Pratiques d'excellence pour les paramètres de politique de pare-feu pour des clients distants

Le tableau suivant décrit des scénarios ainsi que des pratiques d'excellence issues des pratiques d'excellence.
Pratiques d'excellence en matière de politique de pare-feu
Scénario
Recommandation
Site distant où les utilisateurs se connectent sans réseau VPN
  • Assignez les politiques de sécurité les plus strictes aux clients qui se connectent à distance sans utiliser de réseau VPN.
  • Activez la protection NetBIOS.
    N'activez pas la protection NetBIOS pour le site où un client distant est connecté au réseau d'entreprise via un réseau VPN. Cette règle est appropriée seulement quand des clients distants sont connectés à Internet, pas au réseau d'entreprise.
  • Bloquez tout le trafic TCP local sur les ports 135, 139 et 445 de NetBIOS pour augmenter la sécurité.
Site distant où les utilisateurs se connectent via un réseau VPN
  • Laissez telles quelles toutes les règles qui bloquent le trafic sur tous les adaptateurs. Ne modifiez pas ces règles.
  • Laissez telle quelle la règle qui permet le trafic VPN sur tous les adaptateurs. Ne modifiez pas cette règle.
  • Modifiez la colonne Adaptateur à partir de tous les adaptateurs au nom de l'adaptateur VPN que vous utilisez pour toutes les règles qui utilisent l'action Autoriser.
  • Activez la règle qui bloque tout autre trafic.
Vous devez effectuer toutes ces modifications pour empêcher toute tunnellisation fractionnée dans le réseau VPN.
Emplacements de bureau où les utilisateurs se connectent par le biais de connexions Ethernet ou sans fil
Utilisez votre politique de pare-feu par défaut. Pour la connexion sans fil, assurez-vous que la règle qui autorise le protocole EAPOL sans fil est activée. 802.1x utilise le protocole EAPOL (Extensible Authentication Protocol over LAN) pour l'authentification des connexions.
Autres informations