Configuration de base du pare-feu Zyxel - Objets, Zones, NAT, VPN et plus encore ! (USG / FLEX / ATP)

Création 22 novembre 2021 16:19 - Mise à jour 6 septembre 2024 14:46

Serhii Boiarynov

Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Ce guide explique les concepts d'objets, de zones, de groupes, d'interfaces, de NAT, de pare-feu et de routage.

Objets

Il est important de comprendre le fonctionnement de nos pare-feux ; au cœur de la configuration se trouvent les objets.

Lorsque vous comprenez le fonctionnement des objets, il est plus facile et plus efficace de gérer nos dispositifs.

Par exemple, lors de la configuration de la NAT, il est pratique d'utiliser des objets, de sorte que vous n'aurez pas à spécifier une adresse IP plusieurs fois, mais plutôt à réutiliser l'objet, que vous n'aurez à créer qu'une seule fois. Dans ce scénario, nous allons créer un objet adresse pour un hôte qui sera utilisé dans le NAT.

Naviguons vers :

Configuration > Object > Address > Add

Lorsque vous avez spécifié l'hôte en tant qu'objet, vous pouvez l'utiliser lors de la création d'une règle NAT, au lieu de devoir spécifier l'IP manuellement, puis lorsque vous devez autoriser le trafic du pare-feu vers cet hôte spécifique, vous pouvez réutiliser l'objet. Pour plus d'informations sur la création de règles NAT, voir ci-dessous :

Configuration d'une règle NAT sur un USG (transfert de port)

Zones

Pour faciliter la gestion, les zones peuvent s'avérer utiles. Par exemple, un VLAN et un LAN peuvent communiquer l'un avec l'autre s'ils se trouvent dans la même zone, ce qui élimine la nécessité d'accorder l'accès séparément.

Cela fonctionne également en sens inverse, si vous souhaitez séparer l'accès d'un LAN et d'un VLAN, cela peut également être fait.

Les zones peuvent être configurées en naviguant vers :

dyn_repppp_1

Les zones peuvent être utilisées comme groupe, qui peut être utilisé dans les règles de pare-feu, les politiques de sécurité et les interfaces.

En résumé, gérez les interfaces dans différentes zones en fonction de vos besoins. Vous pouvez configurer des règles de pare-feu pour le passage des données entre les zones ou même entre les interfaces et/ou les tunnels VPN dans une zone.

Pour plus d'informations sur l'exemple de séparation des VLAN et des zones, voir ci-dessous :

Séparer les VLAN sur un ZyWALL/USG

Les groupes

Comme pour les zones, nous pouvons utiliser des groupes pour regrouper des utilisateurs, des adresses, des hôtes ou des objets en général.

Le meilleur exemple serait le groupe de service "Default allow WAN to Zywall", où nous pouvons configurer quels services sont autorisés à atteindre le Zywall à partir du WAN.

Naviguons vers :

Configuration > Object > Service > Service Group

Sélectionnez le groupe approprié et cliquez sur modifier, les changements souhaités peuvent être effectués ici pour supprimer par exemple l'accès SSH ou HTTPS depuis le WAN.

Comme nous l'avons mentionné, il est également possible de grouper les utilisateurs, les adresses et les horaires.

Pour plus d'informations sur les groupes, voir l'article ci-dessous sur les groupes de services :

Zywall / USG - WAN Ping

Interfaces

Cette section peut être utilisée pour configurer les rôles des ports, les VLAN, pour apporter des changements fondamentaux au réseau en modifiant par exemple l'adresse LAN et les paramètres liés au DHCP.

Par exemple, la modification d'un sous-réseau peut être effectuée en allant dans le chemin suivant :

Configuration > Network > Interface > Ethernet

Sélectionnez le LAN / WAN approprié et cliquez sur modifier, effectuez les changements souhaités et cliquez sur appliquer.

Pour plus d'informations sur ce sujet, veuillez consulter le guide VLAN ci-dessous :

Comment configurer un VLAN sur un appareil USG

NAT

Traduction d'adresse réseau (NAT), parfois appelée transfert de port. Elle est utilisée par exemple lorsque vous disposez d'un serveur et que vous souhaitez lui accorder un accès à partir d'Internet.

La configuration de la NAT peut être effectuée ici :

Configuration > Network > NAT

Pour des instructions plus détaillées, voir ci-dessous ;

Serveur virtuel vs. 1:1 NAT

Configuration des règles NAT sur un USG (transfert de port)

Pare-feu

Cette section est utilisée pour contrôler le pare-feu de l'appareil, également appelé politique de sécurité - contrôle de la politique dans nos appareils. La politique de sécurité peut être trouvée avec le chemin suivant :

Configuration > Security Policy > Policy Control

Dans cette section, vous pouvez créer, supprimer et modifier des règles de pare-feu, voir ci-dessous pour plus d'informations :

Ajouter une règle de pare-feu simple/une politique de sécurité sur votre ATP/USG FLEX/USG/ZyWall-Gateway

Routage

Dans cette section, vous pouvez créer des routes statiques, des routes de stratégie, etc. pour acheminer le trafic réel dans votre réseau. Pour accéder à cette section, naviguez vers :

Configuration > Network > Routing

En fonction des critères, les routes peuvent être configurées pour acheminer un trafic spécifique, pour plus d'informations, voir ici : Policy Routes ( USG/VPN/ATP) - Différents scénarios d'utilisation et de configuration

VPN

Avec le pare-feu Zyxel, vous avez la possibilité de créer différents types de VPN, par exemple, VPN SSL, L2TP sur IPsec, ou par exemple VPN site à site. Vous pouvez choisir de créer le VPN à l'aide de notre assistant intégré ou à la main. Pour accéder à cette section, naviguez vers :

Configuration > VPN

Pour savoir comment créer un VPN L2TP sur IPsec pour l'accès à distance à l'aide de l'assistant, veuillez consulter le document ci-dessous :

Comment utiliser l'assistant de configuration VPN pour créer un VPN L2TP sur le ZyWALL/USG