FR2802667A1 - Procede et dispositif de configuration de pare-feu dans un systeme informatique - Google Patents

Procede et dispositif de configuration de pare-feu dans un systeme informatique Download PDF

Info

Publication number
FR2802667A1
FR2802667A1 FR9916118A FR9916118A FR2802667A1 FR 2802667 A1 FR2802667 A1 FR 2802667A1 FR 9916118 A FR9916118 A FR 9916118A FR 9916118 A FR9916118 A FR 9916118A FR 2802667 A1 FR2802667 A1 FR 2802667A1
Authority
FR
France
Prior art keywords
domain
rule
resources
firewall
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9916118A
Other languages
English (en)
Other versions
FR2802667B1 (fr
Inventor
Valerie Favier
Christophe Guionneau
Frederic Grardel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull SAS
Original Assignee
Bull SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull SAS filed Critical Bull SAS
Priority to FR9916118A priority Critical patent/FR2802667B1/fr
Priority to US09/740,801 priority patent/US7225255B2/en
Publication of FR2802667A1 publication Critical patent/FR2802667A1/fr
Application granted granted Critical
Publication of FR2802667B1 publication Critical patent/FR2802667B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La présente invention concerne un procédé de configuration de pare-feu (1) dans un système (2) informatique comportant des objets (3), les objets (3) pour lesquels une politique de contrôle d'accès est mise en place étant appelés des ressources (4). Le procédé regroupe les objets (3) du système par domaine de protection, chaque pare-feu (1) assurant la protection d'un domaine intérieur (5) par rapport à un domaine (6) extérieur et applique au pare-feu concerné une règle de contrôle d'accès entre des ressources (4) uniquement si lesdites ressources appartiennent au même domaine (5) ou (6) de protection. La présente invention concerne également le dispositif de mise en oeuvre dudit procédé.

Description

PROCEDE ET DISPOSITIF DE CONFIGURATION DE PARE-FEU DANS UN SYSTEME INFORMATIQUE La presente invention concerne le domaine de pare-feu dans système informatique, et plus particulièrement de la configuration de pare feu. L'art antérieur Un pare-feu est une machine ou groupes de machines permettant de sécuriser la jonction entre un réseau intérieur et un réseau extérieur tel qu'Internet contre des intrusions non autorisées, voire malveillantes. II est rappelé qu'Internet consiste en un ensemble de réseaux et machines interconnectes dans le monde entier, permettant à des utilisateurs des quatre coins de la terre de partager des informations. Le terme machine dans la présente description représente unité conceptuelle très large, de nature matériel et/ou logiciel. Les machines peuvent être très diverses, telles que des stations de travail, serveurs routeurs, machines spécialisées et passerelles entre réseaux. Tous les messages transitant entre le réseau intérieur et extérieur doivent passer par le pare-feu qui examine chaque message et bloque ceux qui ne répondent pas à des règles de contrôle d'accès déterminées. pare-feu est un élément d'une politique globale de sécurité, intégré dans environnement applicatif de plus en plus riche et destiné à protéger des ressources d'information.
Les pare-feux sont utilisés notamment pour empêcher les utilisateurs d'Internet non autorisés d'accéder à des réseaux internes connectés à Internet, pour donner à un utilisateur d'un réseau interne l'accès à Internet de manière sûre, pour séparer les machines publiques d'une entreprise permettant l'accès à Internet de son réseau interne, pour réaliser cloisonnement à l'intérieur d'un réseau donné, pour protéger les segments de réseaux internes cloisonnés. pare-feu est matérialisé par exemple par une machine dédiée contrôle l'accès aux différentes machines d'un réseau intérieur déterminé. Pour ce faire, le pare-feu contrôle quelles machines et/ou quels utilisateurs et/ou quels services ou applications d'un réseau intérieur peuvent accéder à quelle machine et/ou quels utilisateurs et/ou quels services applications d'un réseau extérieur et inversement. Les machines appartenant au réseau Internet utilisent le protocole TCP/IP. Le pare-feu effectue des filtrages des communications TCP/IP. Le pare-feu manipule des données applicatives, informations transmises dans la partie réservée aux données dans les en-têtes des datagrammes TCP/IP. critères de filtrage sont par exemple de manière non limitative l'adresse appelante, # l'adresse appelée, # l'application appelée. La complexité de configuration de pare-feu est illustrée par l'exemple suivant, auquel peuvent être ramenées la plupart des architectures de cloisonnement dans les réseaux d'entreprises. On considère le cas d'un réseau d'entreprise comprenant n pare-feu dénommés NW,, ..., NW, connectés à des sous-réseaux. On souhaite appliquer une politique de sécurité selon laquelle sur chaque sous-reseau CC;, une station de travail (poste client) C; est autorisée à accéder à serveur S; situé sur un sous-réseau SS;. Les sous-réseaux CC; et SS; sont reliés à un unique et même pare-feu NW;. Ce cas de figure peut bien évidemment être étendu au cas de plusieurs stations de travail, autorisées à accéder à plusieurs serveurs. Avec systèmes de configuration de pare-feu classiques, les administrateurs opèrent de deux manières # Définir deux groupes contenant respectivement les stations de travail et les serveurs. Définir ensuite une règle autorisant l'accès du groupe des stations travail vers le groupe des serveurs. Cette manière procéder permet d'autoriser en une seule règle l'accès de chaque station serveur connecté au même pare-feu (C; -> S;), mais autorise également l'accès des stations à tous les autres serveurs connectés à d'autres pare-feu NWi (C; -> S;). Ce n'est pas la politique de sécurité souhaitée.
# Définir sur chaque pare-feu les règles spécifiques autorisant un à un les accès de chaque station de travail au serveur qui lui correspond. Cette manière de procéder est très vite fastidieuse, voire difficile à mettre en pratique, lorsque le nombre de pare-feu augmente, voire le nombre de stations, ou le nombre de serveurs. La simplification de la configuration est un objectif prioritaire d'un administrateur de pare-feu. Les solutions courantes connues pour tenter de résoudre le problème de complexité de configuration sont les suivantes. On connaît un système commercialisé sous l'appellation Net Partitioner produit par la Société Solsoft. Le dispositif Net Partitioner permet à l'administrateur de représenter graphiquement l'ensemble de son réseau, avec l'implantation pare-feu, ainsi que différents serveurs et des stations de travail qui font partie. Les machines sont représentées par des icônes et leur interconnexion par des traits reliant. L'administrateur définit également sous forme de flèches la manière dont les machines peuvent accéder à d'autres machines et applications qu'elles hebergent. Cette solution permet de définir des groupes d'ordinateurs, ainsi que des règles de contrôle d'accès entre ces groupes. En revanche, les règles définissent l'accès de tous les éléments d'un groupe vers tous les éléments d'un autre groupe, ce qui alourdit la procédure de configuration. La description du système (à savoir l'ensemble des machines présentes sous forme d'icônes et leur interconnexion sous forme de traits) et la spécification des règles appliquées au système et représentées sous forme de fleches sont combinées sur une même interface graphique. Plus le système comprend de machines et plus les connexions entre ces machines sont nombreuses, plus il est difficile pour l'administrateur de décrire le système à partir de l'interface. Par ailleurs, le dispositif Net Partitioner ne prévoit aucun transfert des règles depuis ledit dispositif vers les pare-feu concernés et aucune prise en compte de la nouvelle politique de sécurité. L'administrateur doit lui-même configurer chacun des pare-feu à partir des résultats procurés par le dispositif Partitioner. Cette solution ne permet donc pas de simplifier la procédure de configuration. but de la présente invention est de simplifier la configuration d'un grand nombre de pare-feu. Résumé de l'invention Dans ce contexte, la présente invention propose un procédé de configuration de pare-feu dans un système informatique comportant des objets, objets pour lesquels une politique de contrôle d'acces est mise en place etant appelés des ressources, caractérisé en ce qu'il regroupe les objets système par domaine de protection, chaque pare- assurant la protection d'un domaine intérieur par rapport à un domaine extérieur et applique au pare-feu concerné une règle de contrôle d'acces entre une ressource d'origine et une ressource de destination uniquement si lesdites ressources d'origine et de destination appartiennent au même domaine ou de protection. La présente invention concerne également le système de mise en aeuvre dudit procédé. Présentation des figures D'autres caractéristiques et avantages de l'invention apparaîtront à la lumière la description qui suit, donnée à titre d'exemple illustratif et non limitatif la présente invention, en référence aux dessins annexés dans lesquels: figure 1 est une vue schématique du système selon forme de réalisation de l'invention ; *la figure 2 est une copie d'écran d'une interface graphique présentant des pare-feu du système selon la figure 1 et à leurs propriétés ; *la figure 3 est une copie d'écran d'une interface graphique présentant des groupes machines du système selon la figure 1 ; *la figure 4 une copie d'écran d'une interface graphique présentant des règles contrôle d'accès dans le système selon la figure 1. Description d'une forme de réalisation de l'invention Comme le montrent les figures 1 à 4, la présente invention se rapporte à un procède de configuration de pare-feu 1 dans un système informatique 2. Le système informatique 2 est distribué et comprend des objets 3, des utilisateurs et les pare-feu 1. Un objet 3 est une unité conceptuelle très large, de nature matérielle et/ou logicielle. Les objets 3 peuvent être très divers, tels que des réseaux, des sous-réseaux, des stations de travail, des serveurs, des routeurs, des machines spécialisées et passerelles entre réseaux, des applications. Seuls les composants des objets 3 du système 2 caractéristiques de présente invention seront décrits, les autres composants étant connus de l'homme du métier. Les objets 3 entre lesquels des règles de contrôle d'accès constituant la politique de sécurité du système 2 sont définies, sont appelés ressources 4. Comme représenté sur la figure 1, les pare-feu 1 assurent la protection d'un domaine intérieur 5 (D1, D2, D3) par rapport à un domaine extérieur 6 (dorsal, en anglais backbone). Un administrateur 7 définit pour chaque pare-feu 1 le domaine intérieur 5 constituant le domaine de protection du pare-feu. Le domaine de protection du pare-feu représente ce que l'administrateur souhaite protéger à l'aide dudit pare-feu par rapport à ce dont il veut le protéger, à savoir le domaine extérieur. Chacun des deux domaines de protection 5 et extérieur est constitué de zones 8 comportant un ou plusieurs réseaux ou sous-réseaux 9 de machines. zone 8 est une partie du système 2 séparé du reste de celui-ci par un plusieurs pare-feu. Les zones 8 sont connectées au pare- feu 1 concerné par plusieurs interfaces réseaux 10. L'administrateur 7 détermine pour chaque zone 8 raccordée à chaque pare-feu, si la zone est à l'intérieur du domaine 5 de protection du pare-feu (zone intérieure) si elle est à l'exterieur (zone extérieure), c'est à dire si elle est directement protégée par pare-feu ou s'il s'agit d'une zone assurant la liaison entre les pare-feu, ou qui est équivalent, entre les différents domaines de protection. Dans l'exemple de forme de réalisation illustré sur la figure 1, chaque domaine 5 protection, D1, D2, D3 est contrôlé par un pare feu 1 respectivement NW1, NW2, NW3. Chacun des pare-feu NW1, NW2 NW3 est connecté à une zone 8 comprenant un sous-réseau 11 interne respectivement 12, 13 et à une zone 8 comportant un sous-réseau de type zone démilitarisée respectivement DMZ,, DMZ2, DMZ3. Les sous- réseaux 11 et sont à l'intérieur du domaine 5 de protection. Un sous réseau de type zone démilitarisée est un sous-reseau tampon, réalisant une sorte de sas entre un réseau interne et externe pour en renforcer protection. Chaque pare-feu 1 est relié à une zone 8 du domaine 6 exterieur, comportant un réseau 13 dit réseau dorsal. La zone 8 du domaine 6 extérieur comprenant le réseau 13 est appelée zone dorsale. La zone 8 dorsale constitue la liaison du domaine intérieur 5 avec le reste du réseau concerné, et représente l'extérieur par rapport au domaine 5 considéré. Selon un développement de l'invention, la zone 8 dorsale comprend une machine 14 de configuration centrale à partir de laquelle la configuration globale du système 2 est effectuée. La configuration globale du système 2 peut être réalisée par exemple de la manière explicitée dans la demande de brevet déposée par le présent déposant le même jour que la présente demande et dont le titre est Procédé et dispositif de configuration centralisee de pare-feu dans un système informatique . La machine 14 de configuration centrale offre une interface 15 graphique permettant ' l'administrateur 7 de réaliser ladite configuration. L'interface 15 graphique est illustrée sur les figures 1 à 4. présente invention est décrite dans ce qui suit dans la forme réalisation du système illustré sur les figures 1 à 4 consistant en configuration centrale des pare-feu. Le procédé selon l'invention décrit pour ladite forme de réalisation est susceptible d'être appliqué à un pare-feu isole sans configuration centrale. Dans la forme de réalisation illustré sur la figure 2, l'administrateur saisit la définition des pare-feu 1, des domaines 5, 6 et des interfaces réseaux 10 au travers de l'interface 15 graphique. L'écran de l'interface est divise en trois fenêtres : une fenêtre 16 d'objets à gauche de l'écran de la machine 14, une fenêtre 17 d'attributs à droite de l'écran de la machine 14., une fenêtre 18 de règles en bas de l'écran. Dans la fenêtre 16 d'objets, lorsqu'un onglet 19 Netwalls est sélectionné, tous les pare-feu NW1, NW2, du système 2 sont indiqués. Dans la fenêtre 17 d'attributs lorsqu'un onglet 20 Properties est sélectionné, les propriétés du pare- surligné dans la partie gauche (ici NW1) sont précisées dans un tableau 21 de zones.
L'administrateur définit les propriétés des pare-feu 1 de la manière suivante. Le pare-feu NW1 dispose de trois interfaces réseaux 10 mentionnées dans la colonne 22 Name avec des zones 8 indiquées dans la colonne 23 Zone : une interface réseau NW1 avec la zone du sous-réseau 11, une interface réseau NW1 dmz avec la zone du sous- réseau DMZ, et une interface réseau NW1 dorsale avec la zone dorsale. Les propriétés sont similaires pour les pare-feu NW2 et NW3. colonne 24 Address du tableau 21 indique les adresses des interfaces réseau, dont la désignation est située sur la môme ligne. Une colonne 25 Is External du tableau 21 de zones permet de spécifier pour chaque interface réseau 10 si ladite interface reseau est attachée à une zone 8 extérieure au domaine 5 de protection (valeur true ) ou interieure au domaine de protection (valeur false Dans l'exemple considéré, les interfaces réseaux NW1_ et NW1 sont attachées à des zones 8 intérieures (sous-réseaux DMZ,, I,) au domaine 5 de protection, alors que l'interface réseau NW1 dorsale est extérieure (réseau dorsal) au domaine de protection (configuration similaire pour les pare- NW2 et NW3). Chaque pare-feu assure les contrôles d'accès à la fois des communications entre les domaines 5 et des communications entre les zones 8 à l'interieur du domaine 5 dont il est responsable. Une partie de la politique de sécurité concerne le contrôle des accès entre les domaines ; une autre partie de la politique de sécurité concerne le contrôle des accès entre des zones à l'intérieur du domaine de contrôle du pare-feu. L'invention consiste à définir une opération de factorisation des règles de contrôle d'accès constituant la politique de contrôle d'accès dans le but de minimiser le nombre de règles de filtrage à déclarer par l'administrateur. Pour ce faire, l'administrateur 7 réunit au sein de mêmes groupes les objets 3 du système 2 (dans l'exemple illustré, des stations de travail et serveurs) pour lesquels une même politique de sécurité est appliquée. Dans l'exemple illustré sur la figure 1, des stations de travail 26 C,, C2, C3 font partie intégrante des sous-réseaux internes respectivement I,, 12, 13 ; serveurs 27 S,, S2, S3 appartiennent respectivement aux sous-réseaux DMZ,, DMZ2, DMZ3. Le domaine D1 rassemble la zone comprenant le sous réseau interne 11 avec la station de travail C1 et la zone comprenant le sous-réseau DMZ1 avec le serveur S1. Dans l'exemple illustré, une seule station de travail appartient au sous-réseau interne 11 : le sous-réseau 11 aurait pu contenir plusieurs stations de travail, C11, C12, C13, ...,<B>Cl k</B> et/ou tout autre type de machines. De même, le sous-réseau DMZ1 aurait pu contenir plusieurs serveurs, S11, S12, S13, ..., S1m et/ou tout autre type de machines. Le même raisonnement est applicable aux autres domaines et zones.
L'administrateur 7 peut, à titre illustratif, réunir dans un groupe de stations travail 26 les machines C,, C2, C3 et dans un groupe de serveurs 27 les machines S,, S2, SI L'invention consiste à déclarer entre les types de groupes dénis par l'administrateur des règles de contrôle d'accès de portée limitée à chaque pare-feu étendue au système 2. L'administrateur spécifie pour les règles de contrôle d'accès, si la portée est locale au pare-feu ou globale.
règle de portée locale définit des relations d'accès entre des ressources 4 de deux groupes, lesdites ressources appartenant à un même domaine 5 de protection. La portée locale permet de restreindre la règle à des accès intérieurs au domaine 5 de protection.
Dans l'exemple mentionné plus haut, une règle portée locale définit une relation d'accès du groupe (C,, ..., C,,) vers le groupe (S,, ..., S,) en mettant en jeu un accès depuis la ressource C; vers la ressource S;, sans établir relation de C; vers Si, avec j différent de i. Dans cas de plusieurs stations travail et serveurs comme vu plus haut, le principe est le même la règle portée locale définit une relation d'accès du groupe (C",C,Z, ..., C"c ... , C,z...) vers le groupe (S",S,z, ..., S,,,,, ... , S",, ) en mettant en jeu un accès depuis la ressource C;k vers la ressource sans établir de relation C;k vers<B>Si,</B> avec j différent de i et quelque soit et m. règle de portée globale définit les relations d'accès possibles entre deux groupes dans le système 2 dans son entier. règle de portée globale est conservée et toujours utilisable par l'administrateur pour traiter les cas généraux de la politique de sécurité. Les règles portée globale régissent les relations d'accès du groupe (C,, ..., C,) vers groupe (S,, ..., S,) et établissent toutes les relations de C; vers Si, pour i j variant de 1 à n. Dans le cas de plusieurs stations de travail et serveurs comme vu plus haut, la règle de portée globale définit une relation d'accès groupe (C",C,z, ... , C,K ..., Cn,, Cnz...) vers le groupe (S",S,Z, ..., S,,, ... S,2...) en mettant en jeu un accès depuis la ressource C;k vers la ressource - quelque soit i, j, k et m.
L'attribut de portée locale ou globale de chaque règle est attache à chaque règle, de telle manière que chaque pare-feu a individuellement la connaissance de la portée des règles.
Dans la forme de réalisation illustrée sur les figures 3 et 4, l'administrateur souhaite mettre en oeuvre une politique de contrôle d'accès selon laquelle les ressources de chaque sous-réseau interne l; (i variant ici de 1 3) de chaque domaine 5 de protection peuvent accéder aux ressources du sous-réseau DMZ; (i variant ici de 1 à 3) du même domaine 5 protection, sans autoriser l'accès entre un sous-réseau I; interne domaine donné et le sous-réseau DMZ;, avec j différent de i, d'un autre domaine (par exemple, accès entre le sous-réseau I, et le sous-réseau DMZ2). Comme le montre la figure 3, l'administrateur regroupe à l'aide l'interface 15 graphique les zones des sous-réseaux internes I,, 12, 13 dans le groupe des sous-réseaux internes G_I et les zones des sous-réseaux DMZ,, DMZ3 dans le groupe G_DMZ. Dans la fenêtre 16 d'objets, un onglet Ressources étant sélectionné, il est indiqué que le groupe G DMZ comprend ANY DMZ,, ANY_DMZ2, ANY DMZ3, à savoir l'ensemble des objets des sous-réseaux DMZ,, DMZ2, DMZ3. L'administrateur définit ensuite dans la fenêtre 18 de règles les règles portée locale ou globale. Dans l'exemple illustré sur la figure 4, un tableau 29 de règles dans la fenêtre 18 de règles permettant de définir règles est affiché dans la fenêtre 17 d'attributs lorsqu'un onglet 30 Rules est sélectionné. La fenêtre 17 d'attributs montre que l'administrateur a defini à l'aide du tableau 29 de la fenêtre 18 une règle de portée locale autorisant l'accès depuis le groupe G_I vers le groupe G_DMZ, la règle ainsi definie étant affichée dans le tableau 29 de la fenêtre 17 d'attributs.
Le tableau 29 de règles comprend une colonne 31 Name pour identifier la règle de contrôle d'accès, une colonne 32 Source pour designer le groupe d'origine de la règle, une colonne 33 Destination pour désigner le groupe destination de la règle.
La portée de la règle est définie dans une colonne 34 Scope peut prendre les valeurs LOCAL pour une portée locale ou GLOBAL pour une portée globale. Dans l'exemple illustré, la portée la règle prend la valeur par défaut GLOBAL .
Le procédé selon la présente invention opère de la manière suivante Au moment où le pare-feu effectue le contrôle d'acces (par exemple lors d'une tentative d'établissement de connexion), le pare-feu 1 analyse l'attribut de portée de la règle régissant le contrôle de l'accès en cours.
Si la règle est de portée globale, elle est appliquée sans contrôle supplémentaire : l'accès est autorisé ou rejeté en fonction de la consigne donnée par la règle. II s'agit d'un fonctionnement standard pare-feu.
Si la portée de la règle est locale, le pare-feu détermine les interfaces reseaux 10 d'entrée et de sortie du trafic en cours de traitement et analyse si interfaces réseaux sont attachées au domaine 5 intérieur ou 6 extérieur.
Si les deux interfaces réseaux 10 d'entrée et de sortie sont attachées au domaine 5 intérieur, le trafic en cours de traitement reste à l'intérieur du domaine 5 de protection du pare-feu : la règle est alors appliquée et l'accès est autorisé ou rejeté en fonction de la consigne donnée ladite règle.
Si l'une des deux interfaces réseaux 10 est attachee au domaine 6 extérieur, le trafic en cours de traitement n'est pas interne domaine 5 de protection du pare-feu : la règle en question n'est pas applicable pour le profil de trafic en cours de traitement.
Dans l'exemple illustré, aucun pare-feu reliant les domaines D1, D2, D3 entre eux n'est prévu. L'invention ne s'intéresse pas domaines de liaison. Les interfaces associées aux domaines de liaison sont automatiquement attachées à un domaine externe, à savoir que la colonne Is External prend la valeur true. Dans l'exemple illustré sur les figures 2 à 5, le procédé opère de la manière suivante.
Lors d'un accès depuis le sous-réseau I, vers le sous-réseau DMZ, le pare-feu détermine que le trafic entre par l'interface réseau 10 et ressort l'interface réseau 10 NW, dmz. Lesdites interfaces réseau NW, et NW, dmz sont déclarées intérieures au domaine de protection du pare-feu en question. Le pare-feu NW, autorise l'accès. Le mécanisme est similaire pour des accès du sous-réseau 12 vers DMZ2, au travers de NW2, et de 13 vers DMZ3, au travers de NW3. Lors d'un accès du sous-réseau I, vers le sous-réseau DMZ2, le pare- feu NW, détermine que le trafic entre par l'interface réseau NW, et ressort par l'interface réseau NW, dorsale. La première interface réseau NW, déclarée interieure au domaine 5 de protection, alors que la seconde NW, dorsale est déclarée extérieure au domaine 5 de protection. Le trafic n'est pas limité au domaine 5 de protection et la pare-feu NW1 n'autorise pas l'accès.
De la même manière, le pare-feu NW2 détecte que le trafic en cause entre par l'interface réseau NW2_dorsale et ressort par l'interface réseau NW2_dmz.
L'interface réseau NW2_dorsale est attachée à un sous-réseau extérieur domaine de protection ; le trafic n'est pas limité au domaine protection pare-feu NW2 et est bloqué par ce dernier.
La présente invention concerne le procédé de configuration de pare- feu 1 dans système 2 informatique comportant des objets 3, les objets 3 pour lesquels une politique de contrôle d'accès est mise en place étant appelés ressources 4, caractérisé en ce qu'il regroupe les objets 3 du système domaine 5, 6 de protection, chaque pare- 1 assurant la protection domaine intérieur 5 par rapport à un domaine 6 extérieur et applique au pare-feu concerné une règle de contrôle d'accès entre une ressource 4 d'origine et une ressource de destination uniquement si lesdites ressources d'origine et de destination appartiennent au meme domaine 5 ou 6 de protection. procédé détermine le domaine de protection ressources 4 au moyen interfaces réseau 10 du pare-feu concerne interfaces par lesquels passent les communications pour parvenir aux dites ressources. procédé définit les zones 8 comportant des reseaux ou sous- réseaux; il associe les interfaces réseaux 10 des pare-feu auxquels lesdites zones sont connectées à un domaine intérieur ou extérieur - il détermine les interfaces réseaux 10 d'entrée et de sortie du trafic en cours de traitement ; il analyse si lesdites interfaces réseaux sont attachées à un domaine intérieur ou extérieur ; il applique la règle uniquement si deux interfaces réseaux sont attachées au même domaine 5 intérieur ce correspond au fait que ressources appartiennent au même domaine protection. procédé constitue les groupes d'objets 3 pour lesquels la politique de controle d'accès est identique et applique la règle entre chacune des ressources d'un groupe d'origine et d'un groupe de destination. procédé caractérise la règle par une portée locale ou globale et il applique règle aux ressources concernées uniquement si lesdites ressources appartiennent au même domaine 5 ou 6 de protection lorsque la portée règle est locale, . applique la règle à toutes les ressources concernees lorsque la portée de la règle est globale. présente invention concerne également le dispositif permettant la mise aeuvre du procédé décrit ci-dessus.
Le présente invention se rapporte également au dispositif configuration de pare-feu 1 dans le système 2 informatique caractérisé en qu'il comprend la machine 14 de configuration centrale permettant de regrouper les objets 3 du système par domaine de protection, chaque pare- feu 1 assurant la protection d'un domaine intérieur 5 par rapport à un domaine 6 extérieur et d'appliquer au pare-feu concerné une règle de contrôle d'accès entre une ressource 4 d'origine et une ressource de destination uniquement si lesdites ressources d'origine et de destination appartiennent au même domaine 5 ou 6 de protection.
Le dispositif comprend l'interface 15 graphique à partir de laquelle un administrateur 7 est susceptible de saisir les domaines 5 et 6 de protection et les règles de contrôle d'accès.
L'interface graphique permet à l'administrateur 7 de définir une portée à la règle de contrôle d'accès locale ou globale, et la machine 14 applique la règle aux ressources concernées uniquement si lesdites ressources appartiennent au même domaine 5 ou 6 de protection lorsque la portée de la règle est locale, et applique la règle à toutes les ressources concernées lorsque la portée de la règle est globale.

Claims (3)

<B>REVENDICATIONS</B>
1. Procédé de configuration de pare-feu (1) dans un système informatique comportant des objets (3), les objets (3) pour lesquels politique de contrôle d'accès est mise en place étant appelés des ressources (4), caractérisé en ce qu'il regroupe les objets (3) du système par domaine (5, de protection, chaque pare-feu (1) assurant la protection domaine interieur (5) par rapport à un domaine (6) extérieur et applique pare-feu concerné une règle de contrôle d'accès entre une ressource (4) d'origine et une ressource de destination uniquement si lesdites ressources d'origine et de destination appartiennent au même domaine (5) ou (6) de protection.
2. Procédé selon la revendication 1, caractérisé en ce qu'il détermine le domaine de protection des ressources (4) au moyen des interfaces réseau (10) du pare-feu concerné, interfaces par lesquels passent les communications pour parvenir aux dites ressources.
3. Procédé selon la revendication 2, caractérisé en ce qu'il définit des zones (8) comportant des réseaux ou sous-réseaux, en ce qu'il associe les interfaces réseaux (10) des pare-feu auxquels lesdites zones sont connectées à un domaine intérieur ou extérieur, en ce qu'il détermine les interfaces réseaux (10) d'entrée et de sortie du trafic en cours de traitement, en ce qu'il analyse si lesdites interfaces réseaux sont attachées à un domaine intérieur ou extérieur, et en ce qu'il applique la règle uniquement si les deux interfaces réseaux sont attachées au même domaine (5) intérieur ce qui correspond au fait que les ressources appartiennent au même domaine de protection. Procédé selon l'une des revendications 1 à 3, caractérisé en qu'il constitue des groupes d'objets (3) pour lesquels la politique de contrôle d'accès est identique et applique la règle entre chacune des ressources d'un groupe d'origine et d'un groupe de destination. Procédé selon l'une des revendications 1 à 4, caractérisé en qu'il caractérise la règle par une portée locale ou globale, en ce qu'il applique la règle aux ressources concernées uniquement si lesdites ressources appartiennent au même domaine (5) ou (6) de protection lorsque 1a portée de la règle est locale, et en ce qu'il applique la règle à toutes les ressources concernées lorsque la portée de la règle est globale. 6. Dispositif permettant la mise en ceuvre du procédé selon l'une des revendications 1 à 5. 7. Dispositif de configuration de pare-feu (1) dans un système (2) informatique comportant des objets (3), les objets (3) pour lesquels une politique de contrôle d'accès est mise en place étant appelés des ressources (4), caractérisé en ce qu'il comprend une machine (14) de configuration centrale permettânt de regrouper les objets (3) du systeme par domaine de protection, chaque pare-feu (1) assurant la protection d'un domaine intérieur (5) par rapport à un domaine (6) extérieur et d'appliquer au pare-feu concerné une règle de contrôle d'accès entre une ressource (4) d'origine et une ressource de destination uniquement si lesdites ressources d'origine et de destination appartiennent au même domaine (5) (6) de protection. 8. Dispositif selon la revendication 7, caractérisé en ce qu'il comprend une interface (15) graphique à partir de laquelle un administrateur (7) est susceptible de saisir les domaines (5) et (6) de protection et les règles de contrôle d'accès. 9. Dispositif selon l'une des revendications ou 8, caractérisé en ce l'interface graphique permet à l'administrateur de définir une portée à la règle de contrôle d'accès locale ou globale, en ce que la machine (14) applique la règle aux ressources concernees uniquement si lesdites ressources appartiennent au même domaine ou (6) de protection lorsque la portée de la règle est locale, et applique règle à toutes les ressources concernées lorsque la portée de la règle est globale.
FR9916118A 1999-12-21 1999-12-21 Procede et dispositif de configuration de pare-feu dans un systeme informatique Expired - Fee Related FR2802667B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR9916118A FR2802667B1 (fr) 1999-12-21 1999-12-21 Procede et dispositif de configuration de pare-feu dans un systeme informatique
US09/740,801 US7225255B2 (en) 1999-12-21 2000-12-21 Method and system for controlling access to network resources using resource groups

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR9916118A FR2802667B1 (fr) 1999-12-21 1999-12-21 Procede et dispositif de configuration de pare-feu dans un systeme informatique

Publications (2)

Publication Number Publication Date
FR2802667A1 true FR2802667A1 (fr) 2001-06-22
FR2802667B1 FR2802667B1 (fr) 2002-01-25

Family

ID=9553526

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9916118A Expired - Fee Related FR2802667B1 (fr) 1999-12-21 1999-12-21 Procede et dispositif de configuration de pare-feu dans un systeme informatique

Country Status (2)

Country Link
US (1) US7225255B2 (fr)
FR (1) FR2802667B1 (fr)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7409714B2 (en) * 2001-06-13 2008-08-05 Mcafee, Inc. Virtual intrusion detection system and method of using same
US7103648B1 (en) * 2001-07-31 2006-09-05 Gateway Inc. Method and system for assigning an IP address to a host based on features of the host
FR2844415B1 (fr) * 2002-09-05 2005-02-11 At & T Corp Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes
GB0227049D0 (en) * 2002-11-20 2002-12-24 Bae Sys Defence Sys Ltd Management of network security domains
US7318097B2 (en) * 2003-06-17 2008-01-08 International Business Machines Corporation Security checking program for communication between networks
US7610610B2 (en) 2005-01-10 2009-10-27 Mcafee, Inc. Integrated firewall, IPS, and virus scanner system and method
US8490171B2 (en) 2008-07-14 2013-07-16 Tufin Software Technologies Ltd. Method of configuring a security gateway and system thereof
FR2959632B1 (fr) * 2010-05-03 2012-10-19 Evidian Procede d'ouverture de session d?une machine appartenant a un parc de machines
US8646031B2 (en) 2010-12-16 2014-02-04 Tufin Software Technologies Ltd Method of generating security rule-set and system thereof
EP2490371A1 (fr) * 2011-02-18 2012-08-22 BAE SYSTEMS plc Ensemble de gestion de réseau pour gérer un flux de trafic de gestion de réseau
WO2012110795A1 (fr) * 2011-02-18 2012-08-23 Bae Systems Plc Ensemble gestion de réseau pour gérer un flux de trafic de gestion de réseau
US20140006570A1 (en) * 2012-06-29 2014-01-02 Globalfoundries Inc. Method and system for customer specific test system allocation in a production environment
US10503545B2 (en) 2017-04-12 2019-12-10 At&T Intellectual Property I, L.P. Universal security agent
CN111935117B (zh) * 2020-07-30 2023-01-31 平安科技(深圳)有限公司 防火墙策略的下发方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6880089B1 (en) * 2000-03-31 2005-04-12 Avaya Technology Corp. Firewall clustering for multiple network servers
US20020184525A1 (en) * 2001-03-29 2002-12-05 Lebin Cheng Style sheet transformation driven firewall access list generation
US20040213258A1 (en) * 2003-04-25 2004-10-28 Sundaresan Ramamoorthy Implementing information technology management policies

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
BARTAL Y, MAYER A ET AL.: "Firmato: a novel firewall management toolkit", PROCEEDINGS OF THE 1999 IEEE SYMPOSIUM ON SECURITY AND PRIVACY, 9 May 1999 (1999-05-09) - 12 May 1999 (1999-05-12), Oakland, USA, pages 17 - 31, XP002149049 *
LODIN S W ET AL: "FIREWALLS FEND OFF INVASIONS FROM THE NET", IEEE SPECTRUM,US,IEEE INC. NEW YORK, vol. 35, no. 2, 1 February 1998 (1998-02-01), pages 26 - 34, XP000768657, ISSN: 0018-9235 *
STEMPEL S: "IpAccess-an Internet service access system for firewall installations", PROCEEDINGS OF THE SYMPOSIUM ON NETWORK AND DISTRIBUTED SYSTEM SECURITY, 16 February 1995 (1995-02-16) - 17 February 1995 (1995-02-17), Los Alamitos, CA, USA, pages 31 - 41, XP002149391 *
WEBER W: "Firewall basics", 4TH INTERNATIONAL CONFERENCE ON TELECOMMUNICATIONS IN MODERN SATELLITE, 13 October 1999 (1999-10-13) - 15 October 1999 (1999-10-15), Nis, Yugoslavia, pages 300 - 305, XP002149051 *

Also Published As

Publication number Publication date
FR2802667B1 (fr) 2002-01-25
US7225255B2 (en) 2007-05-29
US20020129142A1 (en) 2002-09-12

Similar Documents

Publication Publication Date Title
US10320749B2 (en) Firewall rule creation in a virtualized computing environment
FR2802667A1 (fr) Procede et dispositif de configuration de pare-feu dans un systeme informatique
US9948606B2 (en) Enhancing privacy and security on a SDN network using SDN flow based forwarding control
US6182226B1 (en) System and method for controlling interactions between networks
JP2021184605A (ja) サービスルール処理のための、サービスノードへのリモートデバイス管理属性の分配
US20180324147A1 (en) Reducing redundant operations performed by members of a cooperative security fabric
US20180139098A1 (en) Integrating physical and virtual network functions in a service-chained network environment
CN104796469B (zh) 云计算平台的配置方法及装置
CN107959654A (zh) 一种数据传输方法、装置及混合云系统
US7463593B2 (en) Network host isolation tool
JP2002507295A (ja) 多層型ファイアウオールシステム
US20060041935A1 (en) Methodology for configuring network firewall
FR2801754A1 (fr) Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip
EP1357724A1 (fr) Dispositif de gestion de filtres de données
Garg et al. Review on architecture and security issues in SDN
EP3703314B1 (fr) Procédé de déploiement d&#39;une configuration de réseau dans un centre de données ayant un point de présence
CN113839824A (zh) 流量审计方法、装置、电子设备及存储介质
EP2847939A1 (fr) Systeme de transmission de donnees
US20220385631A1 (en) Distributed traffic steering and enforcement for security solutions
CN108900543A (zh) 管理防火墙规则的方法和装置
Goins et al. Diving Deep into Kubernetes Networking
EP3818442B1 (fr) Gestion de la mise en application d&#39;une politique dans un environnement sdn de réseau de communication
WO2019102077A1 (fr) Procédé, dispositif et méthode d&#39;établissement d&#39;une communication socksifiée, sécurisée, ségréguée, anonymisée dans un réseau basé sur le protocole ip (internet protocol) entre différents îlots analogues, transmis à travers un réseau de proxy socks et routé sur la base du « domain name space » / fqdn (fully qualified domain name )
Khaing Comparison of DOD and OSI Model in the Internet Communication
RU2797264C1 (ru) Способ и система туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения

Legal Events

Date Code Title Description
TP Transmission of property
PLFP Fee payment

Year of fee payment: 17

ST Notification of lapse

Effective date: 20170831