque règle de la politique doit spécifier une ou plusieurs interfaces. Une règle est configurée sur un périphérique uniquement si cette règle inclut une interface présente sur le périphérique.

Détection des menaces (la commande threat-detection ).

Détection des menaces

Chemin de l’interface utilisateur : Policies (Politiques) > Access Control (Contrôle d’accès), puis, lors de la modification d’une politique, recherchez Threat Detection (Détection de menaces) dans Advanced Settings (Paramètres avancés).

Conslutez la section : Détection des menaces.

La fonctionnalité Cisco Secure Firewall Threat Defense ne correspond pas exactement à la fonctionnalité ASA, mais elle inclut de nouvelles capacités. Vous pouvez également utiliser FlexConfig pour déployer les versions de commande ASA.