Pare-feu de filtrage des paquets IP

Description de la procédure de création, au moyen d'un pare-feu de filtrage de paquets IP, d'un ensemble de règles permettant d'accepter ou de rejeter le trafic transitant sur une connexion réseau.

Les pare-feu de filtrage des paquets IP permettent de créer un ensemble de règles permettant d'autoriser ou de rejeter le trafic transitant par une connexion réseau. Le pare-feu proprement dit ne modifie en rien le trafic. Comme le filtre des paquets ne peut rejeter que le trafic qui lui est envoyé, le périphérique équipé de ce filtre doit effectuer un routage IP ou être le destinataire du trafic.

Les filtres des paquets possèdent un ensemble de règles constituées d'actions d'autorisation ou de refus. Lorsque le filtre reçoit un paquet d'informations, il compare ce paquet aux règles que vous avez préalablement configurées. A la première correspondance, le filtre accepte ou rejette le paquet d'informations. La plupart des filtres des paquets comprennent une fonction permettant de rejeter toutes les règles à la fin du fichier de règles.

Les filtres des paquets autorisent ou rejettent généralement le trafic du réseau en fonction des critères suivants :

Adresses IP source et cible
Protocoles, comme TCP, UDP ou ICMP
Ports source et cible, et codes et types ICMP
Balises contenues dans l'en-tête TCP et indiquant par exemple si le paquet est une requête de connexion
Direction (entrant ou sortant)
Interface physique traversée par le paquet

Tous les filtres des paquets ont un point commun : la confiance dans les adresses IP. Bien que ce type de sécurité soit insuffisant pour un réseau entier, il est acceptable au niveau des composants.

La plupart des filtres de paquets IP sont sans état, à savoir ne se souviennent pas des paquets qu'ils ont précédemment traités. Les filtres de paquets avec un état conservent certaines informations sur le trafic précédemment traité, ce qui vous permet de mettre en place la configuration selon laquelle seules les réponses aux requêtes provenant du réseau interne sont autorisées à partir d'Internet. Les filtres de paquets sans état sont vulnérables aux usurpations d'identité car l'adresse IP source et le bit ACK de l'en-tête du paquet peuvent être aisément falsifiés.

Vous pouvez spécifier dans i5/OS les règles de filtrage des paquets sur les profils de maintenance des accès à distance et des interfaces. Si vous utilisez un pare-feu de filtrage des paquets externe ou des règles de filtrage des paquets sur le système d'exploitation i5/OS et que les données de votre connexion universelle transitent par ces filtres, vous devez modifier les règles de filtrage pour autoriser la connexion à la passerelle VPN IBM, comme suit :

Tableau 1.
Règles de filtrage IP	Valeurs du filtre IP
Règle de filtrage du trafic entrant UDP	Autoriser le port 4500 pour l'adresse de la passerelle VPN
Règle de filtrage du trafic entrant UDP	Autoriser le port 500 pour l'adresse de la passerelle VPN
Règle de filtrage du trafic sortant UDP	Autoriser le port 4500 pour l'adresse IP de la passerelle VPN
Règle de filtrage du trafic sortant UDP	Autoriser le port 500 pour l'adresse IP de la passerelle VPN
Règle de filtrage du trafic entrant ESP	Autoriser le protocole ESP (X'32') pour l'adresse IP de la passerelle VPN
Règle de filtrage du trafic sortant ESP	Autoriser le protocole ESP (X'32') pour l'adresse IP de la passerelle VPN

Pour les applications de connexion universelle utilisant les protocoles HTTP et HTTPs pour le transfert, vous devez modifier les règles de filtrage pour autoriser les connexions aux destinations de service IBM en procédant comme suit :

Tableau 2.
Règles de filtrage IP	Valeurs du filtre IP
Règle de filtrage du trafic entrant TCP	Autoriser le port 80 pour toutes les adresses de destination de service
Règle de filtrage du trafic entrant TCP	Autoriser le port 443 pour toutes les adresses de destination de service
Règle de filtrage du trafic sortant TCP	Autoriser le port 80 pour toutes les adresses de destination de service
Règle de filtrage du trafic sortant TCP	Autoriser le port 443 pour toutes les adresses de destination de service

La modification des règles de filtrage implique notamment de spécifier l'adresse de passerelle VPN IBM réelle. Les ports et services doivent être ouverts pour les adresses IP suivantes : Boulder : 207.25.252.196 et Rochester : 129.42.160.16. Pour obtenir des informations détaillées, consultez la section Détermination des adresses de passerelles VPN IBM de l'iSeries Information Center.

En outre, pour le trafic HTTP et HHTPs, certaines modifications des règles de filtrage peuvent impliquer la spécification des adresses courantes de destination de service. Vous pouvez déterminer ces adresses en suivant la procédure décrite à la rubrique Détermination des adresses de destination de services IBM de l'iSeries Information Center.