HarfangLab EPP
Pare-feu professionnel

Les politiques de pare-feu permettent d'associer un profil de pare-feu aux endpoints, soit l'ensemble de règles de filtrage appliquées aux connexions réseau, basées sur :

• Protocole réseau (IPv4 / IPv6 et/ou TCP / UDP / ICMP),
• Direction (connexion entrante, sortante ou les deux),
• Hôte local, soit le terminal protégé (adresse IP unique / plage / CIDR), port et/ou application),
• Hôte distant, soit le terminal distant concerné par la connexion avec le terminal protégé adresse IP unique / plage / CIDR, ou FQDN et/ou port).  

Pour les cas où il est nécessaire d'appliquer dynamiquement des profils de pare-feu différents en fonction d'un contexte réseau complexe (terminal se déplaçant et se connectant à plusieurs réseaux, serveur étant simultanément connecté à plusieurs réseaux etc...), le pare-feu de l’EPP d’HarfangLab permet de définir des zones de réseau sur la base de divers paramètres tels que le type d'interface réseau, l’adresse IP associée... et de choisir par le biais de la politique de pare-feu quel profil appliquer dans quelle zone de réseau.

Ces politiques de pare-feu sont ensuite associées à des politiques d'endpoint, permettant ainsi d'unifier tous les éléments de configuration dans la console.

Les connexions réseau entrantes et sortantes sont ainsi filtrées à l'aide de règles configurées et administrées directement depuis la console d’HarfangLab.

Les utilisateurs de l’EPP peuvent définir différentes configurations pour un même endpoint, et elles s’appliquent dynamiquement selon le contexte dans lequel l’endpoint se connecte (réseau de l’organisation, VPN, réseau privé...).

Le pare-feu d’HarfangLab permet de définir des règles spécifiques pour une application donnée sur un terminal protégé, ainsi que sur un FQDN.

Ces options visent par exemple à maintenir une connectivité vers un service dont l'adresse IP peut être inconnue ou changeante.

Un EPP incluant un firewall et capable d’automatiser la neutralisation des menaces connues permet aux analystes de réduire les sollicitations, et de se focaliser sur une exploitation approfondie des données collectées grâce à un EDR.

Ils peuvent alors centraliser l’ensemble des informations et la gestion des outils de sécurité sur une seule plateforme, ce qui facilite la surveillance du système d’information.

Cela représente un gain de temps significatif en comparaison avec l’utilisation d’outils dispersés et la gestion de données provenant de sources hétérogènes.

Prenons le cas d’une usine dont les équipements sont critiques et ne doivent jamais s’arrêter.

Ces machines sont pilotées par des serveurs protégés par l'EPP, et elles ont besoin d’un niveau de protection réseau très élevé. Les serveurs ne sont donc pas connectés à internet, et seules sont autorisées les connexions SSH venant des postes de travail pour les administrer.

La base de données se connecte également à ces serveurs pour récupérer des données à exploiter sur les postes de travail des équipes métiers, sans connexion internet non plus... mais en lien avec des postes de travail eux-mêmes connectés à internet.

Le pare-feu peut alors être configuré via un plan d’adressage qui prévoit des autorisations ou des restrictions pour l’accès aux serveurs et aux postes de travail selon leur zone réseau, et selon le type de connexion (réseau de l’entreprise ou internet).

Deux profils de pare-feu peuvent alors être envisagés : un pour l'usine et un pour les bureaux. Deux zones de réseau sont ensuite configurées en fonction du plan d'adressage défini préalablement, permettant d'appliquer le bon profil à la bonne zone de réseau en fonction de la situation de chaque endpoint.