Guide Dadministration FortiGate v30MR1 FR

GUIDE D’ADMINISTRATION

ortiGate ersion 3.0

FV

www.fortinet.com

Guide d’administration FortiGate Version 3.0 24 avril 2006 01-30001-0203-20060424 © Droit d’auteur 2006 Fortinet, Inc. Tous droits réservés. En aucun cas, tout ou partie de cette publication, y compris les textes, exemples, diagrammes ou illustrations, ne peuvent être reproduits, transmis ou traduits, sous aucune forme et d’aucune façon, que ce soit électronique, mécanique, manuelle, optique ou autre, quelqu’en soit l’objectif, sans autorisation préalable de Fortinet, Inc. Marques déposées Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et FortiWiFi sont des marques déposées de Fortinet, Inc. aux États-Unis et/ou dans d’autres pays. Les noms des sociétés et produits mentionnés ici peuvent être des marques déposées par leurs propriétaires respectifs.

2 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424

Table des Matières Introduction.......................................................................................................15

Présentation des équipements FortiGate............................................................................. 15 Châssis FortiGate série 5000 ............................................................................................... 15 A propos des modules FortiGate série 5000 ........................................................................ 16 FortiGate-3600...................................................................................................................... 17 FortiGate-3000...................................................................................................................... 17 FortiGate-1000A ................................................................................................................... 18 FortiGate-1000AFA2............................................................................................................. 18 FortiGate-1000...................................................................................................................... 18 FortiGate-800........................................................................................................................ 18 FortiGate-800F...................................................................................................................... 19 FortiGate-500A ..................................................................................................................... 19 FortiGate-500........................................................................................................................ 19 FortiGate-400A ..................................................................................................................... 19 FortiGate-400........................................................................................................................ 19 FortiGate-300A ..................................................................................................................... 20 FortiGate-300........................................................................................................................ 20 FortiGate-200A ..................................................................................................................... 20 FortiGate-200........................................................................................................................ 20 FortiGate-100A ..................................................................................................................... 20 FortiGate-100........................................................................................................................ 21 FortiGate-60/60M/ADSL ....................................................................................................... 21 FortiWiFi-60 .......................................................................................................................... 21 FortiGate-50A ....................................................................................................................... 21

Gamme de Produits Fortinet.................................................................................................. 22 Services de souscription FortiGuard..................................................................................... 22 FortiAnalyser......................................................................................................................... 22 FortiClient.............................................................................................................................. 22 FortiManager......................................................................................................................... 23 FortiBridge ............................................................................................................................ 23 FortiMail ................................................................................................................................ 23 FortiReporter......................................................................................................................... 23

A propos de ce document ...................................................................................................... 24 Conventions utilisées dans ce document ............................................................................. 26

Documentation FortiGate ....................................................................................................... 27 CD d’outils et de documentation Fortinet.............................................................................. 28 Base de Connaissance Fortinet (Fortinet Knowledge Center) ............................................. 28 Remarques sur la documentation technique Fortinet........................................................... 28

Service clientèle et support technique ................................................................................. 28

Interface d’administration web ........................................................................29

Fonctionnalités de la barre de boutons................................................................................ 30 Contacter le Support Technique ........................................................................................... 30 Aide en Ligne ........................................................................................................................ 30 Accès au mode console........................................................................................................ 33 Déconnexion ......................................................................................................................... 34

Guide d’Administration FortiGate Version 3.0 3 01-30001-0203-20060424

Pages de l’interface d’administration web ........................................................................... 34 Menu de l’interface d’administration web.............................................................................. 35 Listes..................................................................................................................................... 36 Icônes.................................................................................................................................... 36 Barre de statuts..................................................................................................................... 37

Enregistrement d’un équipement FortiGate......................................................................... 37

Utilisation de domaines virtuels ......................................................................40

Domaines virtuels ................................................................................................................... 40 Paramètres de configuration des domaines virtuels............................................................. 41 Paramètres de la Configuration Globale............................................................................... 42

Activation du mode Multiple VDOM ...................................................................................... 43 Configuration des VDOM et paramètres globaux ................................................................ 43

Visualisation, création et édition de domaines virtuels et édition de paramètres globaux ... 44 Ajout d’interfaces à un domaine virtuel................................................................................. 45 Affectation d’un administrateur à un domaine virtuel............................................................ 46

Statuts du Système...........................................................................................47

Page des statuts...................................................................................................................... 47 Visualisation des statuts du système.................................................................................... 47

Modification des informations du système .......................................................................... 51 Paramétrage des date et heure ............................................................................................ 51 Modification du nom d’hôte du boîtier FortiGate................................................................... 52

Modification du logiciel FortiGate ......................................................................................... 53 Mise à jour logicielle.............................................................................................................. 53 Retour à une version logicielle antérieure ............................................................................ 54

Visualisation de l’historique opérationnel............................................................................ 55 Mise à jour manuelle des définitions FortiGuard................................................................. 55

Mise à jour manuelle des définitions AV FortiGuard ............................................................ 56 Mise à jour manuelle des définitions IPS FortiGuard ........................................................... 56

Visualisation des Statistiques ............................................................................................... 57 Visualisation de la liste des sessions.................................................................................... 57 Visualisation des Archives de Contenu ................................................................................ 58 Visualisation du Journal des Attaques.................................................................................. 59

Système > Réseau ............................................................................................61

Interface ................................................................................................................................... 61 Paramètres de l’interface ...................................................................................................... 63 Création d’une interface agrégée 802.3ad ........................................................................... 66 Création d’une interface redondante .................................................................................... 67 Création d’une interface sans fil ........................................................................................... 68 Configuration DHCP d’une interface..................................................................................... 69 Configuration PPPoE d’une interface ................................................................................... 70 Configuration d’un service DNS dynamique d’une interface ................................................ 72 Configuration d’une interface IPSec virtuelle........................................................................ 72


Configuration additionnelle des interfaces............................................................................ 74 Zone.......................................................................................................................................... 75

Paramètres d’une zone......................................................................................................... 76 Options..................................................................................................................................... 76

Détection de l’échec d’une passerelle .................................................................................. 76 Configuration des Options du Réseau.................................................................................. 77

Table de Routage (en mode Transparent) ............................................................................ 78 Paramètres d’une route en mode Transparent..................................................................... 78

Configuration de l’interface modem...................................................................................... 79 Configuration des paramètres du modem ............................................................................ 79 Configuration du mode Redondant....................................................................................... 81 Configuration du mode stand alone...................................................................................... 82 Ajout de règles pare-feu pour les connexions modem ......................................................... 83 Connexion et déconnexion du modem ................................................................................. 83 Vérification du statut du modem ........................................................................................... 84

Aperçu sur les VLAN............................................................................................................... 84 Equipements FortiGate et VLAN .......................................................................................... 85

VLAN en mode NAT/Route ..................................................................................................... 85 Consignes sur les identificateurs VLAN................................................................................ 86 Consignes sur les adresses IP VLAN................................................................................... 86 Ajout de sous-interfaces VLAN............................................................................................. 87

VLAN en mode Transparent................................................................................................... 88 Consignes sur les identificateurs VLAN................................................................................ 90 Domaines virtuels et VLAN en mode Transparent ............................................................... 90

Support FortiGate IPv6 ........................................................................................................... 91

Système Sans Fil ..............................................................................................92

Interface LAN sans fil FortiWiFi............................................................................................. 92 Domaines régulatoires............................................................................................................ 92 Paramètres sans fil du système (FortiWiFi-60) .................................................................... 94 Paramètres sans fil du système (FortiWiFi-60A et 60AM)................................................... 95 Filtrage des MAC..................................................................................................................... 96 Surveillance du module sans fil ............................................................................................ 97

Système DHCP..................................................................................................99

Serveurs et relais DHCP FortiGate ........................................................................................ 99 Configuration des services DHCP....................................................................................... 100

Configuration d’une interface comme relais DHCP ............................................................ 101 Configuration d’un serveur DHCP ...................................................................................... 101

Visualisation des baux d’adresses...................................................................................... 103 Réservation d’adresses IP pour clients spécifiques ........................................................... 103


Configuration du Système .............................................................................104

Haute Disponibilité................................................................................................................ 104 Aperçu sur la Haute Disponibilité........................................................................................ 105 Protocole de Clustering FortiGate (FGCP) ......................................................................... 106 Modes HA (actif-actif et actif-passif) ................................................................................... 107 Compatibilité de la HA FortiGate avec DHCP et PPPoE.................................................... 108 Aperçu sur le clustering virtuel............................................................................................ 108 Aperçu sur le maillage intégral HA ..................................................................................... 109 Configuration d’options HA (clustering virtuel inactivé) ...................................................... 112 Configuration d’options HA pour clustering virtuel.............................................................. 112 Options HA.......................................................................................................................... 114 Liste des membres d’un cluster .......................................................................................... 120 Visualisation des statistiques HA........................................................................................ 122 Modification du nom d’hôte et de la priorité d’un membre subordonné.............................. 123 Configuration d’un cluster HA ............................................................................................. 124 Configuration d’un clustering virtuel.................................................................................... 127 Administration d’un cluster.................................................................................................. 133 Déconnexion d’un membre du cluster ................................................................................ 136 Adresses MAC virtuelles d’un cluster ................................................................................. 138 Exemple de configuration d’un clustering virtuel ................................................................ 139 Administration de clusters virtuels ...................................................................................... 141 Exemple de configuration en maillage intégral HA............................................................. 143 Maillage intégral HA pour clustering virtuel ........................................................................ 148 HA et interfaces redondantes ............................................................................................. 149 HA et interfaces agrégées 802.3ad .................................................................................... 150

SNMP ...................................................................................................................................... 152 Configuration SNMP ........................................................................................................... 153 Configuration d’une communauté SNMP ........................................................................... 154 MIB FortiGate...................................................................................................................... 156 Traps FortiGate................................................................................................................... 156 Champs MIB Fortinet .......................................................................................................... 158

Messages de remplacement ................................................................................................ 161 Liste des messages de remplacement ............................................................................... 161 Modification des messages de remplacement.................................................................... 162 Modification de la page de connexion et d’authentification ................................................ 163 Modification de la page d’ignorance du filtrage web FortiGuard ........................................ 164 Modification du message de connexion VPN SSL ............................................................. 165 Modification de la page d’information d’authentification ..................................................... 165

Mode de fonctionnement des VDOM et accès administratif ............................................ 166 Modification du mode de fonctionnement ........................................................................... 166

Administration du Système ...........................................................................168

Administrateurs..................................................................................................................... 168 Configuration de l’authentification RADIUS des administrateurs ....................................... 169 Visualisation de la liste des administrateurs ....................................................................... 169 Configuration d’un compte administrateur .......................................................................... 170

Profils d’administration ........................................................................................................ 174 Visualisation de la liste des profils d’administration ........................................................ 176 Configuration d’un profil d’administration......................................................................... 176


FortiManager.......................................................................................................................... 178 Paramètres............................................................................................................................. 178 Contrôle des administrateurs .............................................................................................. 180

Maintenance du Système ...............................................................................181

Sauvegarde et Restauration................................................................................................. 181 Centre FortiGuard ................................................................................................................. 184

Réseau de Distribution FortiGuard ..................................................................................... 184 Services FortiGuard ............................................................................................................ 184 Configuration du boîtier FortiGate pour les services FDN et FortiGuard ........................... 186 Résolution de problèmes de connexion FDN ..................................................................... 188 Mise à jour des signatures antivirus et IPS......................................................................... 189 Activation des mises à jour forcées .................................................................................... 191

Licence ................................................................................................................................... 193

Routeur Statique.............................................................................................194

Route Statique ....................................................................................................................... 194 Concepts de routage........................................................................................................... 194 Visualisation, création et édition de routes statiques.......................................................... 197 Route par défaut et passerelle par défaut .......................................................................... 198 Ajout d’une route statique à la table de routage ................................................................. 200

Règle de Routage.................................................................................................................. 201 Ajout d’une règle de routage............................................................................................... 202 Déplacement d’une règle de routage.................................................................................. 203

Routeur dynamique ........................................................................................205

RIP........................................................................................................................................... 205 Fonctionnement RIP ........................................................................................................... 206 Visualisation et édition des paramètres de base RIP ......................................................... 206 Sélection d’options RIP avancées ...................................................................................... 208 Ignorer les paramètres de fonctionnement RIP d’une interface ......................................... 209

OSPF....................................................................................................................................... 211 Systèmes autonomes OSPF .............................................................................................. 211 Définition d’un système autonome (AS) OSPF .................................................................. 212 Visualisation et édition de paramètres de base OSPF ....................................................... 212 Sélection d’options avancées OSPF .................................................................................. 214 Définitions d’aires OSPF..................................................................................................... 216 Spécification de réseaux OSPF.......................................................................................... 217 Sélection de paramètres de fonctionnement d’une interface OSPF .................................. 218

BGP......................................................................................................................................... 219 Fonctionnement de BGP..................................................................................................... 220 Visualisation et édition des paramètres BGP ..................................................................... 220

Multicast................................................................................................................................. 221 Visualisation et édition de paramètres multicast ................................................................ 222 Ignorer les paramètres multicast d’une interface................................................................ 223


Table de Routage ............................................................................................225

Affichage des informations sur le routage......................................................................... 225 Recherche dans la table de routage FortiGate .................................................................. 227

Règle Pare-feu.................................................................................................228

A propos des règles pare-feu .............................................................................................. 228 Comment fonctionne la correspondance de règles ? ......................................................... 229

Visualisation de la liste des règles pare-feu ...................................................................... 230 Ajout d’une règle pare-feu................................................................................................... 231 Déplacement d’une règle dans la liste................................................................................ 231

Configuration des règles pare-feu....................................................................................... 232 Options des règles pare-feu ............................................................................................... 234 Ajout d’une authentification aux règles pare-feu ................................................................ 238 Ajout d’une priorité de trafic aux règles pare-feu................................................................ 239 Options des règles pare-feu IPSec..................................................................................... 242 Options des règles pare-feu VPN SSL ............................................................................... 243

Adresse Pare-Feu ...........................................................................................245

A propos des adresses pare-feu ......................................................................................... 245 Visualisation de la liste des adresses pare-feu ................................................................. 246 Configuration des adresses................................................................................................. 247 Visualisation de la liste des groupes d’adresses .............................................................. 247 Configuration des groupes d’adresses .............................................................................. 248

Service Pare-feu..............................................................................................249

Visualisation de la liste des services prédéfinis................................................................ 249 Visualisation de la liste des services personnalisés......................................................... 253 Configuration des services personnalisés......................................................................... 253 Visualisation de la liste des groupes de services ............................................................. 255 Configuration des groupes de services.............................................................................. 255

Plage horaire d’un Pare-feu ...........................................................................257

Visualisation de la liste des plages horaires ponctuelles................................................. 257 Configuration des plages horaires ponctuelles................................................................. 258 Visualisation de la liste des plages horaires récurrentes................................................. 258 Configuration des plages horaires récurrentes................................................................. 259

IP virtuelles......................................................................................................260

IP virtuelles ............................................................................................................................ 260 Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le boîtier FortiGate ? .......................................................................................................................... 260


Visualisation de la liste d’IP virtuelles ................................................................................ 264 Configuration des adresses IP virtuelles ........................................................................... 264

Ajout d’une adresse IP virtuelle de translation à une seule adresse IP ............................. 265 Ajout d’une adresse IP virtuelle de translation à une plage d’adresses IP......................... 267 Ajout d’un relayage de port de translation à une seule adresse IP et un seul port ............ 269 Ajout d’un relayage de port de translation à une plage d’adresses IP et une plage de ports............................................................................................................................................ 270 Ajout d’une IP virtuelle d’équilibrage de charge à une plage d’adresses IP....................... 272 Ajout d’une IP virtuelle relayage de port équilibrage de charge à une plage d’adresses IP et une plage de ports .............................................................................................................. 274 Ajout d’IP virtuelles dynamiques......................................................................................... 276

Plages IP ................................................................................................................................ 277 Plages IP et NAT dynamique.............................................................................................. 277 Plages IP pour les règles pare-feu utilisant des ports fixes................................................ 277

Visualisation des plages IP .................................................................................................. 278 Configuration des plages IP................................................................................................. 278

Profil de Protection.........................................................................................279

Qu’est-ce qu’un profil de protection?................................................................................. 279 Profils de protection par défaut........................................................................................... 280 Visualisation de la liste des profils de protection ............................................................. 280 Configuration d’un profil de protection .............................................................................. 281

Options Antivirus................................................................................................................. 282 Options du filtrage Web ...................................................................................................... 283 Options du filtrage FortiGuard-Web.................................................................................... 285 Options du filtrage antispam ............................................................................................... 286 Options IPS......................................................................................................................... 289 Options des archives de contenu ....................................................................................... 289 Options IM et P2P............................................................................................................... 290 Options de la journalisation ................................................................................................ 291

Ajout d’un profil de protection à une règle ........................................................................ 292 Configuration CLI d’un profil de protection ....................................................................... 293

Config firewall profile........................................................................................................... 293

VPN IPSEC.......................................................................................................294

Aperçu du mode interface IPSec ......................................................................................... 294 Auto Key................................................................................................................................. 295

Création d’une nouvelle configuration phase 1 .................................................................. 296 Définition des paramètres avancés de la phase 1.............................................................. 299 Création d’une nouvelle configuration phase 2 .................................................................. 302 Définition des paramètres avancés de la phase 2.............................................................. 303

Clé Manuelle .......................................................................................................................... 305 Création d’une nouvelle configuration à clé manuelle ........................................................ 306

Concentrateur........................................................................................................................ 308 Définition des options d’un concentrateur........................................................................... 309


Tunnels actifs ........................................................................................................................ 310

VPN PPTP ........................................................................................................312

Plage PPTP ............................................................................................................................ 312

VPN SSL ..........................................................................................................313

Configuration......................................................................................................................... 313 Monitor ................................................................................................................................... 315

Certificats VPN................................................................................................316

Certificat locaux .................................................................................................................... 316 Générer une requête de certificat ....................................................................................... 317 Téléchargement et soumission d’une requête de certificat ................................................ 318 Importation d’un certificat serveur signé............................................................................. 319 Importation d’un certificat serveur exporté et de sa clé privée ........................................... 319 Importation de fichiers séparés de certificat serveur et leur clé privée .............................. 320

Certificats CA......................................................................................................................... 320 Importation de certificats de l’autorité de certification......................................................... 321

CRL ......................................................................................................................................... 322 Importation d’une liste de révocation de certificat .............................................................. 322

Utilisateur ........................................................................................................324

Configuration de l’authentification d’un utilisateur........................................................... 324 Paramétrage du timeout d’authentification ......................................................................... 324

Comptes utilisateurs locaux ................................................................................................ 325 Edition d’un compte utilisateur............................................................................................ 325

Serveurs RADIUS .................................................................................................................. 326 Configuration d’un serveur RADIUS................................................................................... 326

Serveurs LDAP ...................................................................................................................... 327 Configuration d’un serveur LDAP ....................................................................................... 328

Serveurs Windows AD.......................................................................................................... 328 Configuration d’un serveur Windows AD............................................................................ 329

Groupe d’utilisateurs ............................................................................................................ 330 Types de groupe d’utilisateurs............................................................................................ 331 Liste de groupes d’utilisateurs ............................................................................................ 332 Configuration d’un groupe d’utilisateurs ............................................................................. 333 Configuration des options override FortiGuard pour un groupe d’utilisateurs .................... 334 Configuration des options des groupes d’utilisateurs VPN SSL......................................... 335

Configuration de paires et de groupes de paires .............................................................. 336

Antivirus ..........................................................................................................337

Antivirus................................................................................................................................. 337


Modèles de Fichier ................................................................................................................ 338 Visualisation du catalogue de la liste des modèles de fichier (FortiGate-800 et plus uniquement) ........................................................................................................................ 339 Création d’une nouvelle liste de modèles de fichier ( FortiGate-800 et plus uniquement). 340 Visualisation de la liste de modèles de fichier .................................................................... 340 Configuration de la liste de modèles de fichier ................................................................... 342

Mise en Quarantaine ............................................................................................................. 342 Visualisation de la liste des Fichiers mis en Quarantaine .................................................. 343 Visualisation de la liste de soumission automatique .......................................................... 344 Configuration de la liste de soumission automatique ......................................................... 345 Configuration des options de mise en quarantaine ............................................................ 345

Configuration......................................................................................................................... 347 Visualisation de la liste des virus ........................................................................................ 347 Visualisation de la liste des Graywares .............................................................................. 348

Configuration de l’Antivirus à partir de l’interface de ligne de commande .................... 350 system global optimize........................................................................................................ 350 config antivirus heuristic...................................................................................................... 350 config antivirus quarantine.................................................................................................. 351 config antivirus service <service_name>............................................................................ 351

Protection contre les Intrusions....................................................................352

A propos de la protection contre les intrusions ................................................................ 352 Signatures prédéfinies.......................................................................................................... 354

Visualisation de la liste de signatures prédéfinies .............................................................. 354 Configuration de groupes de signatures prédéfinies .......................................................... 357 Configuration des signatures prédéfinies ........................................................................... 357

Signatures personnalisées .................................................................................................. 358 Visualisation de la liste des signatures personnalisées...................................................... 358 Création de signatures personnalisées .............................................................................. 359

Décodeurs de protocoles ..................................................................................................... 360 Visualisation de la liste de décodeurs de protocoles.......................................................... 361 Configuration des groupes de décodeurs de protocoles IPS ............................................. 362 Configuration des décodeurs de protocoles IPS ................................................................ 362

Anomalies .............................................................................................................................. 362 Visualisation de la liste des anomalies de trafic ................................................................. 363 Configuration des anomalies de trafic IPS.......................................................................... 364

Configuration de l’IPS à partir de l’interface de ligne de commande .............................. 365 system autoupdate ips ........................................................................................................ 365 ips global fail-open .............................................................................................................. 365 ips global ip_protocol .......................................................................................................... 365 ips global socket-size.......................................................................................................... 365 (config ips anomaly) config limit.......................................................................................... 365

Filtrage Web ....................................................................................................366

Filtrage Web........................................................................................................................... 366 Filtrage par mots-clés........................................................................................................... 368


Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus)............................................................................................................................................ 368 Création d’une nouvelle liste de blocage de contenu Web (Modèle boîtier FortiGate-800 et plus) .................................................................................................................................... 369 Visualisation de la liste de blocage de contenu Web ......................................................... 369 Configuration de la liste de blocage de contenu web ......................................................... 371 Visualisation du contenu de la liste d’exemption des contenus Web (modèles FortiGate-800 et plus) ................................................................................................................................ 371 Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-800 et plus) .................................................................................................................................... 372 Visualisation de la liste d’exemption des contenus Web .................................................... 372 Configuration de la liste d’exemption des contenus Web................................................... 373

Filtre URL ............................................................................................................................... 374 Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus) ....... 374 Création d’une nouvelle liste de filtres URL (Modèles FortiGate-800 et plus).................... 375 Visualisation de la liste des filtres URL............................................................................... 375 Configuration d’une liste de filtres URL .............................................................................. 377 Déplacement d’URL au sein de la liste de filtres URL........................................................ 378

Filtrage Web FortiGuard ....................................................................................................... 378 Configuration du filtrage FortiGuard-Web........................................................................... 378 Visualisation de la liste override ......................................................................................... 379 Configuration de règles d’ignorance ................................................................................... 380 Création de catégories locales ........................................................................................... 382 Visualisation de la liste des évaluations locales ................................................................. 382 Configuration d’évaluations locales .................................................................................... 383 Configuration d’un blocage de catégorie à partir de l’interface de ligne de commande..... 384 Rapports du Filtrage FortiGuard-Web ................................................................................ 384

Antispam .........................................................................................................386

Antispam ................................................................................................................................ 386 Ordre du filtrage antispam .................................................................................................. 386

Mots bannis ........................................................................................................................... 389 Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate-800 et plus) .................................................................................................................................... 389 Création d’une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et plus) . 390 Visualisation de la liste de mots bannis antispam .............................................................. 390 Configuration de la liste des mots bannis antispam ........................................................... 392

Liste noire et liste blanche ................................................................................................... 392 Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-800 et plus). ................................................................................................................................... 393 Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et plus).... 393 Visualisation de la liste d’adresses IP antispam................................................................. 394 Configuration de la liste des adresses IP antispam............................................................ 395 Visualisation du catalogue de listes d’adresses mail antispam (modèles FortiGate-800 et plus). ................................................................................................................................... 395 Création d’une nouvelle liste d’adresses mail antispam (modèles FortiGate-800 et plus). 396 Visualisation de la liste d’adresses IP mail antispam ......................................................... 396 Configuration de la liste des adresses mail antispam ........................................................ 398

Configuration antispam avancée......................................................................................... 398 config spamfilter mheader................................................................................................... 398 config spamfilter rbl............................................................................................................. 399


Utilisation des expressions régulières en Perl .................................................................. 400 Expression Régulière vs Modèle à méta-caractère ........................................................... 400

Limite des mots................................................................................................................... 400 Sensibilité à la casse des caractères.................................................................................. 400 Formats des expressions régulières en Perl ...................................................................... 400 Exemples ............................................................................................................................ 402

IM/P2P ..............................................................................................................403

Statistiques ............................................................................................................................ 403 Visualisation des statistiques d’ensemble .......................................................................... 403 Visualisation des statistiques par protocole........................................................................ 404

Utilisateur............................................................................................................................... 405 Visualisation de la liste des utilisateurs connectés............................................................. 405 Visualisation de la liste des utilisateurs .............................................................................. 406 Ajout d’un nouvel utilisateur à la liste des utilisateurs ........................................................ 406 Configuration d’une politique utilisateur globale ................................................................. 407

Configuration IM/P2P à partir de l’interface de ligne de commande ............................... 408

Journaux & Alertes .........................................................................................409

Journalisation FortiGate....................................................................................................... 409 Niveaux de sévérité des journaux ....................................................................................... 410 Stockage des Journaux........................................................................................................ 411

Journalisation sur un boîtier FortiAnalyzer ......................................................................... 411 Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique............ 412 Test de la configuration d’un boîtier FortiAnalyzer ............................................................. 412 Journalisation sur la mémoire............................................................................................. 413 Journalisation sur un serveur Syslog.................................................................................. 414 Journalisation sur WebTrends ............................................................................................ 415

Journalisation d’un cluster Haute Disponibilité ................................................................ 415 Types de Journaux................................................................................................................ 416

Journal Trafic ...................................................................................................................... 416 Journal Evénement ............................................................................................................. 417 Journal Antivirus ................................................................................................................. 418 Journal Filtrage Web........................................................................................................... 418 Journal des Attaques .......................................................................................................... 418 Journal Antispam ................................................................................................................ 419 Journal IM / P2P ................................................................................................................. 419

Accès aux Journaux ............................................................................................................. 420 Accès aux messages journalisés stockés en mémoire ...................................................... 420 Accès aux journaux stockés sur un boîtier FortiAnalyzer................................................... 420 Visualisation des informations journalisées ........................................................................ 421 Paramètres des colonnes ................................................................................................... 422 Filtrage des messages journalisés ..................................................................................... 423

Rapports................................................................................................................................. 424 Rapports de base sur le trafic ............................................................................................. 424 Rapports FortiAnalyzer ....................................................................................................... 426


Mail d’alerte............................................................................................................................ 432 Configuration des mails d’alerte ......................................................................................... 433

Index ................................................................................................................435


Introduction

Bienvenue et merci d’avoir choisi les produits Fortinet pour la protection en temps réel de votre réseau. Les boîtiers FortiGateTM Unified Threat Management System (Système de Gestion Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et abus réseaux et contribuent à une utilisation plus efficace des ressources de communication, sans compromettre la performance de votre réseau. La gamme a reçu les certifications ICSA pare-feu, VPN IPSec et antivirus. L’appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial et fournit une gamme complète de services, que ce soit:

• au niveau des applications (comme le filtrage antivirus, la protection contre les intrusions, les filtrages antispam, de contenu web et IM/P2P).

• au niveau du réseau (comme le pare-feu, la détection et prévention d’intrusion, les VPN IPSec et VPN SSL et la qualité de service).

• Au niveau de l’administration (comme l’authentification d’un utilisateur, la journalisation, les rapports du FortiAnalyzer, les profils d’administration, l’accès sécurisé au web et l’accès administratif CLI et SNMP).

Le système FortiGate utilise la technologie de Dynamic Threat Prevention System (Système Dynamique de Prévention des Attaques) (DTPSTM). Celle-ci s’appuie sur les dernières avancées technologiques en matière de conception de microcircuits, de gestion de réseaux, de sécurité et d’analyse de contenu. Cette architecture unique basée sur un Asic permet d'analyser en temps réel les contenus applicatifs et les comportements du réseau.

Ce chapitre parcourt les sections suivantes :

• Introduction aux équipements FortiGate

• Gamme de produits Fortinet

• A propos de ce document

• Documentation FortiGate

• Service clientèle et support technique

Présentation des équipements FortiGate Toutes les appliances FortiGate Unified Threat Management offrent les fonctionnalités antivirus, filtrage de contenu, pare-feu, VPN et détection/prévention d’intrusion destinées aux réseaux des petites comme des grandes entreprises.

Châssis FortiGate série 5000

Les plates-formes de sécurité réseau FortiGate série 5000 sont des systèmes à châssis destinés aux grandes entreprises et fournisseurs de services haut débit Internet. Ils garantissent des services de sécurité intégrant pare-feu, VPN, protection antivirus, antispam, filtrage de contenu web et système de prévention contre les intrusions (IPS). Le grand choix de configurations système qu’offrent les FortiGate série 5000 assure la flexibilité nécessaire à la croissance des réseaux de haute performance. Les châssis FortiGate série 5000 supportent de multiples


modules FortiGate série 5000 ainsi que des sources d’alimentation échangeables à chaud. Cette approche modulaire offre aux entreprises et utilisateurs des FAI (Fournisseurs d’accès Internet) une solution adaptable, hautement performante et tolérante aux pannes.

Châssis FortiGate-5140

Le châssis FortiGate-5140 comd’installer jusqu’à quatorze mod

prend quatorze slots (logements) permettant ules pare-feu antivirus FortiGate-5000. Il s’agit d’un


nd cinq slots permettant d’installer jusqu’à cinq renant

ent


nd deux slots permettant l’installation d’un ou de

A propos des mo

châssis de 12U comprenant deux modules redondants et échangeables à chaud d’alimentation de courant continu qui se connectent à une alimentation -48 VDC des salles d’hébergement. Ce châssis possède également trois plateaux de ventilateurs échangeables à chaud.

Le châssis FortiGate-5050 compremodules pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 5U compdeux connexions redondantes d’alimentation de courant continu qui se connectà une alimentation -48 VDC des salles d’hébergement. Ce châssis possède également un plateau de ventilateurs échangeable à chaud.

Le châssis FortiGate-5020 compredeux module(s) pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 4U comprenant deux entrées d’alimentation de courant AC vers DC redondantes qui se connectent à une alimentation AC. Ce châssis possède également un plateau interne de ventilateurs.

dules FortiGate série 5000

Chaque module FortiGate série 5000 est un système de sécurité autonome pouvant faire partie d’un cluster HA FortiGate. Tous les modules sont échangeables à chaud. Ces équipements sont des systèmes de sécurité de haute


performance possédant de multiples interfaces gigabits, des capacités de domaines virtuels et d’autres fonctionnalités FortiGate de grande qualité.

multiples

Module FortiGate-5001FA2

n système de sécurité hautement performant ces Ethernet gigabits. Il est similaire au module

n de deux interfaces qui, intégrant la technologie n de la performance du traitement des petits

t

etits paquets.

Module FortiGate-5001SX

Le module FortiGate-5001SX est un système de sécurité hautement performant etautonome possédant huit interfaces Ethernet gigabits. Il supporte les fonctionnalités de haut niveau notamment les VLAN 802.1Q ainsi que de domaines virtuels.

Le module FortiGate-5001FA2 est uet autonome possédant six interfaFortiGate-5001SX à l’exceptioFortinet, offrent une accélératiopaquets.

Module FortiGate-5002FB2

Le module FortiGate-5002FB2 est un système de sécurité hautement performanet autonome possédant un total de six interfaces Ethernet gigabits. Deux de ces interfaces intégrant la technologie Fortinet offrent une accélération de la performance du traitement des p

FortiGate-3600

La fiabilité et les performances du un

FortiGate-3600 sont élevés àniveau de type opérateur et répondent aux exigences des

prises et fournisseurs grandes entrede services. Son architecture multiprocesseur et Asic fournit un débit de 4Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend des blocs d’alimentation redondants et un partage de charge, avec un secours assuré sans interruption de service. La grande capacité du FortiGate-3600, sa fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de services de sécurité managés.

FortiGate-3000

La fiabilité et les performances dun

FortiGate-3000 sont élevés à univeau de type opérateur et

s des répondent aux exigencegrandes entre

prises et fournisseurs

de services. Son architecture multiprocesseur et Asic fournit un débit de 3Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend des blocs d’alimentation redondants et un partage de charge, avec un secours assuré sans interruption de service. La grande capacité du FortiGate-3000, sa fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de services de sécurité managés.


FortiGate-1000A

Le boîtier FortiGate-1000A est une solution hautement performante répondant aux exigences des grandes entreprises et fournisseurs de services.

Grâce à son réseau de distribution (FortiGuard Distribution Network), les serviceFortiGuard permettent au FortiGate-1000A de disposer des informations les plus récentes, assurant une protection continue contre les virus, vers, troyens et autrmenaces, même les plus récentes. Son architecture flexible lu

s

es i permet de s’adapter

aux technologies émergeantes telles que IM, P2P ou VOIP mais aussi de contrer les méthodes frauduleuses de collectes d’informations privées utilisées par les spyware, phishing et pharming.

FortiGate-1000AF

A2 est

A2

Le boîtier FortiGate-1000AFune solution hautement performante répondant aux exigences des grandes entreprises et fournisseurs de services. Ses deux ports de fibres optiques supplémentaires, bénéficiant de la technologie FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses fonctions de sécurité critique sur une plateforme hautement sécurisée garantissent

iement, coûts opérationnels bas et un taux conn es et inconnues.

FortiGate-1000

de 2Gbit/s,

fiabilité, rentabilité, rapidité de déplosupérieur de détection des anomalies u

Le boîtier FortiGate-1000 est conçu pour les grandes entreprises. Son architecture multiprocesseur et Asic fournit un débitrépondant ainsi aux besoins des applications les plus exigeantes. Le boîtier FortiGate-1000 comprend des blocs d’alimentation redondants minimisant les points uniques de panne, ainsi que des supports pour un partage de charge et un

service.

FortiGate-800

VLAN et des domaines virtuels.

secours assuré sans interruption de

Le boîtier FortiGate-800 fournit en plus d’un haut débit, un total de huit connexions réseau (quatre étant personnalisables), un support des

Lors d’une configuration de cluster FortiGate, il fournit une redondance matérielle stateful en haute disponibilité. Ses fonctionnalités hautement performantes en font

randes entreprises qui exigent une sécurité optimum de un choix naturel pour les gleurs réseaux.


FortiGate-800F

External, DMZ et HA.

Le boîtier FortiGate-800F offre les mêmes fonctionnalités que le boîtier FortiGate-800, mais avec quatre interfaces de fibre optique : Internal,

Ce boîtier fournit également une redondance matérielle stateful en haute disponibilité et un support aux protocoles de routage RIP et OSPF. Il garantit la

s grandes entreprises recherchent.

FortiGate-500A

un niet de fiabilité opérate

flexibilité, fiabilité et gestion aisée que le

Le boîtier FortiGate-500A offre

veau de performance de classe

ur, répondant aux exigences des fournisseurs de services et des grandes entreprises.

nt un commutateur 4 ports LAN) et ses ec réplication automatique sans coupure de une solution performante aux applications

é, fiabilité et sa gestion aisée en font un choix

FortiGate-500

Le boîtier FortiGate-500 est conçu pour

Ses 10 connexions réseaux (dofonctions haute disponibilité avréseau font du FortiGate-500A

ibilitles plus critiques. Sa flexnaturel pour les opérateurs de services de sécurité managés.

les grandes entreprises. Sa flexibilité, sa fiabilité et sa gestion aisée en font un choix naturel pour les opérateurs de services de sécurité managés. Le boîtier FortiGate-500 supporte la haute

terme de ilité

disponibilité.

FortiGate-400A

Le boîtier FortiGate-400Ades

répond aux exigences

prises engrandes entreperformance, disponibet fiabilité. Il supporte la haute disponibilité et présente une réplication automatique sans coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques.

FortiGate-400

Le boîtier FortiGate-400 est conçu pour les grandes entreprises. Il fournit un débit jusqu’à 500Mbit/s et supporte la

haute disponibilité, qui comprend une réplication automatique sans coupure de réseau.


FortiGate-300A

Le boîtier FortiGate-300répond aux exigences des grandes entreprises en terme de performance, disponibilité et fiabilité. Il supporte la haute disponibilité et

pporte la

s

comprend une réplication automatique sans coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques.

FortiGate-300

Le boîtier FortiGate-300 est conçu pour les grandes entreprises. Il suhaute disponibilité, qui comprend une réplication automatique san coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques.

FortiGate-200A

Le boîtier FortiGate-200A est une solution conviviale et facile à gérer garantissant un haut niveau de performance, idéal pour répondre aux applications d’entreprises à domicile ou de petites entreprises ou succursales. L’assistant

d’installation qui permettent au boîtier d’être opérationnel en quelques minutes.

FortiGate-200

our

petites

d’installation FortiGate guide les utilisateurs à travers des procédures simples

Le boîtier FortiGate-200 est conçu prépondre aux applications d’entreprises à domicile ou de

entreprises ou succursales. Il offre une solution conviviale, facile à gérer. Le boîtier FortiGate-200 supporte haute disponibilité.

la

FortiGate-100A

Le boîtier FortiGate-100A est une solution pratique et facile à gérer qui répond parfaitement aux applicationsdes petites entreprises, bureaux à

s. Ce boîtier domicile et succursalesupporte des fonctions avancées telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.


FortiGate-100

etites

Le boîtier FortiGate-100 est conçu pour répondre aux applications d’entreprises à domicile ou de pentreprises ou succursales. Il supporte les fonctions avancées telles que VLAN 802.1Q, domaines virtuels,

oles de routage RIP et OSPF.

FortiGate-60/60M

conçu pour érant et

les magasins. Il comprend un port modem extérieur qui peut servir de connexion Internet redondante ou

haute disponibilité et protoc

/ADSL

Le boîtier FortiGate-60 est les bureaux de personnel itin

stand alone. Le boîtier FortiGate-60M comprend également servir de connexion InternetFortiGate-60ADSL est pour sa p

quant à lui un modem interne qui peut redondante ou stand alone. Le boîtier

art muni d’un modem ADSL interne.

FortiWiFi-60

intégrée qui assure des connexions sans fil sécurisées. Il combine mobilité et flexibilité grâce à ses fonctions FortiWiFi Antivirus Firewall. De plus, il s’adapte aux avancées technologiques radiophoniques. Il peut faire office de point de connexion entre réseaux sans fil et réseaux câblés ou tenir lieu de point central d’un réseau sans fil stand alone.

Le modèle FortiWiFi est une solution

FortiGate-50A

Le boîtier FortiGate-50A est conçu pour les télétravailleurs, les utilisateurs mobiles, les petites entreprises et les succursales comptant 10 employés ou moins. Il comprend un port modem extérieur qui peut servir de connexion autonome à Internet ou de service de sauvegarde.


Gamme de Produits Fortinet

En complément de sa gamme FortiGate, Fortinet propose une solution complète de logiciels et d’appliances de sécurité, adressant notamment la sécurité de la messagerie, la journalisation et l’édition de rapports statistiques, la gestion du réseau et des configurations. Pour plus d’informations sur les gammes de produits Fortinet, vous pouvez consulter le site www.fortinet.com/products.

Services de souscription FortiGuard

Les services FortiGuard sont des services de sécurité développés, mis à jour et gérés par une équipe de professionnels en sécurité Fortinet. Ces services assurent la détection et le filtrage des attaques, même les plus récentes, pour préserver les ordinateurs et les ressources du réseau. Ces services ont été mis au point à partir des plus récentes technologies de sécurité et sont conçus pour opérer à des coûts opérationnels les plus bas possible. Les services FortiGuard comprennent:

• Le service FortiGuard antivirus

• Le service FortiGuard IPS (Intrusion Prevention System)

• Le service FortiGuard de filtrage web

• Le service FortiGuard antispam

• Le service FortiGuard premier

Sur notre site web, vous trouverez également un scanner de virus et une encyclopédie des virus et attaques.

FortiAnalyser

FortiAnalyserTM fournit aux administrateurs réseaux les informations nécessaires qui leur permettent d’assurer une meilleure protection du réseau, une plus grande sécurité contre attaques et vulnérabilités. FortiAnalyser permet entre autres:

• de centraliser les journaux des boîtiers FortiGate, des serveurs syslog et du FortiClient

• de générer des centaines de rapports à partir des données collectées

• de scanner le réseau et générer des rapports de vulnérabilités

• de stocker les fichiers mis en quarantaine par FortiGate

FortiAnalyser peut également être configuré en sniffer réseau et capturer en temps réel le trafic intercepté. Vous pouvez en outre utiliser FortiAnalyser comme lieu de stockage où les utilisateurs peuvent accéder et partager des données, telles que des rapports et journaux conservés sur son disque dur.

FortiClient

Le logiciel FortiClientTM offre un environnement informatique sécurisé et fiable aux utilisateurs d’ordinateurs de bureau et d’ordinateurs portables munis des systèmes


http://www.fortinet.com/products

d’exploitation les plus répandus de Microsoft Windows. FortiClient offre de nombreuses fonctionnalités, y compris:

• un accès VPN pour se connecter aux réseaux distants

• un antivirus temps réel

• une protection contre des modifications du registre Windows

• une recherche des virus sur tout ou partie du disque dur

FortiClient peut s’installer de façon silencieuse et se déployer aisément sur un parc d’ordinateurs selon un paramétrage pré-établi.

FortiManager

FortiManagerTM est conçu pour répondre aux besoins des grandes entreprises (y compris les fournisseurs de services de gestion de sécurité) responsables du déploiement et du maintien de dispositifs de sécurité à travers un parc d’équipements FortiGate. FortiManager vous permet de configurer et de contrôler les statuts de plusieurs boîtiers FortiGate. Vous pouvez également consulter leurs journaux en temps réel et leurs historiques. FortiManager est facile à utiliser et s’intègre aisément à des systèmes tiers.

FortiBridge

FortiBridgeTM permet d’assurer une continuité de connexion réseau même en cas de panne électrique d’un système FortiGate. Le FortiBridge connecté en parallèle au FortiGate dévie le flux réseau lorsqu'il détecte une panne sur le boîtier et reçoit alors le trafic pour éviter toute coupure réseau. FortiBridge est facile à utiliser et à déployer. Vous pouvez programmer à l’avance les actions que FortiBridge mettra en place en cas de panne de courant ou de panne dans le système FortiGate.

FortiMail

FortiMailTM fournit une analyse heuristique puissante et flexible, de même que des rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes pour détecter et bloquer les mails non désirés, tels que les signatures SHASH (Spam Hash) ou les filtres bayesians. Construit sur base des technologies primées FortiOS et FortiASIC, FortiMail utilise ses pleines capacités d’inspection de contenu afin de détecter les menaces les plus avancées dans les courriers électroniques.

FortiReporter

Le logiciel FortiReporterTM Security Analyzer génère des rapports explicites. Il peut centraliser des journaux de n’importe quel boîtier FortiGate, ainsi que de plus de 30 boîtiers de réseau et de sécurité provenant de constructeurs tiers. FortiReporter offre une visibilité sur les abus réseau, l’utilisation de la bande passante et l’usage du web afin de s’assurer que le réseau est utilisé de façon appropriée. FortiReporter permet aux administrateurs d’identifier les attaques et d’y répondre. Il permet également de définir des actions proactives de protection des réseaux avant que ceux-ci ne soient confrontés à une augmentation des menaces.


A propos de ce document

Ce Guide d’Administration FortiGate FortiOS v3.0 fournit des informations détaillées sur les fonctionnalités de l’interface d’administration web FortiGate et celles ne pouvant être configurées qu’à partir de l’interface de ligne de commande (CLI). Ce Guide d’Administration parcourt les fonctions de l’interface graphique dans le même ordre que le menu de cette interface. Le document commence avec une description générale de l’interface d’administration web FortiGate et une description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes les options des menus Système, Routeur, Pare-Feu et VPN. Enfin, les menus Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et Journaux/Alertes sont décrits séparément. Un index se trouve à la fin du document. La dernière version de ce document se trouve sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation). Les informations contenues dans ce document sont également disponibles, sous une forme quelque peu différente, dans l’aide en ligne de l’interface d’administration web FortiGate. De la documentation technique complémentaire sur FortiOS v3.0 est disponible sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge Center), à l’adresse http://kc.forticare.com. Ce Guide d’Administration contient les chapitres suivants :

• Interface d’administration web : fournit une introduction aux fonctionnalités de l’interface graphique, explique comment enregistrer un équipement FortiGate et comment utiliser l’aide en ligne de l’interface.

• Utilisation de domaines virtuels : décrit comment définir et administrer les domaines virtuels d’un équipement FortiGate.

• Statut du Système : détaille les informations « statuts » visibles, y compris le statut du système, les informations sur l’équipement, les ressources du système, la console de message d’alerte, ainsi que les statistiques des sessions, de l’archive de contenu et du journal des attaques. Les changements de statuts sont également parcourus dans ce chapitre, tels que les modifications apportées au microcode, au nom d’hôte et à l’heure du système.

• Réseau du Système : retrace la configuration des interfaces physiques et virtuelles, ainsi que les paramètres DNS sur le boîtier FortiGate.

• Système Sans Fil : décrit la configuration d’une interface LAN Wireless sur un équipement FortiWiFi-60.

• Système DHCP : explique comment configurer une interface FortiGate comme serveur DHCP ou Relais DHCP.

• Configuration du Système : développe les procédures de configuration d’un clustering HA et virtuel, de configuration SNMP, de remplacement de messages et de modification du mode de fonctionnement.

• Administration du Système : vous guide dans l’ajout et l’édition de comptes administrateurs, dans la définition de profils d’accès administrateurs, dans la configuration d’accès au FortiManager et dans la définition des paramètres


http://docs.forticare.com/



http://kc.forticare.com/

généraux des administrateurs tels que les langues, les timeouts et les ports d’administration web.

• Maintenance du Système : détaille comment sauvegarder et restaurer la configuration du système, activer les mises à jour FortiProtectTM Distribution Network (FDN), enregistrer l’équipement FortiGate, créer des rapports sur les bogues et entrer une clé de licence pour augmenter le nombre maximum de domaines virtuels.

• Routeur Statique : explicite comment définir des routes statiques et créer des règles pour celles-ci. Une route statique permet aux paquets d’être transférés vers une destination autre que celle de la passerelle par défaut.

• Routeur Dynamique : définit la configuration de protocoles dynamiques pour guider le trafic à travers de larges réseaux complexes.

• Table de Routage: permet d’interpréter la liste et les entrées de la Table de routage.

• Règle Pare-Feu : décrit comment ajouter des règles pare-feu qui contrôlent les connexions et le trafic entre les interfaces FortiGate, les zones et les sous-interfaces VLAN.

• Adresse Pare-Feu : retrace la configuration d’adresses et de groupes d’adresses pour les règles pare-feu.

• Service Pare-Feu : répertorie les services disponibles et explique comment configurer des groupes de services pour les règles pare-feu.

• Plage horaire d’un Pare-Feu : permet de configurer des plages horaire pare-feu ponctuelles et récurrentes.

• IP Virtuelles : décrit comment configurer et utiliser les adresses IP virtuelles et les plages d’adresses IP.

• Profil de Protection : explique comment configurer des profils de protection pour les règles pare-feu.

• VPN IPSEC : offre des informations pour le mode tunnel et le mode route (mode interface) sur les options VPN IPSec (Internet Protocol Security) disponibles à partir de l’interface d’administration web.

• VPN PPTP : explique comment utiliser l’interface d’administration web pour spécifier une plage d’adresses IP pour des clients PPTP.

• VPN SSL : informe sur les paramètres de base VPN SSL.

• Certificats VPN : décrit comment gérer les certificats de sécurité X.509.

• Utilisateur : détaille comment contrôler l’accès aux ressources du réseau via une authentification de l’utilisateur.

• Antivirus : explique comment activer les options antivirus lors de la création de profils de protection pare-feu.

• Protection contre les Intrusions : parcourt la configuration d’options IPS lors de la création de profils de protection pare-feu.

• Filtrage Web : parcourt la configuration d’options de filtrage du contenu web lors de la création de profils de protection pare-feu.

• Antispam : parcourt la configuration d’options de filtrage de spams lors de la création de profils de protection pare-feu.


• IM / P2P : parcourt la configuration d’options IM et P2P lors de la création de profils de protection pare-feu. Les statistiques IM et P2P permettent d’avoir un aperçu de l’utilisation des protocoles dans le réseau.

• Journaux et Alertes : décrit comment activer la journalisation, visualiser les journaux et rapports de base disponibles à partir de l’interface d’administration web.

Conventions utilisées dans ce document

Les conventions suivantes sont utilisées dans ce guide : • Dans les exemples, les adresses IP privées sont utilisées aussi bien pour les

adresses IP privées que publiques. • Les remarques et attentions fournissent des informations importantes :

Les « remarques » vous apportent de l’information additionnelle utile.

Les « attentions » vous mettent en garde contre des commandes et procédures qui pourraient avoir des résultats inattendus ou indésirables tels que perte de données ou détérioration de l’équipement.

a tion du FortiGate utilise les conventions typographiques suivantes :

Conventions typographiques

L documenta

Convention Exemple Commandes de Menus Allez dans VPN > IPSEC et sélectionnez Créer Phase 1. Entrée clavier D serelle, tapez un nom pans le champ Nom de Pas our le client

VP ntral_Office_1). N distant (par exemple, CeExemple de code config sys global

set ips-open enable end

Syntaxe CLI (Interface de ligne de commande)

nteger> sk>

config firewall policy edit id_integer

ttp_retry_count <retry_iset hset natip <address_ipv4mand e

Noms des documents Guide d’Administration FortiGate

Contenu de fichier

service.</H4>

<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this

Affichage dd’un progra

u résultat mme Welcome!

Variables <address_ipv4>


Documentation FortiGate

Les versions les plus récentes de la documentation Fortinet, de même que les précédentes parutions, sont disponibles sur le site de documentation technique Fortinet à l’adresse http://docs.forticare.com. Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront aussi disponibles en français :

• FortiGate QuickStartGuide - Guide de démarrage rapide FortiGate

Fournit les informations de base sur la connexion et l’installation d’un FortiGate

• FortiGate Install Guide - Guide d’Installation FortiGate

Décrit comment installer un FortiGate. Il comprend des informations sur le matériel, des informations sur la configuration par défaut, ainsi que des procédures d’installation, de connexion et de configuration de base. Sélectionnez le guide en fonction du numéro du modèle du produit.

• FortiGate Administration Guide - Guide d’Administration FortiGate

Fournit les informations de base sur la manière de configurer un FortiGate, y compris la définition des profils de protection FortiGate et des règles pare-feu. Explique comment appliquer les services de prévention d’intrusion, protection antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt également la manière de configurer un VPN.

• FortiGate online help - Aide en ligne FortiGate

Fournit le Guide d’Administration au format HTML avec des outils de recherche. Vous pouvez accéder à l’aide en ligne à partir de l’interface d’administration web.

• FortiGate CLI Reference - Guide de Référence CLI

Décrit comment utiliser l’interface de ligne de commande FortiGate et répertorie toutes ses commandes.

• FortiGate Log Message Reference - Guide de référence des messages journalisés d’un FortiGate

Disponible uniquement à partir de la base de connaissance (Fortinet Knowledge Center), ce mode d’emploi décrit la structure et le contenu des messages présents dans les journaux FortiGate.

• FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate

Fournit une description détaillée des fonctions de haute disponibilité et du protocole de clustering FortiGate.

• FortiGate IPS User Guide - Guide utilisateur de l’IPS FortiGate (Système de Prévention d’Intrusion)

Décrit la configuration des paramètres IPS FortiGate et le traitement des attaques les plus courantes.

• FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate

Fournit des instructions pas à pas sur la configuration VPN IPSec via l’interface d’administration web.

• FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate

Compare les technologies FortiGate VPN IPSec et VPN SSL et décrit comment configurer à partir de l'interface graphique les modes VPN SSL web et VPN SSL tunnel pour les connexions à distance des utilisateurs.



http://docs.forticare.com/fgt.html

http://kc.forticare.com/default.asp?id=895





• FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate

Explique comment configurer un VPN PPTP via l’interface d’administration web.

• FortiGate Certificate Management User Guide - Guide utilisateur de gestion des certificats FortiGate

Indique comment gérer les certificats digitaux, et notamment comment générer des requêtes de certificat, installer des certificats, importer le certificat de l'autorité de certification et des listes de révocation, sauvegarder et restaurer des certificats et leurs clés privées associées.

• FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et VDOMs FortiGate

Décrit comment configurer des VLAN et VDOM en mode NAT/Route et Transparent. Des exemples détaillés y sont repris.

CD d’outils et de documentation Fortinet

Toute la documentation Fortinet est disponible sur le CD d’outils et de documentation fourni avec votre matériel livré. Les documents du CD correspondent à l’équipement fourni. Pour obtenir les versions les plus à jour de la documentation Fortinet, visitez le site de Documentation Technique Fortinet sur http://docs.forticare.com.

Base de Connaissance Fortinet (Fortinet Knowledge Center)

De la documentation technique complémentaire est disponible dans la base de connaissance Fortinet (Fortinet Knowledge Center), notamment des articles sur les dépannages et questions les plus fréquemment rencontrés, des notes techniques, et davantage. Vous pouvez consulter le site de la Base de Connaissance Fortinet à l’adresse http://kc.forticare.com.

Remarques sur la documentation technique Fortinet

Merci d’indiquer toute éventuelle erreur ou omission trouvée dans cette documentation à [email protected].

Service clientèle et support technique

Le Support Technique Fortinet (Fortinet Technical Support) propose son assistance pour une installation rapide, une configuration facile et une fiabilité des systèmes Fortinet. Pour connaître ces services, consultez le site de Support Technique Fortinet à l’adresse http://support.fortinet.com.




mailto:[email protected]

http://support.fortinet.com/

Interface d’administration web Cette section décrit les fonctionnalités conviviales de l’interface d’administration web de votre FortiGate. Vous pouvez configurer et administrer le boîtier FortiGate avec une connexion HTTP ou HTTPS, à partir de tout ordinateur muni d’un navigateur web. L’interface d’administration web fonctionne en plusieurs langues, dont le français. Vous pouvez configurer le boîtier FortiGate pour une administration HTTP et HTTPS à partir de n’importe quelle interface FortiGate. Illustration 1 : Ecran de l’interface d’administration web

L’interface d’administration web permet de configurer la plupart des paramètres FortiGate et de contrôler son statut. Les changements de configuration apportés à partir de l’interface d’administration web sont instantanément pris en compte, sans qu’il soit nécessaire de réinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaitée accomplie, il est conseillé de la sauvegarder. Elle pourra alors être restaurée dès que nécessaire. Pour plus d’informations sur la connexion à l’interface d’administration web, voir « Accès à l’interface d’administration web » dans le Guide d’Installation de votre FortiGate. Les sujets suivants sont parcourus dans cette section :

• Fonctionnalités de la barre de boutons

• Pages de l’interface d’administration web

• Enregistrement d’un équipement FortiGate


Fonctionnalités de la barre de boutons Les boutons de la barre en haut à droite de l’interface d’administration web fournissent un accès à plusieurs fonctionnalités importantes du FortiGate. Illustration 2 : Barre de boutons de l’interface d’administration web

Contacter le Support Technique

cter le Support Technique» (Contact Customer p ort Fortinet s’ouvre dans une nouvelle fenêtre. De

de ate »

s enverra un courrier électronique reprenant votre ront de vous inscrire au

Centre de Support Client (Customer Support Center).

• entrer sur le site du Centre de Support Client.

en apprendre davantage sur Fortinet et ses produits.

Aide en Ligne

Les boutons de l’aide en ligne (Online Help) activent l’affichage de l’aide en ligne pour la page ouverte de l’interface d’administration web. La page d’aide en ligne affichée contient les informations et procédures relatives aux commandes de la page ouverte. La plupart des pages d’aide contiennent également des hyperliens sur certains sujets dont il est question. Le système d’aide en ligne comprend également plusieurs commandes offrant de l’information additionnelle.

En cliquant sur le bouton « ContaSu port), la page du site de suppcette page, vous pouvez :

• enregistrer votre équipement FortiGate (Product Registration). Pour plusdétails sur les instructions, voir « Enregistrement d’un équipement FortiGà la page 37. Fortinet voucompte utilisateur et le mot de passe qui vous permett

• visiter le Centre FortiGuard.

• accéder à la Base de Connaissance.

• télécharger les mises à jour des bases de connaissance antivirus et IPS.

• obtenir tous les renseignements sur les programmes de formation et de certification.

•


Illustration 3 : Page d’aide en ligne des statuts du système

Show Navigation Ouvre le panneau de navigation de l’aide en ligne. A partir de

là, vous pouvez utiliser la table des matières de l’aide en ligne, l’index et le moteur de recherche. L’aide en ligne est organisée de la même manière que l’interface d’administration web et que le Guide d’Administration FortiGate.

Previous Retourne à la page précédente de l’aide en ligne.

Next Passe à la page suivante de l’aide en ligne.

Email Envoie un courrier électronique au centre de Documentation Technique Fortinet à [email protected]. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut être envoyé à cette adresse.

Print Imprime la page ouverte de l’aide en ligne.

Bookmark Ajoute une entrée à cette page d’aide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages d’aide en ligne.

Sélectionnez « Show Navigation » pour afficher le panneau de navigation de l’aide en ligne. Illustration 4 : page de l’aide en ligne avec panneau de navigation

Contents

Index

Affiche la table des matières de l’aide en ligne. Vous pouvez naviguer à travers la table des matières pour trouver des informations dans l’aide en ligne. L’aide en ligne est organisée de la même manière que l’interface d’administration web et que le Guide d’Administration FortiGate.

Affiche l’index de l’aide en ligne. Vous pouvez utiliser l’index pour trouver de l’information dans l’aide en ligne.



Search Affiche le moteur de recherche de l’apropos de la recherche de l’aide en li

ide en ligne. Voir « A gne » à la page 32 pour

en

Si vous avez utilisé l’index, le moteur de recherche ou les hyperliens pour trouver l’information recherchée dans l’aide en

ent disparu de votre écran. Sélectionnez « Show in Contents » pour afficher la table des matières vous indiquant la localisation de la page d’aide

A propos de la recherche dans l’aide en ligne

Grârech ’aide en l

• herche afficheront les

• plus de chance de contenir les

informations utiles à propos du mot ou des mots recherché(s). Les pages eurs des mots recherchés se trouvent en haut

auth* vous permettra de trouver les pages contenant

ertains cas la recherche donne lieu à des correspondances identiques. us entrez « fenêtres », la recherche ne portera pas sur

1 en ligne.

2 Sélectionnez « Show Navigation » pour afficher le panneau de navigation de l’aide en ligne.

3 Sélectionnez Search.

4 Tapez un ou plusieurs mots à rechercher dans le champ Search et tapez ensuite sur Enter ou cliquez sur Go.

Le panneau de recherche répertorie le nom de toutes les pages d’aide en ligne qui contiennent le(s) mot(s) entré(s). Sélectionnez un des noms de la liste pour afficher la page d’aide.

tout renseignement sur le moteur de recherche de l’aideligne.

Show in Contents

ligne, la table des matières a probablem

ouverte.

ce à sa fonction de recherche, l’aide en ligne vous permet de lancer une erche à partir d’un mot ou d’un groupe de mots présents dans le texte de l

igne FortiGate.

Quelques remarques pour vous aider dans votre recherche :

Si vous entrez un groupe de mots, les résultats de la recpages qui contiennent tous les mots du groupe et non pas l’un ou l’autre de ces mots.

Les pages affichées lors du résultat de la recherche sont classées par ordrelogique. Les premiers résultats affichés ont

d’aide qui reprennent un ou pluside la liste des résultats.

• L’astérisque (*) remplace n’importe quel nombre ou caractère dans un mot. Decette manière, l’entréeauth, authentique, authentification, authentifier, etc.

• Dans cPar exemple, si vo« fenêtre » au singulier. Afin d’éviter cet inconvénient, vous pouvez utiliser l’astérisque (dans cet exemple, fenêtre*).

Chercher dans l’aide en ligne

A partir de n’importe quelle page de l’interface d’administration web, sélectionnez le bouton d’aide


Navigation dans l’aide en ligne à partir des entrées du clavier

Le tableau 1 répertorie les raccourcis clavier qui permettent d’afficher et trouver les informations souhaitées dans l’aide en ligne.

Tableau 1 : Touches de navigation dans l’aide en ligne

Touche Fonction Alt+1 Affiche la table des matières. Alt+2 Affiche l’index. Alt+3 Affiche le moteur de recherche. Alt+4 Retourne à la page précédente. Alt+5 Passe à la page suivante. Alt+7 Envoie un courrier électronique au centre de

Documentation Technique de Fortinet à [email protected]. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut être envoyé à cette adresse.

Alt+8 Imprime la page ouverte. Alt+9 Ajoute une entrée à cette page d’aide en ligne dans les

marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages d’aide en ligne.

Accès au mode console

L’interface de ligne de commande (CLI), interface basée sur du texte, peut servir d’alternative à l’interface d’administration web. Certaines options ne sont configurables qu’à partir des commandes CLI. Le bouton d’accès au mode console (Console Access) ouvre une application Terminal basée sur Java. L’ordinateur d’administration doit être muni de la version Java 1.3 ou supérieure. Pour plus d’informations sur l’utilisation des commandes CLI, référez-vous au FortiGate CLI Reference.




Illustration 5 : Accès au mode console

Connect Se connecte au boîtier FortiGate à partir de l’interface de ligne de

commande.

Disconnect Se déconnecte au boîtier FortiGate.

Clear screen Efface l’écran.

Déconnexion

Le bouton « Déconnecter » (Logout) vous déconnecte immédiatement de l’interface d’administration web. N’oubliez pas de vous déconnecter avant de fermer la fenêtre du navigateur. Si vous fermez la fenêtre ou quittez l’interface d’administration web sans vous déconnecter, vous restez connecté jusqu’à l’expiration du timeout d’inactivité (par défaut 5 minutes).

Pages de l’interface d’administration web

L’interface d’administration web se compose d’un menu et de pages, qui pour la plupart, possèdent différents onglets (Tabs). Lorsque vous cliquez sur un des éléments du menu (par exemple Système), celui-ci s’ouvre sur un sous-menu. Lorsque vous sélectionnez un des éléments d’un sous-menu, la page associée s’ouvre et affiche le contenu de son premier onglet. Pour visualiser le contenu d’une page différente, cliquez sur son onglet. Les procédures décrites dans ce manuel vous dirigent vers la page désirée en spécifiant l’élément du menu, l’élément du sous-menu et l’onglet. Par exemple :

1 Sélectionnez Système > Réseau > Interface.


Illustration 6 : Les différentes parties de l’interface d’administration web

Menu de l’interface d’administration w

ure l’accès à toutes les majeures d

au, les domaines virtuels, les services DHCP, e.

Routeur Configure le routeur.

Pare-Feu Configure les règles pare-feu et les profils de protection qui

PN Configure les réseaux privés virtuels.

s les règles pare-feu requérant une authentification des utilisateurs. Configure également les serveurs externes d’authentification.

Antivirus Configure une protection antivirus.

Intrusion Protection Configure le système de prévention anti-intrusion.

Filtrage Web Configure le filtrage de contenu web.

Configure les modalités de la journalisation. Affiche des

eb

Le menu proc des options de configuration pour fonctionnalités u boîtier FortiGate. Système Configure les fonctionnalités du système telles que les

interfaces résel’heure du système et les options d’installation du systèm

s’appliquent aux fonctionnalités de protection du réseau. Configure également les adresses IP virtuelles et les plages IP.

V

Utilisateur Configure les comptes utilisateurs utilisés dan

Anti-Spam Configure le filtrage des spams dans les emails

IM / P2P Configure le contrôle des services de messageries Internet et peer-to-peer.

ournaux / Alertes Jmessages journalisés.


Listes

De nombreuses pages de l’interface d’administration web se présentent sous forme de liste. On trouve par exemple des listes des interfaces réseaux, des règlespare-feu, des administrateurs, des utilisateurs, etc. Illustration 7 : Exemple d’une liste de l’interface d’administration web

La liste offre des informations sur chaque élément. Les icônes de la dernière colonne p ettent de modifier le statut de ces éléments. Dans cet exemple, il est possibl de s er Dele(Editer) pour l’éditer. Pour ajouter e ouveau. Une boîte de dialogue s’ouvre pour créer et définir le nouvel élément. Cette boîte de dialogue est similai à celle d’Edition d’un élément existant.

Icônes

Les icônes, é résen d’interagir avec le système. Des conseils sur les outils sont disponibles pour vous aider à psouris r l’ic lisreprend la description des icônes de

Icône Nom Description

erme électionn te (Supprimer) pour supprimer l’élément ou Edit

un nouvel élém nt à une liste, cliquez sur Créer N

re

galement p tes dans l’interface d’administration web, permettent

comsu

rendre la fonctioône pour visua

n de chacune de ces icônes. Placez le curseur de la er le commentaire de l’outil. Le tableau suivant

l’interface d’administration web.

Changer lede Passe

Mot i

fil d’accès vous donne la permission d’attribuer

Modifie le mot de passe administrateur. Cette icône apparaît dans la liste des Administrateurs seulement svotre prodes droits en écriture aux administrateurs.

Supprimer Supprime une ou plusieurs entrées.

Dérouler Cette icône est utilisée dans certaines boîtes de dialogues

et listes pour cacher certains champs. Cliquer sur cette icône fait apparaître les champs cachés.

Formatage des nnes

colonnes à afficher. colo

Sélectionne les

Suppression Supprime un élément. Cette icône apparaît dans des listes où l’élément peut être supprimé et seulement lorsque vous en avez les droits en écriture.

Description du tableau sélectionnée. Affiche la description de l’entrée

Télécharger ou Sauvegarder

Télécharge un fichier journalisé ou sde configuration.

auvegarde un fichier

Télécharger Télécharge une requête de signature d’un certificat.


Editer ou Configurer

apparaît dans les listes pour lesquelles vous avez les droits en écriture Edite une configuration. Cette icône

requis.

Dérouler Déroule une section qui révèle des champs supplémentaires. Cette icône est utilisée dans certaines boîtes de dialogues et listes.

Filtre nes d’un

tableau. Une boîte de dialogue s’ouvre dans laquelle vous pouvez spécifier les filtres désirés. L’icône est verte dans les colonnes où un filtre est activé. Dans le cas contraire, elle est grise.

Insère un filtre sur une ou plusieurs colon

Go Lance une recherche.

Insérer une règle avant

Crée une nouvelle règle qui précède la règle courante.

Déplacer

Déplace un élément de la liste.

Page Suivante Affiche la page suivante de la liste.

Page Précédente

Affiche la page précédente de la liste.

Rafraîchir Met l’information de la page à jour.

Restaurer Restaure la configuration à partir d’un fichier.

Visualiser Visualise une configuration. Cette icône apparaît dans lelistes à la place de l’icône d’Edition dans le cas où vous n’avez p

s

as les droits en écriture requis.

Barre de statuts

nistration web. La barre de statuts se trouve en bas de l’écran de l’interface d’admi Illustration 8 : Barre de statuts

Cette barre affiche :

le nombre d’administrateurs connectés au boîtier Fo• rtiGate. Voir « Contrôle

Enregistreme tAprès avoir acheté et installé un nouvel équipement FortiGate, vous pouvez

atut du

des administrateurs » à la page 180.

• depuis combien de temps le boîtier FortiGate est actif depuis son dernier redémarrage.

n d’un équipement FortiGate

enregistrer celui-ci à partir de l’interface d’administration web. Sélectionnez Enregistrer (« Register ») dans la section Information Licence sur la page StSystème. Vous pouvez aussi procéder à l’enregistrement via le site : http://support.fortinet.com en cliquant sur « Product Registration ».


L’enregistrement consiste à entrer vos coordonnées et le(s) numéro(s) de série

t un sont

enregistrer des équipements additionnels

charger les mises à jour logicielles

A.

ents sont sauvées dans la base de

(Fortinet Customer Support). Ces mise à jour régulière de vos

es informations avec des organisations tiers.

ipements FortiGate bénéficient d’un support tech ue . Pour continuer à bénéficier de ce service de support, des Contrats de re sont en vente chez vos revendeurs et dist teu t. Afin de correspondre à vos besoins, différents nive x dmaximumqui comprenn aissances antivirus et IPS. Pour plus d’info sur les formules et prix, veuillez vous adresser à votre revendeu

l’éq x infoFor er un Contrat de Support FortiCare. Dans ce cas, lors d’un

ajou Un For uméro de contrat de service pour

tiGate

spensables à l’enregistrement d’un FortiGate :

• Nom de la société

de(s) nouveau(x) équipement(s) acquis. Plusieurs enregistrements peuvent êtreintroduits lors d’une seule session. Une fois l’enregistrement accompli, Fortinet vous envoie un compte utilisateur emot de passe Support Login à votre compte de messagerie. Ces donnéesnécessaires pour se connecter au site de support Fortinet afin de :

• visualiser la liste des équipements que vous avez enregistrés

•

• ajouter ou modifier les numéros du Contrat de Support FortiCare (FortiCare Support Contract) pour chaque équipement

• visualiser et modifier les informations entrées lors de l’enregistrement

• télécharger les mises à jour des bases de connaissances antivirus et IPS

télé•

• modifier les informations entrées lors de l’enregistrement après un RM

outes les informations sur les enregistremTdonnées du Support aux Clients Fortinet informations sont utiles pour assurer uneéquipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais c Les propriétaires de nouveaux équ

niq pendant 90 joursSupport FortiCa

ribu rs autorisés Fortineau e support sont disponibles. Pour garantir une protection réseau

, Fortinet recommande à tous ses clients d’acheter un contrat de service e les mises à jour des bases de conn

rmations r ou distributeur Fortinet.

Pour activer un Contrat de Support FortiCare, il est indispensable d’enregistrer uipement FortiGate et d’ajouter le numéro de Contrat de Support FortiCare aurmations sur l’enregistrement. Il est également possible d’enregistrer un tiGate sans achet

l’achat ultérieur d’un Contrat de Support FortiCare, les informations sur l’enregistrement doivent être mises à jour et le numéro du contrat de support

té.

seul Contrat de Support FortiCare peut couvrir plusieurs équipements tiGate. Vous devez alors entrer le même n

tous les modèles couverts par ce contrat.

er un équipement ForEnregistrLes informations suivantes sont indi

• Vos coordonnées, y compris :

• Nom et prénom


• Adresse email (votre compte utilisateur et le mot de passe Support Login

stion de sécurité et sa réponse. Cette information servira en cas de e. La question de sécurité doit être simple et vous seul

ponse. La réponse à cette question ne doit pas être facile à deviner.

1 Sélectionnez Système > Statut.

2 Dans la section Information Licence, sélectionnez Enregistrer à côte de Contrat de Support.

3 Entrez vos informations de contact sur le formulaire d’enregistrement du produit.

4 Introduisez une question de sécurité et sa réponse.

5 Sélectionnez le modèle du produit à enregistrer.

6 Entrez le numéro de série de votre FortiGate.

7 Entrez le numéro de Contrat de Support FortiCare de l’équipement si vous en avez acheté un.

8 Cliquez sur « Suivant ».

Si vous avez entré un numéro de contrat de support, une validation en temps réel a lieu pour vérifier que les informations SCN correspondent à l’équipement FortiGate. Si ce n’est pas le cas, tentez à nouveau d’entrer le numéro de contrat. S’affiche alors une page web qui contient les informations détaillées sur le service de support technique de Fortinet disponible pour l’équipement enregistré. Vos compte utilisateur et mot de passe vous sont envoyés par email à l’adresse entrée avec vos coordonnées.

vous seront envoyés à cette adresse.)

• Adresse

• Numéro de téléphone de contact

• Une queperte du mot de passdevez en connaître la ré

• Le modèle du produit et son numéro de série, et ce pour chaque équipement FortiGate que vous désirez enregistrer. Le numéro de série est situé sur une étiquette au bas du FortiGate. Vous pouvez également visualiser le numéro de série dans l’interface d’administration web, dans Système > Statut ou via la commande CLI get system status.

• Les numéros de Contrats de Support FortiCare achetés pour les équipements que vous voulez enregistrer.


Utilisation de domaines virtuels Cette section décrit comment utiliser des domaines virtuels pour que votre équipement opère comme s’il s’agissait de multiples unités virtuelles, fournissant des pare-feu et services de routage séparément à de multiples réseaux. Cette section couvre les sujets suivants:

• Domaines virtuels

• Activation du mode multiple VDOM

• Configuration des VDOM et des paramètres généraux

Domaines virtuels

Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de multiples unités indépendantes. Il peut fournir des règles pare-feu, des routages et des configurations VPN séparés pour chaque niveau d’organisation. L’utilisation de VDOM peut également simplifier l’administration de configurations complexes. Il est nécessaire d’activer la configuration de domaines virtuels pour configurer et utiliser les VDOM. Voir à ce propos « Activation du mode multiple VDOM » à la page 43. Lors de la création et de la configuration d’un domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter à ce VDOM. Si un VDOM est créé pour servir une organisation, cela permet à l’organisation de gérer sa configuration de manière autonome. Chaque VDOM contient ses propres zones, règles pare-feu, routage, authentification d’utilisateurs et configuration VPN. Chaque domaine virtuel fonctionne de manière similaire à un équipement FortiGate en matière de configuration du paramétrage. Cette séparation simplifie la configuration parce qu’elle évite de gérer de nombreuses règles pare-feu et routes à la fois. Lorsqu’un paquet entre dans un domaine virtuel sur l’équipement FortiGate, il reste limité à ce domaine virtuel. Dans un domaine donné, vous pouvez seulement créer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets ne passent jamais la frontière d’un domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut également être sélectionné séparément sur chaque VDOM. Les autres fonctions du FortiGate sont générales. Elles s’appliquent à tous les domaines virtuels. Cela signifie qu’il existe une seule configuration de prévention anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage de contenu web, une seule configuration de profils de protection etc. Dans le même ordre d’idée, les domaines virtuels partagent les mêmes versions logicielles et bases de connaissances antivirus et IPS. Pour une liste complète des paramètres de configurations partagés, voir « Paramètres de la configuration générale» à la page 42. Votre équipement FortiGate supporte par défaut un maximum de 10 VDOM pour toutes combinaisons des modes NAT/Route et Transparent.


Des clés de licence sont vendues pour tous les modèles FortiGate 3000 et plus (3600, série 5000...) afin d’augmenter le nombre maximum de VDOM jusqu’à 25, 50, 100 ou 250. Pour connaître le nombre maximum de domaines virtuels supporté par votre boîtier FortiGate, veillez à ce que la configuration des domaines virtuels vous le permettent et connectez-vous en tant qu’administrateur admin. Allez ensuite dans Système > Statut et regarder sous Domaine Virtuel dans les Informations sur la Licence. Chaque FortiGate fonctionne par défaut avec un domaine virtuel appelé root. Ce domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN, zones, règles pare-feu, paramètres de routage et paramètres VPN du FortiGate. Les outils d’administration tels que les SNMP, journalisation, emails d’alerte, mises à jour via le FDN ou encore paramétrage du temps via un serveur NTP utilisent des adresses et routage dans le domaine virtuel root pour communiquer avec le réseau. Ils ne peuvent se connecter qu’aux ressources du réseau qui communiquent avec le domaine virtuel d’administration, qui est configuré sur root par défaut. Une fois un nouveau domaine virtuel créé, vous pouvez le configurer en ajoutant des sous-interfaces VLAN, des zones, des règles pare-feu, des paramètres de routage et des paramètres VPN. Vous pouvez également déplacer des interfaces physiques du domaine virtuel root vers d’autres domaines virtuels et déplacer les sous-interfaces VLAN d’un domaine virtuel vers un autre.

Paramètres de configuration des domaines virtuels

Les paramètres de configuration suivants sont propres à un domaine virtuel et ne sont pas partagés entre les domaines virtuels. Un administrateur régulier d’un VDOM ne peut que visualiser ces paramètres, tandis que l’administrateur admin par défaut peut accéder à ces paramètres. Il doit avant tout sélectionner le VDOM qu’il veut configurer.

• Paramètres du Système

• Zones

• Services DHCP

• Mode de fonctionnement (NAT/Route ou Transparent)

• IP d’administration (en mode Transparent)

• Configuration du routeur

• Paramètres des pare-feu

• Règles

• Adresses

• Services prédéfinis, personnalisés et groupés

• Plage horaire

• IP Virtuelle

• Plages IP

• Configuration VPN


• IPSec

• PPTP

• SSL

• Paramètres de l’utilisateur

• Utilisateurs

• Groupes d’utilisateurs

• Serveurs RADIUS et LDAP

• Serveurs Microsoft Windows Active Directory

• Statistiques P2P (visualiser/réinitialiser)

• Configuration de la journalisation, accès aux journaux et rapports.

Paramètres de la Configuration Globale

Les paramètres de configuration suivants impactent tous les domaines virtuels. Seul l’administrateur admin par défaut peut accéder aux paramètres globaux lorsque la configuration des domaines virtuels est activée.

• Paramètres du système

• Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou sous-interface VLAN appartient à un seul VDOM. Chaque VDOM ne peut utiliser ou configurer que ses propres interfaces.)

• Paramètres DNS

• Nom d’hôte, heure du système, version du Microcode (sur la page Statut du Système.)

• Timeout d’inactivité et d’authentification

• Langue de l’interface d’administration web

• PIN du panneau LCD, si applicable.

• Détection de l’échec d’une passerelle

• Configuration HA

• Configuration SNMP

• Messages de remplacement

• Administrateurs (chaque administrateur appartient à un seul VDOM. Chaque VDOM ne peut configurer que ses propres administrateurs.)

• Profils d’accès

• Configuration FortiManager

• Sauvegarde et restauration d’une configuration

• Configuration d’une mise à jour FDN

• Rapport sur les bogues

• Pare-Feu

• Services prédéfinis


• Profils de protection

• Certificats VPN

• Configuration antivirus

• Configuration de la Prévention Anti-Intrusion

• Configuration du filtrage Web

• Configuration Antispam

• Configuration IM

• Statistiques

• Listes et règles utilisateurs

Activation du mode Multiple VDOM A partir du compte administrateur admin par défaut, vous pouvez activer le mode multiple VDOM sur l’équipement FortiGate. Activer la configuration d’un domaine virtuel

1 Connectez-vous en tant qu’admin à l’interface d’administration web.

2 Sélectionnez Système > Admin > Paramètres (Settings).

3 Cochez la case Virtual Domain Configuration pour activer la Configuration de Domaine Virtuel.

4 Cliquez sur Appliquer.

Le boîtier FortiGate vous déconnecte. Vous pouvez maintenant vous reconnecter en tant qu’admin. Lorsque la Configuration de Domaine Virtuel est activée, l’interface d’administration web et l’interface de ligne de commande incorporent les changements suivants :

• Les configurations générales et personnalisées par VDOM sont séparées.

• Seul le compte admin peut visualiser et configurer les options globales.

• Le compte admin peut configurer toutes les configurations VDOM.

• Le compte admin peut se connecter via n’importe quelle interface dans le VDOM root ou via une interface qui appartient à un VDOM pour lequel un compte administrateur régulier a été assigné.

• Un compte administrateur régulier peut uniquement configurer le VDOM qui lui a été assigné et peut accéder au boîtier FortiGate à partir de la seule interface qui appartient à ce VDOM.

Configuration des VDOM et paramètres globaux Lorsque la Configuration du Domaine Virtuel est activée, seul le compte administrateur admin par défaut peut :

• configurer les paramètres généraux

• créer ou supprimer des VDOM

• configurer de multiples VDOM


• attribuer des interfaces à un VDOM

• affecter un administrateur à un VDOM

Un VDOM n’est pas utile s’il ne possède pas au moins deux interfaces physiques ou sous-interfaces VLAN. Seul l’administrateur admin peut attribuer des interfaces physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur régulier peut créer une sous-interface VLAN dans son propre VDOM sur une interface physique de son propre VDOM. Seul l’administrateur admin peut configurer un VDOM à moins qu’un administrateur régulier soit créé et assigné à ce VDOM. Seul l’administrateur admin peut assigner un administrateur à un VDOM. Un compte administrateur régulier dont le profil d’accès contient les droits en lecture et en écriture des utilisateurs Admin est autorisé à créer des administrateurs supplémentaires pour son propre VDOM.

Visualisation, création et édition de domaines virtuels et édition de paramètres globaux

Lorsque vous vous connectez en tant qu’admin et que la Configuration de Domaine Virtuel est activée, l’interface d’administration web affiche la liste des domaines virtuels. Utilisez cette liste pour administrer vos VDOM. Illustration 9 : Liste des domaines virtuels

Configuration Générale

e à celui

Créer un nouveau

nagement Management est indiqué à

i

ui associera

t

Supprimer

Configure les paramètres généraux. L’interface d’administration web affiche un écran similairdécrit dans la section sur l’interface d’administration web (voir « Interface d’administration web » à la page 29.) à la différence que seuls les paramètres généraux sont repris. Cliquez sur << Main Menu pour retourner à la liste des domaines virtuels.

Crée un nouveau domaine virtuel. Tapez un nom et sélectionnez OK. Le VDOM ne doit pas porter le même nom qu’un VLAN ou qu’une zone. Le nom du VDOM ne doit pas dépasser 11 caractères.

Associer le Ma Le Management des Domaines Virtuels est associéau VDOM sélectionné. Lecôté du VDOM choisi. Par défaut il s’agit du root. Splusieurs VDOM sont sélectionnés comme Management, c’est le premier de la liste qle Management des Domaines Virtuels. Le trafic de ce VDOM comprend SNMP, la journalisation, l’envoi d’emails d’alerte, les mises à jour à partir du FDN ele paramétrage de l’heure à partir d’un serveur NTP.

Supprime le VDOM sélectionné. Le VDOM root ne peut pas être supprimé.


Les cases de sélection

ment des Domaines Virtuels.

pour liquez sur << Main

Menu pour retourner à la liste des domaines virtuels. L’interface d’administration web affiche un écran similaire à celui décrit dans la section sur l’interface d’administration web (voir « Interface d’administration

e de statuts au bas de l’écran affiche le VDOM

Ajout d’interfaces

es sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs ysiques. Pour ce faire, l’ administrateur admin doit créer la sous-

e et l’affecter au VDOM requis. Les interfaces font partie des néraux de configuration. Pour plus d’informations sur la création de

u N, voir « Ajout de sous-interfaces VLAN » à la page 87.

cter une interface existante d’un domaine virtuel à un autre, appliquez la c us. Vous ne pouvez pas retirer une interface d’un domaine

st comprise dans l’une des configurations suivantes :

• routage

avant de pouvoir changer

1 onnectez-vous en tant qu’admin.

2

3

4 Cliquez sur le bouton Editer de l’interface à réaffecter.

5 Sélectionnez le Domaine Virtuel auquel l’interface doit être réaffectée.

6 Configurez les autres paramètres comme requis et cliquez sur OK. Voir « Paramètres de l’interface » à la page 63.

Permettent de sélectionner un VDOM soit pour le supprimer soit pour le configurer comme Manage

Name (Nom) Le nom du domaine virtuel. Sélectionnez le nomconfigurer le domaine virtuel. C

web » à la page 29.) à la différence que seuls les paramètres spécifiques à un VDOM sont repris. La barractivé.

Operation Mode (Mode de Le mode de fonctionnement d’un VDOM : NAT Fonctionnement) (NAT/Route) ou Transparent

à un domaine virtuel

Un domaine virtuel doit contenir au moins deux interfaces. Il peut s’agir d’interfaces physiques ou de sous-interfaces VLAN. Toutes les interfaces physiques font par défaut partie du domaine virtuel root. Linterfaces phint rface VLANparamètres géso s-interfaces VLA

Pour réaffepro édure ci-dessovirtuel si cette interface e

• proxy arp

• serveur DHCP

• zone

• règle pare-feu

• plage IP

Il est nécessaire de supprimer ou modifier ces élémentsl’interface de domaine virtuel. Affecter une interface à un domaine virtuel

C

Sélectionnez Configuration Globale.

Sélectionnez Système > Réseau > Interface.


L’interface est affectée au domaine virtuel. Les pare-feu, plages IP et adresses

r

Affectation d’un administra

essources, vous devez créer un compte administrateur pour ce VDOM.

e

2 ale.

dministrateur tel que requis. Pour plus de détails sur la te administrateur, voir « Configuration d’un compte

dministrateur » à la page 170.

5

6

de l’interface d’administration web u de l’interface de ligne de commande. L’administrateur admin peut se connecter

à l’interface d’administration web ou à l’interface de ligne de commande à partir de n’importe quelle interface qui permettent les accès administratifs. Seul l’administrateur admin ou un administrateur régulier du domaine virtuel root peut se connecter à partir de l’interface de la console.

virtuelles IP ajoutés à cette interface sont supprimés. Il est conseillé de supprimemanuellement toutes les routes comprenant cette interface.

teur à un domaine virtuel

Si vous créez un VDOM pour servir une organisation qui désire administrer ses propres r Affecter un administrateur à un VDOM

1 Connectez-vous en tant qu’admin. La Configuration de Domaine Virtuel doit êtractivée.

Sélectionnez Configuration Glob

3 Sélectionnez Système > Admin > Administrateurs.

4 Configurez le compte aconfiguration d’un compa

Sélectionnez dans la liste des Domaines Virtuels le VDOM que cet administrateur devra gérer.

Cliquez sur Appliquer.

Un administrateur régulier assigné à un VDOM peut seulement se connecter aux nterfaces qui appartiennent à ce VDOM à partirio


Statuts du Système Cette section décrit la page Statut du Système, le tableau de bord de votre FortiGate. On y retrouve les statuts en cours du boîtier FortiGate, y compris le numéro de série, l’usage des ressources du système, les informations sur la licence FortiGuard, les messages d’alerte et les informations sur la session. Cette section couvre les sujets suivants:

• Page des statuts

• Modification des informations du système

• Visualisation de l’historique opérationnel

• Mise à jour manuelle des définitions FortiGuard

• Visualisation des Statistiques

Page des statuts La page Statut du Système, également appelée « tableau de bord » reprend les statuts opérationnels en cours du système. Tous les administrateurs FortiGate dont les profils d’accès prévoient les droits en lecture de la configuration du système peuvent visualiser les informations sur les statuts du système. Dans le cas d’un cluster HA, la page des statuts affiche les statuts du membre primaire. Pour visualiser les statuts de tous les membres du cluster, sélectionnez Système > Configuration > HA. Pour plus d’informations sur ce sujet, voir « Haute Disponibilité » à la page 104. La fonction HA n’est pas disponible sur les modèles FortiGate 50A et 50AM. Les administrateurs FortiGate dont les profils d’accès prévoient les droits en écriture de la configuration du système peuvent modifier ou mettre à jour les informations du boîtier FortiGate. Pour plus d’informations sur les profils d’accès, voir « Profils d’administration » à la page 174.

Visualisation des statuts du système

La page Statut du Système s’affiche par défaut lors du démarrage d’une session de l’interface d’administration web. Il existe cependant une exception : dans le cas où la Configuration de Domaine Virtuel est activée, l’administrateur admin visualisera la page Statut du Système seulement après avoir sélectionné Configuration Globale ou un VDOM à administrer. A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page Statut du Système. Pour visualiser cette page, votre profil d’accès doit prévoir les droits en lecture de la configuration du système. Si vous avez également les droits en écriture de la configuration du système, vous pouvez modifier les informations du système et mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus d’informations sur les profils d’accès, voir « Profils d’administration » à la page 174.


Illustration 10 : Statuts du Système

Informations du système Numéro de Série Le numéro de série de l’équipement FortiGate. Ce numéro

est unique pour chaque équipement et ne change pas avec les mises à jour logicielles.

Actif depuis Le temps en jours, heures et minutes depuis le dernier redémarrage de l’équipement FortiGate.

Heure Système La date et l’heure en cours selon l’horloge préprogrammée. Cliquez sur Changer pour modifier l’heure ou configurez le boîtier FortiGate pour qu’il se synchronise avec un serveur NTP. Voir « Paramétrage des date et heure » à la page 51.

Nom d’hôte Le nom d’hôte actuel de l’équipement FortiGate. Cliquez sur Changer pour le modifier. Voir « Modification du nom d’hôte du boîtier FortiGate » à la page 52.

Version de Code La version du microcode installé sur votre FortiGate. Cliquez sur Update (Mettre à jour) pour changer le logiciel. Voir « Mise à jour logicielle » à la page 53.

Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit NAT, soit Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-versa. Voir « Modification du mode de fonctionnement » à la page 166.

Information sur la licence

Les indicateurs du statut de la licence sont verts quand tout est en ordre, gris s’il n’y a pas de licence ou jaune/rouge clignotant si le boîtier FortiGate ne peut pas se connecter au service. Contrat de Support Le numéro du contrat de support et sa date d’expiration.

S’il n’y a pas de date affichée, sélectionnez Enregistrer (Register) pour enregistrer votre équipement. Si la mention Renouveler (Renew) s’affiche, vous devez renouveler votre contrat de support. Contactez alors votre revendeur local.


Souscriptions FortiGuard

AntiVirus La version du contrat, la date d’émission et les statuts du service.

Définitions AV La version installée des Définitions AntiVirus FortiGate. Pour mettre à jour ces définitions manuellement, cliquez sur Update (Mettre à jour). Pour plus d’informations, voir « Mise à jour manuelle des Définitions AV FortiGuard » à la page 56.

Protection anti-intrusion La version du contrat, la date d’émission et les statuts du service.

Définitions IPS La version installée des Définitions des attaques IPS. Pour mettre à jour ces définitions manuellement, cliquez sur Update (Mettre à jour). Pour plus d’informations, voir « Mise à jour manuelle des Définitions IPS FortiGuard » à la page 56.

Filtrage Web Type de la licence, date d’expiration et statuts du service.

AntiSpam Type de la licence, date d’expiration et statuts du service.

Domaine Virtuel Le nombre de domaines virtuels supportés par le boîtier FortiGate. Il est possible d’acheter une clé de licence chez Fortinet pour augmenter le nombre maximum de VDOM pour les FortiGate 3000 et plus. Voir « Licence » à la page 193. Seul l’administrateur admin peut accéder à cette information si la Configuration de Domaine Virtuel est activée.

Ressources

Les ressources du système n’apparaissant pas sur la page Statut sont accessibles sous forme de graphiques à partir de l’icône Historique. Icône Historique Affiche des représentations graphiques du taux CPU, du

taux mémoire, des sessions et du taux d’utilisation réseau les plus récents. Cette page reprend également les détections des virus et attaques de ces 20 dernières heures. Pour plus d’informations, voir « Visualisation de l’historique opérationnel » à la page 55.

Taux CPU Le statut du taux CPU en cours s’affiche sous la forme d’un compteur de vitesse et en pourcentage. L’interface d’administration web reprend les taux CPU pour les processus majeurs uniquement. Les taux CPU pour les processus administratifs (par exemple pour les connexions HTTPS vers l’interface graphique) sont exclus.

Taux Mémoire Le statut du taux de la mémoire en cours s’affiche sous la forme d’un compteur de vitesse et en pourcentage. L’interface d’administration web reprend les taux mémoire pour les processus majeurs uniquement. Les taux mémoire pour les processus administratifs (par exemple pour les connexions HTTPS vers l’interface graphique) sont exclus.

Quota du disque Le statut en cours du quota du disque du FortiAnalyzer FortiAnalyzer s’affiche sous la forme d’un diagramme

circulaire et en pourcentage. Ceci est uniquement disponible si vous avez configuré la journalisation sur un boîtier FortiAnalyzer.


Réactualiser l’affichage toutes les

Cette fonction détermine l’intervalle de temps entre les mises à jour automatiques de la page Statut. Sélectionnez Réactualiser pour mettre la page à jour instantanément.

Statuts des Interfaces

Une représentation du panneau avant du boîtier reprend les statuts des interfaces du boîtier. Un port réseau d’une interface apparaissant en vert signifie que l’interface est connectée. Placez le curseur de la souris sur le port pour visualiser l’adresse IP, le masque de réseau et le statut actuel de l’interface. A droite de la représentation du panneau avant du boîtier, relié par une ligne de connexion, est illustré un autre panneau, celui représentant le FortiAnalyzer. Si le boîtier FortiGate a été configuré pour envoyer des journaux au FortiAnalyzer, celui-ci apparaît foncé. Dans le cas contraire, il apparaît en gris. Une marque en V verte sur la ligne de connexion indique que la connexion entre le boîtier et le FortiAnalyzer est activée. Dans le cas contraire, une croix rouge apparaît sur la ligne de connexion.

Console de message d’alerte

Les messages de types suivants peuvent apparaître dans la rubrique « Console de message d’alerte». Redémarrage système Le système a redémarré. Ceci peut être dû à une

action de l’opérateur ou un cycle de courant off/on.

Firmware updated by L’administrateur nommé a procédé à une mise à jour <nom_admin > logicielle sur la partition active ou non active. Firmware downgraded by L’administrateur nommé a procédé à un retour logiciel <nom_admin > sur la partition active ou non active. FortiGate has reached connection Le moteur Antivirus disposait de peu de mémoire limit for <n> seconds pendant la durée du temps indiqué. Dans ces

conditions et selon les modèles et configurations, le contenu peut avoir été bloqué ou être passé sans avoir été analysé.

Pour chaque message, la date et l’heure de sa parution sont indiquées. S’il n’y a pas assez d’espace pour visualiser tous les messages, cliquez sur Tout Voir afin que s’ouvre une nouvelle fenêtre avec la liste complète des messages. Pour effacer les messages d’alerte, cliquez sur Tout Voir, ensuite sur l’icône Supprimer les messages d’alerte, en haut de la nouvelle fenêtre.

Statistiques Depuis La date et l’heure de la relance des compteurs. Les

compteurs sont relancés lors d’une réinitialisation du système FortiGate.

Icône Remise à zéro Remet à zéro les compteurs du Journal des Archives et des Attaques.

Sessions Le nombre de sessions de communication FortiGate en cours. Sélectionnez Détails pour visualiser des


informations plus complètes. Voir « Visualisation de la liste de session » à la page 57.

Archive de contenu Un résume du trafic archivé par le boîtier FortiGate. Les pages Détails répertorient les 64 derniers éléments et fournissent un lien vers le FortiAnalyzer où le trafic archivé est mémorisé. Si vous n’avez pas configuré de connexion au FortiAnalyzer, les pages Détails prévoient un lien vers Journaux / Alertes > Configuration > Configuration du Journal.

Journal des attaques Un résumé des virus, attaques, messages emails spams et URL que le boîtier FortiGate a intercepté. Les pages Détails répertorient les 10 derniers éléments, fournissant l’heure, la source, la destination et autres informations.

Opération Système

Les opérations suivantes peuvent être accomplies par les administrateurs dont le profil d’accès comprend les droits en écriture de configuration du système. Reboot Redémarre le boîtier FortiGate.

Shutdown Eteint le boîtier FortiGate, stoppant le flux du trafic. Pour redémarrer le boîtier FortiGate, couper et re-brancher ensuite le courant.

Réinitialiser aux paramètres Redémarre le boîtier FortiGate avec sa configuration par défaut initiale. Cette procédure supprime tous les

changements apportés à la configuration. Seules la version logicielle et les définitions d’antivirus et d’attaques sont maintenues.

Sélectionnez dans la liste Opération Système l’opération désirée et cliquez ensuite sur Go.

Modification des informations du système Les administrateurs dont le profil d’accès comprend les droits en écriture de configuration du système peuvent procéder aux modifications suivantes : date et heure du système, nom d’hôte et mode de fonctionnement d’un VDOM.

Paramétrage des date et heure


2 Dans la section Information, cliquez sur Changer à côté du champ Heure Système.

3 Sélectionnez votre fuseau horaire. Vous avez ensuite le choix entre paramétrer manuellement la date et l’heure ou configurer votre FortiGate pour qu’il se synchronise avec un serveur NTP.


Illustration 11 : Paramétrage des date et heure

La date et l’heDate et heure du système ure actuelle du système FortiGate

Fuseau horaire raire applicable.

utomatiquement lors du passage à l’heure d’été/l’heure d’hiver

r,

Synchronisation avec le serveur NTP un serveur NTP pour paramétrer les date et heure

quement. Spécifiez le serveur et l’intervalle de isation désirés.

eur

alle de Sync Spécifiez le nombre de fois que le boîtier FortiGate synchronise ses paramètres date et heure avec le

minutes entraîne un synchronisation quotidienne.

Modification du n e

Le nom d’hôte du boîtier FortiGate apparaît sur la page Statut et sur l’écran lors

« SNMP » à la page 152. Le nom d’hôte par défaut est le nom du modèle, par exemple boîtier FortiGate-300. Les administrateurs dont le profil d’accès prévoit les droits en écriture peuvent modifier le nom d’hôte du FortiGate.

Actualiser Mise à jour instantanée de la date et l’heure du système.

Sélectionnez le fuseau ho

Ajuster a Ajuste automatiquement l’horloge du FortiGate lors du passage à l’heure d’été.

Réglage Remplissez les champs heure, minute, seconde, jou

mois, année.

Sélectionnez cette option si vous désirez utiliser

automatisynchron

Serveur Entrez l’adresse IP ou un nom de domaine d’un servNTP. Pour trouver le bon serveur NTP, voir http://www.ntp.org

Interv

serveur NTP. Par exemple, définir un intervalle de 1440

om d’hôte du boîtier FortiGat

d’une connexion en CLI. Le nom d’hôte est également utilisé comme nom de système SNMP. Pour plus d’informations sur le SNMP, voir

Remarque : Si votre FortiGate fait partie d’un cluster HA, il est conseillé de lui attribuer un nom unique pour le distinguer des autres équipements du cluster.


1 Sélectionnez Système > Statut > Statut.

2 Dans le champ Nom d’Hôte de la section Informations sur le Système, sélectionnez Changer.

3 Dans le champ Nouveau Nom, entrez un nouveau nom d’hôte.

4 Cliquez sur OK.

5 Le nouveau nom d’hôte s’affiche dans le champ Nom d’Hôte et sur l’écran lors d’une connexion en CLI. Il est également ajouté au Nom de Système SNMP.

Modification du logiciel FortiGate Les administrateurs FortiGate dont le profil d’accès prévoit les droits en écriture et lecture peuvent modifier le logiciel FortiGate. Les modifications du logiciel portent soit sur une mise à jour logicielle vers une version plus récente ou soit sur une révision vers une version précédente. Les procédures de modifications sont décrites ci-dessous.

• Mise à jour logicielle

• Retour à une version logicielle antérieure

Mise à jour logicielle

La procédure suivante vous guide dans une mise à jour vers une nouvelle version logicielle.

Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure « Mettre à

e ces

2 e d’administration web en tant qu’administrateur admin ossède les droits en lecture et en écriture

te

et le nom de fichier de l’image logicielle ou sélectionnez ourir) pour localiser ce fichier.

6

a page

re prend quelques minutes.

jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assurer qubases de connaissance sont à jour.

Mettre le logiciel à jour à partir de l’interface d’administration web

1 Copiez le fichier de l’image logicielle sur votre poste d’administration.

Connectez-vous à l’interfacou sous un compte administrateur qui pde configuration système.


4 Dans la section Informations sur le Système (ou Statut), sélectionnez Upda(Mettre à jour) dans la ligne Version du Code.

5 Tapez le chemin « Browse » (Parc

Cliquez sur OK.

Le boîtier FortiGate télécharge le fichier de l’image logicielle, installe la nouvelleversion logicielle, ferme toutes les sessions, redémarre et affiche ld’ouverture d’une session FortiGate. Cette procédu

7 Connectez-vous à l’interface d’administration web.


8 Sélectionnez Système > Statut et vérifiez la version du code pour vous assurer du succès de l’installation de la mise à jour.

9 Mettez les bases de connaissance antivirus et IPS à jour. Pour plus d’informations uard » à la page 183.

Retour à une vers

on

ces informations,

FortiOS v3.0 à FortiOS v2.80), il y a un risque que la configuration antérieure ne

sur ce sujet, voir « Centre FortiG

ion logicielle antérieure

Les procédures suivantes permettent d’équiper le boîtier FortiGate d’une versionantérieure du logiciel. Notez que cela entraîne la restauration de la configuratipar défaut du boîtier FortiGate et la suppression des signatures personnaliséesIPS, de la base de données de filtrage web et antispam et des changements

pportés aux messages de remplacement. Pour préserverasauvegardez la configuration de votre FortiGate. Pour plus d’informations à cesujet, voir « Sauvegarde et Restauration » à la page 181. Si vous retournez à une version antérieure FortiOS (par exemple, passer de

puisse être restaurée à partir de la sauvegarde du fichier de configuration.

Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la ouvelle version logicielle. Après la mise à jn our logicielle, utilisez la procédure « Mettre à

rer que ces

Retourner à une version logicielle antérieure à partir de l’interface

Copiez le fichier de l’image logicielle sur votre poste d’administration.

2

jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assubases de connaissance sont à jour.

d’administration web

1

Connectez-vous à l’interface d’administration web du FortiGate.

Remarque : La procédure suivante nadministrateur admin ou d’un compte

écessite que vous vous connectiez à partir du compte administrateur qui possède tous les droits d’accès en

formations sur le Système (ou Statut), sélectionnez Update ns la ligne Version du Code.

3

uelques minutes.

dministration web.

6 assurer du

lecture et écriture de la configuration du système.


2 Dans la section In(Mettre à jour) da

Tapez le chemin et le nom du fichier de l’image logicielle, ou sélectionnez « Browse » (Parcourir) pour localiser ce fichier.

4 Cliquez sur OK.

Le boîtier FortiGate télécharge le fichier de l’image logicielle, retourne à la version antérieure du logiciel, redémarre et affiche la page d’ouverture d’une session FortiGate. Cette procédure prend q

5 Connectez-vous à l’interface d’a

Sélectionnez Système > Statut et vérifiez la version du code pour voussuccès de l’installation du logiciel.

7 Restaurez votre configuration.


Pour plus d’informations sur la restauration de votre configuration, voir « Sauvegarde et Restauration » à la page 181.

8 Mettez à jour les bases de connaissance antivirus et IPS.

ettre à

Visualisation de l’historique opérationnel urces du Système affiche six graphiques

au.

1 électionnez Système > Statut.

2 ction Ressources.

Illustration 12 : Exemple de l’historique des ressources du système

Pour plus d’informations sur les définitions des antivirus et attaques, voir « Mjour les bases de connaissances antivirus et IPS » à la page 189.

La page de l’Historique des Ressoreprésentant les ressources du système et son activité protection du rése

S

Cliquez sur l’icône Historique dans le coin en haut à droite de la se

Time Interval Sélectionnez l’intervalle de temps que vous voulez

ue du taux mémoire Usage Mémoire pendant l’intervalle précédent.

ns nt.

ation nt.

endant l’intervalle

Mise à jour manuelle des définitions FortiGuard t

mations sur la Licence de la page Statut du Système. Pour configurer une mise à jour automatique des fichiers de définitions par le boîtier FortiGate, voir « Centre FortiGuard » à la page 183.

voir illustrer dans les graphiques.

Historique du taux CPU Usage CPU pendant l’intervalle précédent.

Historiq

Historique des sessio Nombre de sessions pendant l’intervalle précéde

Historique du taux d’utilis Utilisation du réseau pendant l’intervalle précéderéseau

Historique des virus Nombre de virus détecté(s) pprécédent.

Historique des attaques Nombre de tentatives d’intrusions détectée(s) pendant l’intervalle précédent.

Vous pouvez mettre à jour les bases de connaissance FortiGuard – Antivirus eFortiGuard – IPS à tout moment à partir de la section d’Infor


Mise à jour manuelle des définitions AV FortiGuard

Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à

1 argez le fichier de mise à jour des définitions des derniers antivirus sur le

3 s AV des

4 jour, tapez le chemin et le nom du fichier de mise

5 le

6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour

Mise à jour manuelle des définitions IPS FortiGuard

jour des définitions antivirus, voir « Centre FortiGuard » à la page 183.

Téléchsite de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administrationweb.

2 Démarrez l’interface d’administration web et sélectionnez Système > Statut >Statut.

Dans la section Information sur la Licence, dans le champ Définitionsouscriptions FortiGuard, sélectionnez Update (Mettre à jour).

La boîte de dialogue Mettre à jour les définitions antivirus s’ouvre.

Dans le champ Fichier de mise à à jour des définitions antivirus. Vous pouvez également sélectionnez Browse (Parcourir) et localisez le fichier.

Cliquez sur OK pour copier le fichier de mise à jour des définitions antivirus sur boîtier FortiGate.

Le boîtier FortiGate met à jour les définitions AV. Cela prend environ 1 minute.

de la version du FortiGuard – Antivirus.

Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à

1 argez le fichier de mise à jour des définitions des dernières attaques sur le

3 IPS des

4 jour, tapez le chemin et le nom du fichier de mise

5

6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour de la version du FortiGuard – IPS.

jour des définitions IPS (attaque), voir « Centre FortiGuard » à la page 183.

Téléchsite de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administrationweb.

2 Démarrez l’interface d’administration web et sélectionnez Système > Statut > Statut.

Dans la section Information sur la Licence, dans le champ Définitionssouscriptions FortiGuard, sélectionnez Update (Mettre à jour).

La boîte de dialogue Mettre à jour les définitions d’attaque s’ouvre.

Dans le champ Fichier de mise à à jour des définitions des attaques. Vous pouvez également sélectionnez Browse(Parcourir) et localisez le fichier.

Cliquez sur OK pour copier le fichier de mise à jour des définitions des attaques sur le boîtier FortiGate.

Le boîtier FortiGate met à jour les définitions IPS. Cela prend environ 1 minute.


Visualisation des Statistiques Les Statistiques de la page Statut du Système fournissent des informations sur les sessions, les archives de contenu et l’activité protection réseau.

Visualisation de la liste des sessions

La liste des sessions affiche des informations sur les sessions de communication en cours sur le boîtier FortiGate.

Visualiser la liste des sessions


2 Dans la section Statistiques, cliquez sur Détails dans la ligne Sessions.

Illustration 13 : Liste des Sessions

Virtual Domain Sélectionnez un domaine virtuel pour en répertorier les

iser les ’est

Icône Rafraîchir

Page précédente

Page suivante

arquant le début

us les filtres

’exception de # et ônes pour ouvrir la

tres vous permettant onne.

ple, udp,

Port Source

ination

Identifiant de règle plique une seule interface

FortiGate (session admin par exemple).

Expire (sec) Le temps, en secondes, avant que la connexion expire.

sessions en cours. Sélectionnez Tous pour visualsessions utilisées par tous les domaines virtuels. Ceci npossible que si de multiples domaines virtuels sont activés.

Met à jour la liste des sessions.

Affiche la page précédente de la liste des sessions.

Affiche la page suivante de la liste des sessions.

Ligne Entrez le numéro de la ligne de la session mde la liste des sessions affichées. Par exemple, dans le cas où il y a 5 sessions et vous entrez le numéro 3, seules les sessions 3, 4 et 5 seront affichées. Le nombre suivant le « / » est le nombre de sessions actives sur le boîtier FortiGate.

Supprimer to Annule tous les filtres d’affichage installés.

Icône Filtre Toutes les icônes en haut des colonnes à lExpiration. Sélectionnez une de ces icboîte de dialogue d’Edition de Fild’installer des filtres d’affichage par col

Protocole Le protocole de service sur la connexion, par exemtcp ou icmp.

Adresse Source L’adresse IP source de la connexion.

Le port source de la connexion.

Adresse Dest L’adresse IP de destination de la connexion.

Port Destination Le port de destination de la connexion.

Le nombre de règles pare-feu permettant cette session. Le champ reste vide si la session im


Icône de suppression Met fin à une sd’acc

ession de communication active. Votre profil ès doit comprendre les droits en lecture et en écriture

Visualisation des

e. afic

rmet d’effacer les s attaques et de

Visualisation des archives de contenu HTTP


2 Dans la section Archive de Contenu, cliquez sur Détails à côté de HTTP.

de la configuration du système.

Archives de Contenu

Les statistiques portant sur les trafics HTTP, email, FTP et IM à travers le boîtier FortiGate sont visibles dans la section Statistiques de la page Statut du SystèmPour en savoir plus sur chaque type de trafic, cliquez sur Détails à côté du trconcerné.

L’icône Remise à zéro en haut de la section Statistiques pearchives de contenu et les informations sur les journaux deremettre les compteurs à zéro.

Date La date et l’heure de l’accès à l’URL.

a été accédée.

Visualisation des archives de contenu email

1 électionnez Système > Statut > Statut.

2 on Archive

Source L’adresse IP à partir de laquelle l’URL

URL L’URL accédée.

S

Dans la secti de Contenu, cliquez sur Détails à côté d’Email.

Date La date et l’heure du

FortiGate. passage de l’email à travers le boîtier

Destination L’adresse email du destinataire.

Sujet Le sujet de l’email.

Source L’adresse email de l’émetteur.


Visualisation des archives de contenu FTP


2 Dans la section Archive de Contenu, cliquez sur Détails à côté de FTP.

Date La date et l’heure de l’accès.

Destination L’adresse IP du serveur FTP accédé.

té au serveur FTP.

Téléchargement Les noms des fichiers téléchargés.

s envoyés vers un serveur.

Visualisation des archives de contenu IM

1 Système > Statut > Statu

2 on Archive de

Utilisateur L’ID de l’utilisateur s’étant connec

Envoie vers un serveur Les noms des fichier

Sélectionnez t.

Dans la secti Contenu, cliquez sur Détails à côté d’IM.

Date / Time La date et l’heure de l’accès.

rotocole utilisé lors de la session IM.

irection Indique si le fichier a été envoyé ou reçu.

Visualisation du J

Les statistiques portant sur les attaques réseaux bloquées par le boîtier FortiGate e la page Statut du Système. Pour en quez sur le lien Détails de l’attaque

er les rchives sur le contenu et les journaux des attaques, et de remettre les compteurs

Protocol Le p

Kind Le type de trafic IM constituant la transaction.

Local L’adresse locale de la transaction.

Remote L’adresse distante de la transaction.

D

ournal des Attaques

sont visibles dans la section Statistiques dsavoir plus sur chaque type d’attaques, cliconcernée. L’icône Remise à zéro en haut de la section Statistiques permet d’effacaà zéro.


Visualisation des virus attrapés


2 r Détails à côté d’AV.

la détection du virus.

L’adresse email ou l’adresse IP du destinataire visé.

s .

sation des a es


2 z sur Détails à côté d’IPS.

la détection de l’attaque.

L’hôte cible de l’attaque.

Le typ

Le typ

1 stème > Statut > Statu

2 ez sur Détails à côté de Spam.

eure de la détection du spam.

visé.

e -> A comptes email Les adresses email de l’émetteur et du destinataire visé.

e de SPAM


2 Dans la section Journal des attaques, cliquez sur Détails à côté de Web.

Date et heure La date et l’heure de la détection de la tentative d’accès de

l’URL.

De L’hôte qui a tenté d’accéder à l’URL.

URL Bloquées L’URL bloquée.

Sélectionnez t.

Dans la section Journal des attaques, cliquez su

Date & heure La date et l’heure de

De L’adresse email ou l’adresse IP de l’émetteur.

A

Service Le type de service, tel que POP ou HTTP.

Viru Le nom du virus détecté

Visuali ttaques bloqué

Sélectionnez t.

Dans la section Journal des attaques, clique

Date & heure La date et l’heure de

De La source de l’attaque.

A

Service e de service.

Attaque e d’attaque détectée et bloquée.

Visualisation des spams bloqués

Sélectionnez Sy t.

Dans la section Journal des attaques, cliqu

Date & heure La date et l’h

De -> À IP Les adresses IP de l’émetteur et du destinataire

D

Service Le type de service, tel que SMTP, POP ou IMAP.

Typ Le type de spam détecté.

Visualisation des URL bloquées


Système > Réseau Cette section vous guide dans la configuration de votre FortiGate pour opérer sur votre réseau. Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et des paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces VLAN et de zones à la configuration réseau du FortiGate. Cette section couvre les sujets suivants :

• Interface

• Zone

• Options

• Table de routage (en mode Transparent)

• Configuration de l’interface modem

• Aperçu sur les VLAN

• VLAN en mode NAT/Route

• VLAN en mode Transparent

• Support FortiGate IPv6

Remarque : Certains champs permettent d’entrer l’adresse IP et le masque de réseau en une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de réseau. Par exemple, 192.168.1.100/255.255.255.0 peut également être entré sous 192.168.1.100/24.

Interface En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer les interfaces FortiGate. Il vous est possible de :

• agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour les modèles 800 et plus).

• combiner des interfaces physiques en une interface redondante

• ajouter et configurer des sous-interfaces VLAN

• modifier la configuration d’une interface physique

• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM uniquement).

Remarque : A moins d’une directive contraire, dans cette section, le mot « interface » réfère

Pour toute information sur les VLAN en mode Transparent, voir « VLAN en

aussi bien à une interface FortiGate physique qu’à une sous-interface FortiGate VLAN.

• Pour toute information sur les VLAN en mode NAT/Route, voir « VLAN en mode NAT/Route » à la page 85.

•mode Transparent » à la page 88.


Illustration 14 : Liste des interfaces – pour un administrateur régulier

Illustration 15 : Liste des interfaces – pour un administrateur admin avec la

onfiguration de Domaine Virtuel activée C

Créer Nouveau

grégée IEEE 802.3ad pour

Icône Description cette interface.

om te.

ace : t

rt1 par exemple.

page

i sous

ins d’être l’administrateur admin, et si la Configuration de

IP / masque rface.

s

Crée une sous-interface VLAN.

Possibilité de créer une interface ales modèles 800 et plus.

L’aide en ligne de cette icône affiche le champ de Description pour

N Les noms des interfaces physiques de votre boîtier FortiGaLes nombre et noms de ces interfaces dépendent du modèle. Certains noms indiquent la fonction par défaut de l’interfInternal, External, DMZ par exemple. D’autres noms songénériques : po

Les modèles FortiGate 50 et 60 fournissent une interfacemodem. Voir « Configuration de l’interface modem » à la 79.

L’interface oob/ha est l’interface de gestion hors bande du modèle FortiGate 4000. Vous pouvez vous connecter à cette interface pour gérer votre équipement FortiGate. Cette interface est également disponible comme interface de heartbeat HA.

Sur les modèles 800 et plus, si plusieurs interfaces sont combinées en une interface agrégée, seule celle-ci sera répertoriée (et non pas les interfaces composantes). La même chose s’applique pour les interfaces redondantes. Voir « Création d’une interface agrégée 802.3ad » à la page 66 ou « Création d’une interface redondante » à la page 67.

Si vous avez ajouté des sous-interfaces VLAN, celles-capparaissent aussi dans la liste des noms, juste en desde l’interface physique ou agrégée à laquelle elles ont été ajoutées. Voir « Aperçu sur les VLAN » à la page 84.

A moDomaine Virtuel est activée, les informations disponibles concernent uniquement les interfaces de votre domaine virtuel.

L’adresse IP et le masque de réseau actuels de cette inte

Accè La configuration de l’accès administratif de l’interface.


tif, d’une interface » à la page

Le domaine virtuel auquel l’interface appartient. Cette colonne n’est visible que par l’administrateur admin et ce, uniquement lorsque la Configuration de Domaine Virtuel est activée.

L’état administratif de l’interface. Une flèche verte indique que e

pas

Paramètres de l’interface

Pour configurer une interface, sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau pour créer une nouvelle interface. Pour éditer une interface existante, sélectionnez l’icône Editer de cette interface. Il est impossible de créer une interface virtuelle IPSec ici. Mais vous pouvez en spécifier les adresses de terminaison, activer l’accès administratif et fournir une description. Voir « Configuration d’une interface IPSec virtuelle» à la page 72. Illustration 16 : Paramètres d’une interface

Pour toute information sur les options de l’accès administravoir « Contrôler l’accès administratif 74.

Domaine Virtuel

Etat l’interface est active et peut accepter le trafic réseau. Unflèche rouge indique que l’interface est inactive et ne peut accepter le trafic réseau. Pour modifier l’état administratif, sélectionnez Activer ou Désactiver.

Icônes Supprimer, Supprime, édite ou visualise une entrée. Editer et Visualiser

Entrez un nom pour l’interface. Il n’est pas possible de Nom de l’interface

Type faces VLAN, agrégées 802.3ad et redondantes.

Type.

modifier le nom d’une interface existante.

Sur les modèles 800 et plus, vous pouvez créer des inter

Sur les modèles WiFi-60A et WiFi-60AM, vous pouvezcréer des interfaces sans fil.

Certains modèles ne supportent que la création d’interface VLAN et n’affichent alors pas le champ


Si vous désirez créer une interface agrégée, voir « Création d’une interface agrégée 802.3ad » à la pag66.

Si vous désirez créer une interface redondante, voir « Création d’une interface redondante» à la page 67

e

.

Interface Une faces,

tre 1 et 4096, doit correspondre

Domaine Virtuel

e commande lorsque la Configuration de ns sur

Mode d’adressage statique d’une interface,

eau ous-

DDNS urer pour cette interface. Des

ur la configuration DDNS, voir «

Ping r serelle,

formations sur la détection de l’échec

Si vous désirez créer une interface sans fil, voir « Création d’une interface sans fil» à la page 68.

Il est impossible de modifier le type d’une interface existante.

Sélectionnez le nom de l’interface physique à laquelle vous voulez adjoindre une sous-interface VLAN. fois créé, le VLAN est repris dans la liste des interen dessous de son interface physique. Il est impossible de modifier l’interface d’une sous-interface VLAN existante.

ID VLAN Entrez l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à cette sous-interface VLAN. Il est impossible de modifier l’ID d’une sous-interface VLAN existante.

L’ID VLAN, se situant enà l’ID VLAN ajoutée par le routeur IEEE 802.1Q-compliant ou connecté à la sous-interface VLAN.

Pour plus d’informations sur les VLAN, voir « Aperçu sur les VLAN » à la page 84.

Sélectionnez le domaine virtuel auquel la sous-interfaceVLAN appartient. Seul l’administrateur admin peut effectuer cettDomaine Virtuel est activée. Pour plus d’informatioles domaines virtuels, voir « Utilisation des domaines virtuels » à la page 40.

Pour configurer une adresse IP sélectionnez Manuel et entrez adresse IP/masque de réseau dans le champ prévu à cet effet. L’adresse IP doit être sous le même sous-réseau que le résauquel l’interface se connecte. Deux interfaces nepeuvent pas avoir leurs adresses IP sur le même sréseau.

Pour plus d’informations sur la configuration d’un adressage dynamique, voir « Configuration DHCP d’une interface » à la page 69 ou « Configuration PPPoE d’une interface » à la page 70.

Cochez la case Activer à côté de DDNS pour configun service DNS Dynamiquechamps additionnels sont affichés. Pour plus d’informations sConfiguration d’un service DNS Dynamique d’uneinterface » à la page 72.

Serveu Pour activer la détection de l’échec d’une pasentrez l’adresse IP du routeur du prochain saut sur le réseau connecté à l’interface et cochez la case Activer. Pour plus d’in


d’une passerelle, voir « Détection de l’échec d’passerelle » à la page 76.

Sélectionnez les types d’accès administratifs permis scette interface.

une

Administration ur

S interface.

t

t peuvent

SSH

SNMP

TELNET

MTU

s en diminuant le MTU

ur

P mode

rrespondre à la nouvelle.

fic à partir ou vers l’interface. Pour enregistrer des journaux, vous devez activer la

lisation du trafic vers une destination et fixer le sévérité de la journalisation à Notification ou

ge

res maximum.

HTTP Permet des connexions HTTPS sécurisées vers l’interface d’administration web à travers cette

PING L’interface répond aux requêtes Ping. Cette fonctionnalité vous permet de vérifier votre installation ede la tester.

HTTP Permet des connexions HTTP vers l’interface d’administration web à travers cette interface. Les connexions HTTP ne sont pas sécurisées eêtre interceptées par des tiers.

Permet des connexions SSH vers l’interface de commande en ligne à travers cette interface.

Permet à un superviseur SNMP distant de solliciter des informations SNMP en se connectant à cette interface. Voir « Configuration SNMP » à la page 153.

Permet des connexions Telnet vers le CLI à travers cette interface. Les connexions Telnet ne sont pas sécurisées et peuvent être interceptées par des tiers.

Ce champ n’est disponible que sur les interfaces physiques. Pour améliorer la performance réseau, vous pouvez modifier l’unité maximum de transmission (MTU)des paquets que le boîtier FortiGate transmet. Idéalement le MTU devrait être identique au plus petit MTU de tous les réseaux entre le boîtier FortiGate et les destinations des paquets. Les plus grands paquets envoyés seront fragmentés, ce qui ralentit la transmission. Procédez à des testjusqu’à trouver la taille du MTU qui fournit la meilleure performance réseau.

Pour modifier le MTU, sélectionnez Remplacer la valeMTU par défaut (1500) et entrez une nouvelle taille du MTU. La taille du MTU varie entre 68 et 1500 octets en mode manuel, entre 576 et 1500 octets en mode DHCet entre 576 et 1492 octets en mode PPPoE. EnTransparent, si vous modifiez le MTU d’une interface, vous devez modifier le MTU de toutes les interfaces pour co

Journaliser Sélectionnez Journaliser pour enregistrer les journaux pour tout tra

journaniveau de plus bas. Sélectionnez Journaux/Alertes > Journal pour configurer les types et destinations de journalisation. Pour plus d’informations sur les journalisations, voir « Journaux et Alertes» à la pa409.

Description Facultativement, entrez une description de 63 caractè


Création d’une in

menter la vantage de panne

ces doivent se n iel FortiGate des

n

si :

e ou redondante

• elle est dans le même VDOM que l’interface agrégée

• elle n’est pas reprise dans une règle pare-feu, VIP, IP Pool ou multicast

rtbeat HA

, elle n’est plus reprise dans la liste

u > Interface nfigurable us être incluse dans les règles pare-feu, VIP, IP pools

terface agrégée 802.3ad

Vous pouvez agréger (combiner) deux ou plusieurs interfaces pour augbande passante et fournir quelques redondances de lien. Cela offre l’ad’une plus grande bande passante mais augmente le risque de points potentiels par rapport aux interfaces redondantes. Les interfaco necter à la même destination du prochain saut. Le logicmodèles 800 et plus implémentent le standard 802.3ad pour une agrégation de lie s.

Une interface est disponible pour agrégation uniquement

• il s’agit d’une interface physique et non pas d’une interface VLAN

• elle ne fait pas déjà partie d’une interface agrégé

• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE

• elle n’a pas de serveur DHCP ou de relais configuré

• elle n’a pas de sous-interfaces VLAN

• il ne s’agit pas d’une interface de hea

Lorsqu’une interface fait partie d’une agrégation. Elle n’est plus code la page Système > Résea

individuellement et ne peut plou de routage. Illustration 17 : Paramètres pour une interface agrégée 802.3ad

Créer une interface agrégée 802.3ad

Réseau > Interface.

2

3

4

5 ur

1 Sélectionnez Système >

Cliquez sur Créer Nouveau.

Dans le champ Nom, entrez un nom pour l’interface agrégée. Le nom de l’interfacedoit différer des noms des autres interfaces, zones ou VDOM.

électionnez dans la liste Type déroulante 802.3ad Aggregate. S

Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface que vous voulez inclure dans l’interface agrégée et cliquez sur la flèche droite pola déplacer vers la liste des Interfaces Sélectionnées.


6

tion PPPoE d’une interface» à la page 70.

7

8

Création d’une interface redon

com rs afin d’assurer une connectivité continue même dans le cas où une

n lien d’agrégation réside dans le fait que n

stes avec un risque de points de pannes lus faible. Ceci est important dans une configuration en maillage intégral HA.

terface redondante seulement si :

• il s’agit d’une interface physique et non pas d’une interface VLAN

• elle ne fait pas déjà partie d’une interface agrégée ou redondante

• elle est dans le même VDOM que l’interface redondante

• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE

• elle n’a pas de serveur DHCP ou relais configuré

• elle n’a pas de sous-interface VLAN

• elle n’est pas présente dans une règle pare-feu, VIP, IP Pool ou multicast

• elle n’est pas contrôlée par un HA.

Lorsqu’une interface fait partir d’une interface redondante, elle n’est plus reprise dans la liste de la page Système > Réseau > Interface. Elle n’est plus configurable individuellement et ne peut plus être incluse dans les règles pare-feu, VIP, IP pools ou de routage.

Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer unadressage. Pour plus d’informations sur l’adressage dynamique, voir :

• « Configuration DHCP d’une interface » à la page 69.

• « Configura

Configurez les autres options tel que requis.

Cliquez sur OK.

dante

Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance de liens. Cette fonctionnalité vous permet de vous connecter à deux ou plusieurs

mutateuinterface ou un des équipements devait tomber en panne. La différence entre un lien redondant et uda s le premier cas, le trafic ne passe que par une seule interface à la fois (peuimporte le nombre de liens redondants). Cependant les interfaces redondantes permettent des configurations plus robup Le logiciel FortiGate des modèles 800 et plus implémente des interfaces redondantes.

ne interface peut être une inU


Illustration 18 : Paramètres d’une interface redondante

Créer une interface redondante


2 Cliquez sur Créer Nouveau.

3 Dans le champ Nom, entrez un nom pour l’interface redondante. Le nom de l’interface doit différer des noms des autres interfaces, zones ou VDOM.

4 Sélectionnez dans la liste Type déroulante Interface Redondante.

5 Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface physique que vous voulez inclure dans l’interface redondante et cliquez sur la flèche droite pour la déplacer vers la liste des Interfaces Sélectionnées.

6 Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer un adressage. Pour plus d’informations sur l’adressage dynamique, voir :

• « Configuration DHCP d’une interface » à la page 69.

• « Configuration PPPoE d’une interface » à la page70.

7 Configurez les autres options tel que requis.

8 Cliquez sur OK.

Création d’une interface sans fil

Vous pouvez créer des interfaces sans fil WLAN sur les modèles FortiWiFi-60A et FortiWiFi-60AM, voir à ce propos « Paramètres sans fil du système (FortiWiFi-60) » à la page 94.



3 Dans le champ Nom, entrez un nom pour l’interface sans fil. Ce nom doit différer des noms des autres interfaces, zones ou VDOM.

4 Sélectionnez dans la liste Type déroulante Wireless.

5 Dans la section Paramètres Sans Fil (Wireless Settings), entrez les informations suivantes :


Illustration 19 : Paramètres de l’interface sans fil

Entrez le nom du réseau sans fil que le FortiWiFi-60 doit émettre. Les utilisateurs désireux d’utiliser le réseau sans fil doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau.

SSID

Broadcast son SSID.

Security Mode t

ement), sélectionnez WPA Pre-shared Key ou

seau sans fil doivent

RADIUS Server Name te Le serveur Radius doit être

s,

Data Encryption

rmine le temps d’attente S (Clear to Send) d’un

autre équipement sans fil.

Fragmentation Threshold Le seuil de fragmentation détermine la taille maximum d’un paquet de données avant que celui-ci ne soit fragmenté en deux ou plusieurs paquets. La réduction de ce seuil peut

is à

6

7

Configuration DH

ilisation DHCP, le boîtier HCP. L’interface est configurée

u serveur DNS, ainsi que les adresses des passerelles par défaut fournies par le serveur DHCP.

SSID A sélectionner si vous voulez que le boîtier émette (En mode Point d’Accès uniquement).

Pour une utilisation du WEP, sélectionnez WEP64 ou WEP128. Pour une utilisation WPA (disponible en mode Poind’Accès uniquWPA_Radius. Les utilisateurs du réseau sans fil FortiWiFi-60 doivent configurer leurs ordinateurs avec les mêmes paramètres.

Clé Pour une clé WEP de 64 bits, entrez 10 symboles hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez 26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec les mêmes clés.

Pre-shared Key Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé partagée. Les utilisateurs d’un réconfigurer leurs ordinateurs avec la même clé.

Pour le mode sécurisé WPA Radius, sélectionnez dans la lisle nom du serveur Radius. configuré dans Utilisateur > Radius. Pour plus d’informationvoir « Serveurs RADIUS » à la page 326.

En mode WPA uniquement. Choisissez entre les protocoles decryptage TKIP ou AES (WPA2).

RTS Threshold Le seuil RTS (Request to Send) détedu boîtier pour la reconnaissance CT

améliorer la performance dans des environnements soumde hautes interférences.

Configurez les options des autres interfaces tel que requis.

Cliquez sur OK.

CP d’une interface

orsque vous configurez une interface pour une utLFortiGate émet automatiquement une requête Davec l’adresse IP et éventuellement les adresses d


Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sélectionnez l’icône Editer d’une interface existante. Dans la section de Mode d’Adressage, sélectionnez DHCP. Illustration 20 : Paramètres DHCP de l’interface

Entrez la distance administrative de la passerelle par défautretrouvée par le serveur DHCP. La distanc

Distance

e administrative, rsqu’il s la

e comme prioritaire. La distance par défaut de la

iquement la route par défaut HCP. La

Remplacer le serveur DNS pré-configuré

urs DNS dans

Connecter si

s ligne.

Statut boîtier

ation

se connecte

connecté L’interface retrouve une adresse IP, un masque de réseau et d’autres paramètres du serveur DHCP.

L’interface a échoué dans sa tentative de retrouver une

Configuration PP

FortiGate hors ligne et ne désirez pas envoi de la requête PPPoE.

entre 1 et 255, indique la priorité relative d’une route loen existe plusieurs vers une même destination. Au pludistance administrative est basse, au plus est elle considérépasserelle par défaut est de 1.

Obtenir dynam Activez cette option pour retrouver l’adresse IP d’une passerelle par défaut à partir d’un serveur Dpasserelle par défaut est ajoutée à la table de routagestatique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par des adresses DNS retrouvées par le serveur DHCP.

Sur les modèles 100 et moins, l’activation de Obtenir dynamiquement les adresses des serveSystème > Réseau > Options est conseillée. Voir « Configuration des Options du Réseau » à la page 77.

Permet à l’interface de tenter automatiquement de se connecter à un serveur DHCP. Désactiver cette option vous configurez l’interface hor

Affiche les messages sur les statuts DHCP lorsque leFortiGate se connecte au serveur DHCP et reçoit desinformations sur l’adressage. Sélectionnez cette option pour rafraîchir le message de statut du mode d’adressage.

initialis Aucune activité.

L’interface tente de se connecter au serveur DHCP.

échec adresse IP et d’autres informations à partir du serveurDHCP.

PoE d’une interface

Lorsque vous configurez une interface pour une utilisation PPPoE, le boîtier FortiGate émet automatiquement une requête PPPoE. Vous pouvez désactiver Connecter si vous configurez le boîtierl’


Le boîtier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y découverte initiale et les PPPoE

Active Discovery Terminate (PADT).

uveau ou sur interface e section Mode

compris les IP non numérotées, les timeouts de

Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nol’icône Editer d’une xistante. Sélectionnez PPPoE dans lad’Adressage. Illustration 21 : Paramètres PPPoE de l’interface

tilisateur

Mot de Passe

Unnumbered IP

e autre

Initial Disc te imeout avant qu’une nouvelle tentative de découverte PPPoE soit

.

Initial PADT inate la

tre

nce

e e

plus la distance administrative est basse, ritaire. La distance

miquement r défaut

que.

cer le serveur DNS pré-configuré

eur PPPoE ou PPPoA.

Connecter Permet à l’interface de tenter automatiquement de se connecter à un serveur PPPoE ou PPPoA. Désactiver cette option si vous configurez l’interface hors ligne.

Etat Affiche les messages sur les statuts PPPoE lorsque le boîtier FortiGate se connecte au serveur PPPoE et reçoit

Compte u Le nom d’utilisateur du compte PPPoE.

Le mot de passe du compte PPPoE.

Spécifiez l’adresse IP de l’interface. Dans le cas où votreFAI (Fournisseur d’Accès Internet) vous en a affectées plusieurs, choisissez-en une parmi celles-ci. Par ailleurs, cette adresse IP peut être identique à celle d’uninterface ou peut également être n’importe quelle adresse IP.

Initial Discovery Timeout. Il s’agit du temps d’attenT

lancée. Pour désactiver cette option, affectez-lui 0

Initial PPPoE Active Discovery TermTimeout (PADT) timeout. Se définit en secondes. Sert à fermer

session PPPoE après un laps de secondes d’inactivité défini dans cette option. PADT doit être supporté par voFAI. Pour désactiver cette option, affectez-lui 0.

Dista Entrez la distance administrative de la passerelle par défaut retrouvée par le serveur PPPoE. La distance administrative, entre 1 et 255, indique la priorité relativd’une route lorsqu’il en existe plusieurs vers une mêmdestination. Auau plus elle est considérée comme priopar défaut de la passerelle par défaut est de 1.

naObtenir dy Permet de retrouver une adresse IP d’une passerelle la route pa par défaut à partir d’un serveur PPPoE. La passerelle par

défaut est ajoutée à la table de routage stati Rempla Permet de remplacer les adresses IP du serveur

DNS de la page DNS par les adresses DNS retrouvées par le serv


des informations sur l’adresoption pour rafraîchir le me

sage. Sélectionnez cette ssage de statut du mode

PPPoE.

asque de réseau et d’autres paramètres du serveur PPPoE.

Configuration d’u face

Lorsque le boîtier FortiGate possède un nom de domaine statique et une adresse IP publique dynamique, vous pouvez utiliser un service DDNS pour mettre à jour les serveurs DNS Internet quand l’adresse IP du domaine change. Le service DDNS est uniquement disponible en mode NAT/R

nez Système > Ré diter d’une interface

section Mode d’Adressage einformations fournies.

22 : Configuration

d’adressage.

initialisation Aucune activité.

e connecte L’interface tente de se connecter au serveur s

connecté L’interface retrouve une adresse IP, un m

échec L’interface a échoué dans sa tentative de retrouver une adresse IP et d’autres informations à partir du serveurPPPoE.

n service DNS dynamique d’une inter

oute. Sélection seau > Interface. Cliquez sur Créer Nouveau ou surl’icône E existante. Activez DDNS, juste en dessous de la

t configurez le service DDNS en fonction des

Illustration d’un service DDNS

Serveur Sélectionnez un serveur DDNS. Les logiciels clients

ces services sont inclus dans le microcode FortiGate. Lboîtier FortiGate ne peut se connecter qu’à un de ces services.

Domaine Le nom de domaine pour le service DDNS.

Compte utilisateur Le nom d’utilis

pour e

ateur nécessaire à une connexion à un

t de nnexion à un serveur

Configuration d’u

a création d’une interface IPSec virtuelle se fait en sélectionnant le Mode

phydan ’interface dans Système > Réseau >

a page 294.

lé Manuelle » à la page 305.

serveur DDNS.

Mo passe Le mot de passe nécessaire à une coDDNS.

ne interface IPSec virtuelle

LInterface IPSec dans VPN > IPSec > Auto Key (IKE) ou VPN > IPSec > Clef Manuelle lors de la création d’un VPN. Il faut également sélectionner une interface

sique ou VLAN de la liste Interface Local. L’interface IPSec virtuelle est reprise s la liste comme sous-interface de l

Interface. Pour plus d’informations, voir

• « Aperçu du mode interface IPSec » à l

• « Auto Key » à la page 295 ou « C


Sélectionnez Système > Réseau > Interface et cliquez sur l’icône Editer d’une interface IPSec pour :

nfigurer des adress s et distantes de l’interface nière à a ce ou lancer une pour tester le

s adm

• permettre la journalisa

• entrer une description face

Illustration 23 : Paramètres ace IPSec virtuelle

• co es IP de terminaison localeIPSec de ma ctiver un routage dynamique sur l’interfarequête ping tunnel.

• permettre l’accè inistratif à travers l’interface IPSec

tion sur l’interface

de l’inter

de l’interf

Nom

Domaine Virtuel

Remote IP

Administration

tion web à travers cette interface.

PING L’interface répond aux requêtes Ping. Cette fonctionnalité vous de tester votre installation.

nnexions HTTP vers l’interface d’administration cette interface. Les connexions HTTP ne sont

pas sécurisées et sont susceptibles d’être interceptées par des

s e. Voir

« Configuration SNMP » à la page 153.

ravers cette interface. Les connexions Telnet ne sont pas sécurisées et

Le nom de l’interface IPSec

Sélectionnez le VDOM de l’interface IPSec

IP Si vous voulez utiliser un routage dynamique avec le tunnel ou pouvoir pinger l’interface du tunnel, entrez les adresses IP des points finaux locaux et distants du tunnel. Cesdeux adresses ne peuvent pas apparaître ailleurs sur le réseau.

Sélectionnez les types d’accès administratifs permis sur cette interface.

HTTPS Permet des connexions HTTPS sécurisées vers l’interfaced’administra

permet

HTTP Permet des coweb à travers

tiers.

SSH Permet des connexions SSH vers l’interface de ligne de commande à travers cette interface.

SNMP Permet à un superviseur SNMP distant de solliciter deinformations SNMP en se connectant à cette interfac

TELNET Permet des connexions Telnet vers le CLI à t

sont susceptibles d’être interceptées par des tiers.


Journaliser Sélectionnez Journaliser pour enregistrer les journauxtrafic à partir ou vers l’interface. Pour enregistrer des journavous devez activer la journalisation du trafic vers une destination et fixer le niveau de sévérité de la journalisation à Notification ou plu

de tout ux,

s bas. Sélectionnez Journaux/Alertes >

n, x et Alertes» à la page 409.

cription Facultativement, entrez une description de 63 caractères

Configuration ad i

Ajo IP secondaire

La c interface P

onfig econdaryip sous system interface dans le FortiGate CLI Reference.

une interface

t possible si ce

promettre la st donc à éviter à moins que cela

une

• Utilisation de mots de passe d’utilisateurs administratifs sécurisés.

• Modification régulière de ces mots de passe.

tion HTTPS ou SSH.

ransparent, voir « Mode de if» à la page 166.

1

3 Sélectionnez les protocoles d’Administration pour cette interface.

4

1

Journal pour configurer des types et destinations de journalisation. Pour plus d’informations sur la journalisatiovoir « Journau

Desmaximum.

dit onnelle des interfaces

uter une adresse

ommande CLI config system permet d’ajouter une adresse Isecondaire à toute interface FortiGate. Cette adresse secondaire ne peut pas se trouver sur le même sous-réseau que l’interface primaire ou que toute autre interface ou adresse IP secondaire. Pour plus d’informations, voir cs

Contrôler un accès administratif vers

Un contrôle d’accès administratif vers les interfaces d’un VDOM esVDOM fonctionne en mode NAT/Route.

Vous pouvez permettre une administration à distance du boîtier FortiGate. Cependant, une administration à distance via Internet pourrait comsécurité de votre FortiGate. Cette manoeuvre esoit nécessaire pour votre configuration. Les consignes suivantes améliorent la sécurité du boîtier FortiGate lors d’administration à distance via Internet :

• Permettre un accès administratif sécurisé vers cette interface via une utilisa

• Maintenir la valeur du Timeout d’inactivité par défaut à 5 minutes (voir « Paramètres » à la page 178.)

Pour configurer un accès administratif en mode Tfonctionnement des VDOM et accès administrat


2 Cliquez sur l’icône Editer de l’interface choisie.

Cliquez sur OK pour enregistrer les changements.

Modifier la taille MTU des paquets qui quittent une interface



2

3

4 éfinissez une nouvelle valeur MTU.

Cliquez sur l’icône Editer de l’interface choisie.

Sélectionnez la valeur de Remplacer la valeur MTU par défaut (1500).

D

Remarque : Un redémarrage du FortiGate est nécessaire pour mettre à jour la nouvelle VLAN sur cette interface.

onfigurer la journalisation du trafic pour les connexions vers une interface

1 stème > Ré

2 z sur l’icône Editer de

3 prègle pare-feu accepte une c

4 enregis

Zone ttent de gro rfaces VLAN. Ces la création oupement d’interfaces et

de sous-interfaces VLAN en zones, vous pouvez configurer des règles pour des ns de et à partir d’une zone. Cependant il n’est pas possible de configurer

des règles de et à partir de chaque interface de cette zone.

renommer, les diter ou encore les supprimer. Pour ajouter une zone, vous devez sélectionner les

ces VLAN à ajouter à cette zone. Les zones sont ajoutées aux domaines virtuels. Si de multiples domaines virtuels ont été ajoutés à la configuration FortiGate, veillez à configurer le domaine virtuel correct avant d’ajouter ou d’éditer des zones. Illustration 24 : Liste des zones

valeur du MTU des sous-interfaces

C

Sélectionnez Sy seau > Interface.

Clique l’interface choisie.

Activez la case Journaliser our enregistrer les messages journalisés lorsqu’une onnexion à cette interface.

Cliquez sur OK pour trer les changements.

Les zones perme uper des interfaces et des sous-intezones simplifient de règles. Dans le cas de regr

connexio

A partir de la liste Zone, il est possible d’ajouter des zones, de lesénoms des interfaces et sous-interfa

Créer Nouveau Permet de créer une zone.

Les noms des zones ajoutées. Nom

-zone si le trafic entre

les interfaces d’une même zone n’est pas bloqué.

.

’éditer ou de visualiser une zone.

Bloquer le trafic intra Le mot Yes s’affiche si le trafic entre les interfaces d’unemême zone est bloqué. Le mot No s’affiche

Interfaces membres Les noms des interfaces ajoutées à cette zone. Les noms des interfaces varient d’un modèle FortiGate à un autre

cônes Editer/Visualiser Permet dI

Icône Supprimer Permet de supprimer une zone.


Paramètres d’une

lustration 25 : Options d’une zone

zone

Sélectionnez Système > Réseau > Zone pour configurer des zones. Cliquez sur Créer Nouveau ou sur l’icône Editer d’une zone pour la modifier. Il

Nom Entrez un nom pour identifier la zone.

Bloquer le trafic intra-zone Sélectionnez cette option pour bloquer le trafic entre les interfaces ou sous-interfaces VLAN au sein de cette zone.

terfaces membres Sélectionnez les interfaces faiIn sant partie de cette zone. Cette liste comprend les VLAN configurés.

Options Les options du réseau comprennent les paramètres du serveur DNS et de la détection d’échec d’une passerelle. Plusieurs fonctions du FortiGate, notamment les emails d’alertes et le blocage d’URL, utilisent le DNS. Pour cela, spécifiez les adresses IP des serveurs DNS auxquels le boîtier FortiGate doit se connecter. Ces adresses IP sont généralement fournies par votre FAI (Fournisseur d’Accès Internet). Les modèles FortiGate 100 et moins peuvent être configurés pour obtenir des adresses de serveur DNS automatiquement. Pour ce faire, au moins une des interfaces doit utiliser le mode d’adressage DHCP ou PPPoE. Voir « Configuration DHCP d’une interface » à la page 69. Voir « Configuration PPPoE d’une interface» à la page 70. Les modèles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs interfaces. Les hôtes du réseau attaché utilisent l’adresse IP de l’interface comme leur serveur DNS. Les requêtes DNS envoyées à l’interface sont transmises aux adresses du serveur DNS configurées ou fournies automatiquement au boîtier FortiGate.

Détection de l’échec d’une passerelle

L’activation de l’option de détection de l’échec d’une passerelle entraîne un lancement régulier d’une commande ping pour confirmer la connectivité. En général, le serveur ping est le routeur du prochain saut avant le réseau externe ou l’Internet. La période de ping (Detection Interval) et le nombre de tentatives de ping échoués, indicateur de la perte d’une connexion, sont définis dans Système > Réseau > Options. Pour appliquer la détection de l’échec d’une passerelle à une interface, vous devez lui configurer un serveur ping.


Ajouter un serveur ping à une interface


2 Choisissez une interface et cliquez sur Editer.

3 Affectez au Serveur Ping l’adresse IP du routeur du prochain saut sur le réseau connecté à l’interface.

4 Cochez la case Activer.

5 Cliquez sur OK pour enregistrer les changements.

Configuration des Options du Réseau

Dans Système > Réseau > Options, vous pouvez configurer les paramètres des serveurs DNS et de la détection de l’échec d’une passerelle. Illustration 26 : Options de la mise en réseau – pour les modèles 200 et plus.

Illustration 27 : Options de la mise en réseau – pour les modèles 100 et moins

Obtenir dynamiquement Cette oples adresses et moins

tion est uniquement disponible sur les modèles 100 .

es serveurs DNS

est utilisé par une interface, il S.

é-configuré » dans les paramètres DHCP de l’interface. Voir « Configuration DHCP d’une interface » à la page 69.

d

Lorsque le service DHCPpermet également d’obtenir l’adresse IP d’un serveur DNCeci est uniquement valable en mode NAT/Route. Il est conseillé d’activer « Remplacer le serveur DNS pr


Utiliser les adresses d Cette option est uniquement disponible sur les modèles 1et

u 00

rs DNS primaire et

Serveur DNS primaire e.

ire

e

Activer le DNS forwarding 00

s requêtes DNS

Détection de l’échec d’une passerelle d’un serveur ping ajouté à la

rface. Pour toute information à erveur ping à une interface, voir

z le nombre d’échec de tentatives de ping à partir duquel le boîtier FortiGate considéra que la passerelle n’est plus en fonction.

Table de Rou ode T mode Transparent, sélec seau >Table de Routage pour uter des routes statiques .

n 28 : Table de Rou

serveur DNS suivantes moins.

Utilisez les adresses des serveusecondaire spécifiées.

Entrez l’adresse IP du serveur DNS primair

Serveur DNS seconda Entrez l’adresse IP du serveur DNS secondaire.

Local Domain Nam Entrez le nom de domaine à ajouter aux adresses sansportion de domaine lors des recherches DNS.

Cette option est uniquement disponible sur les modèles 1sur les interfaces : et moins en mode NAT/Route.

Sélectionnez les interfaces qui transfèrent lereçues vers les serveurs DNS configurés.

Cette option permet la confirmation de la connectivité grâce à l’utilisationconfiguration d’une intepropos de l’ajout d’un s« Ajouter un serveur ping à une interface » à la page 77.

Detection Interval Entrez l’intervalle de temps souhaité (en secondes) entre chaque lancement d’un ping vers sa cible.

Fail Over Detection Entre

tage (en m ransparent) En tionnez Système > Réajo du boîtier FortiGate aux routeurs locaux Illustratio tage

e de réseau de cette route.

u routeur du prochain saut vers lequel cette

éférée porte le n°1.

Icônes Visualiser/Editer Edite ou visualise une route.

Icône Déplacer Modifie la position de la route dans la liste.

Paramètres d’une route en mode Transparent

au > Table de u pour ne Ed

modifications.

Créer Nouveau

# Le numéro de la route.

Permet de créer une nouvelle route.

IP L’adresse IP de destination de cette route.

Masque Le masqu

Passerelle L’adresse IP droute dirige le trafic.

Distance La préférence relative de cette route. La route pr

Icône Supprimer Supprime une route.

Dans Système > Rése Routage, sélectionnez Créer Nouveaajouter une route. L’icô iter d’une route permet de lui apporter des


route en mode Transparent Illustration 29 : Options de la

sse IP de destination et le masque de tte route. Pour créer une route par défaut,

passerelle de routage du prochain saut dirige le trafic vers Internet.

Configuration de l’interface modem ur les modèles FortiGate fournis avec un support modem, celui-ci peut servir soit

) en mode

boîtier FortiGate et Internet.

0 peuvent se connecter à un modem extérieur via

Ces modèles demandent une configuration des

Adresse IP destination Entrez l’adre/Masque réseau de ce

configurez l’IP de destination et le Masque sur 0.0.0.0.

Passerelle Entrez l’adresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. Pour une connexion Internet, la

Distance La préférence relative de cette route. La route préférée porte le n°1.

Sd’interface redondante (back up), soit d’interface autonome (stand aloneNAT/Route.

• En mode redondant (back up), l’interface modem prend automatiquement le relais d’une interface Ethernet lorsque celle-ci est indisponible.

• En mode autonome (stand alone), l’interface modem sert de connexion entre le

Dans les deux modes, lorsque le modem se connecte à un FAI, il peut automatiquement composer trois comptes téléphoniques jusqu’à ce que la connexion soit établie. Les modèles FortiGate 50AM et 60M sont conçus avec un modem intégré. Il est dès lors possible de configurer des opérations modem à partir de l’interface d’administration web. Voir « Configuration des paramètres du modem ».

Les modèles FortiGate 50A et 6un convertisseur USB vers série. opérations modem à partir de l’interface de ligne de commande. Voir la commande system modem dans le FortiGate CLI Reference.

Remarque : Ne pas confondre l’interface modem avec le port AUX, utilisé pour deconnexions à distance vers la console – il n’a pas d’interface associée. Le port A

s UX est

niquement disponible sur les modèles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus le FortiGate CLI

Reference.

Configuration des paramètres du modem

La configuration des paramètres du modem permet au boîtier FortiGate d’utiliser le modem pour se connecter aux comptes téléphoniques du FAI. Vous pouvez configurer jusqu’à trois comptes téléphoniques, sélectionner le mode stand alone ou redondant et déterminer les modalités de connexion et déconnexion du modem.

ud’informations, voir la commande config system aux dans



Vous ne pouvez configurer et utiliser le modem qu’en mode NAT/Route. Illustration 30 : Paramètres du modem ( mode Stand alone)

Illustration 31 : Paramètres du modem (mode Redondant)

Cochez cette case pour activer le modem FortiGate.

Les différents statuts du modem sont : « inactif », « en cours

Activer le modem USB

Etat du modem

Appeler/Raccrocher

Mode

cours d’une interface Ethernet sélectionnée.

de connexion », « connecté », « en cours de déconnexion» ou « déconnecté» (pour le mode Stand alone uniquement).

(Pour le mode Stand alone uniquement.) Sélectionnez Appeler pour vous connecter manuellement à un compte téléphonique. Lorsque le modem est connecté, sélectionnez Raccrocher pour déconnecter le modem manuellement.

Sélectionnez le mode désiré : Standalone ou Redondant. En mode stand alone, le modem est une interface autonome. En mode Redondant, le modem est un outil de sauvegarde, un actif en se


Connexion autom (Pour le mode Stand alone uniquement). Appelle le modemautomatiquement si la connexion est perdue ou si le boîtier FortiGate redémarre. Cette option n’est pas compatible avec l’option « Connexion à la demande ».

(Pour le m

atique

Actif en secours de ode Redondant uniquement). Sélectionnez e

Connexion à la

Timeout d’inactivité de ’une connexion modem

te ent). Etablissez le laps de temps passé (1-60 secondes) avant que le boîtier FortiGate

la ps

st de 1 seconde. Déterminez un temps plus long dans le cas où le boîtier FortiGate passe trop fréquemment d’une interface

ectionnez le nombre de fois (1 – 10) que le modem du boîtier FortiGate doit tenter de se reconnecter au FAI en cas d’échec de connexion. Par défaut, le nombre d’essais est de 1. Sélectionnez None pour ne pas limiter le nombre de tentatives

numéro de téléphone requis pour la connexion au phonique. Ne pas inclure d’espace dans les

ode Redondant, voir « Configuration du mode Redondant » à la page 81.

Configuration du mode Redondant

ndant sert d’actif en secours d’une interface re se déconnecte de son réseau, le modem

) compte(s) téléphonique(s) pré-configuré(s). Le l’interface

réseau, il déconnecte l’interface

l’interface Ethernet pour laquelle le modem assure le servicde secours.

(Pour le mode Stand alone uniquement). Appelle demande le modem lorsque les paquets sont dirigés vers l’interface

modem. Le modem se déconnecte après une période d’inactivité définie dans Timeout d’inactivité. Cette option n’estpas compatible avec l’option « Connexion automatique».

(Pour le mode Stand alone uniquement). Définissez le laps temps passé (1-60 minutes) avant quinactive soit déconnectée.

Temps d’atten (Pour le mode Redondant uniquem

repasse de l’interface modem à l’interface initiale, une foisconnexion de celle-ci restaurée. Par défaut ce laps de teme

à l’autre.

Nombre d’essais Sél

d’appel.

Compte téléphonique Configurez jusqu’à trois comptes téléphoniques. Le boîtier FortiGate tente de se connecter à chaque compte alternativement jusqu’à ce que la connexion soit établie.

Numéro de Téléphone Entrez lecompte télénuméros de téléphone. Assurez-vous cependant d’inclure les caractères standard pour les pauses, préfixes de pays et autres fonctions requises par votre modem pour vous connecter au compte téléphonique.

Compte utilisateur Le compte utilisateur (maximum 63 caractères) envoyé au FAI.

Mot de passe Le mot de passe envoyé au FAI.

Pour configurer le modem en m

Pour configurer le modem en mode Standalone, voir « Configuration du modeStand alone » à la page 82.

L’interface modem en mode redoEthernet sélectionnée. Si cette dernièse connecte automatiquement au(xboîtier FortiGate chemine alors les paquets IP normalement destinés à

odem. Ethernet vers l’interface m Lorsque le boîtier FortiGate détecte que l’interface Ethernet s’est reconnectée au

modem et repasse sur l’interface Ethernet.


Afin de permettre iGate de passer de l’interface Ethernet au modem, guration du modem, de sélectionne

au boîtier Fortil est nécessaire, lors de la confi r cette interface

rveur pi connexi

ate.

et de lui configurer un se ng. De plus, il est important de configurer des règles pare-feu pour les ons entre l’interface modem et les autres interfaces du boîtier FortiG

Remarque : Ne pas ajouter de règles pour les connexions entre l’interface modem et l’interface secourue par le modem.

1 Sélectionnez Système > Réseau > Modem.

ndant.

3

emps d’attente Entrez le laps de temps passé (1-60 secondes) avant

ais Entrez le nombre maximum de tentatives de connexion dans le cas où le FAI ne répond pas.

ts de passe

ompte téléphonique 3 pour les comptes téléphoniques désirés (entre 1 et 3).

4

ernet que le modem doit secourir. interface » à la page 77.

6 m. Voir .

Configuration du

En mode stand alone, le modem r une connexion Internet. Vous po r le modem pour qu’il se connecte à

u FortiGateIl est également possible d’appe modem manuellement.

Si la connexion aux comptes télé ate rappelle le mpose , fié dans n

igurer des règles pare-feu pour les connexions entre

2

Configurer un mode redondant

2 Sélectionnez Mode Redo

Entrez les informations suivantes : Mode Redondant

Actif en secours de Sélectionnez dans la liste l’interface à secourir.

Tque le boîtier FortiGate repasse de l’interface modem à l’interface initiale, une fois la connexion de celle-ci restaurée.

Nombre d’ess

Compte téléphonique 1 Entrez le numéro de téléphone de votre FAI ainsiCompte téléphonique 2 que vos comptes utilisateurs et moC


5 Configurez un serveur ping pour l’interface EthVoir « Ajouter un serveur ping à une

Configurez des règles pare-feu pour les connexions de l’interface mode« Ajout de règles pare-feu pour les connexions modem » à la page 83

mode stand alone

se connecte au compte téléphonique pour fourniuvez configure

chaque démarrage d ou lors de la présence de paquets non cheminés. ler ou de raccrocher le

phoniques échoue, le boîtier FortiG

modem. Le modem reco alors automatiquement le numéro du FAI, et ceautant de fois que spéci la configuration ou jusqu’à ce que la connexiosoit établie. Il est primordial de confl’interface modem et les autres interfaces du boîtier FortiGate. Opérer en mode stand alone

1 Sélectionnez Système > Réseau > Modem.

Entrez les informations suivantes : Mode Standalone


Connexion automatique Sélectionnez cette option pour que le modem se connecte au FAI à chaque démarrage du FortiGate.

on

modem se déconnecte.

Entrez le nombre maximum de tentatives de connexion dans le cas où le FAI ne répond pas.

méro de téléphone de votre FAI ainsi ptes utilisateurs et mots de passe ptes téléphoniques désirés (entre 1 et 3).


s de l’interface modem. Voir nexions modem » à la page 83.

Ajout de règle

ssite des adresses et des règles pare-feu. Vous pouvez jouter une ou plusieurs adresses pare-feu à l’interface modem. Pour plus

t ajoutées,

nterface modem apparaît sur la matrice des règles.

s règles pare-feu pour contrôler le flot de paquets r plus règle pare-

231.

Connexion et c

Le modem doit être en mode stand alone.

compte téléphonique

1 2 3 oniques. 4 s modifications à la configuration. 5 nnez Appeler.

se nique ent jusqu’à ce que

La procédure suivante permettéléphonique.

1

2 électionnez Raccrocher pour vous déconnecter du compte téléphonique.

Connexion à la demande Sélectionnez cette option pour que le modem se connecte au FAI lors de la présence de paquets ncheminés.

Timeout d’inactivité Entrez la durée d’inactivité en minutes après laquelle le

Nombre d’essais

Compte téléphonique 1 Entrez le nuompte téléphonique 2 que vos comC

Compte téléphonique 3 pour les com

4 Configurez des règles pare-feu pour les connexion« Ajout de règles pare-feu pour les con

s pare-feu pour les connexions modem

L’interface modem nécead’informations sur l’ajout d’adresses, voir « Ajouter une adresse IP, une plage IPou un FQDN » à la page 247. Lorsque de nouvelles adresses sonl’i Vous pouvez configurer decirculant entre l’interface modem et les autres interfaces FortiGate. Poud’informations à propos de l’ajout de règles pare-feu, voir « Ajout d’uneeu » à la pagef

dé onnexion du modem

Se connecter à un

Sélectionnez Système > Réseau > Modem. Sélectionnez Activer le modem USB. Assurez-vous de l’exactitude des comptes téléph

électionnez Appliquer si vous avez apporté deSSélectio Le boîtier FortiGate compo alors le numéro de chaque compte téléphoalternativem le modem se connecte à un FAI.

le modem Déconnecter

de déconnecter le modem d’un compte

Sélectionnez Système > Réseau > Modem.

S


Vérification du st

onnexion du modem ainsi que le compte téléphonique activé sont stème > Réseau > Modem. Lors de la connexion entre le modem

rs de connexion Le modem tente de se connecter au FAI.

reconnectera que lorsque vous cliquerez sur Appeler.

t le masque de réseau affectés à l’interface modem apparaissent sur

Aperçu sur len VLAN est un groupe de PC, serveurs et autres équipements d’un réseau qui

communiquent comme s’ils faisaient partie d’un même segment LAN, alors que ce n’est pas forcément le cas. Par exemple, les stations de travail et serveurs d’un département de comptabilité peuvent être dispersés dans un bâtiment, connectés à plusieurs segments du réseau et quand bien même faire partie d’un même VLAN. Dans un VLAN les équipements sont segmentés logiquement et non pas physiquement. Chaque VLAN est traité comme un domaine de diffusion. Les équipements du VLAN 1 peuvent se connecter avec d’autres équipements du VLAN 1, mais ne peuvent pas se connecter avec des équipements d’autres VLAN. La communication entre les équipements d’un VLAN ne dépend pas du réseau physique. Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous les paquets reçus et envoyés par ces équipements. Ces balises sont des extensions de 4 octets comprenant un identificateur VLAN ainsi que d’autres informations. Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau, permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de la localisation physique.

atut du modem

Le statut de la cvisible dans Syet le FAI, l’adresse IP et le masque de réseau sont visibles également. Le modem peut avoir un des statuts suivants :

Inactif Le modem n’est pas connecté au FAI.

n couE

Connecté Le modem est connecté au FAI.

En cours de déconnexion Le modem se déconnecte du FAI.

Déconnecté Le modem s’est déconnecté du FAI. (En mode stand alone uniquement). Le modem ne se

Un indicateur vert désigne le compte téléphonique activé. ’adresse IP eL

la page Système > Réseau > Interface de l’interface d’administration web.

s VLAN U


Illustration 32 : Topologie VLAN de base

Equipements For

s

commutateur niveau 3.

s.

afic VPN IPSec entre les

VLAN en modGate opère comme un équipement niveau 3 pour tre les VLAN. Le boîtier FortiGate peut également

n

tiGate et VLAN

Dans une configuration VLAN classique, des balises VLAN sont ajoutées aux paquets par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore des pare-feu. Les commutateurs niveau 2 gèrent les paquets cheminant entre desmachines d’un même VLAN, tandis que les paquets cheminant entre des machinede VLAN différents sont pris en charge par des équipements niveau 3 tels que outeur, pare-feu our

Grâce à l’utilisation d’un VLAN, un seul boîtier FortiGate fournit des services de sécurité et des connexions sous contrôle entre de multiples domaines sécuriséLe trafic provenant de chaque domaine sécurisé reçoit un identificateur VLAN différent. Le boîtier FortiGate reconnaît les identificateurs VLAN et applique les ègles de sécurité pour protéger les réseaux et le trr

domaines sécurisés. Le boîtier FortiGate appliquent également les fonctionnalités d’authentification, de profils de protection et autres règles pare-feu sur le trafic du réseau et le trafic VPN autorisé à circuler entre les domaines sécurisés.

e NAT/Route En mode routé, le boîtier Forticontrôler le flot de paquets enretirer les balises VLAN des paquets VLAN entrants et transférer les paquets nobalisés vers d’autres réseaux, comme Internet. En mode routé, le boîtier FortiGate supporte les VLAN pour la construction de tronçons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le boîtier FortiGate. Normalement l’interface interne du boîtier FortiGate se connecte


à un tronçon VLAN sur un commutateur interne, tandis que l’interface externe seconnecte en

amont vers un routeur Internet non balisé. Le boîtier FortiGate peut

alors appliquer différentes règles pour les trafics sur chaque VLAN connecté à

r

VLAN vers les sous-terfaces avec les identificateurs correspondants.

Vous pouvez également définir des sous-interfaces VLAN sur toutes les interfaces

r

Consignes sur le

e même identificateur. Leur relation est

même que la relation entre n’importe quelles deux autres interfaces réseaux

Consignes sur le

nterfaces doivent se trouver sur différents sous-s ne peuvent pas se chevaucher. Cette règle s’applique aussi bien

aux interfaces physiques qu’aux sous-interfaces VLAN.

l’interface interne. A partir de cette configuration, vous pouvez ajouter à l’interface interne du boîtieFortiGate des sous-interfaces VLAN qui possèdent les identificateurs VLAN correspondants aux identificateurs des paquets du tronçon VLAN. Le boîtier

ortiGate dirige alors les paquets avec les identificateursFin

du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant unesous-interface VLAN ou peut retirer des balises des paquets entrants et ajouteune balise différente aux paquets sortants.

s identificateurs VLAN

En mode NAT/Route, deux sous-interfaces VLAN ajoutées à la même interface physique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent être ajoutées à différentes interfaces physiques. Il n’y a pas de connexion interne ou dlien entre deux sous-interfaces VLAN avec lelaFortiGate.

s adresses IP VLAN

es adresses IP de toutes les iLréseaux, elle

Remarque : S’il vous est impossible de modifier vos configurations existantes et d’empêcher un chevauchement d’adresses IP, entrez les commandes CLI config system global et set allow-interface-subnet-overlap enable pour permettre un chevauchement d’adresses IP. En entrant cette commande, vous permettez à plusieurs interfaces VLAN d’avoir une adresse IP qui fait déjà partie d’un sous-réseau utilisé par une autre interface. Cette commande n’est recommandée qu’aux utilisateurs avancés. L’illustration 33 représente une configuration VLAN simplifiée en mode NAT/Route. Dans cet exemple, l’interface interne du FortiGate se connecte à un commutateur VLAN via un tronçon 802.1Q et est configurée avec deux sous-interfaces VLAN (VLAN 100 et VLAN 200). L’interface externe se connecte à Internet et n’est pas configurée avec des sous-interfaces VLAN. Lorsque le commutateur VLAN reçoit des paquets de VLAN 100 et VLAN 200, il leurs applique des balises VLAN et les transfère vers les ports locaux et à travers le tronçon vers le boîtier FortiGate. Des règles sont configurées dans le boîtier FortiGate pour permettre aux trafics de circuler entre les VLAN et à partir des VLAN vers le réseau externe.


Illustration 33 : FortiGate en mode NAT/Route

Ajout de sous-interfaces VLAN

sous-interface VLAN doit correspondre à r

L’identificateur VLAN de chaquel’identificateur VLAN ajouté par le routeur IEEE 802.1Q-compliant. L’identificateuVLAN peut être n’importe quel nombre entre 1 et 4096. Chaque sous-interface VLAN doit également être configurée avec ses propres adresse IP et masque deréseau.

Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.

l’interface physique qui çoit les paquets balisés VLAN.

nterface VLAN en mode NAT/Route

1

2

3

N à l’attention

ner le domaine virtuel auquel cette sous-. Les autres administrateurs ne peuvent créer

r « Utilisation de domaines aines virtuels.

Il est nécessaire d’ajouter des sous-interfaces VLAN à re Ajouter une sous-i


Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.

Entrez un nom pour identifier cette nouvelle sous-interface.

i doit recevoir les paquets VLA4 Sélectionnez l’interface physique qude cette sous-interface VLAN.

5 Entrez l’identificateur (ID) qui correspond à l’identificateur des paquets à recevoir par cette sous-interface VLAN.

ction6 L’administrateur admin devra séleinterface VLAN devra être ajoutéedes sous-interfaces VLAN que dans leur VDOM. Voivirtuels » à la page 40 pour plus d’informations sur les dom


7 Configurez les paramètres interfaces FortiGate. Voir «

de la sous-interface VLAN tel que pour les autres Paramètres de l’interface » à la page 63.

8

ce vers une interface physique.

1

2

3

4

VLAN en mode Transparent

s

r

es VLAN internes. L’interface n rnet. Le

our

N. Dans le cas où par contre les sous-interfaces VLAN ont des

vous entre

le

eux zones. Au sein d’un domaine virtuel, une zone peut contenir

Lorsqu’un boîtier FortiGate reçoit un paquet balisé VLAN sur l’une de ses interfaces, ce paquet est dirigé vers la sous-interface VLAN possédant l’identificateur VLAN correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination au paquet en fonction de son adresse MAC de destination. Les règles pare-feu des sous-interfaces VLAN source et de destination

Cliquez sur OK pour enregistrer les changements.

Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l’interface choisie au point 4. Ajouter des règles pare-feu aux sous-interfaces VLAN

Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de leur appliquer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou d’une sous-interfa

Sélectionnez Pare-Feu > Adresse.

Cliquez sur Créer Nouveau pour créer des adresses pare-feu qui correspondent aux adresses IP source et de destination des paquets VLAN. Voir « A propos desadresses pare-feu » à la page 245.

Sélectionnez Pare-Feu > Règle.

Créer ou ajouter des règles pare-feu tel que requis.

En mode Transparent, le boîtier FortiGate peut appliquer des règles pare-feu et des services tels que l’authentification, les profils de protection et autres fonctionpare-feu au trafic d’un tronçon VLAN IEEE 802.1. Le boîtier FortiGate peut être inséré en mode Transparent dans le tronçon sans qu’il soit nécessaire d’apportedes modifications au réseau. Dans une configuration classique, l’interface interne du FortiGate accepte les paquets VLAN sur un tronçon VLAN provenant d’un ommutateur VLAN ou d’un routeur connecté à dc

externe du FortiGate transfère les paquets balisés par le tronçon jusqu’à ucommutateur VLAN externe ou un routeur connecté éventuellement à Inteboîtier FortiGate peut être configuré pour appliquer différentes règles au trafic pchaque VLAN du tronçon. Il faut ajouter une sous-interface VLAN à l’interface interne et une autre à l’interface externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du FortiGate. Dans le cas où ces sous-interfaces VLAN ont les mêmes identificateurs, le boîtier FortiGate applique des règles pare-feu au trafic dee VLAc

identificateurs différents, ou si plus de deux sous-interfaces sont ajoutées, pouvez également créer des règles pare-feu qui contrôlent les connexions

s VLAN. Un boîtier FortiGate opérant en mode Transparent peut sécuriser le trafic du réseau passant entre les différents VLAN si ce réseau utilise des balises VLAN IEEE 802.1 pour segmenter son trafic. Il est nécessaire d’ajouter des domaines virtuels à la configuration du FortiGate pour lui permettre de supporter le trafic VLAN en mode Transparent. Un domaine virtuel se compose d’au moins dous-interfaces ou s

une ou plusieurs sous-interfaces VLAN.


s’appliquent au paquet. Si celui-ci est accepté par le pare-feu, le boîtier FortiGate le transfère vers la sous-interface VLAN de destination. L’identificateur du VLAN de destination est ajouté au paquet par le boîtier FortiGate et il est envoyé au tronçon VLAN. Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode Transparent

L’illustration 35 représente un équipement FortiGate opérant en mode Transparent et configuré avec trois sous-interfaces VLAN. Dans cette configuration un équipement FortiGate peut être ajouté à ce réseau pour fournir à chaque VLAN une analyse antivirus, un filtrage de contenu web ainsi que des services supplémentaires. Illustration 35 : Equipement FortiGate en mode Transparent


Consignes sur le

rface hysique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou

rs identiques peuvent être ’y a pas de connexion interne ou de

eur relation est

Domaines virt l

outées autant de sous-interfaces VLAN nécessaires.

r -interfaces VLAN en domaines virtuels. Pour plus

ion

mode Transparent

r VLAN peut être n’importe quel nombre entre 1 et 4096. Il est hysique recevant les

paq ets balisés VLAN.

s identificateurs VLAN

En mode Transparent, deux sous-interfaces VLAN ajoutées à la même intepplusieurs sous-interfaces VLAN avec des identificateuajoutées à différentes interfaces physiques. Il nlien entre deux sous-interfaces VLAN avec le même identificateur. L

rtiGate. identique à une relation entre deux autres interfaces réseaux Fo

ue s et VLAN en mode Transparent

Les sous-interfaces VLAN sont ajoutées et associées à des domaines virtuels. Laconfiguration par défaut du boîtier FortiGate prévoit un domaine virtuel, appelé root, auquel peuvent être aj Des domaines virtuels supplémentaires peuvent être créés si vous désirez séparedes groupes de sousd’informations sur l’ajout et la configuration de domaines virtuels, voir « Utilisatde domaines virtuels » à la page 40. Ajouter une sous-interface VLAN en

L’identificateur VLAN de chaque sous-interface VLAN doit correspondre à l’identificateur ajouté par le commutateur ou routeur IEEE 802.1Q-compliant. L’identificateunécessaire d’ajouter des sous-interfaces VLAN à l’interface p

u

Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.


2 Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.

3 Entrez un nom pour identifier cette nouvelle sous-interface.

4 Sélectionnez l’interface physique qui doit recevoir les paquets VLAN à l’attention de cette sous-interface VLAN.

5 Entrez l’identificateur correspondant à l’identificateur des paquets à recevoir par cette sous-interface VLAN.

6 Sélectionnez les domaines virtuels à ajouter à cette sous-interface VLAN. Voir « Utilisation de domaines virtuels » à la page 40 pour plus d’informations sur les domaines virtuels.

7 Configurez l’accès administratif et les paramètres log tels que pour les autres interfaces FortiGate. Voir « Paramètres de l’interface » à la page 63 pour une description de ces paramètres.

8 Cliquez sur OK pour enregistrer les changements.

Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l’interface sélectionnée.

9 Sélectionnez Activer pour démarrer la sous-interface VLAN.


Ajouter des règles pare-feu aux sous-interfaces VLAN

Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de leurs appliquer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou d’une sous-interface vers une interface physique.

1 Sélectionnez Pare-Feu > Adresse.

2 Cliquez sur Créer Nouveau pour créer des adresses pare-feu correspondantes aux adresses IP source et de destination des paquets VLAN. Voir « A propos des adresses pare-feu » à la page 245.

3 Sélectionnez Pare-Feu > Règle.

4 Créer ou ajouter des règles pare-feu tel que requis.

Support FortiGate IPv6 Vous pouvez affecter à la fois une adresse IPv4 et une adresse IPv6 à chaque interface FortiGate. L’interface fonctionne comme deux interfaces, une pour les paquets adressés IPv4, l’autre pour les paquets adressés IPv6. Les équipements FortiGate supportent le routage statique, les annonces de routage périodiques et l’encapsulation du trafic IPv6 sur un réseau IPv4. Toutes ces fonctionnalités doivent être configurées à partir de l’interface de ligne de commande. Voir le FortiGate CLI Reference pour plus d’informations sur les commandes suivantes : Tableau 2 : Commande CLI IPv6

Fonction Commande CLI Configuration des interfaces, y compris les annonces de routage périodiques

config system interface Voir les mots-clés commençant par “ip6”. config ip6-prefix-list

Routage statique config router static6

Encapsulation du trafic IPv6 config system ipv6_tunnel



Système Sans Fil Cette section parcourt la configuration des interfaces LAN sans fil des boîtiers FortiWiFi. Cette section couvre les sujets suivants :

• Interface LAN sans fil FortiWiFi

• Domaines régulatoires

• Paramètres sans fil du système (FortiWiFi-60)

• Paramètres sans fil du système (FortiWiFi-60A et 60AM)

• Filtre MAC

• Surveillance du module sans fil

Interface LAN sans fil FortiWiFi Vous pouvez configurer l’interface sans fil FortiWiFi dans le but de :

• fournir un point d’accès auquel les utilisateurs munis de cartes réseau sans fil peuvent se connecter (Mode Point d’Accès).

ou

• connecter le boîtier FortiWiFi à un autre réseau sans fil (Mode Client).

Le mode Point d’Accès est activé par défaut. Les boîtiers FortiWiFi-60A et 60AM peuvent fournir de multiples WLAN. Les boîtiers FortiWiFi supportent les standard réseau sans fil suivants :

• IEEE 802.11a (Bande des 5-GHz)

• IEEE 802.11b (Bande des 2.4-GHz)

• IEEE 802.11g (Bande des 2.4-GHz)

• WEP (Wired Equivalent Privacy)

• WPA (Wi-Fi Protected Access) utilisant des clés partagées ou un serveur RADIUS (en mode Point d’Accès uniquement).

Domaines régulatoires Les tableaux suivants reprennent les canaux et domaines régulatoires pour les LAN sans fil. Tableau 3 : Numéros des canaux IEEE 802.11a (Bande des 5-GHz)

Domaines régulatoires Numéro de

canal

Fréquence (MHz) Amérique Europe Taiwan Singapour Japon

34 5170 - X - - X 36 5180 X X - X - 38 5190 - X - - X 40 5200 X X - X -


5210 - X - - X 42 5220 X X - X - 44 5230 - X - - X 46 5240 X X - X - 48 5260 X X X - - 52 5280 X X X - - 56 5300 X X X - - 60 5320 X X X - - 64 5745 - - - - - 149 5765 - - - - - 153 5785 - - - - - 157 5805 - - - - - 161

Tous les canaux sont limités à un usage intérieur excepté pour les continents américains, qui permettent un usage interne et externe des canaux 52 à 64 aux Etats-Unis. Tableau 4 : Numéros des canaux IEEE 802.11b (Bande des 2.4-GHz)

Domaines régulatoires Numéro Fréquence de canal (MHz) Amérique EMEA Israël Japon

2412 X X - X 1 2417 X X - X 2

3 2422 X X - X 4 2427 X X X X 5 2432 X X X X 6 2437 X X X X 7 2442 X X X X 8 2447 X X X X 9 2452 X X X X 10 2457 X X X X 11 2462 X X - X 12 2467 - X - X 13 2472 - X - X 14 2484 - - - X

Le Mexique est compris dans le domaine régulatoire américain. Les canaux 1 à 8 sont à usage intérieur uniquement. Les canaux 9 à 11 sont à usage intérieur et extérieur. Il est de la responsabilité de l’utilisateur de s’assurer que la configuration du canal sans fil est compatible avec la règlementation en vigueur au Mexique. Tableau 5 : Numéros des canaux IEEE 802.11g (Bande des 2.4-GHz)

Domaines régulatoires Amérique EMEA Israël Japon

Numéro de

canal

Fréquence (MHz)

CCK

OFDM CCK OFDM CCK OFDM CCK OFDM

1 2412 X X X X - - X X 2 2417 X X X X - - X X 3 2422 X X X X - - X X 4 2427 X X X X - - X X 5 2432 X X X X X X X X 6 2437 X X X X X X X X 7 2442 X X X X X X X X 8 2447 X X X X X X X X 9 2452 X X X X - - X X 10 2457 X X X X - - X X 11 2462 X X X X - - X X 12 2467 - - X X - - X X 13 2472 - - X X - - X X 14 2484 - - - - - - X -


Paramètres sans fil du système (FortiWiFi-60) Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres d’un LAN sans fil. Illustration 36 : Configuration des paramètres Sans Fil

Adresse MAC L’adresse MAC de l’interface Wireless.

Mode d’Opération Le mode d’opération en cours. Cliquez sur Changer pour le modifier. En mode Point d’Accès, le FortiWiFi-60 agit comme un point d’accès sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le boîtier est configuré pour se connecter à un autre réseau sans fil en tant que client.

Géographie Sélectionnez votre région pour déterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents américains), EMEA (Europe, Moyen Orient, Afrique), Israël ou Japon. Pour toute autre région du monde, choisissez World.

Canal Sélectionnez un canal pour votre réseau sans fil FortiWiFi-60. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour utiliser le même canal. Le choix des canaux dépend de la région sélectionnée dans Géographie. Voir « Domaines régulatoires » à la page 92 pour toute information sur l’affectation des canaux.

SSID Entrez le nom du réseau sans fil émis par le FortiWiFi-60. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau.

SSID Broadcast Sélectionnez Activer pour que le FortiWiFi-60 émette son SSID. (En mode Point d’Accès uniquement).

Security Mode Sélectionnez WEP64 ou WEP128 pour une utilisation WEP. Sélectionnez WPA Pre-shared Key ou WPA Radius pour une utilisation WPA (en mode Point d’Accès uniquement). Les utilisateurs du réseau sans fil du FortiWiFi-60 doivent configurer leurs ordinateurs avec les mêmes paramètres.


Clé Pour une clé WEP de 64 bits, entrez 10 symboles hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez 26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec la même clé.

Pre-Shared Key Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé partagée. Les utilisateurs de ce réseau sans fil doivent configurer leurs ordinateurs avec la même clé.

Radius Server Name Pour le mode sécurisé WPA Radius, sélectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit être configuré dans Utilisateur > RADIUS. Pour plus d’informations, voir « Serveurs RADIUS » à la page 326.

Avancés Cliquez sur Avancés pour ouvrir et fermer la section des paramètres avancés du Wireless. Les valeurs par défaut fonctionnent très bien dans la plupart des situations. Si nécessaire, modifiez les paramètres pour résoudre des problèmes de performance. Les paramètres avancés sont décrits ci-dessous. (En mode Point d’Accès uniquement).

Puissance Tx Définit le niveau de puissance de l’émetteur. La valeur par défaut est positionnée sur la puissance maximum, 31 dBm.

Beacon Interval Définit l’intervalle entre les paquets beacon. Les Points d’Accès émettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les réseaux sans fil. Si de grandes interférences sont présentes, il est utile de diminuer le Beacon Interval pour améliorer la performance du réseau. Dans le cas contraire, vous pouvez augmenter cette valeur.

RTS Threshold Le seuil RTS (Request to Send) détermine le temps d’attente du boîtier pour la reconnaissance CTS (Clear to Send) d’un autre équipement sans fil.

Fragmentation Threshold Détermine la taille maximum d’un paquet de données avant que celui-ci ne soit fragmenté en deux ou plusieurs paquets. La réduction de ce seuil améliore la performance dans des environnements soumis à de hautes interférences.

Paramètres sans fil du système (FortiWiFi-60A et 60AM) Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres d’un LAN sans fil. Illustration 37 : Paramètres Sans Fil – FortiWiFi-60A et FortiWiFi-60AM

Mode d’Opération urs. Cliquez sur Changer pour le

modifier. En mode Point d’Accès, le FortiWiFi agit comme un Le mode d’opération en co


point d’accès sans fil auquel peuvent se connecter plusieursutilisateurs. En mode Client le boîtier est configuré pour se

Géographie

ectionnez un canal pour votre réseau sans fil FortiWiFi. Les

nnée dans Géographie. Voir « Domaines

formation sur

ce Tx

raffic Indication Messages

terfaces Wireless

Le nom de l’interface WLAN. Sélectionnez le nom pour éditer

ss.

SID Entrez le nom du réseau sans fil émis par le FortiWiFi. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau.

SSID Broadcast Un signal vert indique que le FortiWiFi émet son SSID. (En mode Point d’Accès uniquement).

Security Mode WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou none. L’utilisation WPA est disponible en mode Point d’Accès uniquement. Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec les mêmes paramètres.

Filtrage des MAC Sélectionnez Système > Wireless > Filtre MAC pour autoriser ou rejeter l’accès sans fil aux utilisateurs en fonction de leur adresse MAC.

connecter à un autre réseau sans fil en tant que client.

Sélectionnez votre région pour déterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents américains), EMEA (Europe, Moyen Orient, Afrique), Israël ou Japon. Pour toute autre région du monde, choisissez World.

Canal Sélutilisateurs de ce réseau doivent configurer leurs ordinateurs pour utiliser le même canal. Le choix des canaux dépend de larégion sélectiorégulatoires » à la page 92 pour toute inl’affectation des canaux.

Puissan Définit le niveau de puissance de l’émetteur. La valeur par défaut est positionnée sur la puissance maximum, 31 dBm.

Beacon Interval Définit l’intervalle entre les paquets beacon. Les Points d’Accès émettent les beacons ou T(TIM) pour synchroniser les réseaux sans fil. Si de grandesinterférences sont présentes, il est utile de diminuer le Beacon Interval pour améliorer la performance du réseau. Dans le cas contraire, vous pouvez augmenter cette valeur.

Liste des In

Interface l’interface.

Adresse MAC L’adresse MAC de l’interface Wirele

S


Illustration 38 : Filtre MAC

Filtrage des MAC Pour activer le filtrage, cochez la case Activer.

Accès des PCs non listés Permet d’autoriser ou de rejeter l’accès aux adresses ci-dessous MAC non répertoriées.

Adresses MAC Entrez l’adresse MAC à filtrer.

Autoriser ou Rejeter Permet d’autoriser ou de rejeter l’accès à cette adresse MAC.

Ajouter Ajoute l’adresse MAC dans la Liste d’Autorisation ou dans la Liste de Rejet en fonction du choix émis.

Liste d’Autorisation Liste des adresses MAC autorisées à accéder au réseau sans fil.

Liste de Rejet Liste des adresses MAC rejetées de l’accès au réseau sans fil.

Les boutons Flèches Déplace une adresse MAC d’une liste à l’autre.

Supprimer (sous la Liste Supprime les adresses MAC sélectionnées de la d’Autorisation) Liste d’Autorisation. Supprimer (sous la Liste Supprime les adresses MAC sélectionnées de la de Rejet) Liste de Rejet.

Surveillance du module sans fil Sélectionnez Système > Wireless > Monitor pour voir qui est connecté à votre LAN sans fil. Cette fonctionnalité est seulement disponible en mode de sécurité WPA. Illustration 39 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60)


Illustration 40 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60A et 60AM)

Statistiques Informations statistiques sur les performances sans fil pour chaque WLAN. Uniquement disponible sur les FortiWiFi-60A et FortiWiFi-60AM.

AP Name Le SSID de l’interface WLAN.

Signal Strength (dBm) L’intensité du signal du client.

Noise (dBm) Le niveau de bruit reçu.

S/N (dB) Le ratio signal/bruit, exprimé en décibels, est calculé à partir de l’intensité du signal et du niveau de bruit.

Rx (KBytes) Le montant de données en KiloOctets reçus pendant la session.

Tx (KBytes) Le montant de données en KiloOctets envoyés pendant la session.

Clients Le nombre de clients connectés au WLAN et des informations à leur propos.

Adresse MAC L’adresse MAC du client sans fil connecté.

Adresse IP L’adresse IP affectée au client sans fil connecté.

AP Name Le nom du WLAN auquel le client est connecté. Disponible uniquement sur les FortiWiFi-60A et FortiWiFi-60AM.

ID L’ID du client connecté utilisant le mode sécurisé WPA RADIUS. Ce champ reste blanc si le client utilise les modes sécurisés WPA Pre-Shared Key ou WEP. Disponible uniquement sur le FortiWiFi-60.


Système DHCP Cette section décrit l’utilisation du protocole DHCP fournissant une configuration réseau automatique pratique pour vos clients. Cette section couvre les sujets suivants:

• Serveurs et relais FortiGate DHCP

• Configuration des services DHCP

• Visualisation des baux d’adresses

Serveurs et relais DHCP FortiGate Le protocole DHCP permet aux hôtes d’obtenir automatiquement leur adresse IP. Eventuellement, ils peuvent aussi obtenir les paramètres de la passerelle par défaut et du serveur DNS. Une interface FortiGate ou une sous-interface VLAN peut pourvoir les services DHCP suivants :

• Serveurs DHCP réguliers pour des connexions Ethernet régulières

• Serveurs DHCP IPSec pour des connexions IPSec (VPN)

• Relais DHCP pour des connexions Ethernet régulières ou IPSec (VPN)

Une interface ne peut pas fournir en même temps un serveur et un relais pour des connexions du même type (régulier ou IPSec).

Remarque : Vous pouvez configurer un serveur DHCP régulier sur une interface seulement si celle-ci possède une adresse IP statique. Vous pouvez configurer un serveur DHCP

adresses IP aux ôtes du réseau connectés à cette interface. Les ordinateurs hôtes doivent être

a plage ’adresses IP pour chaque serveur DHCP doit correspondre à la plage d’adresses

our configurer un serveur DHCP, voir « Configuration d’un serveur DHCP » à la

ses aux clients. Le serveur DHCP doit avoir n routage approprié de manière à ce que ses paquets-réponses aux clients

Pour en savoir plus sur la configuration d’un relais DHCP, voir « Configuration d’une interface comme relais DHCP » à la page 101.

IPSec sur une interface qui possède une adresse IP statique ou dynamique.

Vous pouvez configurer un ou plusieurs serveurs DHCP sur n’importe quelle interface FortiGate. Un serveur DHCP affecte dynamiquement des hconfigurés de manière à obtenir leurs adresses IP via DHCP. Dans le cas où une interface est connectée à de multiples réseaux via des routeurs, vous pouvez ajouter un serveur DHCP pour chaque réseau. Lddu réseau. Les routeurs doivent être configurés pour les relais DHCP. Ppage 101. Vous pouvez configurer une interface FortiGate comme relais DHCP. L’interface transfère alors les requêtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite les réponuDHCP arrivent au boîtier FortiGate.


Configuration des services DHCP Sélectionnez Système > DHCP > Service pour configurer les services DHCP. Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou d’ajouter autant de serveurs DHCP que nécessaire. Sur les modèles FortiGate 50 et 60, un serveur DHCP est configuré par défaut sur l’interface Interne, avec les paramètres suivants :

Plage d’adresses IP 192.168.1.110 à 192.168.1.210

Masque de réseau 255.255.255.0

Passerelle par défaut 192.168.1.99

Durée du bail 7 jours

Serveur DNS 1 192.168.1.99

Vous pouvez désactiver ou modifier cette configuration du serveur DHCP par défaut. Ces paramètres sont appropriés pour l’adresse IP par défaut 192.168.1.99 de l’interface Interne. Si vous changez cette adresse vers un réseau différent, il faut également modifier les paramètres du serveur DHCP pour que ceux-ci correspondent à la nouvelle adresse. Illustration 41 : Liste des services DHCP – Exemple d’un FortiGate-200A

Interface Liste des interfaces FortiGate. Cliquez sur la flèche

bleue à côté de chacune des interfaces pour visualiser les relais et serveurs.

Nom du serveur/IP du relais Nom d’un serveur FortiGate DHCP ou adresse IP d’un serveur DHCP accédé via un relais.

Type Type de relais ou serveur DHCP : Régulier ou IPSec.

Activer Une icône V verte indique que le serveur ou relais est activé.

Icône d’ajout d’un serveur DHCP Permet de configurer et d’ajouter un serveur DHCP sur cette interface.

Icône Editer Permet d’éditer la configuration d’un relais ou serveur DHCP.

Icône de Suppression Permet de supprimer un serveur DHCP.


Configuration d’une interface comme relais DHCP

Sélectionnez Système > DHCP > Service et cliquez sur l’icône Editer pour voir ou modifier la configuration du relais DHCP d’une interface. Illustration 42 : Editer les paramètres du relais DHCP

Le nom de l’interface sél

Nom de l’interface ectionnée.

Type type de service DHCP requis.

Regular Configurez l’interface comme relais DHCP pour les ordinateurs du réseau connectés à cette interface.

IPSEC Configurez l’interface comme relais DHCP seulement

requêtes DHCP des ordinateurs du réseau connectés à l’interface.

Configuration d’un serveur DHCP

Sélectionnez Système > DHCP > Service pour configurer un serveur DHCP sur une interface. Sélectionnez l’icône en croix Ajouter un Serveur DHCP à côté de l’interface ou cliquez sur Editer à côté d’un serveur DHCP existant pour en modifier les paramètres.

Activer Active l’agent relais DHCP sur cette interface.

Sélectionnez le

pour les clients distants VPN avec une connexion VPNIPSec à cette interface.

Adresse IP du Serveur DHCP Entrez l’adresse IP du serveur DHCP qui répondra aux


Illustration 43 : Options du Serveur

Nom Entrez un nom pour le serveur DHCP.

Activer Active le serveur DHCP.

Type Sélectionnez Régulier ou IPSEC.

Il n’est pas possible de configurer un serveur DHCP Régulier sur une interface qui possède une adresse IP dynamique.

Plage IP Entrez le début et la fin de la plage d’adresses IP que ce serveur DHCP affecte aux clients DHCP.

Masque de réseau Entrez le masque de réseau que le serveur DHCP affecte aux clients DHCP.

Routeur par défaut Entrez l’adresse IP de la passerelle par défaut que le serveur DHCP affecte aux clients DHCP.

Domaine Entrez le domaine que le serveur DHCP affecte aux clients DHCP.

Durée du Bail Sélectionnez Illimitée pour une durée de bail illimitée ou entrez le temps, en jours, heures, minutes, après lequel un client DHCP devra demander au serveur DHCP de nouveaux paramètres. La durée du bail peut varier entre 5 minutes et 100 jours.

Avancés Cliquez sur Avancés pour configurer les options avancées.

Serveur DNS 1 Entrez les adresses IP de 1 à 3 serveurs DNS que le Serveur DNS 2 serveur DHCP affecte aux clients DHCP. Serveur DNS 3 Serveur WINS 1 Ajoutez les adresses IP d’un ou deux serveurs WINS que le


Serveur WINS 2 serveur DHCP affecte aux clients DHCP. Option 1 Entrez jusqu’à trois options personnalisées DHCP qui peuvent Option 2 être envoyées par le serveur DHCP. Code est le code option Option 3 DHCP compris entre 1 et 255. L’option est un chiffre pair

hexadécimal et n’est pas requis pour certains codes option. Pour plus d’informations détaillées à propos des options DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor Extensions.

Exclure les plages IP

Ajouter Permet d’ajouter une plage d’adresses IP à exclure. Vous pouvez ajouter jusqu’à 16 plages d’adresses IP à exclure, que le serveur DHCP n’affectera donc pas aux clients DHCP. Les plages ne peuvent pas dépasser 65536 adresses IP.

Début de l’adresse IP Entrez la première adresse IP de la plage à exclure.

Fin de l’adresse IP Entrez la dernière adresse IP de la plage à exclure.

Icône de Suppression Supprime la plage à exclure.

Visualisation des baux d’adresses Sélectionnez Système > DHCP > Baux d’adresses (Address Leases) pour visualiser les adresses IP que les serveurs DHCP ont affectées et les adresses MAC client correspondantes. Illustration 44 : Liste des baux d’adresses

pour mettre à jour la liste des baux

Adresse IP IP affectée.

dresse IP est affectée.

ration du bail DHCP.

Réservation d’ad

pe de connexion, Ethernet régulier nt. Vous

Utilisez la commande CLI system dhcp reserved-address. Pour plus d’informations, référez-vous au FortiGate CLI Reference.

Interface Sélectionnez l’interface pour laquelle vous voulez voir la liste des baux.

Réactualiser Sélectionnez Rafraîchird’adresses.

L’adresse

Adresse MAC L’adresse MAC de l’équipement auquel l’a

Expiration du bail Date et heure d’expi

resses IP pour clients spécifiques

Vous pouvez réserver une adresse IP pour un client spécifique identifié par l’adresse MAC de l’équipement du client et le tyou IPSec. Le serveur DHCP affecte toujours l’adresse réservée à ce cliepouvez définir jusqu’à 50 adresses réservées.


Configuration du Système Cette section décrit la configuration de plusieurs fonctionnalités non liées au réseau, telles que cluster HA, messages de remplacement personnalisés, timeouts et langue de l’interface d’administration web. Cette section couvre les sujets suivants :

• Haute Disponibilité

• SNMP

• Messages de remplacement

• Mode de fonctionnement des VDOM et accès administratif

Les HA, SNMP et messages de remplacement font partie de la configuration globale du FortiGate. La modification du mode de fonctionnement s’applique indépendamment à chaque VDOM.

Haute Disponibilité Cette section fournit une description générale de la Haute Disponibilité FortiGate et du clustering virtuel HA FortiGate. Les options de configuration et quelques procédures de configuration et de maintenance de base de la Haute Disponibilité sont également détaillées dans cette section.

Remarque : Pour vous informer sur la manière de configurer et d’opérer un cluster HA FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate et à la Base de Connaissance de Fortinet. Cette section couvre les sujets suivants :

• Aperçu sur la Haute Disponibilité

• Protocole de Clustering FortiGate (FGCP)

• Modes HA (actif-actif et actif-passif)

• Compatibilité de la HA FortiGate avec DHCP et PPPoE

• Aperçu sur le clustering virtuel

• Aperçu sur le maillage intégral HA

• Configuration d’options HA (clustering virtuel inactivé)

• Configuration d’options HA pour clustering virtuel

• Options HA

• Liste des membres d’un cluster

• Visualisation des statistiques HA

• Modification du nom d’hôte et de la priorité du membre subordonné

• Configuration d’un cluster HA

• Configuration d’un clustering virtuel




• Administration d’un cluster

• Déconnexion d’un membre du cluster de son cluster

• Adresses MAC d’un cluster virtuel

• Exemple de configuration d’un clustering virtuel

• Administration de clusters virtuels

• Exemple de configuration en maillage intégral HA

• Maillage intégral HA pour un clustering virtuel

• HA et interfaces redondantes

• HA et interfaces agrégées 802.3ad

Aperçu sur la Haute Disponibilité

La Haute Disponibilité (HA) FortiGate offre une solution aux deux exigences les plus critiques des réseaux d’entreprises : une fiabilité perfectionnée et une performance croissante. La Haute Disponibilité FortiGate s’implémente en configurant deux ou plusieurs équipements FortiGate afin qu’ils opèrent en un cluster HA. Pour le réseau, ce cluster HA s’affiche comme un seul équipement FortiGate, traitant le trafic du réseau et fournissant les services de sécurité tels que pare-feu, VPN, prévention contre les intrusions, analyse des virus, filtrage web et antispam. Illustration 45 : Cluster HA composé de deux boîtiers FortiGate-3600

Au sein d’un cluster, les équipements individuels FortiGate sont appelés membreCes membres partagent les informations sur leur état et configuration. Dans le cas d’une défaillance de l’un des membres, les autres membres du cluster prennent en charge l’activité du membre en panne. Après la panne, le cluster continue de traite trafic réseau et de fournir les services FortiGate sans interruptio

s.

er n du service. l


Chaque cluster FortiGate est formé d’un membre primaire (aussi appelé maître) et d’un ou plusieurs membres subordonnés (aussi appelés esclave ou redondanLe membre primaire contrôle le fonctionnement du cluster. Les rôles joués par les membres primaire et subordonné(s) dans le cluster dépendent du mode dans lequel le cluster opère. Voir « Modes HA (actif-act

ts).

if et actif-passif) » à la page 107.

ournir continuellement un service pare-feu, même appelé la redondance. La redondance HA

pour

r

ce du réseau grâce à un partage de la charge que représentent le fiche sur sans

réparti entre les membres du cluster.

Protocole de Clus

a haute disporedondantes et son Protocole deFortiGate d’un cluster HA appliqpartage les mêmes paramètres membres FortiGate dans un clu

A doivent être du même modè ême version logicielle

Les membres FortiGate d’un clucommuniquer des informations s a onfiguration et la table de routage du cluster et créer des rapports sur les statuts

sles interfaces de heartbeat, et leheartbeat HA. Grâce à ce dernietrain de communiquer sur les sta pour assurer un bon fonctionnement du cluster.

rtiGate et le FGCP supportent la réplication de lien, la

s vers un membre FortiGate d’un cluster HA échoue, toutes les fonctions, connexions pare-feu

r

L’avantage qu’offre le cluster de fdans le cas d’une défaillance, estFortiGate signifie que votre réseau ne doit pas s’appuyer sur un FortiGate continuer de fonctionner. Vous pouvez installer des membres additionnels et former un cluster HA. Les autres membres du cluster prendront le relais en cas dedéfaillance d’un des membres. Une deuxième fonctionnalité HA, appelée l’équilibrage de charge, sert à augmenteles performances pare-feu. Un cluster de membres FortiGate peut augmenter la

erformanptraitement du trafic et la fourniture des services de sécurité. Le cluster s’afle réseau comme un seul équipement, ce qui augmente ses performancesapporter de modifications à votre configuration réseau. Un clustering virtuel étend les fonctionnalités HA pour fournir une redondance et un équilibrage de charge pour chaque domaine virtuel activé dans le cadre d’un cluster de FortiGate. Un cluster virtuel se compose d’un cluster de deux membresFortiGate opérant avec des domaines virtuels. Le trafic sur différents domaines irtuels est v

tering FortiGate (FGCP)

Fortinet réalise de l nibilité grâce à ses ressources hardware Clustering FortiGate (FGCP). Chaque membre

ue les mêmes règles globales de sécurité et de configuration. Vous pouvez totaliser jusqu’à 32 ster HA. Tous les membres FortiGate d’un cluster le et fonctionner avec la mH

FortiOS.

ster utilisent les interfaces Ethernet pour ur la session du cluster, synchroniser l

cdes membres individuels du clu ter. On appelle ces interfaces Ethernet du cluster

s communications entre les membres du cluster le r, les membres du cluster sont constamment en tuts du HA

La Haute Disponibilité Foréplication matérielle et la réplication du heartbeat HA. Réplication de lien Si un des lien

établies et sessions VPN IPSec1 sont maintenues pales autres membres FortiGate du cluster HA. Pour plus d’informations sur l’échec de lien, voir « Surveillancedes ports » à la page 116.

1 La Haute Disponibilité ne fournit pas de réplication de sessions pour les services PPPoE, DHCP, PPTP et P2TP.


Réplication matérielle Si un des membres FortiGate d’un cluster HA est

Modes HA (actif-actif

euvent être configurés pour opérer en mode HA actif-actif . Les clusters actif-actif et actif-passif fonctionnent aussi

bien en mode NAT/Route que Transparent.

s

on slave <priority_id> où priority_id> est la place prioritaire du membre subordonné dans le cluster.

:

A) équilibre la charge du traitement du trafic vers tous les

emb luster HA actif-actif se compose d’un membre primaire et (s) subordonné(s) qui traitent ensemble tout le trafic. Le n algorithme d’équilibrage de charge pour distribuer le bres du cluster.

s sont

membre primaire. Vous pouvez configurer un cluster pour qu’il équilibre la charge du trafic TCP et l’analyse de virus parmi tous les membres et

ter composé de trois membres, les écrans afficheront :

défaillant, toutes les fonctions, connexions pare-feu établies et sessions VPN IPSec sont maintenues par lesautres membres FortiGate du cluster HA.

Réplication du heartbeat HA Vous pouvez configurer de multiples interfaces comme

interfaces heartbeat HA. Si une interface heartbeat HA échoue, le heartbeat HA est transféré vers une autre interface.

et actif-passif)

Les membres FortiGate p(A-A) ou actif-passif (A-P)

Un cluster HA actif-passif (A-P), aussi appelé réplication HA, se compose d’un membre primaire qui analyse le trafic et d’un ou plusieurs membre(s) subordonné(s). Ces derniers sont connectés au réseau et au membre primaire mais ne traitent pas le trafic. Lorsqu’un cluster opère en mode actif-passif , la mention (a-p) apparaît sur leécrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary s’affiche sur l’écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la menti<Dans l’exemple d’un cluster composé de trois membres, les écrans afficheront

• primary (a-p)

• slave 1 (a-p)

• slave 2 (a-p)

Le mode HA actif-actif (A-m res du cluster. Un cd’un ou plusieurs membremembre primaire utilise utraitement à tous les mem Par défaut un cluster actif-actif HA FortiGate équilibre la charge des sessionsd’analyse des virus entre tous les membres du cluster. Tous les autres trafictraités par le

ce, à l’aide de l’interface de ligne de commande. Lorsqu’un cluster opère en mode actif-actif, la mention (a-a) apparaît sur les écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary s’affiche sur l’écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la mention slave <priority_id> où <priority_id> est la place prioritaire du membre subordonné dans le cluster.

ans l’exemple d’un clusD

• primary (a-a)

• slave 1 (a-a)


• slave 2 (a-a)

Pour plus d’informations sur le FGCP reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate et à la Base de Connaissance de Fortinet.

Compatibilité de la HA FortiGate avec DHCP et PPPoE

ls

s

DHCP n’est pas affectée par une opération HA. Pour toute information sur les serveurs et relais

a page 99.

la

Aperçu sur le clu

le cadre d’un cluster, la HA FortiGate CP ing

e

stribuer le traitement de domaines virtuels entre deux membres du cluster permet également de configurer le clustering virtuel pour

luster.

le

uf dans le cas où le membre primaire tombe en

La Haute Disponibilité FortiGate n’est pas compatible avec les protocoles PPP teque DHCP ou PPPoE. Si une ou plusieurs interfaces de l’équipement FortiGate sont configurées dynamiquement avec DHCP ou PPPoE, vous ne pouvez pas passer en mode HA. Par ailleurs, si vous opérez votre cluster HA FortiGate, voune pouvez pas modifier une interface du cluster pour la configurer dynamiquementavec DHCP ou PPPoE. La configuration d’une interface comme serveur DHCP ou relais

DHCP, voir « Système DHCP » à l

PPTP et L2TP sont supportés en mode HA. Vous pouvez configurer les paramètres PPTP et L2TP et ajouter des règles pare-feu pour permettre le passage de PPTP et L2TP. Cependant, lors d’une réplication HA, toutes les sessions actives PPTP et L2TP sont perdues et doivent être redémarrées après réplication.

stering virtuel

i des domaines virtuels sont activés dans Sopère via un clustering virtuel. Le clustering virtuel est une extension du FGpour les membres FortiGate opérant avec des domaines virtuels. Un clustervirtuel fonctionne en mode actif-passif pour fournir une protection sous la formd’une redondance entre deux instances d’un domaine virtuel opérant sur deux membres différents du cluster. Di

fournir un équilibrage de charge entre les membres du c

Clustering virtuel et relais

Le clustering virtuel opère sur deux (et seulement deux) FortiGate avec des domaines virtuels activés. Chaque domaine virtuel crée son propre cluster. Touttrafic envoyé et reçu par le domaine virtuel reste dans le domaine virtuel et est traité par lui. Un membre du cluster est le membre primaire de chaque domaine virtuel et l’autre membre du cluster est le membre subordonné de chaque domaine virtuel. Le membre primaire traite tout le trafic du domaine virtuel. Le membre ubordonné ne traite pas le trafic sas

panne. Le membre subordonné prend alors le relais, traitant le trafic passant précédemment par le membre primaire. Le heartbeat HA fournit les mêmes services HA dans une configuration de clustering virtuel que dans une configuration HA standard. Un groupement d’interfaces heartbeat de HA fournit ses services heartbeat HA pour tous les domaines virtuels du cluster.


Clustering virtuel et équilibrage de charge

r

e membre rimaire pour quelques domaines virtuels et l’autre membre du cluster doit être

e e

ans cette configuration, la réplication reste la même. Si l’un des membres du

els

e le traitement passe vers le membre restant.

Aperçu sur le maillage intégral HA

Les modèles FortiGate 800 et plus peuvent utiliser des interfaces redondantes pour créer une configuration de cluster appelée maillage intégral HA. Le maillage intégral HA est une méthode de réduction du nombre de points uniques de panne sur un réseau comprenant un cluster HA. Lorsque deux ou plusieurs boîtiers FortiGate sont connectés à un réseau dans un cluster HA, la fiabilité de ce réseau est améliorée grâce au fait que le cluster HA substitue un équipement FortiGate à un point unique de panne. Dans un cluster, un boîtier FortiGate est remplacé par un cluster de deux ou plusieurs équipements FortiGate. Cependant, même dans le cas d’un cluster, des points uniques de panne potentiels restent. Les interfaces de chaque membre du cluster se connectent à un seul commutateur offrant une seule connexion au réseau. Si le commutateur tombe en panne ou si la connexion entre le commutateur et le réseau échoue, le service vers le réseau est interrompu.

Bien que le clustering virtuel opère en mode actif-passif, vous pouvez configureune forme d’équilibrage de charge en configurant le clustering virtuel pour qu’il distribue le trafic entre les deux membres du cluster. Pour configurer cet équilibrage de charge un membre du cluster doit être défini commpdéfini comme membre primaire des domaines virtuels restants. Une distribution égale des domaines virtuels entre les deux membres du cluster permet à la chargque représente le traitement du réseau d’être partagé, de manière équilibrée, entrles deux membres du cluster Dcluster tombe en panne, tout le traitement est pris en charge par le membre restant. Il n’y a pas d’interruption du trafic pour les domaines virtuels pour lesqule membre restant était le membre primaire. Le trafic risque d’être interrompu temporairement pour les domaines virtuels pour lesquels le membre en panne était le membre primaire lorsqu


Illustration 46 : Points uniques de panne dans une configuration stand alone et une configuration de réseau HA

Le cluster HA améliore la fiabilité du réseau car un commutateur n’étant pas un composant aussi complexe qu’un boîtier FortiGate, il est moins enclin à tomber en panne. Cependant, une meilleure fiabilité est possible, si la configuration inclut des connexions redondantes entre le cluster et les réseaux auxquels il est connecté. Cette configuration redondante est réalisable grâce à des interfaces redondantes et une configuration en maillage intégral HA. Dans ce type de configuration un cluster HA composé de deux ou plusieurs membres FortiGate est connecté au réseau à l’aide d’interfaces et de commutateurs redondants. Chaque interface redondante est connectée à deux commutateurs, tout deux connectés au réseau. La configuration en maillage intégral qui en résulte assure des connexions redondantes entre tous les composants du réseau. Un exemple est donné dans l’illustration 47. Si un seul composant ou une seule connexion tombe en panne, le trafic est aiguillé vers le composant et la connexion redondants.


Illustration 47 : Configuration en Maillage intégral HA

Maillage intégral HA et équipements hearbeat redondants

faces heartbeat devraient être

aillage intégral HA, interfaces redondantes et interfaces

Le maillage intégral HA est supporté aussi bien par les interfaces redondantes que par les interfaces agrégées 802.3ad. Dans la plupart des cas, on utilise des interfaces redondantes. Cependant, si votre commutateur supporte les interfaces agrégées 802.3ad et séparent les tronçons multiples, vous pouvez utiliser des interfaces agrégées à la place d’interfaces redondantes pour un maillage intégral HA. Un des avantages des interfaces agrégées consiste dans le fait que toutes les interfaces physiques de l’interface agrégée peuvent recevoir et envoyer des paquets. Il en résulte une plus grande capacité de la bande passante du cluster. En général les interfaces redondantes et agrégées se composent de deux interfaces physiques. Toutefois, vous pouvez ajouter plus de deux interfaces physiques à une interface redondante ou agrégée. L’ajout de plusieurs interfaces

Une configuration en maillage intégral HA comprend également des interfaces de eartbeat HA redondantes. Au moins deux interh

sélectionnées dans la configuration HA et deux groupes d’interfaces de heartbeat HA devraient être connectées. Les équipements de heartbeat HA n’ont pas à être configurés comme interfaces redondantes parce que le FGCP traite la réplicationentre interfaces de heartbeat.

Magrégées 802.3ad


peut augmenter la protection et la capacité de la bande passante dans le cas d’une utilisation d’interfaces agrégées 802.3ad.

Configuration d’options HA (clustering virtuel inactivé)

Pour configurer les options HA, et joindre un boîtier FortiGate à un cluster HA, sélectionnez Système > Configuration > HA. Pour modifier les paramètres de configuration du membre primaire d’un cluster en fonction, sélectionnez Système > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur l’icône Editer pour le membre maître (primaire) dans la liste des membres du cluster. Voir « Liste des membres d’un cluster » à la page 120 pour plus d’informations sur cette liste. Illustration 48 : Configuration HA d’un FortiGate-5002FB2

Pour modifier le nom d’hôte et la priorité des membres subordonnés dans un cluster en fonction, sélectionnez Système > Configuration > HA pour afficher liste des membres du cluster. Cliquez sur l’icône Editer d’un membre su

la bordonné

our le configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre

Configuration d’o

psubordonné » à la page 123 pour plus d’informations sur la configuration de membres subordonnés.

ptions HA pour clustering virtuel

Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mêmes que les options classiques HA. Toutefois, les clusters virtuels comprennent les options de partitionnement de domaines virtuels. Les différences entre les options de configuration pour un HA régulier et pour un clustering virtuel HA sont parcourues ci-dessous.


Pour configurer les options HA d’un équipement FortiGate avec des domaines virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA. Pour modifier les paramètres de configuration du membre primaire dans un cluster en fonction avec des domaines virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur l’icône Editer du membre maître (ou primaire). Voir « Liste des membres d’un cluster » à la page 120. Illustration 49 : Configuration d’un cluster virtuel HA d’un FortiGate 5001

Pour modifier le nom d’hôte et la priorité des membres subordonnés d’un cluster en fonction avec des domaines virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur l’icône Editer d’un membre subordonné (ou redondant) pour le configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre subordonné » à la page 123.


Illustration 50 : Modification du nom d’hôte et de la priorité d’un membre subordonné

Options HA

La co HA permet d’adjoindre un boîtier FortiGate à un cluster ou d m ation d’un cluster opérationnel et d’un de ses membres. Les o tion s :

•

•

•

Interface de Heartbeat

Partitionnement de domaines virtuels

e

Sélectionnez un mode HA équipements FortiGate au mode stand de définir le mê

Mode Stand alone

Actif-actif ge haque

e cluster. Vous ne pouvez

pas sélectionner actif-actif si vous configurez un cluster virtuel.

utes les connexions. Les autres membres du cluster

ent passivement le statut du cluster et reste synchronisés avec le membre primaire. Les clusters virtuels doivent opérer en mode actif-passif.

nfiguration d’options e odifier la configur

p s HA suivantes peuvent être configurée

• Mode

Priorité du membre

Nom du Groupe

Mot de Passe

• Activer le maintien de la session

• Surveillance des ports

•

•

Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de hautdisponibilité FortiGate reprend des procédures de configuration globales HA et

onne des exemples détaillés de configuration. d

Mode

pour le cluster ou repasser lesdu cluster alone. Lors de la configuration d’un cluster, il est nécessaire me mode HA pour tous les membres du cluster HA.

Le mode de fonctionnement par défaut. Dans ce mode, le boîtier FortiGate n’opère pas en mode HA. Sélectionnez le mode Standalone si vous désirez que ce membre du cluster ne fonctionne plus en mode HA.

Sélectionnez ce mode pour configurer l’équilibrage de charou la réplication HA sur un cluster. En mode actif-actif ccluster traite le trafic activement et contrôle le statut des autres membres du cluster. Le membre primaire contrôle l’équilibragde charge parmi tous les membres du

Actif-passif Sélectionnez ce mode pour configurer une réplication HA sur un cluster. En mode actif-passif le membre primaire traitetocontrôl




La modification du mode HA d’un cluster en fonction entraîne la renégociation de

cluster té de

ux clusters virtuels, vous pouvez définir la priorité d’un membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet à un

emple le membre primaire du cluster virtuel 1 et le membre el 2. Pour plus d’informations, voir « Exemple de

e 141.

e

luster. Le mot de passe doit être le même pour tous les membres du cluster. La longueur maximum du mot de passe est de 15

oit

mbre primaire.

embre primaire original.

l’opération dans un nouveau mode et la probabilité de devoir sélectionner un nouveau membre primaire.

riorité de l’équipement P

Facultativement, il est possible de donner à chaque membre du cluster un ordre depriorité. De cette manière chaque membre peut être doté d’une priorité différente.Pendant la négociation HA, le membre avec la plus haute priorité devient le membre primaire. La priorité n’est pas synchronisée parmi les membres du cluster. Dans unn fonction vous modifiez la priorité de l’équipement pour modifier la priorie

chaque membre du cluster. A chaque modification de la priorité d’un membre du cluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le membre primaire. La plage de priorité s’étend de 0 à 255. La priorité par défaut est de 128. Lors de la configuration d’un cluster virtuel et dans le cas où vous avez ajouté des domaines virtuels aux de

membre d’être par exsubordonné du cluster virtuconfiguration d’un clustering virtuel » à la page 139 et « Administration de clusters virtuels » à la pag

Nom du group

Donnez un nom au cluster. Tous les membres du cluster doivent avoir le même nom de groupe.

Mot de passe

Entrez un mot de passe pour le c

caractères. Dans le cas d’un réseau avec plusieurs clusters HA FortiGate, chaque cluster davoir un mot de passe différent.

Activer le maintien de session

L’activation du maintien de session permet, en cas de défaillance du membre rimaire, que toutes les sessions soient reprises par le nouveau mep

Dans le cas où cette option est activée, les membres subordonnés maintiennent des tables de session identiques à celle du membre primaire. Cela permet au nouveau membre primaire de maintenir toutes les sessions de communication

ctives en cas de panne du ma En cas d’inactivation du maintien de session, les membres subordonnés ne maintiennent pas les tableaux de session. Dès lors, en cas de panne du membre primaire, toutes les sessions sont interrompues et doivent être redémarrées par le nouveau membre primaire.


Pour assurer une réplication, et donc une protection, performante, il est conseillé

de vérifier que les s

tion pourrait avoir lieu si une interface non connectée est sous

la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent

nformation sur les interfaces redondantes, voir « Création d’une page

our toute information sur les interfaces agrégées 802.3ad, voir « Création d’une à la

pag Les eillance (elles

rne les interfaces internes de tous les modèles FortiGate-60 et FortiWiFi-

rface LAN du FortiGate-500A.

• Les sous-interfaces VLAN (voir « Aperçu sur les VLAN » à la page 84).

rface redondante ou agrégée.

est nécessaire de créer une configuration

d’activer le maintien de session. Si une telle protection n’est pas nécessaire, l’inactivation de cette option peut réduire d’une part l’usage CPU HA et d’autre part réduire l’usage de la bande passante du réseau heartbeat HA.

Surveillance des ports

’activation de la surveillance des interfaces FortiGate permet Linterfaces sous contrôle fonctionnent correctement et sont bien connectées à leurréseaux. Si l’une de ces interfaces tombe en panne ou se déconnecte de son éseau, l’interface quitte le cluster et une réplication de lien s’enclenche. Cette r

réplication entraîne une re-direction du trafic traité par l’interface en panne vers lamême interface d’un autre membre du cluster qui possède toujours une connexion au réseau. Ce membre devient le nouveau membre primaire. Si vous arrivez à rétablir le flot du trafic à travers l’interface (par exemple si vous reconnectez un câble déconnecté du réseau) l’interface rejoint alors le cluster. Il est conseillé de mettre sous surveillance les seules interfaces connectées aux éseaux. Une réplicar

surveillance. Les interfaces qui sont susceptibles d’être mises sous surveillance apparaissent ans d

être mises sous surveillance, y compris les interfaces redondantes et les interfacesagrégées 802.3ad.

our toute iPinterface redondante » à la page 67 et « HA et interfaces redondantes » à la 149. Pinterface agrégée 802.3ad » à la page 66 et « HA et interfaces redondantes »

e 149.

interfaces suivantes ne peuvent pas être mises sous survn’apparaissent d’ailleurs pas dans la liste Port Monitor) :

• Les interfaces FortiGate qui comprennent un commutateur interne. Cela conce60, ainsi que les interfaces internes des FortiGate-100A et 200A. Cela concerne également l’inte

• Les interfaces VPN IPSec (voir « Aperçu du mode interface IPSec » à la page294).

• Les interfaces physiques individuelles qui ont été ajoutées à une inte

Si vous configurez un cluster virtuel, il différente de la surveillance des interfaces pour chaque cluster virtuel. Généralement pour chaque cluster virtuel, seules sont placées sous surveillance les interfaces ajoutées aux domaines virtuels de chaque cluster virtuel.


Interface de Heartbeat

e heartbeat par défaut tant que ous pouvez connecter les interfaces de heartbeat ensemble.

t par traite

es

our assurer un bon nctionnement du cluster.

es, ais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des

aces augmente la fiabilité. Si une terface tombe en panne, le heartbeat HA est repris par une autre interface.

ossible, il est conseillé d’activer le trafic heartbeat HA sur les terfaces utilisées uniquement pour le trafic heartbeat HA ou sur des interfaces n

Lescon . Cependant cette configuration est déconseillée pour

• r économiser de la bande passante du seau, il est conseillé de maintenir le trafic heartbeat HA en dehors de votre

Des paquets heartbeat risquent d’être perdus si l’interface commutateur traite ntraîner

es commutateur comprennent :

rne des FortiGate-100A et 200A

• du FortiGate-500A

Il est possible d’activer ou de désactiver la communication heartbeat HA pour chaque interface du cluster. Vous devez sélectionner au moins une interface deheartbeat. Si la communication heartbeat est interrompue, le cluster arrête le traitement du trafic. La communication heartbeat est définie par défaut sur deux interfaces (voir tableau 6). Vous pouvez désactiver le heartbeat HA pour chacune de ces interfaces ou activer le heartbeat HA pour d’autres interfaces. Dans la plupart des cas, vous pouvez maintenir la configuration de l’interface dv L’interface d’administration web FortiGate répertorie les interfaces de heartbeaordre alphabétique. La première interface heartbeat sélectionnée dans la liste tout le trafic heartbeat HA. Si cette interface tombe en panne ou se déconnecte, l’interface suivante dans la liste prend le relais. Le heartbeat HA communique des informations sur les sessions du cluster, synchronise la configuration et la table de routage du cluster et engendre drapports individuels sur les statuts des membres du cluster. Le heartbeat HA communique constamment des informations sur le statut HA pfo Vous pouvez activer des communications heartbeat pour des interfaces physiquminterfaces redondantes ou des interfaces agrégées 802.3ad. Ces types d’interfacesn’apparaissent pas dans la liste des interfaces de heartbeat. Activer le heartbeat HA pour plusieurs interfin Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans la mesure du pinco nectées à des réseaux moins occupés.

interfaces FortiGate qui comprennent un commutateur interne supportent la figuration heartbeat HA

deux raisons :

Pour des raisons de sécurité et pouréréseau interne.

•de gros volumes de trafic. La perte de paquets heartbeat risquent d’edes réplications répétées inutiles.

Les modèles FortiGate avec des interfac

• L’interface interne de tous les modèles FortiGate-60 et FortiWiFi-60

• L’interface inte

L’interface LAN


T figuration par défaut des ces de heartbeat pour tous les m ate

Modèle FortiGate s de heartbeat par défaut

ableau 6 : Conodèles FortiG

interfa

InterfaceDMZ Modèles FortiGate-60 et

FortiWiFi-60 WAN1 DMZ FortiGate-100 External DMZ 2 FortiGate-100A External DMZ FortiGate-200 External DMZ 2 FortiGate-200A External DMZ/HA FortiGate-300 External Port 3 FortiGate-300A Port 4 Port 3 FortiGate-400 Port 4/HA Port 3 FortiGate-400A Port 4 HA FortiGate-500 Port 1 Port 3 FortiGate-500A Port 4 HA FortiGate-800 et

FortiGate-800F Port 1 Port 3 FortiGate-1000A et

FortiGate-1000AFA2 Port 4 Port 3 FortiGate-3000 Port 4/HA Port 4 FortiGate-3600 Port 5/HA External FortiGate-4000 oobm Port 9 FortiGate-5001 et

FortiGate-5001FA2 Port 10 Port 5 FortiGate-5002FB2 Port 6

Les ports 9 et 10 connectent les équipements FortiGate-5001 et FortiGate-

5001FA2 via le fond de panier du châssis FortiGate série 5000. Ces interfaces sontuniquement utilisées pour le trafic heartbeat HA.


Adresses IP des interfaces de heartbeat

Il n’est pas nécessaire d’affecter des adresses IP aux interfaces de heartbeat pour e

resse IP

st conseillé d’isoler chaque interface de eartbeat sur son propre réseau. Les paquets heartbeat contiennent des

érable

t à l’aide d’un câble croisé.

T/Route, dresse IP n’altère en rien le trafic

heartbeat.

terface à votre réseau et activer à

artitionnement de domaines virtuels

ie du le cluster

Généralement, les domaines virtuels sont distribués de manière égale entre les deux clusters virtuels et les priorités configurées de manière à distribuer le trafic identiquement entre les membres du cluster. Pour plus d’informations, voir « Exemple de configuration d’un clustering virtuel » à la page 139 et « Administration de clusters virtuels » à la page 141.

que celles-ci soient en mesure de traiter les paquets heartbeat. Le cluster affectdes adresses IP virtuelles aux interfaces de heartbeat traitant le trafic. L’adaffectée à l’interface de heartbeat du membre primaire est 10.0.0.1 et l’adresse IPaffectée à l’interface de heartbeat du membre subordonné est 10.0.0.2. Un troisième membre du cluster aura comme adresse IP 10.0.0.3 etc. Pour garantir de meilleurs résultats, il ehinformations importantes sur la configuration du cluster. Par ailleurs, ils peuvent utiliser un montant considérable de la bande passante et il est dès lors préfd’isoler ce trafic des réseaux destinés à vos utilisateurs. L’utilisation de la bandepassante par les paquets heartbeat pourrait également réduire la capacité de l’interface à traiter le trafic du réseau. Dans la plupart des modèles FortiGate, si vous ne modifiez pas la configuration del’interface de heartbeat, vous isoleriez les interfaces heartbeat de tous les membres du cluster en les connectant au même commutateur. Si le cluster est composé de deux membres, vous pouvez connecter les interfaces de heartbeat directemen Le heartbeat HA et le trafic de données sont supportés par la même interface du cluster. Si vous décidez d’utiliser les interfaces de heartbeat pour traiter le trafic du réseau ou pour une connexion administrative, vous pouvez, en mode NAaffecter n’importe quelle adresse à l’interface. L’a

En mode Transparent, vous pouvez connecter l’inl’accès administratif. Vous pourriez alors établir une connexion administrativel’interface via l’adresse IP d’administration du mode Transparent. Cette configuration n’altère en rien le trafic heartbeat.

P

Lors de la configuration d’un clustering virtuel, vous pouvez sélectionner les domaines virtuels qui feront partie du cluster virtuel 1 et ceux qui feront partcluster virtuel 2. Le domaine virtuel root doit toujours se trouver dans virtuel 1.


Liste des membres d’un cluster

Les statuts des membres FortiGate d’un cluster en opération sont visibles dans la liste des membres du cluster. Cette liste permet également de :

• visualiser et modifier la configuration HA du cluster

• visualiser et modifier la priorité des membres individuels du cluster ( voir « Modification du nom d’hôte et de la priorité d’un membre subordonné » à la page 123)

• déconnecter un membre de son cluster (voir « Déconnecter un membre de son cluster » à la page 136 et « Administration de clusters virtuels » à la page 141)

Voir le boîtier FortiGate High Availability Guide - Guide des fonctions de haute disponibilité FortiGate pour obtenir des exemples de procédures HA et de configurations détaillées. Pour afficher la liste des membres du cluster, sélectionnez Système > Configuration > HA. Illustration 51 : Exemple d’une liste des membres d’un cluster pour un FortiGate-5001

Liste des membres d’un cluster virtuel

Dans le cas où les domaines virtuels sont activés, le statut des clusters virtuels en opération est visible dans la liste des membres du cluster. La liste des membres du cluster virtuel reprend le statut des deux clusters virtuels y compris les domaines virtuels ajoutés à chaque cluster virtuel. Pour afficher la liste des membres du cluster virtuel d’un cluster opérationnel, connectez-vous en tant qu’administrateur admin et sélectionnez Configuration Globale, ensuite Système > Configuration > HA.


Illustration 52 : Exemple d’une liste de membres d’un cluster virtuel pour un FortiGate-5001

Les flèches haut et bas nt de modifier l’ordre dans lequel apparaissent les

u

temps depuis lequel le membre est en fonction (up

hôte

odifier le nom d’hôte du membre primaire, lection

membre bordo

Rôle

le membre primaire (ou

Priorité de l’équipement ter. Chaque membre peut avoir e prior

Déconnexion du cluster

Permettemembres du cluster. Cela n’affecte pas le fonctionnement dcluster et de ses membres. Seul l’ordre d’apparition est modifié.

Membre du cluster Illustrations des panneaux avant des membres du cluster. Si leport réseau d’une interface apparaît en vert, cela signifie quel’interface est connectée. Maintenez le curseur de la souris surchaque illustration pour visualiser le nom d’hôte, le numéro desérie et letime). La liste des interfaces sous surveillance est également affichée.

Nom d’ Le nom d’hôte du FortiGate.

• Pour msé nez Système > Statut et cliquez sur Changer à côtedu nom d’hôte actuel.

• Pour modifier le nom d’hôte d’unsu nné, cliquez sur l’icône Editer du membre subordonné.

Le statut ou le rôle du membre dans le cluster.

• Le rôle est MASTER pour maître)

• Le rôle est SLAVE pour tous les membres subordonnés (ou redondants) du cluster

La priorité du membre du clusun ité différente. Durant la négociation HA, le membreavec la priorité la plus haute devient le membre primaire. L’intervalle de la priorité est de 0 à 255. La priorité par défaut est 128.

Déconnecte le membre du cluster. Voir « Déconnexion d’un membre du cluster » à la page 136.


Editer Sélectionnez Editer pour modifier la configuration d’un medu cluster HA.

• Pour le membre primaire, cliquez

mbre

sur l’icône Editer pour modifier la configuration du membre primaire et du cluster HA. Voir « Options HA » à la page 114.

irtuel 1 et cluster virtuel 2.

d’hôte et de la priorité d’un membre

uel, cliquez sur l’icône Editer pour modifier son nom d’hôte. Vous pouvez également modifier la priorité du membre subordonné dans le cluster virtuel sélectionné. Définir une priorité plus haute peut avoir pour effet de faire passer le rôle du membre de subordonné à primaire dans le cluster virtuel.

Télécharger un journal Télécharger un journal de déboguage crypté dans un fichier. de déboguage Vous pouvez ensuite l’envoyer au Service Technique de

Fortinet qui vous aidera à diagnostiquer les problèmes éventuels rencontrés sur votre FortiGate.

Visualisation des statistiques HA

Sélectionnez Visualiser les statistiques HA dans la liste des membres du cluster pour afficher le numéro de série, le statut et les informations sur la surveillance

our chaque membre du cluster.

tistiqet cliquez sur Visualiser le

Illustration 53 : Exemple de r un cluster actif-passif)

• Pour un membre primaire d’un cluster virtuel, cliquez sur l’icône Editer pour modifier la configuration du cluster virtuel HA et pour modifier la priorité du membre dans les cluster v

• Pour un membre subordonné, cliquez sur l’icône Editer pour modifier le nom d’hôte et la priorité. Voir « Modification du nomsubordonné » à la page 123.

• Pour un membre subordonné d’un cluster virt

p Pour visualiser les sta ues HA, sélectionnez Système > Configuration > HA

s Statistiques HA.

statistiques HA (pou

Entrez l’intervalle de temps souha

Rafraîchir toutes les ité entre deux mises à jour

Back to HA monitor es

des statistiques par l’interface graphique du FortiGate.

Ferme la liste des statistiques HA et retourne à la liste dmembres du cluster.


N° de série Le numéro de série vous permet d’identifier chaque Fortdans le cluster. L’ID du cluster corresp

iGate ond au numéro de série

Statut membre du cluster. Une marque Une s à

Actif depuis s et secondes depuis le

Monitor les statuts du système pour

Taux CPU membre du cluster. L’interface d’administration web affiche le taux CPU des

es processus S à l’interface

mémoire des processus d’administration (tels que les eb) est

ation en cours de

Paquets totaux Le nombre de paquets traités par le membre du cluster depuis son dernier redémarrage.

Virus détectés Le nombre de virus détectés par le membre du cluster.

Utilisation réseau Le total de la bande passante du réseau utilisée par toutes les interfaces du membre du cluster.

Total d’octets Le nombre d’octets traités par le membre du cluster depuis son dernier redémarrage.

Intrusion détectées Le nombre d’intrusions ou d’attaques détectées par l’IPS en fonction sur le membre du cluster.

Modification du nom d’hôte et de la priorité d’un membre subordonné

Vous pouvez modifier le nom d’hôte et la priorité de n’importe quel membre subordonné d’un cluster en fonction à partir de la liste des membres du cluster. La modification de la priorité d’un des membres du cluster entraîne une renégociation au sein du cluster. Pour modifier un nom d’hôte ou une priorité d’un membre subordonné, sélectionnez Système > Configuration > HA et cliquez sur l’icône Editer d’un membre subordonné dans la liste des membres du cluster.

du FortiGate.

Indique le statut de chaqueen V verte indique un fonctionnement normal du cluster.croix rouge signifie que le membre du cluster n’arrive pacommuniquer avec le membre primaire.

Le temps en jours, heures, minutedernier redémarrage du système.

Affiche les informations surchaque membre du cluster.

Le statut CPU en cours de chaque

processus majeurs uniquement. Le taux CPU dd’administration (tels que les connexions HTTPd’administration web) est exclu.

Taux Mémoire Le statut du taux mémoire en cours de chaque membre du cluster. L’interface d’administration web affiche le taux mémoire des processus majeurs uniquement. Le taux

connexions HTTPS à l’interface d’administration wexclu.

Sessions actives Le nombre de sessions de communictraitement par le membre du cluster.


Illustration 54 : Modification du nom d’hôte ou de la priorité d’un membre subordonné

Affiche et permet de modifier le nom

Paire d’hôte du membre

Priorité t permet de modifier la priorité du membre subordonné.

La priorité n’est pas synchronisée parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorité d’un équipement pour modifier la priorité de chaque membre du

bre du

Configuration d’u

rtiGate. La configuration d’opérations

que

s ortiGate est suffisamment mètres de départ variés.

es décrivent la , les procédures sont

identiques pour un cluster opérant en mode Transparent. Vous pouvez passer en ès la

nel).

subordonné.

Affiche e

cluster. A chaque modification de la priorité d’un memcluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le membre primaire.

La plage de priorité s’étend de 0 à 255. La priorité par défaut est de 128.

n cluster HA

Les procédures suivantes portent sur la configuration d’un cluster haute disponibilité de deux ou plusieurs boîtiers FoHA y est détaillée pour chacun des équipements FortiGate. On y explique également comment connecter les FortiGate entre eux pour former un cluster. Une fois le cluster connecté, il se configure de la même façon qu’un équipement FortiGate autonome. Pour la configuration de clusters virtuels, voir « Configuration d’un clustering virtuel » à la page 127. Pour la configuration en maillage intégral HA, voir « Aperçusur le maillage intégral HA » à la page 109. Les procédures reprises dans cette section représentent une séquence de démarches possible parmi plusieurs pour configurer un clustering HA. Une fois vous serez plus expérimenté avec FortiOS HA, rien ne vous empêche d’utiliser une séquence de démarches différente. Par commodité, les procédures suivantes partent du principe que le boîtier FortiGate est configuré avec les paramètres par défaut. Cependant, ceci n’est paune nécessité pour un déploiement HA réussi. La HA Fflexible pour supporter une configuration à partir de para Le mode par défaut étant le mode NAT/Route, les procédurconfiguration d’un cluster opérant en mode routé. Toutefois

mode Transparent, soit avant de commencer les procédures, soit aprconfiguration HA et la connexion du cluster (le cluster étant alors opération

• Configurer un boîtier FortiGate pour opérer en HA

• Connecter un cluster HA FortiGate

• Ajouter un nouveau membre à un cluster opérationnel


Configurer un boîtier FortiGate pour opérer en haute

er avec la même configuration ate

onfigurer.

web.

rtiGate » à la page 52. L’utilisation d’un et d’identifier les FortiGate individuellement.

4 Sélectionnez Système > Configuration > HA.

5

6 ur us les membres FortiGate du cluster HA.

7

disponibilité

Chaque membre FortiGate du cluster doit fonctionnHA. La procédure suivante parcourt la configuration de chaque membre FortiGpour opérer en HA. Voir « Options HA » à la page 114 pour plus d’informations sur les options HA reprises dans cette procédure.

1 Mettre le boîtier FortiGate sous tension pour le c

2 Connectez-vous à l’interface d’administration

3 Eventuellement vous pouvez donner au boîtier FortiGate un nom d’hôte. Voir « Modification du nom d’hôte d’un boîtier Fonom d’hôte perm

Définissez le mode actif-passif ou actif-actif.

Entrez un mot de passe pour le cluster. Ce mot de passe doit être le même poto

Cliquez sur OK.

Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.

Le boîtier FortiGate négocie pour étab

lir un cluster HA. Après avoir cliqué sur OK, ue pendant un moment car le cluster

MAC des interfaces FortiGate (voir connecter

plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC

ire à arp –d.

8

9 Répétez cette procédure pour tous les membres FortiGate du cluster.

ter HA FortiGate

ère en s membres du cluster

ntre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être

le

la connexion du FortiGate risque d’être perdHA négocie et le FGCP modifie l’adresse« Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se re

d’administration en effaçant l’entrée du tableau ARP pour votre FortiGate (ou simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisezla commande CLI simila

Mettre le boîtier FortiGate hors tension.

Une fois tous les membres configurés, rendez-vous à la section « Connecter un cluster HA FortiGate ».

Connecter un clus

Les procédures suivantes parcourent la connexion d’un cluster, qu’il opmode routé ou Transparent. Il est nécessaire de connecter leeconnectées au même concentrateur ou commutateur. Il est ensuite nécessaire de connecter ces interfaces à leurs réseaux en utilisant le même concentrateur oumême commutateur. Pour une meilleure performance, Fortinet recommande l’utilisation de commutateurs pour toutes les connexions du cluster.


L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire

eau jusqu’à ce que tous les n. La

e quelques

ur

3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.

4

des communications réseau puisque de nouvelles connexions physiques sont créées pour diriger le trafic à travers le cluster. Le démarrage du cluster occasionne également une interruption du trafic résmembres du cluster fonctionnent et que le cluster termine la négociationégociation du cluster est automatique et ne dure normalement qusecondes. Pendant le démarrage et la négociation du système, tout le trafic réseau est arrêté.

1 Connectez les interfaces internes de chaque membre du cluster à un commutateou concentrateur connecté à votre réseau interne.

2 Connectez les interfaces externes de chaque membre du cluster à un commutateur ou concentrateur connecté à votre réseau externe.

Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.

Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire n’est requise.

ont reprises dans le

s de heartbeat directement à l’aide du câble croi s interfaces de heartbeat, voir « In si que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate

5 Facultativement, connectez les autres interfaces de chaque membre du cluster à un concentrateur ou commutateur connecté aux réseaux.

L’illustration 55 reprend l’exemple d’une configuration réseau pour un cluster HA comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et externes sont connectées aux réseaux. Les interfaces HA sont connectées pour une communication heartbeat HA.

Illustration 55 : Configuration réseau HA

Les interfaces de heartbeat par défaut de votre FortiGate stableau 6. Au moins une interface de heartbeat devrait être connectée pour que lecluster puisse opérer. Vous pouvez également connecter les interfaces de heartbeat à un réseau. Si le cluster ne comporte que deux membres FortiGate, vous pouvez connecter les interface

sé. Pour davantage d’informations sur leterface de Heartbeat » à la page 117, ain


6

a ndes.

it d’un seul

1 du cluster.

mode Transparent, faites passer le mode de u membre vers le mode Transparent.

3

4

Configuration d’un clustering virtuel

nfiguration n de

es virtuels.

rocédures reprises dans cette section représentent une séquence de fois

HA, rien ne vous empêche d’utiliser

rincipe que le boîtier faut. Cependant, ceci n’est pas

ent HA réussi. La HA FortiGate est suffisamment flexible pour uration à partir de paramètres de départ variés.

tuel

Connecter un cluster virtuel HA FortiGate

tuels à un cluster HA

• Activer le clustering virtuel

Mettez sous tension tous les membres du cluster.

Lors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner parmi eux un membre primaire et les membres subordonnés. Cette négociationlieu sans intervention de l’utilisateur et ne dure que quelques seco

Vous pouvez maintenant configurer le cluster comme s’il s’agissaéquipement FortiGate.

Ajouter un nouveau membre à un cluster opérationnel

Configurez le nouveau membre du cluster pour opérer en HA avec les mêmesparamètres de configuration que les autres membres

2 Si le cluster fonctionne enfonctionnement du nouvea

Connectez le nouveau membre au cluster.

Mettez le nouveau membre sous tension.

Lors du démarrage du membre, celui-ci négocie son intégration dans le cluster. Après avoir rejoint le cluster, celui-ci synchronise la configuration du nouveau membre avec la configuration du membre primaire.

Les procédures suivantes portent sur la configuration d’un clustering virtuel de deux membres FortiGate. Ces procédures expliquent comment configurer deux

ouveaux membres FortiGate pour un clustering virtuel, y compris la conpour opérer en HA, la connexion des membres, l’activation de la configuratiodomaines virtuels et l’ajout de domaines virtuels à un cluster. Les procédures décrivent également comment configurer un clustering virtuel. Une fois le cluster virtuel opérationnel, vous pouvez configurer le cluster de la même façon qu’un

ortiGate autonome avec des multiples domainF Pour la configuration d’un clustering normal sans domaines virtuels, voir « Configuration d’un cluster HA» à la page 124. Pour la configuration en maillage intégral HA, voir « Aperçu sur le maillage intégral HA » à la page 109. Les pdémarches possible parmi plusieurs pour configurer un clustering virtuel. Uneque vous serez plus expérimenté avec FortiOSune séquence de démarches différente. Par commodité, les procédures suivantes partent du pFortiGate est configuré avec les paramètres par déune nécessité pour un déploiem

supporter une config

• Configurer deux nouveaux membres FortiGate pour un clustering vir

•

• Activer la configuration de domaines virtuels pour un cluster HA

• Ajouter des domaines vir


Configurer deux nouveaux membres FortiGate pour un clustering virtuel

Cette procédure décrit comment configurer un clustering virtuel commençant avec eux membres FortiGate dont le paramétrage est celui par défaut et qui ne sont

figuration HA identique. La r opérer en

configurer.

ment.

stème > Configuration > HA.

6 ntrez un mot de passe pour le cluster virtuel . Ce mot de passe doit être le même

7

dpas connectés à un réseau. Les deux membres du cluster doivent avoir une conprocédure suivante permet de configurer chaque membre FortiGate pouHA. Voir « Options HA » à la page 114 pour plus d’informations sur les options HA reprises dans cette procédure.

1 Mettez le boîtier FortiGate sous tension pour le

2 Connectez-vous à l’interface d’administration web.

3 Facultativement vous pouvez donner au FortiGate un nom d’hôte. Voir « Modification du nom d’hôte d’un boîtier FortiGate » à la page 52. L’utilisation d’un nom d’hôte permet d’identifier les FortiGate individuelle

4 Sélectionnez Sy

5 Définissez le mode actif-passif. Le mode HA actif-actif n’est pas supporté par un clustering virtuel.

Epour tous les membres FortiGate du cluster virtuel HA.

Cliquez sur OK.

Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.

Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d’être perdue pendant un moment car le cluster

irtuel » à la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre à jour la table ARP de votre PC

Gate (ou simplement en ire, utilisez la commande

8

nsuite

HA négocie et le FGCP modifie l’adresse MAC des interfaces FortiGate (voir « Adresses MAC d’un cluster v

d’administration en effaçant l’entrée ARP de votre Fortieffaçant toutes les entrées de la table ARP). Pour ce faCLI similaire à arp –d.

Répétez cette procédure pour tous les membres FortiGate du cluster virtuel.

Une fois les deux membres configurés, procédez avec la section « Connecter uncluster virtuel HA FortiGate ».

Connecter un cluster virtuel HA FortiGate

Les procédures suivantes parcourent la connexion de deux membres FortiGate pour opérer via un clustering virtuel. Il est nécessaire de connecter les membres ducluster entre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être connectées au même concentrateur ou commutateur. Il est enécessaire de connecter ces interfaces à leurs réseaux en utilisant le même concentrateur ou le même commutateur.


Pour une meilleure performance, Fortinet recommande l’utilisation de commutateurs pour toutes les connexions du cluster.

émarrage du cluster tous les

ciation. La

1 ster à un commutateur ou concentrateur connecté à votre réseau interne.

2 Connectez les interfaces externes de chaque membre du cluster à un

3 e des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.

4

L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire des communications réseau puisque de nouvelles connexions physiques sont créées pour diriger le trafic à travers le cluster. Le doccasionne également une interruption du trafic réseau jusqu’à ce que membres du cluster fonctionnent et que le cluster termine la négonégociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau est arrêté.

Connectez les interfaces internes de chaque membre du clu

commutateur ou concentrateur connecté à votre réseau externe.

Connectez un

Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.

Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire n’est requise.

le fond

connectée pour que le

ute

5 nectez les autres interfaces de chaque membre du cluster à

ll rtuel el

el

onnecté au domaine virtuel vdom_2. L’exemple comprend les connexions

es ensemble et au réseau Site 1.

Les interfaces du port 6 sont connectées ensemble et au routeur externe.

tées ensemble et au réseau Site 2.

• Les interfaces du port 8 sont connectées ensemble et au routeur externe.

de panier du châssis FortiGate-5000 ne sont pas illustrées.

Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait êtrecluster puisse opérer. Vous pouvez également connecter les interfaces de heartbeat à un réseau. Vous pouvez connecter les interfaces de heartbeat directement à l’aide du câble croisé. Pour davantage d’informations sur les interfaces de heartbeat, voir « Interface de Heartbeat » à la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de hadisponibilité FortiGate.

Facultativement, conun concentrateur ou commutateur connecté aux réseaux.

L’i ustration 56 reprend l’exemple d’une configuration réseau pour un cluster vicomprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtupossède deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans ledomaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuappelé vdom_1. Le Site 1 est connecté au domaine virtuel root et Site 2 est créseaux suivantes :

• Les interfaces du port 5 sont connecté

•

• Les interfaces du port 7 sont connec

Les communications heartbeat HA à travers le fond


Illustration 56 : Configuration réseau HA

6 Mettez sous tension tous les membres du cluster.

ors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner

ous pouvez maintenant configurer le cluster virtuel comme s’il s’agissait d’un seul

Activer la configuration de domaines virtuels pour un cluster HA

Les procédures suivantes décrivent comment activer la configuration de domaines virtuels pour un cluster virtuel HA. La procédure d’activation de la configuration de domaines virtuels est la même que celle d’un équipement FortiGate autonome.

1 Connectez-vous à l’interface d’administration web en tant qu’administrateur admin.

2 Cliquez sur Configuration Globale.

3 Sélectionnez Système > Admin > Settings (Paramètres).

4 Activer Virtual Domain Configuration.


Le cluster vous déconnecte. Vous pouvez maintenant vous reconnectez en tant qu’administrateur admin, ajouter des domaines virtuels et configurer le clustering virtuel. Voir « Activation du mode multiple VDOM » à la page 43 pour plus d’informations sur l’activation de domaines virtuels et les changements de l’interface d’administration web après l’activation des domaines virtuels.

Lparmi eux un membre primaire et les membres subordonnés. Cette négociation alieu sans intervention de l’utilisateur et ne dure que quelques secondes.

Véquipement FortiGate.


Ajouter des domaines virtuels à un cluster HA

Ajouter des domaines virtuels à un cluster HA se fait de la même façon que l’ajout de domaines virtuels à un équipement FortiGate autonome.

1 Connectez-vous en tant qu’administrateur admin à l’interface d’administration web du cluster.

Si la configuration de domaines virtuels est activée, la page Virtual Domain Configuration s’ouvre.

2 Cliquez sur Créer Nouveau pour ajouter un domaine virtuel.

3 Entrez un nom pour ce nouveau domaine virtuel et cliquez sur OK.

Vous pouvez ajouter autant de domaines virtuels que nécessaire.

Activer le clustering virtuel

Pour activer un clustering virtuel, il faut précédemment avoir configuré le cluster, activé la configuration de domaines virtuels et ajouté des domaines virtuels. Avant d’avoir activé un clustering virtuel, un cluster de membres FortiGate avec des domaines virtuels activés fonctionne de la même façon qu’un cluster HA standard. Un membre FortiGate du cluster opère comme membre primaire pour tous les domaines virtuels activés. Le cluster opère en mode actif-passif. Dès lors, seul le membre primaire traite le trafic. L’activation du clustering se fait en modifiant la configuration HA de manière à distribuer les domaines virtuels entre les deux clusters virtuels. Ensuite, il faut ajuster les priorités de chaque membre de chaque cluster virtuel. Un des membres peut opérer en tant que membre primaire pour une partie des domaines virtuels, tandis que l’autre membre opère en tant que membre primaire pour l’autre partie. Il en résulte un traitement du trafic distribué entre deux membres du cluster, semblable à une solution en mode actif-actif.

Remarque : Les étapes suivantes ne sont pas requises si vous utilisez le clustering virtuel uniquement comme système de réplication. De cette procédure résulte une distribution du trafic entre les deux membres du cluster dans le cluster virtuel.

1 Connectez-vous en tant qu’administrateur admin à l’interface d’administration web du cluster. La page de Configuration des Domaines Virtuels s’affiche.

2 Cliquez sur Configuration Globale.


La liste des membres du cluster s’affiche reprenant uniquement le Cluster Virtuel 1. Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans le Cluster Virtuel 1.


Illustration 57 : Exemple d’une liste des membres d’un cluster avec deux domaines virtuels dans le Cluster Virtuel 1

4

5 rtitionnement VDOM, distribuez les domaines virtuels entre les cluster el 2.

,

du cluster. Cependant, vous pouvez distribuez les domaines virtuels comme vous le désirez. La distribution peut par ailleurs être modifiée à tout

6

Le cluster renégocie. Après quelques secondes, la liste des membres du cluster reprend les deux clusters virtuels. Si vous n’avez modifié aucun paramètre de priorité, c’est le même membre qui devient membre primaire (maître) pour les deux domaines virtuels.

Illustration 58 : Exemple d’une liste des membres d’un cluster avec domaines virtuels distribués entre les deux clusters virtuels.

Cliquez sur l’icône Editer du membre primaire (maître) du Cluster Virtuel 1.

Sous le pavirtuel 1 et cluster virtu

Au départ, tous les domaines virtuels sont ajoutés au cluster virtuel 1. En généralla distribution des domaines virtuels entre les deux membres du cluster virtuel se fait de manière à ce que chacun des membres traite la même quantité de trafic réseau. Cela permet d’assurer que le trafic est distribué de manière équivalente entre les membres

moment.

Cliquez sur OK.

Cliquez sur l’icône Editer du membre primaire du cluster virtuel 1 et cluster virt2.

7 uel


Les options HA du clustering virtuel sont affichées. Vous pouvez modifier la priorité du membre primaire dans les deux clusters virtuels.

8 ctez la priorité 200 pour ce membre du cluster dans le cluster virtuel 1 et la

tre valeur de

donné dans le cluster virtuel 2. Illustration 59 : Exemple d’une liste des membres d’un cluster avec domaines virtuels

e les deux clusters virtuels et les priorités modifiées.

Affepriorité 50 dans le cluster virtuel 2. Cliquez ensuite sur OK.

Vous pouvez sélectionner différentes valeurs de priorité. Si aucune aupriorité n’a été modifiée, le membre du cluster sélectionné devient le membre primaire dans le cluster virtuel 1 et le membre subor

distribués entr

’autres paramètres HA des clusters virtuels peuvent être D configurés. Voir

r la

Administration d’

es configurations de tous les membres FortiGate du cluster sont synchronisées

bres

quelle adresse d’interface r un accès administratif SSH.

dministrer le cluster en configurant une des ses interfaces pour un accès administratif SNMP. L’utilisation d’un superviseur SNMP

ns sur la configuration du cluster, ainsi que de cevo ute information sur les listes des champs MIB HA, voir

re tous les changements de

onfiguration et les intègrent aux membres subordonnés.

« Exemple de configuration d’un clustering virtuel » à la page 139 et « Administration de clusters virtuels » à la page 141 pour plus d’informations suconfiguration et l’administration de clusters virtuels.

un cluster

Lafin de permettre aux membres de fonctionner comme un cluster. Grâce à la synchronisation vous administrez le cluster HA au lieu d’administrer les memindividuellement. L’administration se fait en se connectant à l’interface d’administration web en utilisant n’importe quelle adresse d’interface du cluster configurée pour un accès administratif HTTPS. Une autre façon d’administrer le cluster est de se connecter en CLI en utilisant n’importe du cluster configurée pou Vous pouvez également a

vous permet d’obtenir des informatioir des traps. Pour tore

« MIB FortiGate » à la page 156 et « Traps FortiGate » à la page 156. Pour apporter une modification à la configuration du cluster, connectez-vous au cluster et apportez les changements souhaités à la configuration du membrimaire. Le cluster synchronise automatiquement p

c


Les seuls changements qui ne sont pas synchronisés sont le nom d’hôte et la priorité du HA. Chaque membre du cluster peut avoir un nom d’hôte qui lui estpropre de manière à pouvoir distinguer les membres dans le cluster. Il est aussi possible de les distinguer à partir de leur numéro de série. La priorité peut être modifiée individuellement pour contrôler quel membre du cluster devient le membre primaire. Le rôle du membre dans le cluster s’affiche sur l’écran LCD (pour les FortiGate quen possèdent). La mention primary s’affiche sur l’écran LCD du membre primaire. L

i

es membres subordonnés affichent sur leur écran LCD la mention lave <priority_id> où <priority_id> est la place prioritaire du membre bor

• slave 2 (a-a)

permet de contrôler les statuts et les journaux de ent. Voir « Liste des membres d’un

pour les 134

cluster. La commande CLI execute ha manage

u partir de là, la commande CLI execute ha manage vous

nistrer lus

d’informations. En cas d’utilisation d’un câble null-modem pour vous connecter à ce membre subordonné est

n

Contrôler les membres pour la réplication

ind

1

2

La liste du éro de série du FortiGate dont les journaux son

3 él des membres du cluster dont vous voulez

ration du membre du cluster.

ssu donné dans le cluster. Dans l’exemple d’un cluster composé de trois membres et en mode actif-actif, les écrans afficheront :

• primary (a-a)

• slave 1 (a-a)

L’interface d’administration webchaque membre du cluster individuellemcluster » à la page 120 et « Visualiser et administrer les journauxmembres individuels d’un cluster » à la page Les membres du cluster peuvent être administrés individuellement à l’aide d’une connexion SSH en CLI aupermet de vous connecter en CLI à chaque membre du cluster. L’administration individuelle des membres peut aussi se faire via un câble null-modem connecté amembre primaire. Apermet de vous connecter en CLI à chaque membre du cluster. Voir « Admiindividuellement les membres d’un cluster » à la page 135 pour p

un membre subordonné, seule une connexion en CLI àpossible.

• Visualiser et administrer les journaux pour les membres individuels d’ucluster

•

• Administrer individuellement les membres d’un cluster

Visualiser et administrer les journaux pour les membres ividuels d’un cluster

Connectez-vous au cluster et à l’interface d’administration web.

Sélectionnez Journaux/Alertes > Journal.

Cluster HA reprend le numt affichés.

S ectionnez le numéro de série d’unvoir les journaux.

Vous pouvez voir, chercher et administrer les journaux sauvegardés sur la mémoire, dépendant de la configu


Contrôler les membres pour la réplication

Da s le cas d’une défaillance du membre primaire, les membres du cluster renégocient pour sélectionner un nouveau membre primaire. Une panne du

n

mem suivantes :

e trap HA est

Le nom d’hôte et la priorité du membre primaire changent.

ame master

e fonctionner normalement. Une panne d’un membre subordonné

connexion à un membre min. Ce compte intégré

mbres subordonnés.

1 ligne de commande.

cluster configurée pour un accès

2 ace et d’un point d’interrogation ( ?) :

s pour

3

bre primaire enclenche les étapes

• Si SNMP est activé, le nouveau membre primaire envoie un messag« HA switch ». Ce message signifie que le membre primaire du cluster en panne et a été remplacé par le nouveau membre primaire.

• Le cluster fonctionne avec un nombre réduit de membres. Le membre primaire défaillant n’apparaît plus sur la Liste des Membres du Cluster.

•

• Le nouveau membre primaire enregistre les messages des journaux d’événements suivants :

HA slave becDetected HA member dead

Dans le cas où l’un des membres subordonnés tombe en panne, le cluster continue denclenche les étapes suivantes :

• Le cluster fonctionne avec un nombre réduit de membres. Le membre défaillant n’apparaît plus sur la Liste des Membres du Cluster.

• Le membre primaire enregistre le message du journal d’événement suivant :

Detected HA member dead

uellement les membAdministrer individ res d’un cluster

Cette procédure décrit comment se connecter en CLI au membre primaire et de là, se connecter en CLI aux membres subordonnés. Lasubordonné se fait à partir du compte administrateur ha_advous accorde les droits en lecture et en écriture sur les me

Via SSH, connectez-vous au cluster et à l’interface de

Connectez-vous à n’importe quelle interface du administratif SSH.

Vous pouvez également utiliser un câble null-modem connecté au port console du membre primaire. Pour ce faire, vous devez déjà avoir sélectionné un membre primaire.

ntrez la commande suivante suivie d’un espE

execute ha manage

Le CLI affiche alors une liste de tous les membres subordonnés du cluster. Tous es membres sont numérotés en commençant par 1. Les informations repriselchaque membre comprennent le numéro de série et le nom d’hôte du membre.

Ajoutez à la fin de la commande CLI le numéro du membre subordonné pour vous y connecter. Par exemple, pour vous connecter au membre subordonné 1, entrez la commande suivante : execute ha manage 1


Appuyez sur la touche Enter pour vous connecter en CLI au membre subordchoisi. L’écran du CLI affiche le nom d’hôte du membre. Les commandes CLI vouspermettent d’administrer ce membre subordonné.

onné

4

r la commande execute ha manage pour vous connecter en CLI à n’importe quel membre subordonné du cluster.

Déconnexion d’un membre du cluster

res suivantes décrivent comment déconnecter un membre d’un cluster n sage,

are-feu autonome.

Les procédures suivantes s’appliquent aussi bien pour les clusters standard que pour les clusters virtuels. Pour ces derniers, vous devez néanmoins être connecté en tant qu’administrateur admin et avoir sélectionné Configuration Globale. Lors de la déconnexion d’un membre, vous devez affecter à une des interfaces de ce membre une adresse IP et un masque de réseau. Le membre primaire peut lui aussi être déconnecté. Dans ce cas, le cluster réagit de la même manière que si le membre primaire était tombé en panne. Il renégocie et sélectionne un nouveau membre primaire.

ne fois le membre déconnecté, celui-ci passe du mode HA à stand alone utonome). De plus, toutes les adresses IP des interfaces sont remises à 0.0.0.0

interface

s paramètres de configuration HA.

1 Sélectionnez Système > C embres

2

r

Pour retourner au CLI du membre primaire, entrez : exit

Vous pouvez utilise

Les procéduopérationnel sans interruption des opérations. Vous pouvez déconnecter uéquipement FortiGate dans le cas où vous en auriez besoin pour un autre utel que par exemple un p

U(aà l’exception de l’ que vous avez configurée. Les autre la configuration restent inchangés, y compris la

Déconnecter un membre de son cluster

onfiguration > HA pour visualiser la liste des mdu cluster.

Cliquez sur l’icône Déconnecter du cluster à côté du membre du cluster à déconnecter. Illustration 60 : Déconnecter un membre de son cluste

Numéro de Série Le numéro de série du membre du cluster à déconnecter.

Interface Sélectionnez l’interface que vous voulez configurer. Vous devez en spécifier l’adresse IP et le masque de réseau. Une


fois le membre déconnecté, toutes les options d’accès ur cette interface.

mbre déconnecté.

3

cluster et celui-ci peut renégocier et électionner un nouveau membre primaire. L’interface sélectionnée est configurée

é-adjoindre un membre FortiGate déconnecté à un cluster

onnecté au mode HA de ce membre pour qu’il corresponde au mode

té est ré-adjoint en tant que tomatiquement sa configuration.

administratifs sont activées s

IP/Masque de réseau Spécifiez l’adresse IP et le masque de réseau de l’interface. Vous pouvez utiliser cette adresse IP pour vous connecter à cette interface et configurer le me

Cliquez sur OK.

Le membre FortiGate est déconnecté dusavec l’adresse IP et le masque de réseau spécifiés.

R

Il est possible de reconnecter un membre FortiGate précédemment déccluster en définissant leHA du cluster. En général le membre déconnecmembre subordonné et le cluster synchronise au

Remarque : Il n’est pas nécessaire de modifier le mot de passe HA du membre déconnà moins q

ecté ue la HA ait été modifié après la déconnexion. Déconnecter un membre d’un

cluster n’affecte pas le mot de passe HA.

Attention : Assurez-vous que la priorité du membre déconnecpriorité du membre primaire. Si tel n’est pas le cas, lors de la recon

té est bien inférieure à la nexion du membre au

cluster, celui-ci va renégocier et le membre ré-adjoint deviendra le membre primaire. Ceci e la configuration de ce membre à tous les autres membres e perturbation au sein du cluster.

ment

e de rimaire.

1 necté. Si les domaines virtuels sont ateur admin et cliquez sur

2

3

4

5 Affectez une priorité plus basse que la priorité du membre primaire.

6

entraîne une synchronisation ddu cluster et pourrait causer un La procédure suivante part des principes suivants :

• Le boîtier FortiGate déconnecté du cluster est physiquement et correcteconnecté à votre réseau et au hardware du cluster.

• Il n’est pas en train d’opérer en mode HA.

• Il ne fait pas partie du cluster.

Avant de commencer cette procédure, il est conseillé de prendre connaissancla priorité du membre p

Connectez-vous au membre FortiGate déconactivés, connectez-vous en tant qu’administrConfiguration Globale.

Sélectionnez Système > Configuration > HA.

Modifiez le mode pour qu’il corresponde à celui du cluster.

Si nécessaire, modifiez le mot de passe HA pour qu’il corresponde à celui du cluster.

Cliquez sur OK.

Le membre FortiGate déconnecté ré-adjoint le cluster.


Adresses MAC virtuelles d’un cluster

s des s VLAN se voient affectées de la même

dresse MAC virtuelle que l’interface à laquelle elles ont été ajoutées.

configuration du cluster, le membre primaire soit traite le trafic réseau lui-même, soit équilibre la charge du trafic réseau entre tous les

ère avec l’ID de groupe zéro. Cependant, ans le cas où il y aurait plus d’un cluster FortiGate sur le même réseau, chaque

s n même réseau ourraient causer des

upe à partir du CLI r Availability User

FortiGate.

le suivante :

où

été ajoutée te

e HA et une adresse

t est déterminée par le domaine virtuel

contenant l’interface. Chaque interface des membres FortiGate a un index

n FortiGate-500, opérant en mode HA, dont l’ID groupe HA n’a pas été modifié ivés, aurait les

1

-0f-06-00-02

00-09-0f-06-00-03

Le FGCP affecte une adresse MAC virtuelle différente à toutes les interfacemembres primaires. Les sous-interfacea Le membre primaire envoie des paquets ARP libres pour mettre à jour les commutateurs connectés aux interfaces du cluster avec l’adresse MAC virtuelle. Les commutateurs mettent à jour leurs tables de relayage MAC avec cette adresseMAC. Les commutateurs dirigent alors tout le trafic réseau vers le membre primaire. En fonction de la

membres du cluster.

Modification de l’ID de groupe HA

Dans la plupart des cas, le cluster opdclu ter devrait avoir un ID de groupe différent. Si deux clusters d’uont un ID de groupe identique, des adresses MAC en double pconflits d’adressage sur le réseau. Vous pouvez modifier l’ID groFo tiGate. Pour plus d’informations à ce sujet, voir FortiGate HighGuide - Guide utilisateur des fonctions de haute disponibilité

Méthode de calcul d’une adresse MAC virtuelle

Une adresse MAC virtuelle est déterminée à partir de la formu 00-09-0f-06-<group-id>-<idx>

<group-id> est l’ID groupe HA du cluster <idx> est une combinaison de l’ID du cluster virtuel auquel a l’in rface et l’index de cette interface. L’avant-dernière partie d’une adresse MAC virtuelle dépend de l’ID groupest identique pour chaque interface du cluster. La dernière partie d’MAC virtuelle est différente pour chaque interface du cluster el’index de l’interface et par le cluster virtuel auquel a été ajouté

d’interface différent.

Exemple d’adresses MAC virtuelles

U(par défaut = 0) et dont les domaines virtuels n’ont pas été actadresses MAC virtuelles suivantes :

• MAC virtuelle de l’interface dmz : 00-09-0f-06-00-00

• MAC virtuelle de l’interface externe: 00-09-0f-06-00-0

• MAC virtuelle de l’interface ha: 00-09

• MAC virtuelle de l’interface interne:

• MAC virtuelle de l’interface port1: 00-09-0f-06-00-04



MAC virtuelle de l’interface port3: • 00-09-0f-06-00-06

f-06-00-0b

Exemple de confi

r simplifier la configuration d’un clustering virtuel. Au lieu de

er une configuration globale HA similaire à la configuration

L A d’un cl el comprend la configuration de partitionnement des domaines virtuelC r Virtuel 1 et Cluster domaines virtuels se fait enclusters virtuels. La priorité chaque cluster virtuel. Par dchacun des clusters virtuels et c’est le FGCP qui sélectionne automatiquement le membre primaire pour chaq Une fois le cluster opération cluster virtuel 1 et 2 pour qupriorité de manière à ce qu’ ster devienne le membre primaire du luster virtuel 1 et que l’autre membre devienne le membre primaire du cluster

pour un

l 1 ster l’équilibrage de charge entre les membres

C une configuratio ple de t son implémentation dans un clu e manière à fic reçu soit traité




• MAC virtuelle de l’interface port7: 00-09-0f-06-00-0a

• MAC virtuelle de l’interface port8: 00-09-0

Un FortiGate-5001, opérant en mode HA, avec domaines virtuels activés, dont l’ID groupe HA a été défini sur 23, les ports 5 et 6 étant dans le vdom root (qui se trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes :





guration d’un clustering virtuel

Il n’est pas nécessaire de configurer la haute disponibilité séparément pour chaquedomaine virtuel pouela, il suffit de créc

standard HA sans domaines virtuels.

a configuration H ustering virtus entre les deux clusters virtuels (appelés

Virtuel 2). La configuration de partitionnement de distribuant les domaines virtuels entre les deux de chaque membre du cluster doit être définie pour éfaut les deux membres ont la même priorité dans

luste

ue cluster virtuel.

nel, vous pouvez diviser les domaines virtuels entre les’ils distribuent le trafic entre eux. Affectez ensuite la un membre du clu

cvirtuel 2. Etant donné que c’est le membre primaire qui traite tout le traficdomaine virtuel, il en résulte que les deux membres FortiGate du cluster traitent en définitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2 traite tout le trafic pour les domaines virtuels du cluster virtuel 2. A tout moment il est possible de déplacer les domaines virtuels du cluster virtue

u cluster virtuel 2, et ce, pour ajuadu cluster.

ette section décrit n simster virtuel, d

domaine virtuel ece que le tra


p membres du c configuration d e virtuel est décrite dans le tableau 7. Tableau 7 : Exemple d’une c ion d’un domaine

Domaine Virtuel Description

ar les deux luster. La u domain

onfigurat virtuel

root Comprend les interface . port5 est connecté à un réseau interne appel est connecté à un

e et à Interne du Site 1 est reçu a t envoyé vers Internet

e port6.

s port5 et port6é Site 1. port6

routeur extern t. Tout le trafic par le port5 et tout le trafic

vers lutorisé es

à tra

vdom_1 rend les interfaces po port8. port7 est connecté terne appelé t8 est connecté à un

routeur externe et à Internet. Tout le trafic du Site 2 est reçu par le port7 et tout le trafic autorisé est envoyé vers Internet à travers le port8.

Comp rt 7 et à un réseau in Site 2. por

Ce cluster virtuel comprend deux FortiGate-5001 avec les noms d’hôte FortiGate_A et FortiGate_B. Le clustering virtuel est configuré de manière à ce que tout le trafic reçu par le domaine virtuel root est traité par le boîtier FortiGate_A et tout le trafic reçu par le domaine virtuel vdom_1 est traité par le boîtier FortiGate_B. La configuration du clustering est illustrée dans les tableaux 8 et 9. Le cluster virtuel et la circulation du trafic à travers le cluster est représenté dans l’illustration 61. Tableau 8 : Configuration du Cluster Virtuel 1

Nom d’hôte Domaines Virtuels FortiGate_A FortiGate_B Priorité 200

Priorité 100

root

Rôle Primaire

Rôle Subordonné

Tableau 9 : Configuration du Cluster Virtuel 2

Nom d’hôte Domaines Virtuels FortiGate_A FortiGate_B Priorité 100

Priorité 200

vdom_1

Rôle Subordonné

Rôle Primaire


Illustration 61 : Partie d’une configuration d’un clustering virtuel avec deux membres FortiGate-5001

Pour connecter le domaine virtuel root, les interfaces des port5 des deux membredu cluster sont connectées à un commutateur qui est aussi

s connecté au réseau du

ite 1. Les interfaces port6 des deux membres du cluster sont connectées à un

mbres tées à un commutateur qui est aussi connecté au réseau du

ite 2. Les interfaces port8 des deux membres du cluster sont connectées à un

Les clusters virtuels ont été configurés de manière à ce que FortiGate_A soit le maine virtuel root. Dès lors, tout le trafic destiné au reçu et traité par le boîtier FortiGate_A.

Administration de clusters virtuels

configuration et de maintenance disponibles lors d’une connexion à l’interface graphique ou CLI d’un cluster virtuel dépendent du domaine virtuel auquel vous vous connectez et du compte administrateur utilisé. Si vous vous connectez à un cluster en tant qu’administrateur d’un domaine virtuel, vous vous connectez directement à ce domaine virtuel. Le clustering virtuel HA

tant une configuration globale, les administrateurs des domaines virtuels n’ont

Scommutateur qui est aussi connecté au routeur externe et à Internet. Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux medu cluster sont connecScommutateur qui est aussi connecté au routeur externe et à Internet.

membre primaire du dodomaine virtuel root est FortiGate_B est le membre primaire de vdom_1. Dès lors, tout le trafic destiné à vdom_1 est reçu et traité par le boîtier FortiGate_B. Un des avantages d’une telle configuration est l’équilibrage de charge entre les membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de vdom_1. De cette manière la charge de tout le trafic est partagée entre les membres du cluster. Dans le cas où FortiGate_A tombe en panne, FortiGate_B devient le membre primaire des deux clusters virtuels.

Les options de

épas accès aux options de configuration HA. Cependant, ils peuvent voir le nom d’hôte du membre du cluster auquel ils se connectent. Il s’agit du nom d’hôte du membre primaire du domaine virtuel. Ces administrateurs peuvent également sélectionner de visualiser les messages journalisés pour chaque membre du cluster dans Journaux/Alertes > Journal.


Illustration 62 : Visualisation de messages journalisés d’un domaine virtuel dans un cluster virtuel

Si vous vous connectez à un cluster en tant qu’administrateur admin, vous vous connectez à la page de l’interface graphique Configuration des Domaines Virtuels ou au CLI général. Vous vous connectez également à une interface et au domaine virtuel auquel cette interface a été ajoutée. Le domaine virtuel auquel vous vous connectez ne diffère pas beaucoup quant à ses opérations de configuration etmaintenance. Il existe cependant certaines exceptions. Vous vous connectez au FortiGate qui opère en tant que membre primaire pour le domaine virtuel. Dès lors e nom d’hôte affiché est

de

le nom d’hôte du membre primaire.

dé ge 139 « Exemple de configuration d’un clustering virtuel », si vous o nectez le port5, vous vous connectez au FortiGate_A (FortiGate_A s’affiche

e

du

ant la liste des membres du cluster

l La liste des membres du cluster diffère selon le membre du cluster. Dans l’exemple

rit à la pacnc

dans la barre de titres de l’interface graphique). Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A partir de chaque liste dmembres, vous pouvez sélectionner Editer pour le boîtier FortiGate_A pour modifier la configuration HA du cluster virtuel et définir les priorités du FortiGate_A dans le cluster virtuel 1 et dans le cluster virtuel 2. En sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom d’hôteFortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 2, vous pouvez modifier le nom d’hôte du FortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 2. llustration 63 : Exemple d’un cluster virtuel affichIFortiGate_A

Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B s’affiche dans la barre de titre de l’interface graphique). Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A partir de chaque liste de membres, vous pouvez sélectionner Editer pour le boîtier FortiGate_B pour modifier la configuration HA du cluster virtuel et définir les


priorités du FortiGate_B dans le cluster virtsélectionnant Editer pour le boîtier FortiGate_A dan

uel 1 et dans le cluster virtuel 2. En s le cluster virtuel 1, vous

e_A

riorité de FortiGate_A dans le cluster virtuel 2.

r

pouvez modifier le nom d’hôte du FortiGate_A, ainsi que la priorité de FortiGatdans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_A dans le cluster virtuel 2, vous pouvez modifier le nom d’hôte du FortiGate_A, ainsi que lap Illustration 64 : Exemple d’un cluster virtuel affichant la liste des membres du clusteFortiGate_B

Exemple de confi r

illuclus tiGate-5001. Cette section décrit les paramètres de

ce type de configuration.

démarches pour l’installation rocédures reprises dans cette

ction représentent une séquences de démarches possible parmi plusieurs pour vous serez plus

vous empêche d’utiliser une séquence de démarches différente.

oîtier eci n’est pas

r un cluster opérant en mode AT/Route, puisqu’il s’agit du mode de fonctionnement par défaut. Cependant les

pou mmencement des procédures,

•

• Connexions réseau en maillage intégral

gu ation en maillage intégral HA

L’ stration 65 représente une configuration en maillage intégral HA avec un ter de deux membres For

configuration FortiGate et les composants requis pour Cette section parcourt également des exemples ded’une configuration en maillage intégral HA. Les pseconfigurer une configuration en maillage intégral HA. Une fois que expérimenté avec FortiOS, HA et le maillage intégral HA, rien ne

Par commodité, les procédures suivantes partent du principe que le bFortiGate est configuré avec les paramètres par défaut. Cependant, cune nécessité pour un déploiement HA réussi. La HA FortiGate est suffisamment flexible pour supporter une configuration à partir de paramètres de départ variés.

es procédures décrivent comment configureLNdémarches sont les mêmes pour un cluster opérant en mode Transparent. Vous

vez passer en mode Transparent, soit avec le cosoit après la configuration HA, alors que le cluster déjà connecté est opérationnel.

• Configuration en maillage intégral HA FortiGate-5001

Configuration de commutateurs en maillage intégral


• Circulation des paquets du réseau interne à travers le cluster en maillage intégral et vers l’Internet

• Configurer les FortiGate-5001 pour opérer en HA

• Ajouter des interfaces redondantes au cluster

• Connecter le cluster à votre réseau

Illustration 65 : Exemple de configuration en maillage intégral HA

Configuration en maillage intégral HA FortiGate-5001

u

mètres suivants :

t

ces port3 et port4 sont ajoutées à une interface redondante. Port3

ion en maillage intégral HA comprend également des interfaces de

dans un châssis

Les deux membres FortiGate-5001 (1 et 2) peuvent opérer en mode NAT/Route oTransparent. En plus des paramètres HA standard, la configuration des FortiGate-

001 comprend les para5

• Les interfaces port9 et port10 sont configurées comme interfaces de heartbeaHA (dans la configuration par défaut).

• Les interfaces port1 et port2 sont ajoutées à une interface redondante. Port1est l’interface physique active de cette interface redondante.

• Les interfaest l’interface physique active de cette interface redondante.

Une configuratheartbeat HA. Lorsque les FortiGate-5001 sont installés


FortiGate-5020, les interfaces redondantes port9 et port10 de heconnectées via le fond de panier du châssis. Par contre, dans le

artbeat HA sont cas où les

urs optiques au

nts), seau externe. Un lien

4.

ysiques suivantes pour le boîtier FortiGate 1 :

mutateur 1 (actif)

• Port2 au commutateur 2 (inactif)

ster en

boîtier FortiGate 2 suivant, du réseau

1 re

2 port1 du FortiGate 2. (Connexion active entre le

3

4

FortiGate-5001 sont installés dans un châssis FortiGate-5050 ou FortiGate-5140, il est nécessaire d’installer des cartes de commutation FortiSwitch redondantes (par exemple deux FortiGate-5003).

Configuration de commutateurs en maillage intégral

Repris dans l’exemple, deux commutateurs (ou concentrateéquivalents), appelés commutateur 1 et commutateur 2, et connectés au réseinterne. Un lien ISL (interswitch-link) relie les commutateurs 1 et 2. Egalement, deux autres commutateurs (ou concentrateurs optiques équivaleappelés commutateur 3 et commutateur 4, et connectés au réISL (interswitch-link) relie les commutateurs 3 et

Connexions réseau en maillage intégral

Créez les connexions réseau ph

• Port1 au com

• Port3 au commutateur 3 (actif)


Créez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 :





Circulation des paquets du réseau interne à travers le clumaillage intégral et vers l’Internet

Dans le cas où le cluster opère en mode actif-passif et que leest le membre primaire, tous les paquets prennent le chemininterne vers Internet :

Du réseau interne au commutateur 2. (Le commutateur 2 est la connexion active au FortiGate 2, le membre primaire dans notre exemple. C’est donc le membprimaire qui reçoit tous les paquets).

u commutateur 2 à l’interfaceDcommutateur 2 et le boîtier FortiGate 2. Port1 est le membre actif de l’interface redondante).

Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le commutateur 4 et le boîtier FortiGate 2. Port1 est le membre actif de l’interface redondante).

Du commutateur 4 au routeur externe et vers Internet.


Configurer les FortiGate-5001 pour opérer en HA

Tous les membres FortiGate-5001 du cluster doivent être configurés identiquement la configuration des A » à la page 114

ises dans cette procédure.

ortiSwitch

’un des FortiGate-5001.

6

7

quant à leurs paramètres HA. La procédure suivante parcourt membres FortiGate-5001 pour opérer en HA. Voir « Options Hpour plus d’informations sur les options HA repr

1 Installez les FortiGate-5001, ainsi que les cartes de commutations Fdans le châssis et mettez ensuite le châssis sous tension.

2 Connectez-vous à l’interface d’administration web d

3 Facultativement, vous pouvez donner un nom d’hôte au FortiGate. Voir « Modification du nom d’hôte du FortiGate » à la page 52 . Les noms d’hôte servent à identifier les membres du cluster individuellement.


5 Définissez le mode Actif-Passif ou Actif-Actif.

Entrez un mot de passe pour le cluster. Celui-ci doit être identique pour tous les membres FortiGate du cluster.

Cliquez sur OK.

Remarque : Vous pouvez maintenir la con faut des options HA restantes et

adres

plus rapidement, vous pouvez mettre à ARP de votre PC effaçant l’entrée du

simplement en effaçant toutes les entrla commande CLI similaire à arp –d.

8 ate-5001 du cluster.

rmer un cluster.

is le cluster opérationnel, vous pouvez lui ajouter des interfaces redondantes vant d’intégrer d’additionnelles modifications de configuration. Vous ne pouvez

s options de dans d’autres

ort2 à une interface ation par défaut, il

si que port2 de la

s endant la apes de la

c vous pouvez utiliser configurer une

figuration par déles modifier plus tard, une fois le cluster opérationnel.

Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d’être perdue pendant un moment car le cluster HA négocie et le FGCP modifie l’ se MAC des interfaces FortiGate (voir « Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se reconnecter

jour le tableaud’administration en tableau ARP pour votre FortiGate (ou

ées du tableau ARP). Pour ce faire, utilisez

Répétez cette procédure pour l’autre membre FortiG

Les membres FortiGate-5001 négocient pour fo

Ajouter des interfaces redondantes au cluster

ne foUapas ajouter des interfaces physiques à une interface redondante si les interfaces physiques ont été configurées avec une adresse IP (ou d’autreconfiguration d’interface) ou encore si celles-ci sont comprises paramètres de configuration.

Les procédures suivantes décrivent comment ajouter port1 et predondante et port3 et port4 à une autre. A partir de la configurest nécessaire de supprimer les adresses IP de port1 et port2, ainroute par défaut. La procédure suivante ne rentre pas dans les détails et n’expliquepa comment maintenir une connexion à l’interface graphique pdémarche ci-dessous. Il y a plusieurs façons d’accomplir les étpro édure et cela dépend de votre configuration. Par exemple,une connexion console à l’interface de ligne de commande pour


interface différente (par exemple port5) avec une adresse IP et un accès

ster.

3

4

5

6 Supprimez la route par défaut, ainsi que toutes les routes éventuellement ajoutées us pouvez également éditer des routes statiques nom d’interface différent.

7

8

tionnez le mode d’adressage requis pour votre réseau et ajoutez un IP/Masque de réseau

9 Nom

Type Redondante

Mode d’A ressage Sélectionnez le mode d’adressage requis pour eau

Co

inte ge 144

1

port1 du FortiGate-5001 au commutateur 1.

t3 du FortiGate-5001 au commutateur 3.

• Connectez le port4 du FortiGate-5001 au commutateur 4.

2 Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 :




administratif.

1 Connectez-vous à l’interface d’administration web du clu


Editer le port1 et affectez lui l’IP/Masque de réseau 0.0.0.0/0.0.0.0

Editer le port2 et affectez lui l’IP/Masque de réseau 0.0.0.0/0.0.0.0

Sélectionnez Routeur > Static > Route Statique.

aux port1, port2, port3 et port4. Vopour configurer le dispositif sur un


Cliquez sur Créer Nouveau et ajoutez la première interface redondante. Nom R_Int_1_2

Type Interface Redondante

Membres de l’interface physique Ajouter port1 et port2 à la liste des Interfaces Sélectionnées.

Mode d’Adressage Sélec

si nécessaire.

Cliquez sur Créer Nouveau et ajoutez la deuxième interface redondante. R_Int_3_4

Interface

Membres de l’interface physique Ajouter port3 et port4 à la liste des Interfaces Sélectionnées.

dvotre réseau et ajoutez un IP/Masque de réssi nécessaire.

nnecter le cluster à votre réseau

La procédure suivante permet de connecter le cluster de deux membres FortiGate-5001 à une configuration en maillage intégral HA. Elle décrit les connexions des

rfaces des FortiGate 1 et 2 tels que représentées dans l’illustration 65 à la pa.

Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 1 :

• Connectez le


• Connectez le por



mmutateurs 1 et 2 au réseau interne.

4

5

présent terminée. Vous te

Maillage intégral

ntégral HA d’un clustering virtuel consiste en une expansion du maillage tégral HA à chaque domaine virtuel du cluster.

HA

t et vous pouvez jouter un domaine virtuel appelé vdom_1.

ondante R_Int_1_2 comprenant les interfaces physiques port1 et ondants eux-

mêmes connectés à un réseau interne.

• Interface redondante R_Int_3_4 comprenant les interfaces physiques port3 et port4. R_Int_3_4 peut être connectée à des commutateurs redondants eux-mêmes connectés à Internet.

Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes :

• Interface redondante R_Int_5_6 comprenant les interfaces physiques port5 et port5. R_Int_5_6 peut être connectée à des commutateurs redondants eux-mêmes connectés à un réseau interne.

• Interface redondante R_Int_7_8 comprenant les interfaces physiques port7 et port8. R_Int_7_8 peut être connectée à des commutateurs redondants eux-mêmes connectés à Internet.

Les domaines virtuels supportent des configurations mixtes maillage intégral et HA classique. Par exemple, vous pouvez configurer en maillage intégral HA le

e

3 Connectez les co

Connectez les commutateurs 3 et 4 au routeur externe.

Activez la communication ESL entre les commutateurs 1 et 2 et entre les commutateurs 3 et 4.

a configuration en maillage intégral HA de base est à Lpouvez configurer le cluster de la même manière qu’un équipement FortiGaautonome. Vous pouvez mettre le cluster en service et modifier les paramètres HA de la même manière qu’un cluster HA standard.

HA pour clustering virtuel

Les FortiGate-800 et plus supportent la configuration en maillage intégral HA pour les clusters FortiGate opérant en tant que cluster virtuel. La configuration en maillage iin Par exemple, un cluster de deux FortiGate-5001 peut opérer comme un cluster dont les domaines virtuels et le clustering virtuel sont activés. Le cluster peut être configuré avec deux domaines virtuels : le domaine virtuel rooa Le domaine virtuel root peut comprendre les interfaces suivantes :

Interface red•port2. R_Int_1_2 peut être connectée à des commutateurs red

domaine virtuel root et procéder à une configuration HA classique pour le domainvirtuel vdom_1.

Remarque : Les interfaces physiques ajoutées à une interface redondante doivent être ajoutées au même domaine virtuel que l’interface redondante avant même d’être ajoutél’interface redondante.

es à


HA et interfaces r

formations sur l’ajout d’interfaces redondantes, voir

lphabétique. Dès lors, dans l’exemple où l’interface redondante comprend les port1 et port2, l’interface

.

par exemple comprendre deux au et

de

e.

e commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le

edondantes

Sur les modèles FortiGate-800 et plus, vous pouvez utiliser des interfaces redondantes pour combiner deux ou plusieurs interfaces en une seule interface edondante. Pour plus d’inr

« Création d’une interface redondante » à la page 67. L’adresse MAC de l’interface redondante est celle de la première interface répertoriée dans la liste des interfaces ajoutées à la configuration de l’interface redondante. La liste de ces interfaces apparaît dans l’ordre a

redondante apparaît seule sur le réseau avec l’adresse MAC du port1 Un cluster HA avec une interface redondante peutboîtiers FortiGate-800 opérant en mode HA et installés entre un serveur réseInternet. La connexion entre le cluster et le serveur réseau consiste en une connexionl’interface redondante vers port1 et port2 des boîtiers FortiGate-800 dans le cluster. L’interface redondante est configurée comme une interface HA contrôléLe commutateur est également connecté au serveur réseau. Le cluster est connecté à Internet via une connexion gigabyte à un commutateur. Lcluster. Illustration 66 : Exemple d’un cluster avec une interface redondante

Surveillance de l’interface HA, réplication de lien et interfaces redondantes

ce HA contrôle l’interface redondante comme une s

en panne. Si seules certaines de ces interfaces hysiques sont en panne ou déconnectées, la haute disponibilité considère

La surveillance de l’interfainterface unique et ne contrôle donc pas les interfaces physiques individuelledans l’interface redondante. Cette surveillance enregistre une défaillance de l’interface redondante uniquement si toutes les interfaces physiques de cette interface redondante sontpl’interface redondante comme opérant normalement.


Adresses MAC HA et interfaces redondantes

Dans le cas d’un boîtier FortiGate autonome, une interface redondante possède

HA, la haute disponibilité modifie les adresses MAC des interfaces u cluster en adresses MAC virtuelles. Une interface redondante dans un cluster

que

L’HA affecte les mêmes adresses MAC virtuelles aux interfaces du membre subordonné qu’aux interfaces correspondantes du membre primaire. Prenons

f

e multiples interfaces redondantes au même commutateur si vous le

face redondante unique 4-ports (parce que les mêmes adresses MAC sont utilisées par

(port1 et e subordonné) à la même

tif-actif, tous les membres du cluster reçoivent et envoient des paquets. Pour créer un cluster avec interfaces redondantes en mode actif-actif,

s connectées au même commutateur, vous s de chaque membre du cluster en

HA et interfaces a

l’adresse MAC de la première interface physique dans la configuration de l’interface redondante. Une interface redondante comprenant port1 et port2 aurait l’adresse MAC de port1. Dans un cluster dobtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface physiqui apparaît dans la configuration de l’interface redondante.

onnexion de multiples interfaces redondantes à un Ccommutateur en mode HA actif-passif

l’exemple d’un cluster composé de deux FortiGate opérant en mode actif-passiavec une interface redondante comprenant des port1 et port2. Vous pouvez connecter dconfigurez de manière à ce qu’il définisse de multiples interfaces redondantes séparées et mettent les interfaces redondantes de chaque membre du cluster dans des interfaces redondantes séparées. Avec une telle configuration, chaque membre du cluster forme une interface redondante séparée avec le commutateur. Cependant, si le commutateur est configuré avec une configuration d’inter

les deux membres du cluster), le commutateur ajoute les quatre interfaces port2 du membre primaire et port1 et port2 du membrinterface redondante. Pour éviter des résultats imprévisibles, lors de la connexion du commutateur à des interfaces redondantes dans un cluster actif-passif, il est conseillé de configurer des interfaces redondantes séparées sur le commutateur, une pour chaque membre du cluster.

Connexion de multiples interfaces redondantes à un commutateur en mode HA actif-actif

Dans un cluster ac

avec de multiples interfaces redondantedevez séparer les interfaces redondanteinterfaces redondantes différentes sur le commutateur connecté.

grégées 802.3ad

Sur les modèles FortiGate-800 et plus, vous pouvez utiliser une agrégation 802.3ad pour combiner deux ou plusieurs interfaces en une interface agrégée unique. A propos des agrégations 802.3ad, voir « Création d’une interface agrégée802.3ad » à la page 66. Une interface agrégée acquiert son adresse MAC de la première interface de la liste des interfaces ajoutées à l’agrégation. Les interfaces sont répertoriées dans la configuration agrégée par ordre alphabétique. Ainsi, par exemple, si une


agrégation comprend les port1 et port2, l’interface agrégée apparaît sur le réseau

s deux membres FortiGate-800 sont connectés à Internet ia une connexion gigabyte à un commutateur. Le commutateur se connecte au

n serveur réseau est connecté à un commutateur via deux connexions 100

00 du le.

comme une interface unique avec l’adresse MAC du port1. Un cluster HA avec une interface agrégée peut comprendre deux FortiGate-800 opérant en mode HA. Cevport4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont pas configurés. UMbit/s. Le commutateur utilise des connexions d’agrégation de liens (2 x 100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-8cluster. L’interface agrégée est configurée comme une interface HA sous contrô Illustration 67 : Exemple d’un cluster avec interfaces agrégées

Surveillance d’interface HA, réplication de lien et agrégat802.3ad

ion

.

ace agrégée uniquement si toutes les interfaces physiques de cette interface agrégée sont en panne. Si seules

nes de ces interfaces physiques sont en panne ou déconnectées, la haute dère l’interface agrégée comme opérant normalement.

es MAC HA et agrégation 802.3ad

le Link Aggregate Control Protocol (LACP), soit passif ou actif, ce protocole est négocié par delà toutes les interfaces de toute agrégation. Dans le cas d’un boîtier FortiGate autonome, l’implémentation du LACP FortiGate utilise l’adresse MAC de la première interface physique dans la configuration de l’agrégation pour identifier uniquement cette agrégation. Une interface agrégée comprenant port1 et port2 aurait l’adresse MAC de port1. Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces du cluster en adresses MAC virtuelles. Une interface agrégée dans un cluster obtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface de l’agrégation.

La surveillance de l’interface HA contrôle l’interface agrégée comme une interfaceunique et ne contrôle pas les interfaces physiques individuelles dans l’agrégationCette surveillance enregistre une défaillance de l’interf

certaidisponibilité consi

Adress

Si une configuration agrégée lien utilise


Mode HA actif-passif et LACP

La haute disponibilité affecte les mêmes adresses MAC virtuelles aux interfaces du membre subordonné que celles affectées aux interfaces correspondantes du membre primaire. Prenons l’exemple d’un cluster de deux FortiGate opérant en mode actif-passif avec une interface agrégée comportant les port1 et port2. Vous pouvez connecter de multiples interfaces agrégées au même commutateur si vous le configurez de manière à ce qu’il définisse des agrégations séparées. Le commutateur place ensuite les interfaces de chaque membre du cluster dans des agrégations séparées. Avec une telle configuration, chaque membre du cluster forme une agrégation séparée avec le commutateur. Cependant si le commutateur est configuré avec un agrégation unique de quatre ports et puisque les mêmes adresses MAC sont utilisées par les deux membres du cluster, le commutateur ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du membre subordonné) à la même agrégation.

ela engendre des problèmes puisque le commutateur distribue le trafic à travers e l’agréga e reçu par une

embre primaire et nectée au membre

Pour empêcher ce problème, lor exion du commutateur aux interfaces

n cluster en mode aagrégations séparées sur le com

z malgré tout ajouteagrégation, vous pouvez empêc yer ou

s paquets LACP en

subordonné ne participe pas à l’agrégationné devient le n à

envoyer et recevoir des paquets lacp-ha-slave est activée par défaut. Voir le plus

ur le mot-clé lac

SNMP Vous po configurer l’agent SNMP F es rapports sur les inf du système et eévénements) aux superviseurs S vous pouve der aux traps et don e FortiGate ou sous-interface VLA MP. L’impl ion FortiGate SNM re uniquement. Les super es SNMP roits en lecture des in r contrôle le FortiGate et recevoir les traps FortiGate, vous devez compiler les MIB privées Fortinet ainsi que les MIB standard

r SNMP.

Cles quatre interfaces d tion. Ainsi, le trafic pourrait êtrinterface du m renvoyé par une interface consubordonné.

s de la connagrégées d’u ctif-passif, vous devriez configurer des

mutateur ; un pour chaque membre du cluster. Si vous deve r les deux membres FortiGate à la même

her le membre subordonné d’envod’accepter de définissant le mot-clé CLI config system interface lacp-ha-slave sur disable. De cette manière, le membre

on. En cas de réplication, lorsque le membre subord ouveau membre primaire, ce dernier commence

LACP et rejoint l’agrégation. La commande FortiGate CLI Reference pour

d’informations s p-ha-slave.

uvez ortiGate pour transmettre dormations nvoyer des traps (alarmes et messages sur les

NMP. A l’aide de l’un de ces superviseurs, z accé nées SNMP à partir de n’importe quelle interfac

N configurée pour un accès administratif SN

émentat P est autorisée en lectuviseurs compatibl v1 et v2c ne possèdent que les dformations sur le système FortiGate et reçoivent des traps FortiGate. Pou

r les informations sur système

supportées par votre superviseu

Le support des RFC intègre le support de la majorité des informations de la RFC 2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus d’informations, voir « MIB FortiGate » à la page 156).


Configuration SN

our configurer l’agent SNMP, sélectionnez Système > Configuration > SNMP

lustration 68 : Configuration SNMP

MP

Pv1/v2c.

Il

ctiver SNMP Active l’agent SNMP FortiGate.

EFo 5 ca

Localisation ECette information ne doit pas dépasser 35 caractères.

Contact Ere tion ne

Appliquer E on, la u contact.

Créer Nou Clcoco

Communautés Lacotro

Nom Le

Requêtes Le P de chaque communauté S

Traps LeSNMP. Ce statut peut être activé ou désactivé.

r A

Icône Supprimer S

Icône Editer/Visualiser PS

A

Description ntrez une information descriptive à propos du rtiGate. Cette information ne doit pas dépasser 3ractères.

ntrez la localisation physique du boîtier FortiGate.

ntrez les informations de contact de la personne sponsable de ce boîtier FortiGate. Cette informa doit pas dépasser 35 caractères.

nregistre les modifications apportées à la descripti localisation et a

veau iquez sur Créer Nouveau pour ajouter une nouvelle mmunauté SNMP. Voir « Configuration d’une mmunauté SNMP » à la page 154.

liste des communautés SNMP ajoutées à la nfiguration FortiGate. Vous pouvez ajouter jusqu’à is communautés.

nom de la communauté.

statut des requêtes SNMNMP. Ce statut peut être activé ou désactivé.

statut des traps SNMP de chaque communauté

Active ctive une communauté.

upprime une communauté SNMP.

ermet de modifier ou visualiser une communauté NMP.


Configuration d’une communauté SNMP

NMP est un reseaux. La cr

superviseurs SNMP de se connec e connaissance des informations su et pour recevoir des traps SNMP. Vous pouvez créer jusqu’à trois communautés. Chacune d’entre elles peut être

que communauté ents du boîtier

mmunautés SNMP (partie 1)

Une communauté S groupement d’équipements dans un objectif d’administration de ré éation de communautés permet aux

ter à l’équipement FortiGate pour prendrr le système

configurée différemment pour les requêtes et traps SNMP. Chapeut être configurée pour contrôler différents types d’événemFortiGate. Vous pouvez également ajouter jusqu’à 8 adresses IP de superviseurs SNMP à chaque communauté. Illustration 69 : Options pour les co

Illustration 70 : Options pour les communautés SNMP (partie 2)

Communauté Entrez un nom d’identification de la communauté.

Serveur SNMP Entrez l’adresse IP et identifiez les superviseurs SNMP qui peuvent utiliser les paramètres de cette communauté SNMP pour surveiller l’équipement FortiGate.


Adresse IP

Interface

Ajouter uvelle ligne dans la liste Serveur SNMP. Il est possible d’ajouter jusqu’à 8 superviseurs SNMP à une communauté.

Requêtes Entrez le numéro du port (161 par défaut) utilisé par ur les

oîtier er pour activer les

requêtes de chaque version SNMP.

t 162 par défaut pour chacun) que le boîtier FortiGate utilise pour envoyer des traps SNMP v1 et SNMP v2c vers les superviseurs SNMP de cette communauté. Cochez les cases Activer pour activer les traps pour chaque version SNMP.

Evénements SNMP Cochez les cases Activer des événements SNMP dont les traps doivent être envoyés aux superviseurs SNMP de cette communauté par le boîtier FortiGate.

Configurer une interface pour un accès SNMP

Afin de permettre les connexions d’un superviseur SNMP à distance à un agent FortiGate, il est nécessaire de configurer une ou plusieurs interfaces SNMP pour accepter les connexions SNMP.


2 Cliquez sur l’icône Editer d’une interface à laquelle se connecte un superviseur SNMP.

3 Dans la section Administration, cochez la case SNMP.

4 Cliquez sur OK.

Configurer un accès SNMP en mode Transparent

1 Sélectionnez Système > Configuration > Operation Mode.

2 Entrez l’adresse IP utilisée pour l’accès administratif et le masque de réseau dans le champ IP/Masque de réseau de gestion.


Entrez l’adresse IP d’un superviseur SNMP qui peututiliser les paramètres de la communauté pour surveiller l’équipement FortiGate. Vous pouvez également définir l’adresse IP sur 0.0.0.0 pour que tout superviseur SNMP puisse utiliser cette communauté.

Facultativement, sélectionnez le nom de l’interface que ce superviseur SNMP utilise pour se connecter àl’équipement FortiGate. Cette démarche est nécessaire que si le superviseur SNMP n’est pas sur le même sous-réseau que l’équipement FortiGate. C’est le cas par exemple d’un superviseur passant par Internet ou placé derrière un routeur.

Supprimer Cliquez sur l’icône supprimer du superviseur que vous désirez supprimer.

Créer une no

les superviseurs de cette communauté porequêtes SNMP v1 et SNMP v2c pour recevoir des informations sur la configuration de la part du bFortiGate. Cochez les cases Activ

Traps Entrez les numéros de ports local et distant (por


V figurer une ou terfaces dans votre VDOM pour accepter l’accès SNMP.

MIB FortiGate

’agent SNMP FortiGate supporte les MIB privées FortiGate, ainsi que les MIB Le support RFC comprend un support pour

l RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB I t à la config L , ainsi que les deux MIB RFC sont répertoriées dans le tableau 1 rs MIB sont disp e Fortinet. Pour pouvoir c c l’agent SNMP, vous devez compiler toutes ces MIB dans votre s Il est proba e votre supe d et privées dans une base de do d’ajouter les MIB privées Fortstandard utilisées par l’agent s l n’est pa T te

Nom de ficher MIB ou RFC

ous devez con plusieurs in

Lstandard des RFC 1213 et RFC 2665.es parties de laI) qui s’appliquen uration du FortiGate.

es MIB FortiGate0. Ces fichie onibles au Support Techniquommuniquer aveuperviseur SNMP.

ble qu rviseur SNMP contiennent déjà des MIB standarnnées prête à l’emploi. Il est cependant nécessaireinet à cette base de données. Dans le cas où les MIB SNMP Fortinet sont déjà compilées dans votre

uperviseur SNMP, i s nécessaire de les recompiler.

ableau 10 : MIB FortiGaDescription

fortinet.3.00.mib La MIB privée Fortinet comprend des informations détaillées a configuration du système et sur les traps. Votre

NMP requiert ces informations pour surveiller rtiGate et recevoir les oir « Traps FortiGate »

ci-dessous et « Champs MIB Fortinet » à la page 158.

sur lsuperviseur Sles paramètres de configuration Fotraps de l’agent SNMP FortiGate. V

RFC-1213 (MIB II) upes MIB II avec les exceptions suivantes : • Pas de support pour le groupe EGP de MIB II (RFC

1213, section 3.11 et .10). stiques sur le protocole renvoyées pour les

CMP/TCP/UDP/etc.) ne capturent ute l’activité du trafic FortiGate. Des

informations plus précises peuvent être obtenue par ortées par la MIB Fortinet.

L’agent SNMP FortiGate supporte les gro

• Les statigroupes MIB II (IP/Ipas précisément to

les informations repRFC-2665 (MIB type Ethernet)

L’agent SNMP FortiGate supporte les informations MIB type Ethernet à l’exception de :

e support pour les groupes dot3Tests et rs.

• Pas ddot3Erro

Traps FortiGate

’agent FortiGate peut envoyer des traps aux superviseurs SNMP des es traps ne peut se faire qu’après avoir

c ilé la MIB Fort e superviseur SNMP. T mprennent lboîtier Fo

Lcommunautés SNMP. La réception dhargé et comp inet 3.0 sur l

ous les traps cortiGate.

e message trap ainsi que le numéro de série du


Tableau 11 : Traps FortiGate génériques Message trap Description ColdStart WarmStart

Traps standard tels que décrits dans la RFC 1215.

LinkUp LinkDown

T ème Foableau 12 : Traps Syst rtiGate

Description Message trap CPU usage high

pCpuHigh) Le taux CPU dépasse 90%.

(fnTraMemory low Le taux mémoire dépasse 90% (fnTrapMemLow) Interface IP change (fnTrapIfChange)

Modification d’une adresse IP sur une interface FortiGate. Le message trap comprend le nom de l’interface, la nouvelle adresse IP et le numéro de série du boîtier FortiGate. Vous pouvez utiliser ce trap pour trouver les modifications d’adresse IP des interfaces dont les adresses

iques sont définies via DHCP ou PPPoE. IP dynam(fnFMTrapIfChange) message. L’interface change d’IP. Envoyé Pas de

uniquement pour contrôler le FortiManager. (fnFMTrapConfChange)

ger connecté. Tout changement apporté au FortiGate, à l’exception des changements apportés par un FortiMana

T ps VPN ableau 13 : Tra FortiGate

Message trap Description VPN tunnel is up ec commence. (fnTrapVpnTunUp)

Un tunnel VPN IPS

VPN tunnel dow(fnTrapVpnTunD

n own)

Un tunnel VPN IPSec se ferme.

T IPS Fableau 14 : Traps ortiGate

Message trap Description IPS Anomaly (fnTrapIpsAnomaly)

Anomalie IPS détectée.

IPS Signature (fnTrapIpsSignature)

Signature IPS détectée.

T raps antivableau 15 : T irus FortiGate

Message trap Description Virus detected (fnTrapAvEvent)

Le boîtier FortiGate détecte un virus et le supprime du fichier infecté du téléchargement HTTP ou FTP ou du message email.

Tableau 16 : Traps logging FortiGate

Message trap n DescriptioLog full (fnTrapLogFull)

nq

un m asse 90%.

Sur un équipeme t FortiGate muni d’un disque dur, l’utilisation du disFortiGate non m

ue dépasse 90%. Sur un équipement ni d’un disque dur, l’utilisation de la

émoire dépjournalisation e


T bleau 17 : Traps HA FMessage trap Description a ortiGate

HA switch (fnTrapHaSwitch)

maremplacé par un n Le membre pri ire d’un cluster tombe en panne et est

ouveau membre primaire.

Tableau 18 : Traps FortiBridge

Message trap Description FortiBridge detects fail Un équipe(fnTrapBridge)

ment FortiBridge détecte une panne d’un ent FortiGate. équipem

Champs MIB Fortinet

Les MIB Fortinet comprennent des champs co atuts courants du système FortiGate. Les sous ré MIB et leur description. Des us détasont disponibles en compil fortinetSNMP et en parcourant les champs MIB Fortin

ableau 19 : Champs MIBion

ncernant les sttableaux ci-des pertorient les noms des champsinformations pl

ant le fichier illées sur les champs MIB Fortinet .3.00.mib sur votre superviseur et.

T du système Champ MIB DescriptfnSysModel Le numéro du modèle boîtier FortiGate, par exemple 400 pour un

FortiGate-400. fnSysSerial Le numéro de série de l’équipement FortiGate. fnSysVersion r l’équipement FortiGate. La version du microcode installé sufnSysVersionAv a base de

ortiGate. La version de ll’équipement F

connaissance antivirus installée sur

fnSysVersionNids a base de ortiGate.

La version de l connaissance des attaques installée surl’équipement F

fnSysHaMode n cours (sLe mode HA e tand alone, A-A, A-P). fnSysOpMode Le mode de fonctionnement en cours (NAT ou Transparent). fnSysCpuUsage Le taux CPU (en pourcentage). fnSysMemUsage Le taux d’utilisation de la mémoire (en Mbit). fnSysSesCount Le compteur de sessions IP en cours. fnSysDiskCapacity La capacité du disque dur (Mbit). fnSysDiskUsage L’usage en cours du disque dur (Mbit).

Tableau 20 : Champs MI

Champ MIB B HA Description

fnHaSchedule Horaire pour l’équilibrage de charge en mode A-A. Statistiques pour les membres individuels FortiGate d’un cluster HA. fn bre dans le HaStatsIndex Le numéro de l’index du mem

cluster. fn e. HaStatsSerial Le numéro de série du membre FortiGatfn embre FortiGate (%). HaStatsCpuUsage Le taux CPU du mfn moire du membre HaStatsMemUsage Le taux usage de la mé

FortiGate. fnHaStatsNetUsage L’utilisation réseau en cours (Kbit/s). fnHaStatsSesCount Le nombre de sessions actives.

fnHaStatsTable

fnHaStatsPktCount Le nombre de paquets traités.


fnHaStatsByteCount Le nombre d’octets traités par le membre FortiGate.

fnHaStatsIdsCount Le nombre d’attaques détectées par l’IPS les dernières 20 heures.

fnHaStatsAvCount Le nombre de virus détectés par l’antivirus les dernières 20 heures.

T mptes A

Champ MIB Description ableau 21 : Co dministrateurs

fnAdminNumber Le nombre d’administrateurs sur l’équipement FortiGate. Le tableau des administrateurs. fnAdminIndex Le numéro de l’index du compte

administrateur. fnAdminName Le nom du compte administrateur. fnAdminAddr au de

compte administrateur peut être utilisé.

Une adresse d’un hôte ou sous-réseconfiance à partir duquel ce

fnAdminTable

Mask Le masque de réseau de fnAdminAddr. fnAdmin T sateurs

Dableau 22 : Utili locaux Champ MIB escription fnUserNumber L ’équipement

Fe nombre de comptes utilisateurs locaux sur lortiGate.

Le tableau des utilisateurs locaux. f pte de

fnUserTable nUserIndex Le numéro de l’index du com

l’utilisateur local. f al. nUserName Le nom du compte de l’utilisateur locfnUserAuth Le type d’authentification pour l’utilisateur

local : local – un mot de passe sauvegardé sur

ent FortiGate. asse

serveur RADIUS. ui

r

de passe sauvegardé sur un .

l’équipemradius-single – un mot de psauvegardé sur unradius-multiple – tous les utilisateurs qpeuvent s’authentifier sur un serveuRADIUS peuvent se connecter. ldap – un mot serveur LDAP

fnU al : activé ou serState Etat de l’utilisateur locdésactivé.

Tableau 23 : Options

Champ MIB Description fnOptIdleTimeout La période d’inactivité en minutes après laquelle un

administrateur doit se réauthentifier. fnOptAuthTimeout La période d’inactivité en minutes après laquelle un utilisateur

doit se réauthentifier avec un pare-feu. fnOptLanguage La langue de l’interface d’administration web. fnOptLcdProtection Dans le cas où un PIN LCD a été envoyé.


Tableau 24 : Journalisation Champ MIB Description fnLogOption Les préférences en matière de journalisation.

Tableau 25 : Messages personnalisés

Champ MIB Description fnMessages Le nombre de messages personnalisés sur l’équipement

FortiGate. Tableau 26 : Domaines virtuels

Champ MIB Description fnVdNumber Le nombre de domaines virtuels sur l’équipement FortiGate.

Tableau des domaines virtuels fnVdTable fnVdIndex Le num

interne éro de l’index du domaine virtuel sur l’équipement FortiGate.

fnVdName Le nom du domaine virtuel. Tablea tives

escription u 27 : Sessions IP ac

Champ MIB DfnIpSessIndex Le session IP active. numéro de l’index de lafnIpSessProto Le ro p tocole IP (TCP, UDP, ICMP, etc.) de la session. fnIpSessFromAddr L’ read sse IP source de la session IP active. fnIpSessFromPort Le or session IP active. p t source de lafnIpSessToPort L’ re sion IP active. ad sse IP de destination de la sesfnIpSessToAddr Le or tive. p t de destination de la session IP acfnIpSessExp Le m te ps d’expiration en secondes pour la session.

Tableau 28 : VPN dialup

Champ MIB esD cription fnVpnDialupIndex dex du dialup VPN paire. L’infnVpnDialupGateway relle. L’adresse IP distante de la passefnVpnDialupLifetime La durée de fonctionnement en secondes du tunnel VPN. fnVpnDialupTimeout Le squ’au prochain échange de clé (en temps restant ju

secondes). fnVpnDialupSrcBegin L’adresse du sous-réseau distant. fnVpnDialupSrcEnd Le masque du sous-réseau distant. fnVpnDialupDstAddr aL’ dresse du sous-réseau local.


Messages de remplacement Sélectionnez Système > Configuration > Messages de Remplacement pour modifier les messages de remplacement et personnaliser les emails et informations sur les alertes que le boîtier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et sessions FTP. L’équipement FortiGate adjoint des messages de remplacement à plusieurs types de flux de contenu. Par exemple, si un virus est trouvé dans un email, le fichier contaminé est supprimé de l’email et remplacé par un message de remplacement. Cette procédure s’applique également aux pages Internet bloquées par un filtrage web et aux emails bloqués par un filtrage antispam.

Liste des messages de remplacement Illustration 71 : Liste des messages de remplacement

N L

blm

•

•

•

•

•

• catégories du filtrage

•

V

• rture de la session pour une authentification

• authentification de

•

•

om e type de message de remplacement. Cliquez sur le triangleeu pour afficher la catégorie. Vous pouvez modifier les essages adjoints aux

emails dont les pièces jointes sont infectées par un virus

pages web (http)

sessions ftp

messages de mails d’alertes

email smtp bloqués comme spam

pages web bloquées par une des web

sessions de messagerie instantanée et peer-to-peer

ous pouvez également modifier

la page d’ouvede l’utilisateur

les messages d’informations d’l’utilisateur (certains modèles)

la page d’ignorance du filtrage web FortiGuard

la page d’ouverture de session pour VPN SSL


Description Dd’ aque message de re

Icône Visualiser/Editer Sre

Modification des m remplacIl e d’un

escription du type de message de remplacement. L’interface administration web décrit l’endroit où chmplacement est utilisé par le boîtier FortiGate.

électionnez pour éditer ou visualiser un message de mplacement.

essages de ement message de remplacement d’un virus HTTP lustration 72 : Exempl

L de remplaceHTML. Vous pouvez ajouter de s messages HTML. De plus, les messages de remplacement peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs reçoivent le message de

en rapport avec le message.

nt

lises de messages de remplacement Balise Description

es messages ment s’écrivent sous forme de texte ou de messages un co HTML à de

remplacement, la balise est remplacée par un contenu

Le tableau 29 répertorie les balises des messages de remplacement qui peuveêtre adjointes. Tableau 29 : Ba

%%CATEGORY%% Le nom de la catégorie de contenu du site web. %%CRI ement critique d’alerte.

le message il d’alerte.

TICAL_EVENT%% Ajouté aux messages email d’évén%%CRITICAL_EVENT%% est remplacée pard’événement critique qui a enclenché l’ema

%%DEST_IP%% e un virus a

nvoyé l’email contaminé. Dans le cas b qui a

L’adresse IP de la destination à partir de laquell d’email, il s’agit de l’adresse IP du été reçu. Dans le cas

serveur email qui a ede HTTP, il s’agit de l’adresse IP de la page weenvoyé le virus.

%%EMAIL_FROM expéditeur du message duquel le %% L’adresse email de l’fichier a été supprimé.

%%EMAIL_TO% uel le a été supprimé.

L’adresse email du destinataire à l’attention duqmessage du fichier

%% E lux de contenu. us ou qui a été

FIL %% Le nom du fichier ayant été supprimé d’un fIl peut s’agir d’un fichier qui contenait un virbloqué par un antivirus. %%FILE%% peut être utilisé dans les messages de blocage de virus et fichiers.


%%FORTIGU DAR _WF%% Le logo FortiGuard – Filtrage Web. %%FORTINET%% go Fortinet. Le lo%%HTTP_ERR_CODE%% Le code erreur HTTP. Par exemple « 404 ». %%HTTP_ERR_DESC%% La description de l’erreur HTTP. %%NIDSVEVENT%% %%NIDS_EVENT%%

Le message de l’attaque IPS. %%NIDSEVENT%% est aaux messages email d’intrusions d’alerte.

jouté

%%OVERRIDE%% Le lien vers le formulaire d’ignorance du filtrage web FortiGuard. Visible uniquement par les utilisateurs qui appartiennent à un groupe qui a la permission de créer des

age web FortiGuard. ignorances de filtr%%OVRD_FORM%% Le formulaire d’ignorance du filtrage web F

balise doit être présente dans le formulaortiGuard. Cette

ire d’ignorance du filtrage web FortiGuard et ne doit pas être utilisée dans les autres messages de remplacement.

%%PROTOCOL%% Le protocole (http, ftp, pop3, imap ou smtp) dans virus a été détecté. est ajouté au

lequel le %%PROTOCOL%% x

sages des virus des emails d’alertes. mes%%QUARFILENAME%% Le nom d’un fichier qui a été supprimé d’un flux de contenu

et placé en quarantaine. Il peut s’agir d’un fichier qui nt un virus ou a été bloqué par un antivirus.

peut être utilisé dans les messages

disque local.

contie%%QUARFILENAME%%de blocage de virus et fichier. La mise en quarantaine n’est possible que sur les équipements FortiGate équipé d’un

%%SERVICE%% Le nom du service de filtrage web. %%SOURCE_IP%% L’adresse IP du destinataire qui aurait dû recevoir le fichier

.

bloqué. Dans le cas d’email, il s’agit de l’adresse IP de l’ordinateur de l’utilisateur qui a tenté de télécharger le message à partir duquel le fichier a été retiré

%%URL%% L’URL d’une page web. Il pbloquée par un filtre de con

eut s’agir d’une page web tenu web ou un blocage d’URL.

%%URL%% peut aussi être utilisé dans les messages des virus http et de blocage de fichier pour être l’URL de la page à partir de laquelle un utilisateur a tenté de télécharger un fichier qui a été bloqué.

%%VIRUS%% Le nom du virus trouvé dans un fichier par le système antivirus. %%VIRUS%% peut être utilisé dans les messages virus.

Modification de la page de connexion et d’authentification

Les utilisateurs voient s’afficher une page d’authentification lorsqu’ils utilisent un VPN ou une règle pare-feu qui nécessitent une authentification. Vous pouvez personnaliser cette page de la même manière que vous avez modifié d’autres messages de remplacement. Cependant il existe quelques exigences particulières :

• La page de connexion doit être une page HTLM contenant un formulaire avec ACTION= « / » et METHOD= « POST »

• Le formulaire doit contenir les contrôles cachés suivants :

• <INPUT TYPE="hidden" NAME="%%MAGICID%%"

VALUE="%%MAGICVAL%%">


• <INPUT TYPE="hidden" NAME="%%STATEID%%"

VALUE="%%STATEVAL%%">

• <INPUT TYPE="hidden" NAME="%%REDIRID%%"

VALUE="%%PROTURI%%">

• Le formulaire doit contenir les contrôles visibles suivants :

<INPUT TYPE="password" NAME="%%PASSWORDID%%"

Exemp

Ci-d épond aux exigences énoncées ci-dessus.

ation</TITLE></HEAD> e this service.</H4>

<FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH>Username:</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH>Password:</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML>

Modification de la page d’ignorance du filtrage web FortiGuard

La balise %%OVRD_FORM%% fournit le formulaire utilisé pour initier une ignorance dans le cas où le filtrage web FortiGuard bloque l’accès à une page web. Ne pas retirer cette balise du message de remplacement.

• <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25>

• size=25>

le

essous un exemple d’une page d’authentification simple qui r

<HTML><HEAD><TITLE>Firewall Authentic<BODY><H4>You must authenticate to us


Modification du message de connexion VPN SSL

Le message de connexion VPN SSL présente une page web à partir de laquelle les utilisateurs se connectent au portail web VPN SSL. La page est reliée au boîtieFortiGate et vous devez l’éditer en respectant les exigences suivantes.

• La page de connexion doit être une page HTML contenant un formulaire avec

r

ACTION="%%SSL_ACT%%" et METHOD="%%SSL_METHOD%%"

Modification de la page d’information d’authentification

’ouvre

ir des règles pare-

feu » à la page 234. Il est conseillé de ne modifier que le texte de l’autorisation et non pas le code HTML du formulaire.

• Le formulaire doit contenir la balise %%SSL_LOGIN%% pour fournir le formulaire de connexion.

• Le formulaire doit contenir la balise %%SSL_HIDDEN%%.

La page d’information d’authentification, disponible sur certains modèles, spar un texte sur l’usage de règles que l’utilisateur doit accepter avant que l’accès au FortiGate ne lui soit permis. L’autorisation s’active dans une règle pare-feu. Vo« Autorisation de l’authentification de l’utilisateur » dans « Options


Mode de fonctionnement des VDOM et accès administratif

sse IP de l’interface est utilisée pour l’accès administratif. eule adresse IP

d’administration qui s’applique à toutes les interfaces du VDOM qui permettent un accès administratif. L’équipement FortiGate utilise également cette adresse IP pour se connecter au FDN pour la mise à jour de virus et d’attaques (voir « Centre FortiGuard» à la page 183.) Un administrateur régulier peut uniquement accéder au VDOM auquel il appartient. L’ordinateur d’administration doit être connecté à une des interfaces de ce VDOM. L’administrateur admin peut accéder à tous les VDOM, peu importe le VDOM auquel appartient l’interface. Dans les deux cas, l’ordinateur d’administration doit

nt l’adresse IP oit se trouver sur le même réseau.

dCependant, permettre unecompromettre la sécurité de l’équip ment FortiGate. Ceci est donc à éviter à moins

exige Gate lors d’une administration à

nterface via HTTPS ou SSH.

• maintenir la valeur par défaut (5 minutes) du timeout d’inactivité du système (voir « Paramètres » à la page 178 ).

Modification du mode de fonctionnement

Vous pouvez définir un mode de fonctionnement (aussi appelé mode d’opération) pour votre domaine virtuel et accomplir des configurations réseau suffisantes pour assurer une connexion à l’interface d’administration web dans ce nouveau mode.

Passer du mode NAT/ Route au mode Transparent

1 Sélectionnez Système > Configuration > Operation Mode ou cliquez sur Changer à côté de Mode de Fonctionnement sur la page des Statuts du Système pour le domaine virtuel.

2 Sélectionnez Transparent dans la liste Mode d’Opération.

Vous pouvez configurer un accès administratif pour chaque interface de votre VDOM. Voir « Contrôler l’accès administratif d’une interface » à la page 74 . En mode NAT/Route, l’adreEn mode Transparent, vous devez configurer une s

se connecter à une interface qui permette l’accès administratif et dod Vous pouvez autoriser l’a ministration à distance de l’équipement FortiGate.

administration à distance via l’Internet pourrait e

que la configuration l’ . Pour améliorer la sécurité de l’équipement Forti distance, il est fortement conseillé de :

• utiliser des mots de passe utilisateurs administratifs sécurisés.

• modifier régulièrement ces mots de passe.

• activer un accès administratif sécurisé à cette i

3 Entrez les informations suivantes et cliquez ensuite sur Appliquer.


IP/Netmask de gestion Entrez l’adresse IP et le masque de réseau d’administration. Il e pour le réseau à partir

r l’équipement FortiGate.

requise pour atteindre d’autres

1 e

2 électionnez NAT dans la liste Mode d’Opération.

doit s’agir d’une adresse IP validduquel vous voulez administre

Passerelle par défaut Entrez la passerelle par défautréseaux à partir du boîtier FortiGate.

Passer du mode Transparent au mode NAT/Route

Sélectionnez Système > Configuration > Operation Mode ou cliquez sur Changer à côté de Mode de Fonctionnement sur la page des Statuts du Systèmpour le domaine virtuel.

S

3 Entrez

les informations suivantes et cliquez ensuite sur Appliquer.

IP/Netmask de l’interface Entrez une adresse IP et un masque de réseau valides pour le u à partir duquel vous voulez administrer l’équipement ate.

Interface (ou Device) Sélectionnez dans la liste l’interface pour laquelle les paramètres IP/masque de réseau s’appliquent.

re d’autres

réseaFortiG

Passerelle par défaut Entrez la passerelle par défaut requise pour atteindréseaux à partir du boîtier FortiGate.

Interface de la passerelle Sélectionnez dans la liste l’interface à laquelle la passerelle (ou Gateway Device) par défaut est connectée.


Administration du Système

eb ou de l’interface s

p

Cette section couvre les sujets suivants :

• Administrateurs

• Profils d’administration

• FortiManager

• Contrôle des administrateurs

Administra

• Un administrateur rég

r défaut

Un compte administrateuron profil d’administration. Dans le cas où des domaines virtuels

sont activés, l’administrateur régulier est affecté à l’un de ces VDOM et ne peut nfiguration d’un autre s et spécifiques aux

omaine virtuel » à la page 41 et ge 42.

dministrateurs réguliers aux VDOM

is il est

min n’a pas de mot de passe.

sur us pouvez

auvegarder tous les comptes administrateurs sur un serveur RADIUS, à

Cette section décrit comment configurer des comptes administrateurs sur votre équipement FortiGate. Les administrateurs accèdent au boîtier FortiGate pour configurer son fonctionnement. L’équipement possède, par défaut, un administrateur : admin. A partir de l’interface d’administration wde ligne de commande, vous pouvez configurer des administrateursu plémentaires avec des niveaux variés d’accès aux différentes parties de la configuration de l’équipement FortiGate.

• Paramètres

teurs Il existe deux types de comptes administrateurs :

ulier

• Un compte pa , admin

régulier a accès aux options de configuration

déterminées par s

pas accéder aux options de la configuration globale ni à la coVDOM. Pour plus d’informations à propos des options globaleVDOM, voir « Paramètres de configuration d’un d« Paramètres de la configuration globale» à la pa Le compte administrateur par défaut, l’admin, a accès à la totalité de la configuration du boîtier FortiGate. De plus, il peut:

• activer la configuration VDOM

• créer des VDOM

• configurer des VDOM

• affecter des a

• configurer des options globales

Le compte admin n’ayant pas de profil d’administration, on ne sait pas en limiter ses droits. Il est par ailleurs impossible de supprimer le compte admin, mapossible de le renommer, de lui définir des hôtes de confiance et d’en modifier le mot de passe. Par défaut, l’ad

Vous pouvez authentifier un administrateur par un mot de passe sauvegardéun boîtier FortiGate ou sur un serveur RADIUS. Facultativement, vos


l’exception du compte admin par défaut. Les comptes RADIUS étant sur le même serveur RADIUS partagent le même profil d’administration.

Configuration de l’authentification RADIUS d

us prévoyez d’utiliser un serveu s administrateurs e VDOM, vous devez con

comptes administrateurs. Pour ce

• configurer l’accès au serveur R

er un groupe d’utilisateurs d

océdures suivantes prévoienRADIUS sur votre réseau avec les e passe de vos administrateurs. Pour plus d’informations sur la configuration d’un serveur RADIUS, reportez-vous à la documentation de votre serveur

Configurer un boîtier FortiGate pour accéder au serveur RADIUS

1 teur > RADIU


3 vantes : Nom Entrez u rveur RADIUS. Vous utilisez ce nom

lorsque vous créez le groupe utilisateur.

Nom / adresse IP Le nom de domaine ou l’adresse IP du serveur RADIUS.

Secret Le secret du serveur RADIUS. L’administrateur du serveur mation.


3 Dans le champ Nom, tapez un nom pour le groupe d’administrateurs.

les, sélectionnez le nom du serveur RADIUS.

5 Cliquez sur la flèche verte droite pour déplacer le nom vers la liste Membres.

6 Sélectionnez un profil de protection dans la liste.

7 Cliquez sur OK.

Visualisation de la liste des administrateurs

A partir du compte admin ou d’un compte qui possède les droits en lecture et en écriture des utilisateurs admin, vous pouvez créer de nouveaux comptes administrateurs et contrôler leurs niveaux de permission. Sélectionnez Système > Admin > Administrateurs. A moins que vous soyez l’administrateur admin, la liste des administrateurs n’affiche que les administrateurs pour le domaine virtuel en cours.

es administrateurs

Si vo r RADIUS pour authentifier ledans votr figurer l’authentification avant de créer des

faire, vous avez besoin de :

ADIUS sur le boîtier FortiGate

• cré ont le serveur RADIUS est le seul membre

Les pr t que vous ayez déjà configuré un serveur

noms et mots d

RADIUS.

Sélectionnez Utilisa S.

Entrez les informations suin nom pour le se

RADIUS peut vous fournir cette infor

4 Cliquez sur OK.

Créer le groupe d’utilisateurs d’administration

1 Sélectionnez Utilisateur > Groupe utilisateur.

4 Dans la liste Utilisateurs Disponib


Illustration 73 : Liste des Administrateurs

Créer Nouveau Permet d’ajouter un compte administrateur.

Nom Le nom du compte administrateur.

Poste IP L’adresse IP et le masque de réseau d’hôtes de confiance à partir desquels l’administrateur peut se connecter. Pour plus d’informations, voir « Utilisation d’hôtes de confiance » à la page 173.

rofil Le profil d’administration pour l’administrateur.

ype Le type d’authentification pour cet administrateur. Cela peut être :

Local – un mot de passe local

rte ser eur RADIUS.

pression

aliser

Icône Changer le mot de paur.

Modifier le mot de passe d’un administrateur


2 Cliquez sur l’icône Changer le mot de passe à côté du compte administrateur dont

3 Entrez et confirmez le nou

4 Cliquez sur OK.

Configuration d’un compte administrateur

un nouvel ad u compte dmin ou à partir d’un com

écriture d’utilisateur Admin t cliquez sur Créer Nouveau

PL’administrateur admin par défaut n’a pas de profil.

T

RADIUS – authentification d’un compte spécifique via un serveur RADIUS

RADIUS+Wildcard – authentification de n’impoquel compte via un v

Icône Sup Permet de supprimer le compte administrateur. Le compte administrateur admin ne peut pas être supprimé.

Icône Editer ou Visu Permet d’éditer ou de visualiser le compte administrateur.

sse Permet de modifier le mot de passe du compte administrate

vous voulez modifier le mot de passe.

veau mot de passe.

La création d’ ministrateur nécessite une connexion à partir da pte administrateur possédant les droits en lecture et

. Sélectionnez Système > Admin > Administrateurs e

.


Illustration 74 : C on d’un compte administrateur – authentification locale. onfigurati

Illustration 75 : Configuration d’un compte administrateur – authentification RADIUS

Nom de compte Entrez le nom du compte administrateur.

RADIUS Cochez cette case pour authentifier l’administrateur via un serveur RADIUS. L’authentification RADIUS pour administrateurs doit être configurée d’abord. Voir « Configuration RADIUS pour une authentification des administrateurs » à la page 169.

Wildcard Cochez cette case pour faire de tous les comptes du serveur RADIUS des administrateurs. Cette fonction est uniquement disponible si RADIUS a été sélectionné.

Groupe utilisateur Dans le cas d’une utilisation d’une authentification RADIUS, sélectionnez dans la liste le groupe d’utilisateurs d’administrateurs qui compte comme membre le serveur RADIUS approprié.

Mot de Passe Entrez un mot de passe pour le compte administrateur. Pour plus de sécurité, le mot de passe doit être composé d’au moins 6 caractères. Si RADIUS est activé, l’équipement FortiGate tente une première authentification RADIUS. En cas d’échec, il tente une authentification via mot de passe. Ceci n’est pas disponible si la fonction Wildcard a été activée.


Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la première entrée. Ceci n’est pas disponible si la fonction Wildcard a été activée.

ur

t

administrateurs permet d’augmenter la sécurité du système.

îtier eau

n. Pour plus d’informations sur les profils d’administration, voir

6 .

Configurer un compte administrateur


2 Cliquez sur Créer Nouveau pour ajouter un compte administrateur ou cliquez sur l’icône Editer pour apporter des modifications à un compte administrateur existant.

3 Dans le champ Nom de compte, entrez un nom pour le compte administrateur.

Si vous utilisez une authentification RADIUS pour cet administrateur mais n’utilisez pas la fonction wildcard, le nom de l’administrateur doit correspondre à un des comptes du serveur RADIUS.

4 Si vous utilisez une authentification RADIUS pour cet administrateur :

• Sélectionnez RADIUS.

• Sélectionnez Wildcard si vous désirez que tous les comptes du serveur RADIUS soient des administrateurs de l’équipement FortiGate.

• Sélectionnez le groupe d’utilisateurs des administrateurs dans la liste Groupe Utilisateur.

5 Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette étape n’est pas nécessaire dans le cas d’une authentification RADIUS Wildcard.

6 Facultativement, entrez l’adresse IP et le masque de réseau d’un hôte de confiance à partir duquel l’administrateur puisse se connecter à l’interface d’administration web.

7 Sélectionnez le profil d’administration pour cet administrateur.

8 Cliquez sur OK.

Poste IP # 1 Facultativement, entrez l’adresse IP et le masque de réseau Poste IP # 2 d’un hôte de confiance auquel l’administrateur est restreint sPoste IP # 3 le boîtier FortiGate. Vous pouvez spécifier jusqu’à trois hôtes

de confiance. Les adresses par défaut sont respectivemen0.0.0.0/0, 0.0.0.0/0 et 127.0.0/32.

La mise en place d’hôtes de confiance pour vos

Pour plus d’informations, voir « Utilisation d’hôtes deconfiance » à la page 173.

Profil d’administration Sélectionnez le profil d’administration de l’administrateur. Le profil préconfiguré prof_admin fournit un accès total au boFortiGate. Vous pouvez également cliquer sur Créer Nouvpour créer un nouveau profil d’administratio

« Configuration d’un profil d’administration » à la page 17

Domaine Virtuel Sélectionnez le domaine virtuel que cet administrateur peut configurer. Ce champ est uniquement disponible si vous êtes l’administrateur admin et que la configuration des domaines virtuels est activée.


Utilisation d’hôtes de confiance

La mise en place d’hôtes de confiance pour tous les administrateurs augmente la sécurité de votre réseau car en restreint l’accès administratif. En plus de devoir connaître le mot de passe, l’administrateur doit se connecter uniquement à partir du ou des sous-réseau(x) spécifié(s). Vous pouvez aller jusqu’à restreindre un

dministrateur à une seule adresse IP si vous ne définissez qu’une adresse IP ’hôte de confiance avec un masque de réseau 255.255.255.255.

Si vous défini es hôtes de confiance pour tous les administrateurs, l ate ne répond pas aux tentatives d’accès administratif de tout autre hôte. Cela fournit la meilleure sécurité. Si vous laissez, ne fût-ce qu’un seul a trict ment accepte les tentatives d’accès a quelle interface dont l’accès administratif est activé, exposant ain des t s d’accès non autorisées. P s d’h .0.0/0, 0 .1/32. S 0.0.0.0/0 est modifiée par une adresse non nulle, l’autre adresse 0.0.0.0/ seule façon d’utiliser u ctère (wildcard) est de maintenir les deux adresses d’hôtes de c 0.0.0.0/0. Tou pas une configuration sans r

ad

ssez d’équipement FortiG

dministrateur sans res ion, l’équipedministratif de n’importe

si le boîtier à entative

ar défaut les adresse ôtes de confiance sont respectivement 0.0.0.0.0/0 et 127.0.0 i une des adresses

0 sera ignorée. La ne entrée métacaraonfiance sur tefois, ceci ne constitueisque.


Profils d’administration C r appar ion. Le profil d ctéris ories de droits d ez activer des droits en lecture et/ou écriture. Le t ’interface d’administration web auxquelles c s : T ls s de l’interface d’administration web

Contrôle d’accès Pages de web affectées

haque compte administrateu’administrat

tient à un profil d’administrattiques FortiGate en catégion sépare les cara

’accès pour lesquels vous pouvableau suivant répertorie les pages de lhaque catégorie fournit un accè

ableau 30 : Droits d’accès des profi d’administration aux page

l’interface d’administration Utilisateurs d’administration Système > AdminConfiguration Antivirus Antivirus Utilisateurs authentifiés Utilisateur Configuration firewall Pare-feu Mise à jour FortiGuard Système > Maintenance > FortiGuard CenterConfiguration IPS Intrusion Protection Journaux et rapports Journaux/Alertes Maintenance Système > Maintenance Configuration réseau Système > Rés

Système >Système > DHCP

eau > Interface Réseau > Zone

Configuration routeur Routeur Configuration Spamfilter Anti-Spam Configuration système Système > r la session

e > on Système > arde et Restauration

e > upport

Statut, y compris les informations suSystèm Configurati

Maintenance > SauvegSystèm Maintenance > S

Configuration VPN VPN Configuration Webfilter Filtrage Web

Les droits en lecture autorisent l’administrateur à visualiser la page de l’interface d’administration web. L’administrateu en écriture pour apporter des modifications aux paramètres de la page.

r nécessite les droits

Remarque : Lorsque la configuration de d ée (voir « Paramètres » à la page 178), seul l’administrateur admi généraux. Même si les paramètres généraux sont activés dans le ministrateur régulier ne peut accéder qu’aux paramètres spéci ormations à propos des paramètres généraux, voir « Paramèt configuration d’un domaine virtuel » à la page 41. L la s des administrateurs aux commandes CLI. Le tableau suivant décrit les types de commande disponibles pour chaque catégorie de droits d’accès. Les droits en lecture donnent accès aux commandes « get » et « show », tandis que les droits en écriture permettent d’accéder à la commande « config ».

omaines virtuels est activètresn a accès aux param

profil d’administration, un adVDOM. Pour plus d’inffiques

res de

e profil d’administration affecte simi irement l’accè


Tableau 31 : Droits d’accès des profils d’administration aux commandes CLI Contrôle d’accès Commandes CLI disponibles Utilisateurs d’administration (admingrp)

system admin system accprofile

Configuration Antivirus (avgrp) antivirus Utilisateurs authentifiés (authgrp) user Configuration Pare-feu (fwgrp) firewall Mise à jour FortiGuard (updategrp) system autoupdate

execute backup execute update_now

Configuration IPS (ipsgrp) ips Journaux et rapports (loggrp) alertemail

log Maintenance (mntgrp) execute factoryreset

execute formatlogdisk execute reboot execute restore execute shutdown

Configuration réseau (netgrp) system arp -address

ver

system dhcp reservedsystem dhcp sersystem interface system status system zone execute dhcp lease-clear execute dhcp lease-list

Configuratio tegrp) router n routeur (rou execute router

Configuration Filtrage Antispam (spamgrp)

spamfilter

Configuration système (sysgrp) system à l’exception de accprofile, admin et autoupdate

execute ping execute ping-options execute ping6 execute restore execute time execute traceroute

execute date execute dhcpclear execute enter execute ha

Configuration VPN (vpngrp) vpn execute vpn

Configuration Filtrage web (webgrp) webfilter Sélectionnez Système > Admin > Droits d’Accès pour ajouter des profils d’administration aux administrateurs FortiGate. Chaque compte administrateur appartient à un profil d’administration. Vous pouvez créer des profils d’administration qui empêchent ou permettent les droits en lecture uniquement, droits en écriture uniquement ou les deux : droits en lecture et écriture des fonctionnalités FortiGate.


Un administrateur qui possède les droits en lecture d’une fonction peut accéder à la page d’administration web de cette fonction mais ne peut pas apporter de

odifications à la configuration. Les boutons Créer ou Appliquer n’apparaissent e. Les listes affichen

mpas sur la pag t l’icône Visualiser ( ) à la place des icônes

er ou toute autre comma

Visualisation de la liste des profil

Pour créer ou éditer des profils d’a te admin ou un

Sélectionnez Système > Admin > Illustration 76 : Liste des profils d’a

Editer, Supprim nde de modification.

s d’administration

dministration, utilisez un compcompte qui possèdent les droits en lecture et en écriture des utilisateurs admin.

Droits d’Accès.

dministration

Créer Nouveau Ajoute un nouveau profil d’administration.

Nom du profil Le nom du profil d’administration.

Icône Suppression Sélectionnez cette icône pour supprimer un profil d’administration. Il est impossible de supprimer un profil d’administration tant qu’un ou plusieurs administrateur(s) y est (sont) encore affecté(s).

Icône Editer Sélectionnez cette icône pour modifier le profil d’administration.

Configuration d’un profil d’administration

Pour éditer des profils d’administration, utilisez un compte admin ou un compte qui possèdent les droits en lecture et en écriture des utilisateurs admin. Sélectionnez Système > Admin > Droits d’Accès et cliquez sur Créer Nouveau.


Illustration 77 : Options des profils d’administration

Nom de profil Entrez le nom du profil d’administration.

Droits d’accès Les droits d’accès répertorient les catégories dont le profil d’administration contrôle l’accès.

our cocher les droits en les catégories.

roits en

Les catégories des droits d’accès Sélectionnez les cases none/lecture et/ou écriture pour les différentes catégories en fonction de vos besoins. Pour plus de détails à propos des catégories des droits d’accès, voir « Profils d’administration » à la page 174.

Lecture Cochez la case Lecture plecture de toutes

Ecriture Cochez la case Ecriture pour cocher les décriture de toutes les catégories.


FortiManager our permettre à votre FortiGate d’être administré par un serveur FortiManager,

dmin > FortiManager pour configurer votre équipement ion entre votre équipement FortiGate et le serveur

FortiManager se fait via un VPN IPSec pré-configuré et invisible sur votre FortiGate.

Illustration 78 : Configuration F

Psélectionnez Système > AFortiGate. La communicat

ortiManager

z la case Activer pour permettre une c m

Paramètres FortiManager

Activer Coche om unication sécurisée entre le boîtier FortiGate et le Serveur FortiManager. Sans quoi, la communication n’est pas sécurisée.

Adresse IP Entrez

Paramètres Sélectionnez Système > Admin > Settings (Paramètres) pour définir les options

• Les ports pour les accès a

• Les paramètres des timeo timeout de l’utilisateur

• Une protection à l’aide d’ucommandes (pour les mod

ID Entrez le numéro de série du Serveur FortiManager.

l’adresse IP du Serveur FortiManager.

suivantes :

dministratifs HTTP et HTTPS

uts, y compris le timeout de l’administrateur et le

• La langue de l’interface d’administration web

n PIN pour l’écran LCD et les boutons de èles équipés de ces fonctions uniquement)


Illustration 79 : Paramètres des administrateurs

Web Administration Ports

HTTP Entrez le port TCP utilisé pour l’accès administratif HTTP. La valeur par défaut est 80.

HTTPS Entrez le port TCP utilisé pour l’accès administratif HTTPS. La valeur par défaut est 443.

Paramètres de timeout

Administrateurs Entrez le nombre de minute pendant lesquelles la connexion peut rester inactive avant que l’administrateur ne doive se reconnecter. Le temps maximum est de 480 minutes (8 heures). Pour une meilleure sécurité, il est conseillé de maintenir la valeur par défaut de 5 minutes.

Utilisateur (authentification Entrez le nombre de minute pendant lesquelles une pare-feu) connexion authentifiée peut rester inactive avant que

l’utilisateur ne doive se réauthentifier. Le temps maximum est de 480 minutes (8 heures). La valeur par défaut est 15 minutes. Pour plus d’informations, voir « Paramétrage du timeout d’authentification » à la page 324.

Langage

Interface d’administration Sélectionnez la langue désirée de l’interface d’administration web. Vous avez le choix entre l’anglais, le chinois simplifié ou traditionnel, le japonais, le coréen ou le français. Remarque : Il est conseillé de choisir la langue dans laquelle opère le système d’exploitation de l’ordinateur d’administration.

Panneau LCD (pour les équipements équipés de cette fonction)

Protection PIN Cochez la case Protection PIN et tapez un pin de 6 caractères dans le champ prévu à cet effet.

Les administrateurs doivent alors entrer le PIN pour accéder aux commandes de l’écran LCD et des boutons.

Virtual Domain Configuration Cochez cette case si vous désirez opérer de multiples VDOM. Cela active les droits de création et de configuration des VDOM du compte administrateur admin


par défaut. Pour plus d’informations sur la création et l’administration de VDOM, voir « Domaines Virtuels » à la page 40.

Contrôle des administrateurs

lustration 80 : Les administrateurs connectés dans la barre des statuts

Le nombre d’administrateurs connectés apparaît dans la barre des statuts des pages de l’interface d’administration web. Il

trateurs Connectés pour visualiser les informations sur és à l’interface d’administration web en cours. Une

nt la liste des administrateurs connectés à ce moment-là.

tration 81 : Fenêtre de contrôle des administrateurs connectés

Cliquez sur l’icône Adminisles administrateurs connectnouvelle fenêtre s’ouvre afficha

Illus

Déconnecter Déconnecte les administrateurs sélectionnés. Cette fonction

n’est disponible qu’aux administrateurs qui possèdent les droits en écriture de la Configuration du Système.

Rafraîchir Met la liste à jour.

Fermer Ferme la fenêtre.

Les cases à cocher Cochez les cases des administrateurs à déconnecter et cliqueensuite sur Déconnecter. Cette fonction n’est disponible qu’au

z x

administrateurs qui possèdent les droits en écriture de la Configuration du Système.

Nom d’utilisateur Le nom du compte administrateur.

Type Le type d’accès : WEB ou CLI.

De Dans le cas d’un Type WEB, apparaît dans ce champ l’adresse IP de l’administrateur. Dans le cas d’un Type CLI, apparaît dans ce champ, soit « ssh » ou « telnet », soit l’adresse IP de l’administrateur ou « console ».

Heure La date et l’heure auxquelles s’est connecté l’administrateur.


Maintenance du Système Cette section décrit comment sauvegarder et restaurer la configuration de votre système et comment configurer des mises à jour automatiques à partir du FDN (FortiGuard Distribution Network). Les sujets suivants sont parcourus dans cette section :

• Sauvegarde et Restauration

• FortiGuard Center

• Licence

Sauvegarde et Restauration Pour sauvegarder et restaurer la configuration de votre système, et pour gérer le microcode, sélectionnez Système > Maintenance > Sauvegarde et Restauration. Vous pouvez sauvegarder la configuration du système, y compris les fichiers de contenu web et les fichiers de filtrage antispam sur l’ordinateur d’administration ou sur un disque USB (pour les modèles qui le supportent). Vous pouvez également restaurer la configuration du système à partir de fichiers de sauvegarde déjà téléchargés.

cats

ration d du co

configuration du système f rend les paramètres généraux e aque VDOM. Seul

dmin peu

paramètres généraux et les paramètres du VDOM géré par cet administrateur. rat

Pour inclure les certifi VPN dans le fichier de sauvegarde, vous devez permettre le cryptage du fichier de sauvegarde. Lorsque la configu es domaines virtuels est activée, le contenu du fichier de sauvegarde dépend mpte administrateur qui l’a créé. Une sauvegarde de la

aite à partir d’un compte administrateur admin compt les paramètres de ch

l’administrateur a t restaurer la configuration de ce fichier. Une sauvegarde faite à partir d’un compte administrateur régulier comprend les

Seul un compte administ eur régulier peut restaurer la configuration sauvée sur ce fichier.


Illustration 82 : Opti sauvegarde et de restauration ons de

Dernière Sauvegarde

Sauvegarde

Sau gaconf ur

nt FortiGate.

Nom du fichier :

Chiffrer le fichier de e case pour crypter le fichier de sauvegarde. configuration Entrez ensuite un mot de passe dans le champ Mot de Passe

et entrez le une seconde fois dans le champ Confirmer. Ce

doit être

Sauvegarde

Restaurer la configuration depuis :

Nom du fichier : a clé la ir du

Mot de Passe z le

Le jour et l’heure de la dernière sauvegarde vers le PC local.

Sauvegarde la configuration actuelle.

ve rde de la Sélectionnez le support sur lequel vous désirez sauvegarder ig ation vers : le fichier de configuration : local PC ou clé USB. La sélection

de Clé USB n’est possible que si la clé est connectée à l’équipeme

Si vous sélectionnez Clé USB, nommez le fichier de sauvegarde.

Cochez cett

mot de passe est exigé pour la restitution du fichier.

Pour sauvegarder des certificats VPN, le cryptage permis sur le fichier de sauvegarde.

Cliquez sur ce bouton pour sauvegarder la configuration.

Restaurer Restaure la configuration à partir d’un fichier.

Sélectionnez le support sur lequel vous avez sauvegardé la configuration : local PC ou Clé USB. La sélection de Clé USB n’est possible que si la clé est connectée à l’équipement FortiGate.

Dans le cas où vous restaurez la configuration à partir de lUSB, sélectionnez le nom du fichier de configuration dansliste. Dans le cas où vous restaurez la configuration à partPC d’administration, entrez le nom du fichier de configuration ou utilisez le bouton Parcourir (Browse).

Dans le cas où le fichier de sauvegarde est crypté, entremot de passe.


Restaurer Cliquez sur le bouton Restaurer pour restaurer la configuration à partir du fichier sélectionné.

Firmware Partition Une partition peut contenir une version du logiciel et de la

configuration du système. Les modèles FortiGate 100 et plus possèdent deux partitions. Une des partitions est active, tandis que l’autre est une sauvegarde.

Active Une marque V verte indique la partition comprenant le logiciel et la configuration en cours.

Le jour et l’heure de la dernière mise à jour de cette partition.

Version du Firmware La version du microcode FortiGate. La partition de sauvegarde permet de :

• Sélectionner Charger pour remplacer le microcode par celui qui se trouve sur le PC d’administration ou sur la clé

marrer pour remplacer le on active.

malte e sauvegardé. Cette fonction n’est

r les FortiGate 100 et plus.

ancés (USB

é USB électionnez les

ez le boîtier FortiGate.

Si vous sélectionnez les mises à jour de configuration et de microcode, les deux s’enclenchent lors du redémarrage. Un microcode ou un fichier de configuration déjà téléchargé ne seront pas re-téléchargés.

Met a configuration à jour automatiquement lors du redémarrage. Assurez-vous que le nom du fichier de

ur irmWare de la FortiGate par celle de la clé USB si l’Image par défaut est présente sur celle-ci.

Met le microcode à jour automatiquement lors du redémarrage. Assurez-vous que le nom de l’Image par défaut corresponde au nom du fichier de l’image sur la clé USB.

Import Bilk CLI Commands Importe sur l’équipement FortiGate des définitions de filtres URL et de filtres antispam à partir d’un fichier texte présent sur

le aliser

Debug Log Télécharger un journal de déboguage crypté dans un fichier. Vous pouvez ensuite l’envoyer au Service Technique de

Dernière Mise à jour

USB.

• Sélectionnez Charger et Redémicrocode et en faire la partiti

Dé arrer sur firmware Cliquez sur ce bouton pour redémarrer le boîtier FortiGate rnatif en utilisant le microcod

disponible que su

Av Auto-Install, Import CLI Commands, Download Debug Log)

Cette section n’est disponible que dans le cas où une clest connectée à l’équipement FortiGate. Soptions requises et redémarr

• Quand le système redémarre, mettre à jour la configuration de la FortiGate par celle de la clé USB si le Fichier de Configuration par défaut est présent sur celle-ci.

l

configuration par défaut corresponde au nom de ce fichier sur la clé USB.

• Quand le système redémarre, mettre à jo le F

l’ordinateur d’administration. Entrez le chemin d’accès etnom de fichier ou cliquez sur Parcourir (Browse) pour locle fichier.

Vous pouvez créer le fichier texte en extrayant la section appropriée d’un fichier de sauvegarde de configuration FortiGate ou en tapant les commandes CLI appropriées.

Download

Fortinet qui vous aidera à diagnostiquer les problèmes éventuels rencontrés sur votre FortiGate.


Centre FortiGLe Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution

es à jour des bases de connaissance antivirus et IPS. Les Services FortiGuard procurent quant à eux des listes noires d’adresses IP, d’URL et autres outils de filtrage antispam.

Réseau de Distrib

pris ) et IPS (contre les attaques). Lorsque le boîtier FortiGate se connecte au

FDN, il se connecte au FDS le plus proche, considérant le fuseau horaire défini.

tes :

eur s, des bases de

Vous devez d’abord enregistrer votre FortiGate sur la page web du support de Fortinet. Voir « Enregistrement d’un équipement FortiGate » à la page 37. Pour recevoir des mises à jour programmées, l’équipement FortiGate doit pouvoir se connecter au FDN via HTTPS sur le port 443. Pour plus d’informations sur la configuration de programmation de mises à jour, voir « Activer la programmation

à

Services FortiGu

un autre Point de Service dont les informations

Cen Pour modifier, si nécessaire, le nom d’hôte du Point de Service FortiGuard par défaut, entrez le mot-clé hostname dans la commande CLI system

uard

Network (FDN - Réseau de Distribution FortiGuard) et les Services FortiGuard. Le FDN fournit des mis

ution FortiGuard

Ce réseau, appelé FDN, est un réseau mondial de FortiGuard Distribution Servers (FDS). Le FDN fournit des mises à jour des bases de données antivirus (y comgrayware

L’équipement FortiGate supporte les mises à jour des fonctionnalités suivan

• Mises à jour initiées par l’utilisateur à partir du FDN,

• Mises à jour mensuelles, hebdomadaires voire toutes les h edonnées antivirus et IPS, à partir du FDN,

• Mises à jour forcées à partir du FDN,

• Statuts des mises à jour, y compris les numéros des versions, les dates d’expiration, ainsi que les dates et heures des mises à jour,

• Mises à jour forcées à partir d’un serveur NAT.

de mise à jour» à la page 190. Vous pouvez également configurer votre FortiGate pour qu’il accepte des misesjour forcées. Pour ce faire, le FDN doit être capable d’acheminer des paquets vers le boîtier FortiGate via UDP port 9443. Pour plus d’informations à ce sujet, voir « Activer les mises à jour forcées » à la page 191.

rd a

Les Points de Service FortiGuard (FortiGuard Service Points) offrent une couverture mondiale. Fortinet crée des nouveaux Points de Service à chaque fois que nécessaire. Le boîtier FortiGate communique par défaut avec le Point de Service le plus proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable, l’équipement FortiGate contacte s’affichent après quelques secondes. Par défaut le boîtier FortiGate communique avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez utiliser UDP port 8888 en sélectionnant Système > Maintenance > FortiGuard

ter.


fortiguard. Il n’est pas possible de modifier ce nom d’hôte à partir de l’interface d’administration web.

us sur la page web ortiGuard Center.

rvice Antispam FortiGuard

e antispam de Fortinet qui comprend des listes noires d’adresses IP, d’URL et des outils de filtrage antispam. La liste noire d’adresses IP contient des adresses IP de serveurs mails connus pour générer des spams. La liste noire d’URL contient des URL de sites web trouvés dans ces spams. Les procédés FortiGuard-A com s par Fortinet. Grâce à un co t e des mises à jour dynamiques, FortiGuard-Antispam est toujoFortiGuard-Antispam dansd’informations, voir « Optio à la page 286.

Une licence gratuite, valab ours, pour un essai du FortiGuard Antispam est offerte à l’achat d’un équipeme vie par les serveurs Fortinet. ILors de l’activation de Forautomatiquement un Pointlicence après la période d’ess i de 30 jours, contactez le Support Technique de Fortinet. Pour activer FortiGuard-AFortiGuard Center et configurechaque profil de protection pare-feu. Voir « Options du filtrage antispam » à la page 286.

Service FortiGuard-Web

st uncentaines s

utilisateurs peuvent accep ortiGate accède au Point de Service FortiGuard-Wpage web souhaitée et ap t utilisateur ou cette interfac Une licence gratuite, valab r un essai du FortiGuard-Web est offerte

n équipement serveurs Fortinet. Il n’est p de licence. Lors de l’activation du service de bFor ntacte automareno rtiG ctez le Sup For Pour activer FortiGuard-Web, sélectionnez Système > Maintenance > FortiGuard Cen urez ensu que profil de protection pare-fe ptions du filtrage FortiGuard-Web » à la page 285.

Pour plus d’informations sur les services FortiGuard, rendez-voF

Se

FortiGuard-Antispam est un systèm

ntispam sont plètement automatisés et configuréntrôle constan t

urs actualisé. Vous pouvez activer ou désactiver les profils de protection pare-feu. Pour plus ns du filtrage antispam »

le 30 j

nt FortiGate. La gestion de ces licences est suil n’est pas nécessaire d’entrer un numéro de licence. tiGuard-Antispam, le boîtier FortiGate contacte de Service FortiGuard-Antispam. Pour renouveler la

a

ntispam, sélectionnez Système > Maintenance > z ensuite les options du Filtrage Antispam pour

Le FortiGuard-Web e e solution de filtrage de contenu web de Fortinet. Ce service trie des de millions de pages web en diverses catégories que le

ter, bloquer ou contrôler. Le boîtier Feb le plus proche pour déterminer la catégorie de la

plique ensuite la règle pare-feu configurée pour cee.

le 30 jours, pou à l’achat d’u FortiGate. La gestion de ces licences est suivie par les

as nécessaire d’entrer un numéro locage des catégories FortiGuard, l’équipement

tiGate co tiquement un Point de Service FortiGuard. Pour uveler la licence Fo uard après la période d’essai de 30 jours, contaport Technique de tinet.

ter et config ite les options du filtrage FortiGuard-Web pour chau. Voir « O


Configuration du boîtier FortiGate pou le

Pour configurer l’accès aux mi ux services FortiGuard, sélectionnez Système > M n Illustration 83 : Centre de Mise

r s services FDN et FortiGuard

ses à jour FDN et aai tenance > FortiGuard Center.

à jour

on For rd

Etat ion au FortiGuard Distribution Network

îtier FortiGate arrive à se connecter au FDN. Vous pouvez le configurer pour des mises à jour

es à

à

Mise à jour forcée

pouvez FortiGate pour des mises à jour

Réseau de distributi tiGua

FDN L’état de la connex(FDN) :

• vert – Le bo

programmées. Voir « Activer la programmation de misjour» à la page 190.

• rouge-jaune clignotant – Le boîtier FortiGate n’arrive passe connecter au FDN. Voir « Résolution de problèmes de connexion FDN » à la page 188.

Le statut de réception des mises à jour forcées provenant duFDN :

• vert – Le FDN arrive à se connecter à l’équipement FortiGate pour envoyer des mises à jour forcées. Vousconfigurer l’équipementforcées. Voir « Activer les mises à jour forcées » à la page 191.


• rouge-jaune clignotant – Le boîtier FortiGate n’arrive pas onnecter

à se c au FDN pour envoyer des mises à jour forcées.

8.

page

de remplacement

ez cette case et entrez une adresse IP ou un nom de ’un serveur FortiGuard. Cliquez ensuite sur

Appliquer. Si l’état FDN indique toujours un problème de

e

hier de la base de données

mise à jour FortiGate de télécharger les mises à jour des bases de données.

Statut de la dernière Le résultat de la dernière tentative de mise à jour : mise à jour

• Pas de mise à jour ; No Updates – la dernière tentative a été installée avec succès, pas de nouvelle mise à jour disponible.

• Mises à jour installées ; Installed Updates - la dernière tentative a été installée avec succès, de nouvelles mises à jour ont été installées.

D’autres messages peuvent indiquer que l’équipement FortiGate n’a pas réussi à se connecter au FDN ou autre message d’erreur.

Permettre les mises Cochez cette case pour permettre des mises à jour à jour forcées automatiques de votre FortiGate.

Utiliser l’adresse IP Spécifiez une adresse IP et un port de remplacement lors de la de remplacement présence d’un serveur NAT entre le boîtier FortiGate et le

FDN. Cochez la case, entrez l’adresse IP et le numéro du port auxquels le FDN doit envoyer les mises à jour. Cliquez ensuite sur Appliquer. Pour plus d’informations, voir « Activation des mises à jour forcées via un serveur NAT » à la page 192.

Programmation des Cochez cette case pour activer les mises à mises à jour régulières jour programmées.

Chaque Tente une mise à jour toutes les 1 à 23 heures. Sélectionnez le nombre d’heure désiré entre chaque requête de mise à jour.

Voir « Résolution de problèmes de connexion FDN » à la page18

Réactualiser Cliquez sur Réactualiser pour que le boîtier FortiGate teste sa connexion au FDN. Les résultats s’affichent en haut de la FortiGuard Center.

Utiliser l’adresse Configurez un serveur override si vous n’arrivez pas à vous connecter au FDN ou si votre entreprise fournit des mises à jour via son propre serveur FortiGuard.

• Cochdomaine d

connexion, voir « Résolution de problèmes de connexion FDN » à la page 188.

Mise à jour Ce tableau reprend les statuts des mises à jour des bases ddonnées antivirus et IPS FortiGuard.

Version Le numéro de la version du ficcourante sur le boîtier FortiGate.

Date d’expiration La date d’expiration de votre licence pour ce service FortiGuard.

Dernière tentative de Le jour et l’heure de la dernière tentative par le boîtier


Journalière Tente une mise à jour une fois par jour. Vous pouvez en

ise à jour irement pendant

une mise à jour FDN.

ances grâce à la réduction des t FortiGate au serveur FortiGuard. Le

ate. Lorsque le cache est plein, l’adresse IP ou l’URL

e.

Etat de la connexion vers le serveur FortiGuard-Antispam :

ec de la connexion avec le

exion avec le serveur

serveur u

Résolution de problèmes de connexion FDN

, il

r votre réseau afin de permettre à l’équipement FortiGate l’utilisation TTPS sur le port 443 pour se connecter à Internet.

rd 90.

r vous assurer de la connexion entre le serveur override FortiGuard et l’équipement FortiGate.

spécifier l’heure. La tentative de mise à jour s’enclenche à un moment déterminé arbitrairement pendant l’heure sélectionnée.

Hebdomadaire Tente une mise à jour une fois par semaine. Vous pouvez en spécifier le jour et l’heure. La tentative de ms’enclenche à un moment déterminé arbitral’heure sélectionnée.

Mettre à jour Sélectionnez cette fonction pour initier manuellement

FortiGuard Service

Activer Active le service.

Service Un des services FortiGuard : Anti Spam, Filtrage Web ou AV Query (future).

Licence Etat de votre licence pour ce service.

Expire Date d’expiration de votre licence pour ce service.

Utiliser le cache Permet le cache des informations des Services FortiGuard. Cela améliore les performrequêtes de l’équipemencache est configuré pour utiliser 6% de la mémoire duFortiGutilisée le moins récemment est supprimé

Cache TTL « Time to live ». Le nombre de secondes pour stocker les adresses IP et URL bloquées dans le cache avant de recontacter le serveur.

Etat

• Rouge/jaune clignotant – échserveur

• Vert permanent – succès de la conn

Use Default Port (53) Sélectionnez cette fonction pour utiliser le port 53 pour communiquer avec les serveurs FortiGuard-Antispam.

Use Alternate Port (8888) Sélectionnez cette fonction pour utiliser le port 8888 pourcommuniquer avec les serveurs FortiGuard-Antispam.

Test Availability Sélectionnez cette fonction pour tester la connexion auFortiGate-Antispam. Les résultats s’affichent en dessous dbouton et sur les indicateurs des Statuts.

Dans le cas où votre équipement FortiGate n’arrive pas à se connecter au FDNest nécessaire de vérifier votre configuration. Par exemple, vous devrez probablement ajouter des routes à la table de routage FortiGate ou encore configureH Vous devrez également peut-être vous connecter à un serveur override FortiGuapour recevoir des mises à jour. Voir « Ajouter un serveur override » à la page 1Si cela ne fonctionne toujours pas, vérifiez votre configuration pou


Les mises à jour forcées risquent de ne pas être disponibles si :

• Vous n’avez pas enregistré votre équipement FortiGate (voir « Enregistrement d’un équipement FortiGate » à la page 37.)

et le FDN (voir « Activation .)

xy (voir « Activer la 190.)

Mise à jour des s s antivirus e

Les procédures suivantes nexion au Ré

aiss

> Statut et cliquez sur Changer à côté de Heure Système dans la section des Informations sur le système.

2

3 d Center.

4 Cliquez sur Réactualiser. Le boîtier FortiGate tente alors une connexion avec le en haut de la page des Mises à jour du

1 e > Maintenance > FortiGuard Center.

issance antivirus et

veur override, l’interface

st has been sent. Your database will w minutes. Please check your update

age for the status of the update.”

de

page de mise à jour.

• Un serveur NAT est installé entre votre FortiGatede mises à jour forcées via un serveur NAT » à la page 192

• Votre FortiGate se connecte à Internet via un serveur proprogrammation de mises à jour via un serveur proxy » à la page

ignature t IPS

vous guident dans la configuration de votre FortiGate seau de Distributpour une con ion FortiGuard (FDN) afin de mettre à

jour les bases de conn ance antivirus et IPS (contre les attaques).

S’assurer que l’équipement FortiGate se connecte au FDN

1 Sélectionnez Système

Assurez-vous que le bon fuseau horaire est sélectionné, dépendant de la localisation de votre FortiGate.

Sélectionnez Système > Maintenance > FortiGuar

FDN. Les résultat du test s’affichent système.

Mettre à jour les signatures antivirus et IPS

électionnez SystèmS

2 Cliquez sur Mettre à jour pour mettre à jour les bases de connaIPS.

En cas de succès de la connexion au FDN ou au serd’administration web affiche un message du type : “Your update requebe updated in a fep A savoir: Votre demande de mise à jour a été envoyée. Votre basedonnées sera mise à jour dans quelques minutes. Merci de vérifier l’état de la mise à jour sur votre

Lorsqu’une mise à jour est disponible, la page du Centre FortiGuard affichera, après quelques minutes, les nouvelles versions d’antivirus, en fonction de leurs dates de création et numéros de version. Le journal Evénement enregistre les messages témoignant du succès ou de l’échec des mises à jour.

Remarque : La mise à jour des définitions d’antivirus, par l’ajout de nouvelles signatures par FortiGate dans la base de données, peut entraîner une brève rupture du trafic analysé. Il est


dès lors préférable de progpendant la nuit.

rammer les mises à jour lorsque le trafic est faible, par exemple

1

2

3

s et minutes) entre chaque demande

ez en née.

ez

4

Dans le cas où vous ne parvenez pas à vous connecter au FDN, ou encore si votre leur propre serveur FortiGuard, les jouter une adresse IP d’un serveur

d Center.

l’adresse de remplacement.

3

4 ppliquer.

s paramètres .

A m jour via un serveur proxy

Si votre FortiGate doit se connecter à Inte serveur proxy, vous pouvez u de pour permettre a n t au FDN via le serveur proxy. Pour lus d’informations, voir le FortiGate CLI Reference.

Activer la programmation de mise à jour

Sélectionnez Système > Maintenance > FortiGuard Center.

Cochez la case Programmation des mises à jour régulières.

Sélectionnez une des fréquences suivantes pour la vérification et le téléchargement des mises à jour :

Chaque Toutes les 1 à 23 heures. Sélectionnez le tempsouhaité (en heuresde mise à jour.

Journalière La mise à jour a lieu quotidiennement. Vous pouvspécifier l’heure précise dans la jour

Hebdomadaire La mise à jour a lieu une fois par semaine. Vous pouven spécifier le jour et l’heure.


La nouvelle programmation de fréquence entre en vigueur immédiatement. A chaque fois que le boîtier FortiGate procède à une mise à jour, l’action est enregistrée dans le journal Evénement.

Ajouter un serveur override

entreprise vous fournit les mises à jour deprocédures suivantes vous permettront d’aoverride FortiGuard.

1 Sélectionnez Système > Maintenance > FortiGuar

2 Cochez la case Utiliser

Entrez le nom de domaine entier ou l’adresse IP d’un serveur FortiGuard.

Cliquez sur A

Le boîtier FortiGate teste la connexion vers le serveur override. En cas de succès, le paramètre du FDN affiche un statut disponible. Dans le cas contraire où le FDN affiche un statut de service indisponible, le boîtier FortiGate n’arrivant pas à se connecter au serveur override, vérifiez les onfigurations du FortiGate et du réseau et tentez de déceler lec

empêchant la connexion au serveur override FortiGuard

ctiver la programmation de ise à

rnet via untiliser la comman config system autoupdate tunnelingu FortiGate de se connecter (via u unnel)

p


Activation des mises à jour forcées

é enregistré pour recevoir ces mises à jour forcées. oir « Enregistrement d’un équipement FortiGate » à la page 37.

ETUP au FDN. De cette manière, lorsque les nouvelles ases de connaissance antivirus et IPS sont créées, le FDN informe tous les

tes demandent la mise à jour au FDN.

Le FDN peut forcer les mises à jour sur le boîtier FortiGate en vue de fournir une réponse la plus rapide possible aux situations critiques. Votre équipement FortiGate doit d’abord avoir étV Les équipements FortiGate configurés pour recevoir les mises à jour forcées envoient un message SbFortiGate configurés pour la mise à jour forcée d’une nouvelle mise à jour disponible. Dans les 60 secondes après la réception de ce message, les FortiGa

Remarque : Les mises à jour forcées ne sont pas supportées dans le cas de l’utilisation

ment les mises à jour. Cependant, la programmation de mises à jour assurent au FortiGate une meilleure garantie de réception des dernières mises à jour.

jour n’est pas recommandée. Il existe toujours un risque que le boîtier FortiGate ne la disponibilité de nouvelles mises à jour. De plus une ’une seule tentative de connexion au FDN et de

ises à jour forcées

3

forcées en cas de modification des adresses IP

Le message SETUP envoyé par le boîtier FortiGate lors de l’activation de mises à jour forcées comprend l’adresse IP de l‘interface à laquelle vient se connecter le FDN. En mode Transparent, le message SETUP comprend l’adresse IP d’administration FortiGate. En mode NAT/Route, ce message comprend l’adresse IP d’une interface, dépendant du modèle boîtier FortiGate. Tableau 32 : Interface pour les mises à jour forcées FDN

Modèle Interface pour les mises à jour forcées FDN

d’un serveur proxy pour se connecter au FDN. Pour plus d’informations, voir « Activer la programmation de mises à jour via un serveur proxy » à la page 190. Lorsque la configuration du réseau le permet, il est recommandé d’activer les mises à jour forcées en plus de la configuration des mises à jour programmées. Cela permet au FortiGate de recevoir plus rapide

L’activation des mises à jour forcées comme seul moyen d’obtention des mises à

reçoive pas l’information detelle information n’active qutéléchargement des mises à jour.

ctiver les mA

1 Sélectionnez Système > Maintenance > FortiGuard Center.

2 Sélectionnez Permettre les mises à jour forcées.


Mises à jour FortiGate

50A, 50AM, 100, 200, 300, 500, 800, 2000, 3000, 3600, 4000

Externe

60, 60M, 60Wi-Fi WAN1 100A, 200A, 300A, 400, 400A, 500A Port 2


Dans le cas d’un changement manuel d’une adresse IP de l’interface ou de changement dynamique via DHCP ou PPPoE, l’équipement FortiGate envoie un

ate se

Si un changement d’adresse IP d’administration a lieu, en mode Transparent, l’équipement FortiGate envoie également un message SETUP pour en informer le FDN.

forcées via un serveur NAT

FDN ne ur NAT, il nfigurer le rel

la configd’un relayage de port, le F te au FortiGate via UDP soit sur le port 9443 soit sur un port de remplacement spécifié.

message SETUP. Le FDN doit pouvoir se connecter à cette adresse IP pour permettre à votre FortiGate de recevoir les messages de mises à jour forcées. Si votre FortiGtrouve derrière un serveur NAT, voir « Activation de mises à jour forcées via un serveur NAT » à la page 192. Dans le cas de connexions Internet redondantes, le boîtier FortiGate envoie

galement un message SETUP lorsque l’une des connexions échoue et qu’une éautre prend le relais.

Activation de mises à jour

Dans le cas où le se connecte au FortiGate qu’à travers un serveest nécessaire de co ayage de port sur le serveur NAT et d’ajouter ces informations dans uration des mises à jour forcées. Lors de l’utilisation

DN se connec

Remarque : Vous ne pouvez pas recevoir de mise à jour forcée via un serveur NAT si son adresse IP externe est dynamique (par exemple, via l’utilisation de PPPoE ou DHCP).

Procédure générale

Les procédures suivantes vous guident dans la configuration du serveur NAT FortiGate et du boîtier FortiGate sur le réseau interne pour la réception des mises à jour forcées.

1 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate.

2 Ajoutez une règle pare-feu sur le serveur NAT FortiGate qui comprenne l’IP virtuelle du relayage de port.

3 Configurez l’équipement FortiGate sur le réseau interne avec une IP et un port de remplacement.

Remarque : Avant de clôturer cette procédure, assurez-vous d’avoir enregistré votre réseau interne du FortiGate de manière à ce qu’il puisse recevoir les mises à jour forcées.


Licence Pour les modèles Fortide Fortinet pour augm

Gate-3000 et plus, des clés de licence sont en vente auprès enter le nombre maximum de VDOM jusqu’à 25, 50, 100 ou

o

Sélectionnez Système > Maintenance > Licence pour entrer la clé de licence.

250. Le boîtier FortiGate supporte par défaut un maximum de 10 VDOM. La clé de licence est un code de 32 caractères fournit par Fortinet. Votre numérde série est exigé pour générer cette clé de licence.

Illustration 84 : Clé de licence pour ajout de VDOM supplémentaires

Current License Le nombre actuel maximum de domaines virtuels.

e Input License Key Entrez la clé de licence fournie par Fortinet et cliquez ensuitsur Appliquer.


Routeur S

aquets vers une destination autre que celle de la

,

Les routes statiques sont définies manuellement. Elles contrôlent le trafic sortant quets

).

esses IP source et/ou de destination et autres critères tels que l’interface qui a reçu le paquet ou le protocole

Route Statiques se configurent en définissant l’adresse IP et le masque de

réseau de destination des paquets que le boîtier FortiGate s’apprête à intercepter

.

tatique Vous trouverez dans cette section la façon de définir des routes statiques et de créer des règles de route. Une route fournit au FortiGate l’information nécessaire pour transférer un paquet vers une destination particulière. Une route statique

ntraîne le transfert de pepasserelle par défaut configurée à l’origine. La route statique par défaut configurée à l’origine vous fournit un point de départ pour configurer la passerelle par défaut. Vous pouvez éditer cette route statique par défaut et spécifier une passerelle par défaut différente pour le boîtier FortiGateou vous pouvez la supprimer et spécifier votre propre route statique par défaut qui dirige vers la passerelle par défaut (voir « Route par défaut et passerelle par défaut » à la page 198).

du FortiGate – vous pouvez spécifier l’interface à travers laquelle les pasortent et l’interface vers laquelle ces paquets sont dirigés. Facultativement, il est possible de définir des règles de route (route policiesCelles-ci ajoutent des critères supplémentaires pour l’examin des propriétés des paquets entrants. Ces règles permettent également de configurer le boîtier FortiGate pour diriger les paquets en fonction de leurs adr

(service) et/ou port utilisé pour le transport du paquet. Les sujets suivants sont parcourus dans cette section :

• Route Statique

• Règle de Routage

e Les routes statiqu

et en spécifiant une adresse IP (de passerelle) pour ces paquets. L’adresse de la passerelle indique le routeur du prochain saut vers lequel le trafic va être dirigé

Remarque : La commande CLI config router static6 permet d’ajouter, édisupprimer les routes statiques du trafic IPv6. Pour plus d’informations, voir le chapitre surles routeurs dans le

ter ou

Concepts de rout

r le alisée

grand ou petit, ce module vous aide à comprendre es par un équipement FortiGate.

FortiGate CLI Reference.

age

Le routage étant un sujet complexe, certains le considèrent comme trop difficile à maîtriser. Cependant, le boîtier FortiGate étant un appareil dédié à la sécurité sur le réseau, ce guide développe un certain nombre de concepts de base suroutage de manière à ce que la configuration du FortiGate puisse être réavec efficacité. Que le réseau à administrer soitles fonctions de routage exécuté


Comment se construit une table de routage ?

La table de routage FortiGate comprend, par défaut, une seule route statique par défaut. Vous pouvez ajouter des informations à la table de routage en définissant

ement associée à la distance la plus courte entre l’équipement FortiGate et le routeur le plus proche du prochain saut. Dans le cas où la meilleure route est

ente un sous-

erfaces du FortiGate, ce dernier

s où le boîtier FortiGate n’arrive pas à communiquer avec l’ordinateur de cette adresse IP source, le boîtier FortiGate annule le paquet. Dans le cas où l’adresse de destination correspond à une adresse locale (et que la configuration locale permet la livraison), l’équipement FortiGate livre le paquet au

cal. Si le paquet est destiné à un autre réseau, l’équipement FortiGate

entrées vers une même destination sont présentes dans le table

table de routage sont administrative. Si la table de routage contient plusieurs entrées vers une même

trées

voir

des routes statiques supplémentaires. La table peut comprendre plusieurs routes différentes vers une même destination. Les adresses IP du routeur du prochain saut spécifié dans ces routes peuvent varier, de même que les interfaces FortiGateassociées à ces routes. L’équipement FortiGate sélectionne la « meilleure » route pour un paquet en évaluant les informations de la table de routage. La meilleure route est typiqu

indisponible, c’est la meilleure route suivante qui est sélectionnée. Les meilleures routes sont reprises dans la table de relayage FortiGate, qui représensemble de la table de routage FortiGate. Les paquets sont donc transférés en fonction des informations contenues dans la table de relayage.

Comment les décisions de routage sont-elles prises ?

chaque fois qu’un paquet arrive sur l’une des intAdétermine si le paquet a été reçu par une interface légitime en lançant une recherche inversée utilisant l’adresse IP source de l’en-tête du paquet. Dans le ca

réseau lotransfère le paquet vers le routeur du prochain saut d’après la règle de route correspondante (voir « Règle de routage » à la page 201) et/ou d’après les informations disponibles dans la table de relayage FortiGate.

Comment la distance administrative affecte-t-elle la préférence des routes ?

Lorsque plusieurs de routage, il est possible de forcer l’équipement FortiGate à sélectionner une route primaire (préférée) parmi les différentes routes, en diminuant sa distance administrative. La distance administrative se situe entre 1 et 255. Toutes les entrées de la ssociées à une distance adestination (les entrées pouvant avoir des associations de passerelles ou d’interfaces différentes), l’équipement FortiGate compare et sélectionne les enayant les distances les plus basses et les installe comme routes dans la table de relayage. De cette manière la table de relayage FortiGate ne contient que des routes ayant les distances les plus basses vers toutes les destinations possibles. Pour toutes informations sur la modification de ces distances administratives, « Ajout d’une route statique à la table de routage » à la page 200.

Comment le numéro de séquence d’une route affecte-t-elle la priorité de cette route ?

Une fois la sélection des routes statiques dans la table de relayage définie, la priorité de routage s’appuie sur le numéro de la route dans la liste. Lorsqu’il existe


deux routes pour une même destination dans la table de relayage, c’est la routequi possède le numéro le plus bas dans la succession qui est considérée comme la route avec la plus grande priorité. Dans la version 3.0 de FortiOS, il est possible de définir un champ de priorités pourles routes à partir

des commandes CLI. Ce champ ne tient pas compte du numéro

de séquence dans le cas où deux routes ont la même distance administrative – la rimaire. Si deux routes ont la

mp de priorités via la commande CLI

tion web, l’équipement FortiGate lui affecte

port1 »

route ayant la priorité la plus élevée est le route pmême priorité, il est possible de définir le chaset priority <integer> dans la commande config route static. Pour plus d’informations, voir le FortiGate CLI Reference. DH – New 3.0, partial fix for bug. Lorsqu’une route statique est créée dans la liste de Routes Statiques à partir de ’interface d’administralautomatiquement le prochain numéro de séquence. Par exemple, dans l’illustration 85, deux routes statiques vers une même destination (1.1.1.0/24) ont été créées pour montrer comment les numéros d’entrée et les numéros de séquence sont affectés par l’interface graphique. Les deux routes spécifient la même passerelle, mais dans un cas, le paquet quitte l’équipement FortiGate via l’interface «t dans le deuxième cas, via l’interface « port2 ». e

Illustration 85 : Routes statiques créées à partir de l’interface d’administration web

Le numéro de séquence dans la table de routage dépend de l’ordre de création des entrées. Ainsi l’entrée 2 a été créée avant l’entrée 3. Lorsque l’équipement FortiGate évalue ces deux routes pour une même destination, celles-ci seront toutes les deux ajoutées dans la table de relayage car leur distance administrative est basse. Une fois dans la table de relayage, le numéro de séquence détermine la priorité de la route, à moins que celle-ci ait été définie à partir de la commande CLI set priority. L’entrée 2 ayant le numéro de séquence le plus bas, elle devient la route préférée.

Remarque : Il es afficher les numéros des routes statiques dans la table de nde CLI config router static, et tapez ensuite getalente à la valeur edit <

t possible d’routage à partir de la comma . Le numéro d’une route est équiv ID_integer> entrée

édemment par une commstatic dans le FortiGate CL

s les routes ce l’ordre des entr

séquence des routes statiq ependant, le numéro de d’une route ne c

s Statiques. e leur création

e séquence peuuniquement.

ence plus bas qu’une autre route pour la même destination, l’équipement FortiGate

préc ande CLI. Pour plus d’informations, voir config router I Reference.

Lorsque toute statiques sont configurées à partir de l’interfagraphique, ées dans la liste de Routes Statiques équivaut à la

ues dans la table de routage. Cséquence orrespond pas toujours à son numéro d’entrée dans la liste de Route C’est le cas lorsque les numéros de séquence ont été définis lors d à partir de l’interface de commande en ligne. Les numéros d vent être spécifiés à partir de commandes CLI

En résumé, si une route de la table de routage possède un numéro de séqu


choisit la route avec le numéro dpouvez, lors de la configuration de ro

e séquence le plus bas. Etant donné que vous utes statiques, à partir de l’interface de ligne

les

ne g

Visualisation, cré

La liste de ent FortiGate

ues, l’équipement FortiGate évalue les nouvelles informations pour déterminer si celles représentent

n route différente comparée à toutes les autres routes présentes dans la table

Routeur > Static > u ique existante, cliquez sur son

ll à un équ un autre.

lustration 86 : Liste des Routes Statiques

de commande, spécifier les numéros de séquence ou la priorité à affecter, routes vers une même destination peuvent être définies comme prioritaires ou non en fonction de leurs numéro de séquence et priorité. Pour mettre la priorité sur uroute statique, vous devez créer cette route à partir de la commande CLI confirouter static et spécifier un numéro de séquence bas ou une priorité haute pour cette route.

ation et édition de routes statiques

s Routes Statiques affiche les informations que l’équipemcompare aux en-têtes des paquets dans le but de les diriger. Au départ, la liste comprend les routes statiques configurées par défaut (voir « Route par défaut et passerelle par défaut » à la page 198). Des entrées supplémentaires peuvent être créées manuellement. Lorsque vous ajoutez une route à la liste des Routes Statiq

u ede routage. Si aucune de ces routes ne possèdent la même destination, l’équipement FortiGate ajoute cette nouvelle route à la table de routage. Pour visualiser la liste des routes statiques, sélectionnez Ro te Statique. Pour éditer une entrée de route staticône Editer. L’i ustration 86 présente un exemple de liste de routes statiques appartenant

ipement FortiGate. Les noms des interfaces varient d’un modèle FortiGate à

Il

Créer Nouveau Permet d’ajouter une route statique à la liste des Routes

Statiques. Voir « Ajout d’une route statique à la table de routage » à la page 200.

és par l’équipement FortiGate.

Masque Le masque de réseau associé aux adresses IP.

Passerelle Les adresses IP des routeurs du prochain saut vers lequel les paquets interceptés sont envoyés.

Interface Le nom de l’interface FortiGate à travers laquelle les paquets interceptés sont reçus et envoyés.

Distance Les distances administratives associées à chaque route. La valeur représente la distance vers les routeurs du prochain saut.

Icônes Supprimer et Editer Permet de supprimer ou d’éditer l’entrée dans la liste.

IP Les adresses IP de destination des paquets intercept


Route par défaut et passerelle par défaut

Dans la configuration d’origine, l’entrée numéro 1 dans la liste des Routes Statiques est associée à l’adresse de destination 0.0.0.0/0.0.0.0, ce qui signifie toutes destinations. Cette route est appelée « la route statique par défaut ». Si aucune autre route n’est présente dans la table de routage et qu’un paquet doit être envoyé au-delà de l’équipement FortiGate, la route par défaut d’origine permet à l’équipement FortiGate d’envoyer le paquet vers la passerelle par défaut. Pour empêcher cela vous pouvez soit éditer la route statique par défaut et spécifier une passerelle par défaut différente, soit supprimer cette route statique par défaut et en spécifier une nouvelle qui dirige vers la passerelle par défaut. L’illustration 87 offre l’exemple d’un équipement FortiGate connecté à un routeur. Pour s’assurer que tous les paquets destinés à tout réseau au-delà du routeur sont commutés vers la bonne destination, il vous faut éditer la configuration par défaut et faire du routeur la passerelle par défaut de l’équipement FortiGate. Illustration 87 : Faire d’un routeur une passerelle par défaut

Dans cet exemple, pour diriger les paquets sortants du réseau interne vers des

z éditer la

ctée au réseau 192.168.10.0/24 (par

destinations qui ne sont pas sur le réseau 192.168.20.0/24, vous pouveroute par défaut et inclure les paramètres suivants :

• IP/Masque de destination : 0.0.0.0/0.0.0.0

• Passerelle : 192.168.10.1

• Interface : Nom de l’interface conneexemple, external).

• Distance : 10


Le paramètre Passerelle spécifie, pour l’interface external du FortiGate, l’adresse IP de l’interface du routeur du prochain saut. L’interface derrière le

s routeurs derrière l’équipement FortiGate. Si la adresse IP d’un paquet n’est pas sur le réseau local mais sur un

réseau derrière l’un de ces routeurs, la table de routage de l’équipement FortiGate ce réseau. Dans l’exemple de l’illustration figuré avec des route statiques vers les

s

routeur (192.168.10.1) est la passerelle par défaut pour FortiGate_1. Dans certains cas, il peut y avoir dedestination d’une

doit comprendre une route statique vers88, l’équipement FortiGate doit être coninterfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets respectivement vers Network_1 et Network_2. llustration 88 : Destinations vers des réseaux derrière les routeurs interneI

rk_1 vers le Network_2, Router_1 doit être nternal de l’équipement Fo

Pour diriger les paquets du Netwoconfiguré pour utiliser l’interface i rtiGate comme sa

ar défaut. Vous pourriFortiGate une nouvelle route statiq

• IP/Masque de destination : 192.168.3

• Passerelle : 192.168.11.1

dmz

• Distance : 10

Pour diriger les paquets du Netwo

pour utiliser l’interface dmz de l’équipement FortiGate comme sa par défaut. Vous pourriez, pour cet exemple, créer sur l’équipement

• Distance : 10

passerelle p ez, pour cet exemple, créer sur l’équipement ue avec les paramètres suivants :

0.0/24

• Interface :

rk_2 vers le Network_1, Router_2 doit être configuré passerelleFortiGate une nouvelle route statique avec les paramètres suivants :

• IP/Masque de destination : 192.168.20.0/24

• Passerelle : 192.168.10.1

• Interface : internal


Spécifier une passerelle différente pour la route par défaut

La passerelle par défaut détermine vers quelle destination les paquets correspondants à la route par défaut seront envoyés.

pécifier une passerelle différente pour la route par défaut S

1

2

3

4

5 Dans le champ Distance, ajoutez, facultativement, la valeur de la distance administrative.

6

Ajout d’une route

ues se définissent manuellement. Les routes statiques contrôlent le trafic sortant de l’équipement FortiGate – vous pouvez spécifier à partir de quelle

tique, sélectionnez Routeur > Static > Route tatique et cliquez sur Créer Nouveau.

web, uence

la route et ajoute l’entrée à la liste de Routes Statiques. L’illustration 89 représente la boîte de dialogue d’édition d’une route statique appartenant à un équipement FortiGate ayant une interface appelée « internal ». Les noms des interfaces varient en fonction des modèles FortiGate. Illustration 89 : Nouvelle route statique

Sélectionnez Routeur > Static > Route statique.

Cliquez sur l’icône Editer de la ligne 1.

Dans le champ Passerelle, tapez l’adresse IP du routeur du prochain saut vers lequel le trafic sortant doit être dirigé.

Si l’équipement FortiGate atteint le routeur du prochain saut via une interface différente (comparé à l’interface en cours sélectionnée dans le champ Interface), sélectionnez le nom de l’interface dans le champ Interface.

Cliquez sur OK.

statique à la table de routage

Une route fournit au FortiGate les informations nécessaires pour envoyer un paquet vers une destination particulière. Une route statique permet aux paquets d’être envoyés vers une destination autre que la passerelle par défaut. Les routes statiq

interface le paquet sort et vers quelle interface le paquet doit être dirigé. Pour ajouter une entrée de route stas Lorsque vous ajoutez une route statique à partir de l’interface d’administrationl’équipement FortiGate affecte automatiquement le prochain numéro de séqà

Adresse IP destination / Masque Entrez l’adresse IP de destination et le masque de

réseau des paquets devant être interceptés par l’équipement FortiGate. La valeur 0.0.0.0/0.0.0.0 est réservée à la route par défaut.


Passerelle Entrez l’adresse IP du routeur du prochain saut vers lequel l’équipement FortiGate enverra les paquets interceptés.

ur du prochain saut.

stance la

outeur du prochain saut. Une valeur

5.

Règle de Roue fois qu’un paque

détermine si le paquet a é lançant une versée utilisan cas FortiGate n’ar

adresse IP source, le boîtier FortiG

ù l’adresse d resse locale (et que la e permet

transfère le paquet vers lecorrespondante et/ou d’aprelayage FortiGate (voir « Lorsque des règles de route existent et qu’un paquet arrive sur l’équipement

rnier se réfère à la liste des Règles de Routage et tente de faire

utage. Si

Interface Sélectionnez le nom de l’interface FortiGate à travers laquelle les paquets interceptés passeront pour se diriger vers le route

Di Entrez une distance administrative pour la route. La valeur de la distance est arbitraire et devrait refléter distance vers le rplus basse indique une route préférée. La valeur se situe entre 1 et 25

tage A chaqu t arrive sur l’une des interfaces du FortiGate, ce dernier

té reçu par une interface légitime enrecherche in t l’adresse IP source de l’en-tête du paquet. Dans le où le boîtier rive pas à communiquer avec l’ordinateur de cette

ate annule le paquet. Dans le cas o e destination correspond à une adconfiguration local la livraison), l’équipement FortiGate livre le paquet au réseau local. Si le paquet est destiné à un autre réseau, l’équipement FortiGate

routeur du prochain saut d’après la règle de route rès les informations disponibles dans la table de Concepts de routage » à la page 194).

FortiGate, ce decorrespondre le paquet avec l’une d’entre elles. Si une correspondance est trouvée et que la règle contient assez d’informations pour diriger le paquet (l’adresse IP durouteur du prochain saut doit être spécifiée, ainsi que l’interface FortiGate pour l’envoi de paquets vers le routeur du prochain saut), l’équipement FortiGate dirige le paquet en fonction des informations contenues dans la règle de roaucune règle de routage correspond au paquet, l’équipement FortiGate dirige lepaquet utilisant la table de routage.

Remarque : Etant donné que la plupart des paramètres des règles sont optionnels, une règle seule risque de ne pas fournir toute l’information nécessaire au FortiGate pour envole paquet. L’équipement FortiGate peut se référer à la table de routage dans une tentativde faire corr

yer e

espondre les informations contenues dans l’en-tête du paquet avec une route ans la table de routage.

Par exemple, si l’interface sortante est le seul élément repris dans la règle, l’équipement FortiGate vérifie l’adresse IP du routeur du prochain saut dans la table de routage. Cette situation pourrait se présenter lorsque les interfaces FortiGate sont dynamiques (l’interface reçoit son adresse IP via DHCP ou PPPoE) et vous ne désirez pas ou n’arrivez pas à spécifier une adresse IP du routeur du prochain saut car l’adresse IP change dynamiquement.

Pour voir la liste des règles de routage, sélectionnez Routeur > Static > Policy Route. Pour éditer une règle de routage existante, cliquez sur l’icône Editer à côté de la règle que vous voulez éditer. L’illustration 90 représente une liste de règles de routage appartenant à un équipement FortiGate qui possèdent des interfaces appelées « external » et « internal ». Les noms des interfaces varient selon les modèles FortiGate.

d


Illustration 90 : Liste de Règle de Routage

Créer Nouveau Permet d’ajouter une règle de routage. Voir « Ajout d’une règle

de routage » à la page 202.

Les numéros ID des rè es de routage configurées. Ces numéros sont séquentiels, à moins que des règles aient été modifi

Interface source Les in de rou

Interface destination Les in s lesquelles les paquets routés par règles

Source Les ad nsables ap

Destination Les adrespon

Icône Supprimer Perme

Icône Déplacer Permebas da e icône, une nouve e vous pouvez spécifier la nouVoir «

Ajout d’une règle de routage

Les options des règles de routagresponsable de l’application d’un . Si les propriétés d’un paquet

s les condle paquet à travers l’interface sp

Pour ajouter une règle de routagroutage et cliquez sur Créer No

la boîte de dialogue d’une nouvelle règle de routage ent FortiGate qui possèdent des interfaces appelées

# gl

ées dans la table.

terfaces sur lesquelles les paquets sujets à des règlestage ont été reçus.

terfaces à traver sont dirigés.

resses IP source et masques de réseau respode l’ plication de règles de routage.

resses IP de destination et les masques de réseau sables de l’application de règles de routage.

t de supprimer une règle de routage.

Icône Editer Permet d’éditer une règle de routage.

t de déplacer une règle de routage vers le haut ou le ns la table de routage. En sélectionnant cett

lle fenêtre s’affiche dans laquellvelle localisation dans la table de Règles de Routage. Déplacer une règles de routage » à la page 203.

e définissent les propriétés d’un paquet entrant e règle de routage

correspondent à toute itions spécifiées, l’équipement FortiGate commute écifiée vers la passerelle désignée.

e, sélectionnez Routeur > Static > Règle de uveau.

L’illustration 91 représenteappartenant à un équipem« external » et « internal ». Les noms des interfaces varient selon les modèles FortiGate.


Illustration 91 : Nouvelle Règle de Routage

Protocole Pour exécuter des règles de routage en fonction de la

valeur dans le champ protocole du paquet, entrez le numéro de protocole correspondant. Cette valeur se situe entre 0 et 255. La valeur 0 désactive la fonctionnalité.

Interface source Sélectionne le nom de l’interface à travers laquelle les paquets entrants sujets à la règle sont reçus.

Adresse source et masque Pour exécuter des règles de routage en fonction de l’adresse IP source du paquet, entrez l’adresse source et le masque de réseau correspondants. La valeur 0.0.0.0/0.0.0.0 désactive la fonctionnalité.

Adresse destination et masque Pour exécuter des règles de routage en fonction de l’adresse IP de destination du paquet, entrez l’adresse de destination et le masque de réseau correspondants. La valeur 0.0.0.0/0.0.0.0 désactive la fonctionnalité.

Ports destination Pour exécuter des règles de routage en fonction du port sur lequel est reçu, entrez le même numéro de port dans les champs Début et Fin. Si vous voulez que cette règle s’applique à un intervalle de ports, entrez le premier port de la plage dans le champ Début et le dernier dans le champ Fin. Les valeurs 0 désactivent cette fonctionnalité.

Interface destination Sélectionnez le nom de l’interface à travers laquelle les paquets concernés pas la règle passeront.

Passerelle Entrez l’adresse IP du routeur du prochain saut que l’équipement FortiGate peut accéder à travers l’interface spécifiée. La valeur 0.0.0.0 n’est pas valide.

Déplacement d’une règle de routage

Une nouvelle règle de routage est ajoutée au bas de la table de routage. Si vous désirez qu’une règle en précède une autre, vous aurez peut-être à la déplacer plus haut dans la table de routage. Le choix entre deux routes se présente lorsque celles-ci sont identiques. Prenons l’exemple suivant de deux routes présentes dans la table de routage : 172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux correspondre à 172.20.120.112 mais la deuxième est préférable. Elle devrait donc être positionnée avant l’autre dans la table de routage. A partir de l’interface de ligne de commande, vous pouvez affecter des priorités aux routes. Ainsi dans le cas de deux routes identiques dans la table de routage, la


priorité déterminera la route à utiliser. Cette fonctionnalité n’est disponible qu’à ommande.

ne règle de routage

partir de l’interface de ligne de c Illustration 92 : Déplacement d’u

Av nt / Après Sélectionnez A

sélectionnée aa vant pour placer la règle de routage

vant la route indiquée. Sélectionnez Après pour a règle de routage sélectionnée après la route e.

Pol de la règle de routage avant ou après laquelle doit venir se positionner la règle de routage sélectionnée.

placer lindiqué

icy route ID Entrez l’ID


Routeur dr

s protocoles de routage dynamiques suivants :

ynamique Cette section explique comment configurer des protocoles dynamiques pour dirigele trafic à travers de larges et complexes réseaux. Les protocoles de routage dynamiques permettent à l’équipement FortiGate de partager automatiquement les informations sur les routes et réseaux avec les routeurs voisins. Le boîtier

ortiGate supporte leF

• Routing Information Protocol (RIP)

• Open Shortest First (OSPF)

• Border Gateway Protocol (BGP)

Remarque : Les options de base de routage RIP, OSPF et BGP peuvent être configurées à partir de l’interface d’administration web. De nombreuses options supplémentaires peêtre configurées à partir de l’interface de ligne de commande uniquement. Des descripet exemples complets sur l’utilisation de commandes CLI pour configurer les paramètres RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.

Le boîtier FortiGate sélectionne des routes et met à jour sa table de routage dynamiquement en fonction de règles spécifiées. A partir d’un ensemble de règles, l’équipement FortiGate peut déterminer la meilleure route pour l’envoi de paquets vers une destination. Des règles peuvent également ê

uvent tions

tre définies pour supprimer la difier les informations de publicité des routes vers les routeurs voisins et/ou mo

routage FortiGate avant de les publier.

Remarque : Le boîtier FortiGate peut opérer comme un routeur PIM (Protocol Independant Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes Pclairsemé et de

IM nse et peuvent servir de serveurs ou receveurs multicast sur le segment

seau auquel l’interface FortiGate est connectée. PIM peut utiliser des routes statiques,

Multicast

RIP Le RIP est un protocole de routage à vecteur de distance prévu pour de petits réseaux relativement homogènes. L’implémentation FortiGate du RIP supporte les versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).

réRIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.

Les sujets suivants sont parcourus dans cette section :

• RIP

• OSPF

• BGP

•

Remarque : Les options de base de routage peuvent être configurées à partir de l’interface d’administration web. De nombreuses options supplémentaires peuvent être configurées à partir de l’interface de ligne de commande uniquement. Des descriptions et exemples complets sur l’utilisation de commandes CLI pour configurer les paramètres RIP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.


Fonctionnement

orsque le routage RIP est activé, l’équipement FortiGate émet des requêtes pour es annonces RIP à partir de chacune de ses interfaces pour lesquelles le RIP est

uteurs voisinL’équipement FortiGate ajroutage, à sa propre table te déjà dans sa table de routage, l’équipement For a en choisit une. La métrique utilisée par RImeilleure route. Un nombr de 1 représente un réseau connecté directement à l’équipement Fo n réseau que l’équipement F dre. Chaque réseau traversé par un paquet pour atteindLorsque l’équipement Fortla route ayant le nombre d

un routnt des

fournissent des informations à propo s dans la table de ortiGate en fonc

préciser la fréquence à laqtemps pendant lequel unesubir de mise à jour, et encombien de temps l’équipeavant qu’elle soit supprimé

Visualisation et édition des paramètres de base RIP

Lors de la configuration deavec RIP, ain s les paramètres supplémentaires nécessaires

r le fonctionnemréseau RIP. Pour configurer les param n réseau RIP, sélectionnez Rde fonctionnement d’une icorrespondante à l’interfac L’illustraqui possinterfaces varient d’un mod

RIP

Ldactivé. Les ro s répondent en se basant sur leur table de routage.

oute les routes de ses voisins, absentes de sa table de de routage. Si une route existiG te compare la route diffusée à la route enregistrée et

P utilise le nombre de sauts (hop count) pour choisir la e de sauts

rtiGate. Un nombre de sauts de 16 représente uortiGate ne peut pas atteinre sa destination compte en général pour un saut. iGate compare deux routes pour une même destination, e sauts le plus bas est ajoutée à la table de routage.

Par ailleurs, lorsqu’ age RIP est activé sur une interface, le boîtier FortiGate envoie régulièreme réponses RIP aux routeurs voisins. Les annonces

s des routes présenteroutage F tion des règles de diffusion spécifiées. Il est possible de

uelle l’équipement FortiGate envoie ces annonces, le route est sauvegardée dans la table de routage sans core, pour les routes non mises à jour régulièrement, ment FortiGate diffuse la route comme inatteignable e de la table de routage.

paramètres RIP, vous devez spécifier les réseaux si que toufonctionnant

pour ajuste ent RIP sur les interfaces FortiGate connectées au

ètres de base d’un équipement FortiGate connecté à uouteur > Dynamic > RIP. Pour éditer les paramètres

nterface, cliquez sur l’icône Editer dans la ligne e (sur laquelle le routage RIP est activé).

tion 93 représente les paramètres de base RIP d’un équipement FortiGate èdent des interfaces appelées « external » et « internal ». Les noms des

èle FortiGate à un autre.


Illustration 93 : Paramètres de base RIP

Version RIP Sélectionnez le niveau de compatibilité. Vous pouvez activer les paramètres globaux RIP sur toutes les interfaces FortiGate

IP

ique si nécessaire (voir « Ignorer les ge

Options Avancées

Réseaux au des réseaux principaux

seaux, les interfaces

IP/Masque

Add

Interfaces

Version - Envoyés

connectées aux réseaux RIP :

• Sélectionnez 1 pour envoyer et recevoir les paquets RIPversion 1.

• Sélectionnez 2 pour envoyer et recevoir les paquets Rversion 2.

• Sélectionnez Les deux pour envoyer et recevoir les paquets RIP versions 1 et 2.

Vous pouvez ignorer les paramètres globaux pour une interface FortiGate spécifparamètres de fonctionnement sur une interface » à la pa209).

Sélectionnez Options Avancées RIP. Voir « Sélection d’options RIP avancées » à la page 208.

Les adresses IP et masques de rése(connectés à l’équipement FortiGate) muni de RIP. Lorsque vous ajoutez un réseau à la liste des RéFortiGate faisant partie de ce réseau sont diffusées dans les annonces RIP. Vous pouvez activer RIP sur toutes les interfaces FortiGate dont les adresses IP correspondent à l’espace adressage du réseau RIP.

Entrez l’adresse IP et le masque de réseau qui définissent le réseau RIP.

Permet d’ajouter les informations sur le réseau à la liste des Réseaux.

Tous les paramètres supplémentaires nécessaires pour ajuster le fonctionnement RIP sur une interface FortiGate.

Créer Nouveau Permet de configurer les paramètres de fonctionnement RIP d’une interface. Ces paramètres ignoreront les paramètres globaux RIP pour cette interface. Voir « Ignorer les paramètres de fonctionnement RIP sur une interface » à la page 209.

Interfaces Sélectionnez l’interface pour laquelle configurer les paramètres de fonctionnement RIP.

Sélectionnez la version RIP utilisée pour l’envoi d’annonces à partir de chaque interface : 1, 2 ou les deux.


Version - Reçus Sélectionnez la version RIP utilisée pour la réception d’annonces à partir de chaque interface : 1, 2 ou les deux

Sélectionnez le type d’authentification utilisé sur cette interface : None, Text ou MD5.

.

Authentification

Icônes Supprimer et Editer

Sélection d’options RIP avancées

Les options RIP avancéescompteurs RIP et de définl’équipement FortiGate a pC’est le r exemple, BGP ou encore si vous ajoroutage FortiGate. Dans cl’équipement FortiGate de ce

Routeur > Dynamic > RIP nné les options, cliquez

Passive Sélectionnez pour bloquer l’émission RIP sur cette interface.

Permet de supprimer ou d’éditer une entrée réseau RIP ou une définition d’interface RIP.

vous permettent de spécifier les paramètres des ir les métriques pour la redistribution de routes dont ris connaissance autrement que par les annonces RIP.

cas pa si le boîtier FortiGate est connecté à un réseau OSPF ou utez manuellement une route statique à la table de

es cas-là, vous pouvez configurer la diffusion par s routes sur les interfaces RIP.

Pour sélectionnez les options RIP avancées, sélectionnez et dérouler les Options Avancées. Après avoir sélectio

sur Appliquer.

Remarque : Des options avancées supplémentaires peuvent être configurées à partir del’interface de ligne de commande. Par exemple, vous pouvez filtrer les annonces enet sortantes grâce à l’utilisation d’une carte de route, d’une l

trantes

iste d’accès ou encore d’une te de préfixes. L’équipement FortiGate supporte également des listes offset, qui ajoutent lis

un décalage aux métriques d’une route. Pour plus d’informations, voir le chapitre « Routeur » dans le FortiGate CLI Reference. Illustration 94 : Options avancées (RIP)

Métrique par défaut Entrez le nombre de sauts p

FortiGate devrait afar défaut que l’équipement

fecter aux routes ajoutées à la table de routage. Ce nombre varie entre 1 et 16.

Cette valeur s’applique également à la Redistribution des routes à

Annoncer la route par Sélectiondéfaut dans RIP route pa

générée ées à partir

ge o

moins que spécifié différemment.

nez pour générer et annoncer sans restriction une r défaut vers les réseaux RIP FortiGate. La route peut être basée sur des routes annonc

d’un protocole de routage dynamique, des routes de la table de routa u les deux.


Compteurs RIP Igno s paramètres par défaut du compteur RIP. Ces res sont en vigueur dans la plupart des configurations de modification

re leparamèt– en cas s de ces paramètres, veillez à ce que les nouvlocaux e

Annonces Entrez le laps de temps (en s e envoi par le boîtie r

Route invalidée Entrez le temproute res cannonce n’es m pendant lequatteignable dn’est reçue pune annonceécoulé, le co

Cette péri dela périod

mée Entrez le tempFortiGatavant dedéterminreste da

Redistribution des routes Activez ou désactivez les annonces RIP concernant les routes qui n’ont pas été diffusées via annonces RIP. L’équipement

nnez cette option pour redistribuer les routes diffusées via des réseaux connectés directement. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case

e

ombre étrique et entrez

dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16.

Sélectionnez cette option pour redistribuer les routes diffusées

p

ées s

nombre de sauts. Ce nombre varie entre 1 et 16.

Ignorer les param

IP. Par

RIP, vous pouvez configurer l’interface our qu’elle fonctionne passivement. Les interfaces passives reçoivent les

eaux paramètres soient compatibles avec les routeurs t les serveurs d’accès.

econdes) entre chaqur Fo tiGate des annonces RIP.

s maximum (en secondes) pendant lequel une te onsidérée comme atteignable bien qu’aucune

t reçue pour cette route. C’est le temps maximuel l’équipement FortiGate gardera une route ans la table de routage alors qu’aucune annonce our cette route. Si l’équipement FortiGate reçoit pour cette route avant que le laps de temps soit mpteur redémarre.

o devrait être au moins trois fois plus longue que e Annonces ci-dessus.

Route suppri s (en secondes) pendant lequel l’équipement e annoncera une route dont le statut est inatteignable la supprimer de la table de routage. Cette valeur e le temps pendant lequel une route inatteignable ns la table de routage.

FortiGate peut utiliser le RIP pour redistribuer les routes diffusées à partir de réseaux connectés directement, de routes statiques, OSPF et/ou BGP.

Connectées Sélectio

Métrique et entrez dans son champ le nombre de sauts. Cnombre varie entre 1 et 16.

Statiques Sélectionnez cette option pour redistribuer les routes diffusées via des routes statiques. Si vous désirez spécifier un nde saut pour ces routes, cochez la case M

OSPF via OSPF. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case Métrique et entrez dans son chamle nombre de sauts. Ce nombre varie entre 1 et 16.

BGP Sélectionnez cette option pour redistribuer les routes diffusvia BGP. Si vous désirez spécifier un nombre de saut pour ceroutes, cochez la case Métrique et entrez dans son champ le

ètres de fonctionnement RIP d’une interface

Les options des interfaces RIP vous permettent d’ignorer les paramètres globaux RIP qui s’appliquent à toutes les interfaces connectées à des réseaux Rexemple, si vous voulez supprimer l’envoi d’annonces RIP sur une interface connectée à un sous-réseau ou réseau pannonces RIP mais ne répondent pas aux requêtes. La version 2 du RIP permet de choisir un mot de passe d’authentification afin que l’équipement FortiGate authentifie un routeur voisin avant d’accepter ses


annonces. L’équipement FortiGate et les routeurs voisins doivent être configuréavec le même mot de passe. Le procédé d’authentification garantit l’authenticité dupaquet d’annonces mais n

s

e garantit pas la confidentialité des informations sur le utage contenus dans le paquet. ro

Pour définir les paramètres RIP des interfaces RIP, sélectionnez Routeur > Dynamic > RIP et cliquez sur Créer Nouveau.

Remarque : Certaines options supplémentaires telles que « split-horizon » et « key-chain » peuvent être configurées sur chaque interface à partir de l’interface de ligne de commande. Pour plus d’informations, voir le chapitre Routeur dans le FortiGate CLI Reference. L’illustration 95 représente la boîte de dialogue Nouvelle/Editer Interface RIP appartenant à un FortiGate qui possède une interface appelée « internal ». Les noms des interfaces varient selon les modèles FortiGate. Illustration 95 : Nouvelle/Editer Interface RIP

rface

Inte Sélectionnez le nom de l’interface pour laquelle les

paramètres ci-dessous s’appliquent. L’interface doit

annonces à travers l’interface : RIP version 1, version

u les deux.

Authentification Sélectionnez une méthode d’authentification pour les échanges RIP sur l’interface spécifiée :

er

de RIP version 2, vous pouvez facultativement un mot de passe uipement FortiGate

de passe est envoyé sous forme de texte à travers le réseau.

• Sélectionnez MD5 pour authentifier un échange

supprimer l’annonce des informations de à travers l’interface spécifiée. Pour

,

être connectée à un réseau RIP. L’interface peut être une interface virtuelle IPSec ou GRE.

Version des annonces envoyées, Sélectionnez pour ignorer le paramètre par défaut Version des annonces reçues de compatibilité RIP pour l’envoi ou la réception des

2 o

• Sélectionnez None pour désactivl’authentification.

• Pour une interface connectée à un réseau muni

sélectionner Texte et entrez (jusqu’à 35 caractères). L’éqet le routeur des annonces RIP doivent être configurés avec le même mot de passe. Le mot

via MD5.

Passive Interface Permet de routage FortiGateactiver les réponses de l’interface aux requêtes RIPne pas sélectionner cette case.


OSPF un protocole de routage IP de type état de lien utilisé généralement sur

e les OSPF est de larges réseaux hétérogènes pour partager les informations de routage entrrouteurs d’un même Système Autonome (AS). L’équipement FortiGate supporte OSPF version 2 (voir RFC 2328).

Remarque : Les options de base de routage OSPF peuvent être configurée à partir de

s F via l’utilisation des

apitre Routeur du FortiGate CLI Reference.

articiper aux échanges de communications OSPF. Le boîtier re.

oisins OSPF pour confirmer que ceux-

rs OSPF génèrent des LSA (link-state advertisements) et les envoient à urs voisins à chaque changement de statut d’un voisin ou lorsqu’un nouveau

raît dans l’aire. entre les voisins OSPF. Uaire et procure des informachemin le plus court vers uOSPF sont authentifiés.

basée sur les LSA re route (chemin le

applique l’algorithme SPF protocole OSPF utilise le coût relatif commemeille ût imFortiGate. Le coût d’une roaux interfaces de sorties s in vers la destination. C’est la route au moind ût qui sera con L’équipement FortiGate mdes résultats des calculs S PF sera commuté vers sa de n via le chemi seau, les entrées dans la table de routage F

• les adresses réseaux de l’envoyés directement).

l’interface d’administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptionet exemples complets sur la configuration de paramètres OSPcommandes CLI, voir le ch

Systèmes autonomes OSPF

Un système autonome OSPF est divisé en aires (ou zones) logiques reliées par des routeurs de bordure de zones. Une aire comprend un groupe de réseaux environnants. Un routeur de bordure de zones relie une ou plusieurs aires au backbone du réseau OSPF (Aire ID 0). Pour spécifier les caractéristiques d’un système autonome OSPF, voir « Définition d’un système autonome OSPF » à la page 212 . Lorsqu’un équipement FortiGate possède une de ses interfaces dans une aire OSPF, il peut alors pFortiGate utilise le protocole OSPF Hello pour acquérir des voisins dans une aiTout routeur qui possède une interface dans la même aire que le boîtier FortiGateest un voisin. Après un contact initial, l’équipement FortiGate échange égulièrement des paquets Hello avec ses vr

ci peuvent être joints. Les routeulevoisin appa Tant que le réseau OSPF est stable, il n’y a pas de LSA

n LSA identifie des interfaces de tous les routeurs d’une tions qui permettent aux routeurs de sélectionner le ne destination. Tous les échanges LSA entre routeurs

L’équipement FortiGate maintient une base de données des informations d’étatsde lien reçus des autres routeurs OSPF. Pour calculer la meilleu plus court) vers une destination, l’équipement FortiGate

(Shortest Path First) aux informations d’états de lien. Le métrique de base pour le choix de la

ure route. Le co pose une pénalité en sortie à chaque interface d’un ute est calculé en additionnant tous les coûts associés ur le chem

re co sidérée comme la meilleure route.

et à jour sa table de routage dynamiquement, en fonction PF pour assurer qu’un paquet OS

stinatio n le plus court. Selon la topologie du réortiGate peuvent inclure :

aire locale OSPF (vers lesquels les paquets sont


• des routes vers les routeupaquets destinés à d’a

• si le réseau contient d SPF et des domaines non-OSPF, des routes vsont configurés pour lsystème autonome OSPF.

Le nombre de routes porté dépendent de la topologie u des dizaines de milliers de routes

Définition d’un système autonome (AS) OSPF

Définir un AS OSPF comp

• la définition de caracté

• la création d’associati x ux à inclure dans l’AS OSPF.

si nécessaire, ajuster

Les procédures suivantesl’interface d’administration Défin

1 Sélectionnez Routeur > Dy

2 Clique r Nouvea

3 Définissez les caractéristiq n d’aires OSPF » à la page

4 Créer Nouveau

5 ssociations en réseaux locaupage

6 S’il est nécessaire d’ajustecliquez sur Créer Nouvea

7 Sélec z les paramètrde paramètres de fonction 18.

8 Répét pes 6 et 7

9 Facultativement, sélection r l’AS OSPF. Voir « Sélection d’options OSP


Visualisation et édition de paramètres

ation de l activé et spécifi ortiGate qui en font

partie. Pour cela il faut également spécifier les aires AS et les réseaux à inclure dans ces aires. Vous pouvez facultativement ajuster les paramètres associés aux opérations OSPF sur les interfaces FortiGate.

rs de bordure d’aires OSPF (vers lesquels les utres aires sont envoyés).

es aires Oers les routeurs frontières AS, qui résident dans le réseau backbone OSPF et

’envoi de paquets vers des destinations en dehors du

es à la connaissance de l’équipement FortiGate d réseau. Un seul équipement FortiGate peut supporter

si le réseau OSPF est configuré correctement.

rend :

ristiques d’une ou plusieurs aires OSPF.

ons entre aires OSPF que vous définissez et les réseauloca

• les paramètres des interfaces OSPF.

décrivent la configuration de ces tâches à partir de web.

ir un AS OSPF

namic > OSPF.

z sur Crée u dans la section Aires.

ues d’une ou plusieurs aires OSPF. Voir « Définitio216.

Cliquez sur dans la section Réseaux.

Créez des a tre les aires OSPF que vous définissez et les x à inclure dans l’AS OSPF. Voir « Spécification des réseaux OSPF » à la 217.

r les paramètres par défaut d’une interface OSPF, u dans la section Interfaces.

tionne es de fonctionnement pour l’interface. Voir « Sélection nement d’une interface OSPF » à la page 2

ez les éta si nécessaire pour d’autres interfaces OSPF.

nez les options OSPF avancées pouF avancées » à la page 214.

de base OSPF

Lors de la paramètres OSPF, il vous faut dOSPF est er les interfaces de l’équipement F

configur éfinir l’AS dans leque


Pour visualiser et éditer les paramètres OSPF, sélectionnez Routeur > Dynamic >

lustration 96 : Paramètres de base OSPF

OSPF. L’illustration 96 représente les paramètres de base OSPF d’un équipement FortiGate qui possède une interface appelée « port1 ». Les noms des interfaces varient en fonction des modèles FortiGate. Il

Entrez un

Routeur ID ID de routeur unique en vue d’identifier l’équipement

ar convention, nt Ne

Options A .

Aires

Créer Nouveau

Aire

Type

ea », le type affiché est « Stub ».

FortiGate vis-à-vis des autres routeurs OSPF. Pl’ID du routeur est l’adresse IP la plus haute (numériquemeparlant) de toutes les interfaces FortiGate dans l’AS OSPF. pas modifier l’ID du routeur pendant le fonctionnement d’OSPF.

vancées Voir « Sélection d’options OSPF avancées » à la page 214

Informations à propos des aires (zones) qui forment l’AS OSPF. L’en-tête d’un paquet OSPF contient l’ID de l’aire, ce qui permet d’identifier l’origine d’un paquet au sein d’un AS.

Permet de définir une aire OSPF et d’ajouter cette nouvelle aire à la liste des Aires. Voir « Définition d’aires OSPF » à la page 216.

Chaque ligne comprend l’identificateur (ID) 32 bits unique, exprimé sous forme de notation décimale à point, d’une aire dans l’AS. L’aire portant l’ID 0.0.0.0 est l’aire backbone de l’AS et ne peut être changé ou supprimé.

Les différents types des aires dans l’AS :

• Dans le cas où l’aire est une aire normale OSPF, le typeaffiché est « Regular ».

• Si l’aire est une « not-so-stubby area », le type affiché est « NSSA ».

• Si l’aire est une « stub ar

Pour plus d’informations, voir « Définition d’aires OSPF » à la page 216.


Authentification t FortiGate liées à chaque aire.

• Lorsqu’une authentification avec mot de passe en texte est activée, la mention Texte s’affiche.

• Lorsque l’authentification MD5 est activée, la mention MD5 s’affiche.

Des paramètres d’authentification différents peuvent s’appliquer à certaines interfaces d’une aire, tel qu’affiché dans la section Interfaces. Par exemple, si une aire utilise des mots de passe simples, vous pouvez configurer un mot de passe différent pour un ou plusieurs réseaux de cette aire.

Les réseaux de l’AS OSPF et leur ID aire. Lorsqu’un réseau est ajouté dans la liste des Réseaux, toutes les interfaces FortiGate faisant partie du réseau sont annoncées via les LSA

OSPF.

Aire L’ID de l’aire affectée à l’espace adressage réseau OSPF.

e fonctionnement

s de fonctionnement d’une

nts des valeurs par défaut affectées à toutes les autres interfaces d’une même aire.

IP Les adresses IP des interfaces OSPF ayant des paramètres

ônes Supprimer Sélectionnez pour supprimer ou éditer une aire OSPF, un finition d’interface.

Sélection d’options avancées OSPF

Les options OSPF avancéredistribution de routes domoyens que les LSA OSP ipement FortiGate est connecté à un réseau RIP ou BGP ou encore si vous ajoutez manuellement

Les méthodes d’authentification de paquets OSPF envoyés ereçus à travers les interfaces

• Lorsque l’authentification est désactivée, la mention None s’affiche.

Réseaux

OSPF. Vous pouvez activer OSPF sur toutes les interfacesdont les adresses IP correspondent à l’espace adressage réseau

Créer Nouveau Sélectionnez pour ajouter un réseau à l’AS, spécifier son ID aire et ajouter une définition à la liste Réseaux. Voir « Spécification des réseaux OSPF » à la page 217.

Réseaux Les adresses IP et masques de réseau des réseaux de l’AS sur lesquels OSPF est activé. L’équipement FortiGate peut avoir des interfaces physiques ou VLAN connectées au réseau.

Interfaces Tout paramètre supplémentaire nécessaire à l’ajustement du fonctionnement OSPF sur une interface FortiGate.

Créer Nouveau Sélectionnez pour ajouter des paramètres dOSPF supplémentaires ou différents pour une interface FortiGate et ajouter la configuration à la liste des Interfaces. Voir « Sélection de paramètreinterface OSPF » à la page 218.

Nom Les noms des définitions des interfaces OSPF.

Interface Les noms des interfaces physiques ou VLAN ayant des paramètres différe

supplémentaires ou différents.

Authentification Les méthodes d’authentification des échanges LSA envoyés ou reçus sur des interfaces OSPF spécifiées. Ces paramètres ignorent les paramètres de l’authentification de l’aire.

Icet Editer réseau ou une dé

es vous permettent de préciser les métriques pour la nt le boîtier FortiGate a pris connaissance par d’autres F. C’est le cas par exemple, si l’équ


une ro e de routage FortiGate. Dans ces cas-là, voe FortiGate de ces routes sur les interfaces OSPF.

ute statique à la tabl us pouvez configurer la diffusion par l Pour sélectionnez les optio s OSPF et dérouler les Optio s Avancéecliquez sur Appliquer. Illustration 97 : Options OSPF a

n OSPF avancées, sélectionnez Routeur > Dynamic n s. Après avoir sélectionné les options,

vancées

Information par défaut Gén

OSPl’équroutagles d

Aucun

Regular e lae

est présente dans la table de routage.

Toujours Génère une route par défaut dans l’AS OSPF et diffuse la

même si la route est absente de la table de routage.

Redistribution Active ou désactive les LSA OSPF à propos des routes non diffusées via OSPF. L’équipement FortiGate peut utiliser OSPF pour redistribuer les routes diffusées à partir de réseaux

diffusées à partir de réseaux connectés directement. Si vous désirez préciser un coût pour ces routes, entrez le coût dans le champ

ût

ntrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et 16 777 214.

ption pour redistribuer les routes diffusées à partir de RIP. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut

BGP s routes diffusées

ère ou diffuse une route par défaut (external) vers l’AS F. La route générée peut être basée sur des routes dont ipement FortiGate a eu connaissance via un protocole de

e dynamique ou des routes dans la table de routage, ou eux.

Désactive la génération d’une route par défaut.

Génère une route par défaut dans l’AS OSPF et diffus route aux systèmes autonomes voisins seulement si la rout

route aux systèmes autonomes voisins inconditionnellement

connectés directement, de routes statiques, RIP et/ou BGP.

Connecté Sélectionnez cette option pour redistribuer les routes

Métrique. Ce coût peut varier entre 1 et 16 777 214.

Statiques Sélectionnez cette option pour redistribuer les routes diffuséesà partir de routes statiques. Si vous désirez spécifier un copour ces routes, e

RIP Sélectionnez cette o

varier entre 1 et 16 777 214.

Sélectionnez cette option pour redistribuer leà partir de BGP. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et 16 777 214.

Remarque : Des options avancées supplémentaires peuvent être configurées à partir de l’interface de ligne de commande. Pour plus d’informations, voir le chapitre « Routeur » dans le FortiGate CLI Reference.


Définitions d’aires OSPF

Une aire définit logiquement une partie de l’AS OSPF. Chaque aire est identifiée par un ID aire de 32 bits exprimé sous forme de notation décimale à point. L’aireportant l’ID 0.0.0.0 est l’aire backbone du réseau OSPF. Il existe trois classifications pour les aires d’une AS :

Regular

our atteindre le backbone OSPF, les routeurs d’une aire stub doivent envoyer les paquets vers un routeur de bordure de zones. Les routes qui mènent vers des domaines non-OSPF ne sont pas diffusées aux routeurs des aires stub. Le routeur de bordure de zones diffuse à l’AS OSPF une seule route par défaut (destination 0.0.0.0) dans l’aire stub, qui assure que tous les paquets OSPF ne correspondant pas à une route spécifique correspondront à la route par défaut. Tous les routeurs connectés à une aire stub est considérée comme faisant partie de cette aire.

-So-Stubby Area), les routes qui sortent de l’aire vers un

es.

e

diter dans

•

• Stub

• NSSA

Une aire « Regular » comprend plus d’un routeur, chacun ayant au moins une interface OSPF dans cette aire. P

Dans une aire NSSA (Notdomaine non-OSPF sont diffusées à l’AS OSPF. Cependant, l’aire elle-même continue d’être traitée comme une aire stub par le reste de l’AS. Les aires Regular et stub (y compris NSSA) sont connectées au backbone OSPFpar l’intermédiaire de routeurs de bordure de zon Pour définir une aire OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquezsur Créer Nouveau dans la section Aires. Pour éditer les propriétés d’une airOSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez sur l’icône Ela ligne correspondante à l’aire concernée.

Remarque : Si nécessaire, vous pouvez définir un lien virtuel vers une aire qui a perdu sa connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement être définis entre deux équipements FortiGate qui agissent en tant que routeurs de bordure de zones. Pour plus d’informations, voir « config virtual-link » sous la sous-commande OSPF « config area » dans le FortiGate CLI Reference. Illustration 98 : Nouvelle/Editer Aire OSPF

Aire Entrez un identificateur de 32 bits pour cette aire. La valeur

doit être similaire à une adresse IP sous forme de notation

Type

décimale à point. Une fois l’aire OSPF créée, la valeur IP de cette aire ne peut plus être modifiée.

Sélectionnez un type d’aire pour catégoriser les caractéristiques du réseau qui seront affectées à l’aire :


• Sélectionnez Regular si l’aire comprend plus d’un routechacun ayant au moins une interface OSPF dans

• Sélectionnez NSSA si vous désirez des routes vers des domaines non-OSPF diffusés sur l’AS OSPF et désirez que l’aire soit traitée comme une aire stub pal’AS.

ur, l’aire.

r le reste de

t bordure de zones

Authentification Séleenvo termédiaire de toutes les interfaces

• l’authentification.

ntification sous forme de texte pour authentifier les ous forme

MD5.

ne ou amètres

nterface OSPF » à la page 218.

• Sélectionnez STUB si les routeurs de l’aire doivenenvoyer des paquets vers un routeur en pour atteindre le backbone et que vous ne désirez pas que les routes vers des domaines non-OSPF soit diffusées vers les routeurs dans l’aire.

ctionnez la méthode d’authentification OSPF des paquets yés et reçus par l’in

dans cette aire :

Sélectionnez None pour désactiver

• Sélectionnez Texte pour activer un mot de passe d’autheéchanges LSA. Le mot de passe est envoyé sde texte à travers le réseau.

• Sélectionnez MD5 pour authentifier un échange via

Si nécessaire, vous pouvez ignorer ce paramètres pour uplusieurs interfaces de l’aire (voir « Sélection des parde fonctionnement d’une i

Remarque : Pour affecter un la page 217.

Spécification de réseaux OSPF

Les aires OSPF regroupenun ID à un espace adress priétés de cette aire sont

réseau. Pour affecter un ID aire OS > OSPF et cliquez sur Créer ID, sélectionnez Routeur > D ns la

ndant au rés Illustration 99 : Nouveau/Ed

réseau à une aire, voir « Spécification des réseaux OSPF » à

t plusieurs réseaux environnants. Lorsque vous affectez age du réseau, les pro

associées au

PF à un réseau, sélectionnez Routeur > Dynamic Nouveau dans la section Réseaux. Pour éditer cet ynamic > OSPF et cliquez sur l’icône Editer da

ligne correspo eau concerné.

iter Réseau OSPF

IP/Masque Entrez l’adresse IP et le masque de réseau du réseau local

que vous désirez affecter à une aire OSPF.

Aire Sélectionnez un ID aire pour le réseau. Les propriétés de l’aire doivent correspondre aux caractéristiques et à la topologie du réseau spécifié. Vous devez définir l’aire avant de pouvoir sélectionnez l’ID aire. Voir « Définition d’aires OSPF » à la page 216.


Sélection de

_1), l’adresse IP affectée à l’interface, la méthode d’authentification des échanges LSA et les paramètres de temps pour

réception des paquets OSPF Hello et dead-interval.

devrie seau OSPF 0.0.0.0/0 ayant une aire qui corresponde à une

isins à configurer une définition de

l’interface OSPF comprenant un ensemble de paramètres Hello et dead-interval ètres d’un voisin, et configurer une deuxième

définition de cette même interface pour assurer la compatibilité avec les

mètres, cliquez sur l’icône Editer dans la ligne correspondant à l’interface OSPF à éditer.

lustration 100 : Nouvelle/Editer Interface OSPF

paramètres de fonctionnement d’une interface OSPF

La définition d’une interface OSPF contient des paramètres de fonctionnement spécifiques à une interface OSPF FortiGate. La définition comprend le nom de l’interface (par exemple, external ou VLAN

l’envoi et la Le protocole OSPF peut être activé sur toutes les interfaces FortiGate dont les adresses IP correspondent à l’espace réseau OSPF. Par exemple, définissez une aire 0.0.0.0 et un réseau OSPF défini à 10.0.0.0/16. Définissez ensuite vlan1 à 10.0.1.1.24, vlan2 à 10.0.2.1/24 et vlan3 à 10.0.3.1/24. Ces trois vlans seront munis d’OSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous

z créer un réadresse IP spécifique. Vous pouvez configurer des paramètres OSPF différents pour une même interface FortiGate lorsque plus d’une adresse IP ont été assignées à l’interface. Par exemple, une même interface FortiGate pourrait être connectée à deux vopartir de sous-réseaux différents. Vous pourriez alors

pour la compatibilité avec les param

paramètres du deuxième voisin. Pour sélectionnez les paramètres de fonctionnement d’une interface FortiGate, sélectionnez Routeur > Dynamic > OSPF et cliquez sur Créer Nouveau dans la section Interfaces. Pour éditer ces para

L’illustration 100 représente la boîte de dialogue Nouvelle/Editer Interface OSPF appartenant à un équipement FortiGate qui possède une interface appelée « port1 ». Les noms des interfaces varient selon les modèles FortiGate. Il

Nom Entrez un nom pour identifier la définition de l’interface OSP

Par exempF.

le, le nom pourrait indiquer l’aire OSPF à laquelle

Interface ).

sera reliée l’interface.

Sélectionnez le nom de l’interface à associer à cette définition d’interface OSPF (par exemple, port1, external ou VLAN_1L’équipement FortiGate peut avoir des interfaces physiques, VLAN, virtuelles IPSec ou GRE connectées au réseau OSPF.



IP rface lorsque son adresse IP

i

port1, entrez

tion

électionnez Texte pour une authentification à partir d’un de passe se compose de 35

e de texte à

n

x interfaces FortiGate doivent être

choisi la méthode d’authentification Texte.

Clés MD5 Entrez l’identificateur clé pour le (premier) mot de passe dans le champ ID (dans un intervalle de 1 à 255) et tapez ensuite le mot de passe associé dans le champ Clé (Key). Le mot de passe est une suite alphanumérique de maximum 16

e D5

p est disponible seulement si vous avez sélectionné la méthode

lus

BGP

Entrez l’adresse IP affectée à l’interface OSPF. L’intedevient une interface OSPFcorrespond à l’espace adresse réseau OSPF. Par exemple, svous définissez un réseau OSPF 172.20.120.0/24 et affectezl’adresse IP 172.20.120.140 au172.20.120.140.

Authentifica Sélectionnez une méthode d’authentification pour les échanges LSA pour l’interface spécifiée :

• Sélectionnez None pour désactiver l’authentification.

• Smot de passe textuel. Ce mot caractères maximum et est envoyé sous formtravers le réseau.

• Sélectionnez MD5 pour l’utilisation d’une ou plusieurs clé(s) pour générer un hash MD5.

Ces paramètres ignorent les paramètres d’Authentificatiopour l’aire.

Mot de passe Entrez le mot de passe textuel. Entrez une valeur alphanumérique jusqu’à 15 caractères. Les voisins OSPF qui envoient des LSA auconfigurés avec le même mot de passe. Ce champ n’est disponible que si vous avez

caractères. Les voisins OSPF qui envoient des LSA à cettinterface FortiGate doivent être configurés avec une clé Midentique. Si le voisin OSPF utilise plus d’un mot de passe pour générer un hash MD5, cliquez sur l’icône Ajouter pour ajouter des clés MD5 supplémentaires dans la liste. Ce cham

d’authentification MD5.

Hello Interval Vous pouvez, facultativement, définir un Hello Interval compatible avec les paramètres Hello Interval sur tous les voisins OSPF. Ce paramètre définit la période de temps d’attente (en secondes) de l’équipement FortiGate entre chaque envoi de paquets Hello par ses interfaces.

ec Dead Interval Facultativement, définissez le Dead Interval compatible avles paramètres Dead Interval de tous les voisins OSPF. Ce paramètre définit la période de temps d’attente (en secondes) de l’équipement FortiGate entre chaque réception de paquets Hello provenant de ses voisins sur ses interfaces. Si le FortiGate ne reçoit pas de paquet Hello endéans le temps spécifié, il déclare le voisin inaccessible.

Par convention, la valeur du Dead Interval est quatre fois pgrande que la valeur du Hello Interval.

BGP est un protocole de routage Internet généralement utilisé par les Fournisseurs d’Accès Internet (FAI) pour échanger des informations de routage entre différents réseaux FAI. Par exemple, BGP permet le partage de chemins de réseaux entre le réseau DAI et un système autonome (AS) qui utilise RIP et/ou OSPF pour acheminer les paquets dans l’AS. L’implémentation FortiGate du BGP supporte BGP-4 et est conforme à la RFC 1771.


Remarque : Les options de base de routage BGP peuvent être configurées à parl’interface d’administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptions et exemples complets sur l’utilisation de commande CLI pour la configuration de paramètreBGP, voir le chapitre Routeur du

tir de

s

able ification de la table de

routage. Chaque AS, y compris celui dont l’équipement FortiGate est membre, est

ate examine les propriétés du iscriminant multi-sorties (MED – Multi-Exit Discriminator) des routes potentielles

pour déterminer le meilleur chemin vers une destination du réseau avant d’enregistrer ce chemin dans sa table de routage.

Visualisation et é BG

Lors de la configuration des par S dont le boîtier FortiGate est mem x autres routeurs BGP d’identifier t FortiGate. Vous devez également

s BGP du For iGate devrait être diffusé aux voisins B Pour visualiser et éditer les paraBGP. L’interface d’administratio les options de base BGP. De no peuvent être configurées à partir de l’interface , voir le chapitre Routeur du Forti

101 : Options de base

FortiGate CLI Reference.

Fonctionnement de BGP

Lorsque BGP est activé, l’équipement FortiGate envoie des mises à jour de la tde routage aux systèmes autonomes voisins à chaque mod

associé à un numéro AS. Ce numéro fait référence à une destination particulière sur le réseau. Les mises à jour BGP diffusent le meilleur chemin vers une destination du réseau. Lors de la réception de mises à jour, le boîtier FortiGd

dition des paramètres P

amètres BGP, il est nécessaire de spécifier l’Abre et d’entrer un ID routeur permettant au

l’équipemenidentifier les voisin tiGate et spécifier lequel des réseaux du Fort

GP.

mètres BGP, sélectionnez Routeur > Dynamic > n web offre une interface simplifiée pour configurermbreuses options avancées BGP de ligne de commande. Pour plus d’informations

Gate CLI Reference.

Illustration BGP

le numéro de l’AS local dont le boîtier FortiGate est re.

Local AS Entrezmemb

Entrezde l’éq du routeu t notation décimale à points. Si vous modifiez l’ID du routeur pendant le

Router ID un ID de routeur unique pour permettre l’identification uipement FortiGate aux autres routeurs BGP. L’IDr est une adresse IP en forma



fonctio P serontrétabli

Voisins Les adresses IP et les numéros AS de paires BGP dans les systèmes autonomes voisins.

IP Entrez l’adresse IP de l’interface du voisin du réseau BGP.

o de l’AS auquel le voisin appartient.

éseaux Les adresses IP et masques de réseaux des réseaux à quipement FortiGate peut avoir AN connectée à ces réseaux.

IP/Masque Entrez l’adresse IP et le masque de réseau du réseau à diffuser.

Bouton Add Sélectionnez pour ajouter des informations sur le réseau à la liste Réseaux.

Réseau Les adresses IP et masques de réseaux des réseaux majeurs diffusés aux paires BGP.

ône Supprimer Permet de supprimer un voisin BGP ou une définition réseau

Multicast Un équipement FortiGate peut opérer comme routeur Multicast PIM (Protocol Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les modes clairsemé (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et récepteurs multicast sur le segment réseau auquel est connectée une interface FortiGate.

Les applications serveurs envoyer une copie du paq n groupe de receveurs. Les routeurs PIM à travers le réseau assurent s le réseau jusqu’à ce qu’elle a du paquet sont créées seuapplications clients multica i nécessitent le trafic destiné à l’adresse multicast.

nnement BGP, toutes les connexions aux paires BG momentanément interrompues jusqu’à leurs ssement.

AS distant Entrez le numér

Boutons Add/Edit Sélectionnez Add pour ajouter les informations sur le voisin à la liste Voisins. Sélectionnez Edit pour éditer une entrée de la liste.

Voisin Les adresses IP des paires BGP.

AS distant Les numéros des AS associés aux paires BGP.

Rdiffuser aux paires BGP. L’éune interface physique ou VL

IcBGP.

multicast utilisent une adresse multicast (Class D) pour uet à u que seule une copie du paquet est envoyée à travertteigne sa destination finale. A destination, des copieslement s’il est nécessaire de livrer les informations aux st qu

Remarque : Toutes les ap cations envoi/réception et tous les routeurs PIM connectés entre doivent valider le protocole PIM version 2 en vue de supporter les communications

atiques, RIP, OSPF ou BGP pour transférer des paquets

pli

PIM. PIM utilise des routes st multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source à leur point de destination, soit le mode clairsemé (ou épars), soit le mode dense doit être activé sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsemé ne peuvent pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un équipement FortiGate est localisé entre une source et un routeur PIM, ou entre deux routeurs PIM ou encore est connecté directement à un receveur, vous devez créer une règle pare-feu manuellement pour passer les paquets (multicast) encapsulés ou les données décapsulées (trafic IP) entre la source et la destination. Un domaine PIM est une aire logique comprenant un nombre de réseaux contigus. Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsemé est activé le domaine comprend également plusieurs Points de Rendez-vous (RP)


et de Designated Routers (DR). Si PIM est activé sur un boîtier FortiGate, ce acune de ses fonctions à n’importe quel moment tel que en mode clairsemé, vous pouvez définir des RP statiques.

dernier peut exécuter chconfiguré. Si nécessaire

Remarque : Les options de base peuvent être configurées à partir de l’interface ns supplémentaires peuvent être configurées e commande. Pour des descriptions et exemples

compl nfiguration de paramètres PIM, voir « m CLI Reference.

PIM, sélectionnez Routeur > Dynamic >

erface de ligne de commande. Pour plus d’informations,

d’administration web. De nombreuses optiouniquement à partir de l’interface de ligne d

ets sur l’utilisation de commandes CLI pour la coulticast » dans le chapitre Routeur du FortiGate

Visualisation et édition de paramètres multicast

Lorsque le routage multicast (PIM) est activé, vous pouvez configurer le mode clairsemé ou dense sur chacune des interfaces FortiGate. Pour visualiser ou éditer les paramètresMulticast. L’interface d’administration web offre une interface simplifiée pour configurer les options de base PIM. Les options PIM avancées peuvent être configurées à partir de l’intvoir le chapitre Routeur du FortiGate CLI Reference. Illustration 102 : Options de base multicast

Activer le Routage Multicast e

s

Add Static RP (+)

est utilisé et

Appliquer

Créer Nouveau Sélectionnez pour créer une nouvelle entrée multicast pour une interface. Cela vous permettra de régler

Sélectionnez pour activer le routage PIM version 2. Unrègle pare-feu doit être créée sur les interfaces PIM pour laisser passer les paquets encapsulés et ledonnées décapsulées entre leur source et leur destination.

Ajouter une adresse RP. Si nécessaire en mode clairsemé, entrez l’adresse IP d’un Point de Rendez-vous (RP) qui peut être utilisé comme racine de l’arbre de distribution d’un paquet pour un groupe multicast. Les join messages du groupe multicast et les données de la source sont envoyés au RP.

Si un RP du groupe multicast de l’IP spécifié est déjàconnu par le Boot Strap Router, ce RPl’adresse RP statique spécifiée ignorée.

Permet de sauvegarder les adresses RP statiques entrées.


précisément des opérations PIM sur une interface spécifique FortiGate ou ignorer les paramètres globaux PIM sur une interface particulière. Voir « Ignorer les paramètres multicast sur une interface » à la page 223

Les noms des interfaces FortiGate ayant des paramètres spécifiq

.

Interface ues PIM.

ense)

our activer ou désactiver la candidature sur une interface, sélectionnez l’icône Editer dans la ligne correspondant à l’interface.

Priorité Le numéro de priorité affecté à la candidature RP sur

Priorité DR

Icônes Supprimer et Editer tres PIM de l’interface.

Ignorer les paramètres multicast d’une interface

Les options des interfaces u fonctionnement pour les interfa exemple vous pouvez activer l ur une interface connectée à un segment réseau PIM. Lors e numéro de priorité utilisé pouret/ou DR (Designated Router)

Mode Le mode de fonctionnement PIM (Clairsemé ou Dvalide sur cette interface.

Statut Le statut de la candidature RP en mode clairsemé sur l’interface. P

cette interface. Uniquement disponible lorsque la candidature RP est activée.

Le numéro de priorité affecté à la candidature DR (Designated Router) sur l’interface. Uniquement disponible lorsque le mode clairsemé est activé.

Permet de supprimer ou d’éditer les paramè

m lticast (PIM) permettent de définir des paramètres deces FortiGate connectées à des domaines PIM. Par

e mode dense squ le mode clairsemé est activé, vous pouvez ajuster le

diffuser les candidatures RP (Rendezvous Point) sur l’interface.

Illustration 103 : Paramètres multicast de l’interface

Interface

ucon n segment réseau PIM version 2.

Mode PIM Mod . Tous les routeurs PIM connectés au même

i vou que

Priorité DR Ent de candidatures DR sur l’interface FortiGate. L’intervalle va de 1 à 4 294 967 295.

Sélectionnez le nom de l’interface FortiGate du VDOM root à laq elle ces paramètres s’appliquent. L’interface doit être

nectée à u

Sélectionnez le mode de fonctionnement : Mode clairsemé ou e dense

segment réseau doivent fonctionner dans le même mode. Ss sélectionnez le mode clairsemé, ajuster les options tel décrit ci-dessous.

rez le numéro de priorité pour la diffusion

Cette valeur est comparée aux interfaces DR de tous les autres routeurs PIM du même segment réseau. Le routeur ayant la priorité DR la plus haute est sélectionnée pour être le DR.


Candidat RP Sélectionnez pour activer ou désal’interface.

ctiver la candidature RP sur

e FortiGate. L’intervalle va de 1 à 255. Priorité du candidat RP Entrez le numéro de priorité de la diffusion de la candidature

RP sur l’interfac


Table de Routage

age

• utage FortiGate

Affichage des informations sur le routage Par hées dans la table de routage. La route

à 0.0.0.0/0, ce qui correspond à l’adresse IP de » paquet.

s interfaces appelées « port1 », « port4 » et « lan ». Les

Cette section vous aide à interpréter la table de routage. Les sujets suivants y sont parcourus :

• Affichage des informations sur le rout

Recherche dans la table de ro

défaut, toutes les routes sont afficstatique par défaut est définiedestination de « chaque/tout Pour afficher les routes de la table de routage, sélectionnez Routeur > Table deroutage. L’illustration 104 représente une table de routage appartenant à un équipement

ortiGate qui possèdent deFnoms des interfaces varient en fonction des modèles FortiGate. Illustration 104 : Table de routage

Type Sélectionnez un des types suivants pour lancer une recherche

sélectionné :

• Tout : affiche toutes les routes enregistrées dans la table de routage.

connexions directes aux interfaces FortiGate.

s

• OSPF : affiche toutes les routes diffusées par OSPF.

fiche toutes les routes RIP, OSPF et BGP synchronisées entre le membre primaire et les membres

dans la table de routage et afficher toutes les routes du type

• Connecté : affiche toutes les routes associées à des

• Statique : affiche les routes statiques ajoutéemanuellement à la table de routage.

• RIP : affiche toutes les routes diffusées par RIP.

• BGP : affiche toutes les routes diffusées par BGP.

• HA : af


subordonnés d’un cluster haute disponibilité (HA). Les routes HA étant maintenues au niveau des membres subordonnés, elles ne sont visibles qu’à partir d’une table

uré comme domaine virtuel subordonné dans un cluster virtuel. Pour plus de détails à propos de la synchronisation de routage,

de

éseau Entrez l’adresse IP et le masque de réseau (par exemple, t

.

et

utes les routes correspondantes.

affecté

• Pas de mention implique une route intra-aire. La ne aire à laquelle le boîtier FortiGate

PF. n

additionnant le coût externe et le coût OSPF.

OSPF.

ot-

i not-

sociée à la route. La valeur 0 routes

• Le comptage de sauts est utilisé pour les routes diffusées par RIP.

• Le coût relatif est utilisé pour les routes diffusées par OSPF.

de routage d’un domaine virtuel config

voir le FortiGate High Availability User Guide – GuiUtilisateur Haute Disponibilité FortiGate.

R172.16.14.0/24) pour rechercher une table de routage eafficher les routes correspondantes au réseau spécifié

Passerelle Entrez l’adresse IP et le masque de réseau (par exemple, 192.168.12.1/32) pour rechercher une table de routageafficher les routes correspondantes à la passerelle spécifiée.

Appliquer le filtre Permet de rechercher les entrées d’une table de routage sur base d’un critère de recherche spécifié et d’afficher to

Type La valeur type affectée aux routes FortiGate (Statique, Connecté, RIP, OSPF ou BGP).

Sous-type Si d’application, reprend la classification du sous-typeaux routes OSPF.

destination est dans uest connecté.

• OSPF inter area : la destination est dans l’AS OSPF, mais le boîtier FortiGate n’est pas connecté à cette aire.

• External 1 : la destination est en dehors de l’AS OSLa métrique d’une route redistribuée est calculée e

• External 2 : la destination est en dehors de l’ASDans ce cas, la métrique de la route redistribuée est équivalente au coût externe uniquement, exprimé en coûtOSPF.

• OSPF NSSA 1 : équivalent à la mention External 1, si ce n’est que la route a été reçue par une aire NSSA (nso-stubby area).

• OSPF NSSA 2 : équivalent à la mention External 2, sce n’est que la route a été reçue par une aire NSSA (so-stubby area).

Réseau Les adresses IP et masques de réseau de réseaux de destination atteignables par le boîtier FortiGate.

istance La distance administrative asDsignifie que la route est préférable à toutes les autres pour la même destination. Pour modifier la distance administrative affectée aux routes statiques, voir « Ajout d’uneroute statique à la table de routage » à la page 200.Référez-vous au FortiGate CLI Reference pour les routes dynamiques.

Métrique La métrique associée au type de la route. La métrique d’une route influence la façon dont le boîtier FortiGate l’ajoute dynamiquement dans la table de routage :


• Le discriminant multi-sorties (MED) est utilisé pour les

Pasdestination.

e s

e ge

es routes diffusées par RIP, OSPF ou BGP, et/ou des routes associées au réseau

i vous désirez lancer une recherche dans la table de routage en fonction des s

s valeurs des critères de recherche doivent correspondre aux valeurs de la tte entrée soit affichée (la

condition implicite « ET » est appliquée à tous les paramètres de recherches pécifiés).

ement FortiGate icher toutes le

172.16.14.0/24, vous devez sé la liste Type, taper 172.16.14.0/24 dans le champ Réseau et ensuite cliquer sur Appliquer le Filtre pour afficher la ou les entrée(s) associée(s) de la table de routage. Chaque entrée qui contient le mot Connecté dans le champ Type et la valeur

cifiée dans le champ Pass

une recherche dans

1 Sélectionnez Routeur > Table

2 Sélectionnez dans la liste TypConnecté pour afficher toutes ur

s les routes diffus

3 Si vous désirez afficher les routesle masque de réseau du résea

4 Si vous désirez afficher les rou e IP de la passerelle dans le cha

5 ppliquer le Filtre.

routes diffusées par BGP. Cependant, plusieurs propriétés, en plus du MED, déterminent le meilleur chemin vers un réseau de destination.

serelle Les adresses IP des passerelles vers les réseaux de

Int rface L’interface à travers laquelle les paquets sont transférés verla passerelle du réseau de destination.

Valide depuis Le temps total accumulé pour qu’une route diffusée par RIP, OSPF ou BGP soit atteignable.

Recherche dans la table de routage FortiGatDes filtres peuvent être utilisés pour faire des recherches dans la table de routaet afficher certaines routes uniquement. Par exemple, vous pouvez afficher des routes statiques, des routes connectées,dou à la passerelle que vous spécifiez. Stypes et limiter un peu plus l’affichage en fonction de réseau ou passerelle, toutelemême entrée de la table de routage pour que ce

s Par exemple, si l’équip est connecté au réseau 172.16.14.0/24 et vous désirez aff s routes directement connectées au réseau

lectionner Connecté dans

spé erelle seront affichées.

Lancer la table de routage FortiGate

de routage > Table de routage.

e, le type à afficher. Par exemple, sélectionnez les routes connectées ou sélectionnez RIP po

afficher toute ées par RIP.

pour un réseau spécifique, tapez l’adresse IP et u dans le champ Réseau.

tes pour une passerelle spécifique, tapez l’adressmp Passerelle.

Cliquez sur A

Remarque de recherche doivent correspondre aux valeurs de la mê routage pour que cette entrée soit affichée.

: Toutes les valeurs des critères me entrée de la table de


Règle PareLes règles pare-feu contrôlent tout le trafic passant par le boîtier FortiGate. L’ajout

eu permet de cinterfaces FortiGate, les zones Cette section couvre les sujets

• A propos des règles pare-feu

• Visualisation de la liste des règles pare-feu

A propos d

le boîtier FortiGate reçoit une requête de connexion sous la forme d’un paquet, il analyse ce

e destination et le service (via

c ondre à une règle pare-feu. La

du pare-feu sur le paquet. Les actions possibles sont

serv ce de translation d’adresse réseau (NAT – network address translation) pour translater les adresses IP et ports source et de destination. Vous pouvez ajouter

ation NAT dynamique lorsque le pare-feu translate les uvez utiliser des règles pour configurer la translation

TTP, FTP, IMAP, POP3, IM et

• appliquer du filtrage web dynamique, par catégorie, sur ces mêmes règles HTTP

• activer les services antispam sur les règles IMAP, POP3 et SMTP

• activer les services de prévention d'intrusion su s les flux

activer la journalisation de contenu pour les flux HTTP, FTP, IMAP, POP3, IM

• configurer le filtrage IM et le contrôle d’accès pour AIM, ICQ, MSN et la messagerie instantanée Yahoo

-feu de règles pare-f ontrôler les connexions et le trafic entre les

et les sous-interfaces VLAN.

suivants :

• Configuration des règles pare-feu

es règles pare-feu Les règles pare-feu sont des instructions utilisées par le boîtier FortiGate pour décider de la réponse à donner à une requête de connexion. Lorsque

paquet pour en extraire l’adresse source, l’adresse dle numéro du port). L’adresse source, l’adresse de destination et le servi e d’un paquet qui veut se

n FortiGate doivent correspconnecter à travers urègle régit l’actionl’autorisation de la connexion, le blocage de la connexion, la requête d’une authentification avant que la connexion soit autorisée ou le traitement du paquetcomme un paquet IPSec VPN. Chaque règle peut être configurée pour diriger les connexions ou appliquer le

i

des pools IP pour une utilisadresses sources. Vous pod’adresse port (PAT – port address translation) à travers le boîtier FortiGate. L’ajout de profils de protection à des règles de pare-feu permet d’appliquer des

aramètres de protection différents pour le trafic contrôlé par des règles pare-feu. pVous pouvez utiliser des profils de protection pour :

• appliquer un contrôle antivirus aux règles HSMTP

activer du filtrage Web statique sur les règles HTTP •

r tou

•et SMTP


• configurer l’accès P2P et le contrôle de la largeur de bande pour les clients , Gnutella, Kazaa et Skype

protection à journaliser

journalisation par le boîtier

Le pare-feu lance une recherche sur des règles en partant du haut de la liste et

ar elle ont

ition d’une

Comment fonctio

gles en fonction des adresses source et de destination de la tentative de

connexion. Le boîtier FortiGate commence alors sa recherche par le haut de la liste et descend jusqu’à la première règle qui corresponde aux adresses source et de destination, au port service et au jour et heure de la tentative de connexion reçue. La première règle correspondante s’applique à la tentative de connexion. Si aucune règle ne correspond, la connexion est abandonnée. En règle générale, toujours organiser les règles pare-feu de la plus spécifique à la plus générale. Les règles générales sont des règles qui peuvent accepter des connexions avec de multiples adresses sources et de destination, ainsi qu’avec des intervalles d’adresses. Elles peuvent également accepter des connexions de multiples ports service ou avoir des horaires très ouverts. Si vous désirez ajouter des règles qui sont des exceptions aux règles générales, ces exceptions doivent être ajoutées au-dessus des règles générales. dans la liste de règles Par exemple, vous pouvez avoir une règle générale permettant à tous les utilisateurs de votre réseau interne d’accéder à tous les services Internet. Si vous désirez bloquer l’accès aux serveurs FTP sur Internet, vous devriez ajouter au-dessus de la règle générale une règle qui bloque les connexions FTP. La règle de déni bloque les connexions FTP mais les tentatives de connexion de tous les autres types de services ne correspondent pas à la règle FTP mais correspondent à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du réseau interne vers Internet, à l’exception des connexions FTP.

peer-to-peer Bit Torrent, eDonkey

• décider des actions des profils de

L’activation de la journalisation du trafic pour une règle pare-feu entraîne la

FortiGate de toutes les connexions utilisant cette règle.

descendant jusqu’à ce qu’il trouve la première correspondance. Il est donc essentiel de hiérarchiser les règles dans la liste de la plus spécifique à la plus générale. Par exemple, la règle par défaut est une règle très générale ccorrespond à toutes les tentatives de connexion. Les exceptions à cette règle sajoutées à la liste de règles au-dessus de la règle par défaut. Une règle qui devraitêtre placée en dessous de la règle par défaut ne représentera jamais une correspondance. Les options de la règle sont configurables lors de la création ou de l’édrègle pare-feu. Un ensemble différent d’options est présenté en fonction du type d’action sélectionné.

nne la correspondance de règles ?

Lorsque le boîtier FortiGate reçoit une tentative de connexion sur une interface, il sélectionne une liste de règles dans laquelle il va chercher une règle qui corresponde à la tentative de connexion. Le boîtier FortiGate choisit la liste derè


Concernant les correspondances de règles, il faut également savoir que :

Les règles qui nécessitent une authentification doivent être ajoutées à la liste t pas. e en

premier.

• Les règles sur le mode tunnel VPN IPSec doivent être ajoutées à la liste de règles au-dessus des règles d’accès ou de blocage correspondantes.

• Les règles sur le VPN SSL doivent être ajoutées à la liste de règles au-dessus des règles d’accès ou de blocage correspondantes.

Visualisation de la liste des règles pare-feu

Dans le cas où des domaines virtuels sont activés sur le boîtier FortiGate, les règles pare-feu sont configurées séparément pour chaque domaine virtuel. Pour accéder aux règles, sélectionnez un domaine virtuel à partir du menu principal. Ajouter, supprimer, éditer, réorganiser, activer ou désactiver des règles dans la liste des règles. Pour visualiser la liste des règles, sélectionnez Pare-feu > Règle. Illustration 105 : Echantillon d’une liste de règles

•de règles au-dessus des règles correspondantes qui n’en nécessitenSinon, la règle qui ne nécessite pas d’authentification est sélectionné

La liste des règles possèdent les icônes et fonctionnalités suivants : Créer Nouveau Permet d’ajouter une règle pare-feu. Voir « Ajout d’une

règle pare-feu » à la page .

Icône Commentaire Cette icône n’apparaît que dans le cas où la règle possède un commentaire. Le commentaire apparaît lorsque le curseur de la souris vient se placer sur l’icône.

ID L’identificateur de la règle. Les règles sont numérotées selon l’ordre dans lequel elles sont ajoutées à la liste.

Source L’adresse source ou le groupe d’adresses auquel la règle s’applique. Voir « Adresse Pare-feu » à la page 245. Les informations sur les adresses peuvent également être éditées à partir de la liste. En cliquant sur l’adresse, la boîte de dialogue d’édition d’une adresse s’ouvre.

Destination L’adresse de destination ou le groupe d’adresses auquel la règle s’applique. Voir « Adresse Pare-feu » à la page 245 . Les informations sur les adresses peuvent également être éditées à partir de la liste. En cliquant sur l’adresse, la boîte de dialogue d’édition d’une adresse s’ouvre.


Schedule Détermine la période d’activité de la règle.

vice Détermine le service auquel s’applique la règle.

tatut Permet d’activer ou de désactiver la règle. Activer la règle

-> Destination (n) où n est le nombre de règles dans la

Sélectionnez pour supprimer la règle de la liste.

de la règle correspondante (la fenêtre de la nouvelle règle apparaît).

t t

Ajout d’une règle pare-feu

uivante décrit comment ajouter une règle pare-feu dans la liste des

1

2 liquez sur Créer Nouveau ou sélectionnez l’icône « Insérer la règle avant » à côté gle pour que la nouve

3 Sélectionnez les interfaces so

4 Sélec sses sou

5 Configurez la règle. Pour toute« Configuration des règles par

6 Cliquez sur OK.

7 Hiérarchisez les règles dans la

Pour plus d’informations sur l’a« Comm nne la corre« Dépl gle ve231.

Déplacement d’une règle dans la liste

Vous pouvez déplacer une règ inf encer les évaluations des règles. Dans le cas où plus d’ud’interfaces, la règle qui se tro La disposition des règles de cr prennent effet comme prévu –évaluées avant des règles par lières. Déplacer une règle dans la list

Ser

Action Définit l’action à apporter lorsque la règle correspond à une tentative de connexion.

Sla rend disponible pour le pare-feu pour les connexions entrantes.

Source -> destination (n) Les titres de la liste des règles indiquant le trafic auquel s’applique la règle. Le titre de la liste est en format Source

liste.

Icône Supprimer

Icône Editer Sélectionnez pour éditer la règle.

Icône Insérer la règle avant Sélectionnez pour ajouter une nouvelle règle au-dessus

Icône Déplacer Sélectionnez pour déplacer la règle correspondante avanou après une autre règle dans la liste. Voir « Déplacemend’une règle vers une position différente dans la liste » à lapage 231.

La procédure srègles pare-feu.

Sélectionnez Pare-feu > Règle.

Cd’une rè lle règle s’ajoute au-dessus de celle-ci.

urce et de destination.

tionnez les adre rce et de destination.

information sur la configuration de règles, voir e-feu » à la page 232.

liste de manière à obtenir les résultats attendus.

rrangement des règles dans une liste, voir ent fonctio spondance de règles ? » à la page 229 et

acement d’une rè rs une position différente dans la liste » à la page

le dans la liste pour lune règle ont été définies pour une même paire uve en premier dans la liste est évaluée en premier.

yptage pare-feu est importante pour assurer qu’elles les règles de cryptage pare-feu doivent être e-feu régu

e ne modifie pas son numéro ID.





Illustration 106 : Déplacer une règle

e.

1 Sélectionnez Pare-feu > Règl

2 Cliquez sur l’icône Déplacer d

3 Entrez une position pour la règ

4 Clique .

Configuration des règles pare-L’utilisation de règles pare-feuest sélectionnée pour être app inir comment le boîtier FortiGate t r c Pour ajouter ou éditer une règ Vous pouvez ajouter des règle communication. Une telle règletelles qu’une analyse des viruscommunication acceptée par cpermettre le trafic VPN IPSec une interface virtuelle IPSec. P ’informations, voir « Aperçu sur le mode

IPSec » à la page 29 Vous pouvez ajouter des règlecommunication. Vous pouvez également ajout le trafic VPN en mode tunnel IPSpermettre le trafic VPN SSL. Dtypes de trafic IP seront permipar une règles de cryptage pachaque fois qu’un paquet IP d né arrive à l’interface FortiGate vers

privé local. Pour plusIPSec » à la page 242 et « Op .

e la règle que vous voulez déplacer.

le.

z sur OK

feu permet de définir la façon dont une règle pare-feu liquée à une session de communication et de défraite les paquets pou ette session.

le pare-feu, sélectionnez Pare-feu > Règle.

s ACCEPT pour accepter des sessions de permet d’appliquer des fonctionnalités FortiGate et une authentification de la session de ette règle. Une règle ACCEPT peut également en mode interface si la source ou la destination est our plus d

interface 4.

s DENY pour interdire des sessions de

er des règles de cryptage IPSec pour permettre ec et des règles de cryptage VPN SSL pour es règles de cryptage pare-feu déterminent quels s pendant une session IPSec ou VPN SSL. Si permis re-feu, un tunnel peut être initié automatiquement à u type sélection

le réseau d’informations, voir « Options des règles pare-feu tions des règles pare-feu VPN SSL » à la page 243


Illustration 107 : Options des règles – règle ACCEPT en mode NAT/Route

gles – règle ACCEPT en mode Transparent Illustration 108 : Options des rè


Illustration 109 : Options des règles – règle DENY

/Zone So -stinati

Les champs Adresse corresposession de communication. Le champ Horaire permet de d . Le champ Service correspond à la règle pare-feu avec le service utilisé par une session de communication. Le champ Action définit le traitement du trafic par le boîtier FortiGate. Spécifiez une action pour accepter ou bloquer le trafic ou configurez une règle de cryptage pare-feu. Les options des règles pare-feu peuvent être sélectionnées pour définir des

nnelles : NAT, Pro g e

appliqué aux règles qui bloque ts sont configurables à partir de l de commande (voir le chapitre

firewall » du FortiGate CLI R

Options des règles pare-feu

Sélectionnez Pare-feu > Règle et er une règle pare-feu. Les options suivan Source Spé IP

qui s

Interface/Zone Séle ate sur l us. Les interfaces et

ons sur les interfaces et les zones.

rface

connexions à des clients VPN SSL distants.

Les champs Interface urce et Destination correspondent à la règle parefeu avec la source et de on d’une session de communication.

ndent aux adresses sources et de destination de la

éfinir la plage horaire d’activité de la règle pare-feu

fonctionnalités additio fil de Protection, Log Allowed Traffic, LoViolation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut êtr

nt le trafic. Des services supplémentaires différen’interface de ligne

« eference).

cliquez sur Créer Nouveau pour ajouttes des règles pare-feu sont configurables :

cifiez les caractéristiques de la source des paquets eront sujets à la règle.

ctionnez le nom de l’interface ou de la zone FortiGaquelle les paquets IP sont reç

zones sont configurées sur la page Système > Réseau. Voir « Interface » à la page 61 et « Zone » à la page 75 pour plus d’informati

Si le champ ACTION est positionné sur IPSEC, l’inteest associée à un réseau privé local. Si le champ ACTION est positionné sur SSL-VPN, l’interface est associée à des


Adresse

veau pour définir une nouvelle P

st positionné sur IPSEC, l’adresse

N est positionné sur SSL-VPN et que la règle s’applique aux clients en mode web, sélectionnez

p ACTION est positionné sur SSL-VPN et que

e

ones sont configurées sur la page Système > Réseau. Voir « Interface » à la page 61 et « Zone » à la page 75

les zones.

Si le champ ACTION est positionné sur IPSEC, l’interface est associée à l’entrée du tunnel VPN. Si le champ ACTION est positionné sur SSL-VPN, l’interface est associée à un réseau privé local.

Adresse Sélectionnez le nom d’une adresse IP précédemment définie à associer à l’interface ou zone de destination ; ou sélectionnez Créer Nouveau pour définir une nouvelle adresse IP. L’en-tête du paquet doit contenir l’adresse IP associée pour être confronté à la règle. Les adresses peuvent être créées à l’avance. « Configuration des adresses » à la page 247.

esse ets

l’hôte, au serveur ou au réseau dont les clients à distances ont besoin pour accéder derrière l’équipement

ur .

correspond au service ou protocole des paquets auquel s’applique cette règle. Vous pouvez sélectionner

Sélectionnez le nom d’une adresse IP précédemment définie à associer à l’interface ou zone source ; ou sélectionnez Créer Nouadresse IP. L’en-tête du paquet doit contenir l’adresse Iassociée pour être confronté à la règle. Les adresses peuvent être créées à l’avance. Voir « Configuration des adresses » à la page 247.

Si le champ ACTION ecorrespond à l’adresse privée de l’hôte, serveur ou réseau derrière le boîtier FortiGate.

Si le champ ACTIO

all (tout).

Si le chamla règle s’applique aux clients en mode tunnel, sélectionnez le nom de l’adresse que vous réservez pour ces clients.

Destination Spécifiez les caractéristiques de la destination des paquets IP qui seront sujets à la règle.

Interface/Zone Sélectionnez le nom de l’interface ou de la zone FortiGatvers laquelle les paquets IP sont envoyés. Les interfaces et z

pour plus d’informations sur les interfaces et

Si le champ ACTION est positionné sur IPSEC, l’adrcorrespond à l’adresse IP privée vers laquelle les paqupeuvent être envoyés à la fin du tunnel VPN.

Si le champ ACTION est positionné sur SSL-VPN, sélectionnez le nom de l’adresse IP qui correspond à

FortiGate.

Horaire Sélectionnez une plage horaire ponctuelle ou récurrente qui contrôle la période de disponibilité de la règle. Les horaires peuvent être crées à l’avance dans Pare-feu > Plage horaire. Voir « Plage horaire des pare-feu » à la page 257.

Vous pouvez créer une plage horaire, ponctuelle ou récurrente, pendant la configuration de la règle en cliquant sur Créer Nouveau. Ajoutez les informations requises pola configuration de la plage horaire et cliquez sur OKCette nouvelle plage horaire est alors ajoutée à la liste desplages horaires.

Service Sélectionnez le nom du service ou du groupe de services qui


les services à partir d’une longue liste de services prédéfinis. Des services personnalisés peuvent êà l’avance dans Pare-feu > Service > Personnalisé. Des groupes de services peuvent également être crées à

tre crées

l’avance dans Pare-feu > Service > Groupe. Voir « Configuration de services personnalisés » à la page 253 et « Configuration de groupes de services » à la page 255.

u. Ajoutez les informations requises pour la configuration des services personnalisés

pes de services et cliquez sur OK. Ces nt alors ajoutés à la liste des Services.

nalisation (journaliser les

par le

Configure une règle de cryptage pare-feu VPN SSL, qui entraîne l’acceptation du trafic VPN SSL par le boîtier

NAT règle. NAT translate l’adresse source et le port de paquets

, les

l d’adresses. Un pool d’adresses peut se composer d’une seule adresse IP ou d’une plage d’adresses IP. Une liste de pools d’adresses apparaît si ces pools ont été ajoutés à l’interface de destination. Sélectionnez ANY IP Pool pour que le boîtier FortiGate sélectionne n’importe quelle adresse IP de n’importe quel pool d’adresses ajouté à l’interface de destination.

Sélectionnez le nom d’un pool d’adresses ajouté à

i ou l’une

a zone configurée avec DHCP ou PPPoE.

Vous pouvez créer un service personnalisé ou un groupe de services pendant la configuration de la règle en cliquant sur Créer Nouvea

ou des grouservices so

Action Sélectionnez la réponse du pare-feu à appliquer lorsqu’unpaquet correspond aux conditions de la règle.

ACCEPT Accepte le trafic correspondant à la règle. Vous pouvez alors configurer les options NAT, profils de protection, log traffic, shape traffic, authentification ou ajouter un commentaire à la règle.

DENY Rejette le trafic correspondant à la règle. La seule option configurable est la jourconnexions refusées par la règle). Vous pouvez également ajouter un commentaire.

IPSEC Configure une règle de cryptage pare-feu IPSEC, quientraîne le traitement des paquets VPN IPSecboîtier FortiGate. Voir « Options des règles pare-feu IPSec » à la page 242.

SSL-VPN

FortiGate. Cette option n’est disponible qu’après avoir ajouté un groupe d’utilisateurs VPN SSL. Voir « Options des règles pare-feu VPN SSL » à la page 243.

Activer l’option NAT (Network Address Translation) pour la

acceptés par la règle. Lorsque NAT est activéfonctions Pool d’Adresses et Port Fixe peuvent être configurés. NAT n’est pas disponible en mode Transparent.

Pool d’Adresses Sélectionnez pour translater l’adresse source en une adresse sélectionnée arbitrairement dans un poo

l’interface de destination pour que le boîtier FortiGate translate l’adresse source en une des adresses définies dans ce pool.

Il n’est pas possible de sélectionner Pool d’Adresses sl’interface de destination, la sous-interface VLANdes interfaces ou des sous-interfaces VLAN dans lde destination est

Vous ne pouvez pas utiliser des pools d’adresses lors del’utilisation de zones. Un pool d’adresses peut seulement être associé à une interface.


Pour plus d’informations sur l’ajout de pools d’adrevoir « Pla

sses, ges IP » à la page 277.

né.

connexion à la fois.

Sélectionnez un profil de protection pour configurer la façon dont les antivirus, filtrage web, filtrage par catégorie

la liste

des profils de protection. Pour plus d’informations sur

ne authentification dans les paramètres avancés, l’option de profil de protection est désactivée car le groupe

lié à un e

C ou VPN SSL pour enregistrer les messages dans les journaux à chaque fois que la règle traite une connexion.

lisation du trafic vers une destination disque local si disponible,

x et

s n

on (syslog, WebTrends, un

.

out oir

ux

traité par la règle.

e de

Port fixe Sélectionnez un port fixe pour empêcher NAT de translater le port source. Certaines applications ne fonctionnent pas correctement si le port source est modifié. Dans la plupart des cas, si Port fixe est sélectionné, Pool d’Adresses est également sélectionSi Pool d’Adresses n’est pas sélectionné, une règle qui a l’option Port Fixe sélectionnée ne peut permettre qu’une

Profil de protection

web, filtrage antispam, IPS, archives et journaux sont appliqués à la règle pare-feu. Les profils de protection peuvent être crées à l’avance ou pendant la configurationd’un profil. Les profils crées ici apparaissent dans

l’ajout et la configuration de profils de protection, voir « Profil de protection pare-feu » à la page 279.

Pour u

d’utilisateurs choisi pour l’authentification est déjà profil de protection. Pour plus d’informations à propos dl’ajout d’une authentification aux règles pare-feu, voir « Ajout d’une authentification aux règles pare-feu » à lapage 238.

Log Allowed Traffic Sélectionnez cette option pour les règles ACCEPT, IPSE

Activez la journa(syslog, WebTrends, un mémoire ou FortiAnalyzer) et fixez le niveau de sévérité de la journalisation à Notification ou plus bas. Pour plus d’informations sur la journalisation, voir « JournauAlertes » à la page 409.

Log Violation Traffic Sélectionnez cette option pour les règles DENY pour enregistrer les messages dans les journaux à chaque foique la règle traite une connexion. Activez la journalisatiodu trafic vers une destinatidisque local si disponible, mémoire ou FortiAnalyzer) et fixez le niveau de sévérité de la journalisation à Notification ou plus bas. Pour plus d’informations sur la journalisation, voir « Journaux et Alertes » à la page 409

uthentification Ajoutez des utilisateurs et un profil de protection pare-feu Aà un groupe d’utilisateurs avant de sélectionner Authentification. Pour toute information à propos de l’ajet de la configuration de groupes utilisateurs, v« Groupe d’utilisateurs » à la page 330. L’authentification est possible si l’action est positionnée sur ACCEPT. Pourplus d’informations sur l’ajout d’une authentification aux règles pare-feu, voir « Ajout d’une authentification arègles pare-feu » à la page 238.

Traffic Shaping Cette option permet de contrôler la bande passante disponible et de définir les niveaux de priorité du trafic

Remarque :

• Veillez à activer cette option sur toutes les règles pare-feu. Si vous n’appliquez aucune consign


priorité de trafic à une règle, cette dernière est définie comme hautement prioritaire par défaut.

des t

Pour toute information sur la configuration des priorités du trafic, voir « Ajout d’une priorité de trafic aux règles pare-feu » à la page 239.

User Authentication Affiche la page d’information d’authentification (un Disclaimer message de remplacement). L’utilisateur doit accepter ce

message pour se connecter à la destination. Ce message

modèles uniquement.

acceptation de la page d’information d’authentification de l’utilisateur. Cette option est disponible sur certains

es informations sur cette aractères,

Ajout d’une authentification aux règles pare-feu

il de protection pare-feu à un groupe d’utilisateurs

Groupe d’utilisateurs » à la page 330.

pare-feu n’accepte la conn Illustration 110 : Sélection

• Affectez à chaque règle pare-feu une des trois priorités (high, medium ou low).

• Assurez-vous que la somme de toutes les banpassantes garanties de toutes les règles pare-feu esconsidérablement moindre que la capacité de la bande passante de l’interface.

peut être utilisé lors d’une authentification ou d’un profil de protection. Cette option est disponible sur certains

Redirect URL Si vous entrez un URL dans ce champ, l’utilisateur est redirigé vers cette URL après authentification et/ou

modèles uniquement.

Commentaires Ajoutez une description ou d’autrrègle. Le commentaire peut être long de 63 cespaces compris.

Ajoutez des utilisateurs et un profavant de sélectionner une Authentification. L’authentification est disponible si l’Action est positionnée sur ACCEPT. Pour plus d’informations sur l’ajout et la configuration de groupes utilisateurs, voir « Sélectionnez Authentification, ensuite un ou plusieurs groupes d’utilisateurs pour obliger les utilisateurs à entrer un nom d’utilisateur et un mot de passe avant que le

exion.

de groupes utilisateurs pour authentification

on pour tous les services. Les utilisateurs peuvent -feu en utilisant HTTP, Telnet ou FTP. Pour que les entifier, ajoutez une règle HTTP, Telnet ou FTP ation. Lorsque les utilisateurs tentent de se connect

Sélectionnez Authentificatis’authentifier avec le pareutilisateurs puissent s’authconfigurée pour authentific er à travers le pare-feu via cettet un mot de passe pare-f

e règle, il leurs est demandé d’entrer un nom d’utilisateur eu.


La méthode d’authentifica finis

finis ec des groupes Active

Directory et d’autres groupes ne peut pas être combinée dans une même règle.

tion pare-feu comprend des groupes d’utilisateurs délocaux, de même que des utilisateurs LDAP ou Radius. Sélectionnez Active Directory dans le menu déroulant pour choisir des groupes Active Directory dédans Utilisateur > Groupe utilisateur. L’authentification av

Remarque : Pour permettre au boîtier FortiGate d’authentifier à partir d’un serveur Active irectory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active

Directory Domain Controller. Le FSAE est disponible auprès du Support Technique Fortinet. Pour que les utilisateurs puissent s’authentifier à partir d’autres services (par exemple POP3 ou IMAP), créez un groupe de services qui comprend les services pour lesquels une authentification est requise, de même que HTTP, Telnet et FTP. Ainsi, les utilisateurs peuvent s’authentifier avec la règle via HTTP, Telnet ou FTP

cas, assurez-vous que les utili à

feu sans auutilisateurs ne peuvent pa

.

D

avant d’utiliser un autre service.

Dans la plupart des sateurs puissent utiliser DNS travers le pare- thentification. Si DNS n’est pas disponible, les

s se connecter à un serveur web, FTP ou Telnet avec un nom de domaine

Remarque : Les règles qui n la es co ui ne

uthentificati

Ajout d’une priorité de trafic aux règle

Le Traffic Shaping contrôle niveau de priorité du traficcontrôler quelles règles ondonnées passent par un b ate. Par exemple, on pourrait attribuer à la

es passantes garantie et maximum, combinée à l’option d’attente dans la queue, assurent qu’un minimum et maximum de bande passante soit disponible

e bande

ponible, mais elle peut améliorer la qualité pour le trafic utilisant la bande passante de manière intensive ou sensible aux variations de performances.

ungarantissez la disponibilité d’une quantité de bande

ctets/sec). Par exemple, vous pourriez donner une bande passante garantie plus grande à votre trafic e-commerce.

écessitent une authentification doivent être placées, dansrrespondantes qui n’en nécessiliste, au-dessus des règl tent pas. Sinon, la règle q

nécessite pas d’a on est choisie en premier.

s pare-feu

la bande passante disponible pour la règle et définit le traité par cette règle. Le Traffic Shaping permet de t la priorité la plus haute lorsqu’un grand montant de oîtier FortiG

règle du serveur web de l’organisation une priorité plus haute que celle des règles destinées aux ordinateurs des autres employés. Un employé qui nécessiterait exceptionnellement un accès Internet haut débit pourrait bénéficier d’une règle spéciale offrant une bande passante plus grande. L’option de priorité de trafic est disponible pour les règles ACCEPT, IPSEC et VPN SSL, ainsi que pour tous les services supportés, y compris H.323, TCP, UDP, ICMP et ESP. Elle sera disponible pour SIP dans les versions futures. Les band

pour le trafic.

L’option de priorité de trafic ne permet pas d’augmenter la quantité totale dpassante dis

Bande passante garantie et bande passante maximum

Lorsque vous entrez e valeur dans le champ de la bande passante garantie ’une règle pare-feu, vous d

passante pour un trafic réseau sélectionné (en Ko


Lorsque vous entrez une valeur dans le champ de la bande passante maximum

pare-feu, vous pour un trafic réseau sélecmiter la bande passante d sante

e-commerce plus important.

ssante utiliséeaux sessions de données d trafic danbande passante garantie e alorsqu’un utilisateur d’un résea s fichiers, les sessions de récep la bande passante disponible au trafic contrôl La bande passante garantie e une règle est la bande

le. Si différents ommencent plusieurs sessions de communication avec la même ces sessions de communication doivent se partager la bande

passante disponible pour te Cependant, la disponibilitéinstances multiples qui utipar des règles différentes. arlimiter la quantité de band adresse réseau et créer une a r une autre adresse réseau.

Fixer une priorité permet dtrafic. Les trafics importan de priorité. Les trafics moins importants devraient se voir attribuer un niveau plus bas de priorité.

bande passante n’est pas utilisée pour des

connexions hautement prioritaires. Par exemple, vous pouvez ajouter des règles qui garantissent de la bande passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une haute priorité à la règle qui contrôle le trafic « voix » et une priorité medium à la règle qui contrôle le trafic e-commerce. Aux heures de pointe, lorsque les deux trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic voice sera transmis avant le trafic e-commerce puisqu’il a la plus haute priorité.

Remarques sur la priorité de trafic

L’option de priorité de trafic tente de normaliser les piques de trafic en donnant la priorité à certains flux. Il y a cependant une limite physique à la quantité de données mise en réserve (dans le buffer) et à son délai. Une fois les seuils dépassés, les trames et paquets seront abandonnés affectant alors le bon déroulement des sessions. Une priorité mal configurée pourrait dégrader un peu plus les flux réseaux étant donné que la quantité de paquets non pris en compte pourrait créer un surplus aux couches supérieures. Un exemple de priorité de trafic de base serait de définir une priorité pour certains flux de trafic au détriment d’autres trafics qui ne seront alors pas pris en compte.

d’une règle limitez la disponibilité d’une quantité de bande passante tionné (en Koctets/sec). Par exemple, vous pourriez u trafic IM, de manière à avoir plus de bande pasli

pour le trafic La bande pa pour le trafic contrôlé par une règle sert au contrôle et

u s les deux directions. Par exemple, si la st ppliquée à une règle FTP interne et externe,

u interne utilise FTP pour placer et recevoir detion et d’envoi partagent

er par cette règle.

t maximum disponible pour passante totale disponible pour tout le trafic contrôlé par cette règutilisateurs crègle, toutes

cet règle.

de la bande passante n’est pas partagée entre les lisent le même service si ces instances sont contrôlées P exemple, vous pouvez créer une règle FTP pour

e passante disponible pour le service FTP pour uneutre règle FTP avec une disponibilité différente pou

Priorité du trafic

e gérer les priorités relatives des différents types de ts devraient avoir un haut niveau

Le pare-feu antivirus FortiGate procure de la bande passante à des connexionsmoins prioritaires seulement si la


Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X u de garantir la performance et la stabilité du trafic Y.

liquez une limitation de la bande passante à certains le fait que ces sessions peuvent être limitées.

rafic qui

n hôte externe, via une règle Interne -> Externe, subira la riorité de trafic appliquée même si le flot de données provient alors d’Externe ->

Interne. Ce sera par exemple le cas pour un fichier FTP « reçu » ou un serveur SMTP se co ne dans le but de récupérer des emails. La p rmal à des taux réguliers. Elle n’est pa e trafic dense alors que le trafic dép ortiGate. Les paquets doivent être reçus par le boît é de trafic. Si le boîtier For isque de paquets abandonnés, reta

our assurer un fonctionnement optimal de la priorité de trafic, veillez à ce que les soient dépourvues d’erreurs, de télescopage ou ’est pas le cas, les paramètres du boîtier ssiteront probablement quelques ajustements.

Pour un fonctionnement optimal de la priorité de trafic, veillez à respecter les

vous n’appliquez t définie par défaut

comme hautement prioritaire.

).

Configuration de la priorité de trafic FortiGate

mètres se définissent lors de la

Configurer la priorité de trafic

1 Sélectionnez Pare-feu > Règle.

2

3 une quantité disponible de bande passante

des bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l’interface.

dans le but d’augmenter o Si, par exemple, vous appflux, vous devez accepter La priorité de trafic appliquée à une règle pare-feu est renforcée pour le tpeut circuler dans chaque direction. Dès lors une session mise en place par un hôte interne vers up

nnectant à un serveur exter

riorité de trafic est efficace pour un trafic IP nos efficace durant des situations extrêmes d

asse la capacité du boîtier Fier FortiGate avant qu’ils soient sujets à la priorittiGate n’arrive pas à traiter tout le trafic reçu, le rrdés ou latents augmente.

Pstatistiques de l’interface Ethernet de dépassement du buffer. Si ce nFortiGate et du commutateur néce

règles suivantes :

• Activer la priorité de trafic sur toutes les règles pare-feu. Si une priorité de trafic qu’à une seule règle, cette dernière es

• Affectez à chaque règle pare-feu une des trois priorités (low, medium et high

Assurez-vous également que la somme des bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l’interface.

La priorité de trafic s’active et ses paraconfiguration de règles pare-feu.

Lorsque vous créez une nouvelle règle ou éditer une règle existante, sélectionnez option Traffic Shaping (Priorité de Trafic). l’

Configurez les trois options suivantes : ande Passante Garantie Permet de garantir B

pour une règle à travers le pare-feu. Garantir de la bande passante (en Koctets) assure une disponibilité suffisante de bande passante pour les services hautement prioritaires. Assurez-vous que la somme


Ba de Passante Maximum Permet de limiter la quantité disponible dpour une règle à travers le pare-feu. Limiter l

n e bande passante a bande passante

r l’utilisation de la bande pour des services mineurs au bénéfice de services plus importants.

ve es . Par exemple,

onnecter à un serveur web fic e-commerce devrait être

basse (low). Le pare-feu fournit de la bande passante aux rioritaires seulement lorsque celle-ci n’est

trafic qu’à une

e.

permet d’empêche

Ni au de Priorité Sélectionnez High, Medium ou Low. Cela permet de gérer lpriorités relatives des différents types de traficune règle permettant de se csécurisé et supportant le traaffectée d’une priorité de trafic haute (High). Les services moins importants devraient être affectés d’une priorité de trafic

connexions moins ppas requise pour des connexions hautement prioritaires.

Assurez-vous d’activer la priorité de trafic sur toutes les règles pare-feu. Si vous n’appliquez une priorité de seule règle, cette dernière est définie par défaut comme hautement prioritair

Affectez à chaque règle pare-feu une des trois priorités.

Remarque : Si vous affectez la valeur 0 (zéro) à la bande passante garantie et à la bande passante maximum, la règle n’accepte aucun trafic.

Options des règles pare-feu IPSec

sitionnée sur IPSEC, les options suivantes sont disponibles : Illustration 111 : Règle de cryptage IPSEC

Lorsque l’action est po

VPN Tunnel Sélectionnez le nom du tunnel VPN défini dans la configuration

phase 1. Le tunnel spécifié sera sujet à cette règle de cryptage pare-feu.

Allow Inbound Activez cette option pour permettre au trafic d’un client ou d’ordinateurs « dialup » d’un réseau privé distant de démarrer le tunnel.

tunnel. bound NAT Activez cette option pour translater les adresses IP source de

s en adresse IP de l’interface FortiGate au réseau privé local.

utbound NAT Activez cette option en combinaison avec une valeur CLI natip pour translater les adresses sources des paquets sortants en clair en une adresse IP que vous spécifiez. Ne pas

s que vous n’ayez spécifié une ans ce cas, les adresses

Allow Outbound Activez cette option pour permettre au trafic à partir d’ordinateurs du réseau privé local de démarrer le

Inpaquets entrants décrypté

O

sélectionnez cette option à moinvaleur natip à partir du CLI. Dsource de paquets IP sortants sont remplacés avant que les paquets ne soient envoyés à travers le tunnel. Pour plus d’informations, voir le chapitre « Firewall » du FortiGate CLI Reference.

Remarque : Les tunnels IPS mode interface) ne sont pas configurés de la même manière que les tunnels IPSec en mode tunnel : au lieu de définir une règle de cryptage pare-feu (en mode tunnel « IPSEC ») qui permet les connexions VPN et le contrôle du trafic IP à travers le tunnel, celui-ci lie un tunnel VPN en mode route à une interface

ec en mode route (


virtuelle IPSec et spécifie ensudans une règle pare-feu (ACC

ite cette interface comme interface source ou de destination EPT ou DENY) régulière.

Options des règle

Lorsque l’Action est positionnée sur SSL-VPN, les options suivantes sont

Pour plus d’informations, voir le chapitre « Définition d’une règle de cryptage pare-u » du Guide Utilisateur VPN IPSec FortiGate – FortiGate IPSec VPN User fe

Guide.

s pare-feu VPN SSL

disponibles :

Remarque : L’option VPN SSL est disponible à partir de la liste Action après qu’un ou et des

urs plusieurs groupes d’utilisateurs aient été créés. Pour créer des comptes utilisateursgroupes d’utilisateurs VPN SSL, voir « Configuration des options des groupes d’utilisateVPN SSL » à la page 335. Illustration 112 : Règle de cryptage VPN SSL

es d’un certificat de être des membres d’un

oit

e niveau de cryptage SSL à utiliser. Le navigateur web du client distant doit pouvoir correspondre au niveau sélectionné :

•

ion Utilisateur Sélectionnez l’une des options suivantes :

Méthode

u est rs local, sélectionnez Local.

• Si les clients à distance seront authentifiés par un serveur ius.

• Si les clients à distance seront authentifiés par un serveur LDAP externe, sélectionnez LDAP.

• es tification Local est

Radius et ensuite LDAP.

isponibles sitant un accès VPN SSL, et cliquez ensuite sur la flèche droite. Ne sélectionnez pas plus d’un groupe d’utilisateurs à moins que

Certificat Client SSL Autorise le trafic généré par des titulairRestrictive groupe (partagé). Ces titulaires doivent

groupe d’utilisateurs VPN SSL, et le nom de ce groupe dêtre présent dans le champ « Allowed », « Autorisé ».

Algorithme de la clé Sélectionnez une des options suivantes pour déterminer le de cryptag

• Pour utiliser une suite de chiffres, sélectionnez Any.

• Pour utiliser une suite de chiffres 164 bits ou plus, sélectionnez High>=164.

Pour utiliser une suite de chiffres 128 bits ou plus, sélectionnez Medium>=128.

Authentificat

• Si le groupe d’utilisateurs lié à cette règle de pare-feun groupe d’utilisateu

RADIUS externe, sélectionnez Rad

Sélectionnez Any pour activer toutes les méthodd’authentification ci-dessus. L’authententée en premier, suivit de

Groupes D Sélectionnez le nom du groupe d’utilisateurs néces


tous les membres des groupes d’utilisateurs sélectionnés aient des exigences d’accès identiques.

formations s

rs VPN SSL, vPour plus d’in ur comment créer une règle de cryptage pare-feu pour les utilisateu oir le chapitre « SSL VPN administration tasks » du FortiGate SSL VPN User Guide.


Adresse Pare-Feu

•

•

•

•

•

par exemple, 192.45.46.45).

ses IP possibles.

Le masque de réseau correspond au type d’adresses ajoutées. Par exemple :

Le masque de réseau d’une adresse IP d’un ordinateur unique devrait être 5.255.255.255.

masque de réseau 255.0.0.0.

• Le masque de réseau d’un sous-réseau classe B devrait être 255.255.0.0.

Le masque de réseau pour toutes les adresses devrait être 0.0.0.0.

Une plage d’adresses IP représente :

• Une plage d’adresses IP dans un sous-réseau (par exemple, 192.168.20.1 à 192.168.20.10).

A partir de cette page, vous pouvez ajouter, éditer ou supprimer des adresses pare-feu. Les adresses pare-feu sont ajoutées aux règles pare-feu pour correspondre aux adresses IP source ou de destination de paquets reçus par le boîtier FortiGate. Cette section couvre les sujets suivants :

A propos des adresses pare-feu

Visualisation de la liste des adresses pare-feu

Configuration des adresses

Visualisation de la liste des groupes d’adresses

Configuration des groupes d’adresses

A propos des adresses pare-feu Une adresse pare-feu peut être :

• L’adresse IP d’un ordinateur unique (

• L’adresse IP d’un sous-réseau (par exemple, 192.168.1.0 pour un sous-réseau classe C).

0.0.0.0 pour représenter toutes les adres•

•25

• Le d’un sous-réseau classe A devrait être

• Le masque de réseau d’un sous-réseau classe C devrait être 255.255.255.0.

•

Remarque : L’adresse IP 0.0.0.0 et le masque de réseau 255.255.255.255 ne correspond pas à une adresse de pare-feu valide. Pour simplifier la création de règles, il est conseillé d’organiser les adresses ayant un lien entre elles en groupes d’adresses. Une adresse pare-feu peut être configurée avec un nom, une adresse IP et un masque de réseau ou un nom et une plage d’adresses. Il peut également s’agir d’un FQDN (Fully Qualified Domain Name).

Entrez une adresse IP et un masque de réseau en utilisant les formats suivants :


• x.x.x.x/x.x.x.x., par exemple 192.168.1.0/255.255.255.0

• .x.x.x/x, par ex

Entrez une plage d s suivants :

• x.x.x.x-x.x.x.x, .168.110.120

• x.x.x.[x-x], par

• .x.*, par exe er tes les adr es sur le us-réseau

Une adresse IP/Ma

• un s-ré sse C, adre: 192.168.20 5 )

• e adresse IP IP 2.168.20 un masque de rés

• tes les adre r se IP : 0.0.0.0 et le masque de rés

Entrez un FQDN en

• st_name>.< <top_l n_ >

• <host_name>.<

Un FQDN peut être

• www.fortinet.co

• exemple.com

Visualisation de la liste d eu Si des domaines vi ortiGate, les adresses sont configurées séparé tuel. Pour accéder aux adresses, s ionnez un domaine virtuel de la liste dans le menu pal. Vous pouvez ajoute es sses existantes. Le b Gate es ut qui rep nte n’impo lle ad es dans la liste sont triées par t sque, P Pour visualiser la li Adresse. Illustration 113 : Ech d’adresses

x emple 192.168.1.0/24

’adresses IP en utilisant les format

par exemple 192.168.110.100-192

exemple 192.168.110.[100-120]

x.xso

mple 192.168.110.* pour représent

sque peut représenter :

sous-rése

tou ess

L’adresse d’IP

au (par exemple, un sou.0 et un masque de réseau : 255.25

seau cla.255.0

sse

Un unique (par exemple, une adresse eau : 255.255.255.255)

: 19 .1 et

Tou sses IP possibles (représentées paeau : 0.0.0.0)

utilisant le format suivant :

second

l’adres

<ho _level_domain_name>.

top_level_domain_name>

evel_domai name

m

es adresses pare-frtuels sont activés sur le boîtier Fment pour chaque domaine vir

élect princi

r des adresses à la liste et éditer d adreoîtier Forti

rte quet configuré avec l’adresse par défaresse IP sur le réseau. Les adress

« All » rése

ype : IP/Ma lage IP et FQDN.

ste d’adresses, sélectionnez Pare-feu >

antillon d’une liste

C uveau e pare-feu.

Nom

Adresse / FQDN e, la plage d’adresses IP ou le FQDN.

réer No Permet d’ajouter une adress

Le nom de l’adresse pare-feu.

L’adresse IP et le masqu


Icône Supprimer ess liste. Cette icône ment si l’adresse n’est pas reprise dans une

I om ype, Sous-

Configuration des adresL dresses peuv ditées ant la configuration de règles pare-feu are-feu. Vous pouvez lier un quilibrage d charge et de la haute dispo u FQDN unique peut être créée pour l n intient enregistrement de s adresses auxquelles le FQDN correspond.

Permet de supprimer une adrs’affiche uniquerègle pare-feu.

e de la

cône Editer Permet d’éditer les informations suivantes : Nréseau/Plage IP.

ses

, T

es a ent également être créées ou éà partir de la fenêtre de la règle p

pend

FQDN à de multiples machines pour un énibilité. Une règle pare-fe

e

aquelle le boîtier FortiGate correspond automatiquemetoutes le

t et ma un

Attention : L’utilisat re-feu peut, malgrcommodité, présen très prudents lors de l e cette

Sélectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage d’adresses ou un F Illustration 114 : Options de nouvelles adresses ou de plag

ion d’un FQDN dans une règle pater des risques de sécurité. Soyez fonction.

é sa

’utilisation d

QDN.

e IP.

Nom er l’adresse pare-feu. Les adresses,

elles doivent avoir des noms afin d’éviter la confusion parmi les règles pare-feu.

T : S t/IP Rang QDN.

Subnet/IP Range IP du pare-feu / le masque du sous-réseau ou n

Visualisation de la liste des groupes d’adresses Si des domaines vi r FortiGate, les groupd’adresses sont co domaine virtuel. Pour accéder aux groupes d’adre lectionnez un domaine virtuel de la liste dans le menu p Pour simplifier la co llé iser les adresses a ntées en gro rès ajouté trois adresses et les avo adresses, configurez une seule r i reprend le Pour visualiser la li tionnez Pare-feu > Adresse > Groupe.

Entrez un nom pour identifigroupes d’adresses et IP virtuuniques

ype Sélectionnez le type d’adresse

Entrez l’adresse

ubne e ou F

entrez la plage IP séparée par u tiret.

rtuels sont activés sur le boîtienfigurés séparément pour chaque sses, sé

es

rincipal.

nfiguration de règles, il est conseiupes d’adresses. Par exemple, apir configuré en un groupe d’

d’organ avoir ppare

ègle qu s trois adresses.

ste des groupes d’adresses, sélec

Remarque : Si un gro règle, il ne peut pas être supprimer à moins qu

upe d’adresses est compris dans une’il soit d’abord retirer de la règle.


I 115 : Ech dresllustration antillon d’une liste de groupes d’a ses

Créer Nouveau ter un groupe d’adresses.

N roupes

M gro ’adresses

Icône Supprimer de la liste. Cette icône s’affiche est pas repris dans une

Icône Editer s suivantes : Nom du groupe et

Configuration s groupDes groupes d’adre t la configuration de pare-feu e ant sur Cré e Adr Pour organiser les le nez PareA > Groupe I tion 116 : Op

Permet d’ajou

om des g Le nom du groupe d’adresses.

embres Les adresses faisant partie du

Permet de supprimer le groupeuniquement si le groupe d’adresses n’

upe d .

règle pare-feu.

Permet d’éditer les informationMembres

de es d’adresses

sses peuvent être créés pendann cliqu er Nouveau de la liste déroulant esse.

adresses en groupes d’adresses, sé.

ction -feu > dresse

llustra tions des groupes d’adresses

Nom du groupe fier le groupe d’adresses. Les

IP virtuelles doi oir des on parmi les règl e-

A nibl co parcer les adresses d’une liste à

Membres La liste des adresses dans le groupe. Utilisez les flèches pour déplacer les adresses d’une liste à l’autre.

Entrez un nom pour identiadresses, groupes d’adresses et noms uniques pour éviter la confusifeu.

vent aves par

dresses dispo es La liste des adresses pare-feuUtilisez les flèches pour déplal’autre.

nfigurées et défaut.


Service Paés par le pare-feu. Vous pouvez ajouter un ou plusieurs

ce(s) prédéfini(s) au choix à une règle. Vous pouvez également créer des services personnalisés pour chaque domaine virtuel et ajouter des services à des

roupes de services.

Visualisation de la liste des services prédéfinis

nalisés

• Configuration des services personnalisés

• Visualisation de la liste des groupes de services

• Configuration des groupes de services

Visualisation de la liste des aines virt FortiGate, les services

nis sont disponibles

ncipal, sé u > aliser la

es ser

re-feu La fonctionnalité Service permet de déterminer les types de communication qui eront acceptés ou refuss

servi

g Cette section couvre les sujets suivants :

•

• Visualisation de la liste des services person

services prédéfinis Lorsque des dom uels sont activés sur le boîtier prédéfi globalement.

Dans le menu pri lectionnez Configuration Globale et ensuite Pare-feService pour visu liste des services prédéfinis.

Illustration 117 : Liste d vices prédéfinis

Nom Le nom du service prédéfini.

étail Le protocole de chaque service prédéfini.

rtorie les à n’im e règle.

D

Le tableau 33 répe s services pare-feu FortiGate prédéfinis. Vous pouvez ajouter ces service porte quell


Tableau 33 : Services FortiNom du service Descri

Gate prédéfinis ption Protocole Port

AH Authenauthenl’intégrisecret. l’authenIPSec dagressi

51 tication Header. AH fournit une tification de l’hôte source et té des données, mais pas de Ce protocole est utilisé pour tification par les passerelles istantes définies en mode f.

ANY Conviequel pon’importe leprédéfipare-feu.

nt aux connexions à n’importe rt. Une connexion utilisant

all all

quel des services nis est autorisé à travers le

AOL Protocole de messagerieAOL.

instantanée TCP 5190-5194

BGP Protocole de routage Border GatewProtocol. BGP est un protocole de

ay TCP 179

routage intérieur/extérieur. DHCP Dynamic Host Confi

alloue des adresses guration Protocol réseau et livre

des paramètres de configuration à

UDP 67

partir de serveurs DHCP vers les hôtes.

TCP 53 DNS Domain Name Service pour la traduction de noms de domaines en adresses IP. UDP 53

ESP Encapsulating Security Payload. Ce service est utilisé par les tunnels VPN en clé manuelle et AutoIKE pour communiquer des données cryptées. Les tunnels VPN AutoIKE utilisent ESP après avoir établi le tunnel en utilisan

50

t IKE. FING ice réseau fournissant des TCP ER Un serv

informa79

tions sur les utilisateurs. FTP FTP pour le transfert de

. TCP Service

fichiers21

FTP_ FTP pour le téléchargement TCP 21 GET Servicede fichiers « reçus ».

FTP_PUT Service FTP pour le télde fichiers « à envoy

échargement er ».

TCP 21

GOPHER Service de communications

structurés

TCP 70 GOPHER. Il organise et affiche les

et sous contenus d’un serveur Internforme de liste de fichiershiérarchiquement.

GRE Generic Routing Encapsulation. Un protocole permettant à un protocole réseau arbitraire d’être transmis sur tout autre protocole réseau arbitraire, en encapsulant les paquets du protocole dans des paquets GRE.

47

H323 Protocole multimédia H.323. Il s’agit d’un standard approuvé par ITU (International Telecommunication Union) définissant comment les données de conférences audiovisuelles sont transmises à travers les réseaux.

TCP 1720, 1503

HTTP HTTP est le protocole utilisé par la toile web mondiale pour le transfert de données pour les pages web.

TCP 80


HTTPS HTTPS est un service SSL (Secure socket layer) pour des communications sécurisées des serveurs web.

TCP 443

ICMP t Control Message Protocol est ICMP _ANY Interneune conprotoco

sole de messages et un le de rapport d’erreurs entre

un hôte et une passerelle (Internet). IKE IKE est le protocole pour obtenir

l’échange de clés authentifiées utilisées avec ISAKMP pour IPSEC

UDP 500

IMAP Internet Message Access Protocol est un protocole utilisé pour la réception de courriers électroniques.

TCP 143

INFO_ADDRESS Messages de requêtes d’informations ICMP 17 ICMP.

INFO_REQUEST Messages de requêtes de masque d’adresses ICMP.

ICMP 15

IRC Internet Relay Chat permet aux personnes connectées à Internet de rejoindre des discussions en ligne.

TCP 6660-6669

Internet – Locator -

Internet Locator Service comprend LDAP, User Locator Service, et LDAP

TCP 389

Service sur TLS/SSL. L2TP L2TP est un protocole tunnel en mode

PPP pour l’accès à distance. TCP 1701

LDAP Lightweight Directory Access Protocol est un ensemble de protocoles utilisés

TCP

pour accéder aux informations des services d’annuaires.

389

NFS Network File System autorise les utilisateurs du réseau d’accéder à des fichiers partagés stockés sur des ordinateurs de différents types.

TCP 111, 2049

NNTP k News Transport Protocol est TCP Networun protocdistribuUSENE

119 ole utilisé pour envoyer,

er et recevoir des messages T.

NTP ime Protocol pour la nisation de la date et l’heure serveur NTP.

TCP 123 Network Tsynchroavec un

NetMeeting NetMee utilisateurs de participInterne

TCP 1720 ting autorise leser à des téléconférences via t comme moyen de

transmission. OSPF Open Shortest Path First est u

protocole de routage communn d’état

89

de lien. PC-Anywhere PC-Anywhere est un protocole de

contrôle à distance et de transfert de UDP 5632

fichiers. PING ICMP echo request/reply pour tester

dICMP 8

es connexions vers d’autres machines.

POP3 Post Office Protocol est un protocole email pour le téléchargement de courriers électroniques à partir d’un serveur POP3.

TCP 110

PPTP Point-to-Point Tunneling Protocol est un protocole permettant aux organisations d’étendre leur propre réseau organisationnel à travers des tunnels privés sur l’Internet public.

TCP 1723


QUAKE Pour les connexions utilisées par le jeu d’ordinateur multi-joueurs Quake.

UDP 26000, 27000, 27910, 27960

RAUDIO er le trafic multimedia audio UDP 707Pour fluel.

0 ré

RIP Ro Information Protocol est un le commun de routage à

UDP 520 utingprotocovecteur de distance.

RLOGIN Servicedistance à un serveur.

513 RLOGIN pour la connexion à TCP

SAMBA Samba autorise les clients Microsoft Windows à utiliser les services de fichier et d’impression à partir d’hôtes TCP/IP.

TCP 139

SIP Session Initiation Protocol définit comment les données de conférence audiovisuelle sont transmises à travers les réseaux.

UDP 5060

SIP- MSNmessenger

Session Initiation Protocol est utilisé par Microsoft Messenger pour initier une session mulimedia interactive.

TCP 1863

SMTP Simple Mail Transfer Protocol est utilisé pour l’envoi de mail entre serveurs emails sur Internet.

TCP 25

TCP 161-162 SNMP Simple Network Management Protocol est un ensemble de protocoles pour la gestion de réseaux complexes. UDP 161-162

TCP 22 SSH Secure Shell est un service pour connexions sécurisées d’ordinateurs lors d’administrations distantes. UDP 22

SYSLOG Service syslog pour connexion à distance.

UDP 514

TALK Un protocole supportant des conversations entre deux ou plusieurs utilisateurs.

UDP 517-518

TCP Tous les ports TCP. TCP 0-65535 TELNET Service Telnet pour des connexions

vers un ordinateur d’administration pour en prendre les commandes.

TCP 23

TFTP Trivial File Transfert Protocol est un protocole de transfert simple de fichiers similaire à FTP mais sans fonctionnalités de sécurité.

UDP 69

TIMESTAMP Messages de requêtes ICMP timestamp.

ICMP 13

UDP Tous les ports UDP UDP 0-65535 UUCP Unix to Unix copy utility, un protocole

simple de copiage de fichiers. UDP 540

VDOLIVE Pour fluer le trafic multimedia VDO live.

TCP 7000-7010

WAIS Wide Area Information Server est un protocole de recherche Internet.

TCP 210

WINFRAME Pour des communications WinFrame entre des ordinateurs munis de Windows NT.

TCP 1494

X-WINDOWS Pour des communications à distance entre un serveur X-Window et des clients X-Window.

TCP 6000-6063


Visualisation de la liste des services personnalisés ate, les services

domaine virtuel. Pour maine virtuel de la liste

rvice

Personnalisé.

alisés

Si les domaines virtuels sont activés sur le boîtier FortiGpersonnalisés sont configurés séparément pour chaqueaccéder aux services personnalisés, sélectionnez un dodans le menu principal. Vous pouvez ajouter un service personnalisé pour créer une règle pour un sequi ne se trouve pas dans la liste des services prédéfinis. Pour visualiser la liste des services personnalisés, sélectionnez Pare-feu > Service > Illustration 118 : Liste de services personn

réer Nouveau Sélectionnez un protocole et cliquez ensuite sur Créer

ffiche uniquement si le service n’est pas repris dans une

Configuration e

r Nouveau de la liste Service déroulante.

1 Sélectionnez Pare-feu > Service > Personnalisé.

2 Positionnez le Type de Protocole sur TCP/UDP.

3 onfigurez les paramètres suivants :

ation 119 : Nouveau s

CNouveau pour ajouter un service personnalisé.

Nom du Service Le nom du service personnalisé.

Détail Les numéros des protocole et ports pour chaque service personnalisé.

Icône Supprimer Permet de supprimer une entrée de la liste. Cette icône s’arègle pare-feu.

Icône Editer Permet d’éditer les informations suivantes : Nom, Type de Protocole, Type, Numéro de Protocole, Code, Port Source et Port de Destination.

des services personnalisésDes services personnalisés peuvent être créés lors de la configuration d’une règlpare-feu en sélectionnant Crée Ajouter un service personnalisé TCP ou UDP

C

Illustr ervice personnalisé – TCP/UDP


Nom Entrez un nom au service personnalisé.

Type de protocole Sélectionnez le type de protocole du service personnalisé : TCP/UDP.

Protocole Sélectionnez TCP ou UDP comme protocole de la plage des

Spécifiez la plage des numéros de Port Source pour le service orts les plus bas et plus haut. Si le

éro de port, entrez celui-ci dans les champs Début et Fin. Les valeurs par défaut permettent l’utilisation de n’importe quel port source.

estination r le us

celui-hamps Début et Fin.

on ADD cliquez sur le bouton Add pour permettre plusieurs plages

1

2

3 ivants :

Illustration 120 : Nouveau service personnalisé - ICMP

ports ajoutée.

ort source Pen entrant les numéros de pservice n’utilise qu’un num

Port d Spécifiez la plage des numéros de Port de Destination pouservice en entrant les numéros de ports les plus bas et plhaut. Si le service n’utilise qu’un numéro de port, entrezci dans les c

Bout Si le service personnalisé nécessite plus d’une plage de ports,

source et de destination.

Icône Supprimer Permet de supprimer une entrée de la liste.

Ajouter un service personnalisé ICMP

Sélectionnez Pare-feu > Service > Personnalisé.

Positionnez le Type de Protocole sur ICMP.

Configurez les paramètres su

om N Entrez un nom au service personnalisé ICMP.

z le numéro du type ICMP pour ce service.

Code Entrez le numéro du code ICMP pour ce service si requis.

Ajouter un service personnalisé IP

1 Sélectionnez Pare-feu > Service > Personnalisé.

2 Positionnez le Type de Protocole sur IP.

3 Configurez les paramètres suivants :

Type de protocole Sélectionnez le type de protocole du service : ICMP.

ype EntreT


Illustration 121 : Nouveau service personnalisé - IP

de protocole

ole

Visualisation de la liste des groupes de services es virtuels so te, les groupes de

el. Pour accéder aux liste dans le menu

e qui autorise ou bloque l’accès à tous les services d’un

ectionnez Pare-feu > Service > Groupe. Illustration 122 : Echantillon d’une liste de groupes de services

Nom Entrez un nom au service personnalisé IP.

Type Sélectionnez le type de protocole du service : IP.

Numéro de protoc Le numéro de protocole IP pour ce service.

Si les domain nt activés sur le boîtier FortiGaservices sont créés séparément pour chaque domaine virtugroupes de services, sélectionnez un domaine virtuel de laprincipal. Pour faciliter l’ajout de règles, vous pouvez créer des groupes de services et

nsuite ajouter une règlegroupe. Un groupe de service peut comprendre des services prédéfinis et personnalisés. Un groupe de services ne peut pas être ajouté à un autre groupe de ervices. s

Pour visualiser la liste des groupes de services, sél

Créer Nouveau Permet d’ajouter un groupe de services.

s groupes Le nom d’identification du groupe de services.

s

e e

diter

Configuration des groupes de services

pare-feu en cliquant sur Créer Nouveau dans la liste déroulante. Pour organiser les services en un groupe de services, sélectionnez Pare-feu > Service > Groupe.

Nom de

Membre Les services ajoutés à ce groupe de services.

Permet de supprimer l’entrée de la liste. Cette icône s’affichIcône Supprimeruniquement si le groupe de services n’est pas repris dans unrègle pare-feu.

Icône E Permet d’éditer les informations suivantes : Nom des groupes et Membres.

Des groupes de services peuvent être créés lors de la configuration d’une règle


Illustration 123 : Options des groupes de services

Nom du gro e Entrez un nom pour identifier le groupe de services.

Serv e des services configurés et prédéfinis. Utilisez les pour déplacer les services d’une liste à l’autre.

Membres La liste des services dans le groupe. Utilisez les flèches pour déplacer les services d’une liste à l’autre.

up

ices disponibles La listflèches


Plage horaire d’un Pare-feu Cette section décrit l’utilisation de plages horaires pour contrôler les périodes d’activité et d’inactivité des règles. Des plages horaires ponctuelles et récurrentes peuvent être créées. Les plages horaires ponctuelles opèrent une seule fois

endant la période de temps spécifié dans l’horaire. Les plages horaires récurrentes se réitèrent chaque semaine. Elles opèrent uniquement lors de

Visualisation

urées séparément pour chaque domaine virtuel. Pour

figuré e règle par défaut qui permet l’accès à tous les services Internet à tout

moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet accès à Internet pendant une période de congé.

our visualiser la liste des plages horaires ponctuelles, sélectionnez Pare-feu > Plage horaire > Ponctuelle.

p

périodes de temps spécifiés de la journée ou lors de jours spécifiés dans la semaine. Cette section couvre les sujets suivants :

Visualisation de la liste des plages horaires ponctuelles •

• Configuration des plages horaires ponctuelles

• Visualisation de la liste des plages horaires récurrentes

• Configuration des plages horaires récurrentes

de la liste des plages horaires ponctuelles Si des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires

onctuelles sont configpaccéder aux plages horaires ponctuelles, sélectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez créer une plage horaire ponctuelle qui active ou désactive une règle

our une période de temps spécifiée. Par exemple, un pare-feu peut être conpavec un

P

Illustration 124 : Listes des plages horaires ponctuelles

Créer Nouveau Permet d’ajouter une plage horaire ponctuelle.

Nom Le nom de la plage horaire ponctuelle.

cône dans

Début La date et l’heure de début de la plage horaire ponctuelle.

Fin La date et l’heure de la fin de la plage horaire ponctuelle.

Icône Supprimer Permet de supprimer la plage horaire de la liste. Cette iapparaît seulement si la plage horaire n’est pas repriseune règle pare-feu.

Icône Editer Permet d’éditer la plage horaire.


Configurationées lors de la configuration d’une

gle pare-feu en sélectionnant Créer Nouveau dans la liste Plage Horaire

Pare-feu > Plage horaire Ponctuelle.

des plages horaires ponctuelles Les plages horaires ponctuelles peuvent être crérè(Schedule) déroulante. Pour ajouter une plage horaire ponctuelle, sélectionnez> Illustration 125 : Nouvelle plage horaire ponctuelle

Entrez un nom pour identifier la plage horaire po

Nom nctuelle.

b

t de

24 h

Visualisation ei des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires

la

vez créer une plage horaire récurrente qui active ou désactive une règle des moments de la journée ou lors de certains jours de la semaine spécifiés. Par

Dé ut Entrez les date et heure de départ de la plage horaire ponctuelle.

Fin Entrez les date et heure de fin de la plage horaire ponctuelle.

Pour une plage horaire active tout au long de la journée, affectez 00 aux dates eheures de départ et de fin. Les plages horaires ponctuelles utilisent une horloge

eures (et non pas 12).

d la liste des plages horaires récurrentes Srécurrentes sont configurées séparément pour chaque domaine virtuel. Pour accéder aux plages horaires récurrentes, sélectionnez un domaine virtuel deliste dans le menu principal. Vous pouàexemple, empêcher les jeux pendant les heures de travail en créant une plage horaire récurrente.

Remarque : Une pl re récurrente avec une heure de fin qui a lieu avant l’heure de début et finit à l’heure de fin de la journée suivante. Cette s plages horaires qui passent du jour au lendemain. Pour crne 24 heures, affectez la mê

age horaidébut commence à l’heure detechnique permet de créer de éer une plage horaire qui fonction me heure aux heures de début et de fin. Pour visualiser la liste desPlage horaire > Récurren

plages horaires récurrentes, sélectionnez Pare-feu > te.


Il plages horaires récurrentes lustration 126 : Listes des

Créer Nouveau plage horaire récurrente.

Jour

ébut

Fin

Icône Supprimer ne

Configuration des plages horaires récurrentes Les plages horaires récurrrègle pare-feu en sélection(Schedule) déroulante.

ge ho ire > Récurrente. Illustration 127 : Nouvelle p

Permet d’ajouter une

Nom Le nom de la plage horaire récurrente.

Les initiales des jours de la semaine pendant lesquelles la plage horaire récurrente est active.

D L’heure de début de la plage horaire récurrente.

L’heure de fin de la plage horaire récurrente.

Permet de supprimer la plage horaire de la liste. Cette icôapparaît seulement si la plage horaire n’est pas reprise dans une règle pare-feu.

Icône Editer Permet d’éditer la plage horaire.

entes peuvent être créées lors de la configuration d’une nant Créer Nouveau dans la liste Plage Horaire

Pour ajouter une pla raire récurrente, sélectionnez Pare-feu > Plage hora

lage horaire récurrente

Nom Entrez un nom pour identifier la plage horaire récurrente.

Select Cochez les jours de la semaine pendant lesquelles la plage tive.

e de départ de la plage horaire récurrente.

.

Les plages horaires récurrentes utilisent une horloge de 24 heures (et non pas 12).

horaire récurrente doit être ac

Début Sélectionnez l’heur

Fin Sélectionnez l’heure de fin de la plage horaire récurrente


IP virtuelles IP virtuelles et les plages IP FortiGate.

Cette section couvre les s

• Visualisation de la liste

tion des IP v

• Plages IP

IP virtuelles travers le

r

e e que cette interface puisse répondre aux requêtes de

onnexion des utilisateurs en réalité connectés à un serveur du réseau DMZ ou du u interne.

Comment les adresses IP virtuelles gè vers le boîtier FortiGate

Un exemple d’utilisation d’un accès public facile à unFortiGate. De la manière l implique seulement trois parties, tel qu’exemplifié dans l’illustration 128 : Le serveur web du réseau privé, la machine cliente et le boîtier FortiGate connecté aux deux réseaux.

données reçus par le boîtisont réécrites et transférée Illustration 128 : Exemple d

Cette section explique comment configurer et utiliser dans les règles pare-feu les

ujets suivants :

• IP virtuelles

d’IP virtuelles

• Configura irtuelles

• Visualisation des Plages IP

• Configuration des Plages IP

Les adresses IP virtuelles sont utilisées pour permettre des connexions àboîtier FortiGate en utilisant des règles pare-feu NAT (Network Address Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au boîtier FortiGate de répondre aux requêtes ARP sur le réseau pour un serveur installé su

n autre réseau. Proxy ARP est défini par la RFC 1027. u Par exemple, vous pouvez ajouter une adresse IP virtuelle à une interface extern

ortiGate de manière à cFcrésea

rent-elles leurs connexions à tra?

une adresse IP virtuelle de translation est de permettre serveur web d’un réseau privé protégé par un boîtier

a plus simplifiée, cette situation

Un ordinateur client tentant de se connecter au serveur envoie des paquets de

er FortiGate. Les adresses reprises dans les paquets s au serveur du réseau privé.

’une adresse IP virtuelle de translation simple

Les paquets envoyés par l192.168.37.55 et une adre e reçoit ces paquets sur son dresse IP

’ordinateur client ont une adresse IP source sse IP de destination 192.168.37.4. Le boîtier FortiGat interface externe. Les paramètres de l’a


virtuelle indiquen irection de 192.168.37.4 à 10.10.10.42, les adresses dest une red ant été modifié de

0.10.10.42. L on du pare-fer le serveur.

translation client - serveur

paquets ay es. L’adresse source est devenue 10.10.10.2 et celledestination 1 e boîtier FortiGate enregistre cette translation dans satable de sessi u. Les paquets sont ensuite envoyés et arrivent finalement su

Illustration 129 : Exemple de translation d’adresse d’un paquet pendant une

dans les ait translaté

e s

se IP source 10.10.10.42 et une adresse IP de destination

déterminer l’adresse de destination translatée. Dans cet exemple, l’adresse source est réécrite et devient 192.168.37.4 et la destination 192.168.37.55. Les paquets sont ensuite envoyés et arrivent finalement sur l’ordinateur client. L’adresse du serveur n’apparaît pas dans les paquets que le client reçoit. En effet, après que le boîtier FortiGate ait translaté les adresses réseaux, il n’y a plus de référence faite au réseau du serveur. Le client n’a pas d’indication sur l’existence du réseau privé du serveur. Pour lui, le boîtier FortiGate est le serveur web. Illustration 130 : Exemple de translation d’adresse d’un paquet pendant une

anslation serveur - client

Vous remarquerez que l’adresse de l’ordinateur client n’apparaît paspaquets reçus par le serveur. En effet, après que le boîtier FortiGateles adresses réseaux, il n’y a plus de référence faite au réseau de l’ordinateur client. Le serveur n’a pas d’indication sur l’existence d’un autre réseau. Pour lui, toutes les communications viennent directement du boîtier FortiGate. Lorsque le serveur répond à l’ordinateur client, la procédure fonctionne de la mêmmanière mais dans la direction opposée. Le serveur envoie ses paquets réponseyant une adresa

10.10.10.2. Le boîtier FortiGate reçoit ces paquets sur son interface interne. Cependant, cette fois-ci, l’entrée dans la table de session pare-feu va servir à

tr

Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode Transparent. Une adresse IP virtuelle peut être une seule adresse IP ou une plage d’adresses IP limitée à une interface FortiGate. Lorsque vous faites correspondre une adresse IP ou une plage d’adresses IP à une interface FortiGate fonctionnant avec une adresse IP virtuelle, l’interface répond aux requêtes ARP pour l’adresse IP ou pour la plage d’adresses IP correspondante.


Dans le cas où la case NAT n’a pas été sélectionnée lors de la configuration d’une

ation network address e les paquets d’un réseau externe à l’attention d’une cifique, translate l’adresse de destination des

ché, les paquets peuvent arriver

ement l’adresse IP source des paquets oit identique à

esses IP et peuvent translater les ad’adresses IP virtuelles on

• L’adresse IP de corres255.255.255.255.

• L’adresse IP externe nNAT statique et est tra

adress

La translation de Port translate une plage de ports externes vers une plage de

Par exemple, une plage interne de 20 ports translatées du port externe 65530 n’est pas valide puisque le dernier port de la plage serait 65550.

age de port, la plage d’adresses IP externes ne peut pas inclure

n plus de lier l’adresse IP ou la plage d’adresses IP à l’interface, l’adresse IP ur translater

sses IP de l’interface qui reçoit les paquets vers réseau que l’adresse IP ou la plage d’adresses IP

er cinq diffé chacun pouvant T.

slation translate une adresse éseau source vers

une adresse IP translatée ou une plage d’adresses IP d’un

règle pare-feu, cette règle effectuera la DNAT (destintranslation). La DNAT acceptadresse IP de destination spépaquets en une adresse IP de correspondance d’un autre réseau caché et transfère ensuite les paquets à travers le boîtier FortiGate vers ce réseau de destination caché. A l’inverse des exemples précédents, l’adresse source n’est pas translatée. Une fois sur le réseau de destination caà leur destination finale. Les adresses IP virtuelles translatent égalde retour de l’adresse source du réseau caché pour qu’elle sl’adresse de destination des paquets originaux. Les plages d’adr virtuelles peuvent être de presque n’importe quelle taille

dresses vers différents sous-réseaux. Les plages t les restrictions suivantes :

pondance ne peut pas inclure 0.0.0.0 ou

e peut pas être 0.0.0.0. si le type de cette adresse est nslatée en une plage d’adresses IP. Seuls l’équilibrage

de charge des adresses IP virtuelles, et les adresses IP virtuelles translatées vers une seule e IP, supportent une adresse IP externe 0.0.0.0.

•ports internes. Le nombre de ces ports doit être le même. Pour cela, le port externe doit être défini de manière à ce que sa plage ne dépasse pas 65535.

• Lors du relayd’adresses IP d’interfaces.

• La plage d’adresses IP de correspondance ne doit pas inclure d’adresses IP d’interfaces.

• Le nom d’une adresse IP virtuelle ne peut pas être identique à celui d’une adresse ou d’un groupe d’adresses.

• Les entrées dupliquées ou de plages qui se chevauchent ne sont pas permises.

Evirtuelle contient également toutes les informations requises pol’adresse IP ou la plage d’adrel’interface connectée au mêmeactuelle. Vous pouvez cré rents types d’adresses IP virtuelles, être utilisé pour une variation de DNA Static NAT Les adresses IP virtuelles de tran

IP externe ou une plage d’adresses IP d’un r

réseau de destination.


Les adresses IP virtuelles de translation utilisent une translation un-à-un. Une seule adresse IP externe est translatée vers une seule adresse IP. Une plage d’adresses IP externes est translatée vers une plage correspondante d’adresses IP. Une adresse IP donnée dans la plage d’adresses sources est toujours translatée vers la même adresse IP dans la plage d’adresses de destination.

Static NAT Port Le relayage de port NAT statique translate une seule adresse Forwarding IP ou une plage d’adresses et un seul numéro de port ou de

plage de ports sur un réseau vers une seule adresse IP ou une plage d’adresses différente et un seul numéro de port ou de plage de ports différente sur un autre réseau.

Le relayage de port NAT statique est également appelé relayage de port. Les adresses IP virtuelles du relayage de port NAT statique utilisent une translation un à un. Une plage d’adresses IP externes est translatée vers une plage

Les adresses IP virtuelles de relayage de port peuvent être utilisées pour configurer le boîtier FortiGate pour le PAT (port address translation).

Equilibrage de charge Egalement appelé relayage de port dynamique. Une adresse IP virtuelle d’équilibrage de charge translate une seule adresse IP sur un réseau vers une plage d’adresses IP sur un autre réseau.

L’équilibrage de charge utilise une translation un-à-plusieurs et un algorithme d’équilibrage de charge pour affecter une adresse IP de destination de la plage d’adresses IP pour assurer une distribution du trafic plus équilibrée.

Load Balancing Un équilibrage de charge avec une adresse IP virtuelle de Port Forwarding relayage de port translate une seule adresse IP et un seul

numéro de port sur un réseau vers une plage d’adresses IP et une plage de numéros de ports sur un autre réseau.

Un équilibrage de charge relayage de port utilise un algorithm se ne

distribution plus équilibrée du trafic et également pour affecter age de ports de destination.

ous définissez l’adresse IP externe d’une adresse IP

ellement uter une

seau externe vers un réseau ajoutez

c

Par exemple, si l’ordinateur minterne, il pourrait avoir une ad ir des paquets d’Internet vers le serveur web sur Internet. Ajoul’adresse externe IP du serveuweb du réseau interne. Pour a r

correspondante d’adresses IP et une plage de ports externes est translatée vers une plage correspondante de ports.

ed’équilibrage de charge un-à-plusieurs pour affecter l’adresIP de destination d’une plage d’adresses IP pour assurer u

le port de destination de la pl

Dynamic virtual IPs Si vvirtuelle à 0.0.0.0 vous créez une adresse IP virtuelle dynamique pour laquelle toute adresse IP externe est translatée vers l’adresse IP ou la plage d’adresses IP translatée.

Vous devez ajouter l’adresse IP virtuelle à une règle pare-feu NAT pour réimplémenter la translation configurée dans l’adresse IP virtuelle. Pour ajorègle pare-feu qui translate des adresses sur un réinterne, vous ajoutez une règle pare-feu de l’externe vers l’interne et l’adresse IP virtuelle dans le hamp de l’adresse de destination de la règle.

uni d’un serveur web est localisé sur le réseau resse IP privée telle que 10.10.10.42. Pour recevoserveur web, il doit y avoir une adresse externe du tez une adresse IP virtuelle au pare-feu qui translate r web sur Internet vers l’adresse actuelle du serveur utoriser des connexions d’Internet vers le serveu


web, ajoutez une règle pare-fe virtuelle à l’Adresse de Destina

Visualisation ’IP virPour visualiser la liste des adrvirtuelle > IP virtuelle.

lustration 131 : Liste d’adresses IP virtuelles

u de l’externe vers l’interne et affectez l’adresse IPtion.

de la liste d tuelles esses IP virtuelles, sélectionnez Pare-feu > IP

Il

Créer Nouveau Permet d’ajouter une adresse IP virtuelle.

L’adresse IP ou la plage d’adresses externe.

ort réel La translation vers le numéro du port ou la plage de ports. Le port d’adresses IP

et de supprimer l’adresse IP virtuelle de la liste. Cette eulement si cette adresse n’est pas reprise

Permet de mo se IP virtuelle son nom.

Configurationnez Pare-feu > IP virtuelle une adresse IP virtuelle,

le de translation pour une seule adresse IP est la lus simple d’une adresse IP virtuelle. Une seule adresse IP sur un

réseau est translatée vers une autre adresse IP sur un second réseau. Le boîtier

IP

ce externe est connectée au réseau source et reçoit les paquets à transférer au réseau de destination. Vous pouvez sélectionner n’importe quelle interface FortiGate, sous-interface VLAN ou interface VPN.

Type Sélectionnez NAT statique ou Load Balance.

Nom Le nom de l’adresse IP virtuelle.

IP

Port Le numéro du port externe ou la plage de ports. Le port de service est compris dans le relayage de port d’adresses IP virtuelles.

Adresse IP réelle La translation vers l’adresse IP ou la plage d’adresses sur le réseau de destination.

Pport réel est compris dans le relayage devirtuelles.

Icône Supprimer Permicône apparaît sdans une règle pare-feu.

Icône Editer difier toute option d’une adresnotamment

des adresses IP virtuelles Pour ajouter une liste d’adresses IP virtuelles, sélection> IP virtuelle et cliquez sur Créer Nouveau. Pour éditercliquez sur l’icône Editer de l’adresse à éditer. Une adresse IP virtuelconfiguration la p

FortiGate connecte les deux réseaux et autorise la communication entre eux. Pour ajouter ou éditer une adresse IP virtuelle, sélectionnez Pare-feu > IP virtuelle > IP virtuelle. Nom Entrez ou modifiez le nom d’identification de l’adresse

virtuelle. Pour éviter toute confusion, les règles pare-feu, les adresses, les groupes d’adresses et les adresses IP virtuelles ne peuvent pas avoir des noms en commun.

Interface externe Sélectionnez l’interface externe de l’adresse IP virtuelle dans la liste. L’interfa


External IP Entrez l’adresse IP externe que vous voulez translater vers Address/Range une adresse sur le réseau de destination. Pour configurer une

adresse IP virtuelle dynamique qui accepte les connexions pour n’importe quelle adresse IP, affectez 0.0.0.0 à l’adresse IP externe. Pour une adresse IP virtuelle dynamique de translation vous ne pouvez ajouter qu’une adresse IP translatée. Pour une adresse IP virtuelle dynamique d’équilibrage de charge vous pouvez spécifier une seule adresse ou une seule plage d’adresses translatée.

Mapped IP Entrez l’adresse IP réelle sur le réseau de destination de Address/Range l’adresse IP externe translatée. Vous pouvez également entrer

une plage d’adresses pour transférer les paquets vers de multiples adresses IP sur le réseau de destination.

Pour une adresse IP virtuelle de translation, si vous ajoutez

e p External IP Adresse/Range.

IP virtuelle de relayage de port.

ectionnez le protocole (TCP ou UDP) que les paquets

r le réseau de destination dont le numéro du port externe est translaté.

ports pour ets vers de multiples ports sur le réseau de

lation, si vous ajoutez boîtier FortiGate

Ajout d’une adresse IP virtuelle de tra

L’adresse IP 192.168.37.4privé. Les tentatives pour translatées et envoyées à Internet n’ont pas connais nateur

irtuelle de translation à une seule adresse IP

une plage d’adresses IP translatées, le boîtier FortiGate calcule la plage d’adresses IP externe et ajoute cette plagdans le cham

Port forwarding Permet d’ajouter une adresse

Protocole Séltransférés utiliseront.

Port externe Entrez le numéro du port service externe pour lequel vous désirez configurer le relayage de port.

Port réel Entrez le numéro du port su

Vous pouvez également entrer une plage detransférer les paqudestination.

Pour une adresse IP virtuelle de transune translation à une plage de ports, lecalcule la plage de ports externes et ajoute cette plage dans le champ Port Externe.

nslation à une seule adresse IP

sur Internet est translatée à 10.10.10.42 sur un réseau communiquer avec 192.168.37.4 sur Internet sont 10.10.10.42 par le boîtier FortiGate. Les ordinateurs sursance de cette translation et ne voient qu’un ordi

avec une adresse IP 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé derrière. Illustration 132 : Exemple d’adresse IP v


Ajouter une adresse IP virtuelle de translation à une seule adresse IP

1

2

3

t réseau DMZ.

xterne doit être une adresse IP statique obtenue I pour votre serveur web. Cette adresse doit

nique qui n’est pas utilisée e que l’adresse IP

elle va utiliser. Cependant, tée vers l’interface lle et l’adresse IP externe

peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’adresse IP virtuelle, l’interface externe répond aux requêtes ARP pour l’adresse IP externe.

e L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a qu’une adresse IP, laissez le deuxième champ vide.

seule adresse IP

Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.


Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs d’Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Interne

t l’interface dmz1 est connectée aueNom simple_static_NAT

Interface externe wan1

Type NAT statique

L’adresse IP Internet du serveur External IP web.

Address/Range L’adresse IP epar votre FAégalement être une adresse IP upar un autre hôte et ne peut pas être la mêmde l’interface externe que l’IP virtul’adresse IP externe doit être rousélectionnée. L’adresse IP virtue

Map to IP/IP Rang

Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation à une

4 Cliquez sur OK.

Ajouter une adresse IP virtuelle de translation à une seule adresse IP dans une règle pare-feu Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de manière à ce que lorsque des utilisateurs sur Internet tentent de se connecter à l’adresse IP du serveur web, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate l’adresse de destination de ces paquets de l’IP externe vers l’adresse IP du réseau DMZ du serveur web.

1

2

ne adresse spécifique précise)

Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.

Configurez la règle pare-feu : Source Interface/Zone wan1

Source Adresse All (ou u


Destination Interface/Zone dmz1

Destination Adresse simple_static_NAT

Horaire always

Service HTTP

3

4

Ajout d’une adresse IP virtuelle de translation à une plage d’adresses IP

La plage d’adresses IP 192.168.37.4-192.168.37.6 sur Internet est translatée vers 10.10.10.42-10.10.123.44 sur un réseau privé. Les paquets des ordinateurs Internet communiquant avec 192.168.37.4 sont translatées et envoyées à 10.10.10.42 par le boîtier FortiGate. Similairement, les paquets destinés à 192.168.37.5 sont translatés et envoyés à 10.10.10.43 et les paquets destinés à 192.168.37.6 sont translatés et envoyés à 10.10.10.44. Les ordinateurs sur Internet n’ayant pas connaissance de la translation ne voient que trois ordinateurs

IP indiv

Illustration 134 : Exemple d’adresse IP IP

Action ACCEPT

Cochez la case NAT.

Cliquez sur OK.

avec des adresses iduelles au lieu d’un boîtier FortiGate avec un réseau privé derrière.

virtuelle de translation à une plage d’adresses

Ajouter une adresse IP virtuelle de translation à une plage d’adresses IP

1

2

3

u DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est onnectée à Internet et l’interface dmz1 est connectée au réseau DMZ.

wan1

ange eurs web. Les externes doivent être des adresses IP

Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.


Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs d’Internet de se connecter à trois serveurs web individuels sur leréseacNom static_NAT_range

Interface externe

Type NAT statique

External IP Address/R La plage d’adresses IP Internet des servadresses IP


statiques obtenues par votre FAI pour votre serveur web. être des adresses IP par un autre hôte et ne les adresses IP de

iser. Cependant, routées vers

l’interface sélectionnée. Les adresses IP virtuelles et l’adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’adresse IP virtuelle, l’interface externe répond aux requêtes ARP pour les

interne. e de la

Ces adresses doivent également uniques qui ne sont pas utilisées peuvent pas être les mêmes quel’interface externe que l’IP virtuelle va utilles adresses IP externes doivent être

adresses IP externes.

Map to IP/IP Range La plage d’adresses IP des serveurs du réseau Définissez la plage en entrant la première adressplage dans le premier champ et la dernière adresse de laplage dans le deuxième champ.

Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec une plage d’adresses IP

4 Cliquez sur OK.

Ajouter une adresse IP virtuelle de translation avec une plage d’adresses IP à une règle pare-feu

Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate les adresses de destination de ces paquets de l’adresse IP externe vers les adresses IP du réseau DMZ des serveurs web.

1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.

2 Configurez la règle pare-feu : Source Interface/Zone wan1

Source Adresse All (ou une adresse spécifique précise)


Destination Adresse static_NAT_range

Horaire always

Service HTTP

Action ACCEPT

3 Cochez la case NAT.

4 Cliquez sur OK.


Ajout d’un relaya l port

L’adresse IP 192.168.37.4, port 80 sur Internet est translatée vers 10.10.10.42, port 8000 sur un réseau privé. Les tentatives de communication avec 192.168.37.4, port 80 d’Internet sont translatées et envoyées vers 10.10.10.42, port 8000 par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur au 192.168.37.4, port 80 au lieu d’un boîtier FortiGate avec un réseau privé derrière. Illustration 136 : Exemple de relayage de port de l’adresse IP virtuelle de translation pour une seule adresse IP et un seul port

ge de port de translation à une seule adresse IP et un seu

Ajouter un relayage de port de l’adresse IP virtuelle de translation à une

1 Pare-feu > I

2 r Nouvea

3 Utilisez la procédure suivaaux utilisateurs sur InterneDans notre exemple, l’inteet l’interface dmz1 est con

Nom

Interface externe

External IP Address/Range IP externe doit être une adresse IP statique obtenue

it lisée

par un autre hôte et ne peut pas être la même que l’adresse IP de l’interface externe que l’adresse IP virtuelle va utiliser. Cependant, l’adresse IP externe doit être routée vers l’interface sélectionnée. L’adresse IP virtuelle et l’adresse IP

aux requêtes ARP pour l’adresse IP externe.

ort externe Le port utilisé par le trafic provenant d’Internet. Pour un serveur web, il s’agit généralement du port 80.

seule adresse IP et un seul port

Sélectionnez P virtuelle > IP virtuelle.

Cliquez sur Crée u.

nte pour ajouter une adresse IP virtuelle qui permette t de se connecter à un serveur web sur le réseau DMZ. rface wan1 du boîtier FortiGate est connectée à Internet nectée au réseau DMZ.

Port_fwd_NAT_VIP

wan1

Type NAT statique

L’adresse IP Internet du serveur web. L’adressepar votre FAI pour votre serveur web. Cette adresse doégalement être une adresse IP unique qui n’est pas uti

externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’adresse IP virtuelle, l’interface externe répond

Map to IP/IP Range L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a qu’une adresse IP, laissez le deuxième champ vide.

Port forwarding Sélectionné

Protocole TCP

P


Port réel Le port sur lequel le serveur reçoit le trafic. Purt, lais

isqu’il n’y a sez le deuxième champ vide.

Illus : Relayage de port d’une adresse IP virtuelle de translation à une seule adresse IP et un seul port

qu’un po

tration 137 : Options des adresses IP virtuelles

4 Cliquez sur OK. Ajouter un relayage de port d’une adresse IP virtuelle de translation à une seule adresse IP et un seul port à une règle pare-feu

Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aadresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate les adre

ux

sses et orts de destination de ces paquets de l’adresse IP externe vers les adresses IP


2 Configurez la règle pare-feu : Source Interface/Zone wan1



Destination Adresse Port_fwd_NAT_VIP

Horaire always

vice HTTP

Ajout d’un relayade ports

sur un tion vers 192.168.37.5, port 82

10.10.43, port 8002 as connaissance de

tion ne voient 7.5 au lieu d’un

pdu réseau DMZ des serveurs web.

Ser

Action ACCEPT


4 Cliquez sur OK.

ge de port de translation à une plage d’adresses IP et une plage

Les ports 80 à 83 des adresses 192.168.37.4 à 192.168.37.7 sur Internet sont translatées aux ports 8000 à 8003 des adresses 10.10.10.42 à 10.10.10.44réseau privé. Les tentatives de communicad’Internet par exemple, sont translatées et envoyées vers 10.par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pcette transla qu’un seul ordinateur au 192.168.3boîtier FortiGate avec un réseau privé derrière.


Illustration 138 : Exemple dà une plage d’adresses IP e

e relayage de port d’une adresse IP virtuelle de translation t une plage de ports

ort de l’adresse IP virtuelle de translationAjouter un relayage de p à une plage d’adresses IP et une plage de ports

1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.


3 ette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ.

s notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet 1 est connectée au réseau DMZ.

s doivent également être uniques et inutilisées par un autre hôte et ne

erface er. Cependant, les

sses IP externes doivent être routées vers l’interface ctionnée. Les adresses IP virtuelles et l’adresse IP externe

eaux différents. Lorsque vous ajoutez l pond aux requêtes

ur sur le réseau interne. Définissez la ns le

Port externe Les ports utilisés par le trafic provenant d’Internet. Pour un serveur web, il s’agit généralement du port 80.

Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la plage en entrant le premier port de cette plage dans le premier champ et le dernier port dans le deuxième champ. S’il n’y a qu’un seul port, laissez le deuxième champ vide.

ne plage de ports

Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui perm

Danet l’interface dmz

Nom Port_fwd_NAT_VIP_port_range


Type NAT statique

External IP L’adresse IP Internet du serveur web. Address/Range Les adresses IP externes doivent être des adresses IP

statiques obtenues par votre FAI. Ces adresse

peuvent pas être identiques à l’adresse IP de l’intexterne que l’adresse IP virtuelle va utilisadresélepeuvent être sur des sous-rés

’adresse IP virtuelle, l’interface externe ré ARP pour les adresses IP externes.

Map to IP/IP Range Les adresses IP du serveplage en entrant la première adresse de cette plage da

xième premier champ et la dernière adresse dans le deuchamp.

Port forwarding Sélectionné

Protocole TCP

Illustration 139 : Options de l’adresse IP virtuelle : relayage de port de l’adresse IP virtuelle de translation à une plage d’adresses IP et u


4 liquez sur OK.

resse IP virtuelle de translation à une ègle pare-feu

wan1 vers dmz1 qui utilise l’IP virtuelle de manière à rs sur Internet tentent de se connecter aux adresses

e boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’IP virtuelle translate les adresses et ports de destination de ces paquets de l’IP externe vers les adresses IP du réseau DMZ des serveurs

1

2 Configurez la règle pare-feu :

e All (ou une adresse spécifique précise)

ACCEPT

4

Ajout d’une IP virtuelle d’équilibrage de charge à une plage d’adresses IP

L’adresse IP 192.168.37.4 sur Internet est translatée vers 10.10.123.42 à

s ordinateurs

C Ajouter un relayage de port d’une adplage d’adresses IP et une plage de ports à une r

Ajoutez une règle pare-feu dece que, lorsque des utilisateuIP du serveur, les paquets passent à travers l

web.

Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.

Source Interface/Zone wan1

Source Adress


Destination Adresse Port_fwd_NAT_VIP_port_range

Horaire always

Service HTTP

Action


Cliquez sur OK.

10.10.123.44 sur un réseau privé. La translation d’adresse IP est déterminée par l’algorithme de l’équilibrage de charge du boîtier FortiGate. Les tentatives de communication avec 192.168.37.4 d’Internet sont translatées et envoyées vers 0.10.10.42, 10.10.10.43 ou 10.10.10.44 par le boîtier FortiGate. Le1

sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur à 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé errière. d


Illustration 140 : Exemple d’IP virtuelle d’équilibrage de charge d’une plage d’adresses IP

Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP



3

et

par votre FAI pour votre serveur web. Cette adresse doit également être une adresse IP unique qui n’est pas utilisée

as être la même que l’adresse IP virtuelle va utiliser. Cependant,

a

Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet’interface dmz1 est connectée au réseau DMZ. lNom Load_Bal_VIP


Type Load Balance

External IP L’adresse IP Internet du serveur web.

Address/Range L’adresse IP externe doit être une adresse IP statique obtenue

par un autre hôte et ne peut pde l’interface externe que l’IP l’adresse IP externe doit être routée vers l’interface sélectionnée. L’adresse IP virtuelle et l’adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’IP virtuelle, l’interface externe répond aux requêtes ARP pour l’adresse IP externe.

Map to IP/IP Range L’adresse IP des serveurs sur le réseau interne. Définissez lplage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième champ.

Illustration 141 : Options de l’IP virtuelle : IP virtuelle d’équilibrage de charge

liq4 uez sur OK. C


Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP à une règle pare-feu

z une règle pare-feu utilise l’IP virtuelle de manière à ce e des utilisateu necter à l’adresse IP du

ts passe rface wan1 à e ces paquets de

s adresse

nez Pare-feu

2 Configurez la règle pawan1


IP

Horaire always

Service HTTP

Action ACCEPT


ez sur OK.

Ajout d’une IP vir layage de pod’adresses IP et une plage de ports

Les connexions vers 192.1 10.10.10.44 sur un réseaul’algorithme de l’équilibrag à 83 sur 192.168.37.4 sont translatés vers 8000 à 8003. Les ordinateurs sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur à 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé derrière. Illustration 142 : Exemple d’IP virtuelle relayage de ports équilibrage de charge à une plage d’adresses IP et une plage de ports

Ajoute wan1 vers dmz1 qui que, lorsqu rs sur Internet tentent de se conserveur, les paque nt à travers le boîtier FortiGate de l’intel’interface dmz1. L’IP virtuelle translate l’adresse de destination dl’IP externe vers le s IP du réseau DMZ des serveurs web.

1 Sélection > Règle et cliquez sur Créer Nouveau.

re-feu : Source Interface/Zone


Destination Adresse Load_Bal_V

4 Cliqu

tuelle re rt équilibrage de charge à une plage

68.37.4 sur Internet sont translatées vers 10.10.10.42 à privé. La translation d’adresse IP est déterminée par e de charge du boîtier FortiGate. Les ports 80

Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP



3 Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans


notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet et au réseau DMZ.

al_VIP_port_forward

xternal IP L’adresse IP Internet du serveur web. rne doit être une adresse IP statique obtenue

par votre FAI pour votre serveur web. Cette adresse doit esse IP unique qui n’est pas utilisée

et ne peut pas être la même que l’adresse IP face externe que l’IP virtuelle va utiliser. Cependant, IP externe doit être routée vers l’interface

irtuelle et l’adresse IP externe seaux différents. Lorsque vous

lle, l’interface externe répond aux requêtes ne.

Map to IP réseau interne. Définissez la mière adresse de cette plage dans le

premier champ et la dernière adresse dans le deuxième champ.

Port Forwarding Sélectionné.

our un

plage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième

l’interface dmz1 est connectéeNom Load_B


Type Load Balance

EAddress/Range L’adresse IP exte

également être une adrpar un autre hôtede l’interl’adressesélectionnée. L’adresse IP vpeuvent être sur des sous-réajoutez l’IP virtueARP pour l’adresse IP exter

/IP Range L’adresse IP des serveurs sur leplage en entrant la pre

Protocole TCP

Port externe Les ports que le trafic provenant d’Internet utiliseront. Pserveur web, il s’agit généralement du port 80.

Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la

champ. S’il n’y a qu’un port, laissez le deuxième champ vide.

Illustration 143 : Options de l’IP virtuelle : IP virtuelle d’équilibrage de charge

uez sur OK. 4 Cliq

jo our une plage d’adresses IP à une règle pare-feu

ecter à l’adresse IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’IP virtuelle translate l’adresse de destination de ces paquets de l’IP externe vers les adresses IP du réseau DMZ des serveurs web.


A uter une IP virtuelle d’équilibrage de charge p

Ajoutez une règle pare-feu wan1 vers dmz1 qui utilise l’IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se conn


2

adresse spécifique précise)

e/Zone dmz1

ort_forward

oraire always

Action


4 z sur OK.

Ajout d’IP virtuelles dynamiques

Ajouter une IP virtuelle dyndifférence est que l’adress ce

u’elle corresponde à n’im . Illustration 144 : Ajout d’une nouvelle translation d’IP virtuelle – le relayage de port dynamique

Configurez la règle pare-feu : Source Interface/Zone wan1

Source Adresse All (ou une

Destination Interfac

Destination Adresse Load_Bal_VIP_p

H

Service HTTP

ACCEPT

Clique

amique est similaire à l’ajout d’une IP virtuelle. La e IP Externe doit être définie sur 0.0.0.0 de manière à porte quelle adresse IPq

virtuelle dynamique Ajouter une IP

1 électionnez Pare-feu > IP virtuelle > IP virtuelle.


3 n nom pour l’IP virtuelle dynami

4 Sélectionnez l’Interface Externe de l’IP virtuelle dans la liste.

L’interface externe est connectée au réseau source et reçoit les paquets à réseau de de

Sélectionnez n’importe quelle interface pare-feu ou sous-interface VLAN.

5 Définissez l’Adresse IP Externe sur 0.0.0.0. Cela correspond à toute adresse IP.

6 Entrez le numéro du Port Externe pour lequel configurer le relayage de port dynamique.

Le numéro de port externe doit correspondre au port de destination des paquets à PPTP à

7 Entrez l’adresse Map to IP (ou Mapped IP Address) vers laquelle translater l’adresse IP externe. Par exemple, l’adresse IP d’un serveur PPTP sur un réseau interne.

S

Entrez u que.

transférer au stination.

transférer. Par exemple, si l’IP virtuelle fournit un accès PPTP au serveur travers l’Internet, le numéro du port externe devrait être 1723 (le port PPTP).


8 ntrez le numéro du Port Réel à ajouter aux paquets lors de leur transfert.

E rt n’est pas destiné à être slaté.

9 .

Plages IP

NA qui translatent les la lage IP au

cune répond est joutée.

ses pour se électionnée

e l’interface

Avec une plage IP ajoutée à l’interface interne, vous pouvez sélectionner une

plage IP à utiliser lors de la configuration d’une règle pare-feu. Une seule adresse IP est entrée normalement. Par exemple, 192.168.110.100 est une adresse de plage IP valide. Si une plage d’adresses IP est nécessaire, entrez l’un des formats suivants :

• x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120

• x.x.x.[x-x], par exemple 192.168.110.[100-120]

Plages IP et NAT dynamique

Vous pouvez utiliser des plages IP pour une NAT dynamique. Par exemple, une entreprise peut avoir acheté une plage d’adresses Internet mais n’a qu’une connexion Internet sur l’interface externe de son boîtier FortiGate. Affectez une des adresses IP Internet de l’entreprise à l’interface externe du boîtier FortiGate. Si le boîtier FortiGate fonctionne en mode NAT/Route, toutes les connexions du réseau vers Internet semblent venir de cette adresse IP. Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette plage d’adresses à une plage IP pour l’interface externe. Sélectionnez ensuite Pool d’adresses pour toutes les règles qui ont l’interface externe comme destination. Pour chaque connexion, le pare-feu sélectionne dynamiquement une adresse IP de la plage d’adresses qui servira d’adresse source à la connexion. Les connexions vers Internet semblent alors provenir de n’importe quelle adresse IP de la plage IP.

Plages IP pour les règles pare-feu utilisant des ports fixes

Certaines configurations réseaux ne fonctionnent pas correctement si une règle NAT translate le port source des paquets utilisés par la connexion. La NAT translate les ports sources pour garder une trace des connexions pour un service particulier. Sélectionnez Port Fixe pour les règles NAT dans le but d’empêcher la

E

nan

trez le même numéro que le Port Externe si le potr

Cliquez sur OK

Vous pouvez utiliser des plages IP pour ajouter des règles Tadresses sources en adresses sélectionnées arbitrairement dans plieu d’être limité à l’adresse IP de l’interface de destination. Une plage IP définit une adresse ou une plage d’adresses IP dont chaaux requêtes ARP sur l’interface à laquelle la plage IP a Lors de la configuration d’une règle pare-feu, cochez la case Pool d’adres translater l’adresse source de paquets sortants en une adres sarbitrairement dans la plage IP. Une liste de plages IP apparaît lorsqude destination de la règle est la même que l’interface de plage IP.

plage IP dynamique pour les règles avec l’interface interne comme destination. Vous pouvez ajouter des plages IP à n’importe quelle interface et sélectionné la


translation de port source. Cependant, la sélection de Port Fixe signifie qu’une seule connexion peut être supportée à travers le pare-feu pour ce service. Pour être capable de supporter des connexions multiples, ajoutez une plage IP à

dresses dans la règle. Le pa plage IP et l’affecte à chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut supporter est limité par le nombre d’adresses IP dans la plage IP.

Visualisationi les domaines virtuels sont activés sur le boîtier FortiGate, les plages IP sont

sélectionnez un domaine virtuel de la liste dans le menu principal. Les plages IP ne s en mode Tran

Pour visualiser la liste des IP. Illustration 145 : Liste de plages IP

l’interface de destination, et sélectionnez ensuite Pool d’are-feu sélectionne arbitrairement une adresse IP de la

des plages IP Scréées séparément pour chaque domaine virtuel. Pour accéder aux plages IP,

sont pas disponible sparent.

plages IP, sélectionnez Pare-feu > IP virtuelle > Plage

u

Nom Le nom de la plage IP.

Début de la plage Définit la première adresse de la plage IP.

Fin de la plage Définit la dernière adresse de la plage IP.

ône Supprimer Permet de retirer une entrée de la liste. Cette icône n’apparaît -feu.

rface,

Configuration des plages IP Pour ajouter une plage IP, Illustration 146 : Nouvelle P

Créer Nouvea Permet d’ajouter une plage IP.

Icque si la plage IP n’est pas reprise dans une règle pare

Icône Editer Permet d’éditer les informations suivantes : Nom, IntePlage IP/Réseau.

sélectionnez Pare-feu > IP virtuelle > Plage IP.

lage IP dynamique

Nom Entrez ou modifie la plage IP.

Interface électionnez l’interface à laquelle ajouter une plage IP.

ut inférieur à la fin. La plage IP ne doit pas

IP de l’interface à

z le nom de

S

Plage IP/Résea Entrez la plage d’adresses IP pour cette plage IP. La plage d’adresses IP définit le début et la fin de la plage IP. Le débde la plage doit être

u

forcément se trouver sur le même sous-réseau que l’adresse laquelle la plage IP est ajoutée.


Profil de Protection Cette section décrit comment ajouter des p tectNAT/Route et mode Transparent. Cette section couvre les sujets suivants :

• Qu’est-ce qu’un profil de protection ?

• Profil de protection par défaut

• Visualisation de la liste des profils de p

• Configuration d’un profil de protection

• Ajout d’un profil de protection à une rè

• Configuration CLI d’un profil de protec

Qu’est-ce qu ecUn profil de protection est un groupe de paramètres ajustables pour parvenir à un but particulier. Les profils de protection appliquant différents paramètres de protection aux trafics contrôlés par les règles pare-feu, vous pouvez adapter les

ation de profils de protection permet de :

• configurer une protection antivirus aux règles HTTP, FTP, IMAP, POP3, SMTP et IM.

filtrage d

r un filtrage p

• configurer un filtrage a

• activer l’IPS pour tous

• configurer un archivag s règles HTTP, FTP, IMAP, POP3, SMTP et IM.

• configurer un filtrage Iinstantanées AIM, ICQ

peer-to-peer Bit Torre

• configurer les profils de p

Grâce à l’utilisation de prof et niveaux de protection pou règles pare-feu.

Par exemple, alors que le e et externe nécessitent probablement une protectioconfiance nécessitent quaconfigurer des règles pourprofils de protection identiq

rofils de pro ion aux règles en mode

rotection

gle

tion

’un profil de prot tion?

paramètres au type de trafic que chaque règle contrôle. L’utilis

• configurer un e contenu web pour les règles HTTP.

• configure ar catégorie du contenu web pour les règles HTTP.

nti-spam pour les règles IMAP, POP3 et SMTP.

les services.

e de contenu pour le

M et un contrôle d’accès pour les messageries , MSN et Yahoo.

• configurer un contrôle d’accès et de la bande passante P2P pour les clients nt, eDonkey, Gnutella, Kazaa, Skype et WinNY.

rotection à journaliser.

ils de protection, vous pouvez personnaliser les typesr les différentes

trafic entre les adresses internn stricte, le trafic entre des adresses internes de

nt à lui une protection modérée. Il est conseillé de des services de trafics différents qui utiliseront des ues ou différents.


Si les domaine nt activés sur le boîtier FortiGate, les profils s virtuels so de rés s domaines

accéder aux nfiguration u > Pro

Profils de protectQuatre profils de protectio Strict

il

nt une

Scan Applique une analyse antivirus et une mise en quarantaine de fichiers du contenu du trafic HTTP, FTP, IMAP, POP3 et SMTP. Sur les modèles FortiGate muni d’un disque dur, lorsque l’analyse antivirus détecte un virus dans un fichier, ce dernier est mis en quarantaine sur le disque dur du boîtier FortiGate. Si nécessaire, les fichiers placés en quarantaine peuvent être récupérés.

Web Applique une analyse antivirus et un blocage du contenu web.

Vous pouvez ajouter ce profil de protection aux règles pare-feu qui contrôlent le trafic HTTP.

Unfiltered (Non-filtré) N’applique ni analyse, ni blocage, ni IPS. A utiliser dans le cas

où aucune protection du contenu du trafic n’est souhaitée. Vous pouvez ajouter ce profil de protection aux règles pare-feu pour les connexions entre des réseaux hautement fiables et sécurisés dont le contenu ne nécessite pas d’être protégé.

Visualisation de la liste des profils de protection Pour visualiser la liste des profils de protection, sélectionnez Pare-feu > Profil de protection. Illustration 147 : Profils de protection par défaut

protection sont configu globalement et sont disponibles pour tous levirtuels. Pour profils de protection, sélectionnez CoGlobale > Pare-fe fil de protection.

ion par défaut n sont pré-configurés:

Applique une protection maximum pour le trafic HTTP, FTP, IMAP, POP3 et SMTP. Vous n’utiliserez probablement pas ceprofil rigoureux de protection en circonstances normales maisest disponible en cas de problème de virus nécessitaanalyse maximum.

Créer Nouveau Permet d’ajouter un profil de protection.

Nom Le nom du profil de protection.

Icône Supprimer Permet de retirer un profil de protection de la liste. Cette icône apparaît uniquement si le profil n’est pas repris dans une règle pare-feu.

Icône Editer Permet de modifier un profil de protection.

Remarque : Un profil de protection ne peut pas être supprimé s’il est repris dans une règle pare-feu ou compris dans un groupe d’utilisateurs.


Configuration d’un profil de protection de protection par défaut ne fournissent pas les

sés.

Pour ajouter un profil de protection, sélectionnez Pare-feu > Profil de protection et cliquez sur Créer Nouveau. Illustration 148 : Nouveau profil de protection

Dans le cas où les profilsparamètres requis, vous pouvez créer des profils de protection personnali

Nom du profil Entrez un nom au profil de protection.

Comments Si nécessaire, entrez une description au profil.

Antivirus Voir « Options Antivirus » à la page 282.

iltrage Web Voir « Options du filtrage Web » à la page 283.

» à la page 285.

« Op i-spam » à la page 286.

« Op

IM & P2P Voir « Op

Logging Voir « Op

F

FortiGuard-Web Filtering Voir « Options du filtrage Web FortiGuard

Filtrage antispam Voir tions du filtrage ant

IPS Voir « Options IPS » à la page 289.

Archiver le contenu Voir tions des archives de contenu » à la page 289.

tions IM et P2P » à la page 290.

tions de la journalisation » à la page 291.

Remarque : Si les fonctionnali s Scan et File Block sont toutes deux activées, letés Viru e les fichiers corre antivirus.

boîtier FortiGate bloqu espondant aux types de fichiers activés avant de procéder à une analys


Options Antivirus

Illustration 149 : Options antivirus du profil de protection

Remarque : Les options NNTP ne peudans une version ultérieure. Les options antivirus suivantes son Détection de virus Activez ou désactivez l’analyse de virus pour chaque protocole

(HTTP, FTP, IMAP, POP3, SMTP, IM). L’option Grayware, si activée dans Antivirus > Config > Grayware, est comprise avec l’Analyse de virus. Notez que le mode continu est activé automatiquement lorsque vous activez l’analyse de virus.

File Pattern Activez ou désactivez l’option « file pattern » pour chaque protocole. Les fichiers peuvent être bloqués ou autorisés en fonction de leur nom, leur extension ou tout autre critère. Ce processus offre la flexibilité de bloquer des fichiers qui contiendraient des éléments nuisibles.

Liste déroulante de File Pattern : Sélectionnez la liste File Pattern à utiliser avec ce profil de protection. La liste par défaut est appelée « built-in-patterns ». Seuls les modèles FortiGate-800 et plus sont munis de cette liste.

uarantaine Activez ou désactivez l’option de mise en quarantaine pour k requis) chaque protocole. Vous pouvez visualiser les fichiers suspects

placés en quarantaine ou les soumettre à Fortinet pour analyse. Cette option n’est pas affichée si le boîtier FortiGate ne possède pas de disque dur ou un équipement FortiAnalyzer configuré.

Transmettre les mails Activez ou désactivez les emails fragmentés pour les fragmentés protocoles de mail (IMAP, POP3, SMTP). Les mails

fragmentés ne peuvent pas subir une analyse virus.

Comfort Clients Activez ou désactivez cette option pour les trafics HTTP et FTP. Cette option fournit le statut des fichiers mis en réserve (buffer) pour téléchargement via HTTP u FTP. Les utilisateurs peuvent observer les pages web ou fichiers en cours de téléchargement. Si désactivée, les utilisateurs n’ont aucune

peuvent annuler l

Interval

vent pas être sélectionnées. Le support sera ajouté

t disponibles dans les profils de protection.

Q(log dis

o

indication quant à la mise en réserve du téléchargement et e transfert pensant qu’il a échoué.

Le temps en secondes avant que l’option Comfort Client démarre après que le téléchargement ait commencé. Il s’agit


également du temps entre des intervalles prochains.

Le nombre d’octets envoyés à chaque intervalle.

smettre ou Bloquer pour les fichiersxcédant les seuils configurés po

Amount

Fichier/Mail dépassant Sélectionnez Tran taille limite et les messages mails e ur

chaque protocole.

du is

imite.

ence à la taille finale du mail après encodage du mail client,

s taille

binaires en 4 octets de données en base64.

octets plus petite que la taille limite configurée dans le seuil.

Ajout d’une signature Permet de créer et d’ajouter une signature aux mails sortants aux mails sortants (SMTP uniquement).

Voir « Antivirus » à la page 337 pour des options antivirus supplémentaires.

Options du filtrage Web

Illustration 150 : Options de filtrage

la

Threshold Si le fichier est plus grand que la valeurseuil (en mégaoctets), le fichier est transmou bloqué, selon ce qui a été défini dans l’option Fichier/Mail dépassant la taille lLe seuil maximum pour l’analyse en mémoire est 10% de la RAM du boîtier FortiGate.

Remarque : Pour l’analyse de mails, le seuil de taille limite fait référ

y compris les pièces jointes. Les mails clients peuvent utiliser une variété de typed’encodage dont certains translatent enplus grande que la taille de la pièce jointe originale. L’encodage le plus commun, base64, translate 3 octets de données

Dès lors un fichier peut être bloqué ou journalisé comme trop grand même si la pièce jointe est de quelques méga

Web du profil de protection

Les options de filtrage Web suivantes sont disponibles dans les profils de protection. Filtrage Web par Activez omots clefs HTTP ba e

de bloca

Liste déroulante de blocage de contenu : Permet de sélectionner une liste de blocage de contenu à utiliser avec ce

u désactivez le blocage de pages web pour le trafic sé sur les critères de blocage de contenu dans la listge de contenu.


profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection.

Thresho : Si les résultats combinés des critères de blocage de contenu apparaissant sur une page web excèdent la valeur du seuil, la page sera bloquée. Voir « Visualisation de la liste de blocage de contenu web » à la page 369.

Web Content Exempt Activez ou désactivez l’override (l’ignorance) du blocage de contenu web basé sur des critères de dispense de contenu dans la liste de contenu dispensé.

Liste déroulante de contenu web dispensé : Sélectionnez une liste de contenu dispensé à utiliser avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection.

Web URL Filter Activez oHTTP ba

Liste désélection web à utiliser avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent ce

ActiveX Filter Permet d ctiveX.

Cookie Filter Permet d’activer le blocage de cookies.

Java Applet Filter Permet d’activer le blocage des Applets Java.

téléchargement involontaire de virus cachés dans des fichiers fragmentés. Notez que certains types de fichiers, comme PDF,

ment.

typ

Voir « Filtrage Web » à la page 366 pour des options supplémentaires de configuration de filtrage web.

ld

u désactivez un filtrage de page web pour le trafic sé sur une liste d’URL.

roulante de filtre d’URL web : Permet de ner une liste de filtre d’URL

tte sélection.

’activer le blocage de contrôle A

Ne pas reprendre les Permet de bloquer les transferts de partie d’un fichier transferts Web en cours déjà partiellement téléchargé. Cette option empêche le

sont fragmentés pour augmenter la vitesse de téléchargeL’activation de cette option pourrait donc entraîner des interruptions dans le téléchargement de ces es de fichier.


Options du filtrage FortiGuard-Web u profil de protection Illustration 151 : Options de filtrage FortiGuard-Web d

Activer FortiGuard-Web Filtering Active le blocage par catégorie (HTTP seulement) FortiGuard-WebTM. Activer FortiGuard-Web Filtering Active l’override (l’ignorance) de catégories. Une fois Overrides (HTTP uniquement) sélectionnée, une liste de groupes est affichée. Si

de la liste override » à la page 379 et

« Groupe d’utilisateurs » à la page 330.

(HTTP uniquement) liser

L (les images bloquées seront remplacées par des blancs) (HTTP uniquement)

Autoriser les sites web lors d’une erreur d’évaluation filtrage web.

Blocage strict Lorsque cette option est activée, l’accès au site web

aucun groupe n’est disponible, l’option est grisée. Pour plus d’informations sur les overrides, voir « Visualisation« Configuration de règles d’ignorance » à la page 380. Pour plus d’informations sur les groupes, voir

Fournir les détails pour les Affiche un message de remplacement pour les erreurs bloquées HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si l’erreur est

autorisée, des sites malintentionnés peuvent utices pages d’erreurs pour passer outre le blocage par catégorie web.

Evaluer les images par UR Bloque les images qui ont été évaluées par

FortiGuard. Les images bloquées sont remplacées sur les pages web par des blancs. Les types d’image qui sont évalués sont GIF, JPEG,PNG, BMP et TIFF.

Autorise les pages web qui renvoient une erreur d’évaluation du service de

(HTTP uniquement)


(HTTP uniquement) est rejeté si l’une des classifications ou catégcorrespond à l’évaluation du site. Lorsque cette

ories

option est désactivée, l’accès au site web est accepté si l’une des classifications ou catégories correspond à la liste autorisée. Ceci est définit par défaut.

Evaluer les URL par Lorsque cette option est activée, elle envoie l’URL et domaines et adresses IP l’adresse IP du site requis pour contrôle, fournissant

ainsi une sécurité additionnelle contre les tentatives

Catégorie ortiGuard-Web

es du trafic web. Définissez les actions à prendre pour les pages web de chaque catégorie : autorise, bloque, journalise ou autorise l’override.

Classification Les classifications bloquent des classes entières de

sites web. Des sites qui fournissent des contenus

ifiés sont également évalués dans l’une des catégories ou ne

oisissez entre autorise, bloque, journalise ou autorise l’override.

Voir « Filtrage Web FortiGuard» à la page 378 pour plus d’options de configuration du blocage de catégories.

Options du filtrage antispam

Illustration 152 : Options du filtrage antispam du profil de protection

de contournements du système FortiGuard.

Le service de filtrage de contenu Foffre de nombreuses catégories de filtrag

cachés, comme Google par exemple, peuvent être bloqués. Des sites web qui autorisent des recherches d’images, d’audio ou de vidéos peuvent également être bloqués. Des sites web qui sont class

sont pas évalués. Ch

Remarque : Les options NNTP ne peuvdans une version ultérieure. Les options de filtrage antispam suivantes sont disponibles dans les profils de protection.

xtrait

ent pas être sélectionnées. Un support sera ajouté

FortiGuard Anti-spam Vérification de Activez ou désactivez la liste noire l’adresse IP d’adresses IP du filtrage FortiGuard-

AntispamTM. Le FortiGuard-Antispam e


l’adresse source du serveur mail SMTenvoie l’adresse IP vFortiGuard-Antispam p

P et ers un serveur

our la comparer à la liste des spammers connus. Si l’adresse IP est trouvée FortiGuard-Antispam met fin à la session. Si l’adresse IP n’est pas trouvée le serveur mail envoie le mail à son destinataire. Voir « Service FortiGuard-Antispam » à la page 185 pour plus

service.

URL check Activez ou désactivez la liste noire URL du filtrage FortiGuard-AntispamTM. Le corps de messages mails sont filtrés pour en extraire tout lien URL. Ces liens URL sont envoyés vers un serveur FortiGuard-Antispam pour comparaison avec ses listes. Des messages spam contiennent souvent des liens URL vers des sites publicitaires. S’il y a une correspondance d’URL, le FortiGuard-Antispam met fin à la session. S’il n’y a pas de correspondance, le serveur mail envoie le mail à son destinataire. Voir « Service FortiGuard-Antispam » à la page 185 pour plus d’informations sur ce service.

Vérification Email Activez ou désactivez la liste noire de Checksum somme de vérification (checksum) de

messages mails FortiGuard-Antispam. Lorsque cette option est activée, ce filtre calcule la somme de vérification d’un message mail et l’envoie aux serveurs

somme de vérification fait partie de la liste. Le boîtier FortiGate transfère ensuite ou marque/bloque le message mail en fonction de la réponse

Spam que cette

voient ajoute rps du

ssage. Si n , cliquez le

message pou uard. Filtrage par liste d’adresses IP Activez ou désactivez le contrôle des adresses IP

entrantes en fonction de la liste d’adresses IP du filtre nfiguré (S

ulante de fIP : Permet de sélectionn e

à utilise Seuls les modèles Fo offrent cette sélection.

HELO DNS lookup Activez ou désactivez la recherche du nom du

e (com ain Name Server.

Filtrage par liste d’adresses mail :Activez ou ail entrants avec la

Liste déroulante de f e d’adresses

ectio ire ses mail à utilis n.

d’informations sur ce

FortiGuard afin de déterminer si cette

du serveur.

submission Lors option est activée, tous lesmessages mails définis comme spam se

r un lien dans le come le message mail n’est pas uspam simplement sur le lien dans

r en informer FortiG

antispam co MTP uniquement). Liste déro iltrage par liste d’adresses

er une liste blanche/noird’adresses IP r avec ce profil de protection.

rtiGate-800 et plus

domaine sourc mande SMTP HELO) dans leDom

désactivez le filtrage d’adresses mliste d’adresses mail du filtre antispam configuré.

iltrage par listmail : Permet de sél nner une liste blanche/nod’adres er avec ce profil de protectio


Seuls les modèles FortiGate-800 et plus offrent cette sélection.

mail DNS check e ns

(Répondre à) et From Address (A partir de l’adresse) possède un enregistrement DNS A ou MX.

Filtrage par mots clefs Activez ou désactivez le filtrage de mail source en

fonction d’une liste de mots-clés du filtre antispam

Liste déroulante de filtrage par mots clefs : Permet e mots-clés à utiliser avec

ion. Seuls les modèles FortiGate- cette sélection.

Threshold Si les résultats combinés des critères de mots-clés apparaissant dans un message mail excèdent la valeur du seuil, le message sera traité selon les paramètres définis dans Spam Action.

antispam. L’action Tag vous permet d’ajouter une balise personnalisée à un sujet ou un en-tête de mail identifié comme spam. Pour le trafic SMTP, si l’analyse de virus ou le mode continu est activé, vous ne pourrez que rejeter les mails spams, ces connexions étant alors abandonnées. (Notez que le mode continu est activé automatiquement lorsque l’analyse de virus est activée). Sans mode continu ou

Vous pouvez baliser les mails en insérant un mot ou une phrase dans le sujet ou en ajoutant un en-tête MIME et une valeur dans l’en-tête du mail. Vous pouvez choisir de journaliser toute action spam dans

Permet d’insérer une balise au sujet ou en-tête MIME du mail identifié comme spam.

Tag Entrez un mot ou une phrase (tag/balise) à insérer au

mail identifié comme spam. La longueur maximum étant de 63 caractères.

Return e- Activez ou désactivez cette option qui contrôle si ldomaine spécifié da les champs Reply to

configuré.

de sélectionner une liste dce profil de protect800 et plus offrent

Voir « Visualisation de la liste des mots bannis antispam » à la page 390.

Action antispam Définit les actions mises en vigueur par le filtre

analyse de virus activé, vous pouvez choisir entrebaliser ou rejeter les spams SMTP.

le Journal d’événements.

Insertion

Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en fonction de leur en-tête MIME. Contrôlez les paramètres de votre mail client avant de définir comment baliser les spams. Voir « Antispam » à la page 386 pour plus d’options de configuration de filtre antispam. Pour configurer le service FortiGuard-Antispam, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.


Options IPS

Illustration 153 : Options IPS du profil de protection

Les options suivantes sont disponibles pour l’IPS à travers le profil de protection. IPS Signature Sélectionnez un ou plusieurs niveaux de sévérité des

signatures IPS pour ce profil : Critical, High, Medium, Low et es avec niveau de sévérité qui n’ont

és ne sont pas enclenchées.

IPS z un ou plusieurs niveaux de sévérité d’anomalie pour ce profil : Critical, High, Medium, Low et Information. Les anomalies avec niveau de sévérité qui n’ont pas été sélectionnées ne sont pas enclenchées.

Voir ontre les intrusions » à la page 352 pour des options de

.

Options des arch

profil de protection

Information. Les signaturpas été sélectionn

Anomaly Sélectionne

« Protection cconfiguration IPS supplémentaires

ives de contenu

Pour accéder à toutes les options des archives de contenu, un équipement FortiAnalyzer doit être configuré et une connexion activée. Pour plus d’informations, voir « Journalisation sur un boîtier FortiAnalyzer » à la page 411. Illustration 154 : Options des archives de contenu du

Remarque : Les options NNTP et d’archivage de fichiers ne peuvent pas être sélectionnés. n support sera ajouté dans une version ultérieure.

Les options suivantes sont disponibles pour l’archivage de contenu à travers le profil de protection.

fficher les meta-informations Permet d’avoir des meta-informations pour chaque

t

U

Adans le tableau de bord Système types de trafic qui s’affichent dans la section Content

Summary de la page Statut du boîtier FortiGate. Visualiser les statistiques pour les trafics HTTP, FTP emessages mails (IMAP, POP3 et SMTP combinés).

Archive to FortiAnalyzer Activez ou désactivez l’archivage sur un équipement FortiAnalyzer de meta-informations sur le contenu pour chaque protocole. Les meta-informations sur le contenu


peuvent comprendre la date et l’heure, la source et le résultat de l’analyse. L’archivage de contenu n’est disponible que si un équipement FortiAnalyzer est activé dans Journaux/Alertes > Configuration >

t

re, les informations sur la

a

équipement FortiAnalyzer. L’archivage de contenu n’est disponible que si le FortiAnalyzer est activé dans Journaux/Alertes > Configuration > Configuration du Journal.

Remarque : Vous devez activer les options IM dans la section IM et P2P du profil de protection pour un archivage de contenu opérationnel.

Archive a copy of all files Activez ou désactivez l’archivage de copies transferred de fichiers transférés.

Remarque : Vous devez activer les options IM dans la

Options IM et P2P

Configuration du Journal.

Archive a copy of all files Activez ou désactivez l’archivage de copies transferred de fichiers téléchargés.

Log emails to FortiAnalyzer Permet de sauvegarder une copie de tous les messages mails sur un équipement FortiAnalyzer.

Archive IM to FortiAnalyzer Activez ou désactivez des informations condensées dejournalisation pour les protocoles IM: AIM, ICQ, MSN eYahoo. Des informations condensées peuvent comprendre la date et l’heusource et la destination, la taille de la requête et de la réponse et le résultat de l’analyse.

Remarque : Vous devez activer les options IM dans lsection IM & P2P du profil de protection pour un archivage de contenu opérationnel.

Archive full IM chat information to FortiAnalyzer Activez ou désactivez l’archivage de l’entièreté des chats pour le protocole IM sur un

section IM & P2P du profil de protection pour un archivage de contenu opérationnel.

Illustration 155 : Options IM et P2P pour un profil de protection

Les options suivantes d’archivage de contenu sont disponibles dans les profils de protection. Bloquer la connexion Empêche les utilisateurs de messageries

instantanées de se connecter aux services AIM, ICQ, MSN et Yahoo.

Bloquer le transfert de fichiers Bloque les transferts de fichiers pour les protocoles AIM, ICQ, MSN et Yahoo.


Bloquer l’audio Bloque l’audio pour les protocoles AIM, ICQ, MSN et Yahoo.

Inspecter les ports non standard Active l’inspection de ports non standard pour le trafic

Action ans rts

pe lim tés.

Limite (Koctets/sec) Spécifiez une limite de bande passante pour les

que des utilisateurs sont connectés, ne prendront effet qu’à leur prochaine connexion.

emple, ne peut pas être utilisé pour n en cours.

Options de la journa

IM.

Transfère, bloque ou évalue une limite des tr feP2P pour les protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY. Les transferts Skypeuvent être transférés ou bloqués, mais pas i

protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY si l’action est définie sur Limitation de Bande Passante.

Les changements apportés aux options des profils de protection IM, alors

Activer le blocage de connexion, par exdéconnecter les utilisateurs qui ont une connexio Voir « IM/P2P » à la page 403 pour des options de configuration IM supplémentaires.

lisation

Illustration 156 : Options de connexion du profil de protection

Les options de journalisation suivantes sont disponibles dans les profils de protection. Antivirus Virus Active la journalisation de virus

scannés.

Fichiers bloqués Active la journalisation de fichiers bloqués.

Fichiers/Emails Active la journalisation de surdimensionnés fichiers et messages mails

surdimensionnés.

Filtrage Web Blocage de contenu Active la journalisation du blocage de contenu.


Filtrage d’URL Active la journalisation d’URL bloquées et exemptées.

Filtrer les ActiveX Active la journalisation des ActiveX bloqués.

Filtrer les Cookies Active la journalisation des cookies bloqués.

Filtrer les Applets Active la journalisation des Java Applets Java bloqués.

FortiGuard Web Filtering Erreurs d’évaluation Active la (HTTP uniquement) journalisation des erreurs

d’évaluation.

Filtrage Antispam Log Spam Active la journalisation des s.

S Journaliser les intrusions Active la journalisation des intrusions de signatures et anomalies.

IM / P2P Journaliser l’activité IM Active la journalisation de l’activité IM.

Journaliser l’activité p2p Active la journalisation de l’activité P2P.

Pour plus d’informations à pla page 409.

Ajout d’un profil de protection à une règle Vous pouvez activer un profest définie sur Allow ou IPSe , IMAP, POP3, SMTP ou un g s comprenant ces services. Si les domaines virtuels sonprotection doivent être ajout

ne règle, sél

1 e-feu >

2 Sélectionnez une liste d n profil de protection. Par ctiver un

par les utilisateurs internExterne.

3 Cliquez sur Créer Nouved’une règle à modifier.

4 Sélectionnez Profil de p

5 Sélectionnez un des profils de protection de la liste.

6 Configurez les autres pa m

7 Cliquez sur OK.

8 Répétez cette procédure o ne protection réseau.

spams détecté

IP

ropos de la journalisation, voir « Journaux/Alertes » à

il de protection pour les règles pare-feu dont l’action c et dont le service est défini sur ANY, HTTP, FTProupe de service

t activés sur le boîtier FortiGate, les profils de és aux règles dans chaque domaine virtuel. Pour

accéder à u ectionnez un domaine virtuel dans le menu principal.

Sélectionnez Par Règle.

e règles à laquelle ajouter uexemple, pour a e protection réseau sur les fichiers téléchargés d’Internet

es du réseau, sélectionnez une liste de règles Interne >

au pour ajouter une règle ou cliquez sur l’icône Editer

rotection.

ra ètres de la règle si nécessaire.

p ur toutes les règles pour lesquelles il faut activer u


Configuration CLI d’un profil de protection

Remarque : Pour des descriptions et exemples complets sur l’utilisation de commandes s au FortiG

Config firewall profile

La commande CLI confou de supprimer des proparamètres de protectio .

CLI, référez-vou ate CLI Reference.

ig firewall profile vous permet d’ajouter, d’éditer fils de protection. Les profils de protection appliquent des n différents pour le trafic contrôlé par les règles pare-feu


VPN IPSEC Cette section couvre les info(mode interface) VPN IPSec eb. Les boîtiers FortiGate implémPauload) en mode tunnel. Leordinaires qui peuvent être r t Key Exchange) s’effectue aucertificats digitaux X.509. Famanuelles. Le mode interfac e la crée une interface virtuelle pour la fin lo Cette section parcourt les su

• Aperçu du mode interfac

• Auto Key

• Clé Manuelle

• Tunnels actifs

Aperçu du mode interface IPSdéfinition d’un

interface virtuelle IPSecIKE générées automatiquement ou des clés manuelles, l’interface virtuelle IPSec est créée comme une sous-interface d’une interface physique FortiGate locale, agrégée ou VLAN sélectionnée lors de la définition des paramètres de la phase 1

rmations sur les options des modes tunnel et route disponibles à partir de l’interface d’administration wentent le protocole ESP (Encapsulated Security s paquets cryptés ressemblent à des paquets

outés à travers n’importe quel réseau IP. IKE (Internetomatiquement en fonction des clés partagées ou de cultativement, vous pouvez spécifier des clés e est uniqu ment supporté en mode NAT/Route. Ce

cale d’un tunnel VPN.

jets suivants :

e IPSec

ec Lors de la tunnel IPSec en mode route (mode interface), une

est créée automatiquement. Peu importe d’avoir des clés

IPSec. L’adresse IP de l’interface physique locale, agrégée ou VLAN est obtenue sur Système > Réseau > Interface.

Remarque : Il est possible de lier une interface IPSec à une zone.

e st pas

e liens des interfaces virtuelles IPSec sont affichés sur la page Système >

Réseau > Interface. Les noms de tous les tunnels liés aux interfaces physiques us l’interfa

e Interface, voir

Après qu’une interface virtrouté vers l’interface utilisa routes statiques et de règles. De plus, vous pouve elle IPSec comme interface source Lorsque le trafic IP provenant de derrière le boîtier FortiGate local arrive à une interface FortiGate de sortie amode interface IPSec est activ l et transféré à travers l’interfacliée. Lorsque le trafic encapsulFortiGate locale, le boîtier FortiGate détermine si une interface virtuelle IPSec est

Une interface virtuelle IPSec est considérée comme active (up) lorsqu’elle peut établir une connexion phase 1 avec un client ou paire VPN. Cependant, l’interfacirtuelle IPSec ne peut pas être utilisée pour envoyer du trafic tant qu’elle n’ev

liée à une définition de tunnel phase 2.

L s

sont affichés so ce physique associée dans la colonne Nom. Pour plus d’informations sur la pag « Interface » à la page 61.

uelle IPSec ait été liée à un tunnel, le trafic peut être nt des métriques spécifiques pour les

z créer une règle pare-feu ayant l’interface virtu ou de destination.

gissant comme sortie locale du tunnel IPSec (si le é sur l’interface), le trafic est encapsulé par le tunne

e physique à laquelle l’interface virtuelle IPSec est é d’un client distant atteint une interface physique


associée à l’interface phys correspond aux sélecteurs et transféré vers l’interface

Pour les flux en sortie, le b te exécute une recherche de route pour trouver l’interface à travers dre le routeur du prochain saut. S le liée à un tunnel VPN spécifique, le trafic ePour les flux en entrée, le boîtier FortiGate identifie un tunnel VPN en utilisant l’adresse IP de destination et le SPI (Security Parameter Index) du datagramme ESP pour identifier la SA (security association) de la phase 2 correspondante. Si une SA correspondante est trouvée, le datagramme est décrypté et le trafic IP associé est redirigé à trave La règle pare-feu associée tout le trafic passant entre les vous pouvez configurer plu ieuentrant et/ou sortant du tunécessaires pour supporter le travers un tunnel IPSec en mode route : l’un pour con lel’intérieur. Les VPN en mode route siVPN. Vous pouvez configurer une rout pour le même trafic IP utilisant des métriques de routes différed’informations de routage dyna IP, ISPF ou BGP) à travers des tunnels VPN. Si la connexion primpar un routage dynamique voyer le trafic en utilisant une conn

Auto Key Deux paires VPN (ou un s econfigurés pour générer des c ernet Key Exchange) automatiquement durant le

rer le boîtier Fment en phas

Lors de la définition des pa 2, vous pouvez choisir n’importe q e en place une connexion sécuri nce. La configuration Auto Key s’ap aux VPN en modes tunnel et interface.

ique à travers des sélecteurs dans le trafic. Si le trafic prédéfinis, il est encapsulé

virtuelle IPSec.

oîtier FortiGa laquelle il doit transférer le trafic en vue d’atteini la route trouvée passe par une interface virtuel

st crypté et envoyé à travers le tunnel VPN.

rs l’interface virtuelle IPSec.

à un chemin spécifique est responsable du contrôle deadresses source et de destination. Si nécessaire,

s rs règles pare-feu pour réguler le flux du trafic nnel VPN en mode route. Deux règles pare-feu sont

trafic bidirectionnel à trô r le trafic vers l’extérieur et l’autre pour le trafic vers

mplifient l’implémentation de la redondance de tunnel e

ntes. Vous pouvez également configurer l’échange mique (R

aire VPN échoue ou la priorité d’une route est modifiée , une route alternative sera sélectionnée pour enexion redondante.

erv ur dialup FortiGate et un client VPN) peuvent être lés uniques IKE (Int

s échanges IPSec en phases 1 et 2.

ortiGate pour qu’il génère des clés uniques Pour configuautomatique es 1 et 2, sélectionnez VPN > IPSEC > Auto Key (IKE).

ramètres de création du tunnel en phaseuel ensemble de paramètres de la phase 1 pour mettr

sée pour le tunnel et authentifier le paire à dista

plique


Illustration 157 : Liste Auto Key

Créer Phase 1 n

hase 2 n

Phase 1

Phase 2

Interface Binding ou

Icônes Supprimer et Editer

Création d’une nouvelle configuration

En phase 1, deux paires V up ortiGate et un client VPN) s’authentifient l’un l’autre ecommunication sécurisé e associent les paramètres ddéterminent :

• si les paramètres varié iples avec des informationsavec des informationsagressif).

• si une clé partagée ou d thentifier les identités des deux paires VPN (ou un serveur VPN et ses clients).

• si un identificateur spécial, un certificat « distinguished name », ou un nom de groupe seront utilisés pour identifier le paire ou client VPN à distance lors d’une tentative de connexion.

Pour définir les paramètreIPSEC > Auto Key (IKE) se 1.

Créer une nouvelle configuration phase 1. Voir « Créatiod’une nouvelle configuration phase 1 » à la page 296.

Créer P Créer une nouvelle configuration phase 2. Voir « Créatiod’une nouvelle configuration phase 2 » à la page 302.

Les noms des configurations phase 1 existantes.

Les noms des configurations tunnel phase 2 existantes.

Les noms des interfaces physiques locales, agrégées VLAN auxquelles les tunnels IPSec sont liés.

Supprime ou édite une configuration phase 1.

phase 1

PN (ou un serveur dial Ft échangent des clés pour établir un canal de

ntre eux. Les paramètres de base de la phase 1e la phase 1 avec une passerelle à distance et

s de la phase 1 seront échangés en étapes mult d’authentification cryptées ou en un message unique d’authentification qui ne sont pas cryptées (mode

es certificats digitaux seront utilisés pour au

s de base de la phase 1 IPSec, sélectionnez VPN > et cliquez sur Créer Pha


Illustration 158 : Nouvelle Phase 1

Nom Entrez un nom qui représente la définition de la phase 1. La

longueur maximum du nom est de 15 caractères pour un VPN en mode interface, 35 caractères pour un VPN basé sur une règle. Le nom des VPN en mode tunnel devrait faire référencl’origine de la

e à connexion à distance. Dans le cas d’un tunnel en

mode route (mode interface), le boîtier FortiGate utilise ce même

ture de la connexion à distance :

t un paire à distance avec une adresse IP statique qui nectera au boîtier FortiGate, sélectionnez Adresse IP

Statique.

• Si ce sont un ou plusieurs utilisateurs dialup FortiClientTM/FortiGate avec des adresses IP dynamiques qui se connecteront au boîtier FortiGate, sélectionnez Utilisateur Dialup.

• Si c’est un paire à distance qui possède un nom de domaine

IP Si du

Dynamique DNS Sido

Interface locale Cette option est disponible en mode NAT/Route uniquement. Sélectionnez l’interface physique, agrégée ou VLAN à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient l’adresse IP de l’interface sur Système > Réseau > Interface (voir « Interface » à la page 61) à moins que vous spécifiez une adresse IP différente

serelle IP locale dans les options avancées « Passerelle IP locale » à la page 300).

• En mode Agressif, les paramètres de la phase 1 sont ations

sse uthentifié via un identifiant (ID

nom pour l’interface virtuelle IPSec qu’il crée automatiquement.

Passerelle Sélectionnez la na

• Si c’esse con

et souscrit à un service dynamique DNS qui se connectera au boîtier FortiGate, sélectionnez Dynamique DNS.

Adresse vous avez sélectionné Adresse IP Statique, entrez l’adresse IP paire à distance.

vous avez sélectionné Dynamique DNS, entrez le nom de maine du paire à distance.

dans le champ Pasde la Phase 1 (voir

Mode Sélectionnez Aggressive ou Main, en fonction des paramètres des Options de Connexion ci-dessous.

• En mode Main, les paramètres de la phase 1 sont échangés en étapes multiples avec des informations d’authentification cryptées.

échangés via un message unique avec des informd’authentification non cryptées.

Lorsque le client ou paire VPN à distance possède une adreIP dynamique, ou qu’il sera a


local), vous devez sélectionner le mode Agressif s’il y a plus ialup pour l’adresse IP de

l’interface.

Méthode Sélectionnez Clef partagée ou Signature RSA.

Clef partagée Siqu s du pa s de la ême valeur au client ou paire di mables et ne prconstituer d ues ch

Nom du certificat Dans le sissez le m lisera pour s’penda le certi ertificate Management U G

Options de connexion Une o uivantes sont disponibles pour l’authentification des paires ou clients VPN, en fonction de la Passerelle et des paramètres de la Méthode d’authentification.

• Lopa us pouvez sélectionner l’option « Accepter tout ideneêt r Aggressive ou Main.

• Lorsque la Méthode d’authentification est définie sur Clef

lier. ifiant» et entrez l’identifiant.

Pour un pco ntique à nfiguration de la paSide lient, référez-vous au document Authenticating FortiClient Dialup Clients Technical Note. Si plusieurs clients dialup FortiGate/FortiClient se connecteront à travers le même tunnel VPN et utilisant le même identifiant (partagé), le Mode doit être défini sur Aggressive.

• ur Clef pe

ifiants uniques et des clés partagées pour se connecter au VPN à travers le

e option est

rer, des clients dialup FortiClient, référez-vous à la al

Note. Le Mode doit être défini sur Aggressive lorsque les clients dialup utilisent des identifiants et clés partagées uniques. S’ils utilisent seulement des clés partagées

d’une configuration phase 1 d

d’authentification

vous avez sélectionné Clef partagée, entrez la clef partagée e le boîtier FortiGate utilisera pour s’authentifier auprèire à distance ou du client dialup pendant les négociation

phase 1. Vous devez définir la mstant. La clé doit contenir au moins 6 caractères impri doit être connue que des administrateurs réseau. Pour uneotection optimum contre les attaques connues, la clé devrait se

’un minimum de 16 caractères alphanumériqoisis arbitrairement.

cas où vous avez sélectionné Signature RSA, choi no du certificat du serveur que le boîtier FortiGate uti

authentifier auprès du paire à distance ou client dialup nt les négociations de la phase 1. Pour obtenir et chargerficat du serveur, voir le FortiGate C

ser uide.

u plusieurs des options s

rsque la Méthode d’authentification est définie sur Clef rtagée, vontifiant de connexion ». Dans ce cas, le boîtier FortiGate contrôlent pas les identifiants (ID locaux). Le mode peut re défini su

partagée, vous pouvez authentifier un paire à distance qui a une adresse IP dynamique, ou plusieurs clients dialup FortiGate/FortiClient en fonction d’un identifiant particuSélectionnez « Accepter cet ident

aire DDNS ou un client dialup FortiGate qui se nnecte via un tunnel dédié, cette valeur doit être idela valeur dans le champ ID local de la cosserelle en phase 1 sur le pair distant ou le client dialup. vous configurez des paramètres d’authentification pour s clients dialup FortiC

Lorsque la Méthode d’authentification est définie spartagée, sélectionnez « Accepter les identifiants du groudialup » pour authentifier de multiples clients dialup FortiGate/FortiClient qui utilisent des ident

même tunnel VPN. Dans ce cas, vous devez créer un groupe dialup dans un but d’authentification. Voir « Groupd’utilisateurs » à la page 330. Lorsque cette sélectionnée, vous pouvez sélectionner le nom du groupe dans la liste. Pour configurer des clients dialup FortiGate, référez-vous au FortiGate IPSec VPN User Guide. Pour configunote Authenticating FortiClient Dialup Clients Technic


uniques, vous pouvez définir le Mode sur Main s’il n’y a qu’une seule configuration dialup de la phase 1 pour cette adresse IP d’interface.

• Lorsque la Méthode d’authentification est définie sur

er us

« ser » dans le FortiGate CLI Reference. Si le paire ou client VPN à distance possède une adresse IP dynamique, définissez le Mode sur Aggressive.

• Lorsque la Méthode d’authentification est définie sur Signature RSA, vous pouvez utiliser un groupe de certificats pour authentifier les paires à distance et les clients dialup qui ont des adresses IP dynamiques et utilisent des certificats uniques. Sélectionnez le nom du groupe de la liste. Le

Avancé ... Pe« ssous.

Définition des paramètres avancés de

Les paramètres avancés d es algorithmes de cryptage e our générer des clés pour l’éc taires de la phase 1 peuvent être sé s négociations de la phase

VPN > IPSEC > Auto Key (IKE), cé. Illustration 159 : Paramètre

Signature RSA, vous pouvez authentifier un (ou plusieurs) paire à distance ou client dialup sur base d’un certificat de sécurité particulier (ou partagé). Sélectionnez le nom du certificat dans la liste. Le certificat doit être ajouté à la configuration FortiGate via la commande CLI config uspaire avant qu’il ne puisse être sélectionné. Pour pld’informations, voir le chapitre U

groupe doit être ajouté à la configuration FortiGate via les commandes CLI config user paire et config user peergrp avant qu’il ne puisse être sélectionné. Pour plus d’informations, voir le chapitre « User » dans le FortiGate CLI Reference. Si le paire ou client VPN à distance possèdeune adresse IP dynamique, définissez le Mode sur Aggressive.

rmet de définir les paramètres avancés de la phase 1. Voir Définition des paramètres avancés de la phase 1 » ci-de

la phase 1

e la Proposition Phase 1 permettent de sélectionner lt d’authentification que le boîtier FortiGate utilise phange IKE. Des paramètres avancés supplémenlectionnés pour assurer une bonne opération de

1.

Pour modifier les paramètres avancés de la phase 1 IPSec, sélectionnez cliquez sur Créer Phase 1 et ensuite sur Avan

s avancés de la Phase 1


Activer le mode interface IPSec parent.

Passerelle IP locale faut l VPN.

• Interface IP principale – Le boîtier FortiGate obtient l’adresse IP de l’interface à partir des paramètres dans Système > Réseau > Interface (voir « Interface » à la page 61).

• Spécifier – Spécifier une adresse IP. Cette adresse IP sera assignée à l’interface physique, agrégée ou VLAN qui est sélectionnée à ce moment dans le champ Interface locale de la phase 1 (voir « Interface locale » à la page 297).

Vous ne pouvez pas configurer le mode Interface dans un VDOM en mode Transparent.

Proposition Phase 1 Sélectionnez les algorithmes de cryptage et d’authentification qui seront utilisés pour générer des clés pour la protection des négociations.

Ajouter ou supprimer des algorithmes de cryptage et d’authentification tel que nécessaire.

définissez.

l Encryption Standard, un algorithme de 64

• 3DES – Triple- DES, avec lequel le texte clair est crypté trois fois par trois clés.

• AES128 – un algorithme de 128 bits qui utilise une clé de

lgorithme de 128 bits qui utilise une clé de

Vous pouvez sélectionner chacun des messages récapitulatifs pour vérifier l’authenticité des messages pendant les négociations de la phase 1 :

• MD5 – Message Digest 5, l’algorithme de hachage développé par RSA Data Security.

• SHA1 – Secure Hash Algorithm 1, qui produit un mess ge résumé de 160 bits.

Pou+ à

Groupe DH Sélectionnez un ou plusieurs groupes Diffie-Hellman des groupes DH 1, 2 et 5. Lors de l’utilisation du mode agressif, les grou

• statiques et

n seul groupe DH.

Créer une interface virtuelle pour le fin locale du tunnel VPN. Ceci n’est pas disponible en mode Trans

Dans le cas où le mode Interface IPSec est activé, il spécifier une adresse IP pour la fin locale du tunneSélectionnez l’une des options suivantes :

Sélectionnez un minimum de 1 et un maximum de trois combinaisons. Le paire ou client distant doit être configuré pour utiliser au moins une des propositions que vous

Vous pouvez sélectionner chacun des algorithmes à clés symétriques suivants :

• DES – Digitabits qui utilise une clé de 56 bits.

128 bits.

• AES192 – un algorithme de 128 bits qui utilise une clé de 192 bits.

• AES256 – un a256 bits.

a

r ajouter une troisième combinaison, cliquez sur le bouton côté des champs de la seconde combinaison.

pes DH ne peuvent pas être négociés.

Si les deux paires VPN (ou un serveur d’accès distant VPN et son client) ont des adresses IPutilisent un mode agressif, sélectionnez u


Le paramétrage du boîtier FortiGate doit être identiqueparamétrage du paire distant ou du client di

au alup.

dynamique et utilise un mode agressif, sélectionnez jusqu’à trois groupes DH sur le boîtier

upe DH sur le paire à distance ou client trage du paire ou client distant doit être

identique à l’une des sélections du boîtier FortiGate.

Du en secondes) avant que la clé de

Si le boîtier FortiGate agit comme client VPN et que vous

ur

nt dialup et ne partagera pas up (ce qui signifie que le

tunnel sera dédié à ce client dialup FortiGate), définissez le Mode sur Aggressive.

XAuth Cette option est fournie pour supporter l’authentification de clients dialup. Si le boîtier FortiGate est un client dialup et que vous sélectionnez « Activer en tant que client », entrez le nom d’utilisateur et le mot de passe dont le boîtier FortiGate aura besoin pour s’authentifier auprès du serveur à distance XAuth.

Si la passerelle est définie sur Utilisateur dialup et que les clients dialup s’authentifieront comme membres d’un groupe dialup, le boîtier FortiGate peut agir comme un serveur XAuth. Pour pouvoir sélectionner « Activer en tant que serveur », vous devez d’abord créer des groupes d’utilisateurs pour identifier les clients dialup qui nécessitent un accès au réseau derrière le boîtier FortiGate. Voir « Configuration d’un groupe d’utilisateurs » à la page 333.

Vous devez également configurer le b ortiGate pour envoyer les requêtes d’authentification à un serveur

serveur

groupe

Nat-traversal

és ou désactivés).

• Lorsque le paire VPN distant ou le client possède une adresse IP

FortiGate et un grodialup. Le paramé

• Si l’un des paire ou client VPN emploie le mode main, vous pouvez sélectionner de multiples groupes DH. Aumoins, l’un des paramètres du paire ou client à distance doit être identique aux sélections du boîtier FortiGate.

rée de vie de la clef Entrez la période de temps (cryptage IKE expire. Lors de l’expiration d’une clé, une autre clé est générée sans interruption de service. La durée de vie de la clé peut varier entre 120 et 172800 secondes.

ID local Si le boîtier FortiGate agit comme client VPN et que vous utilisez des ID paire pour authentification, entrez l’identifiant que le boîtier FortiGate fournira au serveur d’accès distant VPN pendant l’échange de la phase 1.

utilisez des certificats de sécurité pour authentification, sélectionnez le nom DN (distinguished name) du certificat du serveur local que le boîtier FortiGate utilisera pol’authentification.

Si le boîtier FortiGate est un clieun tunnel avec d’autres clients dial

oîtier F

d’authentification externe RADIUS ou LDAP. Pour plus d’informations à ce propos, voir « Configuration d’un serveur RADIUS » à la page 326 et « Configuration d’un LDAP » à la page 328.

Sélectionnez un paramètre de Type de Serveur pour déterminer le type de méthode de cryptage à utiliser entre un boîtier FortiGate, un client XAuth et le serveur d’authentification externe. Sélectionnez ensuite le d’utilisateurs dans la liste des Groupes Utilisateur.

Activez cette option si un serveur NAT existe entre le boîtierFortiGate local et le paire ou client VPN. Le boîtier FortiGate local et le paire ou client VPN doivent avoir les mêmes paramètres de NAT traversal (tous deux sélectionn


Fréquence d Si vous activez NAT-traversal, entrez un paramètre de fréquence des keepalive. Cette valeur représente un interv

es keepalive alle

entre 0 et 900 secondes.

DPD Dead Paire Detection – Activez cette option pour rétablir des tunnels VPN sur des connexions inactives et se débarrasser des paires IKE morts si nécessaire. Vous pouvez utiliser cette option pour recevoir une notification à chaque fois qu’un tunnel

é à l’intérieur du tunnel (par exemple, dans les

conn

Lorsq ouvez utiliser les l)

ou c phase1-interface (mode

tentative. Pour plus d’informations, voir le FortiGate CLI

Création d’une nouvelle configuration phase 2

près que les négociations de la phase 1 IPSec se terminent avec succès, la éfinissent les algorithmes que

ourra ansférer des données pour le reste de la session. PendaIPSec nécessaires à l’implémentation de services de sécurité sont sélectionnées et un tunnel est établi. Les paramètres de base de la pha hase 2 avec la configuration de p VPN. Dans la plupart des cas,paramètres de base de la a Pour configurer les paramètres de la phase 2, sélectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Créer Phase 2.

60 : Nouvelle P

devient actif ou inactif. Vous pouvez aussi activer l’option pour garder les connexions tunnel ouvertes lorsque aucun trafic n’est générscénarios où un client dialup ou paire DNS dynamique se

ecte d’une adresse IP qui change régulièrement – le trafic peut être suspendu pendant que l’adresse IP change).

ue l’option de DPD est activée, vous pcommandes CLI config vpn ipsec phase1 (mode tunne

onfig vpn ipsecinterface) pour spécifier optionnellement un temps d’inactivité court et long, un nombre d’essais et un intervalle entre chaque

Reference.

Aphase 2 commence. Les paramètres de la phase 2 dle boîtier FortiGate p it utiliser pour crypter et tr

nt la phase 2, les associations spécifiques de sécurité

se 2 associent les paramètres IPSec de la p la hase 1 et spécifient le point final à distance du tunnel

vous n’avez besoin de configurer que les ph se 2.

Illustration 1 hase 2

ntifier la configuration du tunnel.

Phase 1 Sélectionnez la configuration de la phase 1 à affecter à ce tunnel. Voir « Création d’une nouvelle configuration phase 1 »

irtunn

Nom Entrez un nom pour ide

à la page 296. La configuration phase 1 décrit comment des pa es ou clients VPN à distance seront authentifiés sur ce

el, et comment la connexion sera sécurisée.

Avancé Permet de définir les paramètres avancés de la phase 2. Voir « Définition des paramètres avancés de la phase 2 » ci-dessous.


Définition des paramètres avancés de la phase 2

ction des détails

’implémentation de SA (Securtity Associations). Les clés sont générées

és de la phase 2 IPSec, sélectionnez VPN > IPSEC > Auto Key (IKE), cliquez sur Créer Phase 2 et ensuite sur Avancé.

mètres avancés de la Phase 2

Pendant la phase 2, le boîtier FortiGate et le paire ou client VPN s’échangent encore des clés pour établir un canal de communication sécurisé entre eux. Les paramètres de la proposition Phase 2 sélectionnent les algorithmes de cryptage etd’authentification nécessaires à la génération de clés pour la protedautomatiquement via un algorithme Diffie-Hellman. Un nombre de paramètres supplémentaires avancés de la phase 2 sont disponibles pour améliorer l’opération du tunnel. Pour modifier les paramètres avanc

Illustration 161 : Para

Proposition Phase 2 Sélectionnez les algorithmes de cryptage et d’authentification

qui seront utilisés pour modifier les données en code crypté.

Ajoutez ou supprimez les algorithmes de cryptage et d’authentification tel que requis.

Sélectionnez un minimum de 1 et un maximum de 3 combinaisons. Le paire à distance doit être configuré pour utiliser au moins une des propositions que vous avez définies.

Vous pouvez sélectionner un des algorithmes à clés symétriques suivants :

• NULL – Ne pas utiliser d’algorithme de cryptage.

• DES – Digital Encryption Standard, un algorithme de 64 bits qui utilise une clé de 56 bits.

• 3DES – Triple-DES, dans lequel le texte clair est crypté trois fois par trois clés.

• AES128 – Un algorithme de 128 bits qui utilise une clé de 128 bits.




Vous pouvez sélectionner chacun des messages récapitulatifs pour vérifier l’authenticité des messages pendant les négociations de la phase 2 :

a Security.

message

econde ème

combinaison, cliquez sur le bouton + à côté des champs de la seconde combinaison.

tivement, vous pouvez activer ou désactiver « Replay detection » l’option “Replay Detection”. Les attaques rejouées ont lieu

lorsqu’une partie non autorisée intercepte une série de paquets IPSec et les rejoue dans le tunnel.

an à chaque fois durée de vie d’une clé expire.

pe Diffie-Hellman (1, 2 ou 5). Le paire distant ou client dialup doit être configuré pour utiliser le même groupe.

Durée de vie Sélectionnez la méthode pour déterminer quand la clé Tunnel toujours actif de la phase 2 expire : Secondes, Koctets ou les deux. Si vous

sélectionnez les deux, la clé expire soit quand la période de temps s’est écoulée, soit lorsque le nombre de Ko a été traité. Les intervalles s’étendent de 120 à 172800 secondes ou de 5120 à 2147483648 Ko. Activez l’option tunnel toujours actif si vous désirez que le tunnel reste actif lorsque aucune donnée n’est traitée.

HCP-IPSec Activez cette option si le boîtier FortiGate agit comme serveur dialup et qu’un relais DHCP FortiGate sera utilisé pour affecter des adresses VIP aux clients dialup FortiClient. N’activez pas

ctiver pour que le boîtier FortiGate agisse comme proxy pour ses clients dialup.

Ceci n’est disponible que pour les configurations phase 2 en mode tunnel associées à une configuration phase 1 dialup.

Quick Mode Selector Facultativement, vous pouvez spécifier les adresses IP source et de destination à utiliser comme sélecteurs pour des négociations IKE. Si le boîtier FortiGate est un serveur dialup, la valeur par défaut 0.0.0.0/0 devrait être maintenue à moins qu’il soit nécessaire de contourner des problèmes causés par des adresses IP ambiguës entre un ou plusieurs réseaux privés constituant le VPN. Vous pouvez spécifier une seule adresse IP hôte, une plage d’adresses IP ou une adresse réseau. Vous pouvez en option spécifier les numéros de ports source et de destination et/ou un numéro de protocole.

Si vous éditez une configuration de tunnel phase 2 existante, les champs Adresse Source et Adresse

• NULL – Ne pas utiliser de message récapitulatif.

• MD5 – Message Digest 5, l’algorithme de hachage développé par RSA Dat

• SHA1 – Secure Hash Algorithm 1, qui produit unrésumé de 160 bits.

Pour spécifier une seule combinaison, affectez à la scombinaison, la mention NULL. Pour ajouter une troisi

Activer l’option Faculta

Activer l’option« Perfect Activer ou désactiver PFS. Cette option améliore la sécurité forward secrecy » (PFS) en forçant un nouvel échange Diffie-Hellm

qu’une

Groupe DH Sélectionnez un grou

D

cette option sur les boîtiers FortiGate qui agissent comme clients dialup. Les paramètres du relais DHCP doivent être configurés séparément. Pour plus d’informations, voir « Système > DHCP » à la page 99.

Si le boîtier FortiGate agit comme serveur dialup et vous affectez manuellement les adresses VIP des clients dialup FortiClient qui correspondent au réseau derrière le serveur dialup, sélectionnez A


Destination sont indisponibles si le tunnel a été configuré pour utiliser des adresses pare-feu comme

cal/locaux ou au réseau derrière le l. Par exemple, 172.16.5.0/24 ou

172.16.5.0/255.255.255.0 pour un sous-

ate.

pour rvice spécifié (numéro du

0 et 65535. Pour spécifier

pour une

sélecteurs. Cette option n’existe que sur l’interface deligne de commande. Voir les mots-clés dst-addr-type, dst-name, src-addr-type et src-name de la commande vpn ipsec phase2 dans le FortiGate CLI Reference.

Adresse source Si le boîtier FortiGate est un serveur dialup, entrez l’adresse IP source qui corresponde à/aux expéditeur(s) lopaire VPN loca

réseau, ou 172.16.5.1/32 ou 172.16.5.1/255.255.255.255 pour un serveur ou un hôte, ou 192.168.10.[80-100] ou 192.168.10.80-192.168.10.100 pour une plage d’adresses.

Une valeur de 0.0.0.0/0 représente toutes les adresses IP derrière le paire VPN local. Si le boîtier FortiGate est un client dialup, l’adresse source doit référer au réseau privé derrière le client dialup FortiG

Port source Entrez le numéro du port que le paire VPN local utilise transporter le trafic lié au seprotocole). L’intervalle varie entre tous les ports, entrez . 0

Adresse destination Entrez l’adresse IP de destination qui corresponde aux destinataires ou réseau derrière le paire VPN distant. Par exemple 192.168.20.0/24 pour un sous-réseau, ou 172.16.5.1/32 pour un serveur ou un hôte, ou 192.168.10.[80-100] plage d’adresses. Une valeur de 0.0.0.0/0 représente toutes les adresses IP derrière le paire VPN à distance.

Port destination Entrez le numéro du port que le paire VPN à distance utilise pour transporter le trafic lié au service spécifié (numéro de protocole). L’intervalle varie entre 0 et 65535. Pour spécifier tous les ports, entrez 0.

Protocole Entrez le numéro du protocole IP du service. L’intervalle varie entre 1 et 255. Pour spécifier tous les ports, entrez 0.

Remarque : Vous rmettre aux utilisateurs VPN de naviguer sur Internet à travers faire, configurez une règle pare-feu IPSec supplémentaire avece destination l’interface publique FortiGate, l’adresse sourceseau à distance et la translation en entrée activ

pouvez pele boîtier FortiGate. Pour ce comme interface source et d all, l’adresse de destination le ré ée. Pour plus

gles a page

Clé Manuelle Si nécessaire, vous pouvez dé pour l’établissement d’un tunneldans les cas suivants :

• Une connaissance antérie st nécessaire (c’est-à-dire lo paires VPN requiert une clé spécifique de cryptage et/ou d’authentification).

d’informations sur les rè pare-feu, voir « Configuration de règles pare-feu » à l232.

finir manuellement des clés de cryptographie VPN IPSec. Des clés manuelles peuvent être définies

ure de la clé de cryptage et/ou d’authentification ersque l’un des


• Le cryptage et l’authen ic

Dans les deux cas, vous ne sp ; au lieu de cela, vous définisseClef Manuelle.

tif ation doivent être désactivés.

écifiez pas les paramètres des phases 1 et 2 IPSecz des clés manuelles sur la page VPN > IPSEC >

Remarque : Il y a toujours un risq la définition de clés manuelles car il faut compter

Illustration 162 : Liste des c

ue dans sur les administrateurs réseaux pour garder les clés confidentielles et la propagation

ée de changements asécuris ux paires VPN à distance risque d’être difficile.

lés manuelles

Créer Nouveau Créer une nouvelle configuration de clé manuelle. Voir

elle configuration à clé manuelle »

s.

Passerelle .

Algorithme de chiffrement s algorithmes de chiffrement spécifiés dans

Algorithme d’authentificatio

Icônes Supprimer et Editer ne configuration de clé

Création d’une nouvelle configuration

nts Vpour établir un tunnel, les oivent être configurés pour

st tres

complémentaires SPI (Sec Chaque SPI identifie un SA (Security Association). La valeur est placée dans des datagrammes ESP pour lier les datagrammes au SA. Lorsqu’un datagramme est reçu, le destinataire se réfère au SPI pour déterminer quel SA s’applique au datagramme. Un SPI doit être spécifié manuellement pour chaque SA. Etant donné qu’un SA s’applique à la communication dans une seule direction, vous devez spécifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les communications bidirectionnelles entre deux équipements VPN.

« Création d’une nouvci-dessous.

Nom du tunnel Les noms des configuration de clés manuelles existante

Les adresses IP des paires distants ou des clients dialup

Les noms deles configurations de clés manuelles.

n Les noms des algorithmes d’authentification spécifiés dans les configurations de clés manuelles.

Permet de supprimer ou d’éditer umanuelle.

à clé manuelle

Si l’un des équipeme PN utilise des clés d’authentification et/ou de cryptage deux équipements VPN d

utiliser des clés d’authentification et/ou de cryptage identiques. De plus, il eiel que ces deux éqessent uipements VPN soient configurés avec les paramè

urity Parameter Index).

Attention : Si vous n’êtes pas familier avec les règles de sécurité, SA, sélecteurs et bases de données SA, ne tentez pas la procédure suivante sans assistance qualifiée. Pour spécifier des clés manuelles pour la création d’un tunnel, sélectionnez VPN > IPSEC > Clef Manuelle et cliquez sur Créer Nouveau.


Illustration 163 : Nouvelle Clé Manuelle

Nom Entrez un nom

pas dépasser pour le tunnel VPN. La longueur du nom ne doit 15 caractères pour un VPN en mode interface,

35 caractères pour un VPN basé sur une règle.

SPI Local Entrez un nombre hexadécimal (jusqu’à 8 caractères, 0-9, a-f)

ette

qui représente le SA qui traite le trafic entrant sur le boîtier FortiGate local. L’intervalle s’étend de 0x100 à 0xffffffff. Cette

Entrez l’adresse IP de l’interface publique vers le paire distant. L’adresse identifie le destinataire des datagrammes ESP.

est disponible qu’en mode NAT/Route. Sélectionnez le nom de l’interface physique, agrégée ou VLAN à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient l’adresse IP de l’interface dans les paramètres de Système > Réseau > Interface (voir « Interface » à la page 61).

Algorithme de chiffrement Vous pouvez sélectionner un des algorithmes à clé symétrique suivants :

• NULL – Ne pas utiliser d’algorithme de chiffrement.

• DES – Digital Encryption Standard, un algorithme de 64

r trois clés.

e clé de .

e

– Un algorithme de 128 bits qui utilise une clé de

Clef de chiffrement Si vous avez sélectionné :

• DES, entrez un numéro hexadécimal de 16 symboles (0-9, a-f).

qui représente le SA qui traite le trafic sortant sur le boîtier FortiGate local. L’intervalle s’étend de 0x100 à 0xffffffff. Cvaleur doit correspondre à la valeur SPI Distant dans la configuration de la clé manuelle du paire distant.

SPI Distant Entrez un nombre hexadécimal (jusqu’à 8 caractères, 0-9, a-f)

valeur doit correspondre à la valeur SPI Local dans la configuration de la clé manuelle du paire distant.

Passerelle

Local Interface Cette option n’

bits qui utilise une clé de 56 bits.

• 3DES – Triple-DES, dans lequel le texte est crypté troisfois pa

• AES128 – Un algorithme de 128 bits qui utilise un128 bits

• AES192 – Un algorithme de 128 bits qui utilise une clé d192 bits.

• AES256256 bits.


• 3DES, entrez un nombre hexadécimal de 48 symboles (0-9, a-f), séparé en trois segments de 16 symboles.

• AES128, entrez un nombre hexadécimal de 32 symboles (0-9, a-f) , séparé en deux segments de 16 symboles.

ombre hexadécimal de 64 symboles

s messages ’authentification récapitulatifs suivants:

pas utiliser de message récapitulatif.

• MD5 – Message Digest 5, algorithme qui produit un message récapitulatif de 128 bits.

• SHA1 – Secure Hash Algorithm 1, qui produit un message récapitulatif de 160 bits.

(0-

• SHA1, entrez un nombre hexadécimal de 40 symboles (0-9, a-f) , séparé en un segment de 16 symboles et un

Concentrateu-and-spoke », les connexions à plusieurs paires

ate central. Les connexions site à site entre le ependant, des tunnels VPN entre deux des

s à distance peuvent être établis à travers un hub FortiGate.

hub-and-sp terminent au hub. Les nectent au hu ub

centVPN entre les « spokes ». Le hub.

concentrat« hub-and-spoke ».

centrateur,

• AES192, entrez un nombre hexadécimal de 48 symboles (0-9, a-f) , séparé en trois segments de 16 symboles.

• AES256, entrez un n(0-9, a-f) , séparé en quatre segments de 16 symboles.

Algorithme Vous pouvez sélectionner un ded

• NULL – Ne

Clef d’authentification Si vous sélectionnez :

• MD5, entrez un nombre hexadécimal de 32 symboles9, a-f) séparé en deux segments de 16 symboles.

second de 24 symboles.

IPSec Interface Mode Créez une interface virtuelle pour la fin locale du tunnel VPN. Cette commande n’est disponible qu’en mode NAT/Route.

r ans une configuration « hubD

distants partent d’un seul boîtier FortiG paires à distance n’existent pas ; cs

paire Dans un réseau « oke », tous les tunnels VPN se paires qui se con b sont connus sous le nom de « spokes ». Le hfonctionne comme un con rateur sur le réseau, gérant toutes les connexions

trafic VPN passe d’un tunnel à un autre à travers le

Vous définissez un eur pour inclure des « spokes » dans la configuration

Pour définir un con sélectionnez VPN > IPSEC > Concentrateur.


Illustration 164 : Liste des concentrateurs

Créer Nouveau Défi

IPSe oir « Définition des options d’un conc

Nom du concentrateur Les

Membres Les

Icônes Supprimer et PermEditer

Définition des op

eur spécifie quels spokes inclure dans une -and-spoke I

okes d’une configu -spoke IPSec, sélectionnez

Illustration 165 : Nouveau Concentrateur VPN

nissez un nouveau concentrateur pour une configuration c hub-and-spoke. Ventrateur » ci-dessous.

noms des concentrateurs VPN IPSec existants.

tunnels qui sont associés aux concentrateurs.

et de supprimer ou d’éditer un concentrateur.

tions d’un concentrateur

Une configuration de concentratconfiguration hub PSec.

our spécifier les sp ration hub-andPVPN > IPSEC > Concentrateur et cliquez sur Créer Nouveau.

Nom du concentrateur Entrez un nom pour le concentrateur.

Tunnels Disponibles Une liste de tunnels VPN IPSec définis. Sélectionnez un tunnel de la liste et cliquez ensuite sur la flèche droite. Répétez cette étape jusqu’à ce que tous les tunnels associés aux spokes soient inclus dans le concentrateur.

Membres Une liste de tunnels membres du concentrateur. Pour enlever un tunnel du concentrateur, sélectionnez le tunnel et cliquez sur la flèche gauche.


Tunnels actifs

els actifs

Cette page vous permet de visualiser l’activité des tunnels VPN IPSec, et également de les démarrer ou de les arrêter. S’affichent à l’écran une liste d’adresses, d’ID proxy et d’informations timeout pour tous les tunnels actifs, y ompris les tunnels en mode tunnel et en mode route (mode interface). c

Pour visualiser les tunnels actifs, sélectionnez VPN > IPSEC > Tunnels actifs. Illustration 166 : Liste des tunn

La liste des tunnel p fournit des informations sur le statut depour les clients dialup. La liste reprend les adresses IP de

s dialu s tunnels établis clients dialup et les

modifie quand un cl

tu r tous les tunnels dialup et le trafic passant à travers tous les tunnels dialup. Les utilisateurs dialup auront peut-être à se reconnecter pour établir des nouvelles sessions VPN.

Icône Page suivante et Affiche la page suivante et précédente de la liste des Page précédente statuts des tunnels dialup.

Nom Les noms de tunnels configurés.

Passerelle distante Lorsqu’un client dialup FortiClient établit un tunnel, le champ Passerelle Distante affiche soit l’adresse IP publique et le port UDP de la machine de l’hôte distant (sur lequel l’application FortiClient Host Security est installée), soit, dans le cas où un serveur NAT existe à l’avant de l’hôte distant, l’adresse IP publique et le port UDP de l’hôte distant.

Lorsqu’un client dialup FortiGate établit un tunnel, le champ Passerelle Distante affiche l’adresse IP publique et le port UDP du client dialup FortiGate.

Compte utilisateur L’ID du paire, le nom du certificat ou le nom utilisateur XAuth du client dialup ( dans le cas où ces éléments ont été affectés au client dialup dans le but d’une authentification).

Timeout La période de temps avant le prochain échange de clés de la phase 2. Ce temps est calculé en soustrayant le temps passé depuis le dernier échange de clés de la durée de vie de la clé. Lorsque la clé de la phase 2 expire, une nouvelle clé est générée sans interruption de service.

ID Proxy Source Les adresses IP des hôtes, serveurs ou réseaux privés situés derrière le boîtier FortiGate. Une plage de réseau s’affiche si l’adresse source de la règle pare-feu de chiffrement a été exprimée sous forme de plage d’adresses IP.

noms de tous les tunnels actifs. Le nombre de tunnels affichés dans la liste se ient dialup se connecte ou se déconnecte.

Icône Flush dialup nnels Permet d’arrête


ID Proxy Destination Lorsqu’un client dialup FortiClient établit un tunnel :

• Si les adresses VIP ne sont pas utilisées et que l’hôte distant se connecte à Internet directement, le champ Proxy ID Destination affiche l’adresse IP publique de la

ont été configurées (manuellement ou à travers un relais FortiGate DHCP), le champ Proxy ID

fiche soit l’adresse VIP appartenant à un client dialup FortiClient, soit l’adresse d’un sous-réseau à partir duquel les adresses VIP ont été affectées.

Lorsqu’un client dialup FortiGate établit un tunnel, le champ Proxy ID Destination affiche l’adresse IP du réseau privé distant.

nnel up et tunnel Une flèche verte pointant vers le haut signifie que le tunnel est en train de traiter du trafic. Une flèche rouge

et Vous

ouvez également commencer ou arrêter des tunnels individuels à partir de cette

ivante et Affiche la page précédente ou suivante de la liste des Page précédente statuts des tunnels VPN.

asserelle distante Les adresses IP et les ports UDP des passerelles. Pour les iques, les adresses IP sont mises à jour

Timeout La période de temps avant le prochain échange de clés de la sé lé.

ne nouvelle clé est

ID Proxy Source eaux privés

xy Destination

l uge

ar le urs.

NIC (Network Interface Card) dans l’hôte distant.

• Si les adresses VIP ne sont pas utilisées et l’hôte distant est derrière un serveur NAT, le champ Proxy ID Destination affiche l’adresse IP privée de la NIC dans l’hôte distant.

• Si les adresses VIP

Destination af

Icône Tudown

pointant vers le bas signifie que le tunnel n’est pas en train detraiter du trafic.

La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit desinformations à propos des tunnels VPN aux paires à distance qui ont des adresses IP statiques ou des noms de domaine. Cette liste permet de visualiser les statutsinformations sur les adressages IP pour chaque configuration de tunnel. pliste.

Icône Page su

Nom Les noms des tunnels configurés.

Ptunnels DNS dynamdynamiquement.

phase 2. Ce temps est calculé en soustrayant le temps pasdepuis le dernier échange de clés de la durée de vie de la cLorsque la clé de la phase 2 expire, ugénérée sans interruption de service.

Les adresses IP des hôtes, serveurs ou résderrière le boîtier FortiGate. Une plage de réseaux s’affiche sil’adresse source de la règle pare-feu de chiffrement a été exprimée sous forme de plage d’adresses IP.

ID Pro Les adresses IP des hôtes, serveurs et réseaux privés derrière le boîtier FortiGate distant.

Icône Tunnel up et tunne Une flèche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flèche ro

pointant vers le bas signifie qu’aucun traitement de trafic ptunnel n’est en co


VPN PPTP Le boîtier FortiGate supporte PPTP pour créer un tunnel pour le trafic PPP entre deux paires VPN. Les clients Windows et Linux peuvent établir un tunnel PPTP avec un boîtier FortiGate configuré comme serveur PPTP. Comme alternative, vous pouvez configurer le boîtier FortiGate pour envoyer des paquets PPTP vers un serveur PPTP sur le réseau derrière le boîtier FortiGate.

ene plage d’adresses IP pour les clients PPTP. Pour toute information sur

FortiGate PPTP VPN User Guide.

Plage PPTP

nt se connecte, le boîtier FortiGate affecte une adresse IP d’une plage d’adresses IP réservées à l’interface PPTP du client. Le

urée

cifier la plage d’adresses PPTP, sélectionnez VPN > PTP > Plage PPTP, sélectionnez les options requises et cliquez ensuite sur

lustration 167 : Editer la plage PPTP

Le VPN PPTP est uniquement disponible en mode NAT/Route. Cette s ction explique comment utiliser l’interface d’administration web pour spécifier ula mise en place du VPN PPTP, voir le Cette section parcourt la plage PPTP.

Vous pouvez spécifier une plage d’adresses PPTP sur la page Plage PPTP. La plage d’adresses PPTP est une plage d’adresses réservée aux clients PPTP distants. Lorsqu’un client PPTP dista

client PPTP utilise l’adresse IP affectée comme adresse source pendant la dde la connexion. Pour activer PPTP et spéPAppliquer.

Il

nt de pouvoir sélectionner cette option, vous devez ajouter roupe d’utilisateurs. Voir « Groupe d’utilisateurs » à la 330.

Activer PPTP Ava

un gpage

IP début de plage trrése

IP fin de plage Entr

Groupe Utilisateur Séle e vous ave

Désactiver PPTP Dés

En ez l’adresse de départ de la plage d’adresses IP rvées.

ez l’adresse de fin de la plage d’adresses IP réservées.

ctionnez le nom du groupe d’utilisateurs PPTP quz défini.

active le support PPTP.


VPN SSL in > SSL

e d’administ es fonctionnalités en mode N

Cette section fournit les formations sur les fonctionnalités de la page VPN dans l’interfac ration web. Le boîtier FortiGate supporte c

AT/Route uniquement.

Remarque : Po d’instructions détaillées sur la configuration des opérmode web et mode tun ir le FortiGate SSL VPN User Guide.

ur davantage ations en nel, vo

ection couvre les su

• Configuration

onitor

Configuration La page Config comporte l es valeurs timeout et des préférences vous pouvez également activer l’utilisation de certificats digitaux pour l’authentification des

Cette s jets suivants :

• M

es paramètres de base VPN SSL y compris d de cryptage SSL. Si nécessaire,

clients distants.

Remarque : Si nécessaire, vous pouvez activer le cryptage SSL version 2 (compdes navigateurs plus anciens) à partir de l’interface de ligne de commande. Pou

atible avec r plus

informations, voir « SSL Settings » dans le chapitre « VPN » du FortiGate CLI Reference.

aramètres de

d’ Sélectionnez VPN > SSL > Config pour un affichage des pconfiguration SSL en cours. Illustration 168 : Paramètres VPN SSL

Activer SSL-VPN Active les connexions VPN SSL.


Port de Login Facultativement, entrez un numéro de port HTTPS différent pour les navigateurs web des clients distants

t

s pour les clients VPN SSL en mode tunnel. Entrez les adresses de départ

ervées.

rtiGate

clients distants lors de leurs connexions.

tte option si vous désirez permettre rtificats de groupes pour l’authentification

de clients distants. Par après, lorsque le client distant initie une connexion, le boîtier FortiGate génère un message chez lui concernant sa partie du certificat, ceci faisant partie du processus d’authentification.

Algorithme de la clé de Sélectionnez l’algorithme pour la création d’une ryptage connexion sécurisée SSL entre le nav eur web du

Nécessite une longu ette option pour le navigateur web d’un clé>=128bit(défau de

Nécessite une longue eur web d’un client distant est capable de clé>128bit(haute) de correspondre à un haut niveau de cryptage SSL,

r activer des suites de its pour crypter les données.

t rester inactive avant de forcer l’utilisateur à se reconnecter.

ion se coupe pas tant que des sessions d’application web

ou des tunnels sont activés.

M trez le message personnalisé que vous désirez voir apparaître sur le portail.

Serveur DNS #2

Serveur WINS #1 #2

pour se connecter au boîtier FortiGate. Le numéro de porpar défaut est 10443.

Plage IP du tunnel Spécifiez la plage d’adresses IP réservée

et de fin qui définissent la plage d’adresses IP rés

Certificat Serveur Sélectionnez le certificat serveur signé à utiliser pour le processus d’authentification. Si vous maintenez le paramétrage par défaut (Self-Signed), le boîtier Fopropose son certificat installé par défaut par Fortinet aux

Nécessite un certificat client Sélectionnez cel’utilisation de ce

c igatclient distant et le boîtier FortiGate.

eur Sélectionnez c

de t) client distant capable de correspondre à une suite chiffres de 128 bits et plus.

ur Si le navigat

sélectionnez cette option pouchiffres utilisant plus de 128 b

Nécessite une longueur Si vous n’êtes pas certain du niveau de cryptage SSL de clé>=64bit(basse) que supporte le navigateur web du client distant,

sélectionnez cette option pour activer une suite de chiffres de 64 bits et plus.

Idle Timeout Timeout d’inactivité : Entrez la période de temps (en secondes) pendant laquelle la connexion peu

L’intervalle varie entre 10 et 28800 secondes. Ce paramètre s’applique à la session VPN SSL. La connexne

essage du portail Facultativement, en

Avancé (Serveurs DNS et WINS)

Serveur DNS #1 Entrez jusqu’à deux Serveurs DNS fournis pour une utilisation clients.

Entrez jusqu’à deux Serveurs WINS fournis pour une

Serveur WINS utilisation clients.


Monitor Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste affiche le nom utilisateur de l’utilisateur distant, son adresse IP et l’heure à laquelle la connexion a été initiée. La liste répertorie également quels services sont fournis. Pour visualiser la liste des sessions actives VPN SSL, sélectionnez VPN > SSL > Monitor. lustration 169 : Liste Monitor Il

No. L’identificateur de la connexion.

Utilisateur Les noms utilisateurs de tous les utilisateurs distants con

P Source Les adresses IP des hôtes connectés au boîtier FortiGate.

nectés.

oîtier FortiGate affecte au client distant.

I

Heure de début L’heure de début de chaque connexion.

Description Des informations sur les services fournis. Lorsqu’un utilisateur en mode tunnel est connecté, le champ Description affiche l’adresse IPque le b

Icône Supprimer Supprime un tunnel.


Certificatsexplique comment gérer les certificats de sécurité X.509 à partir de

es listes de révocation, sauvegarder et restaurer des ur plus d’informations, voir le .

Cette section parcourt les sujets suivants :

• Certificats locaux

Certificats CA

Certificat locLes requêtes de certificat este des Certificats Locaux. Après avoir soumis une requête à une autorité de

numéro de série, une date d’expiration et la clé publique de l’autorité de certification. L’AC va ensuite signer et vous envoyer le certificat à installer sur votre boîtier FortiGate.

rtificat serveur signé.

Ill

VPN ette section C

l’interface d’administration web FortiGate. Ce module vous apprend à générer des requêtes de certificat, installer des certificats signés, importer le certificat de ’autorité de certification et dlcertificats et leurs clés privées associées. PoFortiGate Certificate Management User Guide

•

• CRL

aux t les certificats serveurs installés sont affichés dans la

licertification (AC), cette dernière vérifie les informations et enregistre les informations de contact sur un certificat digital qui contient un

Pour visualiser des requêtes de certificat et/ou importer des certificats de serveur signés, sélectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les détails du certificat, sélectionnez l’icône Voir les Détails du Certificat du certificat oncerné. c

A la première ligne de l’illustration 170 s’affiche une requête de certificat et à la euxième ligne, un ced

stration 170 : Liste des Certificats Locaux u

Générer Génère une requête d

requête de certifie certificat local. Voir « Générer une

cat » à la page 317.

Importer Importer un certificat local signé. Voir « Importation d’un certificat serveur signé » à la page 319.

Nom Les noms des certificats locaux existants et des requêtes de certificat en suspens.

Sujet Les DS (Distinguished Names) des certificats signés locaux.

Etat Le statut du certificat local. PENDING désigne une requête de certificat nécessitant un téléchargement et une signature.


Icône Voir les Détails Affiche les détailsdu Certificat certificat, l’émetteu

du certificat tels que le nom du r, le sujet et les dates de validité. Voir

at serveur signé pour le

Illustration 171.

Icône Supprimer Supprime la requête de certificat sélectionnée ou le certificat serveur installé lors de la configuration FortiGate.

Icône Sauvegarder Sauvegarde une copie de la requête du certificat sur un ordinateur local. Envoyez la requête à votre autorité de certification pour obtenir un certificboîtier FortiGate.

llustration 171 : Informations détaillées sur le certificat I

Pour des informations détaillées et des procédures pas à pas pour l’obtention et l’installation des certificats digitaux, voir le FortiGate Certificate Management User Guide.

Générer une requête de certificat

Le boîtier FortiGate génère une requête de certificat basée sur les informations entrées pour identifier le boîtier FortiGate. Les requêtes générées sont affichées dans la liste des Certificats Locaux avec le statut PENDING. Après avoir généré une requête de certificat, vous pouvez télécharger la requête sur un ordinateur qui possède un accès administratif au boîtier FortiGate et transférer ensuite la requête à une autorité de certification (AC). Pour compléter une requête de certificat, sélectionnez VPN > Certificats > Certificats Locaux et cliquez sur Générer. Pour télécharger et transférer une requête de certificat, voir « Téléchargement et soumission d’une requête de certificat » à la page 318. Illustration 172 : Générer des Requêtes de Signature de Certificat


Nom du certificat Entrez un nom au certificat. En général, il s’agit du nom du ortiGate. Pour activer l’exportation d’un certificat signé

sous forme d’un fichier PKCS12 si nécessaire, même plus tard, ne pas inclure d’espace dans le nom.

t

esse IP publique du boîtier FortiGate. Si celui-ci ne possède pas

mail

• Si le boîtier FortiGate possède une adresse IP statique et souscrit à un service DNS dynamique, utilisez un nom de domaine si disponible pour identifier le boîtier FortiGate. Si vous sélectionnez Nom de Domaine, entrez le FQDN du boîtier FortiGate. Ne pas inclure le protocole de spécification (http://) ni numéro de port ni noms de chemin. Si un nom de domaine n’est pas disponible et que le boîtier FortiGate souscrit à un service dynamique DNS, un message de type « Unable to verify certificate » (« Impossibilité de vérifier le certificat ») peut s’afficher dans une fenêtre du navigateur à chaque changement d’adresse IP publique du boîtier FortiGate.

• Si vous sélectionnez Mail, entrez l’adresse mail du propriétaire du boîtier FortiGate.

Unité organisationnelle Facultativement, entrez le nom de votre département.

Organisation Facultativement, entrez le nom légal de votre entreprise ou organisation.

Localité (Ville) Facultativement, entrez le nom de la ville où est situé le boîtier FortiGate.

Etat/Province Facultativement, entrez le nom de l’état, de la province ou du département où est situé le boîtier FortiGate.

Pays Facultativement, entrez le nom du pays où est situé le boîtier FortiGate.

Mail Facultativement, entrez l’adresse mail de contact.

Type de clef Seul RSA est supporté.

Longueur de la clef Choisissez entre 1024bit, 1536bit et 2048bit. Les plus grandes clés sont plus lentes à générer mais procurent une sécurité plus accrue.

Téléchargement et soumission d’une requête de certificat

Vous devez compléter une requête de certificat et générer la requête avant de pouvoir soumettre les résultats à l’autorité de certification. Pour plus d’informations, voir « Générer une requête de certificat » à la page 317. Télécharger et soumettre une requête de certificat

1 Sélectionnez VPN > Certificats > Certificats Locaux.

2 Dans la liste des Certificats locaux, sélectionnez l’icône Sauvegarder de la requête de certificat générée.

boîtier F

Information sur le suje Entrez les informations requises pour identifier le boîtierFortiGate :

• Si le boîtier FortiGate possède une adresse IP statique, sélectionnez Adresse IP de l’hôte et entrez l’adr

d’adresse IP publique, utilisez à la place une adresse(ou un nom de domaine si disponible).


3 Dans la boîte de dialogue de Sauvegarde du Fichier, sélectionnez Sauvegarder.

mmez le fichier et sauvegardez-le dans le système de fichiers locaux.

umettez votre requête à votre autorité de certification de la manière suivante :

rtificat au format PKCS#10 encodé en base64 et téléchargez votre requête de certificat.

certification pour télécharger leur vocation List), et installez-les

istance (référez-vous à la documentation du

6 Lors de la réception du certificat signé de l’AC, installez-le sur le boîtier FortiGate. Voir ’un certificat serveur signé » ci-dessous.

Importation d’un certificat serveur signé

Vot ertificat serveur signé à installer sur le b certificat, sauvegardez-le sur un rdinateur qui possède un accès administratif au boîtier FortiGate.

ificats >

s

4 No

5 So

• A partir du navigateur web sur l’ordinateur d’administration, allez sur le site web de l’autorité de certification.

• Suivez les instructions de l’autorité de certification pour effectuer une requête de ce

• Suivez les instructions de l’autorité de certificat et leur liste de révocation (Certificate Reensuite sur chaque client à dnavigateur).

« Importation d

re autorité de certification va vous fournir un coîtier FortiGate. Lors de la réception de ce

o Pour installer le certificat serveur signé, sélectionnez VPN > CertCertificats Locaux et cliquez sur Importer. Installez le certificat à partir de la boîte de dialogue de téléchargement du certificat local en haut de la page. Le fichier du certificat peut se trouver sous le format PEM ou DER. Les autres boîtes de dialogue servent à importer des certificats exportés précédemment et leurs cléprivées.

Illustration 173 : Télécharger le certificat local

Télécharger le fichier Entrez le chemin complet et le nom du fichier du certificat

serveur signé.

Browse Alternativement, accédez au certificat sauvegardé sur l’ordinateur d’administration, sélectionnez alors le certificatcliquez sur OK.

et

Importation d’

ée à importer doivent avoir été exporté précédemment sous forme d’un fichier unique PKCS12 à partir de la commande

e key export. Ce fichier est associé à un mot

nt User Guide.

un certificat serveur exporté et de sa clé privée

Le certificat serveur et sa clé priv

CLI execute vpn certificatde passe nécessaire à son importation. Avant de commencer, sauvegardez une copie du fichier sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour plus d’informations, se référer au FortiGate Certificate Manageme


Pour importer le fichier PKCS12 ; sélectionnez VPN > Certificats > Certificats ocaux et cliquez sur Importer.

2

L Illustration 174 : Télécharger le certificat PKCS1

Certifier avec un fichier clé Entrez le chemin complet et le nom du fichier du fichier

PKCS12 exporté précédemment.

Browse Alternativement, accédez au fichier PKCS12 sauvegardé sur l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.

ot de passe Entrez le mot de passe requis pour télécharger le fichier PKCS12.

Importation de fichiers séparés de cer clé privée

ir de la boîte de dialat serveu

certificat et la clé privée n’ FortiGate. Les deux orter doivent dministration.

M

tificat serveur et leur

A part ogue de téléchargement de certificat, importez les fichiers du certific r et de sa clé privée associée lorsque la requête de

ont pas été générées par le boîtier fichiers à imp être disponibles sur l’ordinateur d’a

Illustration 175 : Télécharger le certificat

fichier certificat Entrez le chemin complet et le nom du fichier du certificat

exporté précédemment.

Fichier clé Entrez le chemin complet et le nom du fichier de la clé exporté précédemment

Mot de passe Entrez, si requis, le mot de passe pour télécharger et ouvrir les fichiers.

Certificats CA pliquez po atif) ou de groupe à

es clients dist et la liste d

du certificat

distants en respectant les navigateur. Installez le cer tification

re boîtier FortiGate. Les certificats CA installésvisualiser des certificats ra VPN

Lorsque vous ap ur un certificat personnel (administrinstaller sur d tants, vous devez obtenir le certificat racine correspondan e révocation (CRL) de votre autorité de certification.

A la réception personnel ou de groupe, installez-le sur les clients procédures décrites dans la documentation du tificat racine et le CRL de votre autorité de cer

sur vot

sont affichés dans la liste de Certificats CA. Pour cines AC installés ou pour en importer,sélectionnez


> Certific CA. Pour visualiser les détails du certificat racine, s détails du certificat du certificat concerné.

ertificats CA

ats > Certificatssélectionnez l’icône Voir le Illustration 176 : Liste des c

Importer Importez un certificat racine CA. Voir « Importatio

certificats de l’autorité de cert n »n de

ificatio

om Les noms des certificats racines CA existants. Le rtiGate affecte des noms uniques

(CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux certificats AC lors de leur importation.

Supprimer ne CA de la configuration

Icône Sauvegarder

Pour des informations détaillées et des procédures pas à pas pour l’obtention et digitaux, se référer au FortiGate Certificate Management

User Guide.

Importation de ce

té de certification, sauvegardez le certificat sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour importer un certificat racine CA, sélectionnez VPN > Certificats > Certificats CA et cliquez sur Importer. lustration 177 : Télécharger un certificat CA

ci-dessous.

Nboîtier Fo

Sujet Informations sur l’ autorité de certificationémettrice.

Icône Supprime un certificat raciFortiGate.

Icône Voir les Détails du Certificat Affiche les détails du certificat.

Sauvegardez une copie du certificat racine CA sur un ordinateur local.

l’installation de certificats

rtificats de l’autorité de certification

Après avoir téléchargé le certificat racine de l’ autori

Il

Télécharger le fichier Entrez le chemin complet et le nom de fichier du certificat

racine CA.

Browse Alternativement, accédez au certificat sauvegardé sur l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.




Le système affecte un nom unique à chaque certificat. Les noms sont numérotconsécutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.).

és

CRL

hés dans la liste CRL. Le boîtier FortiGate utilise des CRL pour s’assurer de la

Une liste de Révocation de Certificat (CRL) est une liste de souscripteurs de certificat CA et des informations sur le statut du certificat. Les CRL installés sont ffica

validité des certificats appartenant à des AC et à des clients distants. Pour visualiser des CRL installés ou un CRL importé/mis à jour, sélectionnez VPN > Certificats > CRL. lustration 178 : Liste de révocation de certificat Il

Impor porte un CRL. Voir « Importation d’une liste de révocatio

rtificat » ci-dter Im n de

ce essous.

Le Le bo , CRL_

n

Icône Supprimer S

Illustration 179 : Détails d’u

Nom s noms des listes de révocation de certificat existantes.îtier FortiGate affecte des noms uniques (CRL_1, CRL_2

3, etc.) aux listes lors de leur importation.

Sujet I formations sur les listes de révocation de certificat.

upprime le CRL sélectionné de la configuration FortiGate.

n certificat CA

Importation d’une liste de révocation de certificat

Il est conseillé d’accéder régulièrement à des listes de révocation de certificat sur les sites web des AC et de mettre à jour les informations correspondantes sur le boîtier FortiGate pour s’assurer que les clients dont les certificats ont été révoqués ne puissent plus établir de connexions avec le boîtier FortiGate. Après avoir télécharger un CRL d’un site web d’une AC, sauvegardez-le sur un ordinateur qui possède un accès administratif vers le boîtier FortiGate. Pour importer une liste de révocation de certificat, sélectionnez VPN > Certificats > CRL et cliquez sur Importer.


arger CRL Illustration 180 : Téléch

Télécharger le fichier Entrez le chemin complet et le nom de fichier du CRL.

Browse Alternativement, accédez au CRL sauvegardé sur l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.

Le système affecte un nom unique à chaque CRL. Les noms sont numérotés consécutivement (CRL_1, CRL_2, CRL_3, etc.).


Utilisateur d’utilisateurs et des serveu l’authentification de l’utilisa ccès aux ressources du

Cette section couvre les s

de l’auth

ilisateurs lo

DIUS

• Serveurs LDAP

Configuration de l’authentification d’un utilisateur L’authentification FortiGate contrôle l’accès par les groupes utilisateurs. La création de groupes d’utilisateurs n’est pas la première étape de la configuration de l’authentification. Vous devez configurer l’authentification d’un utilisateur en respectant l’ordre suivant :

1 Si une authentification externe utilisant des serveurs RADIUS ou LDAP est quise, configurez l’accès à ces serveurs. Voir « Serveurs RADIUS » à la page

26 et « Serveurs LDAP » à la page 327.

2 comptes uutilisateur, le mot de passe

erveur LDAP. Vo .

3 En cas d’utilisation d’un se e Directory pour l’authentification, configure ows AD » à Les u n’ont pas besoin de compt boîtier FortiGate. Vous devez in r les Fortinetréseau Windows.

4 Créez dy des m troisDirectory et VPN SSL.

Paramétrage du timeout d’authentification

Les timeouts d’authentification contrôlent combien de temps une connexion pare-feu authentifiée peut rester inactive avant que l’utilisateur ne doive s’authentifier à nouveau.

Cette section explique comment installer des comptes utilisateurs, des groupes rs d’authentification externes. Certains composants deteur permettent de contrôler l’a

réseau.

ujets suivants :

• Configuration entification d’un utilisateur

• Comptes ut caux

• Serveurs RA

• Serveurs Windows AD

• Groupe d’utilisateurs

• Configuration de paires et de groupes paires

re3

Configurez des tilisateurs locaux dans Utilisateur > Local. Pour chaque peut être authentifié par le boîtier FortiGate, un serveur

RADIUS ou un s ir « Comptes utilisateurs locaux » à la page 325

rveur Microsoft Windows Activz-en l’accès. Voir « Configuration d’un serveur Wind

la page 329. tilisateurs authentifiés par un serveur Active Directoryes utilisateurs locaux sur le

stalle Server Authentication Extensions (FSAE) sur votre

es groupes d’utilisateurs dans Utilisateur > Groupe utilisateur et ajoutez-embres. Il y a types de groupes d’utilisateurs : Pare-feu, Active


Définir un time

out d’authentification

1

2 aramètres de Timeout Utilisateur, entrez une période de temps en minutes.

Comptes utilisateurs locaux

con authentification.

Illustration 181 : Liste des utilisateurs locaux

Sélectionnez Système > Admin > Settings.

Dans PLe timeout d’authentification par défaut est de 15 minutes.

Sélectionnez Utilisateur > Local pour ajouter des comptes utilisateurs locaux et figurer une

Créer Nouveau Permet d’ajouter un nouveau compte utilisateur local.

Nom des utilisateurs Le nom de l’utilisateur local.

tilisateur.

r

eur.

Type Le type d’authentification à mettre en place pour cet u

Icône Supprimer Supprimer l’utilisateur. Cette icône n’apparaît pas si l’utilisateuappartient à un groupe d’utilisateurs.

Icône Editer Permet d’éditer le compte utilisat

Rema uthentification configurée pour

Edition d’un compte

Séle ur créer un nou er d’un Illus

rque : Supprimer le nom utilisateur supprime également l’a l’utilisateur.

utilisateur

ctionnez Utilisateur > Local et cliquez sur Créer Nouveau poveau compte utilisateur. Vous pouvez également sélectionner l’icône Edit compte utilisateur existant pour visualiser ou modifier ses paramètres.

tration 182 : Options des utilisateurs locaux

Nom odifiez le nom du comp

Dés t utilisateur de

Mot partir d’un mot de passe stocké sur le boîtier FortiGate. Entrez

caractères de long.

LDA er cet utilisateur à partir d’un mot ur LDAP. Sélectionnez le serveur

LDAP. Vous pouvez seulement sélectionner un serveur LDAP

de compte Entrez ou m te.

activer Cochez cette case si vous voulez empêcher ces’authentifier.

de passe Sélectionnez un mot de passe pour authentifier cet utilisateur à

un mot de passe d’au moins 6

P Cochez LDAP pour authentifide passe stocké sur un serve


qui a été ajouté à la configuration LDAP FortiGate. Voir

DIUS. Vous pouvez seulement sélectionner un serveur RADIUS qui a été ajouté à la configuration RADIUS FortiGate. Voir « Serveurs RADIUS » ci-dessous.

Serveurs RADIUS Si vous avez configuré un support RADIUS et qu’un utilisateur doit s’authentifier à

contacte ce serveur pour r > RADIUS pour configurer les serveurs

« Serveurs LDAP » à la page 327.

RADIUS Cochez RADIUS pour authentifier cet utilisateur à partir d’un mot de passe stocké sur un serveur RADIUS. Sélectionnez le serveur RA

l’aide d’un serveur RADIUS, le boîtier FortiGate authentification. Sélectionnez UtilisateuRADIUS. Le port par défaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS utilise le port 1645, vous pouvez modifier le port RADIUS par défaut à partir de l’interface de ligne de commande. Pour plus d’informations,voir la commande config system global dans le FortiGate CLI Reference. Illustration 183 : Liste des serveurs RADIUS

Créer Nouveau Permet d’ajouter un nouveau serveur RADIUS.

Nom Le nom du serveur RADIUS.

Nom/Adresse IP Le nom de domaine ou l’adresse IP du serveur RADIUS.

e

Configuration d’un s

er Nouveau pour créer une

Icône Supprimer Supprime une configuration de serveur RADIUS. Vous npouvez pas supprimer un serveur RADIUS qui a été ajouté à un groupe d’utilisateurs.

Icône Editer Editer une configuration de serveur RADIUS.

erveur RADIUS

Sélectionnez Utilisateur > RADIUS et cliquez sur Crénouvelle configuration de serveur RADIUS. Vous pouvez également cliquer sur l’icône Editer d’un serveur RADIUS existant pour le modifier. Illustration 184 : Configuration RADIUS

Nom Entrez un nom pour identifier le serveur RADIUS.

Nom/Adresse IP Entrez un nom de domaine ou une adresse IP d’un serveur RADIUS.

Secret Entrez le secret du serveur RADIUS.


Serveurs LDAr à

un

Le boîtier FortiGate supporte la fonctionnalité du protocole LDAP définie dans la

DAP

ctionnez Utilisateur > LDAP pour configurer les serveurs LDAP.

te des serveurs LDAP

P Si vous avez configuré un support LDAP et qu’un utilisateur doit s’authentifiel’aide d’un serveur LDAP, le boîtier FortiGate contacte ce serveur pour authentification. Pour authentifier avec le boîtier FortiGate, l’utilisateur entrenom d’utilisateur et un mot de passe. Le boîtier FortiGate envoie ces informations au serveur LDAP. Si ce serveur peut authentifier l’utilisateur, celui-ci est connecté avec succès au boîtier FortiGate. Si le serveur LDAP ne peut pas authentifier l’utilisateur, la connexion au boîtier FortiGate lui est refusée.

RFC2251 pour la recherche et la validation des noms d’utilisateurs et mots de passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec Lv3. Le support FortiGate LDAP ne couvre pas les fonctionnalités « privées », telle que la notification de la date d’expiration d’un mot de passe, qui est parfois disponiblesur certains serveurs LDAP. Le support FortiGate LDAP ne fournit pas d’informations à l’utilisateur sur les raisons de l’échec de l’authentification. Séle

Illustration 185 : Lis

Créer Nouveau Ajoute un nouveau serveur LDAP.

om Le nom d’identification du serveur LDAP sur le boîtier

Port

Nom Commun nt

rs utilisent un autre l’identifiant tel que uid.

Icône Supprimer serveur LDAP.

NFortiGate.

Nom/Adresse IP Le nom de domaine ou l’adresse IP du serveur LDAP.

Le port utilisé pour communiquer avec le serveur LDAP.

Identifiant L’identifiant nom commun pour le serveur LDAP. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependacertains serveu

Distinguished Name Le distinguished name utilisé pour rechercher des entréesdans le serveur LDAP. Le distinguished name reflète la hiérarchie des classes d’objets des bases de données LDAP au-dessus de l’Identifiant Nom Commun.

Supprime une configuration de

Icône Editer Edite une configuration de serveur LDAP.


Configuration d’un serveur LDAP

Sélectionnez Utilisateur > LDAP et cliquez sur Créer Nouveau pour créer une nouvelle configuration de serveur LDAP. Vous pouvez également cliquez sur l’icône Editer d’une configuration d’un serveur LDAP existante. Illustration 186 : Configuration d’un serveur LDAP

Nom Entrez ou modifiez un nom d’identification de ce serveur

LDAP.

Nom/Adresse IP nom de d

Port Entrez le port utilisé AP. Par défaut, LDAP u

Identifiant Nom Commun Entrez l’Identifiant Nom Com rveur LDAP. Ce

LDAP cet identifiantutilisent un autre l’id

Distinguished Name Entrez le distinguish eentrées sur le serveur L

nguishle X.500 correct ou ltransfère ce distingu

de

nguished name, par :

Serveurs Windows AD

l’authentification, les boîtiemanière transparente, san e passe. Vous devez pour c tensions

coinformations du serveur W la FSAE Technical Note. Sélectionnez Utilisateur > D pour configurer les serveurs Windows

Entrez un omaine ou une adresse IP du serveur LDAP.

pour communiquer avec le serveur LDtilise port 389.

mun pour le sechamp est limité à 20 caractères. Pour la plupart des serveurs

est cn. Cependant certains serveurs entifiant tel que uid.

ed name utilisé pour rech rcher des DAP.

Entrez le disti ed name de base pour le serveur utilisant e format LDAP. Le boîtier FortiGate ished name inchangé au serveur.

Par exemple, vous pouvez utiliser le distinguished namebase suivant : ou=marketing,dc=fortinet,dc=com où ou est le département dans l’organisation et dc, le composant du domaine. Vous pouvez également spécifier des instances multiples du même champ dans le distiexemple, pour spécifier de multiples unités organisationnelles ou=account,ou=marketing,dc=fortinet,dc=com.

Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour rs FortiGate peuvent authentifier les utilisateurs de s avoir à leur demander leur compte utilisateur et mot dela installer le Fortinet Server Authentication Ex

(FSAE) sur le réseau et nfigurer le boîtier FortiGate pour retrouver les indows AD. Pour plus d’informations sur le FSAE, voir

Windows AAD.


Illustration 187 : Liste de rveurs Windows AD se

Les adresses IP et les ports TCP d’agents collecteurs (jusqu’à a connexion au

Icône Supprimer Supprime ce serveur Windows AD.

Icône Editer Edite ce serveur Windows AD.

Icône Rafraîchir Fournit des informations sur les groupes et domaines à partir du serveur Windows AD.

Configuration d’un serveur Windows AD

>n

propos de FSAE, voir la F Illustration 188 : Configura

Créer Nouveau Permet d’ajouter un nouveau serveur Windows AD.

FortiClient AD Le nom du serveur Windows AD avec FSAE. Vous pouvez étendre le nom du serveur pour afficher les informations du groupe et domaine Windows AD.

dresse IP Amaximum 5) qui envoient des informations sur lserveur Windows AD au boîtier FortiGate.

Sélectionnez Utilisateur Windows AD et cliquez sur Créer Nouveau pour créer une nouvelle configuratio de serveur Windows AD. Pour plus d’informations à

SAE Technical Note.

tion du serveur Windows AD

FortiClie om pour le serveur Windows AD. Ce nom apparaît

éez des

Server #

IP ws AD où cet agent

s AD. Ce doit être le e spécifié dans la configuration de

e

nt AD Entrez un ndans la liste des serveurs Windows AD lorsque vous crgroupes d’utilisateurs.

1 - # 5 Entrez les informations suivantes des agents collecteurs(maximum 5 agents collecteurs).

Adresse Entrez l’adresse IP du serveur Windocollecteur est installé.

Port Entrez le port TCP utilisé pour Windowmême que le port FortiGatl’agent collecteur FSAE.

Mot de pass Entrez le mot de passe pour l’agent collecteur. Ceci est requis uniquement si vous avez configuré votre agent collecteur FSAE pour qu’il requiert un accès authentifié.


Groupe d’utilisateurs Un grou eurs eêtre :

• un compte utilisateur local (compte utilisateur et mot de passe) stocké sur le

• un compte utilisateur local avec mot de passe stocké sur un serveur RADIUS

eur RADIUS ou LDAP (toutes les identités sur le serveur peuvent

ans la plupart des cas, le boîtier FortiGate authentifie les utilisateurs en requérant te vérifie d’abord les

comptes utilisateurs locaux. En absence de correspondance, le boîtier FortiGate é ifie les serveurs RADIUS et LDAP qui appartiennent au groupe d’utilisateurs.

éussit lo

Pour un groupe d’utilisateu ctory, le serveur Active Directory

rs lorsqu’il

ous pouvez configurer les

feu qu

Voir « Ajout d’une auth à la page 238.

• des VPN SSL sur le boîtier FortiGate

Voir « Options des règles pare-feu VPN SSL » à la page 243.

• des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup.

Voir « Création d’une nouvelle configuration phase 1 » à la page 296.

• de XAuth pour les configurations Phase 1 VNP IPSec

Voir XAUTH dans « Définition des paramètres avancés de la phase 1 » à la page 299.

• de la configuration PPTP FortiGate

Voir « Plage PPTP » à la page 312.

• de la configuration L2TP FortiGate

Configurable uniquement à partir de la commande CLI config vpn 12tp. Voir le FortiGate CLI Reference.

• d’une connexion administrateur via une authentification RADIUS

Voir « Configuration d’une authentification RADIUS des administrateurs » à la page 169.

• des groupes override du Filtrage Web FortiGuard

Voir « Filtrage Web FortiGuard » à la page 378.

pe d’utilisat st une liste d’identités d’utilisateurs. Une identité peut

boîtier FortiGate

ou LDAP

• un servs’authentifier)

• un groupe d’utilisateurs défini sur un serveur Microsoft Active Directory (AD)

Dleur compte utilisateur et mot de passe. Le boîtier FortiGa

v rL’authentification r rsque la correspondance du compte utilisateur et du mot de passe a lieu.

rs Active Direauthentifie les utilisateu s se connectent au réseau. Le boîtier FortiGatereçoit les noms et adresse IP des utilisateurs de l’agent collecteur FSAE. Pour plus d’informations sur le FSAE, voir FSAE Technical Note.

groupes d’utilisateurs pour fournir un accès authentifié Và :

• des règles pare- i requièrent une authentification

entification aux règles pare-feu »


quels groupes utilisateurs ner le nombre et l’a embres concernés

en

Types de groupe d’utilisateurs

lisateurs pare-feu fournit un accès à une règle pare-feu qui requiert hentification de type pare-feu et comprend le groupe d’utilisateurs parmi les

boît e passe des membres du grressources protégées par d’une authentification aux

tilisateurs pa s dialup. Da

utilise l’ID paire Accept dal’utilisateur est configuré a

uniquement si son compte s autorisé et que le mot de pUn groupe d’utilisateurs ne pe t pas être un groupe dialup si l’un des membres est

uthentifié à partir d’un serveur RADIUS ou LDAP. Pour plus d’informations, voir uvelle 296.

sateurs pa r fournir des privilèges s options override

r des informations la page

ur un réseau Microsoft Windows, le boîtier FortiGate peut permettre l’accès aux membres de groupes utilisateurs d’un serveur Active Directory qui ont été authentifiés sur le réseau Windows. Le FSAE (Fortinet Server Authentication Extensions) doit être installé sur les contrôleurs du domaine du réseau. Un groupe d’utilisateurs Active Directory fournit un accès à une règle pare-feu qui requiert une authentification de type Active Directory et comprend le groupe d’utilisateurs parmi les groupes autorisés. Les membres du groupe d’utilisateurs sont des groupes Active Directory que vous sélectionnez dans une liste que le boîtier FortiGate reçoit des serveurs Windows AD que vous avez configurés. Voir « Serveurs Windows AD » à la page 328. Un groupe d’utilisateurs Active Directory ne peut pas bénéficier des privilèges override FortiGuard ou d’un accès VPN SSL.

Pour chaque ressource qui nécessite une authentification, vous devez spécifieront une permission d’accès. Vous devez également dhésion des groupes d’utilisateurs mdétermi

pour vos besoins d’auth tification.

Il existe trois types de groupes d’utilisateurs :

Groupe d’utilisateurs pare-feu

Un groune aut

pe d’utiugroupes autorisés. Le ier FortiGate requiert le compte utilisateur et mot d

oupes lorsque l’utilisateur tente d’accéder aux la règle pare-feu. Pour plus d’informations, voir « Ajout règles pare-feu » à la page 238.

Un groupe d’u re-feu peut également fournir un accès à un VPN IPSecaux utilisateur ns ce cas, la configuration de la phase 1 VPN IPSec

ns l’option paire groupe dialup. Le client VPN de vec comme compte utilisateur l’ID du paire et comme

mot de passe la clé partagée. L’utilisateur arrive à se connecter au VPN IPSec utilisateur est membre d’un groupe d’utilisateurasse corresponde à celui stocké sur le boîtier FortiGate.

ua« Création d‘une no configuration phase 1 » à la page Un groupe d’utili re-feu peut être utilisé poud’override pour le filtrage web FortiGuard. Voir « Configuration deFortiGuard pour un groupe d’utilisateurs » à la page 334. Poudétaillées sur FortiGuard Web Filter, voir « Filtrage Web FortiGuard » à378.

Groupe d’utilisateurs Active Directory

S


Groupe d’utilisateurs VPN SSL

Un groupe d’utilisateurs VPN SSL fournit un accès à une règle pare-feu qui requiert une authentification de type VPN SSL et comprend le groupe d’utilisateurs parmi les groupes autorisés. Les comptes utilisateurs locaux, ainsi que les

requiert le nom du compte utilisateur et son mot de passe rsque l’utilisateur accède au portail web VPN SSL. Les paramètres du groupe

ur les fonctionnalités VPN SSL. Voir « Configuration des options d’un groupe d’utilisateurs VPN SSL » à la page 335. Un group utilisateurs VPN SSL peut également fournir un accès aux utilisateurs dial s ce cas, la configuration phase 1 VPN IPSec utilise l’ide epter configuré dans l’option du groupe de paires. Le client VPN de l’utilisateur est configuré avec comme compte utilisateur l’IP du paire et comme mot de passe, la clé partagée. L’utilisateur arrive à se connecter au VPN IPS urs auto e boîtier FortiGate. Un groupe d’utilisateurs ne peut pas être un groupe dialup si l’un des membres est authentifié à partir d’un serveur RADIUS ou LDAP. Pour plus

Liste de groupes

serveurs RADIUS et LDAP peuvent être membres d’un groupe d’utilisateurs VPN SSL. Le boîtier FortiGatelod’utilisateurs comprennent des options po

e d’up VPN IPSec. Danntifiant du paire à acc

ec uniquement si le compte utilisateur est membre d’un groupe d’utilisaterisé et que le mot de passe corresponde à un mot de passe stocké sur l

d’informations, voir « Création d‘une nouvelle configuration phase 1 » à la page 296.

d’utilisateurs

Sélectionnez Utilisateur > Groupe utilisateur pour configurer des groupes d’utilisateurs. Illustration 189 : Liste des groupes d’utilisateurs

Créer Nouveau Permet d’ajouter un nouveau groupe d’utilisateurs.

r

Supprime le groupe d’utilisateurs. Vous ne pouvez pas supprimer un groupe d’utilisateurs repris dans une règle pare-feu, une configuration phase 1 d’un utilisateur dialup ou une configuration PPTP ou L2TP.

Icône Editer Edite l’adhésion d’un membre et les options du groupe.

Nom des groupes Le nom du groupe d’utilisateurs. Les noms sont répertoriés patype de groupe d’utilisateurs : Pare-feu, Active Directory et VPN SSL.

Membres Les utilisateurs et serveurs RADIUS ou LDAP du groupe d’utilisateurs.

Profil de protection Le profil de protection associé à ce groupe d’utilisateurs.

ône SupprimerIc


Configuration d’u

Sélectionnez Utilisateur > Groupe utilisateur et cliquez sur Créer Nouveau ou s ’un groupe existant pour s o I e d

n groupe d’utilisateurs

ur l’icône Editer d configurer ses membres et autreptions.

llustration 190 : Configuration d’un group ’utilisateurs

Nom Entrez le nom du groupe d’utilisateurs.

T type du groupe d’utilisateurs : Voir « Types de teurs » à la page 331.

Firewall Vous pouvez sélectionner ce groupe pour chaque règle pare-feu requérant une authentification pare-feu. Voir « Ajout

ne authentification aux règles pare-feu » à la page 238.

Vous pouvez sélectionner ce groupe pour chaque règle pare-feu requérant une authentification Active Directory. Voir « Ajout d’une authentification aux règles

SSL-VPN er ce groupe pour chaque règle pare-feu dont l’Action est définie sur SSL-VPN. Voir « Options des règles pare-feu VPN SSL » à la page 243.

ction Disponible uniquement si le type est Firewall ou Active Directory. Sélectionnez un profil de protection pour ce groupe d’utilisateurs. Vous pouvez sélectionner Créer Nouveau pour

LDAP

s et cliquez sur la flèche

. Sélectionnez le nom d’un utilisateur ou d’un a liste des Membres et cliquez sur la flèche

ype Sélectionnez legroupe d’utilisa

d’u

Active Directory

pare-feu » à la page 238.

Vous pouvez sélectionn

Profil de prote

créer un nouveau profil de protection.

Utilisateurs disponibles La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui peuvent être ajoutés à un groupe d’utilisateurs.

Membres La liste des utilisateurs, serveurs RADIUS ou serveursqui appartiennent à un groupe d’utilisateurs.

Bouton Flèche Droite Permet d’ajouter un utilisateur ou un serveur à la liste des Membres. Sélectionnez le nom d’un utilisateur ou d’un serveur dans la liste Utilisateurs Disponibledroite pour le transférer dans la liste des Membres.

Bouton Flèche Gauche Permet de supprimer un utilisateur ou un serveur de la listedes Membresserveur dans l


gauche pour le transférer dans la liste des Utilisateurs Disponibles.

Override du filtrage web Ceci est uniquement disponible si le Type est défini sur FortiGuard Firewall. Permet de configurer les options override du filtrage

web FortiGuard pour ce groupe. Voir « Configuration des

Ceci est uniquement disponible si le Type est défini sur VPN SSL. Pour des instructions détaillées à propos de la

configuration du mode web ou du mode tunnel, voir le FortiGate SSL VPN User Guide.

options override FortiGuard pour un groupe d’utilisateurs » ci-dessous.

Options de groupe d’utilisateurs SSL-VPN

Remarque : Si vous tentez d’ajouter des serveurs LDAP ou des utilisateurs locaux à un groupe configuré pour une authentification d’administrateurs, un message d’erreur s’affiche.

Configuration des options override FortiGuard pour un groupe d’utilisateurs

web FortiGuard

Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l’icône Editer d’un groupe d’utilisateurs pare-feu. Afficher la section Override du filtrage Web FortiGuard. Illustration 191 : Configuration de l’override du filtrage

Permettre l’override du Les membres de ce groupe peuvent solliciter l’override

(l’ignorance

filtrage Web FortiGuard ) de la page de blocage du filtrage Web FortiGuard. exion doit avoir

me vent

ilter Block Override

pe

Utilisateur L’utilisateur seul

IP N’importe quel utilisateur à l’adresse IP de l’utilisateur

sateur

Demander L’utilisateur en cours d’authentification choisit l’override

du directory dans l’URL

site web

Catégories à la catégorie FortiGuard

Le profil de protection pare-feu gérant la connactivé l’override de FortiGuard.

Le profil de protection désigne un groupe d’utilisateurs comgroupe Override. Les membres de ce groupe Override peuauthentifier sur la page FortiGuard Web Fpour accéder au site bloqué.

Pour plus d’informations détaillées, voir « Filtrage Web FortiGuard » à la page 378.

Override Sco L’override peut s’appliquer au seul utilisateur qui sollicite l’override ou en comprendre d’autres. Choisissez entre :

Groupe Le groupe d’utilisateurs auquel appartient l’utilisateur d’utilisateurs

Profil N’importe quel utilisateur sur le sous-réseau de l’utili

Type d’Override Choisissez pour permettre l’accès :

Directory uniquement au niveau le plus bas

Domaine à l’intégralité du domaine du


Demander L’utilisateur en cours d’authentification choisit le type d’override

Cextérieurs du site bloqué :

peut suivre les liens des autres sites.

Interdit L’utilisateur peut uniquement suivre les liens vers les destinations définies par le type d’Override.

Demander L’utilisateur en cours d’authentification choisit de permettre

Etablissez la durée de l’override.

Constant Définissez la durée de l’override en jours, heures, minutes.

Demander L’utilisateur en cours d’authentification détermine la durée de l’override. La durée que vous définissez est la durée maximum.

Configuration des options des groupes d’utilisateurs VPN SSL

Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l’icône Editer d’un groupe d’utilisateurs VPN SSL. Affichez la section Options de groupe d’utilisateurs VPN SSL. Pour des instructions détaillées sur la configuration en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide. Illustration 192 : Options de groupe d’utilisateurs VPN SSL

Off-site URLs hoisissez si l’utilisateur peut accéder aux liens des sites

Autorisé L’utilisateur

l’accès aux liens de sites extérieurs.

Override Time

Activer le service Activer pour permettre aux utilisateurs de ce groupe de se tunnel SSL-VPN connecter au réseau derrière le boîtier FortiGate utilisant le

tunnel VPN SSL. Ceci n’est pas disponible en mode Transparent.

Vérifier si le FortiClient Permettre au client de se connecter seulement s’il est installé et fonctionne fonctionne avec le FortiClient Host Security Software. Pour

plus d’informations à propos de ce software, visitez le site de Documentation Technique Fortinet.

Vérifier la présence Permettre au client de se connecter seulement si un logiciel d’un antivirus tiers antivirus Norton (Symantec) ou McAfee est installé. Cette

option n’est pas disponible si vous sélectionnez Vérifier si le FortiClient est installé et fonctionne.


Vérifier la présence Permettre au client de se connecter seulement si un logicied’un firewall logiciel ti

l ers pare-feu Norton (Symantec) ou McAfee est installé. Cette

option n’est pas disponible si vous sélectionnez Vérifier si le FortiClient est installé et fonctionne.

indre la plage IP

du tunnel pour ce groupe N > SSL > Config.

ation

Proxy HTTP/HTTPS z Web Application, activez chaque applications

upe.

Cache Clean t la déconnexion. Ceci

s’effectue grâce à un contrôle ActiveX téléchargé et fonctionne 000 et

Le

r web de cette URL doit se trouver sur le réseau privé

e

Configuration

ntification dans certaines configurations VPN. Pour ce faire, utilisez les

Restre Entrez les adresses IP de début et de fin de la plage intervalle pour ce groupe si vous désirez un override de la plage Tunnel IP définie dans VP

Activer Web Applic Activez le portail web pour fournir un accès aux application

web. Ceci n’est pas disponible en mode Transparent.

Si vous activeFTP dont l’accès est permis aux utilisateurs de ce gro

(applet) TelnetSamba Activer Enlève tous les fichiers temporaires Internet créés sur

l’ordinateur client entre la connexion e

uniquement avec Internet Explorer sur Windows 2Windows XP.

Redirect URL Facultativement, ouvrez une deuxième fenêtre de navigation

vers cette URL lorsque la page du portail VPN SSL s’ouvre. serveuderrière le boîtier FortiGate.

Vous pouvez également modifier la page de connexion du portail web VPN SSL. Pour plus d’informations, voir « Modification du message de connexion VPN SSL » à la pag165.

Personnaliser le Entrez le message personnalisé à afficher sur la page de message du portail garde du portail pour ce groupe. pour ce groupe

de paires et de groupes de paires Vous pouvez définir des paires et des groupes de paires utilisés pour ’authelcommande CLI config user paire et config user peergrp. Pour davantage d’informations, voir le chapitre « User » du FortiGate CLI Reference.


Antivirus

• Antivirus

• Modèles de Fichier

• Mise en Quarantaine

Configuration

figuration de l’Anti

Antivirus Le traitement Antivirus comprend des modules et des appliances variés exécutant

es séparées. Le b raitements antivirus dans ition des fonctionnalités dans le menu de l’interface d’administration e fichier, analyse antivirus, et grayware, suivis par heuristique,

e rk

,

e dans

Cette section décrit comment configurer les options antivirus associées aux profils de protection pare-feu. Cette section couvre les sujets suivants :

•

• Con virus à partir de l’interface de ligne de commande

des tâch oîtier FortiGate procède aux tl’ordre d’apparweb : modèle dconfigurable uniquement à partir de l’interface de ligne de commande. Les services FortiGuard-AntivirusTM constituent d’excellentes ressources offrant des mises à jour automatiques des bases de données antivirus et IPS, de mêmque de l’antispam local DNSBL, et ce, à partir du FortiGuard Distribution NetwoFDN). Par ailleurs, le Centre FortiGuard fournit une encyclopédie FortiGuard-(

Antivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de détailsvisitez le site de la Base de Connaissance Fortinet où vous trouverez également un lien vers le Centre FortiGuard. La connexion entre le boîtier FortiGate et le Centre FortiGuard se configurSystème > Maintenance > FortiGuard Center. Voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier Ffonctionnalités antivirus sont configurées globalement. Po

ortiGate, les ur accéder à ces fonctionnalités,

sélectionnez Configuration Globale dans le menu principal. Alors que des paramètres antivirus sont configurés pour une utilisation globale, des paramètres spécifiques peuvent être implémentés pour chaque profil. Le tableau 34 compare les options antivirus des profils de protection et les paramètres du menu antivirus.


Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus Options antivirus des Profils de Protection

Paramètres Antivirus

Analyse antivirus Antivirus > Config > Liste de Virus Activer ou désactiver l’analyse antivirus pour chaque protocole (http, FTP, IMAP, POP3, SMTP, IM).

Visualiser une liste (en lecture uniquement) des virus actuels.

Modèle de fichier Antivirus > File Pattern Activer ou désactiver le traitement de modèle de Fichier (File Pattern) pour

Configurer des modèles de fichier pour bloquer o

chaque protoc modèles peuvent aussi être activés ou ole. u autoriser ces fichiers. Des

désactivés individuellement. Mise en Qu Antivirus > Mise en Quarantaine arantaine Activer ou désactiver la mis quarantaine

haque protocole. Cetnible sur les boîtiers a

local ou un FortiAnalyzer co

Visualiser et trier la liste des fichiers en

er

e enpour c te option est dispo vec un disque

nfiguré.

quarantaine, configurer des modèles de fichier pour téléchargement automatique vers Fortinet pour analyse et configurles options de quarantaine dans Antivirus.

Passer les emails fragmentés Activer ou désactiver le pas

emails fraglysés c

sage d’emails fragmentés. Les mentés ne peuvent pas être ana ontre les virus. Option « Comfort Client » Activer ou désactiver cette otrafic HTTP et FTP. Etablir uun volume en octets pour dél’option de comfort client.

ption pour le n intervalle et clencher

Fichier/Mail surdimensionné Configurer le boîtier FortiGaou autoriser les fichiers et msurdimensionnés pour chaq

es seuils de taille po pour chaque protocole

te pour bloquer ails

ue protocole. Etablir d ur les fichiers et mails dans Antivirus. Antivirus > Config > Grayware iver ou désactiver le blocage de Act

grayware par catégorie. Ajouter une signature aux mails sortants. Crée e à ajouter aux mails sortants (SMT ment).

r et activer une signaturP seule

Modèles de FLa configuration de modèl ermet de bloquer tous les

ers potentiellement mepeuvent être bloqués sur bLe blocage de modèles de r des

nus potentiellement d

ichier es de fichier (File Pattern) p

fichi naçants et empêcher les attaques et virus. Les fichiers ase du nom, de l’extension ou tout autre caractéristique. nom de fichier offre la flexibilité de bloque

conte angereux.

Remarque : Les entrées de m e sont pas sensibles à la casse des

ge

odèles de fichier ncaractères (lettre majuscule/minuscule). Par exemple, ajouter *.exe à une liste de modèles de fichier entraîne un bloca de tous les fichiers se terminant par .EXE.


En cas d’opération rd, vous pouvez choisir de désactiver File Pattern dae l’activer temp

standa ns le Profil de Protection et d orairement pour bloquer les menaces

d elles ap

Le boîtier FortiGate bloque les fichiers qui correspondent à un modèle de fichier

tivés, le boîtier FortiGate bloque les r activés et ne procède pas à une

spécifiques quan paraissent.

spécifique et affiche un message de remplacement à la place. Le boîtier FortiGateenregistre un message dans le Journal Virus et peut être configuré pour envoyer un message d’alerte.

Si File Pattern et Virus Scan sont tout deux acfichiers correspondants aux modèles de fichieanalyse des virus.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, électionnez Configuration Globale dans le menu principal.

Visualisation du cplus uniquement

c profil de protection. Pour visualiser le catalogue des listes de modèles de

fichier

s

atalogue de la liste des modèles de fichier (FortiGate-800 et )

Les modèles FortiGate-800 et plus prévoient la possibilité d’ajouter des listes de modèles de fichier et de sélectionner ensuite la liste la plus appropriée pour haque

fichier, sélectionnez Antivirus > File Pattern. Pour visualiser une liste de modèles de fichier, cliquez sur l’icône Editer de la liste. Illustration 193 : Echantillon d’un catalogue de listes de modèles de

Remarque : Le catalogue des listes de Modèles de Fichier par défaut s’appelle builtin-

Nom

aque liste.

Commentaire facultative de chaque liste.

Icône Supprimer Permet de retirer la liste du catalogue. Cette icône n’est pas ste est reprise dans un profil de

Sélectionnez les listes de modèles de fichier dans les profils de protection. Pour

lus d’informations, voir « Options Antivirus » à la page 282.

patterns.

Créer Nouveau Permet d’ajouter une nouvelle liste de modèles de fichier au catalogue.

Les listes de modèles de fichier disponibles.

# entrées Le nombre de modèles de fichier dans ch

Profils Les profils de protection auxquels la liste a été appliquée.

Description

disponible lorsque la liprotection.

Icône Editer Permet d’éditer des informations de la liste de modèles defichier telles que le nom de la liste ou le commentaire.

p


Création d’une no le liste de mouniquement)

Pour ajouter une liste de modèles de fichier dans le catalogue, sélectionnez Antivirus > File Pattern et cliquez sur Créer Nouveau.

uvel dèles de fichier ( FortiGate-800 et plus

Illustration 194 : Nouvelle liste de modèles de fichier

Nom Entrez un nom pour cette nouvelle liste.

Commentaire Entrez un commentaire pour décrire cette liste si nécessaire.

Visualisation de l

Pour visualiser la liste de modèles de fichier sur les modèles FortiGate-500 et ins, sélectionnez Antivirus > File Pattern.

Illustration 195 : Liste des modèles de fichier par défaut pour les modèles FortiGate-500 et moins

a liste de modèles de fichier

m

o

Pour visualiser la liste des modèles de fichier sur les modèles FortiGate-800 et plus, sélectionnez Antivirus > File Pattern et cliquez sur l’icône Editer de la liste à visualiser.


Illustration 196 : Echantillon d’une liste de modèles de fichier pour les modèlesFortiGate-800 et plus

-

Nom Le nom de la liste. Pour modifier le nom, éditez le texte

ce dans

champ et cliquez sur OK. Le champ Nom apparaît sur les modèles FortiGate-800 et plus.

Commentaire Commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ commentaire et cliquez sur OK.

800 et plus.

Filtre

Activer fichier.

Icône Supprimer

Icône Editer et son action.

Icône Déplacer

Les fichiers sont comparésd’apparition dans la liste, dpas à l’un de modèles de fi ).

assent s’ils ne sont pas explicitement bloqués.

L’action Autoriser permet de renverser la procédure, en bloquant tous les fichiers sauf ceux précisés explicitement. Entrez tous les modèles de fichier que vous voulez laisser passer associés à l’attribut Autoriser. A la fin de la liste, ajoutez le méta-caractère (*.*) associé à l’action Autoriser. Les fichiers autorisés passent à travers l’analyseur de virus (si activé) alors que les fichiers ne correspondant à aucun modèle de fichier sont bloqués grâce au méta-caractère ajouté à la fin de la liste.

ur les modèles FortiGate-500 et moins, la liste des modèles de fichier est

• Les fichiers exécutables (*.bat, *.com, *.exe)

• Les librairies dyna

cations H

Le champ commentaire apparaît sur les modèles FortiGate-

Créer Nouveau Permet d’ajouter un nouveau modèle à la liste.

La liste actuelle des modèles de fichier.

Action Les fichiers correspondants aux modèles de fichier peuvent être définis sur Bloquer ou Autoriser.

Décochez la case pour désactiver le modèle de

Permet de retirer le modèle de fichier de la liste.

Permet d’éditer le modèle de fichier

Permet de modifier la position du modèle de fichier dans la liste.

aux modèles de fichier activés, et ce dans leur ordre e haut en bas. Dans le cas où un fichier ne correspond chier spécifiés, il subit une analyse virale (si activée

Les fichiers p

Spréconfigurée avec les modèles par défaut suivants :

• Les fichiers compressés ou archivés (*.gz, *.rar, *.tar, *.tgz, *.zip)

miques (*.dll)

• Les appli TML (*.hta)


• Les fichiers Micros

chiers Visua

• Les fichiers Scree

• Les fichiers d’infor

Les modèles de fichier sond’information, voir « Option

Configuration de la liste de modèles d

es de fichier peu e long. Une liste peut contenir maximum de 5000 modèles de fichier.

oft Office (*.doc, *.ppt, *.xl)

• Les fichiers Microsoft Works (*.wps)

• Les fi l Basic (*.vb)

n Saver (*.scr)

mations de programmes (*.pif)

t activés dans les profils de protection. Pour plus s Antivirus » à la page 282.

e fichier

Les modèl vent faire 80 caractères dun Pour ajouter un nouveau modèle de fichier, cliquez sur Créer Nouveau. Pour éditer un modèle de fichier existant, cliquez sur l’icône Editer associée au modèle. Illustration 197 : Nouveau modèle de fichier

Pattern Entrez le modèle de fichier. Celui-ci peut correspondre au n

exacte d’un fichier ou inclure des méta-caractères.

Action Sélectionnez un type de modèle de la liste déroulante :Wildcard ou Expression régulière.

om

ctiver Cochez pour activer le modèle.

Mise en Quarantaine es uts

ortiGate non munis d’un disque local peuvent placer en quarantaine alyzer. Les fichiers stockés

s pour visualisation. Pour configurer un boîtier FortiAnalyzer, sélectionnez Journaux/Alertes > Configuration > Configuration du Journal.

A

Les boîtiers FortiGate munis d’un disque local peuvent placer en quarantaine dchiers bloqués ou infectés. Vous pouvez visualiser le nom du fichier et ses statfi

dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des fichiers spécifiques et d’ajouter des modèles de fichier à la liste de soumission automatique pour un téléchargement automatique vers Fortinet pour analyse.

es boîtiers FLdes fichiers bloqués ou infectés sur un boîtier FortiAnsur un FortiAnalyzer peuvent êtres récupéré

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.


Visualisation de l

s pouvez trier les fichiers par nom de fichier, date, service, état,

écompte (DC) ou time to live (TTL). Il est également possible de filtrer la liste

Pour visualiser la liste des Fichiers mis en quarantaine, sélectionnez Antivirus > iers en quarantaine.

a liste des Fichiers mis en Quarantaine

La liste des fichiers mis en quarantaine affiche des informations à propos de chaque fichier mis en quarantaine pour cause d’infection par virus ou de blocagede fichiers. Voudselon l’état ou le service du fichier en quarantaine.

Mise en Quarantaine > Fich Illustration 198 : Liste des fichiers mis en quarantaine

Cette liste comporte les fonctionnalités suivantes et affiche les informations suivantes pour chaque fichier mis en quarantaine : Appliquer Permet d’appliquer les sélections de tri et de filtrage à la liste.

, e

igurable à partir de l’interface de ligne de

ichier Le nom du fichier en quarantaine. Lorsqu’un fichier est mis en quarantaine, tous les espaces sont enlevés du nom du fichier et une somme de vérification de 32-bit est exécuté sur le fichier. La somme de vérification apparaît dans le message de remplacement mais pas dans le fichier en quarantaine. Le fichier est stocké sur le disque dur du FortiGate avec la convention suivante :

<32bit_CRC>.<processed_filename>

Par exemple, un fichier du nom de Over Size.exe est stocké sous

3fc155d2.oversize.exe

Date La date et l’heure de la mise en quarantaine du fichier, sous le format jj/mm/aaaa hh:mm. Cette valeur indique le moment auquel le premier fichier a été mis en quarantaine si le décompte augmente.

Service Le service à partir duquel le fichier a été mis en quarantaine (HTTP, FTP, IMAP, POP3, SMTP, IM).

Etat La raison pour laquelle le fichier a été mis en quarantaine : contaminés, heuristiques ou filtrés.

Description du statut Informations spécifiques relatives à l’état, par exemple « File is infected with « W32/Klez.h » » ou « File was stopped by file block pattern ».

Classer par Trie la liste. Choisissez entre Etat, Service, Nom du FichierDate, TTL ou décompte. Cliquez sur Appliquer pour lancer ltri.

Filtre Filtre la liste. Choisissez entre Etat (contaminés, heuristiques, filtrés) ou service (IMAP, POP3, SMTP, FTP ou HTTP). Cliquez sur Appliquer pour lancer le filtrage. Le mode heuristique est confcommande seulement. Voir « Configuration de l’Antivirus à partir de l’interface de ligne de commande » à la page 350.

Nom du F


DC Duplicate count - Décompte. Le nombre de duplicata du même fichier mis en quarantaine. Un nombre augmentant rapidement peut être un signal de la présence d’un virus.

TTL Time to live sous le format hh:mm. Une fois le TTL écoulé, le boîtier FortiGate nomme le fichier EXP sous l’en-tête TTL. Dans le cas de duplicata de fichiers, chaque duplicata trouvé rafraîchit le TTL.

Statut du téléchargement Un Y indique que le fichier a été téléchargé vers Fortinet pour analyse. Un N signifie que ce fichier n’a pas été téléchargé.

Icône Supprimer Permet de retirer un fichier de la liste.

Icône Télécharger Permet de télécharger le fichier correspondant dans son format original.

Icône Soumettre Permet de soumettre un fichier suspect à Fortinet pour analyse.

Remarque : Les duplicatas de fichiers (basés sur la somme de vérification) ne sont pastockés, seulement comptés. La valeur TTL et le comptage de duplicata sont mis à jouchaque fois qu’un fichier est trouvé.

s r à

Visualisation de la liste de soumission automatique

conf s automatiquement r des modèles de fichier éta-

tères (* ou ?tenir compte des p Téléchargez les fisoumettez des fich is en

ntaine. Le bo les fichiers à un serve Cette option est disponible uniquement sur les boîtiers FortiGate munis d’un disque

Pour visualiser la Antivirus > Mise

rantaine >

Illustration 199 : Echantillon d’une liste de soumission automatique

Vous pouvez igurer le boîtier FortiGate pour télécharger les fichiers suspectvers Fortinet pour analyse. Vous pouvez également ajoute à la liste de soumission automatique en utilisant les m

carac ). Les modèles de fichier sont appliqués à l’AutoSubmit, sans aramètres de blocage de fichier.

chiers vers Fortinet selon l’état (filtré ou heuristique) ou iers individuels directement à partir de la liste des fichiers m

quara îtier FortiGate utilise des mails cryptés pour soumettreur SMTP à partir du port 25.

local.

liste de soumission automatique, sélectionnez en Qua Soumission automatique.

Permet d’ajouter un nouveau modèle de fichier à la liste de soumission automatique.

Créer Nouveau

e fichier ée éez un modèle en utilisant les méta-

Icône Supprimer

Nom d La liste en cours de modèles de fichier qui sera téléchargautomatiquement. Crcaractères ? ou *. Cochez la case pour activer tous les modèles de fichier de la liste.

Permet de retirer une entrée de la liste.


Icône Permet d’éditer les informations suivantes : Modèle de Fichieet Activer.

Editer r

Configuration de la liste de soumission automatique

Pour ajouter un msélectionnez Antiv Illustration 200 : Nou

odèle de fichier à une liste de soumission automatique, irus > Mise en Quarantaine > Soumission automatique.

veau modèle de fichier

Entrez le modèle de fic

Filtre hier ou le nom de fichier à télécharger

Activer

automatiquement vers Fortinet.

Sélectionnez pour activer le modèle de fichier.

Remarque : Pour activer un téléchargement automatique des modèles de fichier configurés, sélectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le téléchargement automatique et sélectionnez Utiliser les filtres de nom.

Configuration des

ions de configuration de mise en quarantaine, notamment le choix de mettre en

ine ou pas les fichiers contaminés ou filtrés et à partir de quel service. z le TTL et les valeurs de taille de fichiers et activez les paramètres

AutoSubmit. Illustration 201 : Configuration de la mise en Quarantaine (FortiGate avec disque local)

options de mise en quarantaine

Sélectionnez Antivirus > Mise en Quarantaine > Config pour définir des opt

quarantaConfigure


Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer d’un FortiGate avec disque local)

Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer d’un FortiGate sans disque local)

Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté dans l’avenir.

La configuration de la mise en quarantaine offre les options suivantes : Options Mise en quarantaine des fichiers contaminés: Sélectionnez les

protocoles à partir desquels mettre en quarantaine les fichiers contaminés identifiés par l’analyseur antivirus.

Mise en quarantaine des fichiers suspects: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers suspects identifiés par heuristique.

Mise en quarantaine des fichiers bloqués: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers bloqués identifiés par un blocage de fichiers antivirus. Cette option n’est pas disponible pour les protocoles HTTP, FTP et IM parce qu’un nom de fichier est bloqué avant téléchargement et ne peut pas être mis en quarantaine.

Âge limite Le temps limite en heures pendant lequel les fichiers sont maintenus en quarantaine. Cette limite est utilisée pour formuler la valeur dans le colonne TTL de la liste des fichiers mis en quarantaine. Lorsque la limite est atteinte, la colonne TTL affiche EXP. et le fichier est supprimé (bien qu’un enregistrement est maintenu dans la liste des fichiers mis en


quarantaine). La valeur 0 (zéro) permet un stockage indéfini,

e

quarantaine les nouveaux fichiers.

ur activer le stockage des fichiers bloqués ou ur un boîtier FortiAnalyzer. Voir

age 409 pour plus d’informations îtier FortiAnalyzer.

Acti onnalité de soumission automatique. auto tionnez une ou les deux options ci-dessous :

ser les filtres de nom : Active le téléchargement omatique des fichiers correspondants aux modèles de

fichier dans la liste de soumission automatique.

ment statut.

Sélectionnez soit Heuristique, soit Nom filtré.

e l’interface de ligne de guration de l’Antivirus à

Configurationl

dépendant de l’espace libre sur le disque.

Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Unquarantaine taille maximum trop haute pourrait impacter la performance.

Espace disque faible Sélectionnez l’action à prendre lorsque le disque local est complet : Ecraser les plus vieux fichiers ou Ne pas mettre en

FortiAnalyzer Sélectionnez poen quarantaine s« Journaux/Alertes » à la psur la configuration d’un bo

ver le téléchargement Active la fonctimatique Sélec

Utiliaut

Utiliser le statut des fichiers : Active le téléchargeautomatique de fichiers en quarantaine selon leur

Heuristique est configurable à partir dcommande uniquement. Voir « Confipartir de l’interface de ligne de commande » à la page 350.

Appliquer Enregistre la configuration.

La page Config affiche une liste des virus actuels bloqués par le boîtier FortiGate. I

st également possible de configurer des limites de tailles de fichiers et de mails, eet de bloquer des graywares.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, lesnalités antivirus sont configurées globalement. Pour accéder à ces fonction

fonction nalités,

Visualisation de l

actuelles

Celui-ci utilise les définitions de virus pour détecter ou enlever les virus, vers,

n

du Centre FortiGuard comprend des descriptions étaillées de virus, vers, troyens et autres menaces pouvant être détectés et retirés

par votre boîtier FortiGate grâce aux informations des définitions des virus FortiGuard.

sélectionnez Configuration Globale dans le menu principal.

a liste des virus

La liste des virus affiche une liste alphabétique FortiGuard des définitionsdes virus (appelées également définitions AV) installée sur le boîtier FortiGate.

troyens et autres menaces lorsqu’ils passent à travers le boîtier FortiGate. Visualiser la liste complète ou des parties de cette liste en sélectionnant un intervalle numérique ou alphabétique. Pour visualiser la liste des virus, sélectionnez Antivirus > Config. La liste FortiGuard des définitions de virus est mise à jour à chaque réceptiod’une nouvelle version FortiGuard des définitions AV par le boîtier FortiGate. L’Encyclopédie des Virusd


Illustration 204 : Liste (partielle) des virus

Les définitions AV FortiGuard sont généralement mises à jour automatiquement à partir du réseau de distribution FortiGuard (FDN – FortiGuard Distribution Network). Sélectionnez Système > Maintenance > FortiGuard Center pour

Visualisation de l

ments pouvant es fins malveillantes.

L ate procède à une analyse tables g La ies s à jour à chaque réceptio ntivirus par le boîtier FortiGate. De nouvelles catégories p et seront téléchargées lors de la mise à jour a elles catégories sont désactivées. L’option de recu rsque Virus Scan e L d . A c es mises à jour des défin ar le boîtier F grayware sont mis

configurer automatiquement les mises à jour automatiques des définitions AV à partir du FDN. Vous pouvez également mettre à jour manuellement les définitions AV à partir dutableau de bord (sélectionnez Système > Statut).

a liste des Graywares

Les programmes Grayware sont des logiciels commerciaux non désirés qui ’installent sur les ordinateurs, en général sans l’autorisation ni connaissance de s

l’utilisateur. Ces programmes sont considérés comme désagrée ce, vo dntraîner des problèmes de performan ir être utilisés à

e boîtier FortiG en vue des programmes exécurayware pour chaque catégorie activée. ont ajoutés ou mis

liste et les contenus des catégorn de mise à jour de l’a

euvent être créées à tout moment ntivirus. Par défaut, toutes les nouvherche de Grayware est activée dans

n profil de protection lo st activé.

es catégories Grayware sont composéeshaque réception d

e fichiers exécutables connusitions antivirus et IPS p

ortiGate, les catégories es à jour.

Remarque : Lorsque des domaines virtuels sontfonctionnalités antivirus sont configurées globale sélectionnez Configuration Globale dans le me

activés sur le boîtier FortiGate, les ment. Pour accéder à ces fonctionnalités,nu principal.

Pour visualiser la liste Grayware, sélectionnez Antivirus > Config > Grayware.


Illustration 205 : Echantillons des options grayware

L’activation d’une catégorie grayware entraîne le blocage de tous les fichiers

Adware Blocage des programmes adware. Les adwares sont généralement ancrés dans des logiciels gratuits qui entraînent l’apparition de publicités à chaque ouverture ou utilisation du programme.

BHO Blocage des Browser Helper Object. Les BHO sont des fichiers DDL souvent installés dans des logiciels de manière à ce que ce logiciel puisse contrôler le comportement de l’Internet Explorer 4.x et plus. Certains BHO sont bienveillants, mais il y a toujours un risque potentiel de rassembler des informations sur les habitudes de navigation.

Dial Blocage des programmes dialer. Les dialers sont des petits programmes qui peuvent se créer une nouvelle connexion Internet à des numéros surtaxés ou longues distances via les modems d’autres

C.

Blocage ont généraleinstaller

cage éral des blagues ou jeux que vous

HackerTool Blocage

Hijacker Blocagesubstitue nt des modifications des paramètres du navigateur Internet, notamd’accueil

Joke Blocagedes curs

Keylog Blocage Enregistreurs de frappe. Ces programmes enregistrpasse, le

Misc Blocagegrayware

NMT Blocageréseaux modifier les paramètres et perturber la sécurité du réseau.

répertoriés dans cette catégorie. Les catégories peuvent être modifiées ou complétées lors des mises à jour. Choisissez parmi les catégories suivantes, celles que vous voulez bloquer :

P

Download des programmes de téléchargement. Les téléchargementsment lieu lors du démarrage Windows et sont destinés à des logiciels, en particulier des publicités.

Game Blo de games. Les games sont en gén voudrez probablement interdire aux utilisateurs du réseau.

des outils des attaquants.

des programmes des substitueurs de navigateur. Les urs de navigateur entraîne

ment dans les favoris, signets, page et options des menus.

des programmes joke. Ces programmes peuvent comprendre eurs clients qui apparaissent pour affecter le système.

des programmesent la frappe des touches sur le clavier notamment les mots de s messages instantanés et les discussions sur forum.

de n’importe quel programme compris dans la catégorie « miscellaneous ».

des Network Management Tools. Ces outils de gestion des peuvent être installés et utilisés avec malveillance pour


P2P Blocagequ’étant onyme de programme de partage autres fic

Plugin Blocage se greffe rincipal afin de lui apporter de nouvelles fonctionnbarres d’ou enreg

Blocagedistanceà distanc

Spy Blocageadware, Ils permettent

publicité

Toolbar Blocagesont sanbarres d’ t ces infor

Configuration de l’Antivirus à partir de l’interface de ligne de commande

Cette section parcourt les commandes CLI offrant des fonctionnalités supplémentaires que celles de l’interface d’administration web. Pour des descriptions et exemples complets sur l’ajout de fonctionnalités à partir de l’interface de ligne de commande, reportez-vous au FortiGate CLI Reference.

system global optimize

Cette fonctionnalité configure les paramètres CPU pour assurer un fonctionnement efficace de l’analyseur antivirus ou de passage direct du trafic à travers le boîtier FortiGate. Lorsque cette fonction est définie sur antivirus, le boîtier FortiGate utilise un procédé de traitement multiple symétrique pour étendre les tâches antivirus à divers CPU, rendant ainsi l’analyse plus rapide. Cette fonction est disponible sur les modèles FortiGate-1000 et plus. Pour plus d’informations, voir l’article Antivirus failopen and optimization sur le site de la Base de Connaissance Fortinet.

config antivirus heuristic

L’engin antivirus heuristique FortiGate exécute des tests sur les fichiers pour détecter des comportements susceptibles d’être effectués par des virus ou des indicateurs de virus connus. Une analyse heuristique est lancée en dernier, après que le filtrage des fichiers et l’analyse antivirus n’aient donné aucun résultat. L’analyseur heuristique peut donc trouver de nouveaux virus mais risquent également de produire des résultats erronés. L’engin heuristique est activé par défaut pour laisser passer les fichiers suspects vers le destinataire et envoyer une copie en quarantaine. Une fois configurée dans l’interface de ligne de commande, l’analyse heuristique est activée dans un profil de protection lorsque le Virus Scan est activé.

des programmes de communication peer to peer. P2P, bien un protocole légitime, est souvent synde fichiers utilisés pour échanger de la musique, des films et hiers, souvent en toute illégalité.

des modules d’extension. Ces modules d’extension viennentr à un logiciel palités. Ils sont souvent sans risque. Cependant, certaines outils ou de modules d’extensions peuvent tenter de contrôler istrer et envoyer les préférences de navigation de l’utilisateur.

RAT de Remote Administration Tools. Ces outils de gestion à permettent à des utilisateurs extérieurs de modifier et contrôler e un ordinateur du réseau.

des logiciels espions. Les logiciels espions tels que les sont souvent compris dans les logiciels gratuits.

de faire des rapports des activités de l’utilisateur telles que les habitudes de navigation Internet et de les envoyer à un site web de

qui les analysera.

des barres d’outils clients. Bien que certaines barres d’outils s risque, les développeurs de logiciels espions utilisent des outils pour contrôler les habitudes de navigation et envoienmations au développeur.


Utilisez la commande heuristique pour modifier le mode d’analyse heuristique.

config antivirus quarantine

L uarantaine paramètres liés à l’analyse modèles FortiGate-200 et p

config antivirus se <service_name

Utilisez cette commande po de gros fichiers dans le trafic HTTP les ports que le boîtier FortiGate ana

a commande q donne également lieu à une configuration des heuristique. Cette fonction est disponible sur leslus.

rvice >

ur configurer le traitement de l’analyse antivirus, FTP, IM, POP3, IMAP ou SMTP, ainsi que lyse pour le service.


Protection contre lee système de Prévention d’Intrusion FortiGuard (IPS - Intrusion Prevention ystem) combine la détection et la prévention des intrusions d’anomalies et de

signatures, et ce avec la garantie d’une haute fiabilité. Le système IPS offre un es lors de la création des profils de

Signatures prédéfinies

• Signatures personnalisées

• Décodeurs de protocoles

• Anomalies

• Configuration de l’IPS à partir de l’interface de ligne de commande

A propos de la protection contre les intrusions rtiGate peut e r

’alerte aux admréinitialiser ou supprimer le ou sessions suspects. Il est important

des seuils d’anom timal du trafic sur protégés. La cer le système I

L’IPS FortiGate correspon s signatures IPS. La fiabilité s connues. L’infrastructure ddes nouvelles menaces et

FortiGuard fo et comprennent des mises à jour automatiques des engins et définitions antivirus et IPS (attaques) grâce au Réseau de Distribution FortiGuard (FDN – FortiGuard Distribution Network). Le Centre FortiGuard offre également une encyclopédie de virus et attaques et publie le bulletin de FortiGuard. Visitez le site de la Base de Connaissance Fortinet pour plus de détails et un lien vers le Centre FortiGuard.

rtiGate et FortiGuard est configurée dans Système

fichiers de d s

rs de définitions des attaques dès que ceux-ci sont onibles sur le FDN.

s Intrusions LS

accès de configuration des options IPS activéprotection pare-feu. Cette section couvre les sujets suivants :

• A propos de la protection contre les intrusions

•

Le boîtier Fo nregistrer le trafic suspect dans des journaux, envoyedes mails d inistrateurs et journaliser, passer, abandonner,

s paquets d’ajuster alies IPS pour un fonctionnement oples réseaux réation de signatures personnalisées permet de personnalis PS FortiGate pour des environnements réseaux divers.

d au trafic réseau contre les modèles contenus dans lede ces signatures protège votre réseau des attaqueu FortiGuard de Fortinet assure une identification rapide le développement de nouvelles signatures IPS.

Les services rment des ressources précieuses

La connexion entre le boîtier Fo> Maintenance > FortiGuard Center. Voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186 pour plus d’informations. Vous pouvez configurer le boîtier FortiGate pour télécharger automatiquement les

éfinitions des attaques mis à jour qui contiennent les signatures leplus récentes. Vous pouvez également les télécharger manuellement. Une alternative est de configurer le boîtier FortiGate de manière à ce qu’il autorise les

ises à jour forcées des fichiemdisp


Lorsque le boîtier FortiGate installe un fichier de définition des attaques mis à jour, il vérifie que la configuration par défaut de chaque signature a été modifiée. Si c’est le cas, ces modifications seront maintenues.

uvez créer des sigutilisera en plus de sa vastou empêchement d’une atconfigurer le boîtier FortiG

mail d’alerte aux admini ors à quel intervalle le ate doit envo uire le nombre de

s journalisés et dauxquelles le système n’el’absence de fonctionneme

ets fournit aux administrateurs la possibilité d’analyser les on de faux positifs.

ir

Vous po natures IPS personnalisées que le boîtier FortiGate

e liste de signatures IPS prédéfinies. A chaque détection taque, un message d’attaque est généré. Vous pouvez ate pour qu’il ajoute le message au Journal des Attaques

et envoie un strateurs. Définissez alboîtier FortiG yer un mail d’alerte. Vous pouvez rédmessage ’alertes en désactivant les signatures pour les attaques

st pas vulnérable, par exemple, les attaques web en nt du serveur web.

La journalisation de paqupaquets pour une détecti Pour plus d’informations sur la journalisation et les mails d’alertes FortiGate, vo« Journaux/Alertes » à la page 409. Configurez l’IPS et activez ou désactivez ensuite toutes les signatures ou toutesles anomalies dans les profils de protection pare-feu individuels.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Le tableau 35 décrit les paramètres IPS et comment y accéder pour les configurer.

Tableau 35 : IPS des profils de protection et configuration IPS Options IPS des profils de protection Paramètres IPS

Signature IPS Intrusion Protection > Signature Activer ou désactiver les signatures IPS par Visualiseniveau de sévérité.

r et configurer une liste de signatures prédéfinies. Créer des signatures personnalisées basées sur les nécessités du réseau.

tocoles. Configurer des décodeurs de proAnomalie IPS Intrusion Protection > Anomaly Activer ou désactiver les anomalieniveau de sévérité. d’anomalies prédéfinies.

s IPS par Visualiser et configurer une liste

Journaux des Intrusions Intrusion Protection > Anomaly > [i ndividual aly] anom

Activer la journa es Activer la journalisation pour chaque lisation de toutes lsignatures et intrusions d’anomalies. signature ou groupe de signatures.

Activer la journalisation de paquets pour chaque signature ou anomalie.

Pour accéder aux options IPS des profils de protection, sélectionnez Pare-feu >

tection, cliquez su et sélectionnez IPS. Profil de pro r Editer ou Créer Nouveau


Signatures prédéfinies atures prédéfinies sont s

s. Par défaut, toutes les journalisation de toutes les signa par défaut répondent aux exigen La désactivation de signatures inet réduire le nombre de messagl’IPS. Par exemple, l’IPS détectel’accès à un serveur web derrièr er FortiGate n’est pas prévu, désactivez

natures des attaqu Les groupes de signatures compdu type de signature dans le gro

e signature s’a

Visualisation de la liste de signatures préd

ctiver et configurer les paramètres pour les signatures liste. Cette liste peut être visualisée par niveau de

Les sign arrangées en groupes basés sur le type deattaque signatures ne sont pas activées mais la

tures est activée. Veillez à ce que le paramétrageces du trafic du réseau.

utiles peut améliorer la performance du système es journalisés et les mails d’alertes générés par un grand nombre d’attaques du serveur web. Si e le boîti

toutes les sig es du serveur web.

rennent des paramètres configurables dépendant upe de signatures. Les paramètres configurés

pour un groupe d ppliquent à toutes les signatures de ce groupe.

éfinies

Vous pouvez activer ou désaprédéfinies individuelles de lasévérité de la signature.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Pour visualiser la liste des signatures prédéfinies, sélectionnez Intrusion Protection > Signature > Predefined. Illustration 206 : Liste des signatures prédéfinies

Voir les signatures Sélectionnez des filtres et cliquez ensuite sur Go prédéfinies avec pour visualiser les signatures répondant aux critères la sévérité : des filtres. Les critères de tri peuvent être <=, =, >=, Tout,

Information, Low, Medium, High ou Critical.

Nom des signatures Le nom du groupe de signatures.

Activer L’état des signatures du groupe. Un cercle vert indique que chaque signature dans le groupe est activée. Un cercle gris


indique qu’aucune signature dans le groupe n’est activée. Un cercle mi-gris, mi-vert indique que certaines signatures sont activées et d’autres pas.

atures du groupe. Par es les signatures.

de la session, Laisser passer la session, ou Supprimer la session. En cas d’activation de la journalisation, l’action apparaît dans le champ Etat du

Sévérité tures. ation, Low, Medium, High ou

Critical. Le niveau de sévérité est défini pour les signatures individuelles.

embres du groupe de signatures, cliquez sur le

s ou ètres

nière, cela permet d’activer ou de désactiver tous les membres d’un groupe en une seule opération.

té modifié. Cliquez sur la flèche bleue pour dérouler le groupe de signatures pour visualiser les signatures qui ont été modifiées. Sélectionner

par ures

Journaliser L’état de la journalisation pour les signdéfaut, la journalisation est activée pour toutLorsque la journalisation est activée, l’action apparaît dans le champ Etat (Status ou Statut) du message journalisé générépar la signature.

Action L’action définie pour les signatures individuelles. Cliquez sur le triangle bleu pour faire apparaître les membres du groupe de signatures. L’action peut être Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets

message journalisé généré par la signature. Voir le Tableau 36pour une description de ces actions.

Le niveau de sévérité défini pour chacune de ces signaCe niveau peut être Inform

Révision Le nombre de révision pour les signatures individuelles. Pourafficher les mtriangle bleu.

Icône Configurer Configurez les paramètres pour les signatures individuelleun groupe entier. Les modifications apportées aux paramd’un groupe s’appliquent à tous les membres de ce groupe. De cette ma

Icône Réinitialiser (Reset) Cette icône apparaît uniquement lorsque le paramétrage par défaut d’une signature ou d’un groupe a é

cette icône pour une signature rétablit son paramétragedéfaut. Sélectionner cette icône pour un groupe rétablit leparamétrage par défaut du groupe et de toutes les signatmembres du groupe.


Le tableau 36 décrit chaque action possible pour les signatures prédéfinies, personnalisées ou les anomalies. Tableau 36 : Actions à sélectionner pour chaque signature prédéfinie

Action Description Laisser passer Lorsqu’un paquet active une signature, le boîtier

et à

Si la journalisation est désactivée et l’action établie sur Laisser passer, la signature est effectivement désactivée.

FortiGate génère une alerte et autorise le paqutravers le pare-feu sans action supplémentaire.

Rejeter Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. La session pare-feu est intouchée. Fortinet recommande l’utilisation d’une autre action que Rejeter pour les attaques basées sur des connexions TCP.

Réinitialiser et. Le

lisation au client are-feu de la

TCP. Les

ement établie, la session

Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquboîtier FortiGate envoie une réinitiaet au serveur et rejette la session ptable de session pare-feu. Ceci ne s’applique qu’aux connexionsattaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l’action Réinitialiser est enclenchée avant que la connexion TCP soit entièrest supprimée.

Réinitialiser côté client Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au client et rejette la session pare-feu de la table de session pare-feu. Ceci ne s’applique qu’aux connexions TCP. Les attaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l’action Réinitialiser côté client est enclenchée avant que la connexion TCP soit entièrement établie, la session est supprimée.

Réinitialiser côté serveur

ux connexions TCP. Les

aliser côté serveur est enclenchée

Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne s’applique qu’aattaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l’action Réinitiavant que la connexion TCP soit entièrement établie, la session est supprimée.

Rejeter tous les paquets de la session

nature, le boîtier FortiGate génère une alerte et rejette le paquet. Les paquets suivants de cette session pare-feu sont également rejetés.

Lorsqu’un paquet active une sig

Laisser passer la session Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et autorise le paquet à travers le pare-feu. Les paquets suivants de cette session contournent l’IPS.

Supprimer la session Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et la session à laquelle appartient ce paquet est immédiatement retirée de


la table de session. Aucun réinitialisation n’est envoyée. Pour TCP, tous les paquets suivants sont rejetés. Pour UDP, tous les paquets suivants peuvent

le pare-enclencher une nouvelle session créée par feu.

ies

s les nfiguration d’un groupe sont appliquées

roupes de signatures IPS prédéfinies

Configuration de groupes de signatures prédéfin

Pour modifier rapidement et facilement les attributs de toutes les signatures d’un groupe, cliquez sur l’icône Configurer du groupe de signatures associé. Seul

ttributs modifiés dans une fenêtre de coaaux signatures de ce groupe. llustration 207 : Configuration de gI

re

Activer

Journaliser outes les signatures du groupe.

ppliquer à toutes les

paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions.

a liste déroulante. Les

signatures individuelles.

Configuration des ures prédéfin

Pour chaque signature, co IPS FortiGate doit prendre lors de ction d’une attaque

ou supprimer les paquets nnez re.

er des groupignature > Predefined.

Signatu Le groupe de signatures auquel les changements seront appliqués.

Active toutes les signatures du groupe.

Active la journalisation pour t

Action Sélectionnez une action de la liste à asignatures du groupe. Les différentes action sont : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les

Packet Log Active la journalisation des paquets.

Severity Sélectionnez un niveau de sévérité de ldifférents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les

signat ies

nfigurez l’action que l’la déte . L’IPS FortiGate peut laisser passer, rejeter, réinitialiser

ou les sessions. Activez ou désactivez la journalisationde paquets. Sélectio un niveau de sévérité à appliquer à la signatu Pour configur es de signatures, sélectionnez Intrusion Protection > S


Illustration 208 : Configuration des signatures IPS prédéfinies.

ction Sélectionnez une deA s actions de la liste : Laisser passer,

ession. Voir le tableau 36 pour une description des actions.


Les dium,

i pour les signatures individuelles.

er ate pour des environnements réseaux divers. Les signatures

i une application inhabitu ne est utilisée, o s pouvez ajouter des signatures personnalisées en fonction des alertes de

es v

Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la s

Sévérité Sélectionnez un niveau de sévérité de la liste déroulante.différents niveaux de sévérité sont : Information, Low, MeHigh, Critical. Le niveau de sévérité est défin

Signatures personnalisées Les signatures personnalisée offrent le pouvoir et la flexibilité de personnalis’IPS FortiGlprédéfinies FortiGate couvrent les attaques les plus courantes. S

elle ou spécialisée ou encore une plateforme peu commuv usécurité publiées par l endeurs de l’application ou de la plateforme.

Remarque : Lorsque des dom tivés sur le boîtier FortiGate, les nnalités IPS sont confi er à ces fonctionnalités, onnez Configuration

Visualisation de la liste des signatures personnalisées

Pour visualiser la liste desProtection > Signature > .

Illustration 209 : Liste des s

aines virtuels sont acfonctio gurées globalement. Pour accédsélecti Globale dans le menu principal.

signatures personnalisées, sélectionnez Intrusion Custom

ignatures personnalisées

Sélectionnez les filtres et cliquez ensuite sur Go pour érité visualiser les signatures personnalisées qui

correspondent à ces critères. Les

Voir les signatures personnalisées avec la sév

différents critères sont

Critical.

personnalisées

Créer nouveau Permet de créer un nouvelle signature personnalisée.

Icône Supprimer toutes les Supprime toutes les signatures personnalisées du groupe.

<+, =, >= pour Tout, Information, Low, Medium, High ou

Activer les signatures Activez ou désactivez le groupe de signatures

personnalisées


signatures personnalisées

es signatures.

ournaliser Le statut de la journalisation pour chaque signature ifie que la

ure.

Action L’action établie pour chacune des signatures personnalisées. Les différentes actions sont : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l’action apparaît dans le champ Etat du message journalisé généré par la signature. Voir le leau 36 pour une description des actions.

Icône Supprimer ne signature personnalisée.

ter vérité.

Création de signatures personnalisée

L’utilisation de signatures personnalisées sert à bloquer ou permettre des trafics spécifiques. Par exemple, pour bloquer le trafic comprenant un contenu pornographique, ajoutez des signatures personnalisées similaires au modèle suivant : F-SBID (--protocol tcp ; --flow established ; --content « nude cheerleader » ; --no_case) Lors de l’ajout de la signature, définissez l’action sur Rejeter tous les paquets de la session. Pour plus d’informations sur la syntaxe des signatures personnalisées, voir le FortiGate Intrusion Protection System (IPS) Guide.

Icône Réinitialiser aux valeurs Réinitialise les paramètres par défaut à toutes les par défaut ? signatures personnalisées.

Nom des signatures Le nom d

Activer L’état de chaque signature personnalisée. Une case cochée signifie que la signature est activée.

Jpersonnalisée. Une case cochée signjournalisation est activée pour cette signat

tab

Sévérité Le niveau de sévérité pour chaque signature personnalisée. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les signatures individuelles. Permet de supprimer u

Icône Edi Permet d’éditer les informations suivantes : Nom, Signature, Action, Packet Log et Sé

s

Remarque : Les signatures personnalisées consistent en une fonction avancée. Ce document présume que l’utilisateur a l’expérience nécessaire pour créer des signatures de détection d’intrusions. Pour créer une signature personnalisée, sélectionnez Intrusion Protection > Signature > Custom.


Illustration 210 : Configurer une signature personnalisée

Nom des signatures Le nom de la signature personnalisée.

ations sur

initialiser, Réinitialiser côté client, Réinitialiser côté serve r, ejeter tous les paquets de la session, Laisser passer la

session et Supprimer la session. Voir le tableau 36 pour une description des actions.

. Les ,

signatures individuelles.

Décodeurs de protocoles ui

Activez ou désactivez la journalisation pour chaque anomalie de protocole, et rez l’action IPS à prendre en cas de détection d’anomalie. Utilisez les

commandes CLI pour configurer le contrôle de la session en fonction des adresses

des anomalies des protocoles peut uniquement être mise à jour de l’image logicielle boîtier FortiGate.

Signature Entrez la signature personnalisée. Pour plus d’informla syntaxe des signatures personnalisées, voir le FortiGate Intrusion Protection System (IPS) Guide.

Action Sélectionnez une action de la liste : Laisser passer, Rejeter, Ré uR


Sévérité Sélectionnez un niveau de sévérité de la liste déroulantedifférents niveaux de sévérité sont : Information, Low, MediumHigh, Critical. Le niveau de sévérité est défini pour les

L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic réseau qtente d’exploiter des failles connues.

configu

réseaux source et de destination.

La liste de détection jour lors de la mise à

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.


Visualisation de la liste d

Pour visualiser la liste de

e décodeurs de protocoles

décodeurs, sélectionnez Intrusion Protection > Signature > Protocol Decoder. Illustration 211 : Un échantillon de la liste des décodeurs de protocoles

Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas être désactivés. Les fonctions IM et P2P ont besoin de ces décodeurs pour fonctionner. Cependant, le décodeur individuel peut être désactivé. Voir les protocol decoders Sélectionnez les filtres et cliquez ensuite sur OK pour avec la sévérité visualiser les seuls décodeurs qui correspondent aux critères

, Lo

ournaliser Le statut de la journalisation pour chaque décodeur de t

Les groupes de décodeurs utilisent un indicateur graphique

signifie que toutes les signatures du groupe sont activées. Un iqu groupe n’a été

activée. Un cercle mi-vert, mi-gris signifie que certaines signatures sont a

A e p er r, Rejeter,

ôté les paquets de la er passer la session et Supprimer la session. Si

la journalisation est activée, l’action apparaît dans le champ oir le

S iveau de sév ie de protocole. Les ents niveaux de sévérité sont : Information, Low, Medium,

High, Critical. Le i pour les odeurs indivi

I et d’éditer ltocoles.

ône Réinitialiser Cette icône s’affiche uniquement lorsqu’un décodeur a été modifié. Utilisez cette icône pour restaurer les valeurs initiales des paramètres recommandés.

des filtres. Les différents filtres sont <=, =, >= pour Tous,Information w, Medium, High ou Critical.

Nom Le nom du décodeur de protocole.

Activer L’état du décodeur de protocole. Une case cochée signifie quela signature du décodeur est activée.

Jprotocole. Une case cochée signifie que la journalisation esactivée pour le décodeur.

pour le statut de la signature dans le groupe. Un cercle vert

cercle gris ind e qu’aucune signature du

ctivées et d’autres pas.

ction L’action définipasseRéinitialiser csession, Laiss

our chaque décodeur de protocoles : LaissRéinitialiser, Réinitialiser côté client, serveur, Rejeter tous

statut du message journalisé généré par le décodeur. Vtableau 36 pour une description des actions.

évérité Le ndiffér

érité pour chaque anomal

niveau de sévérité est défindéc

cône Configurer Permpro

duels.

es attributs du groupe de décodeurs de

Ic


Configuration des

D protoco es des s groupe. Sélectionnez l’icône Configurer du groupe de décodeurs de p ce gr configuration du g les paramètres des anomalies individuelles du groupe. C e protocole possède ses propriétés spécifiques. M impacte le fonctionnement du groupe. La manière d peuvent varier pour chaque groupe. I malies de Protocole : HTTP

groupes de décodeurs de protocoles IPS

e nombreux groupes d’anomalies de ignatures du

le ont des propriétés séparé

rotocoles afin d’éditer les propriétés deroupe ne modifiera pas

oupe. L’édition de la

haque groupe d’anomalies dodifier l’une de ces propriétés ont les changements affectent le groupe

llustration 212 : Editer un Groupe d’Ano

Configuration des décode

C alie de trafic IPS est prédéfinie par une configuration recommandée. V omr s de votre réseau. P de trafic IPS, sélectionnez Intrusion Protection > Signature > Protocol Decoder. Illustration 213 : Editer une anomalie de protocole IPS : tcp_reassembler, stealth a

urs de protocoles IPS

haque anomous pouvez utiliser ces configurations rec

épondre aux besoinmandées ou les modifier pour

our configurer les anomalies

ctivity

A c

r er côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer

Supprimer la session. Voir le tableau 36 pour une es actions.

P alisation des paquets.

S iveau de sévérité de la liste déroulante : Information, Low, Medium, High, Critical.

Anomalies au ne

i.

ocoles

ction Sélectionnez une aRejeter, Réinitialise

tion de la liste déroulante : Laisser passer, , Réinitialis

la session etdescription d

acket Log Activer la journ

évérité Sélectionnez un n

L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic résecorrespondant pas aux modèles de trafic connu ou prédéfin L’IPS FortiGate identifie quatre types d’anomalies statistiques pour les protTCP, UDP et ICMP. Flooding Si le nombre de sessions ciblant une seule destination en une

seconde dépasse un seuil spécifié, la destination est submergée (flooding).


Scan Si le nombre de sessions provenant d’une seule source en une seconde dépasse un seuil spécifié, la source est analysée

Limite de la session Si le nombre de sessions en cours à partir d’une de la source

.

seule source dépasse un seuil spécifié, la limite de la session de la source est atteinte.

s en cours vers une seule la destination destination dépasse un seuil spécifié, la limite de la session de

la destination est atteinte.

Limite de la session de Si le nombre de session

Il vous faut activer ou désactiver la journalisation pour chaque anomalie de trafic, et configurer l’action IPS à enclencher en réponse à la détection d’une anomalie. Dans de nombreux cas, les seuils utilisés par l’anomalie pour détecter des modèles de trafic qui pourraient représenter une attaque sont configurables.

Remarque : Il est important de connaître le trafic réseau normal et attendu avant de modifier les seuils d’anomalie par défaut. Etablir un seuil trop bas pourrait causer des faux positifs, et à l’inverse, établir un seuil trop élevé pourrait laisser passer des attaques.

et

ise jour de l’image logicielle sur le boîtier FortiGate.

Pour configurer un contrôle de la session basé sur les adresses réseau sourcede destination, utilisez les commandes CLI. La mise à jour de la liste de détection des anomalies de trafic a lieu lors de la mà

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les S sont confifiguration

Visualisation de l e des anomalies

er la liste des ection > ly.

fonctionnalités IP gurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Con Globale dans le menu principal.

a list de trafic

Pour visualis anomalies, sélectionnez Intrusion ProtAnoma Illustration 214 : Un échantillon de la liste des anomalies de trafic

ur afficher tres : Les

critères sont <=, =, >= pour Tous, Information, Low, Medium,

e cochée signifie que la .

Journaliser L’état de la journalisation pour chaque anomalie de trafic. Une case cochée signifie que la journalisation de l’anomalie est activée.

Voir les anomalies de Sélectionnez les filtres et cliquez ensuite sur Go potrafic avec la sévérité les anomalies qui correspondent aux critères des fil

High, Critical.

Nom Le nom de l’anomalie de trafic.

Activer L’état de l’anomalie de trafic. Une cassignature de l’anomalie est activée


Action L’action définie pour chaque anomalie de trafic : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l’action apparaît dans le champ statut du message journalisé généré par l’Anomalie. Voir le tableau 36 pour une description des actions.

évérité Le niveau de sévérité défini pour chaque anomalie de trafic. Il e sévérité : Information, Low,

r

Icône Editer Permet d’éditer les informations suivantes : Action, Sévérité et

Configuration de

malies de trafic IPS, sélectionnez Intrusion Protection > Anomaly.

Sexiste différents niveaux dMedium, High, Critical. Le niveau de sévérité est défini poules anomalies individuelles.

Seuil.

Icône Réinitialiser Cette icône s’affiche uniquement si l’anomalie a été modifiée. Elle permet de restaurer les valeurs par défaut des paramètresmodifiés.

s anomalies de trafic IPS

Chaque anomalie de trafic IPS est prédéfinie par une configuration recommandée.Vous pouvez utiliser les configurations recommandées ou les modifier pour

pondre aux besoins de votre réseau. ré Pour configurer les ano

Illustration 215 : Editer l’Anomalie de Trafic IPS : icmp_dst_session

Action Sélectionnez une action de la liste déroulante : Laisser passer,

Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions.

Sévérité Sélectionnez un niveau de sévérité de la liste déroulante : Information, Low, Medium, High, Critical.

Seuil Dans le cas des anomalies IPS comprenant le paramètre seuil, le trafic dépassant le seuil spécifié enclenche l’anomalie.


Configurationcommande

Cette section reprend les commandes CLI qui élargissent l’éventail des fonctionnalités disponibles à partir de l’interface d’administration web. Pour plus de descriptions et exemples complets sur l’activation des fonctionnalités supplémentaires à partir de l’interface de ligne de commande, voir le FortiGate CLI Reference.

system auto

modifiés par l’utilisateur sont conservés. Dans le cas où les paramètres recommandés des signatures IPS n’ont

té modifiés, et que leparamètres de la signaturerecommended-settings

ips global fail-open

son qu ctionner, par défaut il ial ne sera pas

re-feu que le problème soit

ips global ip_protocol

ssources du système en restreignant le traitement IPS aux seuls utorisés par les

ips global socket

Définit la taille de la réserv

(config ips anomaly

z à la sous-comma

session basé sur les adresest disponible pour

on, tcp , ion, ud .

de l’IPS à partir de l’interface de ligne de

update ips

Lorsque l’IPS est mis à jour, les paramètres

pas é s paramètres de mise à jour sont différents, les seront définis en fonction de la commande accept-.

Si, pour quelque rai e ce soit, l’IPS devait arrêter de fonlaisse passer le trafic. Ce qui signifie que le trafic réseau crucbloqué, et que les pa continueront d’opérer jusqu’à ce résolu.

Sauve les reservices a règles pare-feu.

-size

e IPS.

) config limit

Accéde nde config limit à partir de la commande configips anomaly <name_str>. Utilisez cette commande pour un contrôle de la

ses réseau source et de destination. Cette commande

tcp_src_sessi _dst_session, icmp_src_sessionicmp_dst_sess p_src_session, udp_dst_session


Filtrage Wion décrit comment configurer les options du Filtrage Web. Les fonctions

u filtrage web doivent être activées dans le profil de protection actif pour les

ette section couvre les sujets suivants :

• Filtrage par mots-clés

• Filtre URL

• Filtrage Web FortiGuard

Filtrage Web e filtrage web comprend des modu s variés qui exécutent des tâches séparées.

r FortiGate effectu de l’interface d’ad

filtrage par catégorie (Fortdernier. Le Filtrage Web FortiGuar n détails dans la section « Options du

rtiGuard » que d’évaluati s via

la page web du Centre FortiGua Connaissance Fortinet Knowled rs le Centre

ard.

eaux suivants com les profils de protection et le menu du filtrage web.

rofils ction

eb Cette sectdparamètres correspondants. C

• Filtrage Web

L leLe boîtie e le filtrage web dans l’ordre d’apparition des filtres dans le menu ministration web : filtrage par mots-clés, filtre URL et

iGuard-Web). Le filtrage des scripts est effectué en

d est décrit eFiltrage Web Fo à la page 285. Les corrections d’évaluation, ainsi des suggestions on pour de nouvelles pages peuvent être soumise

rd. Visitez le site de la Base de Fortinet : ge Center, pour plus de détails et un lien veFortiGu Les tabl parent les options de filtrage web dans

Tableau 37 : Filtrage Web et configuration du filtrage par mots-clés à partir des pde prote

Options de filtrage web des profils de protection Web

Paramètres du Filtrage

Filtrage par mots-clés Filtrage Web > Filtrage par mots-clés Activer ou désactiver le blocage de page web en fonction de mots-clés ou caractéristiques interdits dans la liste de filtrage par mots-clés pour le trafic HT

Ajouter des mots et caractéristiques pour bloquer les pages web contenant ces mots ou caractéristiques.

TP.

leau 38 : Filtrage Web et configuration du filtrage d’URL dans les profils de Taction

Options de filtrage web des ction W

Paramètres du Filtrage

bprote

profils de prote eb Filtrage d’URL Filtrage Web > URL Filter Activer ou désactiver le filtra

ge web pour le trafic Hnction de la liste du filtr

Ajouter les URL et caractéristiques d’URL pour ovenant de

ge de pa TTP en fo e

dispenser ou bloquer les pages web prsources spécifiques.

URL.


Tableau 39 : Filtra t filtrage de script Web dans les profils de protection ement s profils de

ge Web e t configuration de télécharge

Options de filtrage web de Paramètres du Filtrage Web protection Filtrage des ActiveX, Filtrage des cookies, Filtrage des Applets Java

n/a

Activer ou désactiver le blocage scripts de page web pour le trafic HTTP.

Blocage Web resume Download n/a Activez pour bloquer le téléchargement du reste d’un fichier déjà partiellement téléchargé.

Cette option empêche le téléchargement involontaire des virus, mais peut par contre entraîner des interruptions dans le téléchargement.

Tableau 40 : Filtrage Web et configuration du filtrage de catégories web dans les

Options de filtrage web des profils de protection

Paramètres du Filtrage Web profils de protection

Activer le Filtrage Web FortiGuard (HTTP uniquement).

FortiGuard Web Filter > Configuration

Activer l’Override du Filtrage Web FortiGuard (HTTP uniquement).

FortiGuard Web Filter > Override

Fournit le détail des erreurs HTTP 4xx et 5xx ées (HTTP uniquemen

bloqu t). Evalu es images e les images par URL (l

remplacées p(HTTP uniquement). bloquées sont ar des blancs)

Autorise les sites web lorsqu’une erreur d’évaluation a lieu (HTTP uniquement).

Blocage strict (HTTP uniquement). Catégorie / Action Le service de Filtrage Web FortiGuard fournit de nombreuses catégories à partir desquelles le trafic web peut être filtré. Choisissez l’action

à prendre pour chaque catégorie : autorise, bloque, journalise ou autorise l’override. Les catégories locales peuvent être configurées pour co

FortiGuard Web Filter > Catégories locanvenir aux besoins locaux.

les/Local Ratings

Classification / Action Si sélectionnés, les utilisateurs peu

er aux sites web fournissant des vent

accédcontenus sauvegardés et des moteurs de recherche de fichiers image, son et vidéo. Choisissez entre autorise, bloque, journalise ou autorise l’override.

Pour accéder aux options de filtrage web des profils de protection, sélectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Créer Nouveau et sélectionnez Filtrage Web ou Filtrage par Catégorie Web.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités de filtrage web sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.


Filtrage par mots-clés Vous pouvez contrôler le contenu du web en bloquant des mots ou caractéristiques spécifiés. Si cette option est activée dans le profil de protection, le boîtier FortiGate recherche ces mots et caractéristiques sur les pages web demandées. Dans le cas où des correspondances sont trouvées, les valeurs affectées à ces mots sont additionnées. La page web est bloquée lorsque la valeur seuil pour cet utilisateur est dépassée. Utilisez des expressions régulières en Perl ou des méta-caractères (wildcard) pour ajouter des modèles de mots interdits à la liste.

Remarque : Les expressions régulières en Perl sont sensibles à la casse des carapour le filtrag

ctères e par mots-clés. Pour modifier cela et rendre le mot ou la phrase insensible à la

des caractères, utilisezs cas de bad langua

(wildcards) ne sont pas sensi

Visualisation du catalogue des listes det plus)

outer de m u Web pour les s FortiGate-800 et p re liste pour

e profil de protection listes, sélectionnez te quelle liste de

orrespondante.

locage de contenu web

casse l’expression /i. Par exemple, /bad language/i bloque tous le ge sans tenir compte de la casse. Les méta-caractères

bles à la casse des caractères.

e blocage de contenu Web (FortiGate-800

Vous pouvez aj ultiples listes de blocage de contenmodèle lus, et sélectionnez ensuite la meilleuchaqu . Pour visualiser le catalogue des Filtrage Web > Filtrage par mots-clefs. Pour visualiser n’imporblocage de contenu web, cliquez sur l’icône Editer de la liste c Illustration 216 : Echantillon d’un catalogue de listes de b

veau m et

Nom filtrage par mots-clés disponibles.

# d’entrées Le nombre de mots-clés dans chaque liste.

Commentaire Description facultative de chaque liste de filtrage par mots-

liste du catalogue. Cette icône est

diter Sélectionnez pour éditer une liste, un nom de liste ou un commentaire.

Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour plus d’informations, voir « Options du Filtrage Web » à la page 283.

Créer Nou Pour ajouter une nouvelle liste au catalogue, entrez un nosélectionnez Ajouter. Les nouvelles listes sont vides par défaut.

Les listes de

Profils Le profil de protection auquel s’applique chacune des listes.

clés.

Icône Supprimer Sélectionnez pour retirer ladisponible si la liste n’est pas reprise dans un profil de protection.

Icône E


Création d’une noFortiGate-800 et p

eb au catalogue, sélectionnez Filtrage Web > Filtrage par mots-clés et cliquez sur Créer Nouveau. Illustration 217 : Nouvelle liste de blocage de contenu web

uvelle liste de blocage de contenu Web (Modèle boîtier lus)

Pour ajouter une liste de blocage de contenu W

Entrez un nom à la liste.

Entrez un commentaire pour décrire la liste, si nécessaire.

Nom

Commentaire

Visualisation de l cage de

activation de blo t comparée à la liste de blocage de contenu. La valeur du score de chaque modèle apparaissant sur la page est additionnée. Si le total dépasse la valeur seuil définie dans le profil de protection, la page est bloquée. Le score d’un modèle est calculé une seule fois même s’il apparaît à plusieurs reprises sur la page. Pour visualiser la liste de blocage du contenu Web sur les modèles 500 et moins, sélectionnez Filtrage Web > Filtrage par mots-clefs. Illustration 218 : Echantillon d’une liste de blocage de contenu Web pour les

a liste de blo contenu Web

Grâce à l’ cage de contenu Web, chaque page web demandée es

FortiGate-500 et moins

Pour visualiser la liste de blocage du contenu Web sur les modèles 800 et plus,

ter

sélectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur l’icône Edid’une liste que vous voulez visualiser.


Illustration 219 : Echantillon d’une liste de blocage de contenu Web pour les FortiGate-800 et plus

Remarque : Activer Filtrage pour activer les paramètres d ntenu.

Nom de blocage de contenu. Pour modifier le nom, éditer le texte dans le champ et cliquez sur OK. Le champ

un ommentaire, entrez un texte dans le champ Commentaire et cliquez sur OK. Le champ Commentaire s’affiche sur les modèles FortiGate-800 et plus.

dèles dans la liste.

page précédente.

Icône Bas de page Permet d’afficher la page suivante.

Icône Supprimer toutes Permet de supprimer les entrées de la table. les entrées

Modèles La liste en cours des modèles. Cochez la case pour activer tous les modèles de la liste.

ype de modèles Le type de modèle utilisé dans l’entrée de la liste de modèles. aractère) ou Expression ressions régulières en

Langage Le caractère du modèle. Choisissez entre Chinois Simplifié, inois Traditionnel, Français, Japonais, Coréen, Thaï ou cidental.

èles correspondants apparaissant sur la page sont additionnées. Si le total dépasse la valeur seuil définie dans le profil de protection, la page est bloquée.

Permet de supprimer une entrée de la liste.

Type de modèles, Langage, Activer.

Web > Web Content Block dans un profil de protection pare-feu e blocage de co

Nom de la liste

Nom s’affiche sur les modèles FortiGate 800 et plus.

Commentaire Commentaire facultatif. Pour ajouter ou éditer c

Créer Nouveau Permet d’ajouter un modèle à la liste.

Total Le nombre de mo

Icône Haut de page Permet d’afficher la

TChoisissez entre Wildcard (méta-crégulière. Voir « Utilisation des expPerl » à la page 400.

ChOc

Score Une valeur numérique affectée au modèle. Les valeurs des scores de tous les mod

Icône Supprimer

Icône Editer Permet d’éditer les informations suivantes : Modèles,


Configuration de ontenu web

ot ou de texte jusqu’à 80 caractères de long. Le nombre maximum de mots-clés dans la liste est

e 5000.

eb > Content Block.

Illustration 220 : Nouveau modèle banni

la liste de blocage de c

Les modèles de contenu web peuvent être entrés sous forme de m

d Pour ajouter ou éditer un modèle de blocage de contenu, sélectionnez FiltrageW

Modèle Entrez un modèle de blocage de contenu. Si vous entrez un

mot, le boîtier FortiGate recherche ce mot sur toutes les pages

rase s les

Type de format

Score un score pour le modèle.

Visualisation du cFortiGate-800 et p

Vous pouvez ajouter de m pour les les FortiGate-800 et

rofil de protection. z Web > Filtrage p r

chaque liste d’exemption d ent, cliquez sur l’icône orrespon

web. Si vous entrez une phrase, il recherche tous les mots dela phrase sur toutes les pages web. Si vous entrez une phentre guillemets, il recherche la phrase entière sur toutepages web.

Sélectionnez un type de format de la liste déroulante : Wildcard ou Expression Régulière.

Langage Sélectionnez une langue de la liste déroulante.

Entrez

Activer Cochez cette case pour activer le modèle.

ontenu de la liste d’exemption des contenus Web (modèles lus)

ultiples listes d’exemption des contenus Web modè plus, et sélectionner ensuite la meilleure liste pour chaque p Pour visualiser le contenu de ces listes, sélectionneFiltrage ar mots-clés > Web Content Exempt. Pour visualise

es contenus Web individuellemEditer de la liste c dante. Illustration 221 : Echantillon d’un catalogue de liste d’exemption des contenus Web

Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et

sélectionnez Ajouter. Les nouvelles listes sont vides par défaut.

Nom Les listes d’exemption des contenus Web disponibles.

# d’entrées Le nombre de modèles de contenu dans chaque liste de blocage de contenu web.


Profils Le profil de protection appliqué à chaque liste.

scription facultative de chaque liste.

e. Cette icône est

ône Editer Permet d’éditer une liste, le nom de la liste ou le commentaire.

nnez les listes d’exemption des contenus Web dans les profils de ir « Options de filtrage web » à la page 283.

Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-800 et plus)

Pour ajouter une liste d’exemption des contenus Web au catalogue, sélectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur Créer Nouveau.

velle liste

Commentaire De

Icône Supprimer Permet de retirer une liste du catalogudisponible si la liste n’est pas reprise dans un profil de protection.

Ic

Sélectioprotection. Pour plus d’informations, vo

Illustration 222 : Nou d’exemption des contenus Web

Nom Entrez un nom à cette nouvelle liste.

Commentaire Entrez, si nécessaire, un commentaire qui décrive cette liste.

Visualisation de la liste d’exemption des contenus Web

Les exemptions autorisent l’overriding de la fonction de blocage de contenu web. Si l’un des modèles d’exemption défini dans la liste d’exemption des contenus Web

b content exempt list) apparaît sur une page web, celle-ci ne sera pas bloquée

-fs > Web

les

(wemême si elle aurait dû l’être par la fonction de blocage de contenu web. Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate500 et moins, sélectionnez Filtrage Web > Blocage par mots-cleContent Exempt. Illustration 223 : Echantillon d’une liste d’exemption des contenus Web pourmodèles FortiGate-500 et moins

Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate-800 et plus, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt et cliquez sur l’icône Editer de la liste à visualiser.


tion des contenus Web pour les Illustration 224 : Echantillon d’une liste d’exempmodèles FortiGate-800 et plus

Remarque : Pour activer les es des contenus exemptés, activez Filtrage Web > Web Content Exempt dans un profil de protection pare-feu.

ône Supprimer Permet de supprimer la table.

expressions régulières en Perl » à la page 400.

u

iste.

Icône Editer Permet d’éditer les informations suivantes : Modèle, Type de le, Langage et l’activation.

Configuration de

rme d’un mot ou d’une phrase longue de maximum 80 caractères. La liste peut contenir jusqu’à 5000

paramètr

La liste d’exemption des contenus Web offre les icônes et fonctionnalités suivantes : Nom Le nom de la liste. Pour le modifier, entrez un nouveau nom

dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.

Commentaire Un commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez ensuite sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.

Créer Nouveau Permet d’ajouter un modèle à la liste.

Total Le nombre de modèles dans la liste.

Icône Haut de page Permet de visualiser la page précédente.

Icône Bas de page Permet de visualiser la page suivante.

Ictoutes les entrées

Modèle La liste des modèles en cours. Cochez la case pour activer tous les modèles de la liste.

Type de modèle Le type de modèle utilisé par cette entrée. Choisissez entre Wildcard ou Expression Régulière. Voir « Utilisation des

Langage Les caractères utilisés par le modèle : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï oOccidental.

Icône Supprimer Permet de supprimer l’entrée de la l

modè

la liste d’exemption des contenus Web

Les modèles de contenu web exempté se trouve sous la fo

mots.


Pour ajouter ou éditer un modèle d’exemption, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt. Illustration 225 : Nouveau modèle d’exemption

Modèle Entrez le modèle d’exemption. Dans le cas d’un mot unique, le

boîtier FortiGate recherche le mot dans toutes les pages web. Dans le cas d’une phrase, le boîtier FortiGate recherche chaque mot de la phrase dans toutes les pages web. Dans le cas d’une phrase entre guillemets, le boîtier FortiGate recherche la phrase entière dans toutes les pages web.

pe de modèle Sélectionnez un type de modèle dans la liste déroulante : Wildcard ou Expression Régulière.

tiver

Filtre URL r ou b s ajoutant à la liste

e et des ulières (ou rise ou

bloque les pages web corr aux URL ou modèles spécifiés et affiche sage de remplacem

Ty

Langage Sélectionnez un type de caractères dans la liste déroulante.

Ac Cochez pour activer le modèle.

Vous pouvez autorise loquer l’accès à certaines URL en lede filtre URL. Cela se fait par l’ajout de modèles utilisant du textexpressions rég des méta-caractères). Le boîtier FortiGate auto

espondantesun mes ent à la place de la page.

Remarque : Po paramètres des filtres URL, activez Filtrage Web > Web URL tion pare-feu.

ur activer les Filter dans un profil de protec

Remarque : Le blocage d’URL n’empêche pas l’accès aux autres services que les eur navig L ne bloque pas

le.com our bloquer les P.

Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus)

Vous pouvez ajouter plusieurs listes de filtres URL pour les modèles FortiGate-800 et plus, et sélectionner ensuite la liste de filtres URL la plus appropriée à chaque profil de protection. Pour visualiser le catalogue de ces listes, sélectionnez Filtrage Web > URL Filter. Pour visualiser une liste de filtres URL individuellement, cliquez sur l’icône Editer de la liste à visualiser.

utilisateurs ont sur l ateur web. Par exemple, le blocage d’URl’accès à ftp://ftp.exemp . A la place, utilisez des règles pare-feu pconnexions FT


Illustration 226 : Echantillon du catalogue des listes de filtres URL

Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un no

cliquez sur Ajouter. Les nouvelles listes sont pm et

ar défaut vide.

Les listes de filtres URL disponibles.

trées ue liste de filtres URL.

s te.

ntaire

Icône Supprimer e. profil

u le

tection.

s d’informations, voir

Création d’une nouvelle liste de filtres

Pour ajouter une liste de fi L au catalogue, sélectionnez Filtrage Web > URL Filter et cliquez sur Créer Nouveau. Illustration 227 : Nouvelle liste de filtres URL

Nom

# d’en Le nombre de modèles URL dans chaq

Profil Les profils de protection auxquels s’applique la lis

Comme Description facultative pour chaque liste de filtres URL.

Permet de supprimer une liste de filtres URL d’un cataloguCette icône s’affiche si la liste n’est pas reprise dans unde protection.

Icône Editer a liste ocommentaire. Permet d’éditer une liste de filtres URL, le nom de l

Sélectionnez Listes de filtres URL (URL filter lists) dans les profils de proPour plu « Options de filtrage web » à la page 283.

URL (Modèles FortiGate-800 et plus)

ltres UR

Nom Entrez un nom à la nouvelle liste.

Commentaire Entrez, si nécessaire, une description de la liste.

Visualisation de la liste des filtres URL

Il est possible d’ajouter des URL spécifiques à bloquer ou à exempter et d’ajouter les éléments suivants à la liste de filtres URL :

• URL complètes

• Adresses IP

• URL partielles qui permettent de bloquer ou d’autoriser tous les sous-domaines.


Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, sélectionnez Filtrage Web > URL Filter. Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins

Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, sélectionnez Filtrage Web > URL Filter et cliquez sur l’icône Editer de la liste à visualiser. Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus

La liste de filtres URL possède les icônes et fonctionnalités suivantes : Nom Le nom de la liste de filtres URL. Pour le modifier, entrez un

nouveau nom dans le champ Nom et cliquez sur OK. Ce champ s’affiche sur les modèles FortiGate-800 et plus.

Commentaire Un commentaire facultatif. Pour l’ajouter ou le modifier, entrez un commentaire dans ce champ et cliquez sur OK. Ce champ s’affiche sur les modèles FortiGate-800 et plus.

ge des

Icône Page précédente

Icône Page suivante

toutes

URL

ne Editer ype, Action

Créer Nouveau Sélectionnez pour ajouter une URL à la liste de blocaURL.

Permet de visualiser la page précédente.

Permet de visualiser la page suivante.

Icône Supprimer Permet de supprimer toutes les entrées de la table. les entrées

La liste en cours des URL bloquées ou exemptées. Cochez la case pour sélectionner toutes les URL de la liste.

Type Le type d’URL : Simple ou Regex (expression régulière).

Action L’action à prendre lors d’une correspondance avec l’URL : Bloquer, Autoriser ou Exempter.

Icône Supprimer Permet de retirer une entrée de la liste.

Icô Permet d’éditer les informations suivantes : URL, Tet l’activation.

Icône Déplacer Ouvre la boîte de dialogue de déplacement d’un filtre URL.


Configuration d’une liste de filtres UR

Une liste de filtres URL peut compter jusqu’à 5000 entrées.

L

Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, « com »pour bloquer l’accès à toutes les URL comprenant ce suffixe. Pour ajouter une URL à la liste de filtres URL, sélectionnez Filtrage URL > URL Filter.

)

Illustration 230 : Nouveau filtre URL

URL Entrez une URL sans inclure http://

Type Sélectionnez un type dans la liste déroulante : Simple ou Reg(Expression Régulière

ex ).

ans la liste déroulante : Autoriser, Bloquer, Exempter.

Activer Cochez cette case pour activer l’URL.

Entrez une URL ou une adresse IP de haut niveau pour contrôler l’accès à toutes les pages d’un site web. Par exemple, www.exemple.com ou 192.168.144.155ontrôle l’accès à toutes les pages de ce site web.

de haut ni e fichier pour cès à une seu

ontrôle age News de

s à to e par exemple.com, .com

eb FortiGate s

Action Sélectionnez une action d

c Entrez une URL veau suivie d’un chemin et d’un nom dcontrôler l’ac le page d’un site web. Par exemple, www.exemple.com/news.html ou 192.168.144.155/news.html cl’accès à la p ce site. Pour contrôler l’accè utes les pages dont l’URL se terminajoutez exemple.com à la liste de filtres. Par exemple, l’ajout de exemplecontrôle l’accès à www.exemple.com, mail.exemple.com, www.finance.exemple.com, etc.

Les filtres w upportent les expressions régulières standard.

Remarque : Les URL dontà l’analyse de virus. Si lesprovenant de sites web de e ce site à la liste de filtres

définie s ne procède e de virus de

l’action est définie sur Exempter ne sont pas soumises utilisateurs du réseau téléchargent des fichiers confiance, ajoutez l’URL d

URL avec l’action ur Exempter pour que le boîtier FortiGatepas à l’analys ces fichiers.

Remarque : Pour activer les paramètren profil de protection pare-feu.

s des filtres URL, activez Filtrage Web > Web URL Filter dans u


Déplacement d’URL au sein de la liste de filtres URL

, les entrées peuvent être ts end

Pour déplacer une URL dans la liste, sélectionnez l’icône Déplacer à droite de l’URL à déplacer.

u

Pour simplifier l’utilisation de la liste de filtres URLdéplacées à différen roits de la liste.

31 : Déplacer n filtre URL Illustration 2

Déplacer vers Choisissez une localisation dans la liste.

(URL) Entrez l’URL avant ou après laquelle la nouvelle URL doit être placée.

Filtrage Web

ortiGuard-Web trie des centaines de millions de pages web en une grande gamme de catégories que les utilisateurs peuvent autoriser, bloquer ou surveiller.

rtiGate se connecte au Point de Service FortiGuard-Web le plus roche pour déterminer la catégorie d’une page web sollicitée et suit ensuite les

directives de la règle pare-feu configurée pour cet utilisateur ou cette interface. FortiGuard-Web comprend plus de 60 millions d’évaluation de sites web couvrant ainsi des centaines de millions de pages. Les pages sont triées et évaluées en fonction de 56 catégories que les utilisateurs peuvent bloquer, autoriser ou surveiller. Les catégories peuvent être ajoutées ou mises à jour en fonction de l’évolution d’Internet. Pour simplifier une configuration, l’utilisateur peut également choisir de bloquer, autoriser ou surveiller des groupes entiers de catégories. Les pages bloquées sont alors remplacées par un message indiquant que la page n’est pas accessible étant donné le règlement en vigueur sur l’utilisation de l’Internet. Les évaluations de FortiGuard-Web sont le résultat d’une combinaison de méthodes propres d’analyse de texte, d’exploitation de la structure du Web et d’évaluations entreprises par une équipe de personnes analyseurs du web. Les utilisateurs peuvent faire part aux Points de Service FortiGuard-Web d’une page qui est, à leur avis, mal catégorisée. Les nouveaux sites web sont rapidement évalués si nécessaire. La procédure pour configurer le blocage de catégories FortiGuard dans un profil de protection est décrite dans « Options du filtrage FortiGuard-Web » à la page 285. Pour configurer le service FortiGuard-Web, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.

Configuration du filtrage FortiGuard-Web

Pour configurer un service FortiGuard-Web, sélectionnez Système > Maintenance > Centre FortiGuard. Pour plus d’informations, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.

FortiGuard e service FortiGuard-Web est une solution de filtrage Web gérée par Fortinet. L

F

Le boîtier Fop


Visualisation de l

Les utilisateurs voudront probablement accéder à des sites web bloqués par une règle. Dans ce cas, un administrateur peut donner à cet utilisateur la possibilité d’ignorer le blocage pour un temps déterminé. Lorsqu’un utilisateur tente d’accéder à un site bloqué alors que l’override est activé, un lien vers une page d’authentification apparaît sur la page bloquée. L’utilisateur doit fournir un nom d’utilisateur et un mot de passe corrects sans quoi le site web reste bloqué. L’authentification est basée sur des groupes utilisateurs et peut être effectuée pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus d’informations sur l’authentification et la configuration de groupes utilisateurs, voir « Groupe d’utilisateurs » à la page 330. Pour visualiser la liste d’override, aussi appelée liste des règles d’ignorance, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 232 : Liste Override

a liste override

Créer Nou Permet d’ajouter une nouveau velle règle d’ignorance à la liste.

édente

Icône Supprimer tout Supprime toutes les entrées de la table.

URL/Catégorie L’URL ou la catégorie à laquelle s’applique la règle

t de la règle d’ignorance.

’ignorance.

Date d’expiration La date d’expiration de la règle d’ignorance.

er une entrée de la liste.

d’ignorance.

# Le nombre de règles d’ignorance dans la liste.

Icône Page préc Permet de visualiser la page précédente.

Icône Page suivante Permet de visualiser la page suivante.

d’ignorance.

Portée L’utilisateur ou le groupe d’utilisateurs qui bénéficien

Off-site URLs L’utilisateur se voit autoriser ou interdit d’accéder aux liens de la catégorie ou de l’URL ignorée. Une marque verte signifie unaccès off-site permis. Une croix grise signifie une interdiction d’accès.

Initiateur Le créateur de la règle d

Icône Supprimer Permet de retir

Icône Editer Permet d’éditer les informations suivantes : Type, URL, Portée, Utilisateur, Off-site URLs et Durée de la règle


Configuration de

cès aux sites web bloqués en fonction du répertoire, nom de domaine ou de la catégorie. Pour créer une règle d’ignorance pour un répertoire ou un domaine, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 233 : Nouvelle règle d’ignorance – Répertoire ou Domaine

règles d’ignorance

Les règles d’ignorance peuvent être configurées pour permettre l’ac

Type Sélectionnez Répertoire ou Domaine.

URL Entrez l’URL ou le nom de domaine du site web.

Choisissez entre : UtilisatePortée ur, Groupe d’utilisateurs, IP, Profil.

Utilisateur

Groupe d’utilisateurs

e l’ordinateur initiant la règle.

rofil Sélectionnez un profil de protection dans la liste déroulante.

n va web

ignoré.

orance s

En fonction de l’option choisie, le champ qui suit varie.

Entrez le nom de l’utilisateur sélectionné dans Portée.

Sélectionnez un groupe d’utilisateurs dans la liste déroulante. Ces groupes doivent être configurés avant de commencer la configuration du FortiGuard-Web. Pour plus d’informations, voir « Groupe d’utilisateurs » à la page 330.

IP Entrez l’adresse IP d

P

Off-site URLs Choisissez entre Autorisées ou Bloquées. Cette fonctiopermettre à l’utilisateur d’accéder ou non aux liens du site

Durée d’ign Entrez la durée en jours, heures et minutes. La date d’expiration alors calculée s’affiche dans la liste des règled’ignorance.


Pour créer une règle d’ignorance pour des catégories, sélectionnez Filtrage Web > ard-Web Filter > Override.

velle règle d’ignorance – Catégories

FortiGu Illustration 234 : Nou

Type Sélectionnez Catégories.

Catégories Choisissez les catégories auxquelles s’applique la règle d’ignorance. Un groupe ou un sous-groupe de catégories peut être sélectionné. Les catégories locales sont également affichées.

ue la règle céder aux

sites web qui fournissent des contenus sauvegardés et des e, audio et vidéo.

Portée Choisissez entre : Utilisateur, Groupe d’utilisateurs, IP, Profil. En fonction de l’option choisie, le champ qui suit varie.

Utilisateur Entrez le nom de l’utilisateur sélectionné dans Portée.

ste déroulante.

règle.

la liste déroulante.

oisissez entre Autorisées ou Bloquées. Cette fonction va permettre à l’utilisateur d’accéder ou non aux liens du site web

Classifications Choisissez les classifications auxquelles s’appliqd’ignorance. Si prévu, les utilisateurs peuvent ac

moteurs de recherche de fichiers imag

Groupe d’utilisateurs Sélectionnez un groupe d’utilisateurs de la li

IP Entrez l’adresse IP de l’ordinateur initiant la

Profil Sélectionnez un profil de protection de

Off-site URLs Ch

ignoré.


Durée d’ignorance Entrez la durée en jours, heures et minutes. La date d’expiration alors calculée s’affiche dans la liste des règles

Création de catégories locales

Des catégories définies par des utilisateurs peuvent être créées afin d’autoriser sur base d’un profil. Les catégories

ries URL globale lors de la en

d’ignorance.

aux utilisateurs de bloquer des groupes d’URLdéfinies ici s’affichent dans la liste des catégoconfiguration d’un profil de protection. Les utilisateurs peuvent évaluer les URLfonction des catégories locales. Illustration 235 : Liste des catégories locales

Add/Ajouter Entrez le nom d’une catégorie et cliquez ensuite sur le bouton

Add.

cône Supprimer Permet de retirer une eI ntrée de la liste.

Visualisation de la liste des évaluations locales

P ons localF tings. I locales

our visualiser la liste des évaluatiortiGuard-Web Filter > Local Ra

es, sélectionnez Filtrage Web >

llustration 236 : Liste des évaluations

C outer u

R d

1 d’é

Icô te Permet de visualis

Icône Page suivante Permet de passer

Icône Supprimer tout Permet de supprim

U . Cli iste en

C égorie ou cla cée. Si l’URL a été clasclassifications, des ppremière catégorie de dialogue Filtre de cl’entonnoir apparaî

Icône Supprimer Permet de supprim

réer Nouveau Permet d’aj

echercher Entrez un critère

– 3 of 3 Le nombre total

ne Page précéden

ne évaluation à la liste.

e recherche pour filtrer la liste.

valuations locales dans la liste.

er la page précédente.

à la page suivante.

er toutes les entrées de la table.

RL L’URL évaluéefonction des URL.

atégorie La cat

quez sur la flèche verte pour trier la l

ssification dans laquelle l’URL a été plasée dans plusieurs catégories ou points de sus ension (...) suivent la . En cliquant sur l’entonnoir gris, la boîteatégorie s’ouvre. Une fois la liste filtrée, t en vert.

er une entrée de la liste.


I Permet d’éditer les informations suivantes : URL, Evaluation catégorie et Evaluation de la Classification.

I

cône Editer de la

llustration 237 : Filtre de catégorie

C

N uez sur la flèch e la gorie.

A le rie

N ons (o

Activer le filtre Permet d’activer le

Configuration d’évaluations locales

L es catégorie ui entrent dans c teurs de bloquer des groupes de sites web s nt comprises dans la liste d’URL globale a lles sont comparées de la même façon que la liste d’URL bloquées. L’utilisateur peut également spécifier si l’évaluation locale est utilisée en conjonction avec l’évaluation FortiGuard ou utilisée comme règle d’ignorance. Pour créer une évaluation locale, sélectionnez Filtrage Web > FortiGuard-Web Filter > Local Ratings.

lear Filter Supprime tous les filtres.

om de la catégorie Cliqcaté

e bleue pour afficher le contenu d

ctiver le filtre Permet d’activer individuelle.

om de la classification Les classificatiu classe)

filtre pour la catégorie ou la sous-catégo

qui peuvent être filtrées.

filtre de classification.

es utilisateurs peuvent créer des catégories. Cela permet aux utilisaur base d’un profil. Les évaluations sovec les catégories associées et e

s et spécifier les URL q


I llustration 238 : Nouvelle évaluation locale

URL Entrez l’URL à évaluer.

Nom de la catégorie Cliquez sur la flèche bleue pour afficher la catégorie.

Activer le filtre Cochez la case pour activer le filtre pour la catégorie ou sous-

Configuration d’un blocage de catégorie à partir de l’interface de ligne de

Utilisez le mot-clé hostname pour la commande webfilter fortiguard pour

Rapports du Filtr

catégorie individuelle.

Nom de la classification Les classifications pouvant être filtrées.

Activer le filtre Cochez la case pour activer le filtre de classification.

commande

modifier le nom d’hôte par défaut (URL) du Point de Service FortiGuard-Web. Ce nom ne peut être modifié à partir de l’interface d’administration web. Configurez tous les paramètres FortiGuard-Web à partir des commandes CLI. Pour plus d’informations, voir le FortiGate CLI Reference.

age FortiGuard-Web

Remarque : Les filtrage FortiGuard-Web ne sont disponibles que sur les dur.

rapports du FortiGate munis d’un disque

n permet de géné de diagramme Filtrage Fort rotection. Le boîtier

te enregistre les st tégories, risées ou so des tranches jours. Vous complet de toutes

les activités.

Cette fonctio rer un tableau textuel et sous formedu rapport du iGuard-Web pour tous les profils de pFortiGa atistiques pour les pages web de toutes les cabloquées, auto us surveillance. Les rapports portent sur d’heures ou de pouvez aussi visualiser un rapport


iltrage web, sélectionnez Filtrage Web > FortiGuard-Pour créer un rapport de f

Web Filter > Rapports.

o FortiGuard-Web Illustration 239 : Echantill n d’un rapport de Filtrage

Profil Sélectionnez le profil de p

être généré. rotection pour lequel un rapport doit

t hoisissez entre heure, jour ou tout.

lage horaire (24 heures) ou la plage de jour

le

jour

n rapport généré comprend un diagramme et les informations suivantes :

atégorie La catégorie pour laquelle les statistiques sont générées.

tranche de temps défini.

quées La nombre d’adresses web bloquées sollicitées dans la

tranche de temps défini.

Type de rappor Sélectionnez un type de temps pour le rapport. C

Plage Sélectionnez la p(des 6 derniers jours à aujourd’hui) pour le rapport. Par exemple, un rapport de type heure avec une plage 13 à 16,rapport affiche les résultats de la tranche horaire 13 à 16 heures aujourd’hui (1 pm à 4 pm). Pour un rapport de type avec une plage de 0 à 3, le rapport affiche les résultats destrois derniers jours à aujourd’hui.

Obtenir le rapport Génère un rapport.

U

C

Autorisées Le nombre d’adresses web autorisées accédées dans la

Blotranche de temps défini.

Contrôlées Le nombre d’adresses web contrôlées accédées dans la


Antispam Cette section explique comment configurer les options du filtrage antispam associé à un profil de protection.

ette section parcourt les sujets suivants :

ntispam

• Mots bannis

et liste Bla

• Configuration antispam

• Utilisation des express res Perl

Antispam pam gère les mails tectant les messages

rveurs spam

Antispam est une des fonctionnalités de la gestion des spams.

FortiGuard reçoit les soumi s mails spams ainsi que les faux

Center, pour plus de détail

Ordre du filtrage antispam

re dans lequel les maest déterminé par le protoc

Pour le trafic SMTP

1 Vérification des adresses

2 Vérification RBL & ORDBLHELO DNS lookup

3 Vérification des adresses anches ou noires

4 Vérification des en-têtes MIME

5 es adresses Iadresses extraites des cha

6 Vérification DNS de l’adresse de retour, vérification antispam par s champs d’en-tête u du message)

7

1

C

• A

• Liste Noire nche

avancée

ions réguliè

L’Antis commerciaux non sollicités en démails spam et identifiant les transmissions spam provenant de seconnus ou suspectés. Les filtres spams sont configurés pour une utilisation au niveau du système, mais sont activés sur base des profils. FortiGuard-FortiGuard est un système antispam de Fortinet qui comprend une liste noire d’adresses IP, une liste noire d’URL et des outils de filtrage antispam. Le Centre

ssions de messagepositifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge

s et un lien vers le Centre FortiGuard.

L’ord ils entrants passe à travers les filtres Antispam FortiGate ole utilisé pour le transfert des mails.

en listes blanches ou noires (prochain saut IP)

, vérification des adresses par FortiGuard,

Email en listes bl

Vérification d P en listes blanches ou noires (à partir des mps d’en-tête « Received »)

Fortiguard (à partir des adresses extraites de« Received » et des URL extraites du conten

Vérification des mots bannis

Pour le trafic POP3 et IMAP

Vérification des adresses Email en listes blanches ou noires


2

3

4

fic SMTP, POP3 et IMAP

Les filtres nécessitant une de à un serveur et une réponse (FortiGuard

s sont première réponse enclenc eff t dès la réception de

nse.

Chaque filtre spam passe ln problème n’est trou

spam) s’enclenche, le boît ail (SMTP nt) suivant les par

ark as clear (Marquer comme non spam), le mail est s. Si l’action est Mark as Reject (Rejeter), la session mail ssages mails SMTP rejetés sont substitués par un

message de remplacement configurable. Tableau 41 : Antispam et configuration du filtrage antispam dans les profils de

rotection

Vérification des en-têtes MIME et vérification des IP en listes blanches ou noires

Vérification DNS de l’adresse de retour, vérification antispam par ortiGuard, vérification RBL & ORDBL F

Vérification des mots bannis

Pour le tra

demanAntispam Service et DNSBL/ORDBL) fonctionnent simultanément. Pour éviter lesretards, les requête envoyées pendant que d’autres filtres fonctionnent. La

hant une action spam prend ecette répo

e mail au prochain filtre si aucune correspondance ou aucu vé. Si l’action du filtre Mark as spam (Marquer comme

ier FortiGate balisera (tag) ou rejettera le mseuleme amètres configurés dans le profil de protection. Si l’action enclenchée est Mdispensé des autres filtreest abandonnée. Les me

pOptions du filtrage antispam des profils de protection

Paramètres Antispam

Vérification FortiGuard-Antispam de l’adresse IP

Système > Maintenance > FortiGuaCenter

rd

Activation ou désactivation du service antispam Fortinet appelé FortiGuard-

Activation FortiGuard-Antispam, vérification de l’état du serve

Antispam. FortiGuard-Antispam est le serveur DNSBL propre à Fortinet qui fournit les listes noires des adresses IP et URL spams. Fortinet maintient ces listes à jour.

FortiGuard-Antispam, visualisation du type de licence et de la date d’expiratioet configuration du cache. Pour plus de détails, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 18

ur

n

6. Vérification des adresses IP en listes Anti-spam > Black/White List > Adresse IP blanche ou noire Vérification des listes noire et blanche. Ajout et édition d’adresses IP à la liste. Activation ou désactivation de la comparaison des adresses IP entrantes à la

Vous pouvez configurer l’action à prendre pour chaque adresse IP : spam, non-

nt liste d’adresses IP du filtre spam configuré (SMTP uniquement).

spam ou rejeter. Les adresses IP peuveêtre placées à un endroit précis de la liste. Le filtre contrôle chaque adresse IP successivement (SMTP uniquement).

Contrôle DNSBL & ORDBL A partir de l’interface de ligne de commande uniquement

Activation ou désactivation de la comparaison du trafic mail au serveur des

Ajout ou suppression des serveurs DNSBL et ORDBL de la liste. Vous

listes Blackhole DNS configurée (DNSBL) et Open Relay Database (ORDBL).

pouvez configurer l’action à prendre pour les mails identifiés comme spam pour chaque serveur : spam ou rejeter (SMTP uniquement). La configuration DNSBL et ORDBL ne peut être modifiée qu’à partir de l’interface de ligne de commande. Pour plus d’informations, voir le FortiGate CLI Reference.


Rech n/a erche HELO DNS Activation ou de la comparaison d maine source à

désactivation u nom de do

e IP enregistrée danaine. Si le noespond pas à

ofil denclenchée.

l’adress s le Serveur des Noms de Dom m de domaine source ne corr l’adresse IP, le mail est marqué comme spam et l’action sélectionnée dans le pr e protection est

Contrôle des en listes blanche ou n

Anti-spam > Black/White List > Adresse Mail

adresses mails oire

Activation ou désactivation comparaison des mails entrants à la liste

édition d’adresses mails à la liste, avec l’option d’utilisation de wildcards et

res

adresses IP peuvent être placées à un

de la Ajout et

des adresses mails du filtre spam configuré. d’expressions régulières. Vous pouvez configurer pour chaque ad se mail l’action à prendre : spam ou rejeter. Les

endroit précis de la liste. Le filtre contrôlechaque adresse IP successivement.

Vérification DNS de l’adresse de retour n/a Activation ou désactivation de la comparaison du nom de domaine de l’adresse de retour des mails entrants à

l’adresse IP enregistrée dans le Serveur des

de l’adresse de retour ne correspond pas à l’adresse IP, le mail est marqué comme spam et l’action sélectionnée dans le profil

otection est enclenché

Noms de Domaine. Si le nom de domaine

de pr e. Vérification de A partir de l’interface de ligne

commande uniquement s en-têtes MIME de

Activation ou désactivation de la comparaison de l’en-tête MIME de la source à la liste d’en-têtes MIME du filtre spam configuré.

Ajout et édition d’en-têtes MIME, avec l’option d’utiliser des wildcards ou des expressions régulières. Vous pouvez configurer l’action à prendre pour chaque en-tête MIME: spam ou rejeter. La configuration DNSBL et ORDBL ne peut être modifiée qu’à partir de l’interface de ligne de commande. Pour plus d’informations, voir le FortiGate CLI Reference.

Filtrage par mots-clefs Anti-spam > Mots Clefs Activation ou désactivation de la comparaison du mail source avec la liste des mots bannis du filtre antispam.

Ajout et édition des mots bannis de la liste, avec l’option d’utiliser des wildcards ou expressions régulières. Vous pouvez configurer la langue et décider de lancer la recherche dans le sujet ou le corps du mail, ou les deux. Vous pouvez configurer l’action à prendre pour chaque mot : spam ou rejeter.

Action antispam n/a L’action à prendre pour un mail identifié comme spam. Les messages POP3 et IMAP sont balisés (tag). Choisissez entre Tag ou Rejeter pour les messages SMTP. Vous pouvez ajouter un mot ou phrase personnalisé au sujet des en-tête MIME des mails balisés. Vous pouvez choisir de journaliser chaque action antispam dans le journal des événements.

Insertion : Choisissez d’ajouter la balise au sujet ou à l’en-tête MIME du mail identifié comme spam.


Insertion de : Entrez un mot ou une phrase (tag) à ajouter au mail identifié comme spam. Longueur maximum du tag : 63 caractères. Ajouter l’événement dans le journal du système.

Activer ou désactiver la journalisation des actions antispam dans la journal des événements.

Pour accéder aux options du profil de protection Antispam, sélectionnez Pare-feu > Profil de protection, éditer ou Créer Nouveau, Filtrage antispam.

Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités de filtrage antispam sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.

Mots bannis Il vous est possible de contrôler les mails spam contenant des mots ou expressions spécifiques. Lorsque cette option est activée dans le profil de protection, le boîtier FortiGate recherche ces mots et expressions dans les mails. Si des correspondances sont trouvées, les valeurs affectées aux mots sont totalisées. Si une valeur de seuil définie pour un utilisateur est dépassée, le mail est marqué comme spam. Si aucune correspondance n’est trouvée, le mail passe

essions bannis dans la liste, utilisez des expressions gulières en Perl ou des méta-caractères.

jusqu’au prochain filtre. Pour ajouter des mots et exprré

Remarque : Les expressions régulières en Perl sont sensibles à la casse des aractères pour le filtrage antispam par mots-clés. Pour modifier cela et rendre le mot ou la

nsible à la casse language/i bloque tous les s méta-caractères (wildcards) n

Visualisation du catalogue de listes d800 et plus)

outer de m les FortiGate-800 et plus, et s r ensuite la meilleure liste pour chaque profil

tection. Pour visuali s bannis antispam, ionnez Anti-spam > Mots cle ue liste

ion

du catalogue de listes de filtrage par mots-clés

cphrase inse des caractères, utilisez l’expression /i. Par exemple, /bad

cas de bad language sans tenir compte de la casse. Lee sont pas sensibles à la casse des caractères.

e mots bannis antispam (Modèles FortiGate-

Vous pouvez aj ultiples listes de mots bannis antispam sur les modèélectionne

de pro ser la catalogue des listes de motsélect fs. Pour visualiser chaqindividuellement, sélect nez l’icône Editer de la liste désirée. Illustration 240 : Echantillon

Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et

cliquez sur Ajouter. Les nouvelles listes sont vides par défaut.


Nom

# d’entrées

Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est n’est pas reprise dans un profil de

Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de la liste ou le commentaire.

électionnez les listes de filtrage par mots-clés dans les profils de protection. Pour

ge 286.

Création d’une no tispam (modèles FortiGate-800 et plus)

Pour ajouter une liste de mots bannis antispam au catalogue, sélectionnez Anti-spam > Mots clefs et cliquez sur Créer Nouveau. Illustration 241 : Boîte de dialogue d’une nouvelle liste de mots bannis antispam

Les listes de mots bannis antispam disponibles.

Le nombre d’entrées dans chaque liste.

Profils Les profils de protection appliqués à chaque liste.

Commentaire Description facultative de chaque liste.

disponible si la listeprotection.

Splus d’informations, voir « Options du filtrage antispam » à la pa

uvelle liste de mots bannis an

Entrez un nom à la liste.

Entrez une description de la liste, si nécessaire.

Nom

Commentaire

Visualisation de la liste de mots bannis antispam

tispam. uvez ajouter un ou plusieurs mots bannis pour filtrer les mails contenant

e est

Pour visualiser la liste des mots bannis sur les modèles FortiGate-500 et moins, sélectionnez Anti-spam > Mots Clefs. Illustration 242 : Echantillon d’une liste de mots bannis pour les modèles FortiGate-500 et moins

Chaque mail est contrôlé par comparaison à la liste des mots bannis anVous poces mots dans leur sujet, corps du message ou les deux. La valeur accordée à chaque mot apparaissant dans le message est ajoutée au total des valeurs. Si celui-ci dépasse la valeur seuil définie dans le profil de protection, le messagtraité selon l’Action antispam configurée dans le profil de protection. La valeur d’un mot banni n’est comptabilisée qu’une seule fois même si ce mot apparaît à plusieurs reprises dans le message.


Pour visualiser la liste de mots bannis sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Mots clefs et cliquez sur l’icône Editer de la liste à

Illustration 243 : Echantillo plus

visualiser.

n d’une liste de mots bannis pour les modèles FortiGate-800 et

Nom de la liste de mots banNom nis. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ

commentaire, entrez le texte dans le champ Commentaire et

Créer Nouveau Permet d’ajouter un mot ou une phrase à la liste des mots bannis.

Total Le nombre d’éléments dans la liste.


Icône Supprimer toutes Permet de supprimer toutes les entrées de la table. les entrées

Expression régulière La liste des mots bannis. Cochez la case pour activer tous les mots de la liste.

ype d’expression Le type d’expression utilisé par l’entrée de la liste. Choisissez entre Wildcard et Expression. Pour plus d’informations, voir

régulières en Perl » à la page 400.

hinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental.

ssage dans laquelle le boîtier FortiGate nni : sujet, corps ou tout.

e

valeur définie dans spamwordthreshold on, la page est

mptabilisé une seule

fois même dans les cas où le mot apparaît à plusieurs reprises sur la page web.

Icône Supprimer Permet de supprimer un mot de la liste.

Icône Editer Permet d’éditer les informations suivantes : Expression Régulière, Type d’Expression, Langage, Où, Action antispam et l’activation.

apparaît sur les modèles FortiGate-800 et plus.

Commentaire Commentaire optionnel. Pour ajouter ou éditer un

cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.

Icône Page précédente Permet de visualiser la page précédente.

T

« Utilisation d’expressions

Langage Les caractères du mot banni : Chinois simplifié, C

Où La localisation du meva chercher le mot ba

Score La valeur numérique affectée au mot banni. Les valeurs Scorde tous les mots correspondants apparaissant dans un mailsont additionnées. Si le total dépasse la

du profil de protectitraitée selon l’action antispam définie pour ce type de trafic dans le profil de protection (ex. smtp3-spamaction) : passou tag. Le Score d’un mot banni est co


Configuration de

Les mots peuvent être marqués comme spam ou à rejeter. Les mots bannis euvent être un mot ou une phrase d’une longueur maximum de 127 caractères.

ase, le boîtier FortiGate bloque tous les mails ontenant la phrase exacte. Pour entraîner le blocage à chaque apparition d’un

Pour ajouter ou éditer un mot banni, sélectionnez Anti-spam > Mots Clefs. Illustration 244 : Ajouter un mot-clé

la liste des mots bannis antispam

p Dans le cas d’un mot simple, le boîtier FortiGate bloque tous les mails contenant ce mot. Dans le cas d’une phrcmot de la phrase, utilisez les expressions régulières en Perl.

xpression Entrez le mot ou la phrase à inclure dans la liste des mots bannis.

xpression

Où n du message dans laquelle le boîtier FortiGate

Activer te case pour activer le filtrage de ce mot banni.

Liste noire et liste blanche

r filtre cette option ait été pr

rification à pa oîtier FortiGate essivement ssage à sa liste

qu’unel’adresse IP est enclenchétrouvée, le mail est envoyé in f Lors d’une vérification à partir d’une liste d’adresses mails, le boîtier FortiGate compare successivement l’adresse mail de l’émetteur du message à sa liste d’adresses mails. Lorsqu’une correspondance est trouvée, l’action associée avec l’adresse mail est enclenchée. Dans le cas où aucun correspondance n’a été trouvée, le mail est envoyé vers le prochain filtre antispam activé.

E

Type d’e Sélectionnez le type d’expression du mot banni : Wilcard ou Expression régulière. Voir « Utilisation d’expressions régulières en Perl » à la page 400.

Langage Les caractères du mot banni : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental.

La localisatiova chercher le mot banni : sujet, corps ou tout.

Cochez cet

Le boîtier FortiGate utilise aussi bien une liste d’adresses IP qu’une liste d’adresses mails pou r les mails entrants à condition que activée dans le profil de otection. Lors d’une vé rtir de la liste d’adresses IP, le bcompare succ l’adresse IP de l’émetteur du med’adresses IP. Lors correspondance est trouvée, l’action associée à

e. Dans le cas où aucun correspondance n’a été vers le procha iltre antispam activé.


Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-800 et plus).

d’adresses IP antispam pour les modèles e pour chaque profil de

e listes d’adresses IP antispam, sélectionnez Anti-spam > Black/White List > Adresse IP. Pour visualiser une ste individuellement, cliquez sur l’icône Editer de la liste désirée.

: Echantillon d’adresses IP antispam

Vous pouvez ajouter plusieurs listesFortiGate-800 et plus et sélectionner la meilleure listprotection. Pour visualiser le catalogue d

li Illustration 245 d’un catalogue de listes

Créer Nouveau Pou , entrez un nom et

Nom Les disponibles.

es

rofils Les profils de protection appliqués à chaque liste.

e de chaque liste.

talogue. Cette icône est

filtrage par mots-clés dans les profils de protection. Pour s, voir « Options du filtrage antispam » à la page 286.

Pour ajouter une liste d’adresses IP antispam au catalogue, sélectionnez Anti-spam > Black/White List > Adresse IP et cliquez sur Créer Nouveau. Illustration 246 : Boîte de dialogue d’une nouvelle liste d’adresses IP antispam

r ajouter une nouvelle liste au cataloguecliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides.

listes d’adresses IP antispam

# d’entré Le nombre d’entrées dans chaque liste.

P

Commentaire Description facultativ

Icône Supprimer Permet de supprimer une liste du cadisponible si la liste n’est pas reprise dans un profil de protection.


Sélectionnez les listes deplus d’information

Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et plus)

Nom Donnez un nom à la liste.

Commentaire Entrez une description de la liste, si nécessaire.


Visualisation de la liste d’adresses IP antispam

boîtier FortiGate pour qu’il filtre les mails provenant mpare l’adresse IP de l’émetteur à sa liste

uccessivement. Vous pouvez marquer chaque adresse IP de l’action : non spam, spam ou rejeter. Les adresses IP simples ou

Il est possible de configurer led’adresses IP spécifiques. Le boîtier cod’adresses IP antispam, et ce s

des plages d’adresses au niveau du réseau peuvent être filtrées en configurant l’adresse et le masque. Pour visualiser la liste d’adresses IP sur les modèles FortiGate-500 et moins, électionnez Anti-spam > Black/White List > Adresse IP s

Illustration 247 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-500et moins

Pour visualiser la liste d’adresses IP sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur lEditer de la liste à visualiser. Illustration 2

’icône

48 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-800 t plus e

Nom Nom de la liste d’adresses IP antispam. Pour le modifier,

entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.

la liste d’adresses IP

ône Page précédente Permet de visualiser la page précédente.



Commentaire Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.

Créer Nouveau Permet d’ajouter une adresse IP àantispam.


Ic


Adresse IP/Masque La liste actuelle des adresses IP.

Action L’action à prendre pour un mail provenant d’une adresse IP configurée. Les actions sont : Marquer comme spam pour appliquer l’action antispam configurée, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam

me spam.

Icône S rimer une adresse de la liste.

Configuration de la liste des adresses IP antispam

• x.

suivants, ou Marquer à Rejeter (SMTP uniquement) pour supprimer la session. Si une adresse IP est définie sur Rejeter, mais que le mail provient d’une adresse IP à partir de POP3 ou IMAP, les messages mails seront marqués com

upprimer Permet de supp

Icône Editer Permet d’éditer les informations suivantes :L’adresse IP/Masque, Insertion, Action antispam et l’activation.

Pour ajouter une adresse IP à la liste d’adresses IP, sélectionnez Anti-spam > Black/White List > Adresse IP et cliquez sur Créer Nouveau. Entrez une adresse IP et un masque dans un de ces deux formats :

x. x.x/x.x.x.x, par exemple, 62.128.69.100/255.255.255.0 • x.x.x.x/x, par exemple, 62.128.69.100/24 Illustration 249 : Ajouter une adresse IP

Adresse IP/Masque Entrez l’adresse IP et le masque.

Insérer Avant/Après Sélectionnez une position dans la liste pour cette adresse IP.

Sélectionnez une action. Les actions sont : Marquer comme spam pour appliquer l’action antispam configurée dans le profil

Visualisation du catalogue de listes d’adresses mail antispam (modèles

s et sélectionner la meilleure liste pour chaque profil de

rotection. Pour visualiser le catalogue de listes d’adresses mail antispam, sélectionnez Anti-spam > Black/White List > Adresse Mail. Pour visualiser une liste individuellement, cliquez sur l’icône Editer de la liste désirée.

Action

de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer à rejeter (SMTP uniquement) pour supprimer la session.

Activer Cochez cette case pour activer l’adresse.

FortiGate-800 et plus).

Vous pouvez ajouter plusieurs listes d’adresses mail antispam pour les modèlesFortiGate-800 et plup


Illustration 250 : Echantillon d’un catalogue de listes d’adresses mail antispam

C veau P elle liste au catalogue, entrez un nom et

c .

N Les listes d’adresses mail antispam disponibles.

# d’entrées L

Profils L

Commentaire D facultative de chaque liste.

Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est disponible si la liste n’est pas reprise dans un profil de protection.


Sélectionnez les listes de fi e protection. Pour plus d’informations, voir « Option 286.

Création d’une no liste d’adresse et plus)

Pour ajouter une liste d’adr lectionnez Anti-spam > Black/White List> Adresse Mail et cliquez sur Créer Nouveau. Il stration 251 : Boîte de dia

réer Nou our ajouter une nouvliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides

om

e nombre d’entrées dans chaque liste.

es profils de protection appliqués à chaque liste.

escription

ltrage par mots-clés dans les profils ds du filtrage antispam » à la page

uvelle s mail antispam (modèles FortiGate-800

esses mail antispam au catalogue, sé

lu logue d’une nouvelle liste d’adresses mail antispam

N E

Commentaire E nécessaire.

Visualisation de la liste d’adresses IP m

Le boîtier FortiGate peut filt i que tous les mails provenan z marquer chaque adresse m Pour visualiser la liste d’adrsélectionnez Anti-spam > B

om ntrez un nom à la liste.

ntrez une description de la liste, si

ail antispam

rer les mails provenant d’émetteurs spécifiques, ainst d’un domaine (tel que exemple.net). Vous pouveail de l’action non spam ou spam.

esses mail sur les modèles FortiGate-500 et moins, lack/White List > Adresse Mail


Illustration 252 : Echantillon dèles FortiGate-500 et moins

d’une liste d’adresses mail pour les mo

Pour visualiser la liste d’adresses IP sur les modèles FortiGate-800 et plus,

ez sur l’icône

Illustration 253 : Echantillon d’une liste d’adresses mail pour les modèles FortiGate-800 et plus

sélectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquEditer de la liste à visualiser.

Nom Nom de la liste d’adresses mail antispam. Pour le modifier,

r OK. Ce t plus.

Commentaire Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.

Créer Nouveau Permet d’ajouter une adresse mail à la liste d’adresses mail antispam.


Icône Page précédente Permet de visualiser la page précédente.



Adresse Mail La liste actuelle des adresses mail.

Type d’expression Le type d’expression utilisé dans l’entrée de l’adresse mail. Choisissez entre Wildcard et Expression Régulière. Pour plus d’informations, voir « Utilisation d’expressions régulières en Perl » à la page 400.

Action L’action à prendre pour un mail provenant d’une adresse mail configurée. Les actions sont : Marquer comme spam pour appliquer l’action antispam configurée dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants,

Icône Supprimer Permet de supprimer une adresse de la liste.

entrez un nom dans le champ Nom et cliquez suchamp apparaît sur les modèles FortiGate-800 e


Icône Editer Permet d’éditer les informations suivantes :adresse mail, Type d’Expression, Action antispam et l’activation.

n de la liste des adresses mail antispam

ion 254: Ajouter une adresse mail

Configuratio

Pour ajouter une adresse mail ou un domaine à la liste, sélectionnez Anti-spam > Black/White List > Adresse Mail. lustratIl

Adresse Mail Entrez l’adresse mail.

Type d’expression Sélectionnez un type d’expression : Wildcard ou Expression Régulière.

Insérer Avant/Après Sélectionnez une position dans la liste pour cette adresse mail.

Action Sélectionnez une action. Les actions sont :

• Marquer comme spam pour appliquer l’action antispam configurée dans le profil de protection

• Marquer comme non-spam pour ignorer ce filtre, ainsi que

1

2 Sélectionnez un type d’expression pour l’entrée de la liste.

3 Si nécessaire, choisissez d’insérer l’adresse mail avant ou après une autre adresse dans la liste.

4 Sélectionnez l’action à prendre pour les mails provenant d’adresses mail ou de domaines configurés.

5 Cochez la case Activer.

6 Cliquez sur OK.

Configuration antispam avancée La configuration antispam avancée couvre uniquement des commandes CLI no

présentées dans l’interface d’administration web. Pour des descriptions et FortiGate

CLI Reference.

config spamfilter mheader

Cette commande permet de configurer le filtrage mail en fonction de l’en-tête MIME. Ce filtrage s’active dans les profils de protection.

les filtres antispam suivants

Activer Cochez cette case pour activer l’adresse.

Entrez une adresse mail ou une expression.

nreexemples complets sur l’utilisation de commandes CLI, reportez-vous au


ccessivement la paire clé-valeur de l’en-tête Mde paires. Lorsqu’une correspondance est . Lorsque aucune corre

Le boîtier FortiGate compare su IME des mails entrants avec sa liste trouvée, l’action spécifiée est enclenchée spondance n’est trouvée, le

st envoyé vers le prochain Les en-têtes MIME (Multipurpos xtensions) sont ajoutés aux mails pour décrire le type et le codage de contenu, tels que le type de texte dans le corps du mail ou le programme qui a généré le mail. Quelques exemples d’en-têtes MIME comprennent :

• X-mailer : outgluck

X-Distribution : bulk

• Content_Type : text/html

e : image/jpg

La première partie de l’en-tête MIME s’appelle la clé de l’en-tête, ou juste en-tête.

eur. Les spammeurs insèrent souvent des -tête ou les laissent vides. Ces en-têtes

malformés peuvent duper certains filtres antispam et antivirus. L’utilisation de la liste d’en-têtes MIME permet de marquer les mails provenant de certains programmes mails les plus répandus ou comprenant certains types de contenu communs des messages mails. Il est conseillé de marquer le mail comme pam ou non-spam pour chaque en-tête configuré.

config spamfilter

te commande s’utilise pour configurer le filtrage mail à partir des serveurs de la lackhole

List et de la liste Ope se List (ORDBL). Ces deux filtres s’activent pour chaque profil de protection.

ortiGate compare l’adtoutes les listes de base de donn es, et ce, successivement. Lorsqu’une correspondance est trouvée, l’action spécifiée est enclenchée. Lorsque aucune correspondance n’est trouvée, le mail est envoyé vers le prochain filtre antispam.

ins spammeurs utilisent dedes mails non sollicités. L’utilisade baliser (tag) ou rejeter les spa istes agissent comme des serveurs d maine identique au domaine d’un mail

ne liste d’adresses IPdes spams à passer au travers.

eurs, dontses à jo

le service utilisé pour confirmer l serveur.

mail e filtre antispam.

e Internet Mail E

•

• Content_Typ

La deuxième partie est appelée valcommentaires dans les valeurs de l’en

s

rbl

Cetliste DNS-based Blackhole List (DNSBL), appelée également Realtime B

n Relay Databa

Le boîtier F resse IP et le nom de domaine de l’émetteur à

ées configuré

Certa s serveurs SMTP tiers insécurisés pour envoyer tion de DNSBL et ORDBL est un moyen efficace ms lors de leur entrée sur le réseau. Ces l

e nom de doentrant d’u connues pour envoyer des spams ou autoriser

Il existe plusieurs serv la souscription est gratuite, qui fournissent un accès fiable pour des mi ur continues des DNSBL et ORDBL. Vérifiez avec

e nom de domaine correct pour une connexion au

Remarque : Etant donné que le boîtier FortiGate utilise le nom de domaine du serveur pour se connecter au serveur DNSBL ou ORDBL, il doit être capable de chercher ce nom sur le


serveur DNS. Pour plus d’informations sur le configuration DNS, voir « Options » à la page 76.

Utilisation des expressions régulières en Perl Les entrées des listes d’adresses mail, d’en-têtes MIME et de mots bannis peuvent comprendre des méta-caractères ou expressions régulières en Perl.

Expression Régulière vs Modèle à méta-caractère

Dans les expressions régulières en Perl, le caractère « . » remplace n’importe quel caractère unique. C’est similaire au caractère « ? » des modèles à méta-caractère.

e le :

• Pour référer à fortinet.com, l’expression régulière à utiliser est : fortinet\.com

ans les expressions régulières, « * » est utilisé pour correspondre au caractère

l’astérisque, etn’importe quel caractère. P

• forti*.com corresp

porte qexemple :

• forti*.com doit s’éc

Limite des mots

Dans les expressions Perl on n’a pas de limites implicites. Par exemple, l’expression régulière « test » correspond aux mots « test » bien sûr mais aussi à tous les mots contenant « test » comme « attester », « mytest », « atestb ». Pour spécifier une limite au mot, utilisez la notation « \b ». Pour faire correspondre au mot exact « test », l’expression doit être \btest\b.

Certaines expressions régulières sont sensibles à la casse des caractères pour les filtrage par mots-clés et antispam. Pour modifier cela et rendre le mot ou la phrase

sensible à la casse des caractères, utilisez l’expression /i. Par exemple, /bad language/i bloque toutes les cas de bad language sans tenir compte de la casse.

Formats des expr

ques exemples de formats d’expressions régulières en Perl.

Par exemple : • fortinet.com correspond à fortinet.com mais aussi fortinetacom,

fortinetbcom, fortinetccom, etc.

Pour que les caractères « . » et « * » ne réfèrent à aucun autre caractère, utilisez lcaractère « \ ». Par exemp

Dsitué avant ce 0 ou plusieurs fois. Il ne remplace par contre pas

ar exemple : ond à fortiiii.com mais ne correspond pas à fortinet.com

Pour correspondre à n’importe quel caractère, 0 ou plusieurs fois, utilisez « .* » où le « . » signifie n’im uel caractère et « * » signifie 0 ou plusieurs fois. Par

rire fort.*\.com.

, l’expressi

Sensibilité à la casse des caractères

in

essions régulières en Perl

Le tableau 42 répertorie et décrit quel


Tableau 42 : Formats d’expressions régulières en Perl Expression Correspondances

abc « abc » (la séquence exacte de caractères à tout endroit de la succession)

âbc « abc » au début de la succession

abc$ « abc » à la fin de la succession

a|b Soit « a », soit « b »

âbc|abc$ La succession « abc » au début ou à la fin de la succession

ab{2,4}c « a » suivi de deux, trois ou quatre « b » suivi par un « c »

ab{2,}c « a » suivi d’au moins deux « b » suivi d’un « c »

ab*c vi d’un nombre indéfini (0 ou plus) de « b » suivi d’un « c » « a » sui

ab+c « a » suivi d’un ou plusieurs « b » suivi d’un « c »

ab ?c « a » suivi d’un « b » optionnel suivi d’un « c », donc soit « abc », soit « ac »

a.c ligne) suivi d’un « c » « a » suivi de n’importe quel caractère (sauf retour à la

a\.c « a.c » exactement

[abc] n’importe lequel de « a », « b » ou « c »

[Aa]bc soit « Abc », soit « abc »

[abc]+ Toute succession (sans espace) de « a », « b » et « c » (telle que « a », « abba », « acbabcacaa »)

[âbc]+ Toute succession (sans espace) qui ne contient pas de « a », « b » et « c » (telle que « defg »)

\d\d Tout chiffre à deux décimales, tel que 42, pareil que \d{2}

/i Rend la casse des caractères insensible. Par exem/bad language/i bloque tous les cas de bad

ple,

sans tenir compte de la casse des caractères. language

\w t » : une séquence sans espace de caractères alphanumériques et de tirets bas ( _ , underscore) telle que foo et 12bar8 et foo_1

+ Un « mo

100\s*mk La succession « 100 » et « mk » séparées optionnellement par un nombre indéfini d’espace blanc (espaces, tabulations, retour à la ligne)

abc\b « abc » suivi d’une limite au mot ( par exemple, dans « abc ! » mais pas dans « abcd »)

perl\B « perl » sans être suivi d’une limite du mot (par exemple, ans « perl stuff ») dans « perlert » mais pas d

\x Le parser d’expression régulière ignore les espaces blancs qui ne sont ni précédés d’un « \ », ni dans une classe de caractères. Utilisez cette commande pour scinder une expression régulière en plusieurs parties lisibles.

/x Utilisé pour ajouter des expressions régulières dans d’autres textes. Si le premier caractère d’une expression est « / », celui-ci est traité comme borne. L’expression doit contenir un second « / ». L’expression entre les deux « / »

uit ons

régulières (‘i’, ‘x’,etc). Une erreur apparaît si le second « / » est absent. Dans les expressions régulières, l’espace à l’avant et l’es

sera traitée comme expression régulière, et tout ce qui sle « / » sera traité comme liste d’options d’expressi

pace à l’arrière sont traités comme s’ils


faisaient partie de l’expression régulière.

Exemples

Bloquer chaque mot de la phrase /block|any|word/

Bloquer expressément les mots mal orthographiés

Les spammeurs insèrent souvent d’autres caractères entre les lettres d’un mot pour duper les logiciels de blocage de spams.

/^.*v.*i.*a.*g.*r.*o.*$/i

\*=<>\.\,;!\?%&§@\^°\$

Les phrases suivantes sont de

r free/i

/student loans/i

/you’re already approv

[\+\-

\*=<>\.\,;!\?%&~#§@\^°\$£€\{\}()\[\]\|\\_1]offer/i

/cr[eéèêë][\+\-

£€\{\}()\[\]\|\\_01]dit/i

Bloquer les phrases spam communes

s exemples de phrases communes trouvées dans les messages spam.

/try it fo

ed/i

/special


IM/P2P /P2P fournit à l’utilisateur IM les outils d’administration et les statistiques pour le

réseau IM et l’usage P2P. Les protocoles IM et P2P doivent être activés dans le profil de protection actif pour que les paramètres de cette section prennent leurs effets.

sujets suivants :

• Statistiques

• Configuration IM/P2P à partir de l’interface de ligne de commande

Statistiques

Les administrateurs peuvent obtenir des statistiques sur les messageries instantanées et les communications « point to point » afin de connaître l’utilisation de ces deux protocoles sur le réseau. Des statistiques d’ensemble sont fournies pour tous les protocoles IM et P2P. Des statistiques détaillées et individuelles existent pour chaque protocole IM.

IM

Cette section parcourt les

• Utilisateur

Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale dans le menu principal.

Visualisation des statistiques d’ensemble

L’onglet Overview reprend un résumé des statistiques pour tous les protocoles IM et P2P. Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics > Overview. Illustration 255 : Statistiques Overview IM/P2P

Intervalle de rafraîchissement Sélectionnez l’intervalle désiré entre deux automatique rafraîchissements automatiques. Choisissez entre un

intervalle de 0 (none) à 30 secondes.

Rafraîchir Cliquez sur ce bouton pour rafraîchir la page et faire apparaître les statistiques mises à jour.


Réinitialiser les statistiques Cliquez sur ce bouton pour remettre les statistiques à zéro.

Pour chaque protocole IM, les informations suivantes sur l’utilisateur s’affichent : utilisateurs connectés, (utilisateurs) depuis la dernière réinitialisation,

rnière réinitialisation et (fichiers transférés) bloqués.

ue protocole IM, les informations suivantes sur les chats vocaux s’affichent : (chats vocaux) depuis la dernière réinitialisation et (chats vocaux) bloqués.

Utilisation P2 que protocole P2P, les informations suivantes sur l’utilisation s’affichent : octets au total et moyenne

Visualisation des sta otocole

L’on ol fournit des statistiques détaillées individuellement pour chaque rotocole IM.

atistiques, sélectionnez IM/P2P > Statistics > Protocol.

Utilisateurs

(utilisateurs) bloqués.

Chat Pour chaque protocole IM, les informations suivantes sur le chat s’affichent : sessions de chat totales et totaldes messages.

Transferts de fichiers Pour chaque protocole IM, les informations suivantes sur les transferts de fichiers s’affichent : (fichiers transférés) depuis la de

Chats vocaux Pour chaq

P Pour cha

de la bande passante.

tistiques par pr

glet Protocp Pour visualiser ces st Illustration 256 : Statistiques IM par protocole

Intervalle de rafraîchissement Sélectionnez l’intervalle désiré entre deux automatique rafraîchissements automatiques. Choisissez entre un

intervalle de 0 (none) à 30 secondes.

es

Protocole Sélectionnez le protocole désiré : AIM, ICQ, MSN ou Yahoo.

Utilisateurs Pour le protocole sélectionné, les informations suivantsur l’utilisateur s’affichent : utilisateurs connectés,


(utilisateurs) depuis la dernière réinitialisation, (utilisateurs) bloqués.

Chat Pour le protocole sélectionné, les informations suivantes sur le chat s’affichent : Sessions de chat totales, Chats basés sur un serveur, Groupe de chat et Chat direct/privé.

Messages Pour le protocole sélectionné, les informations suivantes sur les messages s’affichent : Total des messages, (messages) envoyés et (messages) reçus.

rés) envoyés, (fichiers transférés) reçus et

Utilisateur

tés dans la liste Current Users. Les administrateurs réseaux peuvent alors analyser la liste et décider quels utilisateurs

onnus.

Transferts de fichiers Pour le protocole sélectionné, les informations suivantessur les transferts de fichiers s’affichent : (fichiers transférés) depuis la dernière réinitialisation, (fichierstransfé(fichiers transférés) bloqués.

Chats vocaux Pour le protocole sélectionné, les informations suivantes sur les chats vocaux s’affichent : (chats vocaux) depuis la dernière réinitialisation et (chats vocaux) bloqués.

Après que les utilisateurs IM se soient connectés à travers le pare-feu, le boîtier FortiGate affiche les utilisateurs connec

accepter et quels utilisateurs rejeter. Une règle peut être configurée pour traiter le cas des utilisateurs inc

Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctioIM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale dans le menu principal.

a liste des utilisateurs connectés

ns

Visualisation de l

rmations sur les utilisateurs des messageries instan ectés. La liste p e par protocole. Pour visualiser les utilisateurs en cours, sélectionnez IM/P2P > Users > Current Users. Illustration 257 : Lis nectés

La liste des utilisateurs connectés reprend des infotanées conn eut être filtré

te des utilisateurs con

Protocole la liste en sélecti us

voulez avoir les utilisate ous ecté ffichés.

Protocole cours.

N r ar l’utilisateur lors de son enregistrement d’utilisateur peut être utilisé

protocoles IM. Chaque nom d’utilisateur / paire de protocole apparaît séparément dans la liste.

IP Source L’adresse à partir de laquelle l’utilisateur initie une session IM.

Dernier Login La dernière fois que l’utilisateur connecté avait utilisé ce protocole.

Filtrez onnant le protocole pour lequel vours : AIM, ICQ, MSN ou Yahoo. T

les utilisateurs conn

Le protocole en

s peuvent également être a

om d’utilisateu Le nom sélectionné pà un protocole IM. Le même nom pour plusieurs


Bloque Sélectionnez pour déconnecter l’utilisateur et ajouter son nom à la liste noire permanente. Chaque nom d’utilisateur / paire de

Visualisation de l

ries

rtir de

List.

Illustration 258 : Liste des utilisateurs

protocole doit faire l’objet d’un blocage explicite par l’administrateur.

a liste des utilisateurs

La liste des utilisateurs reprend des informations à propos des utilisateurs autorisés (liste blanche) et ceux bloqués (liste noire) des services des messageinstantanées. Des utilisateurs peuvent être ajoutés en cliquant sur Créer Nouveau ou à pala liste temporaire d’utilisateurs. Pour visualiser la liste des utilisateurs, sélectionnez IM/P2P > Users > User

Créer Nouveau Sélectionnez pour ajouter un nouvel utilisateur à la liste.

Protocole Filtrez la liste en sélectionnant un protocole : AIM, ICQ, MSN, Yahoo ou All.

Politique Filtrez la liste en sélectionnant une règle : Autoriser, Bloquer ou Tout.

Protocole Le protocole associé à l’utilisateur.

Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son enregistrement à un protocole IM. Le même nom d’utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d’utilisateur / paire de protocole apparaît séparément dans la liste.

d’utilisation du protocole : Bloquer ou Autoriser.

ône Editer Permet de modifier les informations suivantes sur l’utilisateur :

pprime définitivement un utilisateur de la liste.

Ajout d’un nouvel utilisateur à

Ajouter des utilisateurs à la liste des utilisateurs leur permet d’accéder aux services de messageries instantanées ou de les bloquer de ces services. Sélectionnez IM/P2P > User > User List et cliquez sur Créer Nouveau.

l’utilisateur

Politique La règle appliquée à l’utilisateur lors d’une tentative

IcProtocole, nom d’utilisateur et Politique.

Icône Supprimer Su

la liste des utilisateurs

Illustration 259 : Editer


Protocole Sélectionnez un protocole dans la liste déroulante : AIM, ICQ,

Sélectionnez une politique dans la liste déroulante : Autoriser ou Bloquer.

Configuration d’une politique utilisateur globale

ateurs ns ou

z IM/P2P > User > Config.

MSN ou Yahoo.

Nom d’utilisateur Entrez un nom pour cet utilisateur.

Politique

La politique utilisateur globale détermine l’action à prendre face à des utilisinconnus. Les utilisateurs inconnus peuvent être soit autorisés à utiliser certaitous les protocoles IM et sont alors ajoutés à la liste blanche, soit ils sont bloquésde certains ou tous les protocoles et alors ajoutés à la liste noire. Les administrateurs peuvent a posteriori visualiser les listes blanche et noire et ajouter des utilisateurs à la liste des utilisateurs.

Pour configurer une politique IM, sélectionne Illustration 260 : Politique utilisateur IM

Autoriser automatiquement Sélectionnez les protocoles que les utilisateurs inconnus

sont autorisés à utiliser. Les utilisateurs inconnus sont ajoutés à une liste blanche d’utilisateurs temporaires.

nt Sélectionnez les protocoles que les utilisateurs inconnus ne sont pas autorisés à utiliser. Les utilisateurs inconnus

L Reprend les nouveaux utilisateurs ajoutés aux listes te blanche et noire des utilisateurs temporaires. Les

, le ur.

rque : Le contenu de la liste est effacé à chaque réinitialisation du FortiGate.

Protocole Filtrez la liste des utilisateurs temporaires en sélectionnant un protocole.

Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son enregistrement à un protocole IM. Le même nom d’utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d’utilisateur / paire de protocole apparaît séparément dans la liste.

Bloquer automatiqueme

sont ajoutés à une liste noire d’utilisateurs temporaires.

iste des utilisateurs mporaires

informations sur l’utilisateur reprennent le protocolenom d’utilisateur et la politique appliquée à cet utilisate

Rema


Politique La politique appliquée à l’utilisateur lors d’une tentative d’utilisation du protocole : Bloquer ou Autoriser.

itivement

r > User List.

finitivement e noire st répertorié

dans IM/P2P > User > User List.

ale.

Configuration IM/P2P à partir dcommande

crit les commapartir de l’interface d’administr ur des descriptions et exemples omplets sur l’activation des fo upplé face e ligne de commande, voir le er

config imp2p old-versio

Certaines versions plus ancientravers le filtre car les types de mmande fournit l’option de désactiver c ersions de protocole IM. Les protocoles IM supportés c

• MSN 6.0 et plus

• ICQ 4.0 et plus

• AIM 5.0 et plus

• Yahoo 6.0 et plus

Autoriser défin Sélectionnez pour ajouter l’utilisateur à la liste blanche permanente. L’utilisateur reste en ligne et est répertorié dans IM/P2P > Use

Bloquer dé Sélectionnez pour ajouter l’utilisateur à la listpermanente. L’utilisateur est déconnecté et e

Appliquer Cliquez pour faire appliquer la politique utilisateur glob

e l’interface de ligne de

Cette section dé ndes CLI qui étendent des fonctions disponibles à ation web. Po

c nctionnalités s mentaires à partir de l’interd FortiGate CLI Ref ence.

n

nes des protocoles IM sont capable de passer à messages ne sont pas reconnus. Cette co

es anciennes v

omprennent :


Journaux

d’administration web. Les boîtiers FortiGate fournissent des possibilités diverses de journalisation pour les fonctions de protection du trafic, du système et du

t

et r

Cette section couvre les sujets suivants :

e

• Types de Journaux

• Journal

• Rapports

• Alerte Mail

Journalisatiofic

me, la Haute Disponibilité et l’activité VPN.

ge an

• filtrage web, blocage de contenu URL et HTTP

• signatures et prévention contre les attaques et anomalies

• trafic de Messageries

uvez fixer le niveaet leur lieu de stockage. Lesystème et des intrusions

moire, leic ré

gros volume des message Pour un meilleur stockage et une ré ut envoyer les messages journalisés vers un boîtier FortiAnalyzerTM. Les boîtiers FortiAnalyzer sont des appliances réseau fournissant une collection de journaux intégrés, des outils d’analyse et des stockages de données. Des rapports

& Alertes Cette section informe sur l’activation de la journalisation, la visualisation desfichiers journaux et l’affichage des rapports disponibles à partir de l’interface

réseau. Des rapports et journaux détaillés offrent une analyse historique eactualisée de l’activité réseau, afin de permettre l’identification de problèmes ou faiblesses de la sécurité éduire les abus réseaux.

• Journalisation FortiGat

• Niveaux de sévérité des journaux

• Stockage de Journaux

• Journalisation d’un cluster Haute Disponibilité

n FortiGate Les boîtiers FortiGate peuvent journaliser de nombreuses activités réseaux et tray compris :

• tout trafic réseau

• des événements liés au système dont les redémarrages systè

• infection et bloca tivirus

• filtrage antispam

Instantanées et Peer-to-Peer

Vous po u auquel le boîtier FortiGate journalise ces événements

boîtier FortiGate peut journaliser des événements du sur la mémoire du boîtier. Cependant, étant donné la

nature limitée de cette mé s messages les plus anciens ne sont pas sauvegardés et le traf seau n’est pas journalisé sur la mémoire en raison du

s journalisés.

cupération efficace, le boîtier FortiGate pe


journalisés détailléréseau et mail afin de perm

s offrent une analyse historique et actualisée des activités ettre l’identification de problèmes de sécurité et de

us les r

but de les archiver. Pour des informations détaillées sur la onfiguration du boîtier FortiGate pour l’envoi de journaux vers un boîtier

FortiAnalyzer, voir « Journalisation sur un boîtier FortiAnalyzer » à la page 411. Le boîtier FortiGate peut également envoyer des journaux vers un serveur Syslog

u WebTrends dans un but de stockage et d’archivage. Le boîtier FortiAnalyzer yer les messages journalisés vers son

Afin de vous permettre de revenir sur les activités se produisant sur votre réseau et travers le boîtier FortiGate, ce dernier vous permet de visualiser les messages

j en mémoire, sur un boîtier FortiAnalyzm s onib ur le boîtier. Des filtres pe cilement des informations spécifiques dans les fichiers d sation.

réduire les mauvais usages du réseau. Le boîtier FortiGate peut envoyer totypes de messages journalisés, ainsi que des fichiers en quarantaine vers le boîtieFortiAnalyzer pour stockage. Le FortiAnalyzer peut télécharger des journaux vers un serveur FTP dans lec

opeut également être configuré pour envodisque dur si disponible sur le boîtier.

àournalisés disponibles er muni du

icrocode version 3.0 ou plursonnalisables vous

ou sur un disque dur si disppermettent de localiser fae journali

le s

RF

emarque : Pour plus de détails sur la sauvegarde de journaux sur le disque dur du ible, voir le FortiGate CLI Reference.

FortiGate Log Message Reference

Niveaux de sIl est um de sécurité des messages jo par le boîtier FortiGate pour sauver des fichiers journaux. Le boîtier FortiGate journalise tous les messages dépassant le

ortiGate, si dispon Voir le pour plus de détails sur les messages et formats des journaux.

évérité des journaux nécessaire de définir un niveau minim

sés pour chaque destination utiliséeurnali

niveau de sécurité minimum défini. Par exemple, si vous sélectionnez Erreur, le boîtier journalise les messages des niveaux Erreur, Critique, Alerte et Urgent. Tableau 43 : Niveaux de sévérité de Journalisation

Niveaux Description Généré par 0 – Urgent Le système est devenu

instable. Messages d’urgence indisponibles.

1 – Alerte Une action immédiate est requise.

Messages journalisés d’attaques NIDS.

2 – Critique Le fonctionnement est affecté.

DHCP

3 – Erreur Une erreur est présente et le fonctionnement pourrait en être affecté.

Messages d’erreur indisponibles.

4- Avertissement Le fonctionnement pourrait être affecté.

Messages journalisés des Antivirus, Filtrage Web, Filtrage Mail et événements du système.

5 – Notification Informations à propos des Messages jourévénements normaux.

nalisés des Antivirus, Filtrage Web, Filtrage Mail.

6 - Information

Information générale sur les opérations système.

Messages journalisés des Antivirus, Filtrage Web, Filtrage Mail, des contenus et autres événements.


Stockage des Journaux

tilisé.

ieu messages journalisés sont supprimés. Par ailleurs, en raison du grand volume potentiel du Journal du Trafic et de la taille du Journal de Contenu, le boîtier FortiGate ne stockera pas les messages journalisés des trafics sur sa mémoire.

ournaux/Alertes > Configuration > Configuration du Journal.

Journalisation sur un boîtier FortiAnal

ortiAnalyzer ction intégrée de journaux, des outils d’analyse et des lieux de stockage de données. Des rapports de journaux détaillés offrent une analyse historique et actualisée des

Illustration 261 : Configuration d’une connexion à un FortiAnalyzer

Il vous faut configurer les destinations de stockage des messages et fichiersjournaux. Le type et la fréquence des messages journalisés que vous avec l’intention de sauvegarder décideront du type de destination de stockage uPar exemple, stocker des messages journalisés dans la mémoire ne fournit qu’une place très limitée. Seul un nombre limité de messages journalisés peut être sauvé sur la mémoire. Au fur et à mesure que la mémoire se remplit, les plus v x

Vous pouvez configurer le boîtier FortiGate pour qu’il stocke les messages journalisés sur une ou plusieurs destinations, telle qu’un boîtier FortiAnalyzer. Pour configurer les endroits de stockage, sélectionnez J

yzer

Les boîtiers F sont des appliances réseaux fournissant une colle

activités du réseau et mail afin de permettre l’identification de problèmes de sécurité et de réduire les mauvais usages et abus du réseau.

Configurer un boîtier FortiGate pour qu’il envoie les journaux vers un boîtier

1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal.

2

3

4 r au boîtier FortiAnalyzer.

Le boîtier FortiGate journalise tous les messages égaux ou supérieurs au niveau de sévérité défini. Pour plus de détails sur les niveaux de la journalisation, voir le

6 sur Appliquer.

FortiAnalyzer

Sélectionnez FortiAnalyzer.

Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer.

Définissez le niveau des messages journalisés à envoye

Tableau 43 à la page 410.

5 Entrez l’adresse IP du Serveur du boîtier FortiAnalyzer.

Cliquez

Remarque : Le boîtier FortiGate peut se connecter jusqu’à trois boîtiers FortiAnalyzer. Il leur envoie à tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une réelle protection de sauvegarde en temps réel dans le cas où l’un des trois FortiAnalyzer


devrligne

ait tomber en panne. Cette fonctionnalité n’est disponible qu’à partir de l’interface de de commande. Pour plus d’informations, voir le FortiGate CLI Reference.

Remarque : Après avoir configuré les paramètres de la journalisation sur le boîtier ortiGate, le FortiAnalyzer nécessite d’être configuré pour recevoir les journaux envoyés par

le boîtier FortiGate. Il vous faut alors contacter l’administrateur FortiAnalyzer pour finaliser la configuration.

Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique

La découverte automatique est une méthode pour établir une connexion à un is la déco

FortiGate utilise des paquets Hdisponible sur le réseau au se us-réseau. Lorsqu’un FortiAnalyzer

r FortiGatece à

la journalisation pour le trafic e

Activer la découverte autom

1 ux/Alerte

2 èche bleue de

3 Cochez Découverte Automatiq

oîtier FortiGate cherche d

4 Une fois découvert, sélectionn ecté à.


Test de la configuration d’un boîtier FortiAnalyzer

Après avoir configuré les paramètres FortiAnalyzer, vous pouvez tester la connexion entre le boîtier FortiGate et le boîtier FortiAnalyzer pour vous assurer que la connexion fonctionne correctement. Ceci vous permet de voir la connexion entre les deux équipements, y compris les paramètres spécifiés pour la

n des jo ers

ion

1 Sélectionnez Journaux/Ale urnal.

2 Sélectionnez FortiAnalyzer.

3 Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer.

4 Cliquez sur Tester la connexion.

F

FortiAnalyzer. Une fo uverte automatique sélectionnée, le boîtier ELLO pour localiser tout boîtier FortiAnalyzer

in du même soest trouvé, le boîtie permet automatiquement la connexion au boîtier FortiAnalyzer et commen lui envoyer des données journalisées, dans le cas où

st configurée.

atique

Sélectionnez Journa s > Configuration > Configuration du Journal.

Cliquez sur la fl FortiAnalyzer pour en faire apparaître les options.

ue.

Le b ans le même sous-réseau la réponse d’un FortiAnalyzer disponible.

ez un boîtier FortiAnalyzer de la liste Conn

transmission et la réceptio urnaux, rapports, archives de contenu et fichien quarantaine.

Tester la connex

rtes > Configuration > Configuration du Jo


Illustration 262 : Test de connectivité avec le FortiAnalyzer

FortiAnalyzer(Nom) boîtier FortiAnalyzer est le nom du produit, par exemple,

FortiAnalyzer-400.

Le nom du boîtier FortiAnalyzer. Le nom par défaut d’un

ortiGate Le numéro de série du boîtier FortiGate.

de l’équipement)

Etat d’enregistrement L’état de l’enregistrement du boîtier FortiGate.

on entre les boîtiers FortiGate et rque en V indique qu’il y a

e croix signifie l’absence de

Espace alloué La quantité d’espace prévue pour

Espace utilisé La quantité d’espace utilisé.

Espace libre total La quantité d’espace inutilisé.

n de

• Tx indique que le boîtier FortiGate est configuré pour transmettre des paquets journalisés au boîtier

alyzer.

• Rx indique que le boîtier FortiGate est autorisé à rts et journaux stockés sur le

de urnaux et

rapports. Une croix signifie que le boîtier FortiGate ne er ces

Journalisation su

La mémoire du système FortiGate possède une capacité limitée pour la lisation des messages. Le boîtier FortiGate n’affiche que les entrées

s les plus récentes. Il ne stocke pas les journaux Trafic et Contenu dans

F(Identifiant

Etat de la connexion L’état de la connexiFortiAnalyzer. Une maconnexion, tandis qu’unconnexion.

Espace disque les journaux.

Privilèges Affiche les permissions pour l’envoi et la visualisatiojournaux et rapports.

FortiAn

visualiser les rappoFortiAnalyzer.

Une marque en V indique que le boîtier FortiGate possèles permissions d’envoyer ou de visualiser les jo

possède pas la permission d’envoyer ou visualisinformations.

r la mémoire

journajournaliséela mémoire étant donnée leur taille et fréquence. Lorsque la mémoire est pleine, le boîtier FortiGate remplace les messages les plus anciens. Toutes les entrées journalisées sont effacées lors d’un redémarrage du FortiGate.


Configurer tiGate pour que les journaux soient sauvegardés en le boîtier Formémoire

1 nfiguration > Configuration du Journal.

2

3 Cliquez sur la flèche bleue pour faire apparaître les options de la Mémoire.

ate journalise tous les messages du niveaux de sévérité

urnalisation, voir

Journalisation su

d’u serveur Syslog. Syslog est un standard industriel utilisé pour capturer les données journalisées fournies par les

uipements du réseau.

Sélectionnez Journaux/Alertes > Co

Cochez Mémoire.

4 Choisissez un niveau de sévérité.

Le boîtier FortiGsélectionné et au-delà. Pour plus de détails sur les niveaux de la jole Tableau 43 à la page 410.

r un serveur Syslog

Le Syslog est un ordinateur distant muni n

éq Illustration 263 : Journalisation sur un serveur Syslog

Configurer le boîtier FortiGate pour envoyer des journaux au serveur syslog

du Journal.

2 Cochez Syslog.

Cliquez sur la flèche bleue pour faire apparaître les options Syslog.

4 Définissez les options syslog suivantes et cliquez sur Appliquer :

Nom / Adresse IP Le nom de domaine ou l’adresse IP du serveur syslog.

ort Le numéro du port pour les communications avec le serveur syslog, en général le port 514.

Niveau (Log Level) Le boîtier FortiGate journalise tous les messages du niveau de eaux de sévérité supérieurs. Pour plus

e la journalisation, voir le Tableau

essage journalisé. Par défaut, il s’agit du local7. Vous pouvez changer

Utiliser le format CSV Si vous cochez cette option, le boîtier FortiGate produit le journal dans le format CSV (Comma Separated Value). Dans le cas où vous n’activez pas cette option, le boîtier FortiGate produit des fichiers de texte simples.

1 Sélectionnez Journaux/Alertes > Configuration > Configuration

3

P

sévérité défini et des nivde détails sur les niveaux d43 à la page 410.

Facilité La facilité indique au serveur syslog la source d’un m

la valeur par défaut pour distinguer les messages journalisés des différents boîtiers FortiGate.


Journalisation sur WebTrends

ed Log ormat (WELF) et compatibles avec NetIQ WebTrends Security Reporting Center

ers

config log webtrends setting

Par défaut

Un ordinateur distant sur lequel le serveur NetIQ Web Trends fonctionne. Les formats des journaux FortiGate sont conformes à WebTrends EnhancFand Firewall Suite 4.1. Pour configurer le boîtier FortiGate pour l’envoi de messages journalisés vWebTrends, entrez la commande suivante à partir de l’interface de ligne de commande :

set server <address_ipv4> set status {disable | enable}

end

Mots-clés et variables Description server <address_ipv4> Entrez l’adresse IP du serveur

WebTrends qui stocke les n/a

journaux. status {disable | Entrez enable pour activer la

journalisation vers un serveur WebTrends.

disable enable}

Exemple Cet exemple montre comment activer la journalisation vers un serveur WebTrends et comment en définir l’adresse IP.

ux à orti ate CLI

Journalisation d’un cluster Haute Disponibilité dre d’un cluster Haute

aire pour que celui-ci envoie des Syslog. Les paramètres

ubordonnés. Ceux-ci envoient les messages s les journaux au FortiAnalyzer

Une connexion sécurisée via un tunnel VPN IPSec entre un boîtier FortiAnalyzer et un cluster HA est en réalité une connexion entre ce boîtier et le membre primaire du cluster HA. Pour plus d’informations, voir le High Availability User Guide.

config log webtrends setting set status enable set server 220.210.200.190

end Pour plus de détails sur le paramétrage des options pour les types de journaenvoyer vers WebTrends, voir le chapitre sur les Journaux dans le F GReference.

Lors de la configuration de la journalisation dans le caDisponibilité, il faut configurer le membre primjournaux vers le FortiAnalyzer ou un serveurs’appliqueront aux membres sjournalisés au membre primaire qui lui envoie touou serveur Syslog.


Types de Journaux Le boîtier FortiGate offre une large gamme d’options de journalisation pour surveiller votre réseau. Cette section décrit chaque type de journal et son activation.

Remarque : Vous devez avant tout commencer par configurer les destinations de sauvegarde des fichiers journaux. Pour plus de détails, voir « Stockage de Journaux » à la page 411.

Journal Trafic

enregistre u FortiGate. Vous pouvez copare-feu, ainsi que la journdestination. Vous pouvez ts :

Trafic autorisé rnalise tout le trafic autorisé par les

Trafic bloqué

Le journal Trafic tout le trafic vers et passant à travers les interfaces dnfigurer la journalisation du trafic contrôlé par des règles alisation du trafic entre toute adresse source et de

appliquer les filtres suivan

Le boîtier FortiGate jouparamètres de la règle pare-feu.

Le boîtier FortiGate journalise tout le trafic violant les paramètres de la règle pare-feu.

Remarque r les messages journalisés du trafic, vniveau ation lors de la configuration de la des

: Afin d’enregistre ous devez paramétrer le de sévérité sur Notific tination de journalisation.

Activation de la journ

La journalisation du trafic enregistre tout le trafic vers et en provenance de l’interface ou de la sous-interface VLAN. Pour enregistrer des journaux, vous

le nivea

isation

1 stème > Réseau

2 Cliquez sur l’icône Editer d

3 Cochez la case Journaliser.

t bloqué ar la règle pare-feu, en fonction du profil de protection.

Activer la journalisation du trafic d’une règle pare-feu

1 Sélectionnez Pare-feu > Règle.

2 Cliquez sur la flèche bleue de la direction du trafic souhaité pour afficher la liste de règles.

3 Cliquez sur l’icône Editer d’une règle ou créez une nouvelle règle pare-feu.

alisation du trafic

devez paramétrer u de sévérité sur Notification ou un niveau moindre.

Activer la journal du trafic pour une interface ou sous-interface VLAN

Sélectionnez Sy > Interface.

’une interface.

4 Cliquez sur OK.

Activation de la journalisation du trafic d’une règle pare-feu

La journalisation du trafic d’une règle pare-feu enregistre le trafic permis ep


4

Journal Evénement

ctivités, gement de co ement

nibilité.

em

1 onnez Journaux/Alerte

2 Sélectionnez parmi les journa

s au atut de

c

DHCP Le boîtier FortiGate journalise tous les événements liés au DHCP tels que les journaux de requêtes et de réponses.

.

dministration Le boîtier FortiGate journalise tous les événements

HA Le boîtier FortiGate journalise tous les événements liés à la Haute Disponibilité tels que les informations relatives aux liens, aux membres et à l’état du cluster.

Authentification pare-feu Le boîtier FortiGate journalise tous les événements liés au pare-feu tels que l’authentification des utilisateurs.

Mise à jour des signatures Le boîtier FortiGate journalise tous les événements de mises à jour des signatures tels que les mises à jour des signatures antivirus et IPS et les échecs de mises à jour.

SSL VPN user authentication Le boîtier FortiGate journalise tous les événements d’authentification des utilisateurs pour les connexions VPN SSL tels que connex ns, déconnexions et timeout d’inactivité.

Le boîtier FortiGate journalise tous les événements d’administration des VPN SSL tels que les configurations

ement de certificats CA.

vités de la nts et blocage

es timeouts, les vérifications etc.

Cochez Log Allowed Traffic et cliquez ensuite sur OK.

Le journal Evénement enregistre les événements d’administration et d’atels que lors d’un chan nfiguration ou de l’apparition d’un événVPN ou Haute Dispo Activer les journaux Evén ent

Sélecti s > Configuration > Event Log.

ux suivants :

Evénement système Le boîtier FortiGate journalise tous les événements lié

système tels que l’échec d’un serveur ping et le stla passerelle.

Négociation IPSe Le boîtier FortiGate journalise tous les événements liés à la négociation tels que les rapports sur les progrès et les erreurs.

L2TP/PPTP/PPPoE Le boîtier FortiGate journalise tous les événements liésaux protocoles tels que les processus d’administration

Aadministratifs tels que les connexions utilisateurs, les réinitialisations et mises à jours de la configuration.

io

SSL VPN administration

SSL et le télécharg

SSL VPN session Le boîtier FortiGate journalise toutes les actisession telles que les lancemed’applications, l


Journal Antivirus

Journal Antiviru et mail. Par e

bloque un type depouvez appliquer nts :

Virus s infections virales.

ués s.

e fichiers ou mails dépassant un seuil défini.

AV Monitor Le boîtier FortiGate journalise tous les cas des virus, fichiers bloqués et fichiers et mails surdimensionnés. Cela s’applique aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM.

1 ction.

2 Cliquez sur l’icône Editer d’un profil de protection.

3

4

Journal Filtrage Web

e Journal Filtrage Web enregistre les erreurs d’évaluation de journalisation s de blocage de contenu web effectuées par

le boîtier FortiGate.

n.

3 flèche bleue à côté de Logging pour afficher les options de

ge web à journaliser.

rtiGuard.

Journal des Attaq

te. Le boîtier FortiGate journalise les événements suivants :

ate.

Le s enregistre les incidents liés aux virus pour les trafics Web, FTP xemple, lorsque le boîtier FortiGate détecte un fichier infecté,

fichier ou bloque un fichier ou mail surdimensionné. Vous les filtres suiva

Le boîtier FortiGate journalise toutes le

Fichiers Bloq Le boîtier FortiGate journalise tous les cas de fichiers bloqué

Le boîtier FortiGate journalise tous les cas dFichiers/Mails surdimensionnés

Activer les journaux antivirus

Sélectionnez Pare-feu > Profil de prote

Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation.

Cochez les événements antivirus à journaliser et cliquez ensuite sur OK.

LFortiGuard HTTP ainsi que les action

Activer les journaux Filtrage Web

1 Sélectionnez Pare-feu > Profil de protectio


Cliquez sur laJournalisation.

4 Sous Filtrage Web, cochez les événements de filtra

5 Cochez FortiGuard Web Filtering – Erreurs d’évaluation (HTTP uniquement) pour journaliser le filtrageFo

6 Cliquez ensuite sur OK.

ues

Le Journal Attaques enregistre les intrusions détectées et bloquées par le boîtier FortiGa

Signature des attaques Le boîtier FortiGate journalise toutes les intrusions détectées et bloquées basées sur la signature de l’attaque, ainsi que les actions prises par le boîtier FortiG


An malies Le boîtier FortiGate journalise toutes les intrusions détectées et bloquées basées sur des signatures inconnues ou suspectes, ainsi que les actions prises par le boîtier FortiGate.

iver les journaux Attaques

o

Act

1 le

2 Cliq

3 Cliqu ogging pour afficher les options de Journalisation.

rnaliser les intrusions et cliquez ensuite sur OK.

Sé ctionnez Pare-feu > Profil de protection.

uez sur l’icône Editer d’un profil de protection.

ez sur la flèche bleue à côté de L

4 Cochez IPS – Jou

Remarque : Vous devez vous assurer de l’activation des paramètres de journalisation des

signatures personnalisées aient l’option de journalisation activée. Pour plus de détails, voir

Journal Antispam

Le Journal Antispam enregistre les blocages d’adresses mails et de contenu des trafics SMTP, IMAP et POP3. Activer les journaux antispam

1 Sélectionnez Pare-feu > Profil de protection.


3 Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation.

4 Cochez Filtrage antispam – Log Spam et cliquez ensuite sur OK.

Journal IM / P2P

Le Journal des Messageries Instantanées et Peer-to-Peer enregistre les textes des messages instantanés, les communications audio, les tentatives de transferts de fichiers par les utilisateurs, le temps d’essai de la transmission, le type d’application IM utilisé et le contenu de la transmission. Activer les journaux IM / P2P

1 électionnez Pare-feu > Profil de protection.

2

3 Cliquez sur la flèche bleueJournalisation.

4 Cochez les deux journalis

signatures des attaques et anomalies. Les options de journalisation pour les signatures présentes sur le boîtier FortiGate sont définies par défaut. Veillez à ce que toutes les

« Protection contre les intrusions » à la page 352.

S

Cliquez sur l’icône Editer d’un profil de protection.

à côté de Logging pour afficher les options de

ations des activités IM et P2P et cliquez ensuite sur OK.


Accès aux Journaux Le boîtier FortiGate vous permsur le disque dur ou sur un Fo Au sein de l’afficheur de journa des messages journalisés. Pour le us pouvez également supprimer d rnaux, retirer des messages journalisés des fichiers et télécharger le fichier journal soit en format texte, soit en

et de visualiser les journaux stockés en mémoire, rtiAnalyzer muni du microcode version 3.0.

ux, vous pouvez lancer une recherche et filtrers journaux stockés sur un FortiAnalyzer, voes fichiers jou

format CSV.

Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celuimicrocode version 3.0 ou plus.

-ci doit être muni du

Accès aux messa

alyzer

1

as stockés en

Accès aux journaux stockés sur un boîtier FortiAnal

ges journalisés stockés en mémoire

Visualiser les messages journalisés stockés dans le FortiAn

Sélectionnez Journaux/Alertes > Journal.

2 Sélectionnez Memory.

3 Sélectionnez le type de journal désiré. Les journaux trafic ne sont pmémoire, étant donné leur volume.

Les messages journalisés s’affichent dans la fenêtre.

yzer

Dans la cas où vous avez configuré votre boîtier FortiGate pour qu’il envoie des paquets messages journalisés vers un FortiAnalyzer, vous pourrez visualiser, naviguer et télécharger des journaux sauvegardés sur ce FortiAnalyzer. Pour plus de détails sur la configuration du FortiGate pour l’envoi de journaux vers un FortiAnalyzer, voir « Journalisation sur un FortiAnalyzer » à la page 411.

Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celui-ci doit être muni du microcode version 3.0 ou plus. Accéder aux fichiers journaux d’un FortiAnalyzer

1 Sélectionnez Journaux/Alertes > Journal.

2 Sélectionnez FortiAnalyzer.

3 Sélectionnez le type de journal désiré.


Illustration 264 : Fichiers journaux sur un FortiAnalyzer

Type de journal Sélectionnez le type de journal que vous voulez visualiser.

Certains fichiers journaux, tels que le journal Trafic, ne peut des

Nom de fichier Les noms des fichiers du type sélectionné stocké sur le disque dur du FortiAnalyzer.

fichier avec le même nom. Par exemple, le journal n cours est alog.log. Tout journal supplémentaire

sauvé aura comme nom alog.n, où n est le nombre de

aquet

cours efface tous les messages journalisés du fichier actif. Il est seulement possible de vider le journal actif.

rimer le fichier journal entier. Vous ne pouvez

er le journal sous format texte ou fichier

Visualisation des

’afficheur de journaux reprend les informations des messages journalisés. Les colonnes reprennent le contenu des fichiers journaux. La partie supérieure de la page comprend des fonctionnalités de navigation qui vous aideront à vous déplacer parmi les messages et à localiser des informations spécifiques.

pas être sauvegardé sur la mémoire en raison du volumeinformations journalisées.

Lorsqu’un fichier journal atteint sa taille maximum, le FortiAnalyzer sauve ce fichier avec un numéro et commence un nouveauAttaques e

journaux répertoriés.

Taille La taille du fichier journal en octets.

Date du dernier accès Le jour, le mois, l’année et l’heure auxquels le dernier pjournalisé a été envoyé par le boîtier FortiGate.

Icône Vider Permet de vider le fichier en cours. Vider un fichier en

Icône Supprimer Permet de supppas supprimer le fichier actif.

Icône Télécharger Permet de téléchargCSV.

Icône Visualiser Permet d’afficher le fichier journal à partir de l’interface d’administration web.

informations journalisées

L


Illustration 265 : Visualisation des messages journalisés

Type de journal Sélectionnez le type de journal à visualiser.

Icône Page précéd Affiche la page précédente du fichier journal.

Affiche la page suivante du fichier journal.

ente

Icône Page suivante

Visualiser… lignes par page Choisissez le nombre de messages journalisés affichés

ligne à

nnes.

n affichage non électionnez

Formatage pour passer en affichage organisé en

imer les options de filtrage en cours pour le fichier journal.

Paramètres de c

ge des messages

lisés

sur chaque page.

Ligne Entrez le numéro de la ligne de la premièreafficher. Le nombre suivant le slash (« / ») est le nombre total de ligne dans le journal.

Formatage des colonnes Sélectionnez pour ajouter ou supprimer des colo

Colonnes/Formatage Sélectionnez Colonnes pour passer eformaté des messages journalisés. S

colonnes.

Clear All Filters Supprimer tous les filtres. Permet de suppr

s olonnes

Le formatage des colonnes permet de personnaliser l’affichajournalisés lors de l’affichage Formatage des messages. Illustration 266 : Paramètres des colonnes pour l’affichage des messages journa

Personnaliser les colonnes

électionnez Journa1 ux/Alertes > Journal.

2

S

Choisissez le Type de Journal que vous désirez accéder.


3 Choisissez entre Memory ou FortiAnalyzer.

4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le fichier.

5 liquez sur Formatage des colonnes.

6 om de c s des nez soit

la flèche d ectionnés de la liste Champs er les champs dans cet ordre.

s champs sélectionnés de la ps

place vers le haut dans la liste Visualiser les champs dans cet ordre.

ace le champ sélectionné d’une place vers le bas dans la

7 Cliquez sur OK.

Filtrage des messages journalisés

est possible de filtrer les contenus des journaux pour trouver des informations large une

c Illustration 267 : Filtrages d

C

Sélectionnez un n olonne. Pour modifier l’affichage des informationjournaux, sélection :

-> roite pour déplacer les champs sél Disponibles vers la liste Visualis

<- la flèche gauche pour déplacer leliste Visualiser les champs dans cet ordre vers la liste ChamDisponibles.

Monter Déplace le champ sélectionné d’une

Descendre Déplliste Visualiser les champs dans cet ordre.

Ilspécifiques dans un fichier ou dans plusieurs fichiers. Le filtrage offreforme de recherche avan ée pour chaque colonne d’information du journal.

es journaux

Les paramètres de filtrage appliqués se maintiennent pendant la durée de votre connexion au boîtier FortiGate. Les filtres des journaux sont réinitialisés à chaque déconnexion du boîtier FortiGate.

Remarque : Vous devez être en affichage Formatage pour accéder aux filtres. Filtrer des messages journalisés

1 Sélectionnez Journaux/Alertes > Journal.

2 Sélectionnez le type de journal auquel vous voulez accéder.

3 Choisissez entre Memory ou FortiAnalyzer.

4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le fichier.

5 Sélectionnez l’icône Filtre de la colonne à trier.

6 Entrez un critère de filtrage dans le champ Texte.

7 Sélectionnez si le critère entré est égal à ce que vous filtrez ou s’il est présent dans les données.

8 Si vous désirez exclure les contenus, cochez NOT.


Les icônes Filtres apparaissent en gris dans l’en-tête de la colonne. Un filtre utilisé

er

Rapports Le bles

• émoire pour soumettre, sous format graphique, des

informations de base sur le trafic. Les rapports comprennent la bande

nalyzer, le boîtier ir

ut

Rapports de base

Le boîtier FortiGate utilise des informations sur les journaux rassemblées et les présente sous format graphique pour établir l’usage réseau pour un nombre de services. Les graphiques montrent le volume d’octets utilisé par le trafic.

apparaît en vert.

Pour annuler un filtre, sélectionnez l’icône Filtre et cliquez ensuite sur RéinitialisFiltre.

oîtier FortiGate offre deux formes de rapports, vous permettant de visualiser informations sur le trafic circulant sur votre réseau :

Rapports de base sur le trafic – Le boîtier FortiGate utilise les informations des journaux stockés en m

passante par service et les protocoles par volume.

• Rapports FortiAnalyzer – lorsqu’il est connecté à un FortiAFortiGate peut accéder à tous les rapports générés par le FortiAnalyzer à partde ses journaux. Vous pouvez également personnaliser un rapport par défapour le boîtier FortiGate.

sur le trafic

Remarque : Les données utilisées pour les graphiques sont stockées en mémoire. Lors d’un redémarrage ou d’une réinitialisation du boîtier FortiGate, les données sont effacées.

Pour visualiser les rapports des journaux, sélectionnez Journaux/Alertes > Report Access et choisissez Memory. Illustration 268 : Visualisation de la Bande Passante par service


La localisation à partir de laquelle le boîtier FortiGate obtieSource des données nt

r rtiAnalyzer.

yzer, voir

Time Period ez un intervalle de temps pour les analyses de

FortiAnalyzer Link uré

en peut être :

• To access a complete set of 1000+ reports, please en

Acce r ce

accé

Le rapport n’est pas mis àsélectionnez Journaux/Al

Configuration de l’af

Les rapports FortiGate com le rappoifiqu

graphe Bande Passante p Modifier les informations

1 z Journaux/Al

2 Choisissez Memory comm

3 Sélectionnez le service quensuite sur Appliquer.

e se met à jour avby Total Volume » ne chan

les données sur la journalisation pour ses rapports. Choisissez Memory pour visualiser les journaux de base sur le trafic. Pouobtenir des rapports plus détaillés, sélectionnez Fo

Pour plus d’informations sur les rapports du FortiAnal« Rapports FortiAnalyzer » à la page 426.

Sélectionngraphiques.

Le lien en haut du rapport varie selon que vous ayez configle boîtier FortiGate pour l’envoi de journaux vers un FortiAnalyzer. Le li

configure a FortiAnalyzer appliance – cliquez sur ce lipour configurer un FortiAnalyzer. Pour plus de détails, voir« Journalisation sur un FortiAnalyzer » à la page 411.

• ss full set of reports on FortiAnalyzer – cliquez sulien pour lancer une nouvelle fenêtre de navigation

dant à l’interface d’administration web du FortiAnalyzer.

jour en temps réel. Pour rafraîchir le rapport, ertes > Report Access.

fichage des graphiques

prennent une large gamme de services que vous pouvez contrôler avec rt de base graphique. Pour vous aider à visualiser des informations spéc es, vous pouvez personnaliser ce que vous voyez sur le

ar Service ( Bandwidth Per Service).

des graphiques

Sélectionne ertes > Report Access.

e Source de données.

e vous désirez voir apparaître sur le graphe et cliquez

Le graph ec le contenu sélectionné. Le « Top Protocols Ordered ge pas.

Remarque : Il s’agit de rappo FortiAnalyzer peut fournir des rapports llés ou spécifiques.

nalisés et de gainsi d nces sur

votre réseau pour les activitéproblèmes de sécurité et dan on des mauvais usages et abus du réseau.

rts simplifiés. Un boîtierplus détai La fonction d’un FortiAnalyzer est de rassembler des messages jour énérer des rapports. Il peut générer plus de 140 rapports différents, vous offrant es informations historiques et mises à jour, des tenda

s mail, IM et générales. Ceci vous aide dans l’identification de s la réducti


Rapports FortiAn

ts uvez également configurer un profil de

cifiques pour le boîtier Fo

orsque le boîtier FortiGate se connecte pour la première fois à un FortiAnalyzer, e un profil de

être personnalisé à partir d Le FortiAnalyzer peut crée e afin de répondre à une ga ersonnalisables

détails sur l’azer Administratio

alyzer

Dans le cas où le boîtier FortiGate est connecté à un FortiAnalyzer muni du microcode version 3.0 ou plus, il vous est possible d’accéder à tous les rapporénérés pour le boîtier FortiGate. Vous pog

rapport par défaut configurable pour générer des rapports spértiGate.

Lce dernier cré rapport par défaut personnalisable. Seul ce profil peut

u boîtier FortiGate.

r plusieurs profils de rapport pour un boîtier FortiGatmme d’exigences et à des options p

additionnelles. Pour plus de jout et la configuration de profils de rapport, voir le FortiAnaly n Guide.

Remarque : Les rapports FortiAnal us ne configurez pas r FortiGate pour qu’il as

muni du microcode version 3.0 ou plus.

Visualisation des rapports FortiAnalyzer

demande. Si vous utilisez un FortiAnalyzer, vous pouvez accéder à tout rapport

Visualiser les rapports FortiAnalyzer

1

2

3 Cliquez sur la flèche bleue pour afficher la sélection des rapports à visualiser.

4 Sélectionnez un nom de rapport pour visualiser une version HTML du rapport.

Si le rapport a été configuré pour inclure des formats alternés, vous pouvez sélectionner l’icône dans la colonne Autres Formats.

yzer n’apparaissent pas tant que vole boîtie se connecte à un FortiAnalyzer, ou si le FortiAnalyzer n’est p

Le FortiAnalyzer peut générer un nombre de rapports spécifiques pour un boîtier FortiGate et faire fonctionner ces rapports selon des horaires précis, ou sur

généré pour le boîtier FortiGate à partir de l’interface d’administration web FortiGate.

Sélectionnez Journaux/Alertes > Report.

Choisissez FortiAnalyzer comme Source de données.


Illustration 269 : Visualisation des rapports FortiAnalyzer pour le boîtier FortiGate

SélectiConfigurationboîtier FortiGate. Ce rapport apparaissant en haut de

onnez pour configurer le rapport par défaut pour le

ble à partir du boîtier FortiGate. Pour plus de détails, voir le

Date La date et l’heure auxquelles le FortiAnalyzer a généré les

supplémentaires de rapports apparaîtront. Ces formats comprennent Adobe PDF,

ration du rapport par défaut du FortiAnalyzer

Il est possible de mettre à jour ou de modifier un profil de configuration de rapport pour y inclure les informations à paraître sur le rapport. Choisissez le type de rapport et un intervalle de temps pour fournir des rapports spécialisés. Configurer le profil de rapport par défaut du FortiAnalyzer

1 Sélectionnez Journaux/Alertes > Report Config.

2 Choisissez FortiAnalyzer comme Source de données.

3 Sélectionnez Configuration.

4 Entrez un titre pour le rapport et une description de ce qu’il contient. Ces deux champs sont facultatifs.

5 Cliquez sur la flèche bleue à côté des options à configurer : Période de temps Choisissez un intervalle de temps pour le rapport.

Portée du rapport Choisissez le type de résultat à inclure dans le rapport.

Report Types Sélectionnez les rapports à inclure.

Filtre Filtrez les données des journaux pour créer des rapports sur des contenus ou informations spécifiques.

la listedes rapports FortiAnalyzer, est le seul rapport personnalisa

FortiAnalyzer Administration Guide.

Fichiers de rapport Les noms des fichiers HTML pour chaque rapport généré dans le profil de rapport.

rapports.

Taille (octets) La taille des fichiers rapports.

Autres Formats Dans le cas où cela a été configuré par l’administrateur FortiAnalyzer, des formats de fichiers

Microsoft Word RTF ou ASCII Text.

onfiguC


Planifié Configurez le moment auquel le FortiAnalyzer génère ses rapports, par exemple, chaque semaine ou chaque mois.

Format/Sortie Choisissez un format pour les rapports.

6 Cliquez sur OK.

Configuration des options temporelles

Les rapports reprennent les informations pour un laps de temps donné. Vous devez spécifier cet intervalle de temps souhaité. Lorsque le FortiAnalyzer génère un rapport, il utilise les données journalisées pour cette période de temps spécifié uniquement. Illustration 270 : Configuration des options temporelles des rapports

Période de temps Sélectionnez un intervalle de temps pour le rapport.

Date de début : Choisissez la date et l’heure de départ.

Choisissez la date et l’heure de fin.

contenu des rapports

Date de fin :

Configuration du contenu des rapports

électionnez le type de résultats que vous voulez inclure dans les rapports.S Illustration 271 : Configuration du

Résoudre les Permet l’affichage des noms d’hôtes par un nom noms

d’hôtes,

Résoudre les noms ce de services éros de port. Par exemple, HTTP au lieu de port 80.

Dans les « rapports classés » montrer le top

s.

r

valeurs du champ « Top ».

d’hôtes reconnaissable à la place des adresses IP. Pour toute information sur la configuration d’adresse IP de nomsvoir le FortiAnalyzer Administration Guide.

Permet l’affichage des noms des services réseaux à la plades num

Pour certains types de rapports, vous pouvez définir les éléments supérieurs. Ces rapports ont le mot « Top » dans leur nom et afficheront uniquement les n entrées supérieurePar exemple, le rapport des clients mail les plus actifs dans l’organisation (au lieu de tous les clients mail).

Les rapports qui ne comprennent pas le mot « Top » dans leunom afficheront quant à eux toutes les informations. Les rapports ne seront pas affectés par un changement des


Configuration de la sélection des rapports

Sélectionnez le type d’informations que vous voulez inclure dans les rapports :

Basic – offre les types de rapports les plus communs.

• All – offre tous les types de rapports. Si les données pour un type de rapport sont inexistantes, ce rapport affichera un message précisant que les données journalisées pour ce rapport n’ont pas été trouvées.

• Custom – permet de sélectionner les rapports que vous voulez inclure. Cliquez sur la flèche bleue pour afficher les catégories de rapports et sélectionnez des rapports individuels.

Configuration de filtres pour les journaux

Le filtrage vous permet de visualiser ou retirer des informations d’un rapport pour obtenir un rapport plus concis. Cela sert dans le cas, par exemple, où vous ne désirez que des rapports sur des messages d’erreurs spécifiques ou encore si vous ne voulez pas inclure certaines adresses IP de destination. Illustration 272 : Configuration de filtres pour les journaux

•

Filtres Choisissez None pour ne pas appliquer de filtres aux journaux d’un rapport.

Choisissez Custom pour appliquer des filtres aux journaux d’un rapport.

Include logs that match Sélectionnez le critère voulu pour le filtre.

Sélectionnez All pour inclure dans le rapport les journaux qui correspondent à tous les paramètres des filtres. Si le contenu d’un journal ne correspond pas à tous les critères, le FortiAnalyzer ne reprendra pas ce journal dans son rapport.

Sélectionnez Any pour inclure dans le rapport les journaux qui correspondent à au moins un critère des filtres. Si un contenu de filtre, même s’il est le seul, correspond au contenu d’un journal, celui-ci sera repris dans le rapport généré par le FortiAnalyzer.

Priorité Cochez cette case pour activer les options de filtrage en fonction du niveau de priorité. Sélectionnez ensuite le niveau de priorité à rechercher dans les journaux et précisez si vous désirez que le contenu soit égal, plus grand ou plus petit que ce niveau de priorité.


Source(s) Entrez l’adresse IP source comme critère de correspondance. Utilisez une virgule pour séparer plusieurs adresses.

Cochez Not pour exclure l’adresse IP source du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d’une adresse IP source précise dans le rapport.

Destination(s) Entrez l’adresse IP de destination comme critère de correspondance. Utilisez une virgule pour séparer plusieurs adres

Coc dresse IP de destination du rapp ù vous ne voulez pas inclure de destination précise dans le

Vou rganiser le filtre en fonction de plages ris des sous-réseaux pour créer des rap tion. Par exemple :

• s IP du sous ou 172.20.110.0/24

• .20.110.0-140.255 filtre toutes les adresses IP de 172.20 .255

• resses IP de 172.16

(s) Entrez lure dans le rapport. Sépare une virgule.

Cochez cette interface du rapp ar exemple où vous ne voulez pas inclur terface précise dans le rapport.

ine(s) Virtuel(s) Entr irtuels à inclure dans le rapport. Séparez plusieu ls par une virgule.

Coche u rapport. Dans le cas par exe ure le contenu d’un VDOM précis

Entr dans le rapport. Sép ule.

Coc e service du rapport. Dans le cas par exemp oulez pas inclure le contenu d’un service préc

URL(s) Entr e dans le rapport. Séparez plusi

Cochez Not pour exclure l’URL du rapport. Dans le cas par exem ù vous ne voulez pas inclure le contenu d’un URL précis s le rapport.

Séle ure dans le rapport.

Jours de la semaine Cho es jours de la semaine pour lesquels les informa s journaux sont insérées dans les rappor

ses.

hez Not pour exclure l’aort. Dans le cas par exemple o

le contenu d’une adresse IP rapport.

s pouvez également o d’adresses IP, y compports sur des groupes de l’organisa

172.20.110.0-255 filtre toutes les adresse-réseau 172.20.110.0/255.255.255.0

172.110.0 à 172.20.140

172.16.0.0-20.255.255 filtre toutes les ad.0.0 à 172.20.255.255

Interface l’interface que vous voulez incz plusieurs interfaces par

Not pour exclus p

re les informations de ort. Dans le cae le contenu d’une in

Doma ez les domaines vrs domaines virtue

z Not pour exclure le VDOM dne voulez pas inclmple où vous

dans le rapport.

Service(s) ez les services spécifiques à inclure arez plusieurs services par une virg

hez Not pour exclure lle où vous ne v

is dans le rapport.

ez les URL spécifiques à inclureurs URL par une virgule.

ple o dan

Période ctionnez un intervalle de temps à incl

isissez ltions tirées des fichier

ts.


Configuration d’un planning pour les rapports

Le FortiAnalyzer génère des rapports selon un planning que vous définissez. Choisissez un horaire récurrent pour que, par exemple, chaque semaine des

ur le trafic mail soien

Illustration 273 : Configuration d’u

rapports s t générés.

n planning pour les rapports

Non planifié Permet de ne pas générer de rapport quotidien. Utilisez ce

para oulez obtenir des rapports seulement lorsq ionnez cette option, vous deve rt à partir de l’interface d’ad

Quotidiennement Perm ort tous les jours à la même heure.

Ces jours Perme tains jours de la semaine.

Permeexemp miers et quinziè

ure Perme généré.

onfiguration de la sort

pouvez choisir la destina gurez pour cela le boîtier FortiAnalyzer pour soit sauvegarder les rapports sur son disque dur, soit les envoyer par mail à tous les d core les deux options. Lors de la configuration du For r mail des rapports, vous devez configurer le serveur ma our toute information à ce sujet, voir le FortiAnalyzer Adm

mètre lorsque vous vue nécessaire. Si vous sélect

on du rappoz solliciter l’initiatiministration web du FortiAnalyzer.

et de générer un rapp

t de générer un rapport cer

Des dates t de générer un rapport certains jours du mois. Par le, pour générer un rapport tous les premes jours du mois, entrez 1, 15.

He t de définir l’heure à laquelle le rapport sera

C ie des rapports

Vous tion et le format des rapports. Confi

estinataires prévus, soit en

tiAnalyzer pour l’envoi pail sur le FortiAnalyzer. Pinistration Guide.

Remarque : Si vous envoyez par ateur et que son client email ne supporte pas HTML, il ve de HTML de chaque rapport dans le corps du

ssage.

mail des rapports HTML à un utilisrra le co

me


Illustration 274 : Configuration de la sortie des rapports

Fichier de sortie Sélecti ur les rapports générés

sau ur du FortiAnalyzer.

Email de sortie Séle r les rapports générés env e jointe de courriers élec

ses Email Entr ires des rapports. Tapez la touch Enter pour ajouter une adresse mail supplémentaire.

Sélecti s fichiers de rapports terminés sur un serveur FT

Adresse IP Entr

utilisateur Entrez le ous connecter sur le serveur FTP.

Mot de passe Entrez le mot de passe pour vous connecter sur le serveur FTP

er le(s) rapport(s) Perme es rapports en at gzip fichi es télécharger sur un serveur FTP.

er le(s) fichier(s) Permet de supprimer les fichiers des rapports du argement disq u FortiAnalyzer une fois que celui-ci a terminé le

télécha

Mail d’alerte La fonctionnalité de mail d’ale boîtier FortiGate de surveiller les

aux de messages journalisé sévérité. Si le sage apparaît dans les journaux, le boîtier FortiGate envoie un mail aux

s prédéfinis du mess rnalisé en question. L’envoi de mails d’alerte fournit un èmes

paraissant sur le boîtier For ou des attaques seaux.

onnez le format de fichier povés sur le disque d

ctionnez le format de fichier poucoyés par le FortiAnalyzer en piè

troniques.

Liste d’adres ez les adresses mail des destinatae

Charger le rapport onnez pour télécharger deP. sur un serveur FTP

ez l’adresse IP du serveur FTP.

Nom d’ nom d’utilisateur pour v

.

Charg t de compresser les fichiers dau form

ers gzip avant de l

Supprimaprès ch ue dur d

rgement sur le serveur FTP.

rte permet aujourn

ss ayant un certain niveau de

medestinataire age jou

e notification immédiate de problreurs systèmeap tiGate, tels que des er

ré


Illustration 275 : Options des mails d’alerte

Configuration des mails d’alerte

Lors de la configuration de mails urer au moins un S. Le boîtier FortiGate utilise le nom du serveur SMTP pour se

connecter au serveur mail et doit chercher ce nom sur votre serveur DNS.

onfigurer les mails d’alerte

Sélectionnez Journaux/Alerte ration > Alerte Mail.

issez les options suivantes Le nom/a P.

Email from Le nom

e Entrez jusqu’à trois destinataires des mails d’alerte.

Authentification Activer Coch activer l’authentification SMTP.

Compte de messagerie Entrez tilisateur pour vous connecter au TP serveu oi de mails d’alerte. Cette manoeuvre

n’es vous avez activé l’authentification SMTP.

Entrez necter au serveur SMTP pour l’e ’alerte. Cette manoeuvre n’est nécess l’authentification SMTP.

Log Level Le boît ie des mails d’alerte pour tous les messa eau de sévérité sélectionné ainsi que des niveau

Entrez un int d’attente avant l’envoi du mail d’ale niveau additionnel des messages journalisés.

Erreur Avertissement Notification

n

d’alerte, vous devez configserveur DN

C

1 s > Configu

2 Défin et cliquez ensuite sur Appliquer : Serveur SMTP dresse du serveur mail SMT

d’utilisateur SMTP.

Destinatair

e z cette case pour

un nom d’uSM r SMTP pour l’env

t nécessaire que si

Mot de passe un mot de passe pour vous connvoi de mails d

aire que si vous avez activé

ier FortiGate envoges du nivx supérieurs.

Urgent ervalle de temps Alerte Critique

rte du

Informatio


Remarque : Dans le cas où le boîtier FortiGate réunit plus d’un message journalisé avant que l’intervalle de temps soit atteint, le boîtier FortiGate combine ces messages et n’envoie qu’un mail d’alerte.



Index

A accès au mode console, 33 administrateur

authentification RADIUS, 169 configuration d’un compte, 170 contrôle, 180 liste, 169 modifier le mot de passe, 170

administration comptes administrateurs, 168 FortiManager, 177–78 groupe d’utilisateurs, 169 profils d’administration, 174

adresse pare-feu, 245 configuration, 247 configuration des groupes d’adresses, 248 introduction, 245 liste des adresses pare-feu, 246 liste des groupes d’adresses, 247

ajout d'un serveur ping à une interface, 76–77 antispam, 386

configuration cli, 398 expressions régulières en Perl, 400 liste noire et liste blanche, 392 modèle à méta-caractère, 400 mots bannis, 389 trafic POP3 et IMAP, 386 trafic SMTP, 386

antivirus, 337 configuration CLI, 350 liste de soumission automatique, 344 liste des graywares, 348 liste des virus, 347 mise en quarantaine, 342 modèles de fichier, 338 options de mise en quarantaine, 345

archives de contenu, 58 authentification

RADIUS, 169 authentification

d’un utilisateur, 324 authentification

paramétrage du timeout, 324 auto key, 295

B bande passante garantie, 239 bande passante maximum, 239 BGP, 219

paramètres, 220

C Centre FortiGuard, 184

configuration du boîtier, 186 problèmes de connexion, 188 service Antispam, 185 service de filtrage web, 185

certificats VPN, 316 certificats CA, 320 certificats locaux, 316 générer une requête de certificat, 317 importation d’un certificat serveur signé, 319 liste de révocation de certificat, 322

châssis FortiGate série 5000, 15 cluster

administration, 133 administration individuelle des membres, 135 configuration, 124 connexion au réseau, 147 déconnexion d’un membre, 136 liste des membres, 119–20 réadjoindre un membre déconnecté, 137 réplication, 135

cluster virtuel administration, 141

clustering virtuel activation, 131 configuration, 127 exemple de configuration, 139

configuration des paramètres du modem, 79

configuration de l'interface modem, 79 configuration du système

sauvegarde et restauration, 181 Configuration Globale

paramètres, 42 configuration par défaut

des profils de protection, 280 console de message d'alerte, 50 conventions du document, 26

D date et heure, paramétrage, 51 détection de l'échec d'une passerelle, 76 DHCP

baux d’adresses, 103 configuration d’un serveur, 101 configuration d’une interface, 69 configuration d’une interface comme relais DHCP,

101 configuration des services DHCP, 100 serveurs et relais, 99

DNS configuration dynamique d'une interface, 72

domaines virtuels

436 Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 01-30000-0270-20051212

affectation d’un administrateur, 46 ajout d’interfaces à un vdom, 45 création et édition, 44 introduction, 40 mode Multiple VDOM, 43 paramètres de configuration, 41 paramètres de la Configuration Globale, 42

domaines virtuels et cluster configuration, 130

E échec d'une passerelle

détection, 76 enregistrement d'un FortiGate, 37 expressions régulières en Perl, 400

F filtrage web, 366

filtre url, 374 liste d’exemption des contenus web, 371 liste de blocage de contenu, 368 par mots clés, 368

filtrage web FortiGuard, 378 liste override, 379

filtre MAC, 96 FortiAnalyzer, 411

accès aux journaux, 420 découverte automatique, 412 rapports, 425–26

FortiGate documentation, 26–27

FortiGate IPv6, 91 commande CLI, 91

FortiGate série 5000 châssis, 15 modules, 16

FortiGuard configuration des options override, 334 mise à jour manuelle des définitions AV et IPS, 55

Fortinet Base de Connaissance, 28 Service clientèle et support technique, 28

Fortinet, gamme de produits FortiAnalyser, 22 FortiBridge, 23 FortiClient, 22 FortiGuard, 22 FortiMail, 23 FortiManager, 23 FortiReporter, 23

G gamme de produits FortiGate, 15 gamme de produits Fortinet, 21–22 groupe d’adresses pare-feu, 247

groupe d’utilisateurs, 329–30 configuration, 333 groupe d’utilisateurs Active Directory, 331 groupe d’utilisateurs pare-feu, 331 groupe d’utilisateurs VPN SSL, 332 liste de groupe, 332 options override FortiGuard, 334 types de groupe, 331

groupe d’utilisateurs VPN SSL, 335 groupes d’adresses

configuration, 248

H HA, high availability

voir haute disponibilité, 104 haute disponibilité

exemple de configuration en maillage intégral, 143 haute disponibilité, 104

clustering virtuel, 108 interface de Heartbeat, 117 maillage intégral HA, 109 modes HA (actif-actif et actif-passif, 107 options HA, 114 priorité de l’équipement, 115 protocole de clustering FortiGate (FGCP), 106 statistiques, 122

haute disponibilité interfaces agrégées 802.3ad, 150

haute disponibilité journalisation d’un cluster, 415

heartbeat adresses IP des interfaces, 119 interface, 117 interfaces par défaut, 118

historique opérationnel, 55 hôtes de confiance, 172–73

I icônes, description, 36 IM, 403

configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques d’ensemble, 403 statistiques par protocole, 404

information sur la licence, 48 interface

ajout d'un serveur ping, 76–77 configuration additionelle, 74 configuration DHCP, 69 configuration DNS dynamique, 72 configuration PPPoE, 70 contrôler un accès administratif, 74 introduction, 61 paramètres, 63 paramètres DHCP, 70

Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 437 01-30000-0270-20051212

paramètres PPPoE, 71 interface agrégée 802.3ad, 66 interface d'administration web, 29

aide en ligne, 30 barre de boutons, 30 barre de statuts, 37 déconnexion, 34 écran, 29 icônes, 36 menu, 35 moteur de recherche, 32 pages, 34

interface IPSec virtuelle configuration, 72

interface modem configuration, 79

interface redondante, 67 interface sans fil, 68 interfaces

statuts, 50 IP virtuelles, 260

ajout d’IP virtuelles dynamiques, 276 ajout d’un relayage de port, 269 ajout d’une IP virtuelle d’équilibrage de charge,

272 ajouter une adresse IP virtuelle de translation, 265–

66 configuration des adresses, 264 liste, 264

ips, 352 anomalies, 362 configuration cli, 364–65 décodeurs de protocoles, 360 signatures personnalisées, 358 signatures prédéfinies, 353–54

IPSec virtuelle configuration d'une interface, 72 paramètres, 73

J journal des Attaques, 59 journalisation, 409

accès aux journaux, 419–20 boîtier FortiAnalyzer, 411 d’un cluster haute disponibilité, 415 filtres et colonnes, 422 journal antispam, 419 journal antivirus, 417–18 journal des attaques, 418 journal événement, 417 journal filtrage web, 418 journal im/p2p, 419 journal Trafic, 416 niveaux de sévérité, 410 stockage des journaux, 411 sur la mémoire, 413 sur un serveur Syslog, 414

sur Web Trends, 415 types de journaux, 415–16

L licence, 192–93 liste des sessions, 57 logiciel FortiGate, 53

mise à jour logicielle, 53 retour à une version antérieure, 54

M MAC

adresses MAC virtuelles, 138 mail d’alerte, 432 maillage intégral

exemple de configuration, 143 message de connexion VPN SSL

modification, 164–65 messages de remplacement, 160–61 méta-caractère, 400 MIB

champs MIB Fortinet, 158 MIB FortiGate, 156 mise à jour

des signatures antivirus et IPS, 189 mise à jour forcée, 191 via un serveur proxy, 190

mise à jour logicielle, 53 à partir de l’interface d’administration web, 53

mise en quarantaine, 342 configuration des options, 345

mode Transparent table de routage, 78

modèles de fichier, 338 modem

configuration des paramètres, 79 connexion et déconnexion, 83 statut, 84

modules FortiGate série 5000, 16 Multicast, 221

paramètres, 222

N nom d’hôte d’un membre, 123 nom d'hôte du FortiGate, modification, 52 numéro de séquence, 195

O options du réseau

configuration, 77 OSPF, 211

définitions d’aires, 216 options avancées, 214

438 Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 01-30000-0270-20051212

paramètres de base, 212 spécification de réseaux, 217 système autonome, 211

P P2P, 403

configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques d’ensemble, 403 statistiques par protocole, 404

page d’ignorance du filtrage web FortiGuard modification, 164

page d’information d’authentification modification, 165

page de connexion et authentification modification, 163

paires et groupes de paires, 336 par défaut

route et passerelle, 198 paramétrage, date et heure du système, 51 paramètres

d'une route en mode Transparent, 78 paramètres du modem

mode redondant, 79, 81 mode stand alone, 79, 82

pare-feu groupe de service, 255 service personnalisé ICMP, 254 service personnalisé IP, 254 service personnalisé TCP ou UDP, 253

pare-feu, 249 configuration des services personnalisés, 253 liste des services personnalisés, 253 liste des services prédéfinis, 249 règle, 228

pare-feu plage horaire

voir plage horaire, 257 passerelle

détection de l'échec d'une passerelle, 76 plage horaire d’un pare-feu, 257

configuration des plages ponctuelles, 258 configuration des plages récurrentes, 259 liste des plages ponctuelles, 257 liste des plages récurrentes, 258

Plages IP, 277 configuration, 278

Plages IP et NAT dynamique, 277 PPPoE

configuration d’une interface, 70 préférence des routes, 195 priorité d’un membre, 123 priorité de l’équipement, 115 priorité du trafic, 240 produits de la gamme Fortinet, 21–22 profil de protection, 279

ajout d’un profil à une règle, 292 configuration, 281 configuration CLI, 293 introduction, 279 liste, 280 options antivirus, 281–82 options de filtrage antispam, 286 options de filtrage web, 283 options de la journalisation, 291 options des archives de contenu, 289 options du filtrage FortiGuard-Web, 284–85 options IM et P2P, 290 options IPS, 288–89 par défaut, 280

profils d’administration, 174 configuration, 176 liste, 176

protection contre les intrusions, 352 anomalies, 362 configuration cli, 364–65 décodeurs de protocoles, 360 signatures personnalisées, 358 signatures prédéfinies, 353–54

R RADIUS

authentification des administrateurs, 169 rapports, 424

configuration d’un planning, 430–31 configuration de la sortie des rapports, 431 configuration des filtres, 429 configuration des graphiques, 425 configuration du contenu, 428 FortiAnalyzer, 425–26 options temporelles, 428 sur le trafic, 424

règle de routage, 201 ajout, 202 déplacement, 203

règle pare-feu, 228 ajout d’une authentification, 238 ajout d’une priorité de trafic, 239 ajout d’une règle, 231 configuration, 232 corresondance de règles, 229 déplacement, 231 liste, 230 options, 234

règle pare-feu IPSec, 242 règle pare-feu VPN SSL, 243 réseau

options du réseau, 76 options, configuration, 77

retour à une version logicielle antérieure, 54 RIP, 205

ignorer les paramètres, 209 options avancées, 208

Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 439 01-30000-0270-20051212

paramètres de base, 206 routage

ajout d’une route statique, 200 concepts, 194 construction d’une table de routage, 195 numéro de séquence, 195 préférence des routes, 195 prendre les décisions, 195 règle, 201

route paramètres, en mode Transparent, 78

route et passerelle par défaut, 198 routes statiques

création et édition, 197 routeur dynamique, 205

BGP, 219 Multicast, 221 OSPF, 211 RIP, 205

S serveur override

ajout, 190 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 service clientèle et support technique, 28 snmp

configuration, 153 SNMP, 152

configuration d’une communauté, 154 statistiques

visualisation, 57 statuts du système, 47

informations, 48 page des statuts, 47 ressources, 49 statistiques, 50

Syslog journalisation, 414

système sans fil domaines régulatoires, 92 filtrage des MAC, 96 interface LAN sans fil FortiWiFi, 92 numéros des canaux IEEE 802.11x, 92 paramètres du système, 94 surveillance du module, 97

T table de routage, 225

affichage des informations, 225

en mode Transparent, 78 recherche, 227

traps FortiGate, 156

U utilisateur, 324

authentification d’un utilisateur, 324 comptes utilisateurs locaux, 325 configuration d’un groupe d’utilisateurs, 333 groupe d’utilisateurs, 329–30 groupe d’utilisateurs Active Directory, 331 groupe d’utilisateurs pare-feu, 331 groupe d’utilisateurs VPN SSL, 332 liste de groupe d’utilisateurs, 332 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 types de groupe d’utilisateurs, 331

V VLAN

en mode NAT/Route, 85 en mode Transparent, 88 introduction, 84

VPN IPSec, 294 auto key, 295 clé manuelle, 305 concentrateur, 308 création d’une phase 1, 296 création d’une phase 2 \r, 302 tunnels actifs, 309–10

VPN PPTP, 312 plage PPTP, 312

VPN SSL, 313 configuration, 313 monitor, 314–15

W Web Trends

journalisation, 415 wireless

voir Système sans fil, 92

Z zone, 75

liste des zones, 75 paramètres d'une zone, 76

Guide Dadministration FortiGate v30MR1 FR

Documents

Transcript of Guide Dadministration FortiGate v30MR1 FR