Cet article présente le fonctionnement du pare-feu dans les routeurs DrayTek DrayOS 5, tels que Vigor2136. Nous examinerons deux scénarios pour référence.
Le Vigor2136 dispose de trois filtres dans le menu de configuration des filtres de pare-feu. Il s’agit de filtres IP, de filtres de contenu et de filtres par défaut. Les filtres IP et les filtres de contenu sont indépendants. Par conséquent, les paquets reçus seront vérifiés dans l’ordre suivant :
1. Règles de filtrage IP
2. Règles de filtrage de contenu
3. Action par défaut des filtres IP (lorsqu’il n’y a pas de règle de filtre IP et de filtre de contenu correspondante)
4. Filtres de contenu Action par défaut (appliquer l’action de filtre de contenu par défaut si elle est correspondante. Si ce n’est pas le cas, faites l’action inverse du filtre de contenu par défaut. Voir les actions de filtrage ci-dessous.)
Cela signifie que les paquets sont d’abord inspectés par les filtres IP, puis inspectés par les filtres de contenu avant que la règle du filtre IP ne les passe ou lorsqu’aucune règle de filtre IP ne correspond. Enfin, les filtres par défaut agissent lorsque les paquets ne correspondent pas aux règles de filtre IP ou de contenu.
Vous trouverez ci-dessous un organigramme du fonctionnement du filtre sur les paquets sortants.
Filtres IP : Vérifie les adresses IP source et de destination des paquets de données, le protocole et le service (numéro de port).
Filtres de contenu : ceux-ci incluent APPE, URL Filter et WCF. APPE est filtré par un modèle défini. Les filtres URL et WCF filtrent les serveurs sur lesquels se connecter en vérifiant le nom de domaine dans le paquet de requête DNS ou SNI (Server Name Indication) dans le paquet TLS Client Hello.
Filtres par défaut : Vérifie les paquets qui ne correspondent pas aux règles de filtrage de l’IP et du contenu.
Actions de filtrage
Filtres IP
- Passer – Passez le paquet immédiatement s’il n’y a pas de règle de filtre de contenu correspondante.
- Bloquer – Jetez le paquet immédiatement ; aucune autre règle de filtre ne s’appliquera.
Filtres de contenu
- Pass – Passez le paquet immédiatement ; aucune autre règle de filtrage ne s’appliquera.
- Bloquer – Jetez le paquet immédiatement ; aucune autre règle de filtre ne s’appliquera.
Action par défaut du filtre IP
- Pass – Passez le paquet immédiatement si la règle par défaut du filtre de contenu est désactivée.
- Bloquer – Jetez le paquet immédiatement ; aucune autre règle de filtre ne s’appliquera.
Action par défaut du filtre de contenu
- Passe – Passez le paquet correspondant uniquement et rejetez le paquet non correspondant.
- Bloc – Rejeter uniquement le paquet correspondant et passer le paquet non correspondant.
Forcer la redirection DNS
Par défaut, Forcer la redirection DNS est activé dans chaque profil LAN. Toutes les recherches DNS sortantes seront redirigées vers l’IP LAN du routeur pour améliorer les performances de recherche de domaine en mettant en cache les requêtes et les résultats DNS.
Lorsque cette option est activée, ou que les clients utilisent le routeur comme serveur DNS, le trafic DNS sera traité comme LAN -> Localhost. Les règles de filtrage IP ignoreront ce trafic DNS et continueront à l’inspection par les filtres de contenu.
Vous trouverez ci-dessous un organigramme d’un paquet DNS lorsque la redirection DNS de force est activée.
Scénario 1. Liste noire. Passez plus par défaut (Passe d’action par défaut des filtres IP) mais bloquez quelques exceptions
Dans un réseau simple où seul un certain contenu spécifié doit être restreint (comme la maison ou l’école), il est recommandé de laisser l’action par défaut du filtre IP à Pass et de ne bloquer que des adresses IP et du contenu spécifiques.
Par exemple, dans un établissement d’enseignement, les exigences du réseau sont les suivantes :
- Tous les enseignants et les élèves peuvent accéder à Internet, mais sont limités au contenu pour adultes.
- Empêcher les élèves de diffuser des médias et des jeux.
Nous pouvons activer la règle par défaut du filtre de contenu pour empêcher toutes les personnes d’accéder au contenu pour adultes.
Ensuite, une règle de filtre de contenu sera définie pour bloquer les médias et les jeux en streaming pour tous les étudiants.
Scénario 2. Liste blanche. Bloquer plus par défaut (bloc d’action par défaut des filtres IP) mais passer quelques exceptions
Pour les réseaux restreints ayant des exigences de sécurité plus élevées (comme les banques ou les entreprises informatiques), il est recommandé de définir l’action par défaut du filtre IP sur Bloquer. Le pare-feu n’autorise l’accès qu’aux serveurs (IP) et aux contenus spécifiés.
Prenez un réseau d’entreprise comme exemple ; chaque département de l’entreprise a des politiques de pare-feu différentes ; par exemple,
- L’équipe d’assistance peut utiliser Anydesk et consulter les sites d’actualités, tandis que le service marketing et commercial ne peut afficher que les sites d’actualités.
- L’équipe d’assistance peut accéder au serveur Web externe.
Définissez une règle de filtre de contenu pour que l’équipe d’assistance utilise Anydesk. Définissez l’autre règle de filtre de contenu pour les équipes d’assistance et de vente afin de permettre la visualisation des sites d’actualités.
Définissez une règle de filtre IP pour permettre à l’équipe d’assistance d’accéder au serveur Web sur Internet.
