Guide Dadministration FortiGate v30MR1 FR
Transcript of Guide Dadministration FortiGate v30MR1 FR
GUIDE D’ADMINISTRATION
ortiGate ersion 3.0
FV
www.fortinet.com
Guide d’administration FortiGate Version 3.0 24 avril 2006 01-30001-0203-20060424 © Droit d’auteur 2006 Fortinet, Inc. Tous droits réservés. En aucun cas, tout ou partie de cette publication, y compris les textes, exemples, diagrammes ou illustrations, ne peuvent être reproduits, transmis ou traduits, sous aucune forme et d’aucune façon, que ce soit électronique, mécanique, manuelle, optique ou autre, quelqu’en soit l’objectif, sans autorisation préalable de Fortinet, Inc. Marques déposées Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et FortiWiFi sont des marques déposées de Fortinet, Inc. aux États-Unis et/ou dans d’autres pays. Les noms des sociétés et produits mentionnés ici peuvent être des marques déposées par leurs propriétaires respectifs.
2 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Table des Matières Introduction.......................................................................................................15
Présentation des équipements FortiGate............................................................................. 15 Châssis FortiGate série 5000 ............................................................................................... 15 A propos des modules FortiGate série 5000 ........................................................................ 16 FortiGate-3600...................................................................................................................... 17 FortiGate-3000...................................................................................................................... 17 FortiGate-1000A ................................................................................................................... 18 FortiGate-1000AFA2............................................................................................................. 18 FortiGate-1000...................................................................................................................... 18 FortiGate-800........................................................................................................................ 18 FortiGate-800F...................................................................................................................... 19 FortiGate-500A ..................................................................................................................... 19 FortiGate-500........................................................................................................................ 19 FortiGate-400A ..................................................................................................................... 19 FortiGate-400........................................................................................................................ 19 FortiGate-300A ..................................................................................................................... 20 FortiGate-300........................................................................................................................ 20 FortiGate-200A ..................................................................................................................... 20 FortiGate-200........................................................................................................................ 20 FortiGate-100A ..................................................................................................................... 20 FortiGate-100........................................................................................................................ 21 FortiGate-60/60M/ADSL ....................................................................................................... 21 FortiWiFi-60 .......................................................................................................................... 21 FortiGate-50A ....................................................................................................................... 21
Gamme de Produits Fortinet.................................................................................................. 22 Services de souscription FortiGuard..................................................................................... 22 FortiAnalyser......................................................................................................................... 22 FortiClient.............................................................................................................................. 22 FortiManager......................................................................................................................... 23 FortiBridge ............................................................................................................................ 23 FortiMail ................................................................................................................................ 23 FortiReporter......................................................................................................................... 23
A propos de ce document ...................................................................................................... 24 Conventions utilisées dans ce document ............................................................................. 26
Documentation FortiGate ....................................................................................................... 27 CD d’outils et de documentation Fortinet.............................................................................. 28 Base de Connaissance Fortinet (Fortinet Knowledge Center) ............................................. 28 Remarques sur la documentation technique Fortinet........................................................... 28
Service clientèle et support technique ................................................................................. 28
Interface d’administration web ........................................................................29
Fonctionnalités de la barre de boutons................................................................................ 30 Contacter le Support Technique ........................................................................................... 30 Aide en Ligne ........................................................................................................................ 30 Accès au mode console........................................................................................................ 33 Déconnexion ......................................................................................................................... 34
Guide d’Administration FortiGate Version 3.0 3 01-30001-0203-20060424
Pages de l’interface d’administration web ........................................................................... 34 Menu de l’interface d’administration web.............................................................................. 35 Listes..................................................................................................................................... 36 Icônes.................................................................................................................................... 36 Barre de statuts..................................................................................................................... 37
Enregistrement d’un équipement FortiGate......................................................................... 37
Utilisation de domaines virtuels ......................................................................40
Domaines virtuels ................................................................................................................... 40 Paramètres de configuration des domaines virtuels............................................................. 41 Paramètres de la Configuration Globale............................................................................... 42
Activation du mode Multiple VDOM ...................................................................................... 43 Configuration des VDOM et paramètres globaux ................................................................ 43
Visualisation, création et édition de domaines virtuels et édition de paramètres globaux ... 44 Ajout d’interfaces à un domaine virtuel................................................................................. 45 Affectation d’un administrateur à un domaine virtuel............................................................ 46
Statuts du Système...........................................................................................47
Page des statuts...................................................................................................................... 47 Visualisation des statuts du système.................................................................................... 47
Modification des informations du système .......................................................................... 51 Paramétrage des date et heure ............................................................................................ 51 Modification du nom d’hôte du boîtier FortiGate................................................................... 52
Modification du logiciel FortiGate ......................................................................................... 53 Mise à jour logicielle.............................................................................................................. 53 Retour à une version logicielle antérieure ............................................................................ 54
Visualisation de l’historique opérationnel............................................................................ 55 Mise à jour manuelle des définitions FortiGuard................................................................. 55
Mise à jour manuelle des définitions AV FortiGuard ............................................................ 56 Mise à jour manuelle des définitions IPS FortiGuard ........................................................... 56
Visualisation des Statistiques ............................................................................................... 57 Visualisation de la liste des sessions.................................................................................... 57 Visualisation des Archives de Contenu ................................................................................ 58 Visualisation du Journal des Attaques.................................................................................. 59
Système > Réseau ............................................................................................61
Interface ................................................................................................................................... 61 Paramètres de l’interface ...................................................................................................... 63 Création d’une interface agrégée 802.3ad ........................................................................... 66 Création d’une interface redondante .................................................................................... 67 Création d’une interface sans fil ........................................................................................... 68 Configuration DHCP d’une interface..................................................................................... 69 Configuration PPPoE d’une interface ................................................................................... 70 Configuration d’un service DNS dynamique d’une interface ................................................ 72 Configuration d’une interface IPSec virtuelle........................................................................ 72
4 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration additionnelle des interfaces............................................................................ 74 Zone.......................................................................................................................................... 75
Paramètres d’une zone......................................................................................................... 76 Options..................................................................................................................................... 76
Détection de l’échec d’une passerelle .................................................................................. 76 Configuration des Options du Réseau.................................................................................. 77
Table de Routage (en mode Transparent) ............................................................................ 78 Paramètres d’une route en mode Transparent..................................................................... 78
Configuration de l’interface modem...................................................................................... 79 Configuration des paramètres du modem ............................................................................ 79 Configuration du mode Redondant....................................................................................... 81 Configuration du mode stand alone...................................................................................... 82 Ajout de règles pare-feu pour les connexions modem ......................................................... 83 Connexion et déconnexion du modem ................................................................................. 83 Vérification du statut du modem ........................................................................................... 84
Aperçu sur les VLAN............................................................................................................... 84 Equipements FortiGate et VLAN .......................................................................................... 85
VLAN en mode NAT/Route ..................................................................................................... 85 Consignes sur les identificateurs VLAN................................................................................ 86 Consignes sur les adresses IP VLAN................................................................................... 86 Ajout de sous-interfaces VLAN............................................................................................. 87
VLAN en mode Transparent................................................................................................... 88 Consignes sur les identificateurs VLAN................................................................................ 90 Domaines virtuels et VLAN en mode Transparent ............................................................... 90
Support FortiGate IPv6 ........................................................................................................... 91
Système Sans Fil ..............................................................................................92
Interface LAN sans fil FortiWiFi............................................................................................. 92 Domaines régulatoires............................................................................................................ 92 Paramètres sans fil du système (FortiWiFi-60) .................................................................... 94 Paramètres sans fil du système (FortiWiFi-60A et 60AM)................................................... 95 Filtrage des MAC..................................................................................................................... 96 Surveillance du module sans fil ............................................................................................ 97
Système DHCP..................................................................................................99
Serveurs et relais DHCP FortiGate ........................................................................................ 99 Configuration des services DHCP....................................................................................... 100
Configuration d’une interface comme relais DHCP ............................................................ 101 Configuration d’un serveur DHCP ...................................................................................... 101
Visualisation des baux d’adresses...................................................................................... 103 Réservation d’adresses IP pour clients spécifiques ........................................................... 103
Guide d’Administration FortiGate Version 3.0 5 01-30001-0203-20060424
Configuration du Système .............................................................................104
Haute Disponibilité................................................................................................................ 104 Aperçu sur la Haute Disponibilité........................................................................................ 105 Protocole de Clustering FortiGate (FGCP) ......................................................................... 106 Modes HA (actif-actif et actif-passif) ................................................................................... 107 Compatibilité de la HA FortiGate avec DHCP et PPPoE.................................................... 108 Aperçu sur le clustering virtuel............................................................................................ 108 Aperçu sur le maillage intégral HA ..................................................................................... 109 Configuration d’options HA (clustering virtuel inactivé) ...................................................... 112 Configuration d’options HA pour clustering virtuel.............................................................. 112 Options HA.......................................................................................................................... 114 Liste des membres d’un cluster .......................................................................................... 120 Visualisation des statistiques HA........................................................................................ 122 Modification du nom d’hôte et de la priorité d’un membre subordonné.............................. 123 Configuration d’un cluster HA ............................................................................................. 124 Configuration d’un clustering virtuel.................................................................................... 127 Administration d’un cluster.................................................................................................. 133 Déconnexion d’un membre du cluster ................................................................................ 136 Adresses MAC virtuelles d’un cluster ................................................................................. 138 Exemple de configuration d’un clustering virtuel ................................................................ 139 Administration de clusters virtuels ...................................................................................... 141 Exemple de configuration en maillage intégral HA............................................................. 143 Maillage intégral HA pour clustering virtuel ........................................................................ 148 HA et interfaces redondantes ............................................................................................. 149 HA et interfaces agrégées 802.3ad .................................................................................... 150
SNMP ...................................................................................................................................... 152 Configuration SNMP ........................................................................................................... 153 Configuration d’une communauté SNMP ........................................................................... 154 MIB FortiGate...................................................................................................................... 156 Traps FortiGate................................................................................................................... 156 Champs MIB Fortinet .......................................................................................................... 158
Messages de remplacement ................................................................................................ 161 Liste des messages de remplacement ............................................................................... 161 Modification des messages de remplacement.................................................................... 162 Modification de la page de connexion et d’authentification ................................................ 163 Modification de la page d’ignorance du filtrage web FortiGuard ........................................ 164 Modification du message de connexion VPN SSL ............................................................. 165 Modification de la page d’information d’authentification ..................................................... 165
Mode de fonctionnement des VDOM et accès administratif ............................................ 166 Modification du mode de fonctionnement ........................................................................... 166
Administration du Système ...........................................................................168
Administrateurs..................................................................................................................... 168 Configuration de l’authentification RADIUS des administrateurs ....................................... 169 Visualisation de la liste des administrateurs ....................................................................... 169 Configuration d’un compte administrateur .......................................................................... 170
Profils d’administration ........................................................................................................ 174 Visualisation de la liste des profils d’administration ........................................................ 176 Configuration d’un profil d’administration......................................................................... 176
6 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
FortiManager.......................................................................................................................... 178 Paramètres............................................................................................................................. 178 Contrôle des administrateurs .............................................................................................. 180
Maintenance du Système ...............................................................................181
Sauvegarde et Restauration................................................................................................. 181 Centre FortiGuard ................................................................................................................. 184
Réseau de Distribution FortiGuard ..................................................................................... 184 Services FortiGuard ............................................................................................................ 184 Configuration du boîtier FortiGate pour les services FDN et FortiGuard ........................... 186 Résolution de problèmes de connexion FDN ..................................................................... 188 Mise à jour des signatures antivirus et IPS......................................................................... 189 Activation des mises à jour forcées .................................................................................... 191
Licence ................................................................................................................................... 193
Routeur Statique.............................................................................................194
Route Statique ....................................................................................................................... 194 Concepts de routage........................................................................................................... 194 Visualisation, création et édition de routes statiques.......................................................... 197 Route par défaut et passerelle par défaut .......................................................................... 198 Ajout d’une route statique à la table de routage ................................................................. 200
Règle de Routage.................................................................................................................. 201 Ajout d’une règle de routage............................................................................................... 202 Déplacement d’une règle de routage.................................................................................. 203
Routeur dynamique ........................................................................................205
RIP........................................................................................................................................... 205 Fonctionnement RIP ........................................................................................................... 206 Visualisation et édition des paramètres de base RIP ......................................................... 206 Sélection d’options RIP avancées ...................................................................................... 208 Ignorer les paramètres de fonctionnement RIP d’une interface ......................................... 209
OSPF....................................................................................................................................... 211 Systèmes autonomes OSPF .............................................................................................. 211 Définition d’un système autonome (AS) OSPF .................................................................. 212 Visualisation et édition de paramètres de base OSPF ....................................................... 212 Sélection d’options avancées OSPF .................................................................................. 214 Définitions d’aires OSPF..................................................................................................... 216 Spécification de réseaux OSPF.......................................................................................... 217 Sélection de paramètres de fonctionnement d’une interface OSPF .................................. 218
BGP......................................................................................................................................... 219 Fonctionnement de BGP..................................................................................................... 220 Visualisation et édition des paramètres BGP ..................................................................... 220
Multicast................................................................................................................................. 221 Visualisation et édition de paramètres multicast ................................................................ 222 Ignorer les paramètres multicast d’une interface................................................................ 223
Guide d’Administration FortiGate Version 3.0 7 01-30001-0203-20060424
Table de Routage ............................................................................................225
Affichage des informations sur le routage......................................................................... 225 Recherche dans la table de routage FortiGate .................................................................. 227
Règle Pare-feu.................................................................................................228
A propos des règles pare-feu .............................................................................................. 228 Comment fonctionne la correspondance de règles ? ......................................................... 229
Visualisation de la liste des règles pare-feu ...................................................................... 230 Ajout d’une règle pare-feu................................................................................................... 231 Déplacement d’une règle dans la liste................................................................................ 231
Configuration des règles pare-feu....................................................................................... 232 Options des règles pare-feu ............................................................................................... 234 Ajout d’une authentification aux règles pare-feu ................................................................ 238 Ajout d’une priorité de trafic aux règles pare-feu................................................................ 239 Options des règles pare-feu IPSec..................................................................................... 242 Options des règles pare-feu VPN SSL ............................................................................... 243
Adresse Pare-Feu ...........................................................................................245
A propos des adresses pare-feu ......................................................................................... 245 Visualisation de la liste des adresses pare-feu ................................................................. 246 Configuration des adresses................................................................................................. 247 Visualisation de la liste des groupes d’adresses .............................................................. 247 Configuration des groupes d’adresses .............................................................................. 248
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prédéfinis................................................................ 249 Visualisation de la liste des services personnalisés......................................................... 253 Configuration des services personnalisés......................................................................... 253 Visualisation de la liste des groupes de services ............................................................. 255 Configuration des groupes de services.............................................................................. 255
Plage horaire d’un Pare-feu ...........................................................................257
Visualisation de la liste des plages horaires ponctuelles................................................. 257 Configuration des plages horaires ponctuelles................................................................. 258 Visualisation de la liste des plages horaires récurrentes................................................. 258 Configuration des plages horaires récurrentes................................................................. 259
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260 Comment les adresses IP virtuelles gèrent-elles leurs connexions à travers le boîtier FortiGate ? .......................................................................................................................... 260
8 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation de la liste d’IP virtuelles ................................................................................ 264 Configuration des adresses IP virtuelles ........................................................................... 264
Ajout d’une adresse IP virtuelle de translation à une seule adresse IP ............................. 265 Ajout d’une adresse IP virtuelle de translation à une plage d’adresses IP......................... 267 Ajout d’un relayage de port de translation à une seule adresse IP et un seul port ............ 269 Ajout d’un relayage de port de translation à une plage d’adresses IP et une plage de ports............................................................................................................................................ 270 Ajout d’une IP virtuelle d’équilibrage de charge à une plage d’adresses IP....................... 272 Ajout d’une IP virtuelle relayage de port équilibrage de charge à une plage d’adresses IP et une plage de ports .............................................................................................................. 274 Ajout d’IP virtuelles dynamiques......................................................................................... 276
Plages IP ................................................................................................................................ 277 Plages IP et NAT dynamique.............................................................................................. 277 Plages IP pour les règles pare-feu utilisant des ports fixes................................................ 277
Visualisation des plages IP .................................................................................................. 278 Configuration des plages IP................................................................................................. 278
Profil de Protection.........................................................................................279
Qu’est-ce qu’un profil de protection?................................................................................. 279 Profils de protection par défaut........................................................................................... 280 Visualisation de la liste des profils de protection ............................................................. 280 Configuration d’un profil de protection .............................................................................. 281
Options Antivirus................................................................................................................. 282 Options du filtrage Web ...................................................................................................... 283 Options du filtrage FortiGuard-Web.................................................................................... 285 Options du filtrage antispam ............................................................................................... 286 Options IPS......................................................................................................................... 289 Options des archives de contenu ....................................................................................... 289 Options IM et P2P............................................................................................................... 290 Options de la journalisation ................................................................................................ 291
Ajout d’un profil de protection à une règle ........................................................................ 292 Configuration CLI d’un profil de protection ....................................................................... 293
Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperçu du mode interface IPSec ......................................................................................... 294 Auto Key................................................................................................................................. 295
Création d’une nouvelle configuration phase 1 .................................................................. 296 Définition des paramètres avancés de la phase 1.............................................................. 299 Création d’une nouvelle configuration phase 2 .................................................................. 302 Définition des paramètres avancés de la phase 2.............................................................. 303
Clé Manuelle .......................................................................................................................... 305 Création d’une nouvelle configuration à clé manuelle ........................................................ 306
Concentrateur........................................................................................................................ 308 Définition des options d’un concentrateur........................................................................... 309
Guide d’Administration FortiGate Version 3.0 9 01-30001-0203-20060424
Tunnels actifs ........................................................................................................................ 310
VPN PPTP ........................................................................................................312
Plage PPTP ............................................................................................................................ 312
VPN SSL ..........................................................................................................313
Configuration......................................................................................................................... 313 Monitor ................................................................................................................................... 315
Certificats VPN................................................................................................316
Certificat locaux .................................................................................................................... 316 Générer une requête de certificat ....................................................................................... 317 Téléchargement et soumission d’une requête de certificat ................................................ 318 Importation d’un certificat serveur signé............................................................................. 319 Importation d’un certificat serveur exporté et de sa clé privée ........................................... 319 Importation de fichiers séparés de certificat serveur et leur clé privée .............................. 320
Certificats CA......................................................................................................................... 320 Importation de certificats de l’autorité de certification......................................................... 321
CRL ......................................................................................................................................... 322 Importation d’une liste de révocation de certificat .............................................................. 322
Utilisateur ........................................................................................................324
Configuration de l’authentification d’un utilisateur........................................................... 324 Paramétrage du timeout d’authentification ......................................................................... 324
Comptes utilisateurs locaux ................................................................................................ 325 Edition d’un compte utilisateur............................................................................................ 325
Serveurs RADIUS .................................................................................................................. 326 Configuration d’un serveur RADIUS................................................................................... 326
Serveurs LDAP ...................................................................................................................... 327 Configuration d’un serveur LDAP ....................................................................................... 328
Serveurs Windows AD.......................................................................................................... 328 Configuration d’un serveur Windows AD............................................................................ 329
Groupe d’utilisateurs ............................................................................................................ 330 Types de groupe d’utilisateurs............................................................................................ 331 Liste de groupes d’utilisateurs ............................................................................................ 332 Configuration d’un groupe d’utilisateurs ............................................................................. 333 Configuration des options override FortiGuard pour un groupe d’utilisateurs .................... 334 Configuration des options des groupes d’utilisateurs VPN SSL......................................... 335
Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337
10 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Modèles de Fichier ................................................................................................................ 338 Visualisation du catalogue de la liste des modèles de fichier (FortiGate-800 et plus uniquement) ........................................................................................................................ 339 Création d’une nouvelle liste de modèles de fichier ( FortiGate-800 et plus uniquement). 340 Visualisation de la liste de modèles de fichier .................................................................... 340 Configuration de la liste de modèles de fichier ................................................................... 342
Mise en Quarantaine ............................................................................................................. 342 Visualisation de la liste des Fichiers mis en Quarantaine .................................................. 343 Visualisation de la liste de soumission automatique .......................................................... 344 Configuration de la liste de soumission automatique ......................................................... 345 Configuration des options de mise en quarantaine ............................................................ 345
Configuration......................................................................................................................... 347 Visualisation de la liste des virus ........................................................................................ 347 Visualisation de la liste des Graywares .............................................................................. 348
Configuration de l’Antivirus à partir de l’interface de ligne de commande .................... 350 system global optimize........................................................................................................ 350 config antivirus heuristic...................................................................................................... 350 config antivirus quarantine.................................................................................................. 351 config antivirus service <service_name>............................................................................ 351
Protection contre les Intrusions....................................................................352
A propos de la protection contre les intrusions ................................................................ 352 Signatures prédéfinies.......................................................................................................... 354
Visualisation de la liste de signatures prédéfinies .............................................................. 354 Configuration de groupes de signatures prédéfinies .......................................................... 357 Configuration des signatures prédéfinies ........................................................................... 357
Signatures personnalisées .................................................................................................. 358 Visualisation de la liste des signatures personnalisées...................................................... 358 Création de signatures personnalisées .............................................................................. 359
Décodeurs de protocoles ..................................................................................................... 360 Visualisation de la liste de décodeurs de protocoles.......................................................... 361 Configuration des groupes de décodeurs de protocoles IPS ............................................. 362 Configuration des décodeurs de protocoles IPS ................................................................ 362
Anomalies .............................................................................................................................. 362 Visualisation de la liste des anomalies de trafic ................................................................. 363 Configuration des anomalies de trafic IPS.......................................................................... 364
Configuration de l’IPS à partir de l’interface de ligne de commande .............................. 365 system autoupdate ips ........................................................................................................ 365 ips global fail-open .............................................................................................................. 365 ips global ip_protocol .......................................................................................................... 365 ips global socket-size.......................................................................................................... 365 (config ips anomaly) config limit.......................................................................................... 365
Filtrage Web ....................................................................................................366
Filtrage Web........................................................................................................................... 366 Filtrage par mots-clés........................................................................................................... 368
Guide d’Administration FortiGate Version 3.0 11 01-30001-0203-20060424
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus)............................................................................................................................................ 368 Création d’une nouvelle liste de blocage de contenu Web (Modèle boîtier FortiGate-800 et plus) .................................................................................................................................... 369 Visualisation de la liste de blocage de contenu Web ......................................................... 369 Configuration de la liste de blocage de contenu web ......................................................... 371 Visualisation du contenu de la liste d’exemption des contenus Web (modèles FortiGate-800 et plus) ................................................................................................................................ 371 Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-800 et plus) .................................................................................................................................... 372 Visualisation de la liste d’exemption des contenus Web .................................................... 372 Configuration de la liste d’exemption des contenus Web................................................... 373
Filtre URL ............................................................................................................................... 374 Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus) ....... 374 Création d’une nouvelle liste de filtres URL (Modèles FortiGate-800 et plus).................... 375 Visualisation de la liste des filtres URL............................................................................... 375 Configuration d’une liste de filtres URL .............................................................................. 377 Déplacement d’URL au sein de la liste de filtres URL........................................................ 378
Filtrage Web FortiGuard ....................................................................................................... 378 Configuration du filtrage FortiGuard-Web........................................................................... 378 Visualisation de la liste override ......................................................................................... 379 Configuration de règles d’ignorance ................................................................................... 380 Création de catégories locales ........................................................................................... 382 Visualisation de la liste des évaluations locales ................................................................. 382 Configuration d’évaluations locales .................................................................................... 383 Configuration d’un blocage de catégorie à partir de l’interface de ligne de commande..... 384 Rapports du Filtrage FortiGuard-Web ................................................................................ 384
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386 Ordre du filtrage antispam .................................................................................................. 386
Mots bannis ........................................................................................................................... 389 Visualisation du catalogue de listes de mots bannis antispam (Modèles FortiGate-800 et plus) .................................................................................................................................... 389 Création d’une nouvelle liste de mots bannis antispam (modèles FortiGate-800 et plus) . 390 Visualisation de la liste de mots bannis antispam .............................................................. 390 Configuration de la liste des mots bannis antispam ........................................................... 392
Liste noire et liste blanche ................................................................................................... 392 Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-800 et plus). ................................................................................................................................... 393 Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et plus).... 393 Visualisation de la liste d’adresses IP antispam................................................................. 394 Configuration de la liste des adresses IP antispam............................................................ 395 Visualisation du catalogue de listes d’adresses mail antispam (modèles FortiGate-800 et plus). ................................................................................................................................... 395 Création d’une nouvelle liste d’adresses mail antispam (modèles FortiGate-800 et plus). 396 Visualisation de la liste d’adresses IP mail antispam ......................................................... 396 Configuration de la liste des adresses mail antispam ........................................................ 398
Configuration antispam avancée......................................................................................... 398 config spamfilter mheader................................................................................................... 398 config spamfilter rbl............................................................................................................. 399
12 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Utilisation des expressions régulières en Perl .................................................................. 400 Expression Régulière vs Modèle à méta-caractère ........................................................... 400
Limite des mots................................................................................................................... 400 Sensibilité à la casse des caractères.................................................................................. 400 Formats des expressions régulières en Perl ...................................................................... 400 Exemples ............................................................................................................................ 402
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403 Visualisation des statistiques d’ensemble .......................................................................... 403 Visualisation des statistiques par protocole........................................................................ 404
Utilisateur............................................................................................................................... 405 Visualisation de la liste des utilisateurs connectés............................................................. 405 Visualisation de la liste des utilisateurs .............................................................................. 406 Ajout d’un nouvel utilisateur à la liste des utilisateurs ........................................................ 406 Configuration d’une politique utilisateur globale ................................................................. 407
Configuration IM/P2P à partir de l’interface de ligne de commande ............................... 408
Journaux & Alertes .........................................................................................409
Journalisation FortiGate....................................................................................................... 409 Niveaux de sévérité des journaux ....................................................................................... 410 Stockage des Journaux........................................................................................................ 411
Journalisation sur un boîtier FortiAnalyzer ......................................................................... 411 Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique............ 412 Test de la configuration d’un boîtier FortiAnalyzer ............................................................. 412 Journalisation sur la mémoire............................................................................................. 413 Journalisation sur un serveur Syslog.................................................................................. 414 Journalisation sur WebTrends ............................................................................................ 415
Journalisation d’un cluster Haute Disponibilité ................................................................ 415 Types de Journaux................................................................................................................ 416
Journal Trafic ...................................................................................................................... 416 Journal Evénement ............................................................................................................. 417 Journal Antivirus ................................................................................................................. 418 Journal Filtrage Web........................................................................................................... 418 Journal des Attaques .......................................................................................................... 418 Journal Antispam ................................................................................................................ 419 Journal IM / P2P ................................................................................................................. 419
Accès aux Journaux ............................................................................................................. 420 Accès aux messages journalisés stockés en mémoire ...................................................... 420 Accès aux journaux stockés sur un boîtier FortiAnalyzer................................................... 420 Visualisation des informations journalisées ........................................................................ 421 Paramètres des colonnes ................................................................................................... 422 Filtrage des messages journalisés ..................................................................................... 423
Rapports................................................................................................................................. 424 Rapports de base sur le trafic ............................................................................................. 424 Rapports FortiAnalyzer ....................................................................................................... 426
Guide d’Administration FortiGate Version 3.0 13 01-30001-0203-20060424
Mail d’alerte............................................................................................................................ 432 Configuration des mails d’alerte ......................................................................................... 433
Index ................................................................................................................435
14 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Introduction
Bienvenue et merci d’avoir choisi les produits Fortinet pour la protection en temps réel de votre réseau. Les boîtiers FortiGateTM Unified Threat Management System (Système de Gestion Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et abus réseaux et contribuent à une utilisation plus efficace des ressources de communication, sans compromettre la performance de votre réseau. La gamme a reçu les certifications ICSA pare-feu, VPN IPSec et antivirus. L’appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial et fournit une gamme complète de services, que ce soit:
• au niveau des applications (comme le filtrage antivirus, la protection contre les intrusions, les filtrages antispam, de contenu web et IM/P2P).
• au niveau du réseau (comme le pare-feu, la détection et prévention d’intrusion, les VPN IPSec et VPN SSL et la qualité de service).
• Au niveau de l’administration (comme l’authentification d’un utilisateur, la journalisation, les rapports du FortiAnalyzer, les profils d’administration, l’accès sécurisé au web et l’accès administratif CLI et SNMP).
Le système FortiGate utilise la technologie de Dynamic Threat Prevention System (Système Dynamique de Prévention des Attaques) (DTPSTM). Celle-ci s’appuie sur les dernières avancées technologiques en matière de conception de microcircuits, de gestion de réseaux, de sécurité et d’analyse de contenu. Cette architecture unique basée sur un Asic permet d'analyser en temps réel les contenus applicatifs et les comportements du réseau.
Ce chapitre parcourt les sections suivantes :
• Introduction aux équipements FortiGate
• Gamme de produits Fortinet
• A propos de ce document
• Documentation FortiGate
• Service clientèle et support technique
Présentation des équipements FortiGate Toutes les appliances FortiGate Unified Threat Management offrent les fonctionnalités antivirus, filtrage de contenu, pare-feu, VPN et détection/prévention d’intrusion destinées aux réseaux des petites comme des grandes entreprises.
Châssis FortiGate série 5000
Les plates-formes de sécurité réseau FortiGate série 5000 sont des systèmes à châssis destinés aux grandes entreprises et fournisseurs de services haut débit Internet. Ils garantissent des services de sécurité intégrant pare-feu, VPN, protection antivirus, antispam, filtrage de contenu web et système de prévention contre les intrusions (IPS). Le grand choix de configurations système qu’offrent les FortiGate série 5000 assure la flexibilité nécessaire à la croissance des réseaux de haute performance. Les châssis FortiGate série 5000 supportent de multiples
Guide d’Administration FortiGate Version 3.0 15 01-30001-0203-20060424
modules FortiGate série 5000 ainsi que des sources d’alimentation échangeables à chaud. Cette approche modulaire offre aux entreprises et utilisateurs des FAI (Fournisseurs d’accès Internet) une solution adaptable, hautement performante et tolérante aux pannes.
Châssis FortiGate-5140
Le châssis FortiGate-5140 comd’installer jusqu’à quatorze mod
prend quatorze slots (logements) permettant ules pare-feu antivirus FortiGate-5000. Il s’agit d’un
Châssis FortiGate-5050
nd cinq slots permettant d’installer jusqu’à cinq renant
ent
Châssis FortiGate-5020
nd deux slots permettant l’installation d’un ou de
A propos des mo
châssis de 12U comprenant deux modules redondants et échangeables à chaud d’alimentation de courant continu qui se connectent à une alimentation -48 VDC des salles d’hébergement. Ce châssis possède également trois plateaux de ventilateurs échangeables à chaud.
Le châssis FortiGate-5050 compremodules pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 5U compdeux connexions redondantes d’alimentation de courant continu qui se connectà une alimentation -48 VDC des salles d’hébergement. Ce châssis possède également un plateau de ventilateurs échangeable à chaud.
Le châssis FortiGate-5020 compredeux module(s) pare-feu antivirus FortiGate-5000. Il s’agit d’un châssis de 4U comprenant deux entrées d’alimentation de courant AC vers DC redondantes qui se connectent à une alimentation AC. Ce châssis possède également un plateau interne de ventilateurs.
dules FortiGate série 5000
Chaque module FortiGate série 5000 est un système de sécurité autonome pouvant faire partie d’un cluster HA FortiGate. Tous les modules sont échangeables à chaud. Ces équipements sont des systèmes de sécurité de haute
16 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
performance possédant de multiples interfaces gigabits, des capacités de domaines virtuels et d’autres fonctionnalités FortiGate de grande qualité.
multiples
Module FortiGate-5001FA2
n système de sécurité hautement performant ces Ethernet gigabits. Il est similaire au module
n de deux interfaces qui, intégrant la technologie n de la performance du traitement des petits
t
etits paquets.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un système de sécurité hautement performant etautonome possédant huit interfaces Ethernet gigabits. Il supporte les fonctionnalités de haut niveau notamment les VLAN 802.1Q ainsi que de domaines virtuels.
Le module FortiGate-5001FA2 est uet autonome possédant six interfaFortiGate-5001SX à l’exceptioFortinet, offrent une accélératiopaquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un système de sécurité hautement performanet autonome possédant un total de six interfaces Ethernet gigabits. Deux de ces interfaces intégrant la technologie Fortinet offrent une accélération de la performance du traitement des p
FortiGate-3600
La fiabilité et les performances du un
FortiGate-3600 sont élevés àniveau de type opérateur et répondent aux exigences des
prises et fournisseurs grandes entrede services. Son architecture multiprocesseur et Asic fournit un débit de 4Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend des blocs d’alimentation redondants et un partage de charge, avec un secours assuré sans interruption de service. La grande capacité du FortiGate-3600, sa fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de services de sécurité managés.
FortiGate-3000
La fiabilité et les performances dun
FortiGate-3000 sont élevés à univeau de type opérateur et
s des répondent aux exigencegrandes entre
prises et fournisseurs
de services. Son architecture multiprocesseur et Asic fournit un débit de 3Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend des blocs d’alimentation redondants et un partage de charge, avec un secours assuré sans interruption de service. La grande capacité du FortiGate-3000, sa fiabilité et sa gestion aisée en font un choix naturel pour des opérateurs de services de sécurité managés.
Guide d’Administration FortiGate Version 3.0 17 01-30001-0203-20060424
FortiGate-1000A
Le boîtier FortiGate-1000A est une solution hautement performante répondant aux exigences des grandes entreprises et fournisseurs de services.
Grâce à son réseau de distribution (FortiGuard Distribution Network), les serviceFortiGuard permettent au FortiGate-1000A de disposer des informations les plus récentes, assurant une protection continue contre les virus, vers, troyens et autrmenaces, même les plus récentes. Son architecture flexible lu
s
es i permet de s’adapter
aux technologies émergeantes telles que IM, P2P ou VOIP mais aussi de contrer les méthodes frauduleuses de collectes d’informations privées utilisées par les spyware, phishing et pharming.
FortiGate-1000AF
A2 est
A2
Le boîtier FortiGate-1000AFune solution hautement performante répondant aux exigences des grandes entreprises et fournisseurs de services. Ses deux ports de fibres optiques supplémentaires, bénéficiant de la technologie FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses fonctions de sécurité critique sur une plateforme hautement sécurisée garantissent
iement, coûts opérationnels bas et un taux conn es et inconnues.
FortiGate-1000
de 2Gbit/s,
fiabilité, rentabilité, rapidité de déplosupérieur de détection des anomalies u
Le boîtier FortiGate-1000 est conçu pour les grandes entreprises. Son architecture multiprocesseur et Asic fournit un débitrépondant ainsi aux besoins des applications les plus exigeantes. Le boîtier FortiGate-1000 comprend des blocs d’alimentation redondants minimisant les points uniques de panne, ainsi que des supports pour un partage de charge et un
service.
FortiGate-800
VLAN et des domaines virtuels.
secours assuré sans interruption de
Le boîtier FortiGate-800 fournit en plus d’un haut débit, un total de huit connexions réseau (quatre étant personnalisables), un support des
Lors d’une configuration de cluster FortiGate, il fournit une redondance matérielle stateful en haute disponibilité. Ses fonctionnalités hautement performantes en font
randes entreprises qui exigent une sécurité optimum de un choix naturel pour les gleurs réseaux.
18 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
FortiGate-800F
External, DMZ et HA.
Le boîtier FortiGate-800F offre les mêmes fonctionnalités que le boîtier FortiGate-800, mais avec quatre interfaces de fibre optique : Internal,
Ce boîtier fournit également une redondance matérielle stateful en haute disponibilité et un support aux protocoles de routage RIP et OSPF. Il garantit la
s grandes entreprises recherchent.
FortiGate-500A
un niet de fiabilité opérate
flexibilité, fiabilité et gestion aisée que le
Le boîtier FortiGate-500A offre
veau de performance de classe
ur, répondant aux exigences des fournisseurs de services et des grandes entreprises.
nt un commutateur 4 ports LAN) et ses ec réplication automatique sans coupure de une solution performante aux applications
é, fiabilité et sa gestion aisée en font un choix
FortiGate-500
Le boîtier FortiGate-500 est conçu pour
Ses 10 connexions réseaux (dofonctions haute disponibilité avréseau font du FortiGate-500A
ibilitles plus critiques. Sa flexnaturel pour les opérateurs de services de sécurité managés.
les grandes entreprises. Sa flexibilité, sa fiabilité et sa gestion aisée en font un choix naturel pour les opérateurs de services de sécurité managés. Le boîtier FortiGate-500 supporte la haute
terme de ilité
disponibilité.
FortiGate-400A
Le boîtier FortiGate-400Ades
répond aux exigences
prises engrandes entreperformance, disponibet fiabilité. Il supporte la haute disponibilité et présente une réplication automatique sans coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-400
Le boîtier FortiGate-400 est conçu pour les grandes entreprises. Il fournit un débit jusqu’à 500Mbit/s et supporte la
haute disponibilité, qui comprend une réplication automatique sans coupure de réseau.
Guide d’Administration FortiGate Version 3.0 19 01-30001-0203-20060424
FortiGate-300A
Le boîtier FortiGate-300répond aux exigences des grandes entreprises en terme de performance, disponibilité et fiabilité. Il supporte la haute disponibilité et
pporte la
s
comprend une réplication automatique sans coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-300
Le boîtier FortiGate-300 est conçu pour les grandes entreprises. Il suhaute disponibilité, qui comprend une réplication automatique san coupure de réseau. Ses caractéristiques en font le meilleur choix pour les applications les plus critiques.
FortiGate-200A
Le boîtier FortiGate-200A est une solution conviviale et facile à gérer garantissant un haut niveau de performance, idéal pour répondre aux applications d’entreprises à domicile ou de petites entreprises ou succursales. L’assistant
d’installation qui permettent au boîtier d’être opérationnel en quelques minutes.
FortiGate-200
our
petites
d’installation FortiGate guide les utilisateurs à travers des procédures simples
Le boîtier FortiGate-200 est conçu prépondre aux applications d’entreprises à domicile ou de
entreprises ou succursales. Il offre une solution conviviale, facile à gérer. Le boîtier FortiGate-200 supporte haute disponibilité.
la
FortiGate-100A
Le boîtier FortiGate-100A est une solution pratique et facile à gérer qui répond parfaitement aux applicationsdes petites entreprises, bureaux à
s. Ce boîtier domicile et succursalesupporte des fonctions avancées telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.
20 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
FortiGate-100
etites
Le boîtier FortiGate-100 est conçu pour répondre aux applications d’entreprises à domicile ou de pentreprises ou succursales. Il supporte les fonctions avancées telles que VLAN 802.1Q, domaines virtuels,
oles de routage RIP et OSPF.
FortiGate-60/60M
conçu pour érant et
les magasins. Il comprend un port modem extérieur qui peut servir de connexion Internet redondante ou
haute disponibilité et protoc
/ADSL
Le boîtier FortiGate-60 est les bureaux de personnel itin
stand alone. Le boîtier FortiGate-60M comprend également servir de connexion InternetFortiGate-60ADSL est pour sa p
quant à lui un modem interne qui peut redondante ou stand alone. Le boîtier
art muni d’un modem ADSL interne.
FortiWiFi-60
intégrée qui assure des connexions sans fil sécurisées. Il combine mobilité et flexibilité grâce à ses fonctions FortiWiFi Antivirus Firewall. De plus, il s’adapte aux avancées technologiques radiophoniques. Il peut faire office de point de connexion entre réseaux sans fil et réseaux câblés ou tenir lieu de point central d’un réseau sans fil stand alone.
Le modèle FortiWiFi est une solution
FortiGate-50A
Le boîtier FortiGate-50A est conçu pour les télétravailleurs, les utilisateurs mobiles, les petites entreprises et les succursales comptant 10 employés ou moins. Il comprend un port modem extérieur qui peut servir de connexion autonome à Internet ou de service de sauvegarde.
Guide d’Administration FortiGate Version 3.0 21 01-30001-0203-20060424
Gamme de Produits Fortinet
En complément de sa gamme FortiGate, Fortinet propose une solution complète de logiciels et d’appliances de sécurité, adressant notamment la sécurité de la messagerie, la journalisation et l’édition de rapports statistiques, la gestion du réseau et des configurations. Pour plus d’informations sur les gammes de produits Fortinet, vous pouvez consulter le site www.fortinet.com/products.
Services de souscription FortiGuard
Les services FortiGuard sont des services de sécurité développés, mis à jour et gérés par une équipe de professionnels en sécurité Fortinet. Ces services assurent la détection et le filtrage des attaques, même les plus récentes, pour préserver les ordinateurs et les ressources du réseau. Ces services ont été mis au point à partir des plus récentes technologies de sécurité et sont conçus pour opérer à des coûts opérationnels les plus bas possible. Les services FortiGuard comprennent:
• Le service FortiGuard antivirus
• Le service FortiGuard IPS (Intrusion Prevention System)
• Le service FortiGuard de filtrage web
• Le service FortiGuard antispam
• Le service FortiGuard premier
Sur notre site web, vous trouverez également un scanner de virus et une encyclopédie des virus et attaques.
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs réseaux les informations nécessaires qui leur permettent d’assurer une meilleure protection du réseau, une plus grande sécurité contre attaques et vulnérabilités. FortiAnalyser permet entre autres:
• de centraliser les journaux des boîtiers FortiGate, des serveurs syslog et du FortiClient
• de générer des centaines de rapports à partir des données collectées
• de scanner le réseau et générer des rapports de vulnérabilités
• de stocker les fichiers mis en quarantaine par FortiGate
FortiAnalyser peut également être configuré en sniffer réseau et capturer en temps réel le trafic intercepté. Vous pouvez en outre utiliser FortiAnalyser comme lieu de stockage où les utilisateurs peuvent accéder et partager des données, telles que des rapports et journaux conservés sur son disque dur.
FortiClient
Le logiciel FortiClientTM offre un environnement informatique sécurisé et fiable aux utilisateurs d’ordinateurs de bureau et d’ordinateurs portables munis des systèmes
22 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
d’exploitation les plus répandus de Microsoft Windows. FortiClient offre de nombreuses fonctionnalités, y compris:
• un accès VPN pour se connecter aux réseaux distants
• un antivirus temps réel
• une protection contre des modifications du registre Windows
• une recherche des virus sur tout ou partie du disque dur
FortiClient peut s’installer de façon silencieuse et se déployer aisément sur un parc d’ordinateurs selon un paramétrage pré-établi.
FortiManager
FortiManagerTM est conçu pour répondre aux besoins des grandes entreprises (y compris les fournisseurs de services de gestion de sécurité) responsables du déploiement et du maintien de dispositifs de sécurité à travers un parc d’équipements FortiGate. FortiManager vous permet de configurer et de contrôler les statuts de plusieurs boîtiers FortiGate. Vous pouvez également consulter leurs journaux en temps réel et leurs historiques. FortiManager est facile à utiliser et s’intègre aisément à des systèmes tiers.
FortiBridge
FortiBridgeTM permet d’assurer une continuité de connexion réseau même en cas de panne électrique d’un système FortiGate. Le FortiBridge connecté en parallèle au FortiGate dévie le flux réseau lorsqu'il détecte une panne sur le boîtier et reçoit alors le trafic pour éviter toute coupure réseau. FortiBridge est facile à utiliser et à déployer. Vous pouvez programmer à l’avance les actions que FortiBridge mettra en place en cas de panne de courant ou de panne dans le système FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de même que des rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes pour détecter et bloquer les mails non désirés, tels que les signatures SHASH (Spam Hash) ou les filtres bayesians. Construit sur base des technologies primées FortiOS et FortiASIC, FortiMail utilise ses pleines capacités d’inspection de contenu afin de détecter les menaces les plus avancées dans les courriers électroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer génère des rapports explicites. Il peut centraliser des journaux de n’importe quel boîtier FortiGate, ainsi que de plus de 30 boîtiers de réseau et de sécurité provenant de constructeurs tiers. FortiReporter offre une visibilité sur les abus réseau, l’utilisation de la bande passante et l’usage du web afin de s’assurer que le réseau est utilisé de façon appropriée. FortiReporter permet aux administrateurs d’identifier les attaques et d’y répondre. Il permet également de définir des actions proactives de protection des réseaux avant que ceux-ci ne soient confrontés à une augmentation des menaces.
Guide d’Administration FortiGate Version 3.0 23 01-30001-0203-20060424
A propos de ce document
Ce Guide d’Administration FortiGate FortiOS v3.0 fournit des informations détaillées sur les fonctionnalités de l’interface d’administration web FortiGate et celles ne pouvant être configurées qu’à partir de l’interface de ligne de commande (CLI). Ce Guide d’Administration parcourt les fonctions de l’interface graphique dans le même ordre que le menu de cette interface. Le document commence avec une description générale de l’interface d’administration web FortiGate et une description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes les options des menus Système, Routeur, Pare-Feu et VPN. Enfin, les menus Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et Journaux/Alertes sont décrits séparément. Un index se trouve à la fin du document. La dernière version de ce document se trouve sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation). Les informations contenues dans ce document sont également disponibles, sous une forme quelque peu différente, dans l’aide en ligne de l’interface d’administration web FortiGate. De la documentation technique complémentaire sur FortiOS v3.0 est disponible sur la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge Center), à l’adresse http://kc.forticare.com. Ce Guide d’Administration contient les chapitres suivants :
• Interface d’administration web : fournit une introduction aux fonctionnalités de l’interface graphique, explique comment enregistrer un équipement FortiGate et comment utiliser l’aide en ligne de l’interface.
• Utilisation de domaines virtuels : décrit comment définir et administrer les domaines virtuels d’un équipement FortiGate.
• Statut du Système : détaille les informations « statuts » visibles, y compris le statut du système, les informations sur l’équipement, les ressources du système, la console de message d’alerte, ainsi que les statistiques des sessions, de l’archive de contenu et du journal des attaques. Les changements de statuts sont également parcourus dans ce chapitre, tels que les modifications apportées au microcode, au nom d’hôte et à l’heure du système.
• Réseau du Système : retrace la configuration des interfaces physiques et virtuelles, ainsi que les paramètres DNS sur le boîtier FortiGate.
• Système Sans Fil : décrit la configuration d’une interface LAN Wireless sur un équipement FortiWiFi-60.
• Système DHCP : explique comment configurer une interface FortiGate comme serveur DHCP ou Relais DHCP.
• Configuration du Système : développe les procédures de configuration d’un clustering HA et virtuel, de configuration SNMP, de remplacement de messages et de modification du mode de fonctionnement.
• Administration du Système : vous guide dans l’ajout et l’édition de comptes administrateurs, dans la définition de profils d’accès administrateurs, dans la configuration d’accès au FortiManager et dans la définition des paramètres
24 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
généraux des administrateurs tels que les langues, les timeouts et les ports d’administration web.
• Maintenance du Système : détaille comment sauvegarder et restaurer la configuration du système, activer les mises à jour FortiProtectTM Distribution Network (FDN), enregistrer l’équipement FortiGate, créer des rapports sur les bogues et entrer une clé de licence pour augmenter le nombre maximum de domaines virtuels.
• Routeur Statique : explicite comment définir des routes statiques et créer des règles pour celles-ci. Une route statique permet aux paquets d’être transférés vers une destination autre que celle de la passerelle par défaut.
• Routeur Dynamique : définit la configuration de protocoles dynamiques pour guider le trafic à travers de larges réseaux complexes.
• Table de Routage: permet d’interpréter la liste et les entrées de la Table de routage.
• Règle Pare-Feu : décrit comment ajouter des règles pare-feu qui contrôlent les connexions et le trafic entre les interfaces FortiGate, les zones et les sous-interfaces VLAN.
• Adresse Pare-Feu : retrace la configuration d’adresses et de groupes d’adresses pour les règles pare-feu.
• Service Pare-Feu : répertorie les services disponibles et explique comment configurer des groupes de services pour les règles pare-feu.
• Plage horaire d’un Pare-Feu : permet de configurer des plages horaire pare-feu ponctuelles et récurrentes.
• IP Virtuelles : décrit comment configurer et utiliser les adresses IP virtuelles et les plages d’adresses IP.
• Profil de Protection : explique comment configurer des profils de protection pour les règles pare-feu.
• VPN IPSEC : offre des informations pour le mode tunnel et le mode route (mode interface) sur les options VPN IPSec (Internet Protocol Security) disponibles à partir de l’interface d’administration web.
• VPN PPTP : explique comment utiliser l’interface d’administration web pour spécifier une plage d’adresses IP pour des clients PPTP.
• VPN SSL : informe sur les paramètres de base VPN SSL.
• Certificats VPN : décrit comment gérer les certificats de sécurité X.509.
• Utilisateur : détaille comment contrôler l’accès aux ressources du réseau via une authentification de l’utilisateur.
• Antivirus : explique comment activer les options antivirus lors de la création de profils de protection pare-feu.
• Protection contre les Intrusions : parcourt la configuration d’options IPS lors de la création de profils de protection pare-feu.
• Filtrage Web : parcourt la configuration d’options de filtrage du contenu web lors de la création de profils de protection pare-feu.
• Antispam : parcourt la configuration d’options de filtrage de spams lors de la création de profils de protection pare-feu.
Guide d’Administration FortiGate Version 3.0 25 01-30001-0203-20060424
• IM / P2P : parcourt la configuration d’options IM et P2P lors de la création de profils de protection pare-feu. Les statistiques IM et P2P permettent d’avoir un aperçu de l’utilisation des protocoles dans le réseau.
• Journaux et Alertes : décrit comment activer la journalisation, visualiser les journaux et rapports de base disponibles à partir de l’interface d’administration web.
Conventions utilisées dans ce document
Les conventions suivantes sont utilisées dans ce guide : • Dans les exemples, les adresses IP privées sont utilisées aussi bien pour les
adresses IP privées que publiques. • Les remarques et attentions fournissent des informations importantes :
Les « remarques » vous apportent de l’information additionnelle utile.
Les « attentions » vous mettent en garde contre des commandes et procédures qui pourraient avoir des résultats inattendus ou indésirables tels que perte de données ou détérioration de l’équipement.
a tion du FortiGate utilise les conventions typographiques suivantes :
Conventions typographiques
L documenta
Convention Exemple Commandes de Menus Allez dans VPN > IPSEC et sélectionnez Créer Phase 1. Entrée clavier D serelle, tapez un nom pans le champ Nom de Pas our le client
VP ntral_Office_1). N distant (par exemple, CeExemple de code config sys global
set ips-open enable end
Syntaxe CLI (Interface de ligne de commande)
nteger> sk>
config firewall policy edit id_integer
ttp_retry_count <retry_iset hset natip <address_ipv4mand e
Noms des documents Guide d’Administration FortiGate
Contenu de fichier
service.</H4>
<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this
Affichage dd’un progra
u résultat mme Welcome!
Variables <address_ipv4>
26 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Documentation FortiGate
Les versions les plus récentes de la documentation Fortinet, de même que les précédentes parutions, sont disponibles sur le site de documentation technique Fortinet à l’adresse http://docs.forticare.com. Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront aussi disponibles en français :
• FortiGate QuickStartGuide - Guide de démarrage rapide FortiGate
Fournit les informations de base sur la connexion et l’installation d’un FortiGate
• FortiGate Install Guide - Guide d’Installation FortiGate
Décrit comment installer un FortiGate. Il comprend des informations sur le matériel, des informations sur la configuration par défaut, ainsi que des procédures d’installation, de connexion et de configuration de base. Sélectionnez le guide en fonction du numéro du modèle du produit.
• FortiGate Administration Guide - Guide d’Administration FortiGate
Fournit les informations de base sur la manière de configurer un FortiGate, y compris la définition des profils de protection FortiGate et des règles pare-feu. Explique comment appliquer les services de prévention d’intrusion, protection antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt également la manière de configurer un VPN.
• FortiGate online help - Aide en ligne FortiGate
Fournit le Guide d’Administration au format HTML avec des outils de recherche. Vous pouvez accéder à l’aide en ligne à partir de l’interface d’administration web.
• FortiGate CLI Reference - Guide de Référence CLI
Décrit comment utiliser l’interface de ligne de commande FortiGate et répertorie toutes ses commandes.
• FortiGate Log Message Reference - Guide de référence des messages journalisés d’un FortiGate
Disponible uniquement à partir de la base de connaissance (Fortinet Knowledge Center), ce mode d’emploi décrit la structure et le contenu des messages présents dans les journaux FortiGate.
• FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate
Fournit une description détaillée des fonctions de haute disponibilité et du protocole de clustering FortiGate.
• FortiGate IPS User Guide - Guide utilisateur de l’IPS FortiGate (Système de Prévention d’Intrusion)
Décrit la configuration des paramètres IPS FortiGate et le traitement des attaques les plus courantes.
• FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate
Fournit des instructions pas à pas sur la configuration VPN IPSec via l’interface d’administration web.
• FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate
Compare les technologies FortiGate VPN IPSec et VPN SSL et décrit comment configurer à partir de l'interface graphique les modes VPN SSL web et VPN SSL tunnel pour les connexions à distance des utilisateurs.
Guide d’Administration FortiGate Version 3.0 27 01-30001-0203-20060424
• FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate
Explique comment configurer un VPN PPTP via l’interface d’administration web.
• FortiGate Certificate Management User Guide - Guide utilisateur de gestion des certificats FortiGate
Indique comment gérer les certificats digitaux, et notamment comment générer des requêtes de certificat, installer des certificats, importer le certificat de l'autorité de certification et des listes de révocation, sauvegarder et restaurer des certificats et leurs clés privées associées.
• FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et VDOMs FortiGate
Décrit comment configurer des VLAN et VDOM en mode NAT/Route et Transparent. Des exemples détaillés y sont repris.
CD d’outils et de documentation Fortinet
Toute la documentation Fortinet est disponible sur le CD d’outils et de documentation fourni avec votre matériel livré. Les documents du CD correspondent à l’équipement fourni. Pour obtenir les versions les plus à jour de la documentation Fortinet, visitez le site de Documentation Technique Fortinet sur http://docs.forticare.com.
Base de Connaissance Fortinet (Fortinet Knowledge Center)
De la documentation technique complémentaire est disponible dans la base de connaissance Fortinet (Fortinet Knowledge Center), notamment des articles sur les dépannages et questions les plus fréquemment rencontrés, des notes techniques, et davantage. Vous pouvez consulter le site de la Base de Connaissance Fortinet à l’adresse http://kc.forticare.com.
Remarques sur la documentation technique Fortinet
Merci d’indiquer toute éventuelle erreur ou omission trouvée dans cette documentation à [email protected].
Service clientèle et support technique
Le Support Technique Fortinet (Fortinet Technical Support) propose son assistance pour une installation rapide, une configuration facile et une fiabilité des systèmes Fortinet. Pour connaître ces services, consultez le site de Support Technique Fortinet à l’adresse http://support.fortinet.com.
28 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Interface d’administration web Cette section décrit les fonctionnalités conviviales de l’interface d’administration web de votre FortiGate. Vous pouvez configurer et administrer le boîtier FortiGate avec une connexion HTTP ou HTTPS, à partir de tout ordinateur muni d’un navigateur web. L’interface d’administration web fonctionne en plusieurs langues, dont le français. Vous pouvez configurer le boîtier FortiGate pour une administration HTTP et HTTPS à partir de n’importe quelle interface FortiGate. Illustration 1 : Ecran de l’interface d’administration web
L’interface d’administration web permet de configurer la plupart des paramètres FortiGate et de contrôler son statut. Les changements de configuration apportés à partir de l’interface d’administration web sont instantanément pris en compte, sans qu’il soit nécessaire de réinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaitée accomplie, il est conseillé de la sauvegarder. Elle pourra alors être restaurée dès que nécessaire. Pour plus d’informations sur la connexion à l’interface d’administration web, voir « Accès à l’interface d’administration web » dans le Guide d’Installation de votre FortiGate. Les sujets suivants sont parcourus dans cette section :
• Fonctionnalités de la barre de boutons
• Pages de l’interface d’administration web
• Enregistrement d’un équipement FortiGate
Guide d’Administration FortiGate Version 3.0 29 01-30001-0203-20060424
Fonctionnalités de la barre de boutons Les boutons de la barre en haut à droite de l’interface d’administration web fournissent un accès à plusieurs fonctionnalités importantes du FortiGate. Illustration 2 : Barre de boutons de l’interface d’administration web
Contacter le Support Technique
cter le Support Technique» (Contact Customer p ort Fortinet s’ouvre dans une nouvelle fenêtre. De
de ate »
s enverra un courrier électronique reprenant votre ront de vous inscrire au
Centre de Support Client (Customer Support Center).
• entrer sur le site du Centre de Support Client.
en apprendre davantage sur Fortinet et ses produits.
Aide en Ligne
Les boutons de l’aide en ligne (Online Help) activent l’affichage de l’aide en ligne pour la page ouverte de l’interface d’administration web. La page d’aide en ligne affichée contient les informations et procédures relatives aux commandes de la page ouverte. La plupart des pages d’aide contiennent également des hyperliens sur certains sujets dont il est question. Le système d’aide en ligne comprend également plusieurs commandes offrant de l’information additionnelle.
En cliquant sur le bouton « ContaSu port), la page du site de suppcette page, vous pouvez :
• enregistrer votre équipement FortiGate (Product Registration). Pour plusdétails sur les instructions, voir « Enregistrement d’un équipement FortiGà la page 37. Fortinet voucompte utilisateur et le mot de passe qui vous permett
• visiter le Centre FortiGuard.
• accéder à la Base de Connaissance.
• télécharger les mises à jour des bases de connaissance antivirus et IPS.
• obtenir tous les renseignements sur les programmes de formation et de certification.
•
30 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 3 : Page d’aide en ligne des statuts du système
Show Navigation Ouvre le panneau de navigation de l’aide en ligne. A partir de
là, vous pouvez utiliser la table des matières de l’aide en ligne, l’index et le moteur de recherche. L’aide en ligne est organisée de la même manière que l’interface d’administration web et que le Guide d’Administration FortiGate.
Previous Retourne à la page précédente de l’aide en ligne.
Next Passe à la page suivante de l’aide en ligne.
Email Envoie un courrier électronique au centre de Documentation Technique Fortinet à [email protected]. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut être envoyé à cette adresse.
Print Imprime la page ouverte de l’aide en ligne.
Bookmark Ajoute une entrée à cette page d’aide en ligne dans les marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages d’aide en ligne.
Sélectionnez « Show Navigation » pour afficher le panneau de navigation de l’aide en ligne. Illustration 4 : page de l’aide en ligne avec panneau de navigation
Contents
Index
Affiche la table des matières de l’aide en ligne. Vous pouvez naviguer à travers la table des matières pour trouver des informations dans l’aide en ligne. L’aide en ligne est organisée de la même manière que l’interface d’administration web et que le Guide d’Administration FortiGate.
Affiche l’index de l’aide en ligne. Vous pouvez utiliser l’index pour trouver de l’information dans l’aide en ligne.
Guide d’Administration FortiGate Version 3.0 31 01-30001-0203-20060424
Search Affiche le moteur de recherche de l’apropos de la recherche de l’aide en li
ide en ligne. Voir « A gne » à la page 32 pour
en
Si vous avez utilisé l’index, le moteur de recherche ou les hyperliens pour trouver l’information recherchée dans l’aide en
ent disparu de votre écran. Sélectionnez « Show in Contents » pour afficher la table des matières vous indiquant la localisation de la page d’aide
A propos de la recherche dans l’aide en ligne
Grârech ’aide en l
• herche afficheront les
• plus de chance de contenir les
informations utiles à propos du mot ou des mots recherché(s). Les pages eurs des mots recherchés se trouvent en haut
auth* vous permettra de trouver les pages contenant
ertains cas la recherche donne lieu à des correspondances identiques. us entrez « fenêtres », la recherche ne portera pas sur
1 en ligne.
2 Sélectionnez « Show Navigation » pour afficher le panneau de navigation de l’aide en ligne.
3 Sélectionnez Search.
4 Tapez un ou plusieurs mots à rechercher dans le champ Search et tapez ensuite sur Enter ou cliquez sur Go.
Le panneau de recherche répertorie le nom de toutes les pages d’aide en ligne qui contiennent le(s) mot(s) entré(s). Sélectionnez un des noms de la liste pour afficher la page d’aide.
tout renseignement sur le moteur de recherche de l’aideligne.
Show in Contents
ligne, la table des matières a probablem
ouverte.
ce à sa fonction de recherche, l’aide en ligne vous permet de lancer une erche à partir d’un mot ou d’un groupe de mots présents dans le texte de l
igne FortiGate.
Quelques remarques pour vous aider dans votre recherche :
Si vous entrez un groupe de mots, les résultats de la recpages qui contiennent tous les mots du groupe et non pas l’un ou l’autre de ces mots.
Les pages affichées lors du résultat de la recherche sont classées par ordrelogique. Les premiers résultats affichés ont
d’aide qui reprennent un ou pluside la liste des résultats.
• L’astérisque (*) remplace n’importe quel nombre ou caractère dans un mot. Decette manière, l’entréeauth, authentique, authentification, authentifier, etc.
• Dans cPar exemple, si vo« fenêtre » au singulier. Afin d’éviter cet inconvénient, vous pouvez utiliser l’astérisque (dans cet exemple, fenêtre*).
Chercher dans l’aide en ligne
A partir de n’importe quelle page de l’interface d’administration web, sélectionnez le bouton d’aide
32 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Navigation dans l’aide en ligne à partir des entrées du clavier
Le tableau 1 répertorie les raccourcis clavier qui permettent d’afficher et trouver les informations souhaitées dans l’aide en ligne.
Tableau 1 : Touches de navigation dans l’aide en ligne
Touche Fonction Alt+1 Affiche la table des matières. Alt+2 Affiche l’index. Alt+3 Affiche le moteur de recherche. Alt+4 Retourne à la page précédente. Alt+5 Passe à la page suivante. Alt+7 Envoie un courrier électronique au centre de
Documentation Technique de Fortinet à [email protected]. Tout commentaire ou rectificatif sur la documentation des produits Fortinet peut être envoyé à cette adresse.
Alt+8 Imprime la page ouverte. Alt+9 Ajoute une entrée à cette page d’aide en ligne dans les
marque-pages de votre navigateur ou dans votre liste de Favoris. Ce bouton facilite la recherche de pages d’aide en ligne.
Accès au mode console
L’interface de ligne de commande (CLI), interface basée sur du texte, peut servir d’alternative à l’interface d’administration web. Certaines options ne sont configurables qu’à partir des commandes CLI. Le bouton d’accès au mode console (Console Access) ouvre une application Terminal basée sur Java. L’ordinateur d’administration doit être muni de la version Java 1.3 ou supérieure. Pour plus d’informations sur l’utilisation des commandes CLI, référez-vous au FortiGate CLI Reference.
Guide d’Administration FortiGate Version 3.0 33 01-30001-0203-20060424
Illustration 5 : Accès au mode console
Connect Se connecte au boîtier FortiGate à partir de l’interface de ligne de
commande.
Disconnect Se déconnecte au boîtier FortiGate.
Clear screen Efface l’écran.
Déconnexion
Le bouton « Déconnecter » (Logout) vous déconnecte immédiatement de l’interface d’administration web. N’oubliez pas de vous déconnecter avant de fermer la fenêtre du navigateur. Si vous fermez la fenêtre ou quittez l’interface d’administration web sans vous déconnecter, vous restez connecté jusqu’à l’expiration du timeout d’inactivité (par défaut 5 minutes).
Pages de l’interface d’administration web
L’interface d’administration web se compose d’un menu et de pages, qui pour la plupart, possèdent différents onglets (Tabs). Lorsque vous cliquez sur un des éléments du menu (par exemple Système), celui-ci s’ouvre sur un sous-menu. Lorsque vous sélectionnez un des éléments d’un sous-menu, la page associée s’ouvre et affiche le contenu de son premier onglet. Pour visualiser le contenu d’une page différente, cliquez sur son onglet. Les procédures décrites dans ce manuel vous dirigent vers la page désirée en spécifiant l’élément du menu, l’élément du sous-menu et l’onglet. Par exemple :
1 Sélectionnez Système > Réseau > Interface.
34 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 6 : Les différentes parties de l’interface d’administration web
Menu de l’interface d’administration w
ure l’accès à toutes les majeures d
au, les domaines virtuels, les services DHCP, e.
Routeur Configure le routeur.
Pare-Feu Configure les règles pare-feu et les profils de protection qui
PN Configure les réseaux privés virtuels.
s les règles pare-feu requérant une authentification des utilisateurs. Configure également les serveurs externes d’authentification.
Antivirus Configure une protection antivirus.
Intrusion Protection Configure le système de prévention anti-intrusion.
Filtrage Web Configure le filtrage de contenu web.
Configure les modalités de la journalisation. Affiche des
eb
Le menu proc des options de configuration pour fonctionnalités u boîtier FortiGate. Système Configure les fonctionnalités du système telles que les
interfaces résel’heure du système et les options d’installation du systèm
s’appliquent aux fonctionnalités de protection du réseau. Configure également les adresses IP virtuelles et les plages IP.
V
Utilisateur Configure les comptes utilisateurs utilisés dan
Anti-Spam Configure le filtrage des spams dans les emails
IM / P2P Configure le contrôle des services de messageries Internet et peer-to-peer.
ournaux / Alertes Jmessages journalisés.
Guide d’Administration FortiGate Version 3.0 35 01-30001-0203-20060424
Listes
De nombreuses pages de l’interface d’administration web se présentent sous forme de liste. On trouve par exemple des listes des interfaces réseaux, des règlespare-feu, des administrateurs, des utilisateurs, etc. Illustration 7 : Exemple d’une liste de l’interface d’administration web
La liste offre des informations sur chaque élément. Les icônes de la dernière colonne p ettent de modifier le statut de ces éléments. Dans cet exemple, il est possibl de s er Dele(Editer) pour l’éditer. Pour ajouter e ouveau. Une boîte de dialogue s’ouvre pour créer et définir le nouvel élément. Cette boîte de dialogue est similai à celle d’Edition d’un élément existant.
Icônes
Les icônes, é résen d’interagir avec le système. Des conseils sur les outils sont disponibles pour vous aider à psouris r l’ic lisreprend la description des icônes de
Icône Nom Description
erme électionn te (Supprimer) pour supprimer l’élément ou Edit
un nouvel élém nt à une liste, cliquez sur Créer N
re
galement p tes dans l’interface d’administration web, permettent
comsu
rendre la fonctioône pour visua
n de chacune de ces icônes. Placez le curseur de la er le commentaire de l’outil. Le tableau suivant
l’interface d’administration web.
Changer lede Passe
Mot i
fil d’accès vous donne la permission d’attribuer
Modifie le mot de passe administrateur. Cette icône apparaît dans la liste des Administrateurs seulement svotre prodes droits en écriture aux administrateurs.
Supprimer Supprime une ou plusieurs entrées.
Dérouler Cette icône est utilisée dans certaines boîtes de dialogues
et listes pour cacher certains champs. Cliquer sur cette icône fait apparaître les champs cachés.
Formatage des nnes
colonnes à afficher. colo
Sélectionne les
Suppression Supprime un élément. Cette icône apparaît dans des listes où l’élément peut être supprimé et seulement lorsque vous en avez les droits en écriture.
Description du tableau sélectionnée. Affiche la description de l’entrée
Télécharger ou Sauvegarder
Télécharge un fichier journalisé ou sde configuration.
auvegarde un fichier
Télécharger Télécharge une requête de signature d’un certificat.
36 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Editer ou Configurer
apparaît dans les listes pour lesquelles vous avez les droits en écriture Edite une configuration. Cette icône
requis.
Dérouler Déroule une section qui révèle des champs supplémentaires. Cette icône est utilisée dans certaines boîtes de dialogues et listes.
Filtre nes d’un
tableau. Une boîte de dialogue s’ouvre dans laquelle vous pouvez spécifier les filtres désirés. L’icône est verte dans les colonnes où un filtre est activé. Dans le cas contraire, elle est grise.
Insère un filtre sur une ou plusieurs colon
Go Lance une recherche.
Insérer une règle avant
Crée une nouvelle règle qui précède la règle courante.
Déplacer
Déplace un élément de la liste.
Page Suivante Affiche la page suivante de la liste.
Page Précédente
Affiche la page précédente de la liste.
Rafraîchir Met l’information de la page à jour.
Restaurer Restaure la configuration à partir d’un fichier.
Visualiser Visualise une configuration. Cette icône apparaît dans lelistes à la place de l’icône d’Edition dans le cas où vous n’avez p
s
as les droits en écriture requis.
Barre de statuts
nistration web. La barre de statuts se trouve en bas de l’écran de l’interface d’admi Illustration 8 : Barre de statuts
Cette barre affiche :
le nombre d’administrateurs connectés au boîtier Fo• rtiGate. Voir « Contrôle
Enregistreme tAprès avoir acheté et installé un nouvel équipement FortiGate, vous pouvez
atut du
des administrateurs » à la page 180.
• depuis combien de temps le boîtier FortiGate est actif depuis son dernier redémarrage.
n d’un équipement FortiGate
enregistrer celui-ci à partir de l’interface d’administration web. Sélectionnez Enregistrer (« Register ») dans la section Information Licence sur la page StSystème. Vous pouvez aussi procéder à l’enregistrement via le site : http://support.fortinet.com en cliquant sur « Product Registration ».
Guide d’Administration FortiGate Version 3.0 37 01-30001-0203-20060424
L’enregistrement consiste à entrer vos coordonnées et le(s) numéro(s) de série
t un sont
enregistrer des équipements additionnels
charger les mises à jour logicielles
A.
ents sont sauvées dans la base de
(Fortinet Customer Support). Ces mise à jour régulière de vos
es informations avec des organisations tiers.
ipements FortiGate bénéficient d’un support tech ue . Pour continuer à bénéficier de ce service de support, des Contrats de re sont en vente chez vos revendeurs et dist teu t. Afin de correspondre à vos besoins, différents nive x dmaximumqui comprenn aissances antivirus et IPS. Pour plus d’info sur les formules et prix, veuillez vous adresser à votre revendeu
l’éq x infoFor er un Contrat de Support FortiCare. Dans ce cas, lors d’un
ajou Un For uméro de contrat de service pour
tiGate
spensables à l’enregistrement d’un FortiGate :
• Nom de la société
de(s) nouveau(x) équipement(s) acquis. Plusieurs enregistrements peuvent êtreintroduits lors d’une seule session. Une fois l’enregistrement accompli, Fortinet vous envoie un compte utilisateur emot de passe Support Login à votre compte de messagerie. Ces donnéesnécessaires pour se connecter au site de support Fortinet afin de :
• visualiser la liste des équipements que vous avez enregistrés
•
• ajouter ou modifier les numéros du Contrat de Support FortiCare (FortiCare Support Contract) pour chaque équipement
• visualiser et modifier les informations entrées lors de l’enregistrement
• télécharger les mises à jour des bases de connaissances antivirus et IPS
télé•
• modifier les informations entrées lors de l’enregistrement après un RM
outes les informations sur les enregistremTdonnées du Support aux Clients Fortinet informations sont utiles pour assurer uneéquipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais c Les propriétaires de nouveaux équ
niq pendant 90 joursSupport FortiCa
ribu rs autorisés Fortineau e support sont disponibles. Pour garantir une protection réseau
, Fortinet recommande à tous ses clients d’acheter un contrat de service e les mises à jour des bases de conn
rmations r ou distributeur Fortinet.
Pour activer un Contrat de Support FortiCare, il est indispensable d’enregistrer uipement FortiGate et d’ajouter le numéro de Contrat de Support FortiCare aurmations sur l’enregistrement. Il est également possible d’enregistrer un tiGate sans achet
l’achat ultérieur d’un Contrat de Support FortiCare, les informations sur l’enregistrement doivent être mises à jour et le numéro du contrat de support
té.
seul Contrat de Support FortiCare peut couvrir plusieurs équipements tiGate. Vous devez alors entrer le même n
tous les modèles couverts par ce contrat.
er un équipement ForEnregistrLes informations suivantes sont indi
• Vos coordonnées, y compris :
• Nom et prénom
38 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• Adresse email (votre compte utilisateur et le mot de passe Support Login
stion de sécurité et sa réponse. Cette information servira en cas de e. La question de sécurité doit être simple et vous seul
ponse. La réponse à cette question ne doit pas être facile à deviner.
1 Sélectionnez Système > Statut.
2 Dans la section Information Licence, sélectionnez Enregistrer à côte de Contrat de Support.
3 Entrez vos informations de contact sur le formulaire d’enregistrement du produit.
4 Introduisez une question de sécurité et sa réponse.
5 Sélectionnez le modèle du produit à enregistrer.
6 Entrez le numéro de série de votre FortiGate.
7 Entrez le numéro de Contrat de Support FortiCare de l’équipement si vous en avez acheté un.
8 Cliquez sur « Suivant ».
Si vous avez entré un numéro de contrat de support, une validation en temps réel a lieu pour vérifier que les informations SCN correspondent à l’équipement FortiGate. Si ce n’est pas le cas, tentez à nouveau d’entrer le numéro de contrat. S’affiche alors une page web qui contient les informations détaillées sur le service de support technique de Fortinet disponible pour l’équipement enregistré. Vos compte utilisateur et mot de passe vous sont envoyés par email à l’adresse entrée avec vos coordonnées.
vous seront envoyés à cette adresse.)
• Adresse
• Numéro de téléphone de contact
• Une queperte du mot de passdevez en connaître la ré
• Le modèle du produit et son numéro de série, et ce pour chaque équipement FortiGate que vous désirez enregistrer. Le numéro de série est situé sur une étiquette au bas du FortiGate. Vous pouvez également visualiser le numéro de série dans l’interface d’administration web, dans Système > Statut ou via la commande CLI get system status.
• Les numéros de Contrats de Support FortiCare achetés pour les équipements que vous voulez enregistrer.
Guide d’Administration FortiGate Version 3.0 39 01-30001-0203-20060424
Utilisation de domaines virtuels Cette section décrit comment utiliser des domaines virtuels pour que votre équipement opère comme s’il s’agissait de multiples unités virtuelles, fournissant des pare-feu et services de routage séparément à de multiples réseaux. Cette section couvre les sujets suivants:
• Domaines virtuels
• Activation du mode multiple VDOM
• Configuration des VDOM et des paramètres généraux
Domaines virtuels
Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de multiples unités indépendantes. Il peut fournir des règles pare-feu, des routages et des configurations VPN séparés pour chaque niveau d’organisation. L’utilisation de VDOM peut également simplifier l’administration de configurations complexes. Il est nécessaire d’activer la configuration de domaines virtuels pour configurer et utiliser les VDOM. Voir à ce propos « Activation du mode multiple VDOM » à la page 43. Lors de la création et de la configuration d’un domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter à ce VDOM. Si un VDOM est créé pour servir une organisation, cela permet à l’organisation de gérer sa configuration de manière autonome. Chaque VDOM contient ses propres zones, règles pare-feu, routage, authentification d’utilisateurs et configuration VPN. Chaque domaine virtuel fonctionne de manière similaire à un équipement FortiGate en matière de configuration du paramétrage. Cette séparation simplifie la configuration parce qu’elle évite de gérer de nombreuses règles pare-feu et routes à la fois. Lorsqu’un paquet entre dans un domaine virtuel sur l’équipement FortiGate, il reste limité à ce domaine virtuel. Dans un domaine donné, vous pouvez seulement créer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets ne passent jamais la frontière d’un domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut également être sélectionné séparément sur chaque VDOM. Les autres fonctions du FortiGate sont générales. Elles s’appliquent à tous les domaines virtuels. Cela signifie qu’il existe une seule configuration de prévention anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage de contenu web, une seule configuration de profils de protection etc. Dans le même ordre d’idée, les domaines virtuels partagent les mêmes versions logicielles et bases de connaissances antivirus et IPS. Pour une liste complète des paramètres de configurations partagés, voir « Paramètres de la configuration générale» à la page 42. Votre équipement FortiGate supporte par défaut un maximum de 10 VDOM pour toutes combinaisons des modes NAT/Route et Transparent.
40 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Des clés de licence sont vendues pour tous les modèles FortiGate 3000 et plus (3600, série 5000...) afin d’augmenter le nombre maximum de VDOM jusqu’à 25, 50, 100 ou 250. Pour connaître le nombre maximum de domaines virtuels supporté par votre boîtier FortiGate, veillez à ce que la configuration des domaines virtuels vous le permettent et connectez-vous en tant qu’administrateur admin. Allez ensuite dans Système > Statut et regarder sous Domaine Virtuel dans les Informations sur la Licence. Chaque FortiGate fonctionne par défaut avec un domaine virtuel appelé root. Ce domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN, zones, règles pare-feu, paramètres de routage et paramètres VPN du FortiGate. Les outils d’administration tels que les SNMP, journalisation, emails d’alerte, mises à jour via le FDN ou encore paramétrage du temps via un serveur NTP utilisent des adresses et routage dans le domaine virtuel root pour communiquer avec le réseau. Ils ne peuvent se connecter qu’aux ressources du réseau qui communiquent avec le domaine virtuel d’administration, qui est configuré sur root par défaut. Une fois un nouveau domaine virtuel créé, vous pouvez le configurer en ajoutant des sous-interfaces VLAN, des zones, des règles pare-feu, des paramètres de routage et des paramètres VPN. Vous pouvez également déplacer des interfaces physiques du domaine virtuel root vers d’autres domaines virtuels et déplacer les sous-interfaces VLAN d’un domaine virtuel vers un autre.
Paramètres de configuration des domaines virtuels
Les paramètres de configuration suivants sont propres à un domaine virtuel et ne sont pas partagés entre les domaines virtuels. Un administrateur régulier d’un VDOM ne peut que visualiser ces paramètres, tandis que l’administrateur admin par défaut peut accéder à ces paramètres. Il doit avant tout sélectionner le VDOM qu’il veut configurer.
• Paramètres du Système
• Zones
• Services DHCP
• Mode de fonctionnement (NAT/Route ou Transparent)
• IP d’administration (en mode Transparent)
• Configuration du routeur
• Paramètres des pare-feu
• Règles
• Adresses
• Services prédéfinis, personnalisés et groupés
• Plage horaire
• IP Virtuelle
• Plages IP
• Configuration VPN
Guide d’Administration FortiGate Version 3.0 41 01-30001-0203-20060424
• IPSec
• PPTP
• SSL
• Paramètres de l’utilisateur
• Utilisateurs
• Groupes d’utilisateurs
• Serveurs RADIUS et LDAP
• Serveurs Microsoft Windows Active Directory
• Statistiques P2P (visualiser/réinitialiser)
• Configuration de la journalisation, accès aux journaux et rapports.
Paramètres de la Configuration Globale
Les paramètres de configuration suivants impactent tous les domaines virtuels. Seul l’administrateur admin par défaut peut accéder aux paramètres globaux lorsque la configuration des domaines virtuels est activée.
• Paramètres du système
• Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou sous-interface VLAN appartient à un seul VDOM. Chaque VDOM ne peut utiliser ou configurer que ses propres interfaces.)
• Paramètres DNS
• Nom d’hôte, heure du système, version du Microcode (sur la page Statut du Système.)
• Timeout d’inactivité et d’authentification
• Langue de l’interface d’administration web
• PIN du panneau LCD, si applicable.
• Détection de l’échec d’une passerelle
• Configuration HA
• Configuration SNMP
• Messages de remplacement
• Administrateurs (chaque administrateur appartient à un seul VDOM. Chaque VDOM ne peut configurer que ses propres administrateurs.)
• Profils d’accès
• Configuration FortiManager
• Sauvegarde et restauration d’une configuration
• Configuration d’une mise à jour FDN
• Rapport sur les bogues
• Pare-Feu
• Services prédéfinis
42 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• Profils de protection
• Certificats VPN
• Configuration antivirus
• Configuration de la Prévention Anti-Intrusion
• Configuration du filtrage Web
• Configuration Antispam
• Configuration IM
• Statistiques
• Listes et règles utilisateurs
Activation du mode Multiple VDOM A partir du compte administrateur admin par défaut, vous pouvez activer le mode multiple VDOM sur l’équipement FortiGate. Activer la configuration d’un domaine virtuel
1 Connectez-vous en tant qu’admin à l’interface d’administration web.
2 Sélectionnez Système > Admin > Paramètres (Settings).
3 Cochez la case Virtual Domain Configuration pour activer la Configuration de Domaine Virtuel.
4 Cliquez sur Appliquer.
Le boîtier FortiGate vous déconnecte. Vous pouvez maintenant vous reconnecter en tant qu’admin. Lorsque la Configuration de Domaine Virtuel est activée, l’interface d’administration web et l’interface de ligne de commande incorporent les changements suivants :
• Les configurations générales et personnalisées par VDOM sont séparées.
• Seul le compte admin peut visualiser et configurer les options globales.
• Le compte admin peut configurer toutes les configurations VDOM.
• Le compte admin peut se connecter via n’importe quelle interface dans le VDOM root ou via une interface qui appartient à un VDOM pour lequel un compte administrateur régulier a été assigné.
• Un compte administrateur régulier peut uniquement configurer le VDOM qui lui a été assigné et peut accéder au boîtier FortiGate à partir de la seule interface qui appartient à ce VDOM.
Configuration des VDOM et paramètres globaux Lorsque la Configuration du Domaine Virtuel est activée, seul le compte administrateur admin par défaut peut :
• configurer les paramètres généraux
• créer ou supprimer des VDOM
• configurer de multiples VDOM
Guide d’Administration FortiGate Version 3.0 43 01-30001-0203-20060424
• attribuer des interfaces à un VDOM
• affecter un administrateur à un VDOM
Un VDOM n’est pas utile s’il ne possède pas au moins deux interfaces physiques ou sous-interfaces VLAN. Seul l’administrateur admin peut attribuer des interfaces physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur régulier peut créer une sous-interface VLAN dans son propre VDOM sur une interface physique de son propre VDOM. Seul l’administrateur admin peut configurer un VDOM à moins qu’un administrateur régulier soit créé et assigné à ce VDOM. Seul l’administrateur admin peut assigner un administrateur à un VDOM. Un compte administrateur régulier dont le profil d’accès contient les droits en lecture et en écriture des utilisateurs Admin est autorisé à créer des administrateurs supplémentaires pour son propre VDOM.
Visualisation, création et édition de domaines virtuels et édition de paramètres globaux
Lorsque vous vous connectez en tant qu’admin et que la Configuration de Domaine Virtuel est activée, l’interface d’administration web affiche la liste des domaines virtuels. Utilisez cette liste pour administrer vos VDOM. Illustration 9 : Liste des domaines virtuels
Configuration Générale
e à celui
Créer un nouveau
nagement Management est indiqué à
i
ui associera
t
Supprimer
Configure les paramètres généraux. L’interface d’administration web affiche un écran similairdécrit dans la section sur l’interface d’administration web (voir « Interface d’administration web » à la page 29.) à la différence que seuls les paramètres généraux sont repris. Cliquez sur << Main Menu pour retourner à la liste des domaines virtuels.
Crée un nouveau domaine virtuel. Tapez un nom et sélectionnez OK. Le VDOM ne doit pas porter le même nom qu’un VLAN ou qu’une zone. Le nom du VDOM ne doit pas dépasser 11 caractères.
Associer le Ma Le Management des Domaines Virtuels est associéau VDOM sélectionné. Lecôté du VDOM choisi. Par défaut il s’agit du root. Splusieurs VDOM sont sélectionnés comme Management, c’est le premier de la liste qle Management des Domaines Virtuels. Le trafic de ce VDOM comprend SNMP, la journalisation, l’envoi d’emails d’alerte, les mises à jour à partir du FDN ele paramétrage de l’heure à partir d’un serveur NTP.
Supprime le VDOM sélectionné. Le VDOM root ne peut pas être supprimé.
44 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Les cases de sélection
ment des Domaines Virtuels.
pour liquez sur << Main
Menu pour retourner à la liste des domaines virtuels. L’interface d’administration web affiche un écran similaire à celui décrit dans la section sur l’interface d’administration web (voir « Interface d’administration
e de statuts au bas de l’écran affiche le VDOM
Ajout d’interfaces
es sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs ysiques. Pour ce faire, l’ administrateur admin doit créer la sous-
e et l’affecter au VDOM requis. Les interfaces font partie des néraux de configuration. Pour plus d’informations sur la création de
u N, voir « Ajout de sous-interfaces VLAN » à la page 87.
cter une interface existante d’un domaine virtuel à un autre, appliquez la c us. Vous ne pouvez pas retirer une interface d’un domaine
st comprise dans l’une des configurations suivantes :
• routage
avant de pouvoir changer
1 onnectez-vous en tant qu’admin.
2
3
4 Cliquez sur le bouton Editer de l’interface à réaffecter.
5 Sélectionnez le Domaine Virtuel auquel l’interface doit être réaffectée.
6 Configurez les autres paramètres comme requis et cliquez sur OK. Voir « Paramètres de l’interface » à la page 63.
Permettent de sélectionner un VDOM soit pour le supprimer soit pour le configurer comme Manage
Name (Nom) Le nom du domaine virtuel. Sélectionnez le nomconfigurer le domaine virtuel. C
web » à la page 29.) à la différence que seuls les paramètres spécifiques à un VDOM sont repris. La barractivé.
Operation Mode (Mode de Le mode de fonctionnement d’un VDOM : NAT Fonctionnement) (NAT/Route) ou Transparent
à un domaine virtuel
Un domaine virtuel doit contenir au moins deux interfaces. Il peut s’agir d’interfaces physiques ou de sous-interfaces VLAN. Toutes les interfaces physiques font par défaut partie du domaine virtuel root. Linterfaces phint rface VLANparamètres géso s-interfaces VLA
Pour réaffepro édure ci-dessovirtuel si cette interface e
• proxy arp
• serveur DHCP
• zone
• règle pare-feu
• plage IP
Il est nécessaire de supprimer ou modifier ces élémentsl’interface de domaine virtuel. Affecter une interface à un domaine virtuel
C
Sélectionnez Configuration Globale.
Sélectionnez Système > Réseau > Interface.
Guide d’Administration FortiGate Version 3.0 45 01-30001-0203-20060424
L’interface est affectée au domaine virtuel. Les pare-feu, plages IP et adresses
r
Affectation d’un administra
essources, vous devez créer un compte administrateur pour ce VDOM.
e
2 ale.
dministrateur tel que requis. Pour plus de détails sur la te administrateur, voir « Configuration d’un compte
dministrateur » à la page 170.
5
6
de l’interface d’administration web u de l’interface de ligne de commande. L’administrateur admin peut se connecter
à l’interface d’administration web ou à l’interface de ligne de commande à partir de n’importe quelle interface qui permettent les accès administratifs. Seul l’administrateur admin ou un administrateur régulier du domaine virtuel root peut se connecter à partir de l’interface de la console.
virtuelles IP ajoutés à cette interface sont supprimés. Il est conseillé de supprimemanuellement toutes les routes comprenant cette interface.
teur à un domaine virtuel
Si vous créez un VDOM pour servir une organisation qui désire administrer ses propres r Affecter un administrateur à un VDOM
1 Connectez-vous en tant qu’admin. La Configuration de Domaine Virtuel doit êtractivée.
Sélectionnez Configuration Glob
3 Sélectionnez Système > Admin > Administrateurs.
4 Configurez le compte aconfiguration d’un compa
Sélectionnez dans la liste des Domaines Virtuels le VDOM que cet administrateur devra gérer.
Cliquez sur Appliquer.
Un administrateur régulier assigné à un VDOM peut seulement se connecter aux nterfaces qui appartiennent à ce VDOM à partirio
46 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Statuts du Système Cette section décrit la page Statut du Système, le tableau de bord de votre FortiGate. On y retrouve les statuts en cours du boîtier FortiGate, y compris le numéro de série, l’usage des ressources du système, les informations sur la licence FortiGuard, les messages d’alerte et les informations sur la session. Cette section couvre les sujets suivants:
• Page des statuts
• Modification des informations du système
• Visualisation de l’historique opérationnel
• Mise à jour manuelle des définitions FortiGuard
• Visualisation des Statistiques
Page des statuts La page Statut du Système, également appelée « tableau de bord » reprend les statuts opérationnels en cours du système. Tous les administrateurs FortiGate dont les profils d’accès prévoient les droits en lecture de la configuration du système peuvent visualiser les informations sur les statuts du système. Dans le cas d’un cluster HA, la page des statuts affiche les statuts du membre primaire. Pour visualiser les statuts de tous les membres du cluster, sélectionnez Système > Configuration > HA. Pour plus d’informations sur ce sujet, voir « Haute Disponibilité » à la page 104. La fonction HA n’est pas disponible sur les modèles FortiGate 50A et 50AM. Les administrateurs FortiGate dont les profils d’accès prévoient les droits en écriture de la configuration du système peuvent modifier ou mettre à jour les informations du boîtier FortiGate. Pour plus d’informations sur les profils d’accès, voir « Profils d’administration » à la page 174.
Visualisation des statuts du système
La page Statut du Système s’affiche par défaut lors du démarrage d’une session de l’interface d’administration web. Il existe cependant une exception : dans le cas où la Configuration de Domaine Virtuel est activée, l’administrateur admin visualisera la page Statut du Système seulement après avoir sélectionné Configuration Globale ou un VDOM à administrer. A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page Statut du Système. Pour visualiser cette page, votre profil d’accès doit prévoir les droits en lecture de la configuration du système. Si vous avez également les droits en écriture de la configuration du système, vous pouvez modifier les informations du système et mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus d’informations sur les profils d’accès, voir « Profils d’administration » à la page 174.
Guide d’Administration FortiGate Version 3.0 47 01-30001-0203-20060424
Illustration 10 : Statuts du Système
Informations du système Numéro de Série Le numéro de série de l’équipement FortiGate. Ce numéro
est unique pour chaque équipement et ne change pas avec les mises à jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier redémarrage de l’équipement FortiGate.
Heure Système La date et l’heure en cours selon l’horloge préprogrammée. Cliquez sur Changer pour modifier l’heure ou configurez le boîtier FortiGate pour qu’il se synchronise avec un serveur NTP. Voir « Paramétrage des date et heure » à la page 51.
Nom d’hôte Le nom d’hôte actuel de l’équipement FortiGate. Cliquez sur Changer pour le modifier. Voir « Modification du nom d’hôte du boîtier FortiGate » à la page 52.
Version de Code La version du microcode installé sur votre FortiGate. Cliquez sur Update (Mettre à jour) pour changer le logiciel. Voir « Mise à jour logicielle » à la page 53.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit NAT, soit Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-versa. Voir « Modification du mode de fonctionnement » à la page 166.
Information sur la licence
Les indicateurs du statut de la licence sont verts quand tout est en ordre, gris s’il n’y a pas de licence ou jaune/rouge clignotant si le boîtier FortiGate ne peut pas se connecter au service. Contrat de Support Le numéro du contrat de support et sa date d’expiration.
S’il n’y a pas de date affichée, sélectionnez Enregistrer (Register) pour enregistrer votre équipement. Si la mention Renouveler (Renew) s’affiche, vous devez renouveler votre contrat de support. Contactez alors votre revendeur local.
48 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Souscriptions FortiGuard
AntiVirus La version du contrat, la date d’émission et les statuts du service.
Définitions AV La version installée des Définitions AntiVirus FortiGate. Pour mettre à jour ces définitions manuellement, cliquez sur Update (Mettre à jour). Pour plus d’informations, voir « Mise à jour manuelle des Définitions AV FortiGuard » à la page 56.
Protection anti-intrusion La version du contrat, la date d’émission et les statuts du service.
Définitions IPS La version installée des Définitions des attaques IPS. Pour mettre à jour ces définitions manuellement, cliquez sur Update (Mettre à jour). Pour plus d’informations, voir « Mise à jour manuelle des Définitions IPS FortiGuard » à la page 56.
Filtrage Web Type de la licence, date d’expiration et statuts du service.
AntiSpam Type de la licence, date d’expiration et statuts du service.
Domaine Virtuel Le nombre de domaines virtuels supportés par le boîtier FortiGate. Il est possible d’acheter une clé de licence chez Fortinet pour augmenter le nombre maximum de VDOM pour les FortiGate 3000 et plus. Voir « Licence » à la page 193. Seul l’administrateur admin peut accéder à cette information si la Configuration de Domaine Virtuel est activée.
Ressources
Les ressources du système n’apparaissant pas sur la page Statut sont accessibles sous forme de graphiques à partir de l’icône Historique. Icône Historique Affiche des représentations graphiques du taux CPU, du
taux mémoire, des sessions et du taux d’utilisation réseau les plus récents. Cette page reprend également les détections des virus et attaques de ces 20 dernières heures. Pour plus d’informations, voir « Visualisation de l’historique opérationnel » à la page 55.
Taux CPU Le statut du taux CPU en cours s’affiche sous la forme d’un compteur de vitesse et en pourcentage. L’interface d’administration web reprend les taux CPU pour les processus majeurs uniquement. Les taux CPU pour les processus administratifs (par exemple pour les connexions HTTPS vers l’interface graphique) sont exclus.
Taux Mémoire Le statut du taux de la mémoire en cours s’affiche sous la forme d’un compteur de vitesse et en pourcentage. L’interface d’administration web reprend les taux mémoire pour les processus majeurs uniquement. Les taux mémoire pour les processus administratifs (par exemple pour les connexions HTTPS vers l’interface graphique) sont exclus.
Quota du disque Le statut en cours du quota du disque du FortiAnalyzer FortiAnalyzer s’affiche sous la forme d’un diagramme
circulaire et en pourcentage. Ceci est uniquement disponible si vous avez configuré la journalisation sur un boîtier FortiAnalyzer.
Guide d’Administration FortiGate Version 3.0 49 01-30001-0203-20060424
Réactualiser l’affichage toutes les
Cette fonction détermine l’intervalle de temps entre les mises à jour automatiques de la page Statut. Sélectionnez Réactualiser pour mettre la page à jour instantanément.
Statuts des Interfaces
Une représentation du panneau avant du boîtier reprend les statuts des interfaces du boîtier. Un port réseau d’une interface apparaissant en vert signifie que l’interface est connectée. Placez le curseur de la souris sur le port pour visualiser l’adresse IP, le masque de réseau et le statut actuel de l’interface. A droite de la représentation du panneau avant du boîtier, relié par une ligne de connexion, est illustré un autre panneau, celui représentant le FortiAnalyzer. Si le boîtier FortiGate a été configuré pour envoyer des journaux au FortiAnalyzer, celui-ci apparaît foncé. Dans le cas contraire, il apparaît en gris. Une marque en V verte sur la ligne de connexion indique que la connexion entre le boîtier et le FortiAnalyzer est activée. Dans le cas contraire, une croix rouge apparaît sur la ligne de connexion.
Console de message d’alerte
Les messages de types suivants peuvent apparaître dans la rubrique « Console de message d’alerte». Redémarrage système Le système a redémarré. Ceci peut être dû à une
action de l’opérateur ou un cycle de courant off/on.
Firmware updated by L’administrateur nommé a procédé à une mise à jour <nom_admin > logicielle sur la partition active ou non active. Firmware downgraded by L’administrateur nommé a procédé à un retour logiciel <nom_admin > sur la partition active ou non active. FortiGate has reached connection Le moteur Antivirus disposait de peu de mémoire limit for <n> seconds pendant la durée du temps indiqué. Dans ces
conditions et selon les modèles et configurations, le contenu peut avoir été bloqué ou être passé sans avoir été analysé.
Pour chaque message, la date et l’heure de sa parution sont indiquées. S’il n’y a pas assez d’espace pour visualiser tous les messages, cliquez sur Tout Voir afin que s’ouvre une nouvelle fenêtre avec la liste complète des messages. Pour effacer les messages d’alerte, cliquez sur Tout Voir, ensuite sur l’icône Supprimer les messages d’alerte, en haut de la nouvelle fenêtre.
Statistiques Depuis La date et l’heure de la relance des compteurs. Les
compteurs sont relancés lors d’une réinitialisation du système FortiGate.
Icône Remise à zéro Remet à zéro les compteurs du Journal des Archives et des Attaques.
Sessions Le nombre de sessions de communication FortiGate en cours. Sélectionnez Détails pour visualiser des
50 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
informations plus complètes. Voir « Visualisation de la liste de session » à la page 57.
Archive de contenu Un résume du trafic archivé par le boîtier FortiGate. Les pages Détails répertorient les 64 derniers éléments et fournissent un lien vers le FortiAnalyzer où le trafic archivé est mémorisé. Si vous n’avez pas configuré de connexion au FortiAnalyzer, les pages Détails prévoient un lien vers Journaux / Alertes > Configuration > Configuration du Journal.
Journal des attaques Un résumé des virus, attaques, messages emails spams et URL que le boîtier FortiGate a intercepté. Les pages Détails répertorient les 10 derniers éléments, fournissant l’heure, la source, la destination et autres informations.
Opération Système
Les opérations suivantes peuvent être accomplies par les administrateurs dont le profil d’accès comprend les droits en écriture de configuration du système. Reboot Redémarre le boîtier FortiGate.
Shutdown Eteint le boîtier FortiGate, stoppant le flux du trafic. Pour redémarrer le boîtier FortiGate, couper et re-brancher ensuite le courant.
Réinitialiser aux paramètres Redémarre le boîtier FortiGate avec sa configuration par défaut initiale. Cette procédure supprime tous les
changements apportés à la configuration. Seules la version logicielle et les définitions d’antivirus et d’attaques sont maintenues.
Sélectionnez dans la liste Opération Système l’opération désirée et cliquez ensuite sur Go.
Modification des informations du système Les administrateurs dont le profil d’accès comprend les droits en écriture de configuration du système peuvent procéder aux modifications suivantes : date et heure du système, nom d’hôte et mode de fonctionnement d’un VDOM.
Paramétrage des date et heure
1 Sélectionnez Système > Statut.
2 Dans la section Information, cliquez sur Changer à côté du champ Heure Système.
3 Sélectionnez votre fuseau horaire. Vous avez ensuite le choix entre paramétrer manuellement la date et l’heure ou configurer votre FortiGate pour qu’il se synchronise avec un serveur NTP.
Guide d’Administration FortiGate Version 3.0 51 01-30001-0203-20060424
Illustration 11 : Paramétrage des date et heure
La date et l’heDate et heure du système ure actuelle du système FortiGate
Fuseau horaire raire applicable.
utomatiquement lors du passage à l’heure d’été/l’heure d’hiver
r,
Synchronisation avec le serveur NTP un serveur NTP pour paramétrer les date et heure
quement. Spécifiez le serveur et l’intervalle de isation désirés.
eur
alle de Sync Spécifiez le nombre de fois que le boîtier FortiGate synchronise ses paramètres date et heure avec le
minutes entraîne un synchronisation quotidienne.
Modification du n e
Le nom d’hôte du boîtier FortiGate apparaît sur la page Statut et sur l’écran lors
« SNMP » à la page 152. Le nom d’hôte par défaut est le nom du modèle, par exemple boîtier FortiGate-300. Les administrateurs dont le profil d’accès prévoit les droits en écriture peuvent modifier le nom d’hôte du FortiGate.
Actualiser Mise à jour instantanée de la date et l’heure du système.
Sélectionnez le fuseau ho
Ajuster a Ajuste automatiquement l’horloge du FortiGate lors du passage à l’heure d’été.
Réglage Remplissez les champs heure, minute, seconde, jou
mois, année.
Sélectionnez cette option si vous désirez utiliser
automatisynchron
Serveur Entrez l’adresse IP ou un nom de domaine d’un servNTP. Pour trouver le bon serveur NTP, voir http://www.ntp.org
Interv
serveur NTP. Par exemple, définir un intervalle de 1440
om d’hôte du boîtier FortiGat
d’une connexion en CLI. Le nom d’hôte est également utilisé comme nom de système SNMP. Pour plus d’informations sur le SNMP, voir
Remarque : Si votre FortiGate fait partie d’un cluster HA, il est conseillé de lui attribuer un nom unique pour le distinguer des autres équipements du cluster.
52 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
1 Sélectionnez Système > Statut > Statut.
2 Dans le champ Nom d’Hôte de la section Informations sur le Système, sélectionnez Changer.
3 Dans le champ Nouveau Nom, entrez un nouveau nom d’hôte.
4 Cliquez sur OK.
5 Le nouveau nom d’hôte s’affiche dans le champ Nom d’Hôte et sur l’écran lors d’une connexion en CLI. Il est également ajouté au Nom de Système SNMP.
Modification du logiciel FortiGate Les administrateurs FortiGate dont le profil d’accès prévoit les droits en écriture et lecture peuvent modifier le logiciel FortiGate. Les modifications du logiciel portent soit sur une mise à jour logicielle vers une version plus récente ou soit sur une révision vers une version précédente. Les procédures de modifications sont décrites ci-dessous.
• Mise à jour logicielle
• Retour à une version logicielle antérieure
Mise à jour logicielle
La procédure suivante vous guide dans une mise à jour vers une nouvelle version logicielle.
Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la nouvelle version logicielle. Après la mise à jour logicielle, utilisez la procédure « Mettre à
e ces
2 e d’administration web en tant qu’administrateur admin ossède les droits en lecture et en écriture
te
et le nom de fichier de l’image logicielle ou sélectionnez ourir) pour localiser ce fichier.
6
a page
re prend quelques minutes.
jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assurer qubases de connaissance sont à jour.
Mettre le logiciel à jour à partir de l’interface d’administration web
1 Copiez le fichier de l’image logicielle sur votre poste d’administration.
Connectez-vous à l’interfacou sous un compte administrateur qui pde configuration système.
3 Sélectionnez Système > Statut.
4 Dans la section Informations sur le Système (ou Statut), sélectionnez Upda(Mettre à jour) dans la ligne Version du Code.
5 Tapez le chemin « Browse » (Parc
Cliquez sur OK.
Le boîtier FortiGate télécharge le fichier de l’image logicielle, installe la nouvelleversion logicielle, ferme toutes les sessions, redémarre et affiche ld’ouverture d’une session FortiGate. Cette procédu
7 Connectez-vous à l’interface d’administration web.
Guide d’Administration FortiGate Version 3.0 53 01-30001-0203-20060424
8 Sélectionnez Système > Statut et vérifiez la version du code pour vous assurer du succès de l’installation de la mise à jour.
9 Mettez les bases de connaissance antivirus et IPS à jour. Pour plus d’informations uard » à la page 183.
Retour à une vers
on
ces informations,
FortiOS v3.0 à FortiOS v2.80), il y a un risque que la configuration antérieure ne
sur ce sujet, voir « Centre FortiG
ion logicielle antérieure
Les procédures suivantes permettent d’équiper le boîtier FortiGate d’une versionantérieure du logiciel. Notez que cela entraîne la restauration de la configuratipar défaut du boîtier FortiGate et la suppression des signatures personnaliséesIPS, de la base de données de filtrage web et antispam et des changements
pportés aux messages de remplacement. Pour préserverasauvegardez la configuration de votre FortiGate. Pour plus d’informations à cesujet, voir « Sauvegarde et Restauration » à la page 181. Si vous retournez à une version antérieure FortiOS (par exemple, passer de
puisse être restaurée à partir de la sauvegarde du fichier de configuration.
Remarque : Les bases de connaissance antivirus et IPS sont remplacées par celles de la ouvelle version logicielle. Après la mise à jn our logicielle, utilisez la procédure « Mettre à
rer que ces
Retourner à une version logicielle antérieure à partir de l’interface
Copiez le fichier de l’image logicielle sur votre poste d’administration.
2
jour les bases de connaissances antivirus et IPS » à la page 189 pour vous assubases de connaissance sont à jour.
d’administration web
1
Connectez-vous à l’interface d’administration web du FortiGate.
Remarque : La procédure suivante nadministrateur admin ou d’un compte
écessite que vous vous connectiez à partir du compte administrateur qui possède tous les droits d’accès en
formations sur le Système (ou Statut), sélectionnez Update ns la ligne Version du Code.
3
uelques minutes.
dministration web.
6 assurer du
lecture et écriture de la configuration du système.
1 Sélectionnez Système > Statut.
2 Dans la section In(Mettre à jour) da
Tapez le chemin et le nom du fichier de l’image logicielle, ou sélectionnez « Browse » (Parcourir) pour localiser ce fichier.
4 Cliquez sur OK.
Le boîtier FortiGate télécharge le fichier de l’image logicielle, retourne à la version antérieure du logiciel, redémarre et affiche la page d’ouverture d’une session FortiGate. Cette procédure prend q
5 Connectez-vous à l’interface d’a
Sélectionnez Système > Statut et vérifiez la version du code pour voussuccès de l’installation du logiciel.
7 Restaurez votre configuration.
54 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour plus d’informations sur la restauration de votre configuration, voir « Sauvegarde et Restauration » à la page 181.
8 Mettez à jour les bases de connaissance antivirus et IPS.
ettre à
Visualisation de l’historique opérationnel urces du Système affiche six graphiques
au.
1 électionnez Système > Statut.
2 ction Ressources.
Illustration 12 : Exemple de l’historique des ressources du système
Pour plus d’informations sur les définitions des antivirus et attaques, voir « Mjour les bases de connaissances antivirus et IPS » à la page 189.
La page de l’Historique des Ressoreprésentant les ressources du système et son activité protection du rése
S
Cliquez sur l’icône Historique dans le coin en haut à droite de la se
Time Interval Sélectionnez l’intervalle de temps que vous voulez
ue du taux mémoire Usage Mémoire pendant l’intervalle précédent.
ns nt.
ation nt.
endant l’intervalle
Mise à jour manuelle des définitions FortiGuard t
mations sur la Licence de la page Statut du Système. Pour configurer une mise à jour automatique des fichiers de définitions par le boîtier FortiGate, voir « Centre FortiGuard » à la page 183.
voir illustrer dans les graphiques.
Historique du taux CPU Usage CPU pendant l’intervalle précédent.
Historiq
Historique des sessio Nombre de sessions pendant l’intervalle précéde
Historique du taux d’utilis Utilisation du réseau pendant l’intervalle précéderéseau
Historique des virus Nombre de virus détecté(s) pprécédent.
Historique des attaques Nombre de tentatives d’intrusions détectée(s) pendant l’intervalle précédent.
Vous pouvez mettre à jour les bases de connaissance FortiGuard – Antivirus eFortiGuard – IPS à tout moment à partir de la section d’Infor
Guide d’Administration FortiGate Version 3.0 55 01-30001-0203-20060424
Mise à jour manuelle des définitions AV FortiGuard
Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à
1 argez le fichier de mise à jour des définitions des derniers antivirus sur le
3 s AV des
4 jour, tapez le chemin et le nom du fichier de mise
5 le
6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour
Mise à jour manuelle des définitions IPS FortiGuard
jour des définitions antivirus, voir « Centre FortiGuard » à la page 183.
Téléchsite de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administrationweb.
2 Démarrez l’interface d’administration web et sélectionnez Système > Statut >Statut.
Dans la section Information sur la Licence, dans le champ Définitionsouscriptions FortiGuard, sélectionnez Update (Mettre à jour).
La boîte de dialogue Mettre à jour les définitions antivirus s’ouvre.
Dans le champ Fichier de mise à à jour des définitions antivirus. Vous pouvez également sélectionnez Browse (Parcourir) et localisez le fichier.
Cliquez sur OK pour copier le fichier de mise à jour des définitions antivirus sur boîtier FortiGate.
Le boîtier FortiGate met à jour les définitions AV. Cela prend environ 1 minute.
de la version du FortiGuard – Antivirus.
Remarque : Pour plus d’informations sur la configuration d’une automatisation des mises à
1 argez le fichier de mise à jour des définitions des dernières attaques sur le
3 IPS des
4 jour, tapez le chemin et le nom du fichier de mise
5
6 Sélectionnez Système > Statut > Statut pour vérifier le succès de la mise à jour de la version du FortiGuard – IPS.
jour des définitions IPS (attaque), voir « Centre FortiGuard » à la page 183.
Téléchsite de Fortinet. Copiez-le sur l’ordinateur connecté à l’interface d’administrationweb.
2 Démarrez l’interface d’administration web et sélectionnez Système > Statut > Statut.
Dans la section Information sur la Licence, dans le champ Définitionssouscriptions FortiGuard, sélectionnez Update (Mettre à jour).
La boîte de dialogue Mettre à jour les définitions d’attaque s’ouvre.
Dans le champ Fichier de mise à à jour des définitions des attaques. Vous pouvez également sélectionnez Browse(Parcourir) et localisez le fichier.
Cliquez sur OK pour copier le fichier de mise à jour des définitions des attaques sur le boîtier FortiGate.
Le boîtier FortiGate met à jour les définitions IPS. Cela prend environ 1 minute.
56 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation des Statistiques Les Statistiques de la page Statut du Système fournissent des informations sur les sessions, les archives de contenu et l’activité protection réseau.
Visualisation de la liste des sessions
La liste des sessions affiche des informations sur les sessions de communication en cours sur le boîtier FortiGate.
Visualiser la liste des sessions
1 Sélectionnez Système > Statut > Statut.
2 Dans la section Statistiques, cliquez sur Détails dans la ligne Sessions.
Illustration 13 : Liste des Sessions
Virtual Domain Sélectionnez un domaine virtuel pour en répertorier les
iser les ’est
Icône Rafraîchir
Page précédente
Page suivante
arquant le début
us les filtres
’exception de # et ônes pour ouvrir la
tres vous permettant onne.
ple, udp,
Port Source
ination
Identifiant de règle plique une seule interface
FortiGate (session admin par exemple).
Expire (sec) Le temps, en secondes, avant que la connexion expire.
sessions en cours. Sélectionnez Tous pour visualsessions utilisées par tous les domaines virtuels. Ceci npossible que si de multiples domaines virtuels sont activés.
Met à jour la liste des sessions.
Affiche la page précédente de la liste des sessions.
Affiche la page suivante de la liste des sessions.
Ligne Entrez le numéro de la ligne de la session mde la liste des sessions affichées. Par exemple, dans le cas où il y a 5 sessions et vous entrez le numéro 3, seules les sessions 3, 4 et 5 seront affichées. Le nombre suivant le « / » est le nombre de sessions actives sur le boîtier FortiGate.
Supprimer to Annule tous les filtres d’affichage installés.
Icône Filtre Toutes les icônes en haut des colonnes à lExpiration. Sélectionnez une de ces icboîte de dialogue d’Edition de Fild’installer des filtres d’affichage par col
Protocole Le protocole de service sur la connexion, par exemtcp ou icmp.
Adresse Source L’adresse IP source de la connexion.
Le port source de la connexion.
Adresse Dest L’adresse IP de destination de la connexion.
Port Destination Le port de destination de la connexion.
Le nombre de règles pare-feu permettant cette session. Le champ reste vide si la session im
Guide d’Administration FortiGate Version 3.0 57 01-30001-0203-20060424
Icône de suppression Met fin à une sd’acc
ession de communication active. Votre profil ès doit comprendre les droits en lecture et en écriture
Visualisation des
e. afic
rmet d’effacer les s attaques et de
Visualisation des archives de contenu HTTP
1 Sélectionnez Système > Statut > Statut.
2 Dans la section Archive de Contenu, cliquez sur Détails à côté de HTTP.
de la configuration du système.
Archives de Contenu
Les statistiques portant sur les trafics HTTP, email, FTP et IM à travers le boîtier FortiGate sont visibles dans la section Statistiques de la page Statut du SystèmPour en savoir plus sur chaque type de trafic, cliquez sur Détails à côté du trconcerné.
L’icône Remise à zéro en haut de la section Statistiques pearchives de contenu et les informations sur les journaux deremettre les compteurs à zéro.
Date La date et l’heure de l’accès à l’URL.
a été accédée.
Visualisation des archives de contenu email
1 électionnez Système > Statut > Statut.
2 on Archive
Source L’adresse IP à partir de laquelle l’URL
URL L’URL accédée.
S
Dans la secti de Contenu, cliquez sur Détails à côté d’Email.
Date La date et l’heure du
FortiGate. passage de l’email à travers le boîtier
Destination L’adresse email du destinataire.
Sujet Le sujet de l’email.
Source L’adresse email de l’émetteur.
58 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation des archives de contenu FTP
1 Sélectionnez Système > Statut > Statut.
2 Dans la section Archive de Contenu, cliquez sur Détails à côté de FTP.
Date La date et l’heure de l’accès.
Destination L’adresse IP du serveur FTP accédé.
té au serveur FTP.
Téléchargement Les noms des fichiers téléchargés.
s envoyés vers un serveur.
Visualisation des archives de contenu IM
1 Système > Statut > Statu
2 on Archive de
Utilisateur L’ID de l’utilisateur s’étant connec
Envoie vers un serveur Les noms des fichier
Sélectionnez t.
Dans la secti Contenu, cliquez sur Détails à côté d’IM.
Date / Time La date et l’heure de l’accès.
rotocole utilisé lors de la session IM.
irection Indique si le fichier a été envoyé ou reçu.
Visualisation du J
Les statistiques portant sur les attaques réseaux bloquées par le boîtier FortiGate e la page Statut du Système. Pour en quez sur le lien Détails de l’attaque
er les rchives sur le contenu et les journaux des attaques, et de remettre les compteurs
Protocol Le p
Kind Le type de trafic IM constituant la transaction.
Local L’adresse locale de la transaction.
Remote L’adresse distante de la transaction.
D
ournal des Attaques
sont visibles dans la section Statistiques dsavoir plus sur chaque type d’attaques, cliconcernée. L’icône Remise à zéro en haut de la section Statistiques permet d’effacaà zéro.
Guide d’Administration FortiGate Version 3.0 59 01-30001-0203-20060424
Visualisation des virus attrapés
1 Système > Statut > Statu
2 r Détails à côté d’AV.
la détection du virus.
L’adresse email ou l’adresse IP du destinataire visé.
s .
sation des a es
1 Système > Statut > Statu
2 z sur Détails à côté d’IPS.
la détection de l’attaque.
L’hôte cible de l’attaque.
Le typ
Le typ
1 stème > Statut > Statu
2 ez sur Détails à côté de Spam.
eure de la détection du spam.
visé.
e -> A comptes email Les adresses email de l’émetteur et du destinataire visé.
e de SPAM
1 Sélectionnez Système > Statut > Statut.
2 Dans la section Journal des attaques, cliquez sur Détails à côté de Web.
Date et heure La date et l’heure de la détection de la tentative d’accès de
l’URL.
De L’hôte qui a tenté d’accéder à l’URL.
URL Bloquées L’URL bloquée.
Sélectionnez t.
Dans la section Journal des attaques, cliquez su
Date & heure La date et l’heure de
De L’adresse email ou l’adresse IP de l’émetteur.
A
Service Le type de service, tel que POP ou HTTP.
Viru Le nom du virus détecté
Visuali ttaques bloqué
Sélectionnez t.
Dans la section Journal des attaques, clique
Date & heure La date et l’heure de
De La source de l’attaque.
A
Service e de service.
Attaque e d’attaque détectée et bloquée.
Visualisation des spams bloqués
Sélectionnez Sy t.
Dans la section Journal des attaques, cliqu
Date & heure La date et l’h
De -> À IP Les adresses IP de l’émetteur et du destinataire
D
Service Le type de service, tel que SMTP, POP ou IMAP.
Typ Le type de spam détecté.
Visualisation des URL bloquées
60 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Système > Réseau Cette section vous guide dans la configuration de votre FortiGate pour opérer sur votre réseau. Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et des paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces VLAN et de zones à la configuration réseau du FortiGate. Cette section couvre les sujets suivants :
• Interface
• Zone
• Options
• Table de routage (en mode Transparent)
• Configuration de l’interface modem
• Aperçu sur les VLAN
• VLAN en mode NAT/Route
• VLAN en mode Transparent
• Support FortiGate IPv6
Remarque : Certains champs permettent d’entrer l’adresse IP et le masque de réseau en une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de réseau. Par exemple, 192.168.1.100/255.255.255.0 peut également être entré sous 192.168.1.100/24.
Interface En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer les interfaces FortiGate. Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour les modèles 800 et plus).
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM uniquement).
Remarque : A moins d’une directive contraire, dans cette section, le mot « interface » réfère
Pour toute information sur les VLAN en mode Transparent, voir « VLAN en
aussi bien à une interface FortiGate physique qu’à une sous-interface FortiGate VLAN.
• Pour toute information sur les VLAN en mode NAT/Route, voir « VLAN en mode NAT/Route » à la page 85.
•mode Transparent » à la page 88.
Guide d’Administration FortiGate Version 3.0 61 01-30001-0203-20060424
Illustration 14 : Liste des interfaces – pour un administrateur régulier
Illustration 15 : Liste des interfaces – pour un administrateur admin avec la
onfiguration de Domaine Virtuel activée C
Créer Nouveau
grégée IEEE 802.3ad pour
Icône Description cette interface.
om te.
ace : t
rt1 par exemple.
page
i sous
ins d’être l’administrateur admin, et si la Configuration de
IP / masque rface.
s
Crée une sous-interface VLAN.
Possibilité de créer une interface ales modèles 800 et plus.
L’aide en ligne de cette icône affiche le champ de Description pour
N Les noms des interfaces physiques de votre boîtier FortiGaLes nombre et noms de ces interfaces dépendent du modèle. Certains noms indiquent la fonction par défaut de l’interfInternal, External, DMZ par exemple. D’autres noms songénériques : po
Les modèles FortiGate 50 et 60 fournissent une interfacemodem. Voir « Configuration de l’interface modem » à la 79.
L’interface oob/ha est l’interface de gestion hors bande du modèle FortiGate 4000. Vous pouvez vous connecter à cette interface pour gérer votre équipement FortiGate. Cette interface est également disponible comme interface de heartbeat HA.
Sur les modèles 800 et plus, si plusieurs interfaces sont combinées en une interface agrégée, seule celle-ci sera répertoriée (et non pas les interfaces composantes). La même chose s’applique pour les interfaces redondantes. Voir « Création d’une interface agrégée 802.3ad » à la page 66 ou « Création d’une interface redondante » à la page 67.
Si vous avez ajouté des sous-interfaces VLAN, celles-capparaissent aussi dans la liste des noms, juste en desde l’interface physique ou agrégée à laquelle elles ont été ajoutées. Voir « Aperçu sur les VLAN » à la page 84.
A moDomaine Virtuel est activée, les informations disponibles concernent uniquement les interfaces de votre domaine virtuel.
L’adresse IP et le masque de réseau actuels de cette inte
Accè La configuration de l’accès administratif de l’interface.
62 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
tif, d’une interface » à la page
Le domaine virtuel auquel l’interface appartient. Cette colonne n’est visible que par l’administrateur admin et ce, uniquement lorsque la Configuration de Domaine Virtuel est activée.
L’état administratif de l’interface. Une flèche verte indique que e
pas
Paramètres de l’interface
Pour configurer une interface, sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau pour créer une nouvelle interface. Pour éditer une interface existante, sélectionnez l’icône Editer de cette interface. Il est impossible de créer une interface virtuelle IPSec ici. Mais vous pouvez en spécifier les adresses de terminaison, activer l’accès administratif et fournir une description. Voir « Configuration d’une interface IPSec virtuelle» à la page 72. Illustration 16 : Paramètres d’une interface
Pour toute information sur les options de l’accès administravoir « Contrôler l’accès administratif 74.
Domaine Virtuel
Etat l’interface est active et peut accepter le trafic réseau. Unflèche rouge indique que l’interface est inactive et ne peut accepter le trafic réseau. Pour modifier l’état administratif, sélectionnez Activer ou Désactiver.
Icônes Supprimer, Supprime, édite ou visualise une entrée. Editer et Visualiser
Entrez un nom pour l’interface. Il n’est pas possible de Nom de l’interface
Type faces VLAN, agrégées 802.3ad et redondantes.
Type.
modifier le nom d’une interface existante.
Sur les modèles 800 et plus, vous pouvez créer des inter
Sur les modèles WiFi-60A et WiFi-60AM, vous pouvezcréer des interfaces sans fil.
Certains modèles ne supportent que la création d’interface VLAN et n’affichent alors pas le champ
Guide d’Administration FortiGate Version 3.0 63 01-30001-0203-20060424
Si vous désirez créer une interface agrégée, voir « Création d’une interface agrégée 802.3ad » à la pag66.
Si vous désirez créer une interface redondante, voir « Création d’une interface redondante» à la page 67
e
.
Interface Une faces,
tre 1 et 4096, doit correspondre
Domaine Virtuel
e commande lorsque la Configuration de ns sur
Mode d’adressage statique d’une interface,
eau ous-
DDNS urer pour cette interface. Des
ur la configuration DDNS, voir «
Ping r serelle,
formations sur la détection de l’échec
Si vous désirez créer une interface sans fil, voir « Création d’une interface sans fil» à la page 68.
Il est impossible de modifier le type d’une interface existante.
Sélectionnez le nom de l’interface physique à laquelle vous voulez adjoindre une sous-interface VLAN. fois créé, le VLAN est repris dans la liste des interen dessous de son interface physique. Il est impossible de modifier l’interface d’une sous-interface VLAN existante.
ID VLAN Entrez l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à cette sous-interface VLAN. Il est impossible de modifier l’ID d’une sous-interface VLAN existante.
L’ID VLAN, se situant enà l’ID VLAN ajoutée par le routeur IEEE 802.1Q-compliant ou connecté à la sous-interface VLAN.
Pour plus d’informations sur les VLAN, voir « Aperçu sur les VLAN » à la page 84.
Sélectionnez le domaine virtuel auquel la sous-interfaceVLAN appartient. Seul l’administrateur admin peut effectuer cettDomaine Virtuel est activée. Pour plus d’informatioles domaines virtuels, voir « Utilisation des domaines virtuels » à la page 40.
Pour configurer une adresse IP sélectionnez Manuel et entrez adresse IP/masque de réseau dans le champ prévu à cet effet. L’adresse IP doit être sous le même sous-réseau que le résauquel l’interface se connecte. Deux interfaces nepeuvent pas avoir leurs adresses IP sur le même sréseau.
Pour plus d’informations sur la configuration d’un adressage dynamique, voir « Configuration DHCP d’une interface » à la page 69 ou « Configuration PPPoE d’une interface » à la page 70.
Cochez la case Activer à côté de DDNS pour configun service DNS Dynamiquechamps additionnels sont affichés. Pour plus d’informations sConfiguration d’un service DNS Dynamique d’uneinterface » à la page 72.
Serveu Pour activer la détection de l’échec d’une pasentrez l’adresse IP du routeur du prochain saut sur le réseau connecté à l’interface et cochez la case Activer. Pour plus d’in
64 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
d’une passerelle, voir « Détection de l’échec d’passerelle » à la page 76.
Sélectionnez les types d’accès administratifs permis scette interface.
une
Administration ur
S interface.
t
t peuvent
SSH
SNMP
TELNET
MTU
s en diminuant le MTU
ur
P mode
rrespondre à la nouvelle.
fic à partir ou vers l’interface. Pour enregistrer des journaux, vous devez activer la
lisation du trafic vers une destination et fixer le sévérité de la journalisation à Notification ou
ge
res maximum.
HTTP Permet des connexions HTTPS sécurisées vers l’interface d’administration web à travers cette
PING L’interface répond aux requêtes Ping. Cette fonctionnalité vous permet de vérifier votre installation ede la tester.
HTTP Permet des connexions HTTP vers l’interface d’administration web à travers cette interface. Les connexions HTTP ne sont pas sécurisées eêtre interceptées par des tiers.
Permet des connexions SSH vers l’interface de commande en ligne à travers cette interface.
Permet à un superviseur SNMP distant de solliciter des informations SNMP en se connectant à cette interface. Voir « Configuration SNMP » à la page 153.
Permet des connexions Telnet vers le CLI à travers cette interface. Les connexions Telnet ne sont pas sécurisées et peuvent être interceptées par des tiers.
Ce champ n’est disponible que sur les interfaces physiques. Pour améliorer la performance réseau, vous pouvez modifier l’unité maximum de transmission (MTU)des paquets que le boîtier FortiGate transmet. Idéalement le MTU devrait être identique au plus petit MTU de tous les réseaux entre le boîtier FortiGate et les destinations des paquets. Les plus grands paquets envoyés seront fragmentés, ce qui ralentit la transmission. Procédez à des testjusqu’à trouver la taille du MTU qui fournit la meilleure performance réseau.
Pour modifier le MTU, sélectionnez Remplacer la valeMTU par défaut (1500) et entrez une nouvelle taille du MTU. La taille du MTU varie entre 68 et 1500 octets en mode manuel, entre 576 et 1500 octets en mode DHCet entre 576 et 1492 octets en mode PPPoE. EnTransparent, si vous modifiez le MTU d’une interface, vous devez modifier le MTU de toutes les interfaces pour co
Journaliser Sélectionnez Journaliser pour enregistrer les journaux pour tout tra
journaniveau de plus bas. Sélectionnez Journaux/Alertes > Journal pour configurer les types et destinations de journalisation. Pour plus d’informations sur les journalisations, voir « Journaux et Alertes» à la pa409.
Description Facultativement, entrez une description de 63 caractè
Guide d’Administration FortiGate Version 3.0 65 01-30001-0203-20060424
Création d’une in
menter la vantage de panne
ces doivent se n iel FortiGate des
n
si :
e ou redondante
• elle est dans le même VDOM que l’interface agrégée
• elle n’est pas reprise dans une règle pare-feu, VIP, IP Pool ou multicast
rtbeat HA
, elle n’est plus reprise dans la liste
u > Interface nfigurable us être incluse dans les règles pare-feu, VIP, IP pools
terface agrégée 802.3ad
Vous pouvez agréger (combiner) deux ou plusieurs interfaces pour augbande passante et fournir quelques redondances de lien. Cela offre l’ad’une plus grande bande passante mais augmente le risque de points potentiels par rapport aux interfaces redondantes. Les interfaco necter à la même destination du prochain saut. Le logicmodèles 800 et plus implémentent le standard 802.3ad pour une agrégation de lie s.
Une interface est disponible pour agrégation uniquement
• il s’agit d’une interface physique et non pas d’une interface VLAN
• elle ne fait pas déjà partie d’une interface agrégé
• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE
• elle n’a pas de serveur DHCP ou de relais configuré
• elle n’a pas de sous-interfaces VLAN
• il ne s’agit pas d’une interface de hea
Lorsqu’une interface fait partie d’une agrégation. Elle n’est plus code la page Système > Résea
individuellement et ne peut plou de routage. Illustration 17 : Paramètres pour une interface agrégée 802.3ad
Créer une interface agrégée 802.3ad
Réseau > Interface.
2
3
4
5 ur
1 Sélectionnez Système >
Cliquez sur Créer Nouveau.
Dans le champ Nom, entrez un nom pour l’interface agrégée. Le nom de l’interfacedoit différer des noms des autres interfaces, zones ou VDOM.
électionnez dans la liste Type déroulante 802.3ad Aggregate. S
Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface que vous voulez inclure dans l’interface agrégée et cliquez sur la flèche droite pola déplacer vers la liste des Interfaces Sélectionnées.
66 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
6
tion PPPoE d’une interface» à la page 70.
7
8
Création d’une interface redon
com rs afin d’assurer une connectivité continue même dans le cas où une
n lien d’agrégation réside dans le fait que n
stes avec un risque de points de pannes lus faible. Ceci est important dans une configuration en maillage intégral HA.
terface redondante seulement si :
• il s’agit d’une interface physique et non pas d’une interface VLAN
• elle ne fait pas déjà partie d’une interface agrégée ou redondante
• elle est dans le même VDOM que l’interface redondante
• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE
• elle n’a pas de serveur DHCP ou relais configuré
• elle n’a pas de sous-interface VLAN
• elle n’est pas présente dans une règle pare-feu, VIP, IP Pool ou multicast
• elle n’est pas contrôlée par un HA.
Lorsqu’une interface fait partir d’une interface redondante, elle n’est plus reprise dans la liste de la page Système > Réseau > Interface. Elle n’est plus configurable individuellement et ne peut plus être incluse dans les règles pare-feu, VIP, IP pools ou de routage.
Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer unadressage. Pour plus d’informations sur l’adressage dynamique, voir :
• « Configuration DHCP d’une interface » à la page 69.
• « Configura
Configurez les autres options tel que requis.
Cliquez sur OK.
dante
Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance de liens. Cette fonctionnalité vous permet de vous connecter à deux ou plusieurs
mutateuinterface ou un des équipements devait tomber en panne. La différence entre un lien redondant et uda s le premier cas, le trafic ne passe que par une seule interface à la fois (peuimporte le nombre de liens redondants). Cependant les interfaces redondantes permettent des configurations plus robup Le logiciel FortiGate des modèles 800 et plus implémente des interfaces redondantes.
ne interface peut être une inU
Guide d’Administration FortiGate Version 3.0 67 01-30001-0203-20060424
Illustration 18 : Paramètres d’une interface redondante
Créer une interface redondante
1 Sélectionnez Système > Réseau > Interface.
2 Cliquez sur Créer Nouveau.
3 Dans le champ Nom, entrez un nom pour l’interface redondante. Le nom de l’interface doit différer des noms des autres interfaces, zones ou VDOM.
4 Sélectionnez dans la liste Type déroulante Interface Redondante.
5 Sélectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface physique que vous voulez inclure dans l’interface redondante et cliquez sur la flèche droite pour la déplacer vers la liste des Interfaces Sélectionnées.
6 Si cette interface opère en mode NAT/Route, il est nécessaire de lui configurer un adressage. Pour plus d’informations sur l’adressage dynamique, voir :
• « Configuration DHCP d’une interface » à la page 69.
• « Configuration PPPoE d’une interface » à la page70.
7 Configurez les autres options tel que requis.
8 Cliquez sur OK.
Création d’une interface sans fil
Vous pouvez créer des interfaces sans fil WLAN sur les modèles FortiWiFi-60A et FortiWiFi-60AM, voir à ce propos « Paramètres sans fil du système (FortiWiFi-60) » à la page 94.
1 Sélectionnez Système > Réseau > Interface.
2 Cliquez sur Créer Nouveau.
3 Dans le champ Nom, entrez un nom pour l’interface sans fil. Ce nom doit différer des noms des autres interfaces, zones ou VDOM.
4 Sélectionnez dans la liste Type déroulante Wireless.
5 Dans la section Paramètres Sans Fil (Wireless Settings), entrez les informations suivantes :
68 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 19 : Paramètres de l’interface sans fil
Entrez le nom du réseau sans fil que le FortiWiFi-60 doit émettre. Les utilisateurs désireux d’utiliser le réseau sans fil doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau.
SSID
Broadcast son SSID.
Security Mode t
ement), sélectionnez WPA Pre-shared Key ou
seau sans fil doivent
RADIUS Server Name te Le serveur Radius doit être
s,
Data Encryption
rmine le temps d’attente S (Clear to Send) d’un
autre équipement sans fil.
Fragmentation Threshold Le seuil de fragmentation détermine la taille maximum d’un paquet de données avant que celui-ci ne soit fragmenté en deux ou plusieurs paquets. La réduction de ce seuil peut
is à
6
7
Configuration DH
ilisation DHCP, le boîtier HCP. L’interface est configurée
u serveur DNS, ainsi que les adresses des passerelles par défaut fournies par le serveur DHCP.
SSID A sélectionner si vous voulez que le boîtier émette (En mode Point d’Accès uniquement).
Pour une utilisation du WEP, sélectionnez WEP64 ou WEP128. Pour une utilisation WPA (disponible en mode Poind’Accès uniquWPA_Radius. Les utilisateurs du réseau sans fil FortiWiFi-60 doivent configurer leurs ordinateurs avec les mêmes paramètres.
Clé Pour une clé WEP de 64 bits, entrez 10 symboles hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez 26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec les mêmes clés.
Pre-shared Key Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé partagée. Les utilisateurs d’un réconfigurer leurs ordinateurs avec la même clé.
Pour le mode sécurisé WPA Radius, sélectionnez dans la lisle nom du serveur Radius. configuré dans Utilisateur > Radius. Pour plus d’informationvoir « Serveurs RADIUS » à la page 326.
En mode WPA uniquement. Choisissez entre les protocoles decryptage TKIP ou AES (WPA2).
RTS Threshold Le seuil RTS (Request to Send) détedu boîtier pour la reconnaissance CT
améliorer la performance dans des environnements soumde hautes interférences.
Configurez les options des autres interfaces tel que requis.
Cliquez sur OK.
CP d’une interface
orsque vous configurez une interface pour une utLFortiGate émet automatiquement une requête Davec l’adresse IP et éventuellement les adresses d
Guide d’Administration FortiGate Version 3.0 69 01-30001-0203-20060424
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou sélectionnez l’icône Editer d’une interface existante. Dans la section de Mode d’Adressage, sélectionnez DHCP. Illustration 20 : Paramètres DHCP de l’interface
Entrez la distance administrative de la passerelle par défautretrouvée par le serveur DHCP. La distanc
Distance
e administrative, rsqu’il s la
e comme prioritaire. La distance par défaut de la
iquement la route par défaut HCP. La
Remplacer le serveur DNS pré-configuré
urs DNS dans
Connecter si
s ligne.
Statut boîtier
ation
se connecte
connecté L’interface retrouve une adresse IP, un masque de réseau et d’autres paramètres du serveur DHCP.
L’interface a échoué dans sa tentative de retrouver une
Configuration PP
FortiGate hors ligne et ne désirez pas envoi de la requête PPPoE.
entre 1 et 255, indique la priorité relative d’une route loen existe plusieurs vers une même destination. Au pludistance administrative est basse, au plus est elle considérépasserelle par défaut est de 1.
Obtenir dynam Activez cette option pour retrouver l’adresse IP d’une passerelle par défaut à partir d’un serveur Dpasserelle par défaut est ajoutée à la table de routagestatique. Permet de remplacer les adresses IP du serveur DNS de la page DNS par des adresses DNS retrouvées par le serveur DHCP.
Sur les modèles 100 et moins, l’activation de Obtenir dynamiquement les adresses des serveSystème > Réseau > Options est conseillée. Voir « Configuration des Options du Réseau » à la page 77.
Permet à l’interface de tenter automatiquement de se connecter à un serveur DHCP. Désactiver cette option vous configurez l’interface hor
Affiche les messages sur les statuts DHCP lorsque leFortiGate se connecte au serveur DHCP et reçoit desinformations sur l’adressage. Sélectionnez cette option pour rafraîchir le message de statut du mode d’adressage.
initialis Aucune activité.
L’interface tente de se connecter au serveur DHCP.
échec adresse IP et d’autres informations à partir du serveurDHCP.
PoE d’une interface
Lorsque vous configurez une interface pour une utilisation PPPoE, le boîtier FortiGate émet automatiquement une requête PPPoE. Vous pouvez désactiver Connecter si vous configurez le boîtierl’
70 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Le boîtier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y découverte initiale et les PPPoE
Active Discovery Terminate (PADT).
uveau ou sur interface e section Mode
compris les IP non numérotées, les timeouts de
Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nol’icône Editer d’une xistante. Sélectionnez PPPoE dans lad’Adressage. Illustration 21 : Paramètres PPPoE de l’interface
tilisateur
Mot de Passe
Unnumbered IP
e autre
Initial Disc te imeout avant qu’une nouvelle tentative de découverte PPPoE soit
.
Initial PADT inate la
tre
nce
e e
plus la distance administrative est basse, ritaire. La distance
miquement r défaut
que.
cer le serveur DNS pré-configuré
eur PPPoE ou PPPoA.
Connecter Permet à l’interface de tenter automatiquement de se connecter à un serveur PPPoE ou PPPoA. Désactiver cette option si vous configurez l’interface hors ligne.
Etat Affiche les messages sur les statuts PPPoE lorsque le boîtier FortiGate se connecte au serveur PPPoE et reçoit
Compte u Le nom d’utilisateur du compte PPPoE.
Le mot de passe du compte PPPoE.
Spécifiez l’adresse IP de l’interface. Dans le cas où votreFAI (Fournisseur d’Accès Internet) vous en a affectées plusieurs, choisissez-en une parmi celles-ci. Par ailleurs, cette adresse IP peut être identique à celle d’uninterface ou peut également être n’importe quelle adresse IP.
Initial Discovery Timeout. Il s’agit du temps d’attenT
lancée. Pour désactiver cette option, affectez-lui 0
Initial PPPoE Active Discovery TermTimeout (PADT) timeout. Se définit en secondes. Sert à fermer
session PPPoE après un laps de secondes d’inactivité défini dans cette option. PADT doit être supporté par voFAI. Pour désactiver cette option, affectez-lui 0.
Dista Entrez la distance administrative de la passerelle par défaut retrouvée par le serveur PPPoE. La distance administrative, entre 1 et 255, indique la priorité relativd’une route lorsqu’il en existe plusieurs vers une mêmdestination. Auau plus elle est considérée comme priopar défaut de la passerelle par défaut est de 1.
naObtenir dy Permet de retrouver une adresse IP d’une passerelle la route pa par défaut à partir d’un serveur PPPoE. La passerelle par
défaut est ajoutée à la table de routage stati Rempla Permet de remplacer les adresses IP du serveur
DNS de la page DNS par les adresses DNS retrouvées par le serv
Guide d’Administration FortiGate Version 3.0 71 01-30001-0203-20060424
des informations sur l’adresoption pour rafraîchir le me
sage. Sélectionnez cette ssage de statut du mode
PPPoE.
asque de réseau et d’autres paramètres du serveur PPPoE.
Configuration d’u face
Lorsque le boîtier FortiGate possède un nom de domaine statique et une adresse IP publique dynamique, vous pouvez utiliser un service DDNS pour mettre à jour les serveurs DNS Internet quand l’adresse IP du domaine change. Le service DDNS est uniquement disponible en mode NAT/R
nez Système > Ré diter d’une interface
section Mode d’Adressage einformations fournies.
22 : Configuration
d’adressage.
initialisation Aucune activité.
e connecte L’interface tente de se connecter au serveur s
connecté L’interface retrouve une adresse IP, un m
échec L’interface a échoué dans sa tentative de retrouver une adresse IP et d’autres informations à partir du serveurPPPoE.
n service DNS dynamique d’une inter
oute. Sélection seau > Interface. Cliquez sur Créer Nouveau ou surl’icône E existante. Activez DDNS, juste en dessous de la
t configurez le service DDNS en fonction des
Illustration d’un service DDNS
Serveur Sélectionnez un serveur DDNS. Les logiciels clients
ces services sont inclus dans le microcode FortiGate. Lboîtier FortiGate ne peut se connecter qu’à un de ces services.
Domaine Le nom de domaine pour le service DDNS.
Compte utilisateur Le nom d’utilis
pour e
ateur nécessaire à une connexion à un
t de nnexion à un serveur
Configuration d’u
a création d’une interface IPSec virtuelle se fait en sélectionnant le Mode
phydan ’interface dans Système > Réseau >
a page 294.
lé Manuelle » à la page 305.
serveur DDNS.
Mo passe Le mot de passe nécessaire à une coDDNS.
ne interface IPSec virtuelle
LInterface IPSec dans VPN > IPSec > Auto Key (IKE) ou VPN > IPSec > Clef Manuelle lors de la création d’un VPN. Il faut également sélectionner une interface
sique ou VLAN de la liste Interface Local. L’interface IPSec virtuelle est reprise s la liste comme sous-interface de l
Interface. Pour plus d’informations, voir
• « Aperçu du mode interface IPSec » à l
• « Auto Key » à la page 295 ou « C
72 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Sélectionnez Système > Réseau > Interface et cliquez sur l’icône Editer d’une interface IPSec pour :
nfigurer des adress s et distantes de l’interface nière à a ce ou lancer une pour tester le
s adm
• permettre la journalisa
• entrer une description face
Illustration 23 : Paramètres ace IPSec virtuelle
• co es IP de terminaison localeIPSec de ma ctiver un routage dynamique sur l’interfarequête ping tunnel.
• permettre l’accè inistratif à travers l’interface IPSec
tion sur l’interface
de l’inter
de l’interf
Nom
Domaine Virtuel
Remote IP
Administration
tion web à travers cette interface.
PING L’interface répond aux requêtes Ping. Cette fonctionnalité vous de tester votre installation.
nnexions HTTP vers l’interface d’administration cette interface. Les connexions HTTP ne sont
pas sécurisées et sont susceptibles d’être interceptées par des
s e. Voir
« Configuration SNMP » à la page 153.
ravers cette interface. Les connexions Telnet ne sont pas sécurisées et
Le nom de l’interface IPSec
Sélectionnez le VDOM de l’interface IPSec
IP Si vous voulez utiliser un routage dynamique avec le tunnel ou pouvoir pinger l’interface du tunnel, entrez les adresses IP des points finaux locaux et distants du tunnel. Cesdeux adresses ne peuvent pas apparaître ailleurs sur le réseau.
Sélectionnez les types d’accès administratifs permis sur cette interface.
HTTPS Permet des connexions HTTPS sécurisées vers l’interfaced’administra
permet
HTTP Permet des coweb à travers
tiers.
SSH Permet des connexions SSH vers l’interface de ligne de commande à travers cette interface.
SNMP Permet à un superviseur SNMP distant de solliciter deinformations SNMP en se connectant à cette interfac
TELNET Permet des connexions Telnet vers le CLI à t
sont susceptibles d’être interceptées par des tiers.
Guide d’Administration FortiGate Version 3.0 73 01-30001-0203-20060424
Journaliser Sélectionnez Journaliser pour enregistrer les journauxtrafic à partir ou vers l’interface. Pour enregistrer des journavous devez activer la journalisation du trafic vers une destination et fixer le niveau de sévérité de la journalisation à Notification ou plu
de tout ux,
s bas. Sélectionnez Journaux/Alertes >
n, x et Alertes» à la page 409.
cription Facultativement, entrez une description de 63 caractères
Configuration ad i
Ajo IP secondaire
La c interface P
onfig econdaryip sous system interface dans le FortiGate CLI Reference.
une interface
t possible si ce
promettre la st donc à éviter à moins que cela
une
• Utilisation de mots de passe d’utilisateurs administratifs sécurisés.
• Modification régulière de ces mots de passe.
tion HTTPS ou SSH.
ransparent, voir « Mode de if» à la page 166.
1
3 Sélectionnez les protocoles d’Administration pour cette interface.
4
1
Journal pour configurer des types et destinations de journalisation. Pour plus d’informations sur la journalisatiovoir « Journau
Desmaximum.
dit onnelle des interfaces
uter une adresse
ommande CLI config system permet d’ajouter une adresse Isecondaire à toute interface FortiGate. Cette adresse secondaire ne peut pas se trouver sur le même sous-réseau que l’interface primaire ou que toute autre interface ou adresse IP secondaire. Pour plus d’informations, voir cs
Contrôler un accès administratif vers
Un contrôle d’accès administratif vers les interfaces d’un VDOM esVDOM fonctionne en mode NAT/Route.
Vous pouvez permettre une administration à distance du boîtier FortiGate. Cependant, une administration à distance via Internet pourrait comsécurité de votre FortiGate. Cette manoeuvre esoit nécessaire pour votre configuration. Les consignes suivantes améliorent la sécurité du boîtier FortiGate lors d’administration à distance via Internet :
• Permettre un accès administratif sécurisé vers cette interface via une utilisa
• Maintenir la valeur du Timeout d’inactivité par défaut à 5 minutes (voir « Paramètres » à la page 178.)
Pour configurer un accès administratif en mode Tfonctionnement des VDOM et accès administrat
Sélectionnez Système > Réseau > Interface.
2 Cliquez sur l’icône Editer de l’interface choisie.
Cliquez sur OK pour enregistrer les changements.
Modifier la taille MTU des paquets qui quittent une interface
Sélectionnez Système > Réseau > Interface.
74 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
2
3
4 éfinissez une nouvelle valeur MTU.
Cliquez sur l’icône Editer de l’interface choisie.
Sélectionnez la valeur de Remplacer la valeur MTU par défaut (1500).
D
Remarque : Un redémarrage du FortiGate est nécessaire pour mettre à jour la nouvelle VLAN sur cette interface.
onfigurer la journalisation du trafic pour les connexions vers une interface
1 stème > Ré
2 z sur l’icône Editer de
3 prègle pare-feu accepte une c
4 enregis
Zone ttent de gro rfaces VLAN. Ces la création oupement d’interfaces et
de sous-interfaces VLAN en zones, vous pouvez configurer des règles pour des ns de et à partir d’une zone. Cependant il n’est pas possible de configurer
des règles de et à partir de chaque interface de cette zone.
renommer, les diter ou encore les supprimer. Pour ajouter une zone, vous devez sélectionner les
ces VLAN à ajouter à cette zone. Les zones sont ajoutées aux domaines virtuels. Si de multiples domaines virtuels ont été ajoutés à la configuration FortiGate, veillez à configurer le domaine virtuel correct avant d’ajouter ou d’éditer des zones. Illustration 24 : Liste des zones
valeur du MTU des sous-interfaces
C
Sélectionnez Sy seau > Interface.
Clique l’interface choisie.
Activez la case Journaliser our enregistrer les messages journalisés lorsqu’une onnexion à cette interface.
Cliquez sur OK pour trer les changements.
Les zones perme uper des interfaces et des sous-intezones simplifient de règles. Dans le cas de regr
connexio
A partir de la liste Zone, il est possible d’ajouter des zones, de lesénoms des interfaces et sous-interfa
Créer Nouveau Permet de créer une zone.
Les noms des zones ajoutées. Nom
-zone si le trafic entre
les interfaces d’une même zone n’est pas bloqué.
.
’éditer ou de visualiser une zone.
Bloquer le trafic intra Le mot Yes s’affiche si le trafic entre les interfaces d’unemême zone est bloqué. Le mot No s’affiche
Interfaces membres Les noms des interfaces ajoutées à cette zone. Les noms des interfaces varient d’un modèle FortiGate à un autre
cônes Editer/Visualiser Permet dI
Icône Supprimer Permet de supprimer une zone.
Guide d’Administration FortiGate Version 3.0 75 01-30001-0203-20060424
Paramètres d’une
lustration 25 : Options d’une zone
zone
Sélectionnez Système > Réseau > Zone pour configurer des zones. Cliquez sur Créer Nouveau ou sur l’icône Editer d’une zone pour la modifier. Il
Nom Entrez un nom pour identifier la zone.
Bloquer le trafic intra-zone Sélectionnez cette option pour bloquer le trafic entre les interfaces ou sous-interfaces VLAN au sein de cette zone.
terfaces membres Sélectionnez les interfaces faiIn sant partie de cette zone. Cette liste comprend les VLAN configurés.
Options Les options du réseau comprennent les paramètres du serveur DNS et de la détection d’échec d’une passerelle. Plusieurs fonctions du FortiGate, notamment les emails d’alertes et le blocage d’URL, utilisent le DNS. Pour cela, spécifiez les adresses IP des serveurs DNS auxquels le boîtier FortiGate doit se connecter. Ces adresses IP sont généralement fournies par votre FAI (Fournisseur d’Accès Internet). Les modèles FortiGate 100 et moins peuvent être configurés pour obtenir des adresses de serveur DNS automatiquement. Pour ce faire, au moins une des interfaces doit utiliser le mode d’adressage DHCP ou PPPoE. Voir « Configuration DHCP d’une interface » à la page 69. Voir « Configuration PPPoE d’une interface» à la page 70. Les modèles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs interfaces. Les hôtes du réseau attaché utilisent l’adresse IP de l’interface comme leur serveur DNS. Les requêtes DNS envoyées à l’interface sont transmises aux adresses du serveur DNS configurées ou fournies automatiquement au boîtier FortiGate.
Détection de l’échec d’une passerelle
L’activation de l’option de détection de l’échec d’une passerelle entraîne un lancement régulier d’une commande ping pour confirmer la connectivité. En général, le serveur ping est le routeur du prochain saut avant le réseau externe ou l’Internet. La période de ping (Detection Interval) et le nombre de tentatives de ping échoués, indicateur de la perte d’une connexion, sont définis dans Système > Réseau > Options. Pour appliquer la détection de l’échec d’une passerelle à une interface, vous devez lui configurer un serveur ping.
76 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Ajouter un serveur ping à une interface
1 Sélectionnez Système > Réseau > Interface.
2 Choisissez une interface et cliquez sur Editer.
3 Affectez au Serveur Ping l’adresse IP du routeur du prochain saut sur le réseau connecté à l’interface.
4 Cochez la case Activer.
5 Cliquez sur OK pour enregistrer les changements.
Configuration des Options du Réseau
Dans Système > Réseau > Options, vous pouvez configurer les paramètres des serveurs DNS et de la détection de l’échec d’une passerelle. Illustration 26 : Options de la mise en réseau – pour les modèles 200 et plus.
Illustration 27 : Options de la mise en réseau – pour les modèles 100 et moins
Obtenir dynamiquement Cette oples adresses et moins
tion est uniquement disponible sur les modèles 100 .
es serveurs DNS
est utilisé par une interface, il S.
é-configuré » dans les paramètres DHCP de l’interface. Voir « Configuration DHCP d’une interface » à la page 69.
d
Lorsque le service DHCPpermet également d’obtenir l’adresse IP d’un serveur DNCeci est uniquement valable en mode NAT/Route. Il est conseillé d’activer « Remplacer le serveur DNS pr
Guide d’Administration FortiGate Version 3.0 77 01-30001-0203-20060424
Utiliser les adresses d Cette option est uniquement disponible sur les modèles 1et
u 00
rs DNS primaire et
Serveur DNS primaire e.
ire
e
Activer le DNS forwarding 00
s requêtes DNS
Détection de l’échec d’une passerelle d’un serveur ping ajouté à la
rface. Pour toute information à erveur ping à une interface, voir
z le nombre d’échec de tentatives de ping à partir duquel le boîtier FortiGate considéra que la passerelle n’est plus en fonction.
Table de Rou ode T mode Transparent, sélec seau >Table de Routage pour uter des routes statiques .
n 28 : Table de Rou
serveur DNS suivantes moins.
Utilisez les adresses des serveusecondaire spécifiées.
Entrez l’adresse IP du serveur DNS primair
Serveur DNS seconda Entrez l’adresse IP du serveur DNS secondaire.
Local Domain Nam Entrez le nom de domaine à ajouter aux adresses sansportion de domaine lors des recherches DNS.
Cette option est uniquement disponible sur les modèles 1sur les interfaces : et moins en mode NAT/Route.
Sélectionnez les interfaces qui transfèrent lereçues vers les serveurs DNS configurés.
Cette option permet la confirmation de la connectivité grâce à l’utilisationconfiguration d’une intepropos de l’ajout d’un s« Ajouter un serveur ping à une interface » à la page 77.
Detection Interval Entrez l’intervalle de temps souhaité (en secondes) entre chaque lancement d’un ping vers sa cible.
Fail Over Detection Entre
tage (en m ransparent) En tionnez Système > Réajo du boîtier FortiGate aux routeurs locaux Illustratio tage
e de réseau de cette route.
u routeur du prochain saut vers lequel cette
éférée porte le n°1.
Icônes Visualiser/Editer Edite ou visualise une route.
Icône Déplacer Modifie la position de la route dans la liste.
Paramètres d’une route en mode Transparent
au > Table de u pour ne Ed
modifications.
Créer Nouveau
# Le numéro de la route.
Permet de créer une nouvelle route.
IP L’adresse IP de destination de cette route.
Masque Le masqu
Passerelle L’adresse IP droute dirige le trafic.
Distance La préférence relative de cette route. La route pr
Icône Supprimer Supprime une route.
Dans Système > Rése Routage, sélectionnez Créer Nouveaajouter une route. L’icô iter d’une route permet de lui apporter des
78 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
route en mode Transparent Illustration 29 : Options de la
sse IP de destination et le masque de tte route. Pour créer une route par défaut,
passerelle de routage du prochain saut dirige le trafic vers Internet.
Configuration de l’interface modem ur les modèles FortiGate fournis avec un support modem, celui-ci peut servir soit
) en mode
boîtier FortiGate et Internet.
0 peuvent se connecter à un modem extérieur via
Ces modèles demandent une configuration des
Adresse IP destination Entrez l’adre/Masque réseau de ce
configurez l’IP de destination et le Masque sur 0.0.0.0.
Passerelle Entrez l’adresse IP du routeur du prochain saut vers lequel cette route dirige le trafic. Pour une connexion Internet, la
Distance La préférence relative de cette route. La route préférée porte le n°1.
Sd’interface redondante (back up), soit d’interface autonome (stand aloneNAT/Route.
• En mode redondant (back up), l’interface modem prend automatiquement le relais d’une interface Ethernet lorsque celle-ci est indisponible.
• En mode autonome (stand alone), l’interface modem sert de connexion entre le
Dans les deux modes, lorsque le modem se connecte à un FAI, il peut automatiquement composer trois comptes téléphoniques jusqu’à ce que la connexion soit établie. Les modèles FortiGate 50AM et 60M sont conçus avec un modem intégré. Il est dès lors possible de configurer des opérations modem à partir de l’interface d’administration web. Voir « Configuration des paramètres du modem ».
Les modèles FortiGate 50A et 6un convertisseur USB vers série. opérations modem à partir de l’interface de ligne de commande. Voir la commande system modem dans le FortiGate CLI Reference.
Remarque : Ne pas confondre l’interface modem avec le port AUX, utilisé pour deconnexions à distance vers la console – il n’a pas d’interface associée. Le port A
s UX est
niquement disponible sur les modèles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus le FortiGate CLI
Reference.
Configuration des paramètres du modem
La configuration des paramètres du modem permet au boîtier FortiGate d’utiliser le modem pour se connecter aux comptes téléphoniques du FAI. Vous pouvez configurer jusqu’à trois comptes téléphoniques, sélectionner le mode stand alone ou redondant et déterminer les modalités de connexion et déconnexion du modem.
ud’informations, voir la commande config system aux dans
Guide d’Administration FortiGate Version 3.0 79 01-30001-0203-20060424
Vous ne pouvez configurer et utiliser le modem qu’en mode NAT/Route. Illustration 30 : Paramètres du modem ( mode Stand alone)
Illustration 31 : Paramètres du modem (mode Redondant)
Cochez cette case pour activer le modem FortiGate.
Les différents statuts du modem sont : « inactif », « en cours
Activer le modem USB
Etat du modem
Appeler/Raccrocher
Mode
cours d’une interface Ethernet sélectionnée.
de connexion », « connecté », « en cours de déconnexion» ou « déconnecté» (pour le mode Stand alone uniquement).
(Pour le mode Stand alone uniquement.) Sélectionnez Appeler pour vous connecter manuellement à un compte téléphonique. Lorsque le modem est connecté, sélectionnez Raccrocher pour déconnecter le modem manuellement.
Sélectionnez le mode désiré : Standalone ou Redondant. En mode stand alone, le modem est une interface autonome. En mode Redondant, le modem est un outil de sauvegarde, un actif en se
80 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Connexion autom (Pour le mode Stand alone uniquement). Appelle le modemautomatiquement si la connexion est perdue ou si le boîtier FortiGate redémarre. Cette option n’est pas compatible avec l’option « Connexion à la demande ».
(Pour le m
atique
Actif en secours de ode Redondant uniquement). Sélectionnez e
Connexion à la
Timeout d’inactivité de ’une connexion modem
te ent). Etablissez le laps de temps passé (1-60 secondes) avant que le boîtier FortiGate
la ps
st de 1 seconde. Déterminez un temps plus long dans le cas où le boîtier FortiGate passe trop fréquemment d’une interface
ectionnez le nombre de fois (1 – 10) que le modem du boîtier FortiGate doit tenter de se reconnecter au FAI en cas d’échec de connexion. Par défaut, le nombre d’essais est de 1. Sélectionnez None pour ne pas limiter le nombre de tentatives
numéro de téléphone requis pour la connexion au phonique. Ne pas inclure d’espace dans les
ode Redondant, voir « Configuration du mode Redondant » à la page 81.
Configuration du mode Redondant
ndant sert d’actif en secours d’une interface re se déconnecte de son réseau, le modem
) compte(s) téléphonique(s) pré-configuré(s). Le l’interface
réseau, il déconnecte l’interface
l’interface Ethernet pour laquelle le modem assure le servicde secours.
(Pour le mode Stand alone uniquement). Appelle demande le modem lorsque les paquets sont dirigés vers l’interface
modem. Le modem se déconnecte après une période d’inactivité définie dans Timeout d’inactivité. Cette option n’estpas compatible avec l’option « Connexion automatique».
(Pour le mode Stand alone uniquement). Définissez le laps temps passé (1-60 minutes) avant quinactive soit déconnectée.
Temps d’atten (Pour le mode Redondant uniquem
repasse de l’interface modem à l’interface initiale, une foisconnexion de celle-ci restaurée. Par défaut ce laps de teme
à l’autre.
Nombre d’essais Sél
d’appel.
Compte téléphonique Configurez jusqu’à trois comptes téléphoniques. Le boîtier FortiGate tente de se connecter à chaque compte alternativement jusqu’à ce que la connexion soit établie.
Numéro de Téléphone Entrez lecompte télénuméros de téléphone. Assurez-vous cependant d’inclure les caractères standard pour les pauses, préfixes de pays et autres fonctions requises par votre modem pour vous connecter au compte téléphonique.
Compte utilisateur Le compte utilisateur (maximum 63 caractères) envoyé au FAI.
Mot de passe Le mot de passe envoyé au FAI.
Pour configurer le modem en m
Pour configurer le modem en mode Standalone, voir « Configuration du modeStand alone » à la page 82.
L’interface modem en mode redoEthernet sélectionnée. Si cette dernièse connecte automatiquement au(xboîtier FortiGate chemine alors les paquets IP normalement destinés à
odem. Ethernet vers l’interface m Lorsque le boîtier FortiGate détecte que l’interface Ethernet s’est reconnectée au
modem et repasse sur l’interface Ethernet.
Guide d’Administration FortiGate Version 3.0 81 01-30001-0203-20060424
Afin de permettre iGate de passer de l’interface Ethernet au modem, guration du modem, de sélectionne
au boîtier Fortil est nécessaire, lors de la confi r cette interface
rveur pi connexi
ate.
et de lui configurer un se ng. De plus, il est important de configurer des règles pare-feu pour les ons entre l’interface modem et les autres interfaces du boîtier FortiG
Remarque : Ne pas ajouter de règles pour les connexions entre l’interface modem et l’interface secourue par le modem.
1 Sélectionnez Système > Réseau > Modem.
ndant.
3
emps d’attente Entrez le laps de temps passé (1-60 secondes) avant
ais Entrez le nombre maximum de tentatives de connexion dans le cas où le FAI ne répond pas.
ts de passe
ompte téléphonique 3 pour les comptes téléphoniques désirés (entre 1 et 3).
4
ernet que le modem doit secourir. interface » à la page 77.
6 m. Voir .
Configuration du
En mode stand alone, le modem r une connexion Internet. Vous po r le modem pour qu’il se connecte à
u FortiGateIl est également possible d’appe modem manuellement.
Si la connexion aux comptes télé ate rappelle le mpose , fié dans n
igurer des règles pare-feu pour les connexions entre
2
Configurer un mode redondant
2 Sélectionnez Mode Redo
Entrez les informations suivantes : Mode Redondant
Actif en secours de Sélectionnez dans la liste l’interface à secourir.
Tque le boîtier FortiGate repasse de l’interface modem à l’interface initiale, une fois la connexion de celle-ci restaurée.
Nombre d’ess
Compte téléphonique 1 Entrez le numéro de téléphone de votre FAI ainsiCompte téléphonique 2 que vos comptes utilisateurs et moC
Cliquez sur Appliquer.
5 Configurez un serveur ping pour l’interface EthVoir « Ajouter un serveur ping à une
Configurez des règles pare-feu pour les connexions de l’interface mode« Ajout de règles pare-feu pour les connexions modem » à la page 83
mode stand alone
se connecte au compte téléphonique pour fourniuvez configure
chaque démarrage d ou lors de la présence de paquets non cheminés. ler ou de raccrocher le
phoniques échoue, le boîtier FortiG
modem. Le modem reco alors automatiquement le numéro du FAI, et ceautant de fois que spéci la configuration ou jusqu’à ce que la connexiosoit établie. Il est primordial de confl’interface modem et les autres interfaces du boîtier FortiGate. Opérer en mode stand alone
1 Sélectionnez Système > Réseau > Modem.
Entrez les informations suivantes : Mode Standalone
82 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Connexion automatique Sélectionnez cette option pour que le modem se connecte au FAI à chaque démarrage du FortiGate.
on
modem se déconnecte.
Entrez le nombre maximum de tentatives de connexion dans le cas où le FAI ne répond pas.
méro de téléphone de votre FAI ainsi ptes utilisateurs et mots de passe ptes téléphoniques désirés (entre 1 et 3).
3 Cliquez sur Appliquer.
s de l’interface modem. Voir nexions modem » à la page 83.
Ajout de règle
ssite des adresses et des règles pare-feu. Vous pouvez jouter une ou plusieurs adresses pare-feu à l’interface modem. Pour plus
t ajoutées,
nterface modem apparaît sur la matrice des règles.
s règles pare-feu pour contrôler le flot de paquets r plus règle pare-
231.
Connexion et c
Le modem doit être en mode stand alone.
compte téléphonique
1 2 3 oniques. 4 s modifications à la configuration. 5 nnez Appeler.
se nique ent jusqu’à ce que
La procédure suivante permettéléphonique.
1
2 électionnez Raccrocher pour vous déconnecter du compte téléphonique.
Connexion à la demande Sélectionnez cette option pour que le modem se connecte au FAI lors de la présence de paquets ncheminés.
Timeout d’inactivité Entrez la durée d’inactivité en minutes après laquelle le
Nombre d’essais
Compte téléphonique 1 Entrez le nuompte téléphonique 2 que vos comC
Compte téléphonique 3 pour les com
4 Configurez des règles pare-feu pour les connexion« Ajout de règles pare-feu pour les con
s pare-feu pour les connexions modem
L’interface modem nécead’informations sur l’ajout d’adresses, voir « Ajouter une adresse IP, une plage IPou un FQDN » à la page 247. Lorsque de nouvelles adresses sonl’i Vous pouvez configurer decirculant entre l’interface modem et les autres interfaces FortiGate. Poud’informations à propos de l’ajout de règles pare-feu, voir « Ajout d’uneeu » à la pagef
dé onnexion du modem
Se connecter à un
Sélectionnez Système > Réseau > Modem. Sélectionnez Activer le modem USB. Assurez-vous de l’exactitude des comptes téléph
électionnez Appliquer si vous avez apporté deSSélectio Le boîtier FortiGate compo alors le numéro de chaque compte téléphoalternativem le modem se connecte à un FAI.
le modem Déconnecter
de déconnecter le modem d’un compte
Sélectionnez Système > Réseau > Modem.
S
Guide d’Administration FortiGate Version 3.0 83 01-30001-0203-20060424
Vérification du st
onnexion du modem ainsi que le compte téléphonique activé sont stème > Réseau > Modem. Lors de la connexion entre le modem
rs de connexion Le modem tente de se connecter au FAI.
reconnectera que lorsque vous cliquerez sur Appeler.
t le masque de réseau affectés à l’interface modem apparaissent sur
Aperçu sur len VLAN est un groupe de PC, serveurs et autres équipements d’un réseau qui
communiquent comme s’ils faisaient partie d’un même segment LAN, alors que ce n’est pas forcément le cas. Par exemple, les stations de travail et serveurs d’un département de comptabilité peuvent être dispersés dans un bâtiment, connectés à plusieurs segments du réseau et quand bien même faire partie d’un même VLAN. Dans un VLAN les équipements sont segmentés logiquement et non pas physiquement. Chaque VLAN est traité comme un domaine de diffusion. Les équipements du VLAN 1 peuvent se connecter avec d’autres équipements du VLAN 1, mais ne peuvent pas se connecter avec des équipements d’autres VLAN. La communication entre les équipements d’un VLAN ne dépend pas du réseau physique. Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous les paquets reçus et envoyés par ces équipements. Ces balises sont des extensions de 4 octets comprenant un identificateur VLAN ainsi que d’autres informations. Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau, permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de la localisation physique.
atut du modem
Le statut de la cvisible dans Syet le FAI, l’adresse IP et le masque de réseau sont visibles également. Le modem peut avoir un des statuts suivants :
Inactif Le modem n’est pas connecté au FAI.
n couE
Connecté Le modem est connecté au FAI.
En cours de déconnexion Le modem se déconnecte du FAI.
Déconnecté Le modem s’est déconnecté du FAI. (En mode stand alone uniquement). Le modem ne se
Un indicateur vert désigne le compte téléphonique activé. ’adresse IP eL
la page Système > Réseau > Interface de l’interface d’administration web.
s VLAN U
84 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 32 : Topologie VLAN de base
Equipements For
s
commutateur niveau 3.
s.
afic VPN IPSec entre les
VLAN en modGate opère comme un équipement niveau 3 pour tre les VLAN. Le boîtier FortiGate peut également
n
tiGate et VLAN
Dans une configuration VLAN classique, des balises VLAN sont ajoutées aux paquets par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore des pare-feu. Les commutateurs niveau 2 gèrent les paquets cheminant entre desmachines d’un même VLAN, tandis que les paquets cheminant entre des machinede VLAN différents sont pris en charge par des équipements niveau 3 tels que outeur, pare-feu our
Grâce à l’utilisation d’un VLAN, un seul boîtier FortiGate fournit des services de sécurité et des connexions sous contrôle entre de multiples domaines sécuriséLe trafic provenant de chaque domaine sécurisé reçoit un identificateur VLAN différent. Le boîtier FortiGate reconnaît les identificateurs VLAN et applique les ègles de sécurité pour protéger les réseaux et le trr
domaines sécurisés. Le boîtier FortiGate appliquent également les fonctionnalités d’authentification, de profils de protection et autres règles pare-feu sur le trafic du réseau et le trafic VPN autorisé à circuler entre les domaines sécurisés.
e NAT/Route En mode routé, le boîtier Forticontrôler le flot de paquets enretirer les balises VLAN des paquets VLAN entrants et transférer les paquets nobalisés vers d’autres réseaux, comme Internet. En mode routé, le boîtier FortiGate supporte les VLAN pour la construction de tronçons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le boîtier FortiGate. Normalement l’interface interne du boîtier FortiGate se connecte
Guide d’Administration FortiGate Version 3.0 85 01-30001-0203-20060424
à un tronçon VLAN sur un commutateur interne, tandis que l’interface externe seconnecte en
amont vers un routeur Internet non balisé. Le boîtier FortiGate peut
alors appliquer différentes règles pour les trafics sur chaque VLAN connecté à
r
VLAN vers les sous-terfaces avec les identificateurs correspondants.
Vous pouvez également définir des sous-interfaces VLAN sur toutes les interfaces
r
Consignes sur le
e même identificateur. Leur relation est
même que la relation entre n’importe quelles deux autres interfaces réseaux
Consignes sur le
nterfaces doivent se trouver sur différents sous-s ne peuvent pas se chevaucher. Cette règle s’applique aussi bien
aux interfaces physiques qu’aux sous-interfaces VLAN.
l’interface interne. A partir de cette configuration, vous pouvez ajouter à l’interface interne du boîtieFortiGate des sous-interfaces VLAN qui possèdent les identificateurs VLAN correspondants aux identificateurs des paquets du tronçon VLAN. Le boîtier
ortiGate dirige alors les paquets avec les identificateursFin
du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant unesous-interface VLAN ou peut retirer des balises des paquets entrants et ajouteune balise différente aux paquets sortants.
s identificateurs VLAN
En mode NAT/Route, deux sous-interfaces VLAN ajoutées à la même interface physique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent être ajoutées à différentes interfaces physiques. Il n’y a pas de connexion interne ou dlien entre deux sous-interfaces VLAN avec lelaFortiGate.
s adresses IP VLAN
es adresses IP de toutes les iLréseaux, elle
Remarque : S’il vous est impossible de modifier vos configurations existantes et d’empêcher un chevauchement d’adresses IP, entrez les commandes CLI config system global et set allow-interface-subnet-overlap enable pour permettre un chevauchement d’adresses IP. En entrant cette commande, vous permettez à plusieurs interfaces VLAN d’avoir une adresse IP qui fait déjà partie d’un sous-réseau utilisé par une autre interface. Cette commande n’est recommandée qu’aux utilisateurs avancés. L’illustration 33 représente une configuration VLAN simplifiée en mode NAT/Route. Dans cet exemple, l’interface interne du FortiGate se connecte à un commutateur VLAN via un tronçon 802.1Q et est configurée avec deux sous-interfaces VLAN (VLAN 100 et VLAN 200). L’interface externe se connecte à Internet et n’est pas configurée avec des sous-interfaces VLAN. Lorsque le commutateur VLAN reçoit des paquets de VLAN 100 et VLAN 200, il leurs applique des balises VLAN et les transfère vers les ports locaux et à travers le tronçon vers le boîtier FortiGate. Des règles sont configurées dans le boîtier FortiGate pour permettre aux trafics de circuler entre les VLAN et à partir des VLAN vers le réseau externe.
86 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 33 : FortiGate en mode NAT/Route
Ajout de sous-interfaces VLAN
sous-interface VLAN doit correspondre à r
L’identificateur VLAN de chaquel’identificateur VLAN ajouté par le routeur IEEE 802.1Q-compliant. L’identificateuVLAN peut être n’importe quel nombre entre 1 et 4096. Chaque sous-interface VLAN doit également être configurée avec ses propres adresse IP et masque deréseau.
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.
l’interface physique qui çoit les paquets balisés VLAN.
nterface VLAN en mode NAT/Route
1
2
3
N à l’attention
ner le domaine virtuel auquel cette sous-. Les autres administrateurs ne peuvent créer
r « Utilisation de domaines aines virtuels.
Il est nécessaire d’ajouter des sous-interfaces VLAN à re Ajouter une sous-i
Sélectionnez Système > Réseau > Interface.
Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.
Entrez un nom pour identifier cette nouvelle sous-interface.
i doit recevoir les paquets VLA4 Sélectionnez l’interface physique qude cette sous-interface VLAN.
5 Entrez l’identificateur (ID) qui correspond à l’identificateur des paquets à recevoir par cette sous-interface VLAN.
ction6 L’administrateur admin devra séleinterface VLAN devra être ajoutéedes sous-interfaces VLAN que dans leur VDOM. Voivirtuels » à la page 40 pour plus d’informations sur les dom
Guide d’Administration FortiGate Version 3.0 87 01-30001-0203-20060424
7 Configurez les paramètres interfaces FortiGate. Voir «
de la sous-interface VLAN tel que pour les autres Paramètres de l’interface » à la page 63.
8
ce vers une interface physique.
1
2
3
4
VLAN en mode Transparent
s
r
es VLAN internes. L’interface n rnet. Le
our
N. Dans le cas où par contre les sous-interfaces VLAN ont des
vous entre
le
eux zones. Au sein d’un domaine virtuel, une zone peut contenir
Lorsqu’un boîtier FortiGate reçoit un paquet balisé VLAN sur l’une de ses interfaces, ce paquet est dirigé vers la sous-interface VLAN possédant l’identificateur VLAN correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination au paquet en fonction de son adresse MAC de destination. Les règles pare-feu des sous-interfaces VLAN source et de destination
Cliquez sur OK pour enregistrer les changements.
Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l’interface choisie au point 4. Ajouter des règles pare-feu aux sous-interfaces VLAN
Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de leur appliquer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou d’une sous-interfa
Sélectionnez Pare-Feu > Adresse.
Cliquez sur Créer Nouveau pour créer des adresses pare-feu qui correspondent aux adresses IP source et de destination des paquets VLAN. Voir « A propos desadresses pare-feu » à la page 245.
Sélectionnez Pare-Feu > Règle.
Créer ou ajouter des règles pare-feu tel que requis.
En mode Transparent, le boîtier FortiGate peut appliquer des règles pare-feu et des services tels que l’authentification, les profils de protection et autres fonctionpare-feu au trafic d’un tronçon VLAN IEEE 802.1. Le boîtier FortiGate peut être inséré en mode Transparent dans le tronçon sans qu’il soit nécessaire d’apportedes modifications au réseau. Dans une configuration classique, l’interface interne du FortiGate accepte les paquets VLAN sur un tronçon VLAN provenant d’un ommutateur VLAN ou d’un routeur connecté à dc
externe du FortiGate transfère les paquets balisés par le tronçon jusqu’à ucommutateur VLAN externe ou un routeur connecté éventuellement à Inteboîtier FortiGate peut être configuré pour appliquer différentes règles au trafic pchaque VLAN du tronçon. Il faut ajouter une sous-interface VLAN à l’interface interne et une autre à l’interface externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du FortiGate. Dans le cas où ces sous-interfaces VLAN ont les mêmes identificateurs, le boîtier FortiGate applique des règles pare-feu au trafic dee VLAc
identificateurs différents, ou si plus de deux sous-interfaces sont ajoutées, pouvez également créer des règles pare-feu qui contrôlent les connexions
s VLAN. Un boîtier FortiGate opérant en mode Transparent peut sécuriser le trafic du réseau passant entre les différents VLAN si ce réseau utilise des balises VLAN IEEE 802.1 pour segmenter son trafic. Il est nécessaire d’ajouter des domaines virtuels à la configuration du FortiGate pour lui permettre de supporter le trafic VLAN en mode Transparent. Un domaine virtuel se compose d’au moins dous-interfaces ou s
une ou plusieurs sous-interfaces VLAN.
88 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
s’appliquent au paquet. Si celui-ci est accepté par le pare-feu, le boîtier FortiGate le transfère vers la sous-interface VLAN de destination. L’identificateur du VLAN de destination est ajouté au paquet par le boîtier FortiGate et il est envoyé au tronçon VLAN. Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode Transparent
L’illustration 35 représente un équipement FortiGate opérant en mode Transparent et configuré avec trois sous-interfaces VLAN. Dans cette configuration un équipement FortiGate peut être ajouté à ce réseau pour fournir à chaque VLAN une analyse antivirus, un filtrage de contenu web ainsi que des services supplémentaires. Illustration 35 : Equipement FortiGate en mode Transparent
Guide d’Administration FortiGate Version 3.0 89 01-30001-0203-20060424
Consignes sur le
rface hysique ne peuvent pas avoir le même identificateur VLAN. Cependant, deux ou
rs identiques peuvent être ’y a pas de connexion interne ou de
eur relation est
Domaines virt l
outées autant de sous-interfaces VLAN nécessaires.
r -interfaces VLAN en domaines virtuels. Pour plus
ion
mode Transparent
r VLAN peut être n’importe quel nombre entre 1 et 4096. Il est hysique recevant les
paq ets balisés VLAN.
s identificateurs VLAN
En mode Transparent, deux sous-interfaces VLAN ajoutées à la même intepplusieurs sous-interfaces VLAN avec des identificateuajoutées à différentes interfaces physiques. Il nlien entre deux sous-interfaces VLAN avec le même identificateur. L
rtiGate. identique à une relation entre deux autres interfaces réseaux Fo
ue s et VLAN en mode Transparent
Les sous-interfaces VLAN sont ajoutées et associées à des domaines virtuels. Laconfiguration par défaut du boîtier FortiGate prévoit un domaine virtuel, appelé root, auquel peuvent être aj Des domaines virtuels supplémentaires peuvent être créés si vous désirez séparedes groupes de sousd’informations sur l’ajout et la configuration de domaines virtuels, voir « Utilisatde domaines virtuels » à la page 40. Ajouter une sous-interface VLAN en
L’identificateur VLAN de chaque sous-interface VLAN doit correspondre à l’identificateur ajouté par le commutateur ou routeur IEEE 802.1Q-compliant. L’identificateunécessaire d’ajouter des sous-interfaces VLAN à l’interface p
u
Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels et de zones.
1 Sélectionnez Système > Réseau > Interface.
2 Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.
3 Entrez un nom pour identifier cette nouvelle sous-interface.
4 Sélectionnez l’interface physique qui doit recevoir les paquets VLAN à l’attention de cette sous-interface VLAN.
5 Entrez l’identificateur correspondant à l’identificateur des paquets à recevoir par cette sous-interface VLAN.
6 Sélectionnez les domaines virtuels à ajouter à cette sous-interface VLAN. Voir « Utilisation de domaines virtuels » à la page 40 pour plus d’informations sur les domaines virtuels.
7 Configurez l’accès administratif et les paramètres log tels que pour les autres interfaces FortiGate. Voir « Paramètres de l’interface » à la page 63 pour une description de ces paramètres.
8 Cliquez sur OK pour enregistrer les changements.
Le boîtier FortiGate ajoute la nouvelle sous-interface VLAN créée à l’interface sélectionnée.
9 Sélectionnez Activer pour démarrer la sous-interface VLAN.
90 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Ajouter des règles pare-feu aux sous-interfaces VLAN
Une fois que vous avez créé de nouvelles sous-interfaces VLAN, il est possible de leurs appliquer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou d’une sous-interface vers une interface physique.
1 Sélectionnez Pare-Feu > Adresse.
2 Cliquez sur Créer Nouveau pour créer des adresses pare-feu correspondantes aux adresses IP source et de destination des paquets VLAN. Voir « A propos des adresses pare-feu » à la page 245.
3 Sélectionnez Pare-Feu > Règle.
4 Créer ou ajouter des règles pare-feu tel que requis.
Support FortiGate IPv6 Vous pouvez affecter à la fois une adresse IPv4 et une adresse IPv6 à chaque interface FortiGate. L’interface fonctionne comme deux interfaces, une pour les paquets adressés IPv4, l’autre pour les paquets adressés IPv6. Les équipements FortiGate supportent le routage statique, les annonces de routage périodiques et l’encapsulation du trafic IPv6 sur un réseau IPv4. Toutes ces fonctionnalités doivent être configurées à partir de l’interface de ligne de commande. Voir le FortiGate CLI Reference pour plus d’informations sur les commandes suivantes : Tableau 2 : Commande CLI IPv6
Fonction Commande CLI Configuration des interfaces, y compris les annonces de routage périodiques
config system interface Voir les mots-clés commençant par “ip6”. config ip6-prefix-list
Routage statique config router static6
Encapsulation du trafic IPv6 config system ipv6_tunnel
Guide d’Administration FortiGate Version 3.0 91 01-30001-0203-20060424
Système Sans Fil Cette section parcourt la configuration des interfaces LAN sans fil des boîtiers FortiWiFi. Cette section couvre les sujets suivants :
• Interface LAN sans fil FortiWiFi
• Domaines régulatoires
• Paramètres sans fil du système (FortiWiFi-60)
• Paramètres sans fil du système (FortiWiFi-60A et 60AM)
• Filtre MAC
• Surveillance du module sans fil
Interface LAN sans fil FortiWiFi Vous pouvez configurer l’interface sans fil FortiWiFi dans le but de :
• fournir un point d’accès auquel les utilisateurs munis de cartes réseau sans fil peuvent se connecter (Mode Point d’Accès).
ou
• connecter le boîtier FortiWiFi à un autre réseau sans fil (Mode Client).
Le mode Point d’Accès est activé par défaut. Les boîtiers FortiWiFi-60A et 60AM peuvent fournir de multiples WLAN. Les boîtiers FortiWiFi supportent les standard réseau sans fil suivants :
• IEEE 802.11a (Bande des 5-GHz)
• IEEE 802.11b (Bande des 2.4-GHz)
• IEEE 802.11g (Bande des 2.4-GHz)
• WEP (Wired Equivalent Privacy)
• WPA (Wi-Fi Protected Access) utilisant des clés partagées ou un serveur RADIUS (en mode Point d’Accès uniquement).
Domaines régulatoires Les tableaux suivants reprennent les canaux et domaines régulatoires pour les LAN sans fil. Tableau 3 : Numéros des canaux IEEE 802.11a (Bande des 5-GHz)
Domaines régulatoires Numéro de
canal
Fréquence (MHz) Amérique Europe Taiwan Singapour Japon
34 5170 - X - - X 36 5180 X X - X - 38 5190 - X - - X 40 5200 X X - X -
92 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
5210 - X - - X 42 5220 X X - X - 44 5230 - X - - X 46 5240 X X - X - 48 5260 X X X - - 52 5280 X X X - - 56 5300 X X X - - 60 5320 X X X - - 64 5745 - - - - - 149 5765 - - - - - 153 5785 - - - - - 157 5805 - - - - - 161
Tous les canaux sont limités à un usage intérieur excepté pour les continents américains, qui permettent un usage interne et externe des canaux 52 à 64 aux Etats-Unis. Tableau 4 : Numéros des canaux IEEE 802.11b (Bande des 2.4-GHz)
Domaines régulatoires Numéro Fréquence de canal (MHz) Amérique EMEA Israël Japon
2412 X X - X 1 2417 X X - X 2
3 2422 X X - X 4 2427 X X X X 5 2432 X X X X 6 2437 X X X X 7 2442 X X X X 8 2447 X X X X 9 2452 X X X X 10 2457 X X X X 11 2462 X X - X 12 2467 - X - X 13 2472 - X - X 14 2484 - - - X
Le Mexique est compris dans le domaine régulatoire américain. Les canaux 1 à 8 sont à usage intérieur uniquement. Les canaux 9 à 11 sont à usage intérieur et extérieur. Il est de la responsabilité de l’utilisateur de s’assurer que la configuration du canal sans fil est compatible avec la règlementation en vigueur au Mexique. Tableau 5 : Numéros des canaux IEEE 802.11g (Bande des 2.4-GHz)
Domaines régulatoires Amérique EMEA Israël Japon
Numéro de
canal
Fréquence (MHz)
CCK
OFDM CCK OFDM CCK OFDM CCK OFDM
1 2412 X X X X - - X X 2 2417 X X X X - - X X 3 2422 X X X X - - X X 4 2427 X X X X - - X X 5 2432 X X X X X X X X 6 2437 X X X X X X X X 7 2442 X X X X X X X X 8 2447 X X X X X X X X 9 2452 X X X X - - X X 10 2457 X X X X - - X X 11 2462 X X X X - - X X 12 2467 - - X X - - X X 13 2472 - - X X - - X X 14 2484 - - - - - - X -
Guide d’Administration FortiGate Version 3.0 93 01-30001-0203-20060424
Paramètres sans fil du système (FortiWiFi-60) Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres d’un LAN sans fil. Illustration 36 : Configuration des paramètres Sans Fil
Adresse MAC L’adresse MAC de l’interface Wireless.
Mode d’Opération Le mode d’opération en cours. Cliquez sur Changer pour le modifier. En mode Point d’Accès, le FortiWiFi-60 agit comme un point d’accès sans fil auquel peuvent se connecter plusieurs utilisateurs. En mode Client le boîtier est configuré pour se connecter à un autre réseau sans fil en tant que client.
Géographie Sélectionnez votre région pour déterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents américains), EMEA (Europe, Moyen Orient, Afrique), Israël ou Japon. Pour toute autre région du monde, choisissez World.
Canal Sélectionnez un canal pour votre réseau sans fil FortiWiFi-60. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour utiliser le même canal. Le choix des canaux dépend de la région sélectionnée dans Géographie. Voir « Domaines régulatoires » à la page 92 pour toute information sur l’affectation des canaux.
SSID Entrez le nom du réseau sans fil émis par le FortiWiFi-60. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau.
SSID Broadcast Sélectionnez Activer pour que le FortiWiFi-60 émette son SSID. (En mode Point d’Accès uniquement).
Security Mode Sélectionnez WEP64 ou WEP128 pour une utilisation WEP. Sélectionnez WPA Pre-shared Key ou WPA Radius pour une utilisation WPA (en mode Point d’Accès uniquement). Les utilisateurs du réseau sans fil du FortiWiFi-60 doivent configurer leurs ordinateurs avec les mêmes paramètres.
94 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Clé Pour une clé WEP de 64 bits, entrez 10 symboles hexadécimaux (0-9 a-f). Pour une clé WEP de 128 bits, entrez 26 symboles hexadécimaux (0-9 a-f). Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec la même clé.
Pre-Shared Key Pour le mode sécurisé WPA Pre-Shared Key, entrez la clé partagée. Les utilisateurs de ce réseau sans fil doivent configurer leurs ordinateurs avec la même clé.
Radius Server Name Pour le mode sécurisé WPA Radius, sélectionnez dans la liste le nom du serveur Radius. Le serveur Radius doit être configuré dans Utilisateur > RADIUS. Pour plus d’informations, voir « Serveurs RADIUS » à la page 326.
Avancés Cliquez sur Avancés pour ouvrir et fermer la section des paramètres avancés du Wireless. Les valeurs par défaut fonctionnent très bien dans la plupart des situations. Si nécessaire, modifiez les paramètres pour résoudre des problèmes de performance. Les paramètres avancés sont décrits ci-dessous. (En mode Point d’Accès uniquement).
Puissance Tx Définit le niveau de puissance de l’émetteur. La valeur par défaut est positionnée sur la puissance maximum, 31 dBm.
Beacon Interval Définit l’intervalle entre les paquets beacon. Les Points d’Accès émettent les beacons ou Traffic Indication Messages (TIM) pour synchroniser les réseaux sans fil. Si de grandes interférences sont présentes, il est utile de diminuer le Beacon Interval pour améliorer la performance du réseau. Dans le cas contraire, vous pouvez augmenter cette valeur.
RTS Threshold Le seuil RTS (Request to Send) détermine le temps d’attente du boîtier pour la reconnaissance CTS (Clear to Send) d’un autre équipement sans fil.
Fragmentation Threshold Détermine la taille maximum d’un paquet de données avant que celui-ci ne soit fragmenté en deux ou plusieurs paquets. La réduction de ce seuil améliore la performance dans des environnements soumis à de hautes interférences.
Paramètres sans fil du système (FortiWiFi-60A et 60AM) Sélectionnez Système > Wireless > Paramètres pour configurer les paramètres d’un LAN sans fil. Illustration 37 : Paramètres Sans Fil – FortiWiFi-60A et FortiWiFi-60AM
Mode d’Opération urs. Cliquez sur Changer pour le
modifier. En mode Point d’Accès, le FortiWiFi agit comme un Le mode d’opération en co
Guide d’Administration FortiGate Version 3.0 95 01-30001-0203-20060424
point d’accès sans fil auquel peuvent se connecter plusieursutilisateurs. En mode Client le boîtier est configuré pour se
Géographie
ectionnez un canal pour votre réseau sans fil FortiWiFi. Les
nnée dans Géographie. Voir « Domaines
formation sur
ce Tx
raffic Indication Messages
terfaces Wireless
Le nom de l’interface WLAN. Sélectionnez le nom pour éditer
ss.
SID Entrez le nom du réseau sans fil émis par le FortiWiFi. Les utilisateurs de ce réseau doivent configurer leurs ordinateurs pour se connecter au réseau qui émet ce nom de réseau.
SSID Broadcast Un signal vert indique que le FortiWiFi émet son SSID. (En mode Point d’Accès uniquement).
Security Mode WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou none. L’utilisation WPA est disponible en mode Point d’Accès uniquement. Les utilisateurs du réseau sans fil doivent configurer leurs ordinateurs avec les mêmes paramètres.
Filtrage des MAC Sélectionnez Système > Wireless > Filtre MAC pour autoriser ou rejeter l’accès sans fil aux utilisateurs en fonction de leur adresse MAC.
connecter à un autre réseau sans fil en tant que client.
Sélectionnez votre région pour déterminer les canaux disponibles. Vous devez choisir entre Americas (les deux continents américains), EMEA (Europe, Moyen Orient, Afrique), Israël ou Japon. Pour toute autre région du monde, choisissez World.
Canal Sélutilisateurs de ce réseau doivent configurer leurs ordinateurs pour utiliser le même canal. Le choix des canaux dépend de larégion sélectiorégulatoires » à la page 92 pour toute inl’affectation des canaux.
Puissan Définit le niveau de puissance de l’émetteur. La valeur par défaut est positionnée sur la puissance maximum, 31 dBm.
Beacon Interval Définit l’intervalle entre les paquets beacon. Les Points d’Accès émettent les beacons ou T(TIM) pour synchroniser les réseaux sans fil. Si de grandesinterférences sont présentes, il est utile de diminuer le Beacon Interval pour améliorer la performance du réseau. Dans le cas contraire, vous pouvez augmenter cette valeur.
Liste des In
Interface l’interface.
Adresse MAC L’adresse MAC de l’interface Wirele
S
96 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 38 : Filtre MAC
Filtrage des MAC Pour activer le filtrage, cochez la case Activer.
Accès des PCs non listés Permet d’autoriser ou de rejeter l’accès aux adresses ci-dessous MAC non répertoriées.
Adresses MAC Entrez l’adresse MAC à filtrer.
Autoriser ou Rejeter Permet d’autoriser ou de rejeter l’accès à cette adresse MAC.
Ajouter Ajoute l’adresse MAC dans la Liste d’Autorisation ou dans la Liste de Rejet en fonction du choix émis.
Liste d’Autorisation Liste des adresses MAC autorisées à accéder au réseau sans fil.
Liste de Rejet Liste des adresses MAC rejetées de l’accès au réseau sans fil.
Les boutons Flèches Déplace une adresse MAC d’une liste à l’autre.
Supprimer (sous la Liste Supprime les adresses MAC sélectionnées de la d’Autorisation) Liste d’Autorisation. Supprimer (sous la Liste Supprime les adresses MAC sélectionnées de la de Rejet) Liste de Rejet.
Surveillance du module sans fil Sélectionnez Système > Wireless > Monitor pour voir qui est connecté à votre LAN sans fil. Cette fonctionnalité est seulement disponible en mode de sécurité WPA. Illustration 39 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60)
Guide d’Administration FortiGate Version 3.0 97 01-30001-0203-20060424
Illustration 40 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60A et 60AM)
Statistiques Informations statistiques sur les performances sans fil pour chaque WLAN. Uniquement disponible sur les FortiWiFi-60A et FortiWiFi-60AM.
AP Name Le SSID de l’interface WLAN.
Signal Strength (dBm) L’intensité du signal du client.
Noise (dBm) Le niveau de bruit reçu.
S/N (dB) Le ratio signal/bruit, exprimé en décibels, est calculé à partir de l’intensité du signal et du niveau de bruit.
Rx (KBytes) Le montant de données en KiloOctets reçus pendant la session.
Tx (KBytes) Le montant de données en KiloOctets envoyés pendant la session.
Clients Le nombre de clients connectés au WLAN et des informations à leur propos.
Adresse MAC L’adresse MAC du client sans fil connecté.
Adresse IP L’adresse IP affectée au client sans fil connecté.
AP Name Le nom du WLAN auquel le client est connecté. Disponible uniquement sur les FortiWiFi-60A et FortiWiFi-60AM.
ID L’ID du client connecté utilisant le mode sécurisé WPA RADIUS. Ce champ reste blanc si le client utilise les modes sécurisés WPA Pre-Shared Key ou WEP. Disponible uniquement sur le FortiWiFi-60.
98 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Système DHCP Cette section décrit l’utilisation du protocole DHCP fournissant une configuration réseau automatique pratique pour vos clients. Cette section couvre les sujets suivants:
• Serveurs et relais FortiGate DHCP
• Configuration des services DHCP
• Visualisation des baux d’adresses
Serveurs et relais DHCP FortiGate Le protocole DHCP permet aux hôtes d’obtenir automatiquement leur adresse IP. Eventuellement, ils peuvent aussi obtenir les paramètres de la passerelle par défaut et du serveur DNS. Une interface FortiGate ou une sous-interface VLAN peut pourvoir les services DHCP suivants :
• Serveurs DHCP réguliers pour des connexions Ethernet régulières
• Serveurs DHCP IPSec pour des connexions IPSec (VPN)
• Relais DHCP pour des connexions Ethernet régulières ou IPSec (VPN)
Une interface ne peut pas fournir en même temps un serveur et un relais pour des connexions du même type (régulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP régulier sur une interface seulement si celle-ci possède une adresse IP statique. Vous pouvez configurer un serveur DHCP
adresses IP aux ôtes du réseau connectés à cette interface. Les ordinateurs hôtes doivent être
a plage ’adresses IP pour chaque serveur DHCP doit correspondre à la plage d’adresses
our configurer un serveur DHCP, voir « Configuration d’un serveur DHCP » à la
ses aux clients. Le serveur DHCP doit avoir n routage approprié de manière à ce que ses paquets-réponses aux clients
Pour en savoir plus sur la configuration d’un relais DHCP, voir « Configuration d’une interface comme relais DHCP » à la page 101.
IPSec sur une interface qui possède une adresse IP statique ou dynamique.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur n’importe quelle interface FortiGate. Un serveur DHCP affecte dynamiquement des hconfigurés de manière à obtenir leurs adresses IP via DHCP. Dans le cas où une interface est connectée à de multiples réseaux via des routeurs, vous pouvez ajouter un serveur DHCP pour chaque réseau. Lddu réseau. Les routeurs doivent être configurés pour les relais DHCP. Ppage 101. Vous pouvez configurer une interface FortiGate comme relais DHCP. L’interface transfère alors les requêtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite les réponuDHCP arrivent au boîtier FortiGate.
Guide d’Administration FortiGate Version 3.0 99 01-30001-0203-20060424
Configuration des services DHCP Sélectionnez Système > DHCP > Service pour configurer les services DHCP. Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou d’ajouter autant de serveurs DHCP que nécessaire. Sur les modèles FortiGate 50 et 60, un serveur DHCP est configuré par défaut sur l’interface Interne, avec les paramètres suivants :
Plage d’adresses IP 192.168.1.110 à 192.168.1.210
Masque de réseau 255.255.255.0
Passerelle par défaut 192.168.1.99
Durée du bail 7 jours
Serveur DNS 1 192.168.1.99
Vous pouvez désactiver ou modifier cette configuration du serveur DHCP par défaut. Ces paramètres sont appropriés pour l’adresse IP par défaut 192.168.1.99 de l’interface Interne. Si vous changez cette adresse vers un réseau différent, il faut également modifier les paramètres du serveur DHCP pour que ceux-ci correspondent à la nouvelle adresse. Illustration 41 : Liste des services DHCP – Exemple d’un FortiGate-200A
Interface Liste des interfaces FortiGate. Cliquez sur la flèche
bleue à côté de chacune des interfaces pour visualiser les relais et serveurs.
Nom du serveur/IP du relais Nom d’un serveur FortiGate DHCP ou adresse IP d’un serveur DHCP accédé via un relais.
Type Type de relais ou serveur DHCP : Régulier ou IPSec.
Activer Une icône V verte indique que le serveur ou relais est activé.
Icône d’ajout d’un serveur DHCP Permet de configurer et d’ajouter un serveur DHCP sur cette interface.
Icône Editer Permet d’éditer la configuration d’un relais ou serveur DHCP.
Icône de Suppression Permet de supprimer un serveur DHCP.
100 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration d’une interface comme relais DHCP
Sélectionnez Système > DHCP > Service et cliquez sur l’icône Editer pour voir ou modifier la configuration du relais DHCP d’une interface. Illustration 42 : Editer les paramètres du relais DHCP
Le nom de l’interface sél
Nom de l’interface ectionnée.
Type type de service DHCP requis.
Regular Configurez l’interface comme relais DHCP pour les ordinateurs du réseau connectés à cette interface.
IPSEC Configurez l’interface comme relais DHCP seulement
requêtes DHCP des ordinateurs du réseau connectés à l’interface.
Configuration d’un serveur DHCP
Sélectionnez Système > DHCP > Service pour configurer un serveur DHCP sur une interface. Sélectionnez l’icône en croix Ajouter un Serveur DHCP à côté de l’interface ou cliquez sur Editer à côté d’un serveur DHCP existant pour en modifier les paramètres.
Activer Active l’agent relais DHCP sur cette interface.
Sélectionnez le
pour les clients distants VPN avec une connexion VPNIPSec à cette interface.
Adresse IP du Serveur DHCP Entrez l’adresse IP du serveur DHCP qui répondra aux
Guide d’Administration FortiGate Version 3.0 101 01-30001-0203-20060424
Illustration 43 : Options du Serveur
Nom Entrez un nom pour le serveur DHCP.
Activer Active le serveur DHCP.
Type Sélectionnez Régulier ou IPSEC.
Il n’est pas possible de configurer un serveur DHCP Régulier sur une interface qui possède une adresse IP dynamique.
Plage IP Entrez le début et la fin de la plage d’adresses IP que ce serveur DHCP affecte aux clients DHCP.
Masque de réseau Entrez le masque de réseau que le serveur DHCP affecte aux clients DHCP.
Routeur par défaut Entrez l’adresse IP de la passerelle par défaut que le serveur DHCP affecte aux clients DHCP.
Domaine Entrez le domaine que le serveur DHCP affecte aux clients DHCP.
Durée du Bail Sélectionnez Illimitée pour une durée de bail illimitée ou entrez le temps, en jours, heures, minutes, après lequel un client DHCP devra demander au serveur DHCP de nouveaux paramètres. La durée du bail peut varier entre 5 minutes et 100 jours.
Avancés Cliquez sur Avancés pour configurer les options avancées.
Serveur DNS 1 Entrez les adresses IP de 1 à 3 serveurs DNS que le Serveur DNS 2 serveur DHCP affecte aux clients DHCP. Serveur DNS 3 Serveur WINS 1 Ajoutez les adresses IP d’un ou deux serveurs WINS que le
102 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Serveur WINS 2 serveur DHCP affecte aux clients DHCP. Option 1 Entrez jusqu’à trois options personnalisées DHCP qui peuvent Option 2 être envoyées par le serveur DHCP. Code est le code option Option 3 DHCP compris entre 1 et 255. L’option est un chiffre pair
hexadécimal et n’est pas requis pour certains codes option. Pour plus d’informations détaillées à propos des options DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor Extensions.
Exclure les plages IP
Ajouter Permet d’ajouter une plage d’adresses IP à exclure. Vous pouvez ajouter jusqu’à 16 plages d’adresses IP à exclure, que le serveur DHCP n’affectera donc pas aux clients DHCP. Les plages ne peuvent pas dépasser 65536 adresses IP.
Début de l’adresse IP Entrez la première adresse IP de la plage à exclure.
Fin de l’adresse IP Entrez la dernière adresse IP de la plage à exclure.
Icône de Suppression Supprime la plage à exclure.
Visualisation des baux d’adresses Sélectionnez Système > DHCP > Baux d’adresses (Address Leases) pour visualiser les adresses IP que les serveurs DHCP ont affectées et les adresses MAC client correspondantes. Illustration 44 : Liste des baux d’adresses
pour mettre à jour la liste des baux
Adresse IP IP affectée.
dresse IP est affectée.
ration du bail DHCP.
Réservation d’ad
pe de connexion, Ethernet régulier nt. Vous
Utilisez la commande CLI system dhcp reserved-address. Pour plus d’informations, référez-vous au FortiGate CLI Reference.
Interface Sélectionnez l’interface pour laquelle vous voulez voir la liste des baux.
Réactualiser Sélectionnez Rafraîchird’adresses.
L’adresse
Adresse MAC L’adresse MAC de l’équipement auquel l’a
Expiration du bail Date et heure d’expi
resses IP pour clients spécifiques
Vous pouvez réserver une adresse IP pour un client spécifique identifié par l’adresse MAC de l’équipement du client et le tyou IPSec. Le serveur DHCP affecte toujours l’adresse réservée à ce cliepouvez définir jusqu’à 50 adresses réservées.
Guide d’Administration FortiGate Version 3.0 103 01-30001-0203-20060424
Configuration du Système Cette section décrit la configuration de plusieurs fonctionnalités non liées au réseau, telles que cluster HA, messages de remplacement personnalisés, timeouts et langue de l’interface d’administration web. Cette section couvre les sujets suivants :
• Haute Disponibilité
• SNMP
• Messages de remplacement
• Mode de fonctionnement des VDOM et accès administratif
Les HA, SNMP et messages de remplacement font partie de la configuration globale du FortiGate. La modification du mode de fonctionnement s’applique indépendamment à chaque VDOM.
Haute Disponibilité Cette section fournit une description générale de la Haute Disponibilité FortiGate et du clustering virtuel HA FortiGate. Les options de configuration et quelques procédures de configuration et de maintenance de base de la Haute Disponibilité sont également détaillées dans cette section.
Remarque : Pour vous informer sur la manière de configurer et d’opérer un cluster HA FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate et à la Base de Connaissance de Fortinet. Cette section couvre les sujets suivants :
• Aperçu sur la Haute Disponibilité
• Protocole de Clustering FortiGate (FGCP)
• Modes HA (actif-actif et actif-passif)
• Compatibilité de la HA FortiGate avec DHCP et PPPoE
• Aperçu sur le clustering virtuel
• Aperçu sur le maillage intégral HA
• Configuration d’options HA (clustering virtuel inactivé)
• Configuration d’options HA pour clustering virtuel
• Options HA
• Liste des membres d’un cluster
• Visualisation des statistiques HA
• Modification du nom d’hôte et de la priorité du membre subordonné
• Configuration d’un cluster HA
• Configuration d’un clustering virtuel
104 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• Administration d’un cluster
• Déconnexion d’un membre du cluster de son cluster
• Adresses MAC d’un cluster virtuel
• Exemple de configuration d’un clustering virtuel
• Administration de clusters virtuels
• Exemple de configuration en maillage intégral HA
• Maillage intégral HA pour un clustering virtuel
• HA et interfaces redondantes
• HA et interfaces agrégées 802.3ad
Aperçu sur la Haute Disponibilité
La Haute Disponibilité (HA) FortiGate offre une solution aux deux exigences les plus critiques des réseaux d’entreprises : une fiabilité perfectionnée et une performance croissante. La Haute Disponibilité FortiGate s’implémente en configurant deux ou plusieurs équipements FortiGate afin qu’ils opèrent en un cluster HA. Pour le réseau, ce cluster HA s’affiche comme un seul équipement FortiGate, traitant le trafic du réseau et fournissant les services de sécurité tels que pare-feu, VPN, prévention contre les intrusions, analyse des virus, filtrage web et antispam. Illustration 45 : Cluster HA composé de deux boîtiers FortiGate-3600
Au sein d’un cluster, les équipements individuels FortiGate sont appelés membreCes membres partagent les informations sur leur état et configuration. Dans le cas d’une défaillance de l’un des membres, les autres membres du cluster prennent en charge l’activité du membre en panne. Après la panne, le cluster continue de traite trafic réseau et de fournir les services FortiGate sans interruptio
s.
er n du service. l
Guide d’Administration FortiGate Version 3.0 105 01-30001-0203-20060424
Chaque cluster FortiGate est formé d’un membre primaire (aussi appelé maître) et d’un ou plusieurs membres subordonnés (aussi appelés esclave ou redondanLe membre primaire contrôle le fonctionnement du cluster. Les rôles joués par les membres primaire et subordonné(s) dans le cluster dépendent du mode dans lequel le cluster opère. Voir « Modes HA (actif-act
ts).
if et actif-passif) » à la page 107.
ournir continuellement un service pare-feu, même appelé la redondance. La redondance HA
pour
r
ce du réseau grâce à un partage de la charge que représentent le fiche sur sans
réparti entre les membres du cluster.
Protocole de Clus
a haute disporedondantes et son Protocole deFortiGate d’un cluster HA appliqpartage les mêmes paramètres membres FortiGate dans un clu
A doivent être du même modè ême version logicielle
Les membres FortiGate d’un clucommuniquer des informations s a onfiguration et la table de routage du cluster et créer des rapports sur les statuts
sles interfaces de heartbeat, et leheartbeat HA. Grâce à ce dernietrain de communiquer sur les sta pour assurer un bon fonctionnement du cluster.
rtiGate et le FGCP supportent la réplication de lien, la
s vers un membre FortiGate d’un cluster HA échoue, toutes les fonctions, connexions pare-feu
r
L’avantage qu’offre le cluster de fdans le cas d’une défaillance, estFortiGate signifie que votre réseau ne doit pas s’appuyer sur un FortiGate continuer de fonctionner. Vous pouvez installer des membres additionnels et former un cluster HA. Les autres membres du cluster prendront le relais en cas dedéfaillance d’un des membres. Une deuxième fonctionnalité HA, appelée l’équilibrage de charge, sert à augmenteles performances pare-feu. Un cluster de membres FortiGate peut augmenter la
erformanptraitement du trafic et la fourniture des services de sécurité. Le cluster s’afle réseau comme un seul équipement, ce qui augmente ses performancesapporter de modifications à votre configuration réseau. Un clustering virtuel étend les fonctionnalités HA pour fournir une redondance et un équilibrage de charge pour chaque domaine virtuel activé dans le cadre d’un cluster de FortiGate. Un cluster virtuel se compose d’un cluster de deux membresFortiGate opérant avec des domaines virtuels. Le trafic sur différents domaines irtuels est v
tering FortiGate (FGCP)
Fortinet réalise de l nibilité grâce à ses ressources hardware Clustering FortiGate (FGCP). Chaque membre
ue les mêmes règles globales de sécurité et de configuration. Vous pouvez totaliser jusqu’à 32 ster HA. Tous les membres FortiGate d’un cluster le et fonctionner avec la mH
FortiOS.
ster utilisent les interfaces Ethernet pour ur la session du cluster, synchroniser l
cdes membres individuels du clu ter. On appelle ces interfaces Ethernet du cluster
s communications entre les membres du cluster le r, les membres du cluster sont constamment en tuts du HA
La Haute Disponibilité Foréplication matérielle et la réplication du heartbeat HA. Réplication de lien Si un des lien
établies et sessions VPN IPSec1 sont maintenues pales autres membres FortiGate du cluster HA. Pour plus d’informations sur l’échec de lien, voir « Surveillancedes ports » à la page 116.
1 La Haute Disponibilité ne fournit pas de réplication de sessions pour les services PPPoE, DHCP, PPTP et P2TP.
106 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Réplication matérielle Si un des membres FortiGate d’un cluster HA est
Modes HA (actif-actif
euvent être configurés pour opérer en mode HA actif-actif . Les clusters actif-actif et actif-passif fonctionnent aussi
bien en mode NAT/Route que Transparent.
s
on slave <priority_id> où priority_id> est la place prioritaire du membre subordonné dans le cluster.
:
A) équilibre la charge du traitement du trafic vers tous les
emb luster HA actif-actif se compose d’un membre primaire et (s) subordonné(s) qui traitent ensemble tout le trafic. Le n algorithme d’équilibrage de charge pour distribuer le bres du cluster.
s sont
membre primaire. Vous pouvez configurer un cluster pour qu’il équilibre la charge du trafic TCP et l’analyse de virus parmi tous les membres et
ter composé de trois membres, les écrans afficheront :
défaillant, toutes les fonctions, connexions pare-feu établies et sessions VPN IPSec sont maintenues par lesautres membres FortiGate du cluster HA.
Réplication du heartbeat HA Vous pouvez configurer de multiples interfaces comme
interfaces heartbeat HA. Si une interface heartbeat HA échoue, le heartbeat HA est transféré vers une autre interface.
et actif-passif)
Les membres FortiGate p(A-A) ou actif-passif (A-P)
Un cluster HA actif-passif (A-P), aussi appelé réplication HA, se compose d’un membre primaire qui analyse le trafic et d’un ou plusieurs membre(s) subordonné(s). Ces derniers sont connectés au réseau et au membre primaire mais ne traitent pas le trafic. Lorsqu’un cluster opère en mode actif-passif , la mention (a-p) apparaît sur leécrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary s’affiche sur l’écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la menti<Dans l’exemple d’un cluster composé de trois membres, les écrans afficheront
• primary (a-p)
• slave 1 (a-p)
• slave 2 (a-p)
Le mode HA actif-actif (A-m res du cluster. Un cd’un ou plusieurs membremembre primaire utilise utraitement à tous les mem Par défaut un cluster actif-actif HA FortiGate équilibre la charge des sessionsd’analyse des virus entre tous les membres du cluster. Tous les autres trafictraités par le
ce, à l’aide de l’interface de ligne de commande. Lorsqu’un cluster opère en mode actif-actif, la mention (a-a) apparaît sur les écrans LCD de tous les membres (pour les modèles qui en possèdent) en plus de la mention du mode de fonctionnement (Transparent ou NAT). La mention primary s’affiche sur l’écran LCD du membre primaire. Les membres subordonnés affichent sur leur écran LCD la mention slave <priority_id> où <priority_id> est la place prioritaire du membre subordonné dans le cluster.
ans l’exemple d’un clusD
• primary (a-a)
• slave 1 (a-a)
Guide d’Administration FortiGate Version 3.0 107 01-30001-0203-20060424
• slave 2 (a-a)
Pour plus d’informations sur le FGCP reportez-vous au Guide utilisateur des fonctions de haute disponibilité FortiGate et à la Base de Connaissance de Fortinet.
Compatibilité de la HA FortiGate avec DHCP et PPPoE
ls
s
DHCP n’est pas affectée par une opération HA. Pour toute information sur les serveurs et relais
a page 99.
la
Aperçu sur le clu
le cadre d’un cluster, la HA FortiGate CP ing
e
stribuer le traitement de domaines virtuels entre deux membres du cluster permet également de configurer le clustering virtuel pour
luster.
le
uf dans le cas où le membre primaire tombe en
La Haute Disponibilité FortiGate n’est pas compatible avec les protocoles PPP teque DHCP ou PPPoE. Si une ou plusieurs interfaces de l’équipement FortiGate sont configurées dynamiquement avec DHCP ou PPPoE, vous ne pouvez pas passer en mode HA. Par ailleurs, si vous opérez votre cluster HA FortiGate, voune pouvez pas modifier une interface du cluster pour la configurer dynamiquementavec DHCP ou PPPoE. La configuration d’une interface comme serveur DHCP ou relais
DHCP, voir « Système DHCP » à l
PPTP et L2TP sont supportés en mode HA. Vous pouvez configurer les paramètres PPTP et L2TP et ajouter des règles pare-feu pour permettre le passage de PPTP et L2TP. Cependant, lors d’une réplication HA, toutes les sessions actives PPTP et L2TP sont perdues et doivent être redémarrées après réplication.
stering virtuel
i des domaines virtuels sont activés dans Sopère via un clustering virtuel. Le clustering virtuel est une extension du FGpour les membres FortiGate opérant avec des domaines virtuels. Un clustervirtuel fonctionne en mode actif-passif pour fournir une protection sous la formd’une redondance entre deux instances d’un domaine virtuel opérant sur deux membres différents du cluster. Di
fournir un équilibrage de charge entre les membres du c
Clustering virtuel et relais
Le clustering virtuel opère sur deux (et seulement deux) FortiGate avec des domaines virtuels activés. Chaque domaine virtuel crée son propre cluster. Touttrafic envoyé et reçu par le domaine virtuel reste dans le domaine virtuel et est traité par lui. Un membre du cluster est le membre primaire de chaque domaine virtuel et l’autre membre du cluster est le membre subordonné de chaque domaine virtuel. Le membre primaire traite tout le trafic du domaine virtuel. Le membre ubordonné ne traite pas le trafic sas
panne. Le membre subordonné prend alors le relais, traitant le trafic passant précédemment par le membre primaire. Le heartbeat HA fournit les mêmes services HA dans une configuration de clustering virtuel que dans une configuration HA standard. Un groupement d’interfaces heartbeat de HA fournit ses services heartbeat HA pour tous les domaines virtuels du cluster.
108 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Clustering virtuel et équilibrage de charge
r
e membre rimaire pour quelques domaines virtuels et l’autre membre du cluster doit être
e e
ans cette configuration, la réplication reste la même. Si l’un des membres du
els
e le traitement passe vers le membre restant.
Aperçu sur le maillage intégral HA
Les modèles FortiGate 800 et plus peuvent utiliser des interfaces redondantes pour créer une configuration de cluster appelée maillage intégral HA. Le maillage intégral HA est une méthode de réduction du nombre de points uniques de panne sur un réseau comprenant un cluster HA. Lorsque deux ou plusieurs boîtiers FortiGate sont connectés à un réseau dans un cluster HA, la fiabilité de ce réseau est améliorée grâce au fait que le cluster HA substitue un équipement FortiGate à un point unique de panne. Dans un cluster, un boîtier FortiGate est remplacé par un cluster de deux ou plusieurs équipements FortiGate. Cependant, même dans le cas d’un cluster, des points uniques de panne potentiels restent. Les interfaces de chaque membre du cluster se connectent à un seul commutateur offrant une seule connexion au réseau. Si le commutateur tombe en panne ou si la connexion entre le commutateur et le réseau échoue, le service vers le réseau est interrompu.
Bien que le clustering virtuel opère en mode actif-passif, vous pouvez configureune forme d’équilibrage de charge en configurant le clustering virtuel pour qu’il distribue le trafic entre les deux membres du cluster. Pour configurer cet équilibrage de charge un membre du cluster doit être défini commpdéfini comme membre primaire des domaines virtuels restants. Une distribution égale des domaines virtuels entre les deux membres du cluster permet à la chargque représente le traitement du réseau d’être partagé, de manière équilibrée, entrles deux membres du cluster Dcluster tombe en panne, tout le traitement est pris en charge par le membre restant. Il n’y a pas d’interruption du trafic pour les domaines virtuels pour lesqule membre restant était le membre primaire. Le trafic risque d’être interrompu temporairement pour les domaines virtuels pour lesquels le membre en panne était le membre primaire lorsqu
Guide d’Administration FortiGate Version 3.0 109 01-30001-0203-20060424
Illustration 46 : Points uniques de panne dans une configuration stand alone et une configuration de réseau HA
Le cluster HA améliore la fiabilité du réseau car un commutateur n’étant pas un composant aussi complexe qu’un boîtier FortiGate, il est moins enclin à tomber en panne. Cependant, une meilleure fiabilité est possible, si la configuration inclut des connexions redondantes entre le cluster et les réseaux auxquels il est connecté. Cette configuration redondante est réalisable grâce à des interfaces redondantes et une configuration en maillage intégral HA. Dans ce type de configuration un cluster HA composé de deux ou plusieurs membres FortiGate est connecté au réseau à l’aide d’interfaces et de commutateurs redondants. Chaque interface redondante est connectée à deux commutateurs, tout deux connectés au réseau. La configuration en maillage intégral qui en résulte assure des connexions redondantes entre tous les composants du réseau. Un exemple est donné dans l’illustration 47. Si un seul composant ou une seule connexion tombe en panne, le trafic est aiguillé vers le composant et la connexion redondants.
110 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 47 : Configuration en Maillage intégral HA
Maillage intégral HA et équipements hearbeat redondants
faces heartbeat devraient être
aillage intégral HA, interfaces redondantes et interfaces
Le maillage intégral HA est supporté aussi bien par les interfaces redondantes que par les interfaces agrégées 802.3ad. Dans la plupart des cas, on utilise des interfaces redondantes. Cependant, si votre commutateur supporte les interfaces agrégées 802.3ad et séparent les tronçons multiples, vous pouvez utiliser des interfaces agrégées à la place d’interfaces redondantes pour un maillage intégral HA. Un des avantages des interfaces agrégées consiste dans le fait que toutes les interfaces physiques de l’interface agrégée peuvent recevoir et envoyer des paquets. Il en résulte une plus grande capacité de la bande passante du cluster. En général les interfaces redondantes et agrégées se composent de deux interfaces physiques. Toutefois, vous pouvez ajouter plus de deux interfaces physiques à une interface redondante ou agrégée. L’ajout de plusieurs interfaces
Une configuration en maillage intégral HA comprend également des interfaces de eartbeat HA redondantes. Au moins deux interh
sélectionnées dans la configuration HA et deux groupes d’interfaces de heartbeat HA devraient être connectées. Les équipements de heartbeat HA n’ont pas à être configurés comme interfaces redondantes parce que le FGCP traite la réplicationentre interfaces de heartbeat.
Magrégées 802.3ad
Guide d’Administration FortiGate Version 3.0 111 01-30001-0203-20060424
peut augmenter la protection et la capacité de la bande passante dans le cas d’une utilisation d’interfaces agrégées 802.3ad.
Configuration d’options HA (clustering virtuel inactivé)
Pour configurer les options HA, et joindre un boîtier FortiGate à un cluster HA, sélectionnez Système > Configuration > HA. Pour modifier les paramètres de configuration du membre primaire d’un cluster en fonction, sélectionnez Système > Configuration > HA pour afficher la liste des membres du cluster. Cliquez sur l’icône Editer pour le membre maître (primaire) dans la liste des membres du cluster. Voir « Liste des membres d’un cluster » à la page 120 pour plus d’informations sur cette liste. Illustration 48 : Configuration HA d’un FortiGate-5002FB2
Pour modifier le nom d’hôte et la priorité des membres subordonnés dans un cluster en fonction, sélectionnez Système > Configuration > HA pour afficher liste des membres du cluster. Cliquez sur l’icône Editer d’un membre su
la bordonné
our le configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre
Configuration d’o
psubordonné » à la page 123 pour plus d’informations sur la configuration de membres subordonnés.
ptions HA pour clustering virtuel
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mêmes que les options classiques HA. Toutefois, les clusters virtuels comprennent les options de partitionnement de domaines virtuels. Les différences entre les options de configuration pour un HA régulier et pour un clustering virtuel HA sont parcourues ci-dessous.
112 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour configurer les options HA d’un équipement FortiGate avec des domaines virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA. Pour modifier les paramètres de configuration du membre primaire dans un cluster en fonction avec des domaines virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur l’icône Editer du membre maître (ou primaire). Voir « Liste des membres d’un cluster » à la page 120. Illustration 49 : Configuration d’un cluster virtuel HA d’un FortiGate 5001
Pour modifier le nom d’hôte et la priorité des membres subordonnés d’un cluster en fonction avec des domaines virtuels activés, connectez-vous en tant qu’administrateur admin, sélectionnez Configuration Globale et allez dans Système > Configuration > HA pour visualiser la liste des membres du cluster. Cliquez sur l’icône Editer d’un membre subordonné (ou redondant) pour le configurer. Voir « Modification du nom d’hôte et de la priorité d’un membre subordonné » à la page 123.
Guide d’Administration FortiGate Version 3.0 113 01-30001-0203-20060424
Illustration 50 : Modification du nom d’hôte et de la priorité d’un membre subordonné
Options HA
La co HA permet d’adjoindre un boîtier FortiGate à un cluster ou d m ation d’un cluster opérationnel et d’un de ses membres. Les o tion s :
•
•
•
Interface de Heartbeat
Partitionnement de domaines virtuels
e
Sélectionnez un mode HA équipements FortiGate au mode stand de définir le mê
Mode Stand alone
Actif-actif ge haque
e cluster. Vous ne pouvez
pas sélectionner actif-actif si vous configurez un cluster virtuel.
utes les connexions. Les autres membres du cluster
ent passivement le statut du cluster et reste synchronisés avec le membre primaire. Les clusters virtuels doivent opérer en mode actif-passif.
nfiguration d’options e odifier la configur
p s HA suivantes peuvent être configurée
• Mode
Priorité du membre
Nom du Groupe
Mot de Passe
• Activer le maintien de la session
• Surveillance des ports
•
•
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de hautdisponibilité FortiGate reprend des procédures de configuration globales HA et
onne des exemples détaillés de configuration. d
Mode
pour le cluster ou repasser lesdu cluster alone. Lors de la configuration d’un cluster, il est nécessaire me mode HA pour tous les membres du cluster HA.
Le mode de fonctionnement par défaut. Dans ce mode, le boîtier FortiGate n’opère pas en mode HA. Sélectionnez le mode Standalone si vous désirez que ce membre du cluster ne fonctionne plus en mode HA.
Sélectionnez ce mode pour configurer l’équilibrage de charou la réplication HA sur un cluster. En mode actif-actif ccluster traite le trafic activement et contrôle le statut des autres membres du cluster. Le membre primaire contrôle l’équilibragde charge parmi tous les membres du
Actif-passif Sélectionnez ce mode pour configurer une réplication HA sur un cluster. En mode actif-passif le membre primaire traitetocontrôl
114 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
La modification du mode HA d’un cluster en fonction entraîne la renégociation de
cluster té de
ux clusters virtuels, vous pouvez définir la priorité d’un membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet à un
emple le membre primaire du cluster virtuel 1 et le membre el 2. Pour plus d’informations, voir « Exemple de
e 141.
e
luster. Le mot de passe doit être le même pour tous les membres du cluster. La longueur maximum du mot de passe est de 15
oit
mbre primaire.
embre primaire original.
l’opération dans un nouveau mode et la probabilité de devoir sélectionner un nouveau membre primaire.
riorité de l’équipement P
Facultativement, il est possible de donner à chaque membre du cluster un ordre depriorité. De cette manière chaque membre peut être doté d’une priorité différente.Pendant la négociation HA, le membre avec la plus haute priorité devient le membre primaire. La priorité n’est pas synchronisée parmi les membres du cluster. Dans unn fonction vous modifiez la priorité de l’équipement pour modifier la priorie
chaque membre du cluster. A chaque modification de la priorité d’un membre du cluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le membre primaire. La plage de priorité s’étend de 0 à 255. La priorité par défaut est de 128. Lors de la configuration d’un cluster virtuel et dans le cas où vous avez ajouté des domaines virtuels aux de
membre d’être par exsubordonné du cluster virtuconfiguration d’un clustering virtuel » à la page 139 et « Administration de clusters virtuels » à la pag
Nom du group
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le même nom de groupe.
Mot de passe
Entrez un mot de passe pour le c
caractères. Dans le cas d’un réseau avec plusieurs clusters HA FortiGate, chaque cluster davoir un mot de passe différent.
Activer le maintien de session
L’activation du maintien de session permet, en cas de défaillance du membre rimaire, que toutes les sessions soient reprises par le nouveau mep
Dans le cas où cette option est activée, les membres subordonnés maintiennent des tables de session identiques à celle du membre primaire. Cela permet au nouveau membre primaire de maintenir toutes les sessions de communication
ctives en cas de panne du ma En cas d’inactivation du maintien de session, les membres subordonnés ne maintiennent pas les tableaux de session. Dès lors, en cas de panne du membre primaire, toutes les sessions sont interrompues et doivent être redémarrées par le nouveau membre primaire.
Guide d’Administration FortiGate Version 3.0 115 01-30001-0203-20060424
Pour assurer une réplication, et donc une protection, performante, il est conseillé
de vérifier que les s
tion pourrait avoir lieu si une interface non connectée est sous
la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent
nformation sur les interfaces redondantes, voir « Création d’une page
our toute information sur les interfaces agrégées 802.3ad, voir « Création d’une à la
pag Les eillance (elles
rne les interfaces internes de tous les modèles FortiGate-60 et FortiWiFi-
rface LAN du FortiGate-500A.
• Les sous-interfaces VLAN (voir « Aperçu sur les VLAN » à la page 84).
rface redondante ou agrégée.
est nécessaire de créer une configuration
d’activer le maintien de session. Si une telle protection n’est pas nécessaire, l’inactivation de cette option peut réduire d’une part l’usage CPU HA et d’autre part réduire l’usage de la bande passante du réseau heartbeat HA.
Surveillance des ports
’activation de la surveillance des interfaces FortiGate permet Linterfaces sous contrôle fonctionnent correctement et sont bien connectées à leurréseaux. Si l’une de ces interfaces tombe en panne ou se déconnecte de son éseau, l’interface quitte le cluster et une réplication de lien s’enclenche. Cette r
réplication entraîne une re-direction du trafic traité par l’interface en panne vers lamême interface d’un autre membre du cluster qui possède toujours une connexion au réseau. Ce membre devient le nouveau membre primaire. Si vous arrivez à rétablir le flot du trafic à travers l’interface (par exemple si vous reconnectez un câble déconnecté du réseau) l’interface rejoint alors le cluster. Il est conseillé de mettre sous surveillance les seules interfaces connectées aux éseaux. Une réplicar
surveillance. Les interfaces qui sont susceptibles d’être mises sous surveillance apparaissent ans d
être mises sous surveillance, y compris les interfaces redondantes et les interfacesagrégées 802.3ad.
our toute iPinterface redondante » à la page 67 et « HA et interfaces redondantes » à la 149. Pinterface agrégée 802.3ad » à la page 66 et « HA et interfaces redondantes »
e 149.
interfaces suivantes ne peuvent pas être mises sous survn’apparaissent d’ailleurs pas dans la liste Port Monitor) :
• Les interfaces FortiGate qui comprennent un commutateur interne. Cela conce60, ainsi que les interfaces internes des FortiGate-100A et 200A. Cela concerne également l’inte
• Les interfaces VPN IPSec (voir « Aperçu du mode interface IPSec » à la page294).
• Les interfaces physiques individuelles qui ont été ajoutées à une inte
Si vous configurez un cluster virtuel, il différente de la surveillance des interfaces pour chaque cluster virtuel. Généralement pour chaque cluster virtuel, seules sont placées sous surveillance les interfaces ajoutées aux domaines virtuels de chaque cluster virtuel.
116 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Interface de Heartbeat
e heartbeat par défaut tant que ous pouvez connecter les interfaces de heartbeat ensemble.
t par traite
es
our assurer un bon nctionnement du cluster.
es, ais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des
aces augmente la fiabilité. Si une terface tombe en panne, le heartbeat HA est repris par une autre interface.
ossible, il est conseillé d’activer le trafic heartbeat HA sur les terfaces utilisées uniquement pour le trafic heartbeat HA ou sur des interfaces n
Lescon . Cependant cette configuration est déconseillée pour
• r économiser de la bande passante du seau, il est conseillé de maintenir le trafic heartbeat HA en dehors de votre
Des paquets heartbeat risquent d’être perdus si l’interface commutateur traite ntraîner
es commutateur comprennent :
rne des FortiGate-100A et 200A
• du FortiGate-500A
Il est possible d’activer ou de désactiver la communication heartbeat HA pour chaque interface du cluster. Vous devez sélectionner au moins une interface deheartbeat. Si la communication heartbeat est interrompue, le cluster arrête le traitement du trafic. La communication heartbeat est définie par défaut sur deux interfaces (voir tableau 6). Vous pouvez désactiver le heartbeat HA pour chacune de ces interfaces ou activer le heartbeat HA pour d’autres interfaces. Dans la plupart des cas, vous pouvez maintenir la configuration de l’interface dv L’interface d’administration web FortiGate répertorie les interfaces de heartbeaordre alphabétique. La première interface heartbeat sélectionnée dans la liste tout le trafic heartbeat HA. Si cette interface tombe en panne ou se déconnecte, l’interface suivante dans la liste prend le relais. Le heartbeat HA communique des informations sur les sessions du cluster, synchronise la configuration et la table de routage du cluster et engendre drapports individuels sur les statuts des membres du cluster. Le heartbeat HA communique constamment des informations sur le statut HA pfo Vous pouvez activer des communications heartbeat pour des interfaces physiquminterfaces redondantes ou des interfaces agrégées 802.3ad. Ces types d’interfacesn’apparaissent pas dans la liste des interfaces de heartbeat. Activer le heartbeat HA pour plusieurs interfin Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans la mesure du pinco nectées à des réseaux moins occupés.
interfaces FortiGate qui comprennent un commutateur interne supportent la figuration heartbeat HA
deux raisons :
Pour des raisons de sécurité et pouréréseau interne.
•de gros volumes de trafic. La perte de paquets heartbeat risquent d’edes réplications répétées inutiles.
Les modèles FortiGate avec des interfac
• L’interface interne de tous les modèles FortiGate-60 et FortiWiFi-60
• L’interface inte
L’interface LAN
Guide d’Administration FortiGate Version 3.0 117 01-30001-0203-20060424
T figuration par défaut des ces de heartbeat pour tous les m ate
Modèle FortiGate s de heartbeat par défaut
ableau 6 : Conodèles FortiG
interfa
InterfaceDMZ Modèles FortiGate-60 et
FortiWiFi-60 WAN1 DMZ FortiGate-100 External DMZ 2 FortiGate-100A External DMZ FortiGate-200 External DMZ 2 FortiGate-200A External DMZ/HA FortiGate-300 External Port 3 FortiGate-300A Port 4 Port 3 FortiGate-400 Port 4/HA Port 3 FortiGate-400A Port 4 HA FortiGate-500 Port 1 Port 3 FortiGate-500A Port 4 HA FortiGate-800 et
FortiGate-800F Port 1 Port 3 FortiGate-1000A et
FortiGate-1000AFA2 Port 4 Port 3 FortiGate-3000 Port 4/HA Port 4 FortiGate-3600 Port 5/HA External FortiGate-4000 oobm Port 9 FortiGate-5001 et
FortiGate-5001FA2 Port 10 Port 5 FortiGate-5002FB2 Port 6
Les ports 9 et 10 connectent les équipements FortiGate-5001 et FortiGate-
5001FA2 via le fond de panier du châssis FortiGate série 5000. Ces interfaces sontuniquement utilisées pour le trafic heartbeat HA.
118 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Adresses IP des interfaces de heartbeat
Il n’est pas nécessaire d’affecter des adresses IP aux interfaces de heartbeat pour e
resse IP
st conseillé d’isoler chaque interface de eartbeat sur son propre réseau. Les paquets heartbeat contiennent des
érable
t à l’aide d’un câble croisé.
T/Route, dresse IP n’altère en rien le trafic
heartbeat.
terface à votre réseau et activer à
artitionnement de domaines virtuels
ie du le cluster
Généralement, les domaines virtuels sont distribués de manière égale entre les deux clusters virtuels et les priorités configurées de manière à distribuer le trafic identiquement entre les membres du cluster. Pour plus d’informations, voir « Exemple de configuration d’un clustering virtuel » à la page 139 et « Administration de clusters virtuels » à la page 141.
que celles-ci soient en mesure de traiter les paquets heartbeat. Le cluster affectdes adresses IP virtuelles aux interfaces de heartbeat traitant le trafic. L’adaffectée à l’interface de heartbeat du membre primaire est 10.0.0.1 et l’adresse IPaffectée à l’interface de heartbeat du membre subordonné est 10.0.0.2. Un troisième membre du cluster aura comme adresse IP 10.0.0.3 etc. Pour garantir de meilleurs résultats, il ehinformations importantes sur la configuration du cluster. Par ailleurs, ils peuvent utiliser un montant considérable de la bande passante et il est dès lors préfd’isoler ce trafic des réseaux destinés à vos utilisateurs. L’utilisation de la bandepassante par les paquets heartbeat pourrait également réduire la capacité de l’interface à traiter le trafic du réseau. Dans la plupart des modèles FortiGate, si vous ne modifiez pas la configuration del’interface de heartbeat, vous isoleriez les interfaces heartbeat de tous les membres du cluster en les connectant au même commutateur. Si le cluster est composé de deux membres, vous pouvez connecter les interfaces de heartbeat directemen Le heartbeat HA et le trafic de données sont supportés par la même interface du cluster. Si vous décidez d’utiliser les interfaces de heartbeat pour traiter le trafic du réseau ou pour une connexion administrative, vous pouvez, en mode NAaffecter n’importe quelle adresse à l’interface. L’a
En mode Transparent, vous pouvez connecter l’inl’accès administratif. Vous pourriez alors établir une connexion administrativel’interface via l’adresse IP d’administration du mode Transparent. Cette configuration n’altère en rien le trafic heartbeat.
P
Lors de la configuration d’un clustering virtuel, vous pouvez sélectionner les domaines virtuels qui feront partie du cluster virtuel 1 et ceux qui feront partcluster virtuel 2. Le domaine virtuel root doit toujours se trouver dans virtuel 1.
Guide d’Administration FortiGate Version 3.0 119 01-30001-0203-20060424
Liste des membres d’un cluster
Les statuts des membres FortiGate d’un cluster en opération sont visibles dans la liste des membres du cluster. Cette liste permet également de :
• visualiser et modifier la configuration HA du cluster
• visualiser et modifier la priorité des membres individuels du cluster ( voir « Modification du nom d’hôte et de la priorité d’un membre subordonné » à la page 123)
• déconnecter un membre de son cluster (voir « Déconnecter un membre de son cluster » à la page 136 et « Administration de clusters virtuels » à la page 141)
Voir le boîtier FortiGate High Availability Guide - Guide des fonctions de haute disponibilité FortiGate pour obtenir des exemples de procédures HA et de configurations détaillées. Pour afficher la liste des membres du cluster, sélectionnez Système > Configuration > HA. Illustration 51 : Exemple d’une liste des membres d’un cluster pour un FortiGate-5001
Liste des membres d’un cluster virtuel
Dans le cas où les domaines virtuels sont activés, le statut des clusters virtuels en opération est visible dans la liste des membres du cluster. La liste des membres du cluster virtuel reprend le statut des deux clusters virtuels y compris les domaines virtuels ajoutés à chaque cluster virtuel. Pour afficher la liste des membres du cluster virtuel d’un cluster opérationnel, connectez-vous en tant qu’administrateur admin et sélectionnez Configuration Globale, ensuite Système > Configuration > HA.
120 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 52 : Exemple d’une liste de membres d’un cluster virtuel pour un FortiGate-5001
Les flèches haut et bas nt de modifier l’ordre dans lequel apparaissent les
u
temps depuis lequel le membre est en fonction (up
hôte
odifier le nom d’hôte du membre primaire, lection
membre bordo
Rôle
le membre primaire (ou
Priorité de l’équipement ter. Chaque membre peut avoir e prior
Déconnexion du cluster
Permettemembres du cluster. Cela n’affecte pas le fonctionnement dcluster et de ses membres. Seul l’ordre d’apparition est modifié.
Membre du cluster Illustrations des panneaux avant des membres du cluster. Si leport réseau d’une interface apparaît en vert, cela signifie quel’interface est connectée. Maintenez le curseur de la souris surchaque illustration pour visualiser le nom d’hôte, le numéro desérie et letime). La liste des interfaces sous surveillance est également affichée.
Nom d’ Le nom d’hôte du FortiGate.
• Pour msé nez Système > Statut et cliquez sur Changer à côtedu nom d’hôte actuel.
• Pour modifier le nom d’hôte d’unsu nné, cliquez sur l’icône Editer du membre subordonné.
Le statut ou le rôle du membre dans le cluster.
• Le rôle est MASTER pour maître)
• Le rôle est SLAVE pour tous les membres subordonnés (ou redondants) du cluster
La priorité du membre du clusun ité différente. Durant la négociation HA, le membreavec la priorité la plus haute devient le membre primaire. L’intervalle de la priorité est de 0 à 255. La priorité par défaut est 128.
Déconnecte le membre du cluster. Voir « Déconnexion d’un membre du cluster » à la page 136.
Guide d’Administration FortiGate Version 3.0 121 01-30001-0203-20060424
Editer Sélectionnez Editer pour modifier la configuration d’un medu cluster HA.
• Pour le membre primaire, cliquez
mbre
sur l’icône Editer pour modifier la configuration du membre primaire et du cluster HA. Voir « Options HA » à la page 114.
irtuel 1 et cluster virtuel 2.
d’hôte et de la priorité d’un membre
uel, cliquez sur l’icône Editer pour modifier son nom d’hôte. Vous pouvez également modifier la priorité du membre subordonné dans le cluster virtuel sélectionné. Définir une priorité plus haute peut avoir pour effet de faire passer le rôle du membre de subordonné à primaire dans le cluster virtuel.
Télécharger un journal Télécharger un journal de déboguage crypté dans un fichier. de déboguage Vous pouvez ensuite l’envoyer au Service Technique de
Fortinet qui vous aidera à diagnostiquer les problèmes éventuels rencontrés sur votre FortiGate.
Visualisation des statistiques HA
Sélectionnez Visualiser les statistiques HA dans la liste des membres du cluster pour afficher le numéro de série, le statut et les informations sur la surveillance
our chaque membre du cluster.
tistiqet cliquez sur Visualiser le
Illustration 53 : Exemple de r un cluster actif-passif)
• Pour un membre primaire d’un cluster virtuel, cliquez sur l’icône Editer pour modifier la configuration du cluster virtuel HA et pour modifier la priorité du membre dans les cluster v
• Pour un membre subordonné, cliquez sur l’icône Editer pour modifier le nom d’hôte et la priorité. Voir « Modification du nomsubordonné » à la page 123.
• Pour un membre subordonné d’un cluster virt
p Pour visualiser les sta ues HA, sélectionnez Système > Configuration > HA
s Statistiques HA.
statistiques HA (pou
Entrez l’intervalle de temps souha
Rafraîchir toutes les ité entre deux mises à jour
Back to HA monitor es
des statistiques par l’interface graphique du FortiGate.
Ferme la liste des statistiques HA et retourne à la liste dmembres du cluster.
122 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
N° de série Le numéro de série vous permet d’identifier chaque Fortdans le cluster. L’ID du cluster corresp
iGate ond au numéro de série
Statut membre du cluster. Une marque Une s à
Actif depuis s et secondes depuis le
Monitor les statuts du système pour
Taux CPU membre du cluster. L’interface d’administration web affiche le taux CPU des
es processus S à l’interface
mémoire des processus d’administration (tels que les eb) est
ation en cours de
Paquets totaux Le nombre de paquets traités par le membre du cluster depuis son dernier redémarrage.
Virus détectés Le nombre de virus détectés par le membre du cluster.
Utilisation réseau Le total de la bande passante du réseau utilisée par toutes les interfaces du membre du cluster.
Total d’octets Le nombre d’octets traités par le membre du cluster depuis son dernier redémarrage.
Intrusion détectées Le nombre d’intrusions ou d’attaques détectées par l’IPS en fonction sur le membre du cluster.
Modification du nom d’hôte et de la priorité d’un membre subordonné
Vous pouvez modifier le nom d’hôte et la priorité de n’importe quel membre subordonné d’un cluster en fonction à partir de la liste des membres du cluster. La modification de la priorité d’un des membres du cluster entraîne une renégociation au sein du cluster. Pour modifier un nom d’hôte ou une priorité d’un membre subordonné, sélectionnez Système > Configuration > HA et cliquez sur l’icône Editer d’un membre subordonné dans la liste des membres du cluster.
du FortiGate.
Indique le statut de chaqueen V verte indique un fonctionnement normal du cluster.croix rouge signifie que le membre du cluster n’arrive pacommuniquer avec le membre primaire.
Le temps en jours, heures, minutedernier redémarrage du système.
Affiche les informations surchaque membre du cluster.
Le statut CPU en cours de chaque
processus majeurs uniquement. Le taux CPU dd’administration (tels que les connexions HTTPd’administration web) est exclu.
Taux Mémoire Le statut du taux mémoire en cours de chaque membre du cluster. L’interface d’administration web affiche le taux mémoire des processus majeurs uniquement. Le taux
connexions HTTPS à l’interface d’administration wexclu.
Sessions actives Le nombre de sessions de communictraitement par le membre du cluster.
Guide d’Administration FortiGate Version 3.0 123 01-30001-0203-20060424
Illustration 54 : Modification du nom d’hôte ou de la priorité d’un membre subordonné
Affiche et permet de modifier le nom
Paire d’hôte du membre
Priorité t permet de modifier la priorité du membre subordonné.
La priorité n’est pas synchronisée parmi les membres du cluster. Dans un cluster en fonction vous modifiez la priorité d’un équipement pour modifier la priorité de chaque membre du
bre du
Configuration d’u
rtiGate. La configuration d’opérations
que
s ortiGate est suffisamment mètres de départ variés.
es décrivent la , les procédures sont
identiques pour un cluster opérant en mode Transparent. Vous pouvez passer en ès la
nel).
subordonné.
Affiche e
cluster. A chaque modification de la priorité d’un memcluster, le cluster renégocie et le membre avec la priorité la plus élevée devient le membre primaire.
La plage de priorité s’étend de 0 à 255. La priorité par défaut est de 128.
n cluster HA
Les procédures suivantes portent sur la configuration d’un cluster haute disponibilité de deux ou plusieurs boîtiers FoHA y est détaillée pour chacun des équipements FortiGate. On y explique également comment connecter les FortiGate entre eux pour former un cluster. Une fois le cluster connecté, il se configure de la même façon qu’un équipement FortiGate autonome. Pour la configuration de clusters virtuels, voir « Configuration d’un clustering virtuel » à la page 127. Pour la configuration en maillage intégral HA, voir « Aperçusur le maillage intégral HA » à la page 109. Les procédures reprises dans cette section représentent une séquence de démarches possible parmi plusieurs pour configurer un clustering HA. Une fois vous serez plus expérimenté avec FortiOS HA, rien ne vous empêche d’utiliser une séquence de démarches différente. Par commodité, les procédures suivantes partent du principe que le boîtier FortiGate est configuré avec les paramètres par défaut. Cependant, ceci n’est paune nécessité pour un déploiement HA réussi. La HA Fflexible pour supporter une configuration à partir de para Le mode par défaut étant le mode NAT/Route, les procédurconfiguration d’un cluster opérant en mode routé. Toutefois
mode Transparent, soit avant de commencer les procédures, soit aprconfiguration HA et la connexion du cluster (le cluster étant alors opération
• Configurer un boîtier FortiGate pour opérer en HA
• Connecter un cluster HA FortiGate
• Ajouter un nouveau membre à un cluster opérationnel
124 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configurer un boîtier FortiGate pour opérer en haute
er avec la même configuration ate
onfigurer.
web.
rtiGate » à la page 52. L’utilisation d’un et d’identifier les FortiGate individuellement.
4 Sélectionnez Système > Configuration > HA.
5
6 ur us les membres FortiGate du cluster HA.
7
disponibilité
Chaque membre FortiGate du cluster doit fonctionnHA. La procédure suivante parcourt la configuration de chaque membre FortiGpour opérer en HA. Voir « Options HA » à la page 114 pour plus d’informations sur les options HA reprises dans cette procédure.
1 Mettre le boîtier FortiGate sous tension pour le c
2 Connectez-vous à l’interface d’administration
3 Eventuellement vous pouvez donner au boîtier FortiGate un nom d’hôte. Voir « Modification du nom d’hôte d’un boîtier Fonom d’hôte perm
Définissez le mode actif-passif ou actif-actif.
Entrez un mot de passe pour le cluster. Ce mot de passe doit être le même poto
Cliquez sur OK.
Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour étab
lir un cluster HA. Après avoir cliqué sur OK, ue pendant un moment car le cluster
MAC des interfaces FortiGate (voir connecter
plus rapidement, vous pouvez mettre à jour le tableau ARP de votre PC
ire à arp –d.
8
9 Répétez cette procédure pour tous les membres FortiGate du cluster.
ter HA FortiGate
ère en s membres du cluster
ntre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être
le
la connexion du FortiGate risque d’être perdHA négocie et le FGCP modifie l’adresse« Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se re
d’administration en effaçant l’entrée du tableau ARP pour votre FortiGate (ou simplement en effaçant toutes les entrées du tableau ARP). Pour ce faire, utilisezla commande CLI simila
Mettre le boîtier FortiGate hors tension.
Une fois tous les membres configurés, rendez-vous à la section « Connecter un cluster HA FortiGate ».
Connecter un clus
Les procédures suivantes parcourent la connexion d’un cluster, qu’il opmode routé ou Transparent. Il est nécessaire de connecter leeconnectées au même concentrateur ou commutateur. Il est ensuite nécessaire de connecter ces interfaces à leurs réseaux en utilisant le même concentrateur oumême commutateur. Pour une meilleure performance, Fortinet recommande l’utilisation de commutateurs pour toutes les connexions du cluster.
Guide d’Administration FortiGate Version 3.0 125 01-30001-0203-20060424
L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire
eau jusqu’à ce que tous les n. La
e quelques
ur
3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
4
des communications réseau puisque de nouvelles connexions physiques sont créées pour diriger le trafic à travers le cluster. Le démarrage du cluster occasionne également une interruption du trafic résmembres du cluster fonctionnent et que le cluster termine la négociationégociation du cluster est automatique et ne dure normalement qusecondes. Pendant le démarrage et la négociation du système, tout le trafic réseau est arrêté.
1 Connectez les interfaces internes de chaque membre du cluster à un commutateou concentrateur connecté à votre réseau interne.
2 Connectez les interfaces externes de chaque membre du cluster à un commutateur ou concentrateur connecté à votre réseau externe.
Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent le fond de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire n’est requise.
ont reprises dans le
s de heartbeat directement à l’aide du câble croi s interfaces de heartbeat, voir « In si que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute disponibilité FortiGate
5 Facultativement, connectez les autres interfaces de chaque membre du cluster à un concentrateur ou commutateur connecté aux réseaux.
L’illustration 55 reprend l’exemple d’une configuration réseau pour un cluster HA comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et externes sont connectées aux réseaux. Les interfaces HA sont connectées pour une communication heartbeat HA.
Illustration 55 : Configuration réseau HA
Les interfaces de heartbeat par défaut de votre FortiGate stableau 6. Au moins une interface de heartbeat devrait être connectée pour que lecluster puisse opérer. Vous pouvez également connecter les interfaces de heartbeat à un réseau. Si le cluster ne comporte que deux membres FortiGate, vous pouvez connecter les interface
sé. Pour davantage d’informations sur leterface de Heartbeat » à la page 117, ain
126 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
6
a ndes.
it d’un seul
1 du cluster.
mode Transparent, faites passer le mode de u membre vers le mode Transparent.
3
4
Configuration d’un clustering virtuel
nfiguration n de
es virtuels.
rocédures reprises dans cette section représentent une séquence de fois
HA, rien ne vous empêche d’utiliser
rincipe que le boîtier faut. Cependant, ceci n’est pas
ent HA réussi. La HA FortiGate est suffisamment flexible pour uration à partir de paramètres de départ variés.
tuel
Connecter un cluster virtuel HA FortiGate
tuels à un cluster HA
• Activer le clustering virtuel
Mettez sous tension tous les membres du cluster.
Lors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner parmi eux un membre primaire et les membres subordonnés. Cette négociationlieu sans intervention de l’utilisateur et ne dure que quelques seco
Vous pouvez maintenant configurer le cluster comme s’il s’agissaéquipement FortiGate.
Ajouter un nouveau membre à un cluster opérationnel
Configurez le nouveau membre du cluster pour opérer en HA avec les mêmesparamètres de configuration que les autres membres
2 Si le cluster fonctionne enfonctionnement du nouvea
Connectez le nouveau membre au cluster.
Mettez le nouveau membre sous tension.
Lors du démarrage du membre, celui-ci négocie son intégration dans le cluster. Après avoir rejoint le cluster, celui-ci synchronise la configuration du nouveau membre avec la configuration du membre primaire.
Les procédures suivantes portent sur la configuration d’un clustering virtuel de deux membres FortiGate. Ces procédures expliquent comment configurer deux
ouveaux membres FortiGate pour un clustering virtuel, y compris la conpour opérer en HA, la connexion des membres, l’activation de la configuratiodomaines virtuels et l’ajout de domaines virtuels à un cluster. Les procédures décrivent également comment configurer un clustering virtuel. Une fois le cluster virtuel opérationnel, vous pouvez configurer le cluster de la même façon qu’un
ortiGate autonome avec des multiples domainF Pour la configuration d’un clustering normal sans domaines virtuels, voir « Configuration d’un cluster HA» à la page 124. Pour la configuration en maillage intégral HA, voir « Aperçu sur le maillage intégral HA » à la page 109. Les pdémarches possible parmi plusieurs pour configurer un clustering virtuel. Uneque vous serez plus expérimenté avec FortiOSune séquence de démarches différente. Par commodité, les procédures suivantes partent du pFortiGate est configuré avec les paramètres par déune nécessité pour un déploiem
supporter une config
• Configurer deux nouveaux membres FortiGate pour un clustering vir
•
• Activer la configuration de domaines virtuels pour un cluster HA
• Ajouter des domaines vir
Guide d’Administration FortiGate Version 3.0 127 01-30001-0203-20060424
Configurer deux nouveaux membres FortiGate pour un clustering virtuel
Cette procédure décrit comment configurer un clustering virtuel commençant avec eux membres FortiGate dont le paramétrage est celui par défaut et qui ne sont
figuration HA identique. La r opérer en
configurer.
ment.
stème > Configuration > HA.
6 ntrez un mot de passe pour le cluster virtuel . Ce mot de passe doit être le même
7
dpas connectés à un réseau. Les deux membres du cluster doivent avoir une conprocédure suivante permet de configurer chaque membre FortiGate pouHA. Voir « Options HA » à la page 114 pour plus d’informations sur les options HA reprises dans cette procédure.
1 Mettez le boîtier FortiGate sous tension pour le
2 Connectez-vous à l’interface d’administration web.
3 Facultativement vous pouvez donner au FortiGate un nom d’hôte. Voir « Modification du nom d’hôte d’un boîtier FortiGate » à la page 52. L’utilisation d’un nom d’hôte permet d’identifier les FortiGate individuelle
4 Sélectionnez Sy
5 Définissez le mode actif-passif. Le mode HA actif-actif n’est pas supporté par un clustering virtuel.
Epour tous les membres FortiGate du cluster virtuel HA.
Cliquez sur OK.
Remarque : Les options HA suivantes peuvent être configurées avec les paramètres par défaut. Vous pourrez toujours les modifier par après, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d’être perdue pendant un moment car le cluster
irtuel » à la page 138). Pour pouvoir se reconnecter plus rapidement, vous pouvez mettre à jour la table ARP de votre PC
Gate (ou simplement en ire, utilisez la commande
8
nsuite
HA négocie et le FGCP modifie l’adresse MAC des interfaces FortiGate (voir « Adresses MAC d’un cluster v
d’administration en effaçant l’entrée ARP de votre Fortieffaçant toutes les entrées de la table ARP). Pour ce faCLI similaire à arp –d.
Répétez cette procédure pour tous les membres FortiGate du cluster virtuel.
Une fois les deux membres configurés, procédez avec la section « Connecter uncluster virtuel HA FortiGate ».
Connecter un cluster virtuel HA FortiGate
Les procédures suivantes parcourent la connexion de deux membres FortiGate pour opérer via un clustering virtuel. Il est nécessaire de connecter les membres ducluster entre eux et à votre réseau. Les interfaces correspondantes du cluster doivent être connectées au même concentrateur ou commutateur. Il est enécessaire de connecter ces interfaces à leurs réseaux en utilisant le même concentrateur ou le même commutateur.
128 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour une meilleure performance, Fortinet recommande l’utilisation de commutateurs pour toutes les connexions du cluster.
émarrage du cluster tous les
ciation. La
1 ster à un commutateur ou concentrateur connecté à votre réseau interne.
2 Connectez les interfaces externes de chaque membre du cluster à un
3 e des interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
4
L’insertion d’un cluster HA dans votre réseau entraîne une interruption temporaire des communications réseau puisque de nouvelles connexions physiques sont créées pour diriger le trafic à travers le cluster. Le doccasionne également une interruption du trafic réseau jusqu’à ce que membres du cluster fonctionnent et que le cluster termine la négonégociation du cluster est automatique et ne dure normalement que quelques secondes. Pendant le démarrage et la négociation du système, tout le trafic réseau est arrêté.
Connectez les interfaces internes de chaque membre du clu
commutateur ou concentrateur connecté à votre réseau externe.
Connectez un
Facultativement, connectez les autres interfaces de heartbeat des membres du cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate série 5000 utilisent de panier d’un châssis FortiGate-5000. Aucune connexion heartbeat HA supplémentaire n’est requise.
le fond
connectée pour que le
ute
5 nectez les autres interfaces de chaque membre du cluster à
ll rtuel el
el
onnecté au domaine virtuel vdom_2. L’exemple comprend les connexions
es ensemble et au réseau Site 1.
Les interfaces du port 6 sont connectées ensemble et au routeur externe.
tées ensemble et au réseau Site 2.
• Les interfaces du port 8 sont connectées ensemble et au routeur externe.
de panier du châssis FortiGate-5000 ne sont pas illustrées.
Les interfaces de heartbeat par défaut de votre FortiGate sont reprises dans le tableau 6. Au moins une interface de heartbeat devrait êtrecluster puisse opérer. Vous pouvez également connecter les interfaces de heartbeat à un réseau. Vous pouvez connecter les interfaces de heartbeat directement à l’aide du câble croisé. Pour davantage d’informations sur les interfaces de heartbeat, voir « Interface de Heartbeat » à la page 117, ainsi que le FortiGate High Availability User Guide - Guide utilisateur des fonctions de hadisponibilité FortiGate.
Facultativement, conun concentrateur ou commutateur connecté aux réseaux.
L’i ustration 56 reprend l’exemple d’une configuration réseau pour un cluster vicomprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtupossède deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans ledomaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuappelé vdom_1. Le Site 1 est connecté au domaine virtuel root et Site 2 est créseaux suivantes :
• Les interfaces du port 5 sont connecté
•
• Les interfaces du port 7 sont connec
Les communications heartbeat HA à travers le fond
Guide d’Administration FortiGate Version 3.0 129 01-30001-0203-20060424
Illustration 56 : Configuration réseau HA
6 Mettez sous tension tous les membres du cluster.
ors du démarrage des membres du cluster, ceux-ci négocient pour sélectionner
ous pouvez maintenant configurer le cluster virtuel comme s’il s’agissait d’un seul
Activer la configuration de domaines virtuels pour un cluster HA
Les procédures suivantes décrivent comment activer la configuration de domaines virtuels pour un cluster virtuel HA. La procédure d’activation de la configuration de domaines virtuels est la même que celle d’un équipement FortiGate autonome.
1 Connectez-vous à l’interface d’administration web en tant qu’administrateur admin.
2 Cliquez sur Configuration Globale.
3 Sélectionnez Système > Admin > Settings (Paramètres).
4 Activer Virtual Domain Configuration.
5 Cliquez sur Appliquer.
Le cluster vous déconnecte. Vous pouvez maintenant vous reconnectez en tant qu’administrateur admin, ajouter des domaines virtuels et configurer le clustering virtuel. Voir « Activation du mode multiple VDOM » à la page 43 pour plus d’informations sur l’activation de domaines virtuels et les changements de l’interface d’administration web après l’activation des domaines virtuels.
Lparmi eux un membre primaire et les membres subordonnés. Cette négociation alieu sans intervention de l’utilisateur et ne dure que quelques secondes.
Véquipement FortiGate.
130 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Ajouter des domaines virtuels à un cluster HA
Ajouter des domaines virtuels à un cluster HA se fait de la même façon que l’ajout de domaines virtuels à un équipement FortiGate autonome.
1 Connectez-vous en tant qu’administrateur admin à l’interface d’administration web du cluster.
Si la configuration de domaines virtuels est activée, la page Virtual Domain Configuration s’ouvre.
2 Cliquez sur Créer Nouveau pour ajouter un domaine virtuel.
3 Entrez un nom pour ce nouveau domaine virtuel et cliquez sur OK.
Vous pouvez ajouter autant de domaines virtuels que nécessaire.
Activer le clustering virtuel
Pour activer un clustering virtuel, il faut précédemment avoir configuré le cluster, activé la configuration de domaines virtuels et ajouté des domaines virtuels. Avant d’avoir activé un clustering virtuel, un cluster de membres FortiGate avec des domaines virtuels activés fonctionne de la même façon qu’un cluster HA standard. Un membre FortiGate du cluster opère comme membre primaire pour tous les domaines virtuels activés. Le cluster opère en mode actif-passif. Dès lors, seul le membre primaire traite le trafic. L’activation du clustering se fait en modifiant la configuration HA de manière à distribuer les domaines virtuels entre les deux clusters virtuels. Ensuite, il faut ajuster les priorités de chaque membre de chaque cluster virtuel. Un des membres peut opérer en tant que membre primaire pour une partie des domaines virtuels, tandis que l’autre membre opère en tant que membre primaire pour l’autre partie. Il en résulte un traitement du trafic distribué entre deux membres du cluster, semblable à une solution en mode actif-actif.
Remarque : Les étapes suivantes ne sont pas requises si vous utilisez le clustering virtuel uniquement comme système de réplication. De cette procédure résulte une distribution du trafic entre les deux membres du cluster dans le cluster virtuel.
1 Connectez-vous en tant qu’administrateur admin à l’interface d’administration web du cluster. La page de Configuration des Domaines Virtuels s’affiche.
2 Cliquez sur Configuration Globale.
3 Sélectionnez Système > Configuration > HA.
La liste des membres du cluster s’affiche reprenant uniquement le Cluster Virtuel 1. Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans le Cluster Virtuel 1.
Guide d’Administration FortiGate Version 3.0 131 01-30001-0203-20060424
Illustration 57 : Exemple d’une liste des membres d’un cluster avec deux domaines virtuels dans le Cluster Virtuel 1
4
5 rtitionnement VDOM, distribuez les domaines virtuels entre les cluster el 2.
,
du cluster. Cependant, vous pouvez distribuez les domaines virtuels comme vous le désirez. La distribution peut par ailleurs être modifiée à tout
6
Le cluster renégocie. Après quelques secondes, la liste des membres du cluster reprend les deux clusters virtuels. Si vous n’avez modifié aucun paramètre de priorité, c’est le même membre qui devient membre primaire (maître) pour les deux domaines virtuels.
Illustration 58 : Exemple d’une liste des membres d’un cluster avec domaines virtuels distribués entre les deux clusters virtuels.
Cliquez sur l’icône Editer du membre primaire (maître) du Cluster Virtuel 1.
Sous le pavirtuel 1 et cluster virtu
Au départ, tous les domaines virtuels sont ajoutés au cluster virtuel 1. En généralla distribution des domaines virtuels entre les deux membres du cluster virtuel se fait de manière à ce que chacun des membres traite la même quantité de trafic réseau. Cela permet d’assurer que le trafic est distribué de manière équivalente entre les membres
moment.
Cliquez sur OK.
Cliquez sur l’icône Editer du membre primaire du cluster virtuel 1 et cluster virt2.
7 uel
132 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Les options HA du clustering virtuel sont affichées. Vous pouvez modifier la priorité du membre primaire dans les deux clusters virtuels.
8 ctez la priorité 200 pour ce membre du cluster dans le cluster virtuel 1 et la
tre valeur de
donné dans le cluster virtuel 2. Illustration 59 : Exemple d’une liste des membres d’un cluster avec domaines virtuels
e les deux clusters virtuels et les priorités modifiées.
Affepriorité 50 dans le cluster virtuel 2. Cliquez ensuite sur OK.
Vous pouvez sélectionner différentes valeurs de priorité. Si aucune aupriorité n’a été modifiée, le membre du cluster sélectionné devient le membre primaire dans le cluster virtuel 1 et le membre subor
distribués entr
’autres paramètres HA des clusters virtuels peuvent être D configurés. Voir
r la
Administration d’
es configurations de tous les membres FortiGate du cluster sont synchronisées
bres
quelle adresse d’interface r un accès administratif SSH.
dministrer le cluster en configurant une des ses interfaces pour un accès administratif SNMP. L’utilisation d’un superviseur SNMP
ns sur la configuration du cluster, ainsi que de cevo ute information sur les listes des champs MIB HA, voir
re tous les changements de
onfiguration et les intègrent aux membres subordonnés.
« Exemple de configuration d’un clustering virtuel » à la page 139 et « Administration de clusters virtuels » à la page 141 pour plus d’informations suconfiguration et l’administration de clusters virtuels.
un cluster
Lafin de permettre aux membres de fonctionner comme un cluster. Grâce à la synchronisation vous administrez le cluster HA au lieu d’administrer les memindividuellement. L’administration se fait en se connectant à l’interface d’administration web en utilisant n’importe quelle adresse d’interface du cluster configurée pour un accès administratif HTTPS. Une autre façon d’administrer le cluster est de se connecter en CLI en utilisant n’importe du cluster configurée pou Vous pouvez également a
vous permet d’obtenir des informatioir des traps. Pour tore
« MIB FortiGate » à la page 156 et « Traps FortiGate » à la page 156. Pour apporter une modification à la configuration du cluster, connectez-vous au cluster et apportez les changements souhaités à la configuration du membrimaire. Le cluster synchronise automatiquement p
c
Guide d’Administration FortiGate Version 3.0 133 01-30001-0203-20060424
Les seuls changements qui ne sont pas synchronisés sont le nom d’hôte et la priorité du HA. Chaque membre du cluster peut avoir un nom d’hôte qui lui estpropre de manière à pouvoir distinguer les membres dans le cluster. Il est aussi possible de les distinguer à partir de leur numéro de série. La priorité peut être modifiée individuellement pour contrôler quel membre du cluster devient le membre primaire. Le rôle du membre dans le cluster s’affiche sur l’écran LCD (pour les FortiGate quen possèdent). La mention primary s’affiche sur l’écran LCD du membre primaire. L
i
es membres subordonnés affichent sur leur écran LCD la mention lave <priority_id> où <priority_id> est la place prioritaire du membre bor
• slave 2 (a-a)
permet de contrôler les statuts et les journaux de ent. Voir « Liste des membres d’un
pour les 134
cluster. La commande CLI execute ha manage
u partir de là, la commande CLI execute ha manage vous
nistrer lus
d’informations. En cas d’utilisation d’un câble null-modem pour vous connecter à ce membre subordonné est
n
Contrôler les membres pour la réplication
ind
1
2
La liste du éro de série du FortiGate dont les journaux son
3 él des membres du cluster dont vous voulez
ration du membre du cluster.
ssu donné dans le cluster. Dans l’exemple d’un cluster composé de trois membres et en mode actif-actif, les écrans afficheront :
• primary (a-a)
• slave 1 (a-a)
L’interface d’administration webchaque membre du cluster individuellemcluster » à la page 120 et « Visualiser et administrer les journauxmembres individuels d’un cluster » à la page Les membres du cluster peuvent être administrés individuellement à l’aide d’une connexion SSH en CLI aupermet de vous connecter en CLI à chaque membre du cluster. L’administration individuelle des membres peut aussi se faire via un câble null-modem connecté amembre primaire. Apermet de vous connecter en CLI à chaque membre du cluster. Voir « Admiindividuellement les membres d’un cluster » à la page 135 pour p
un membre subordonné, seule une connexion en CLI àpossible.
• Visualiser et administrer les journaux pour les membres individuels d’ucluster
•
• Administrer individuellement les membres d’un cluster
Visualiser et administrer les journaux pour les membres ividuels d’un cluster
Connectez-vous au cluster et à l’interface d’administration web.
Sélectionnez Journaux/Alertes > Journal.
Cluster HA reprend le numt affichés.
S ectionnez le numéro de série d’unvoir les journaux.
Vous pouvez voir, chercher et administrer les journaux sauvegardés sur la mémoire, dépendant de la configu
134 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Contrôler les membres pour la réplication
Da s le cas d’une défaillance du membre primaire, les membres du cluster renégocient pour sélectionner un nouveau membre primaire. Une panne du
n
mem suivantes :
e trap HA est
Le nom d’hôte et la priorité du membre primaire changent.
ame master
e fonctionner normalement. Une panne d’un membre subordonné
connexion à un membre min. Ce compte intégré
mbres subordonnés.
1 ligne de commande.
cluster configurée pour un accès
2 ace et d’un point d’interrogation ( ?) :
s pour
3
bre primaire enclenche les étapes
• Si SNMP est activé, le nouveau membre primaire envoie un messag« HA switch ». Ce message signifie que le membre primaire du cluster en panne et a été remplacé par le nouveau membre primaire.
• Le cluster fonctionne avec un nombre réduit de membres. Le membre primaire défaillant n’apparaît plus sur la Liste des Membres du Cluster.
•
• Le nouveau membre primaire enregistre les messages des journaux d’événements suivants :
HA slave becDetected HA member dead
Dans le cas où l’un des membres subordonnés tombe en panne, le cluster continue denclenche les étapes suivantes :
• Le cluster fonctionne avec un nombre réduit de membres. Le membre défaillant n’apparaît plus sur la Liste des Membres du Cluster.
• Le membre primaire enregistre le message du journal d’événement suivant :
Detected HA member dead
uellement les membAdministrer individ res d’un cluster
Cette procédure décrit comment se connecter en CLI au membre primaire et de là, se connecter en CLI aux membres subordonnés. Lasubordonné se fait à partir du compte administrateur ha_advous accorde les droits en lecture et en écriture sur les me
Via SSH, connectez-vous au cluster et à l’interface de
Connectez-vous à n’importe quelle interface du administratif SSH.
Vous pouvez également utiliser un câble null-modem connecté au port console du membre primaire. Pour ce faire, vous devez déjà avoir sélectionné un membre primaire.
ntrez la commande suivante suivie d’un espE
execute ha manage
Le CLI affiche alors une liste de tous les membres subordonnés du cluster. Tous es membres sont numérotés en commençant par 1. Les informations repriselchaque membre comprennent le numéro de série et le nom d’hôte du membre.
Ajoutez à la fin de la commande CLI le numéro du membre subordonné pour vous y connecter. Par exemple, pour vous connecter au membre subordonné 1, entrez la commande suivante : execute ha manage 1
Guide d’Administration FortiGate Version 3.0 135 01-30001-0203-20060424
Appuyez sur la touche Enter pour vous connecter en CLI au membre subordchoisi. L’écran du CLI affiche le nom d’hôte du membre. Les commandes CLI vouspermettent d’administrer ce membre subordonné.
onné
4
r la commande execute ha manage pour vous connecter en CLI à n’importe quel membre subordonné du cluster.
Déconnexion d’un membre du cluster
res suivantes décrivent comment déconnecter un membre d’un cluster n sage,
are-feu autonome.
Les procédures suivantes s’appliquent aussi bien pour les clusters standard que pour les clusters virtuels. Pour ces derniers, vous devez néanmoins être connecté en tant qu’administrateur admin et avoir sélectionné Configuration Globale. Lors de la déconnexion d’un membre, vous devez affecter à une des interfaces de ce membre une adresse IP et un masque de réseau. Le membre primaire peut lui aussi être déconnecté. Dans ce cas, le cluster réagit de la même manière que si le membre primaire était tombé en panne. Il renégocie et sélectionne un nouveau membre primaire.
ne fois le membre déconnecté, celui-ci passe du mode HA à stand alone utonome). De plus, toutes les adresses IP des interfaces sont remises à 0.0.0.0
interface
s paramètres de configuration HA.
1 Sélectionnez Système > C embres
2
r
Pour retourner au CLI du membre primaire, entrez : exit
Vous pouvez utilise
Les procéduopérationnel sans interruption des opérations. Vous pouvez déconnecter uéquipement FortiGate dans le cas où vous en auriez besoin pour un autre utel que par exemple un p
U(aà l’exception de l’ que vous avez configurée. Les autre la configuration restent inchangés, y compris la
Déconnecter un membre de son cluster
onfiguration > HA pour visualiser la liste des mdu cluster.
Cliquez sur l’icône Déconnecter du cluster à côté du membre du cluster à déconnecter. Illustration 60 : Déconnecter un membre de son cluste
Numéro de Série Le numéro de série du membre du cluster à déconnecter.
Interface Sélectionnez l’interface que vous voulez configurer. Vous devez en spécifier l’adresse IP et le masque de réseau. Une
136 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
fois le membre déconnecté, toutes les options d’accès ur cette interface.
mbre déconnecté.
3
cluster et celui-ci peut renégocier et électionner un nouveau membre primaire. L’interface sélectionnée est configurée
é-adjoindre un membre FortiGate déconnecté à un cluster
onnecté au mode HA de ce membre pour qu’il corresponde au mode
té est ré-adjoint en tant que tomatiquement sa configuration.
administratifs sont activées s
IP/Masque de réseau Spécifiez l’adresse IP et le masque de réseau de l’interface. Vous pouvez utiliser cette adresse IP pour vous connecter à cette interface et configurer le me
Cliquez sur OK.
Le membre FortiGate est déconnecté dusavec l’adresse IP et le masque de réseau spécifiés.
R
Il est possible de reconnecter un membre FortiGate précédemment déccluster en définissant leHA du cluster. En général le membre déconnecmembre subordonné et le cluster synchronise au
Remarque : Il n’est pas nécessaire de modifier le mot de passe HA du membre déconnà moins q
ecté ue la HA ait été modifié après la déconnexion. Déconnecter un membre d’un
cluster n’affecte pas le mot de passe HA.
Attention : Assurez-vous que la priorité du membre déconnecpriorité du membre primaire. Si tel n’est pas le cas, lors de la recon
té est bien inférieure à la nexion du membre au
cluster, celui-ci va renégocier et le membre ré-adjoint deviendra le membre primaire. Ceci e la configuration de ce membre à tous les autres membres e perturbation au sein du cluster.
ment
e de rimaire.
1 necté. Si les domaines virtuels sont ateur admin et cliquez sur
2
3
4
5 Affectez une priorité plus basse que la priorité du membre primaire.
6
entraîne une synchronisation ddu cluster et pourrait causer un La procédure suivante part des principes suivants :
• Le boîtier FortiGate déconnecté du cluster est physiquement et correcteconnecté à votre réseau et au hardware du cluster.
• Il n’est pas en train d’opérer en mode HA.
• Il ne fait pas partie du cluster.
Avant de commencer cette procédure, il est conseillé de prendre connaissancla priorité du membre p
Connectez-vous au membre FortiGate déconactivés, connectez-vous en tant qu’administrConfiguration Globale.
Sélectionnez Système > Configuration > HA.
Modifiez le mode pour qu’il corresponde à celui du cluster.
Si nécessaire, modifiez le mot de passe HA pour qu’il corresponde à celui du cluster.
Cliquez sur OK.
Le membre FortiGate déconnecté ré-adjoint le cluster.
Guide d’Administration FortiGate Version 3.0 137 01-30001-0203-20060424
Adresses MAC virtuelles d’un cluster
s des s VLAN se voient affectées de la même
dresse MAC virtuelle que l’interface à laquelle elles ont été ajoutées.
configuration du cluster, le membre primaire soit traite le trafic réseau lui-même, soit équilibre la charge du trafic réseau entre tous les
ère avec l’ID de groupe zéro. Cependant, ans le cas où il y aurait plus d’un cluster FortiGate sur le même réseau, chaque
s n même réseau ourraient causer des
upe à partir du CLI r Availability User
FortiGate.
le suivante :
où
été ajoutée te
e HA et une adresse
t est déterminée par le domaine virtuel
contenant l’interface. Chaque interface des membres FortiGate a un index
n FortiGate-500, opérant en mode HA, dont l’ID groupe HA n’a pas été modifié ivés, aurait les
1
-0f-06-00-02
00-09-0f-06-00-03
Le FGCP affecte une adresse MAC virtuelle différente à toutes les interfacemembres primaires. Les sous-interfacea Le membre primaire envoie des paquets ARP libres pour mettre à jour les commutateurs connectés aux interfaces du cluster avec l’adresse MAC virtuelle. Les commutateurs mettent à jour leurs tables de relayage MAC avec cette adresseMAC. Les commutateurs dirigent alors tout le trafic réseau vers le membre primaire. En fonction de la
membres du cluster.
Modification de l’ID de groupe HA
Dans la plupart des cas, le cluster opdclu ter devrait avoir un ID de groupe différent. Si deux clusters d’uont un ID de groupe identique, des adresses MAC en double pconflits d’adressage sur le réseau. Vous pouvez modifier l’ID groFo tiGate. Pour plus d’informations à ce sujet, voir FortiGate HighGuide - Guide utilisateur des fonctions de haute disponibilité
Méthode de calcul d’une adresse MAC virtuelle
Une adresse MAC virtuelle est déterminée à partir de la formu 00-09-0f-06-<group-id>-<idx>
<group-id> est l’ID groupe HA du cluster <idx> est une combinaison de l’ID du cluster virtuel auquel a l’in rface et l’index de cette interface. L’avant-dernière partie d’une adresse MAC virtuelle dépend de l’ID groupest identique pour chaque interface du cluster. La dernière partie d’MAC virtuelle est différente pour chaque interface du cluster el’index de l’interface et par le cluster virtuel auquel a été ajouté
d’interface différent.
Exemple d’adresses MAC virtuelles
U(par défaut = 0) et dont les domaines virtuels n’ont pas été actadresses MAC virtuelles suivantes :
• MAC virtuelle de l’interface dmz : 00-09-0f-06-00-00
• MAC virtuelle de l’interface externe: 00-09-0f-06-00-0
• MAC virtuelle de l’interface ha: 00-09
• MAC virtuelle de l’interface interne:
• MAC virtuelle de l’interface port1: 00-09-0f-06-00-04
138 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• MAC virtuelle de l’interface port2: 00-09-0f-06-00-05
MAC virtuelle de l’interface port3: • 00-09-0f-06-00-06
f-06-00-0b
Exemple de confi
r simplifier la configuration d’un clustering virtuel. Au lieu de
er une configuration globale HA similaire à la configuration
L A d’un cl el comprend la configuration de partitionnement des domaines virtuelC r Virtuel 1 et Cluster domaines virtuels se fait enclusters virtuels. La priorité chaque cluster virtuel. Par dchacun des clusters virtuels et c’est le FGCP qui sélectionne automatiquement le membre primaire pour chaq Une fois le cluster opération cluster virtuel 1 et 2 pour qupriorité de manière à ce qu’ ster devienne le membre primaire du luster virtuel 1 et que l’autre membre devienne le membre primaire du cluster
pour un
l 1 ster l’équilibrage de charge entre les membres
C une configuratio ple de t son implémentation dans un clu e manière à fic reçu soit traité
• MAC virtuelle de l’interface port4: 00-09-0f-06-00-07
• MAC virtuelle de l’interface port5: 00-09-0f-06-00-08
• MAC virtuelle de l’interface port6: 00-09-0f-06-00-09
• MAC virtuelle de l’interface port7: 00-09-0f-06-00-0a
• MAC virtuelle de l’interface port8: 00-09-0
Un FortiGate-5001, opérant en mode HA, avec domaines virtuels activés, dont l’ID groupe HA a été défini sur 23, les ports 5 et 6 étant dans le vdom root (qui se trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes :
• MAC virtuelle de l’interface port5: 00-09-0f-06-23-05
• MAC virtuelle de l’interface port6: 00-09-0f-06-23-06
• MAC virtuelle de l’interface port7: 00-09-0f-06-23-27
• MAC virtuelle de l’interface port8: 00-09-0f-06-23-28
guration d’un clustering virtuel
Il n’est pas nécessaire de configurer la haute disponibilité séparément pour chaquedomaine virtuel pouela, il suffit de créc
standard HA sans domaines virtuels.
a configuration H ustering virtus entre les deux clusters virtuels (appelés
Virtuel 2). La configuration de partitionnement de distribuant les domaines virtuels entre les deux de chaque membre du cluster doit être définie pour éfaut les deux membres ont la même priorité dans
luste
ue cluster virtuel.
nel, vous pouvez diviser les domaines virtuels entre les’ils distribuent le trafic entre eux. Affectez ensuite la un membre du clu
cvirtuel 2. Etant donné que c’est le membre primaire qui traite tout le traficdomaine virtuel, il en résulte que les deux membres FortiGate du cluster traitent en définitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2 traite tout le trafic pour les domaines virtuels du cluster virtuel 2. A tout moment il est possible de déplacer les domaines virtuels du cluster virtue
u cluster virtuel 2, et ce, pour ajuadu cluster.
ette section décrit n simster virtuel, d
domaine virtuel ece que le tra
Guide d’Administration FortiGate Version 3.0 139 01-30001-0203-20060424
p membres du c configuration d e virtuel est décrite dans le tableau 7. Tableau 7 : Exemple d’une c ion d’un domaine
Domaine Virtuel Description
ar les deux luster. La u domain
onfigurat virtuel
root Comprend les interface . port5 est connecté à un réseau interne appel est connecté à un
e et à Interne du Site 1 est reçu a t envoyé vers Internet
e port6.
s port5 et port6é Site 1. port6
routeur extern t. Tout le trafic par le port5 et tout le trafic
vers lutorisé es
à tra
vdom_1 rend les interfaces po port8. port7 est connecté terne appelé t8 est connecté à un
routeur externe et à Internet. Tout le trafic du Site 2 est reçu par le port7 et tout le trafic autorisé est envoyé vers Internet à travers le port8.
Comp rt 7 et à un réseau in Site 2. por
Ce cluster virtuel comprend deux FortiGate-5001 avec les noms d’hôte FortiGate_A et FortiGate_B. Le clustering virtuel est configuré de manière à ce que tout le trafic reçu par le domaine virtuel root est traité par le boîtier FortiGate_A et tout le trafic reçu par le domaine virtuel vdom_1 est traité par le boîtier FortiGate_B. La configuration du clustering est illustrée dans les tableaux 8 et 9. Le cluster virtuel et la circulation du trafic à travers le cluster est représenté dans l’illustration 61. Tableau 8 : Configuration du Cluster Virtuel 1
Nom d’hôte Domaines Virtuels FortiGate_A FortiGate_B Priorité 200
Priorité 100
root
Rôle Primaire
Rôle Subordonné
Tableau 9 : Configuration du Cluster Virtuel 2
Nom d’hôte Domaines Virtuels FortiGate_A FortiGate_B Priorité 100
Priorité 200
vdom_1
Rôle Subordonné
Rôle Primaire
140 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 61 : Partie d’une configuration d’un clustering virtuel avec deux membres FortiGate-5001
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membredu cluster sont connectées à un commutateur qui est aussi
s connecté au réseau du
ite 1. Les interfaces port6 des deux membres du cluster sont connectées à un
mbres tées à un commutateur qui est aussi connecté au réseau du
ite 2. Les interfaces port8 des deux membres du cluster sont connectées à un
Les clusters virtuels ont été configurés de manière à ce que FortiGate_A soit le maine virtuel root. Dès lors, tout le trafic destiné au reçu et traité par le boîtier FortiGate_A.
Administration de clusters virtuels
configuration et de maintenance disponibles lors d’une connexion à l’interface graphique ou CLI d’un cluster virtuel dépendent du domaine virtuel auquel vous vous connectez et du compte administrateur utilisé. Si vous vous connectez à un cluster en tant qu’administrateur d’un domaine virtuel, vous vous connectez directement à ce domaine virtuel. Le clustering virtuel HA
tant une configuration globale, les administrateurs des domaines virtuels n’ont
Scommutateur qui est aussi connecté au routeur externe et à Internet. Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux medu cluster sont connecScommutateur qui est aussi connecté au routeur externe et à Internet.
membre primaire du dodomaine virtuel root est FortiGate_B est le membre primaire de vdom_1. Dès lors, tout le trafic destiné à vdom_1 est reçu et traité par le boîtier FortiGate_B. Un des avantages d’une telle configuration est l’équilibrage de charge entre les membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de vdom_1. De cette manière la charge de tout le trafic est partagée entre les membres du cluster. Dans le cas où FortiGate_A tombe en panne, FortiGate_B devient le membre primaire des deux clusters virtuels.
Les options de
épas accès aux options de configuration HA. Cependant, ils peuvent voir le nom d’hôte du membre du cluster auquel ils se connectent. Il s’agit du nom d’hôte du membre primaire du domaine virtuel. Ces administrateurs peuvent également sélectionner de visualiser les messages journalisés pour chaque membre du cluster dans Journaux/Alertes > Journal.
Guide d’Administration FortiGate Version 3.0 141 01-30001-0203-20060424
Illustration 62 : Visualisation de messages journalisés d’un domaine virtuel dans un cluster virtuel
Si vous vous connectez à un cluster en tant qu’administrateur admin, vous vous connectez à la page de l’interface graphique Configuration des Domaines Virtuels ou au CLI général. Vous vous connectez également à une interface et au domaine virtuel auquel cette interface a été ajoutée. Le domaine virtuel auquel vous vous connectez ne diffère pas beaucoup quant à ses opérations de configuration etmaintenance. Il existe cependant certaines exceptions. Vous vous connectez au FortiGate qui opère en tant que membre primaire pour le domaine virtuel. Dès lors e nom d’hôte affiché est
de
le nom d’hôte du membre primaire.
dé ge 139 « Exemple de configuration d’un clustering virtuel », si vous o nectez le port5, vous vous connectez au FortiGate_A (FortiGate_A s’affiche
e
du
ant la liste des membres du cluster
l La liste des membres du cluster diffère selon le membre du cluster. Dans l’exemple
rit à la pacnc
dans la barre de titres de l’interface graphique). Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A partir de chaque liste dmembres, vous pouvez sélectionner Editer pour le boîtier FortiGate_A pour modifier la configuration HA du cluster virtuel et définir les priorités du FortiGate_A dans le cluster virtuel 1 et dans le cluster virtuel 2. En sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom d’hôteFortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_B dans le cluster virtuel 2, vous pouvez modifier le nom d’hôte du FortiGate_B, ainsi que la priorité de FortiGate_B dans le cluster virtuel 2. llustration 63 : Exemple d’un cluster virtuel affichIFortiGate_A
Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B s’affiche dans la barre de titre de l’interface graphique). Sélectionnez Configuration Globale et ensuite Système > Configuration > HA. A partir de chaque liste de membres, vous pouvez sélectionner Editer pour le boîtier FortiGate_B pour modifier la configuration HA du cluster virtuel et définir les
142 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
priorités du FortiGate_B dans le cluster virtsélectionnant Editer pour le boîtier FortiGate_A dan
uel 1 et dans le cluster virtuel 2. En s le cluster virtuel 1, vous
e_A
riorité de FortiGate_A dans le cluster virtuel 2.
r
pouvez modifier le nom d’hôte du FortiGate_A, ainsi que la priorité de FortiGatdans le cluster virtuel 1. En sélectionnant Editer pour le boîtier FortiGate_A dans le cluster virtuel 2, vous pouvez modifier le nom d’hôte du FortiGate_A, ainsi que lap Illustration 64 : Exemple d’un cluster virtuel affichant la liste des membres du clusteFortiGate_B
Exemple de confi r
illuclus tiGate-5001. Cette section décrit les paramètres de
ce type de configuration.
démarches pour l’installation rocédures reprises dans cette
ction représentent une séquences de démarches possible parmi plusieurs pour vous serez plus
vous empêche d’utiliser une séquence de démarches différente.
oîtier eci n’est pas
r un cluster opérant en mode AT/Route, puisqu’il s’agit du mode de fonctionnement par défaut. Cependant les
pou mmencement des procédures,
•
• Connexions réseau en maillage intégral
gu ation en maillage intégral HA
L’ stration 65 représente une configuration en maillage intégral HA avec un ter de deux membres For
configuration FortiGate et les composants requis pour Cette section parcourt également des exemples ded’une configuration en maillage intégral HA. Les pseconfigurer une configuration en maillage intégral HA. Une fois que expérimenté avec FortiOS, HA et le maillage intégral HA, rien ne
Par commodité, les procédures suivantes partent du principe que le bFortiGate est configuré avec les paramètres par défaut. Cependant, cune nécessité pour un déploiement HA réussi. La HA FortiGate est suffisamment flexible pour supporter une configuration à partir de paramètres de départ variés.
es procédures décrivent comment configureLNdémarches sont les mêmes pour un cluster opérant en mode Transparent. Vous
vez passer en mode Transparent, soit avec le cosoit après la configuration HA, alors que le cluster déjà connecté est opérationnel.
• Configuration en maillage intégral HA FortiGate-5001
Configuration de commutateurs en maillage intégral
Guide d’Administration FortiGate Version 3.0 143 01-30001-0203-20060424
• Circulation des paquets du réseau interne à travers le cluster en maillage intégral et vers l’Internet
• Configurer les FortiGate-5001 pour opérer en HA
• Ajouter des interfaces redondantes au cluster
• Connecter le cluster à votre réseau
Illustration 65 : Exemple de configuration en maillage intégral HA
Configuration en maillage intégral HA FortiGate-5001
u
mètres suivants :
t
ces port3 et port4 sont ajoutées à une interface redondante. Port3
ion en maillage intégral HA comprend également des interfaces de
dans un châssis
Les deux membres FortiGate-5001 (1 et 2) peuvent opérer en mode NAT/Route oTransparent. En plus des paramètres HA standard, la configuration des FortiGate-
001 comprend les para5
• Les interfaces port9 et port10 sont configurées comme interfaces de heartbeaHA (dans la configuration par défaut).
• Les interfaces port1 et port2 sont ajoutées à une interface redondante. Port1est l’interface physique active de cette interface redondante.
• Les interfaest l’interface physique active de cette interface redondante.
Une configuratheartbeat HA. Lorsque les FortiGate-5001 sont installés
144 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
FortiGate-5020, les interfaces redondantes port9 et port10 de heconnectées via le fond de panier du châssis. Par contre, dans le
artbeat HA sont cas où les
urs optiques au
nts), seau externe. Un lien
4.
ysiques suivantes pour le boîtier FortiGate 1 :
mutateur 1 (actif)
• Port2 au commutateur 2 (inactif)
ster en
boîtier FortiGate 2 suivant, du réseau
1 re
2 port1 du FortiGate 2. (Connexion active entre le
3
4
FortiGate-5001 sont installés dans un châssis FortiGate-5050 ou FortiGate-5140, il est nécessaire d’installer des cartes de commutation FortiSwitch redondantes (par exemple deux FortiGate-5003).
Configuration de commutateurs en maillage intégral
Repris dans l’exemple, deux commutateurs (ou concentrateéquivalents), appelés commutateur 1 et commutateur 2, et connectés au réseinterne. Un lien ISL (interswitch-link) relie les commutateurs 1 et 2. Egalement, deux autres commutateurs (ou concentrateurs optiques équivaleappelés commutateur 3 et commutateur 4, et connectés au réISL (interswitch-link) relie les commutateurs 3 et
Connexions réseau en maillage intégral
Créez les connexions réseau ph
• Port1 au com
• Port3 au commutateur 3 (actif)
• Port4 au commutateur 4 (inactif)
Créez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 :
• Port1 au commutateur 2 (actif)
• Port2 au commutateur 1 (inactif)
• Port3 au commutateur 4 (actif)
• Port4 au commutateur 3 (inactif)
Circulation des paquets du réseau interne à travers le clumaillage intégral et vers l’Internet
Dans le cas où le cluster opère en mode actif-passif et que leest le membre primaire, tous les paquets prennent le chemininterne vers Internet :
Du réseau interne au commutateur 2. (Le commutateur 2 est la connexion active au FortiGate 2, le membre primaire dans notre exemple. C’est donc le membprimaire qui reçoit tous les paquets).
u commutateur 2 à l’interfaceDcommutateur 2 et le boîtier FortiGate 2. Port1 est le membre actif de l’interface redondante).
Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le commutateur 4 et le boîtier FortiGate 2. Port1 est le membre actif de l’interface redondante).
Du commutateur 4 au routeur externe et vers Internet.
Guide d’Administration FortiGate Version 3.0 145 01-30001-0203-20060424
Configurer les FortiGate-5001 pour opérer en HA
Tous les membres FortiGate-5001 du cluster doivent être configurés identiquement la configuration des A » à la page 114
ises dans cette procédure.
ortiSwitch
’un des FortiGate-5001.
6
7
quant à leurs paramètres HA. La procédure suivante parcourt membres FortiGate-5001 pour opérer en HA. Voir « Options Hpour plus d’informations sur les options HA repr
1 Installez les FortiGate-5001, ainsi que les cartes de commutations Fdans le châssis et mettez ensuite le châssis sous tension.
2 Connectez-vous à l’interface d’administration web d
3 Facultativement, vous pouvez donner un nom d’hôte au FortiGate. Voir « Modification du nom d’hôte du FortiGate » à la page 52 . Les noms d’hôte servent à identifier les membres du cluster individuellement.
4 Sélectionnez Système > Configuration > HA.
5 Définissez le mode Actif-Passif ou Actif-Actif.
Entrez un mot de passe pour le cluster. Celui-ci doit être identique pour tous les membres FortiGate du cluster.
Cliquez sur OK.
Remarque : Vous pouvez maintenir la con faut des options HA restantes et
adres
plus rapidement, vous pouvez mettre à ARP de votre PC effaçant l’entrée du
simplement en effaçant toutes les entrla commande CLI similaire à arp –d.
8 ate-5001 du cluster.
rmer un cluster.
is le cluster opérationnel, vous pouvez lui ajouter des interfaces redondantes vant d’intégrer d’additionnelles modifications de configuration. Vous ne pouvez
s options de dans d’autres
ort2 à une interface ation par défaut, il
si que port2 de la
s endant la apes de la
c vous pouvez utiliser configurer une
figuration par déles modifier plus tard, une fois le cluster opérationnel.
Le boîtier FortiGate négocie pour établir un cluster HA. Après avoir cliqué sur OK, la connexion du FortiGate risque d’être perdue pendant un moment car le cluster HA négocie et le FGCP modifie l’ se MAC des interfaces FortiGate (voir « Adresses MAC d’un cluster virtuel» à la page 138). Pour pouvoir se reconnecter
jour le tableaud’administration en tableau ARP pour votre FortiGate (ou
ées du tableau ARP). Pour ce faire, utilisez
Répétez cette procédure pour l’autre membre FortiG
Les membres FortiGate-5001 négocient pour fo
Ajouter des interfaces redondantes au cluster
ne foUapas ajouter des interfaces physiques à une interface redondante si les interfaces physiques ont été configurées avec une adresse IP (ou d’autreconfiguration d’interface) ou encore si celles-ci sont comprises paramètres de configuration.
Les procédures suivantes décrivent comment ajouter port1 et predondante et port3 et port4 à une autre. A partir de la configurest nécessaire de supprimer les adresses IP de port1 et port2, ainroute par défaut. La procédure suivante ne rentre pas dans les détails et n’expliquepa comment maintenir une connexion à l’interface graphique pdémarche ci-dessous. Il y a plusieurs façons d’accomplir les étpro édure et cela dépend de votre configuration. Par exemple,une connexion console à l’interface de ligne de commande pour
146 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
interface différente (par exemple port5) avec une adresse IP et un accès
ster.
3
4
5
6 Supprimez la route par défaut, ainsi que toutes les routes éventuellement ajoutées us pouvez également éditer des routes statiques nom d’interface différent.
7
8
tionnez le mode d’adressage requis pour votre réseau et ajoutez un IP/Masque de réseau
9 Nom
Type Redondante
Mode d’A ressage Sélectionnez le mode d’adressage requis pour eau
Co
inte ge 144
1
port1 du FortiGate-5001 au commutateur 1.
t3 du FortiGate-5001 au commutateur 3.
• Connectez le port4 du FortiGate-5001 au commutateur 4.
2 Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 2 :
• Connectez le port1 du FortiGate-5001 au commutateur 2.
• Connectez le port2 du FortiGate-5001 au commutateur 1.
• Connectez le port3 du FortiGate-5001 au commutateur 4.
administratif.
1 Connectez-vous à l’interface d’administration web du clu
2 Sélectionnez Système > Réseau > Interface.
Editer le port1 et affectez lui l’IP/Masque de réseau 0.0.0.0/0.0.0.0
Editer le port2 et affectez lui l’IP/Masque de réseau 0.0.0.0/0.0.0.0
Sélectionnez Routeur > Static > Route Statique.
aux port1, port2, port3 et port4. Vopour configurer le dispositif sur un
Sélectionnez Système > Réseau > Interface.
Cliquez sur Créer Nouveau et ajoutez la première interface redondante. Nom R_Int_1_2
Type Interface Redondante
Membres de l’interface physique Ajouter port1 et port2 à la liste des Interfaces Sélectionnées.
Mode d’Adressage Sélec
si nécessaire.
Cliquez sur Créer Nouveau et ajoutez la deuxième interface redondante. R_Int_3_4
Interface
Membres de l’interface physique Ajouter port3 et port4 à la liste des Interfaces Sélectionnées.
dvotre réseau et ajoutez un IP/Masque de réssi nécessaire.
nnecter le cluster à votre réseau
La procédure suivante permet de connecter le cluster de deux membres FortiGate-5001 à une configuration en maillage intégral HA. Elle décrit les connexions des
rfaces des FortiGate 1 et 2 tels que représentées dans l’illustration 65 à la pa.
Etablissez les connexions réseau physiques suivantes pour le boîtier FortiGate 1 :
• Connectez le
• Connectez le port2 du FortiGate-5001 au commutateur 2.
• Connectez le por
Guide d’Administration FortiGate Version 3.0 147 01-30001-0203-20060424
• Connectez le port4 du FortiGate-5001 au commutateur 3.
mmutateurs 1 et 2 au réseau interne.
4
5
présent terminée. Vous te
Maillage intégral
ntégral HA d’un clustering virtuel consiste en une expansion du maillage tégral HA à chaque domaine virtuel du cluster.
HA
t et vous pouvez jouter un domaine virtuel appelé vdom_1.
ondante R_Int_1_2 comprenant les interfaces physiques port1 et ondants eux-
mêmes connectés à un réseau interne.
• Interface redondante R_Int_3_4 comprenant les interfaces physiques port3 et port4. R_Int_3_4 peut être connectée à des commutateurs redondants eux-mêmes connectés à Internet.
Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes :
• Interface redondante R_Int_5_6 comprenant les interfaces physiques port5 et port5. R_Int_5_6 peut être connectée à des commutateurs redondants eux-mêmes connectés à un réseau interne.
• Interface redondante R_Int_7_8 comprenant les interfaces physiques port7 et port8. R_Int_7_8 peut être connectée à des commutateurs redondants eux-mêmes connectés à Internet.
Les domaines virtuels supportent des configurations mixtes maillage intégral et HA classique. Par exemple, vous pouvez configurer en maillage intégral HA le
e
3 Connectez les co
Connectez les commutateurs 3 et 4 au routeur externe.
Activez la communication ESL entre les commutateurs 1 et 2 et entre les commutateurs 3 et 4.
a configuration en maillage intégral HA de base est à Lpouvez configurer le cluster de la même manière qu’un équipement FortiGaautonome. Vous pouvez mettre le cluster en service et modifier les paramètres HA de la même manière qu’un cluster HA standard.
HA pour clustering virtuel
Les FortiGate-800 et plus supportent la configuration en maillage intégral HA pour les clusters FortiGate opérant en tant que cluster virtuel. La configuration en maillage iin Par exemple, un cluster de deux FortiGate-5001 peut opérer comme un cluster dont les domaines virtuels et le clustering virtuel sont activés. Le cluster peut être configuré avec deux domaines virtuels : le domaine virtuel rooa Le domaine virtuel root peut comprendre les interfaces suivantes :
Interface red•port2. R_Int_1_2 peut être connectée à des commutateurs red
domaine virtuel root et procéder à une configuration HA classique pour le domainvirtuel vdom_1.
Remarque : Les interfaces physiques ajoutées à une interface redondante doivent être ajoutées au même domaine virtuel que l’interface redondante avant même d’être ajoutél’interface redondante.
es à
148 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
HA et interfaces r
formations sur l’ajout d’interfaces redondantes, voir
lphabétique. Dès lors, dans l’exemple où l’interface redondante comprend les port1 et port2, l’interface
.
par exemple comprendre deux au et
de
e.
e commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le
edondantes
Sur les modèles FortiGate-800 et plus, vous pouvez utiliser des interfaces redondantes pour combiner deux ou plusieurs interfaces en une seule interface edondante. Pour plus d’inr
« Création d’une interface redondante » à la page 67. L’adresse MAC de l’interface redondante est celle de la première interface répertoriée dans la liste des interfaces ajoutées à la configuration de l’interface redondante. La liste de ces interfaces apparaît dans l’ordre a
redondante apparaît seule sur le réseau avec l’adresse MAC du port1 Un cluster HA avec une interface redondante peutboîtiers FortiGate-800 opérant en mode HA et installés entre un serveur réseInternet. La connexion entre le cluster et le serveur réseau consiste en une connexionl’interface redondante vers port1 et port2 des boîtiers FortiGate-800 dans le cluster. L’interface redondante est configurée comme une interface HA contrôléLe commutateur est également connecté au serveur réseau. Le cluster est connecté à Internet via une connexion gigabyte à un commutateur. Lcluster. Illustration 66 : Exemple d’un cluster avec une interface redondante
Surveillance de l’interface HA, réplication de lien et interfaces redondantes
ce HA contrôle l’interface redondante comme une s
en panne. Si seules certaines de ces interfaces hysiques sont en panne ou déconnectées, la haute disponibilité considère
La surveillance de l’interfainterface unique et ne contrôle donc pas les interfaces physiques individuelledans l’interface redondante. Cette surveillance enregistre une défaillance de l’interface redondante uniquement si toutes les interfaces physiques de cette interface redondante sontpl’interface redondante comme opérant normalement.
Guide d’Administration FortiGate Version 3.0 149 01-30001-0203-20060424
Adresses MAC HA et interfaces redondantes
Dans le cas d’un boîtier FortiGate autonome, une interface redondante possède
HA, la haute disponibilité modifie les adresses MAC des interfaces u cluster en adresses MAC virtuelles. Une interface redondante dans un cluster
que
L’HA affecte les mêmes adresses MAC virtuelles aux interfaces du membre subordonné qu’aux interfaces correspondantes du membre primaire. Prenons
f
e multiples interfaces redondantes au même commutateur si vous le
face redondante unique 4-ports (parce que les mêmes adresses MAC sont utilisées par
(port1 et e subordonné) à la même
tif-actif, tous les membres du cluster reçoivent et envoient des paquets. Pour créer un cluster avec interfaces redondantes en mode actif-actif,
s connectées au même commutateur, vous s de chaque membre du cluster en
HA et interfaces a
l’adresse MAC de la première interface physique dans la configuration de l’interface redondante. Une interface redondante comprenant port1 et port2 aurait l’adresse MAC de port1. Dans un cluster dobtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface physiqui apparaît dans la configuration de l’interface redondante.
onnexion de multiples interfaces redondantes à un Ccommutateur en mode HA actif-passif
l’exemple d’un cluster composé de deux FortiGate opérant en mode actif-passiavec une interface redondante comprenant des port1 et port2. Vous pouvez connecter dconfigurez de manière à ce qu’il définisse de multiples interfaces redondantes séparées et mettent les interfaces redondantes de chaque membre du cluster dans des interfaces redondantes séparées. Avec une telle configuration, chaque membre du cluster forme une interface redondante séparée avec le commutateur. Cependant, si le commutateur est configuré avec une configuration d’inter
les deux membres du cluster), le commutateur ajoute les quatre interfaces port2 du membre primaire et port1 et port2 du membrinterface redondante. Pour éviter des résultats imprévisibles, lors de la connexion du commutateur à des interfaces redondantes dans un cluster actif-passif, il est conseillé de configurer des interfaces redondantes séparées sur le commutateur, une pour chaque membre du cluster.
Connexion de multiples interfaces redondantes à un commutateur en mode HA actif-actif
Dans un cluster ac
avec de multiples interfaces redondantedevez séparer les interfaces redondanteinterfaces redondantes différentes sur le commutateur connecté.
grégées 802.3ad
Sur les modèles FortiGate-800 et plus, vous pouvez utiliser une agrégation 802.3ad pour combiner deux ou plusieurs interfaces en une interface agrégée unique. A propos des agrégations 802.3ad, voir « Création d’une interface agrégée802.3ad » à la page 66. Une interface agrégée acquiert son adresse MAC de la première interface de la liste des interfaces ajoutées à l’agrégation. Les interfaces sont répertoriées dans la configuration agrégée par ordre alphabétique. Ainsi, par exemple, si une
150 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
agrégation comprend les port1 et port2, l’interface agrégée apparaît sur le réseau
s deux membres FortiGate-800 sont connectés à Internet ia une connexion gigabyte à un commutateur. Le commutateur se connecte au
n serveur réseau est connecté à un commutateur via deux connexions 100
00 du le.
comme une interface unique avec l’adresse MAC du port1. Un cluster HA avec une interface agrégée peut comprendre deux FortiGate-800 opérant en mode HA. Cevport4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont pas configurés. UMbit/s. Le commutateur utilise des connexions d’agrégation de liens (2 x 100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-8cluster. L’interface agrégée est configurée comme une interface HA sous contrô Illustration 67 : Exemple d’un cluster avec interfaces agrégées
Surveillance d’interface HA, réplication de lien et agrégat802.3ad
ion
.
ace agrégée uniquement si toutes les interfaces physiques de cette interface agrégée sont en panne. Si seules
nes de ces interfaces physiques sont en panne ou déconnectées, la haute dère l’interface agrégée comme opérant normalement.
es MAC HA et agrégation 802.3ad
le Link Aggregate Control Protocol (LACP), soit passif ou actif, ce protocole est négocié par delà toutes les interfaces de toute agrégation. Dans le cas d’un boîtier FortiGate autonome, l’implémentation du LACP FortiGate utilise l’adresse MAC de la première interface physique dans la configuration de l’agrégation pour identifier uniquement cette agrégation. Une interface agrégée comprenant port1 et port2 aurait l’adresse MAC de port1. Dans un cluster HA, la haute disponibilité modifie les adresses MAC des interfaces du cluster en adresses MAC virtuelles. Une interface agrégée dans un cluster obtient l’adresse MAC virtuelle qu’aurait dû obtenir la première interface de l’agrégation.
La surveillance de l’interface HA contrôle l’interface agrégée comme une interfaceunique et ne contrôle pas les interfaces physiques individuelles dans l’agrégationCette surveillance enregistre une défaillance de l’interf
certaidisponibilité consi
Adress
Si une configuration agrégée lien utilise
Guide d’Administration FortiGate Version 3.0 151 01-30001-0203-20060424
Mode HA actif-passif et LACP
La haute disponibilité affecte les mêmes adresses MAC virtuelles aux interfaces du membre subordonné que celles affectées aux interfaces correspondantes du membre primaire. Prenons l’exemple d’un cluster de deux FortiGate opérant en mode actif-passif avec une interface agrégée comportant les port1 et port2. Vous pouvez connecter de multiples interfaces agrégées au même commutateur si vous le configurez de manière à ce qu’il définisse des agrégations séparées. Le commutateur place ensuite les interfaces de chaque membre du cluster dans des agrégations séparées. Avec une telle configuration, chaque membre du cluster forme une agrégation séparée avec le commutateur. Cependant si le commutateur est configuré avec un agrégation unique de quatre ports et puisque les mêmes adresses MAC sont utilisées par les deux membres du cluster, le commutateur ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du membre subordonné) à la même agrégation.
ela engendre des problèmes puisque le commutateur distribue le trafic à travers e l’agréga e reçu par une
embre primaire et nectée au membre
Pour empêcher ce problème, lor exion du commutateur aux interfaces
n cluster en mode aagrégations séparées sur le com
z malgré tout ajouteagrégation, vous pouvez empêc yer ou
s paquets LACP en
subordonné ne participe pas à l’agrégationné devient le n à
envoyer et recevoir des paquets lacp-ha-slave est activée par défaut. Voir le plus
ur le mot-clé lac
SNMP Vous po configurer l’agent SNMP F es rapports sur les inf du système et eévénements) aux superviseurs S vous pouve der aux traps et don e FortiGate ou sous-interface VLA MP. L’impl ion FortiGate SNM re uniquement. Les super es SNMP roits en lecture des in r contrôle le FortiGate et recevoir les traps FortiGate, vous devez compiler les MIB privées Fortinet ainsi que les MIB standard
r SNMP.
Cles quatre interfaces d tion. Ainsi, le trafic pourrait êtrinterface du m renvoyé par une interface consubordonné.
s de la connagrégées d’u ctif-passif, vous devriez configurer des
mutateur ; un pour chaque membre du cluster. Si vous deve r les deux membres FortiGate à la même
her le membre subordonné d’envod’accepter de définissant le mot-clé CLI config system interface lacp-ha-slave sur disable. De cette manière, le membre
on. En cas de réplication, lorsque le membre subord ouveau membre primaire, ce dernier commence
LACP et rejoint l’agrégation. La commande FortiGate CLI Reference pour
d’informations s p-ha-slave.
uvez ortiGate pour transmettre dormations nvoyer des traps (alarmes et messages sur les
NMP. A l’aide de l’un de ces superviseurs, z accé nées SNMP à partir de n’importe quelle interfac
N configurée pour un accès administratif SN
émentat P est autorisée en lectuviseurs compatibl v1 et v2c ne possèdent que les dformations sur le système FortiGate et reçoivent des traps FortiGate. Pou
r les informations sur système
supportées par votre superviseu
Le support des RFC intègre le support de la majorité des informations de la RFC 2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus d’informations, voir « MIB FortiGate » à la page 156).
152 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration SN
our configurer l’agent SNMP, sélectionnez Système > Configuration > SNMP
lustration 68 : Configuration SNMP
MP
Pv1/v2c.
Il
ctiver SNMP Active l’agent SNMP FortiGate.
EFo 5 ca
Localisation ECette information ne doit pas dépasser 35 caractères.
Contact Ere tion ne
Appliquer E on, la u contact.
Créer Nou Clcoco
Communautés Lacotro
Nom Le
Requêtes Le P de chaque communauté S
Traps LeSNMP. Ce statut peut être activé ou désactivé.
r A
Icône Supprimer S
Icône Editer/Visualiser PS
A
Description ntrez une information descriptive à propos du rtiGate. Cette information ne doit pas dépasser 3ractères.
ntrez la localisation physique du boîtier FortiGate.
ntrez les informations de contact de la personne sponsable de ce boîtier FortiGate. Cette informa doit pas dépasser 35 caractères.
nregistre les modifications apportées à la descripti localisation et a
veau iquez sur Créer Nouveau pour ajouter une nouvelle mmunauté SNMP. Voir « Configuration d’une mmunauté SNMP » à la page 154.
liste des communautés SNMP ajoutées à la nfiguration FortiGate. Vous pouvez ajouter jusqu’à is communautés.
nom de la communauté.
statut des requêtes SNMNMP. Ce statut peut être activé ou désactivé.
statut des traps SNMP de chaque communauté
Active ctive une communauté.
upprime une communauté SNMP.
ermet de modifier ou visualiser une communauté NMP.
Guide d’Administration FortiGate Version 3.0 153 01-30001-0203-20060424
Configuration d’une communauté SNMP
NMP est un reseaux. La cr
superviseurs SNMP de se connec e connaissance des informations su et pour recevoir des traps SNMP. Vous pouvez créer jusqu’à trois communautés. Chacune d’entre elles peut être
que communauté ents du boîtier
mmunautés SNMP (partie 1)
Une communauté S groupement d’équipements dans un objectif d’administration de ré éation de communautés permet aux
ter à l’équipement FortiGate pour prendrr le système
configurée différemment pour les requêtes et traps SNMP. Chapeut être configurée pour contrôler différents types d’événemFortiGate. Vous pouvez également ajouter jusqu’à 8 adresses IP de superviseurs SNMP à chaque communauté. Illustration 69 : Options pour les co
Illustration 70 : Options pour les communautés SNMP (partie 2)
Communauté Entrez un nom d’identification de la communauté.
Serveur SNMP Entrez l’adresse IP et identifiez les superviseurs SNMP qui peuvent utiliser les paramètres de cette communauté SNMP pour surveiller l’équipement FortiGate.
154 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Adresse IP
Interface
Ajouter uvelle ligne dans la liste Serveur SNMP. Il est possible d’ajouter jusqu’à 8 superviseurs SNMP à une communauté.
Requêtes Entrez le numéro du port (161 par défaut) utilisé par ur les
oîtier er pour activer les
requêtes de chaque version SNMP.
t 162 par défaut pour chacun) que le boîtier FortiGate utilise pour envoyer des traps SNMP v1 et SNMP v2c vers les superviseurs SNMP de cette communauté. Cochez les cases Activer pour activer les traps pour chaque version SNMP.
Evénements SNMP Cochez les cases Activer des événements SNMP dont les traps doivent être envoyés aux superviseurs SNMP de cette communauté par le boîtier FortiGate.
Configurer une interface pour un accès SNMP
Afin de permettre les connexions d’un superviseur SNMP à distance à un agent FortiGate, il est nécessaire de configurer une ou plusieurs interfaces SNMP pour accepter les connexions SNMP.
1 Sélectionnez Système > Réseau > Interface.
2 Cliquez sur l’icône Editer d’une interface à laquelle se connecte un superviseur SNMP.
3 Dans la section Administration, cochez la case SNMP.
4 Cliquez sur OK.
Configurer un accès SNMP en mode Transparent
1 Sélectionnez Système > Configuration > Operation Mode.
2 Entrez l’adresse IP utilisée pour l’accès administratif et le masque de réseau dans le champ IP/Masque de réseau de gestion.
3 Cliquez sur Appliquer.
Entrez l’adresse IP d’un superviseur SNMP qui peututiliser les paramètres de la communauté pour surveiller l’équipement FortiGate. Vous pouvez également définir l’adresse IP sur 0.0.0.0 pour que tout superviseur SNMP puisse utiliser cette communauté.
Facultativement, sélectionnez le nom de l’interface que ce superviseur SNMP utilise pour se connecter àl’équipement FortiGate. Cette démarche est nécessaire que si le superviseur SNMP n’est pas sur le même sous-réseau que l’équipement FortiGate. C’est le cas par exemple d’un superviseur passant par Internet ou placé derrière un routeur.
Supprimer Cliquez sur l’icône supprimer du superviseur que vous désirez supprimer.
Créer une no
les superviseurs de cette communauté porequêtes SNMP v1 et SNMP v2c pour recevoir des informations sur la configuration de la part du bFortiGate. Cochez les cases Activ
Traps Entrez les numéros de ports local et distant (por
Guide d’Administration FortiGate Version 3.0 155 01-30001-0203-20060424
V figurer une ou terfaces dans votre VDOM pour accepter l’accès SNMP.
MIB FortiGate
’agent SNMP FortiGate supporte les MIB privées FortiGate, ainsi que les MIB Le support RFC comprend un support pour
l RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB I t à la config L , ainsi que les deux MIB RFC sont répertoriées dans le tableau 1 rs MIB sont disp e Fortinet. Pour pouvoir c c l’agent SNMP, vous devez compiler toutes ces MIB dans votre s Il est proba e votre supe d et privées dans une base de do d’ajouter les MIB privées Fortstandard utilisées par l’agent s l n’est pa T te
Nom de ficher MIB ou RFC
ous devez con plusieurs in
Lstandard des RFC 1213 et RFC 2665.es parties de laI) qui s’appliquen uration du FortiGate.
es MIB FortiGate0. Ces fichie onibles au Support Techniquommuniquer aveuperviseur SNMP.
ble qu rviseur SNMP contiennent déjà des MIB standarnnées prête à l’emploi. Il est cependant nécessaireinet à cette base de données. Dans le cas où les MIB SNMP Fortinet sont déjà compilées dans votre
uperviseur SNMP, i s nécessaire de les recompiler.
ableau 10 : MIB FortiGaDescription
fortinet.3.00.mib La MIB privée Fortinet comprend des informations détaillées a configuration du système et sur les traps. Votre
NMP requiert ces informations pour surveiller rtiGate et recevoir les oir « Traps FortiGate »
ci-dessous et « Champs MIB Fortinet » à la page 158.
sur lsuperviseur Sles paramètres de configuration Fotraps de l’agent SNMP FortiGate. V
RFC-1213 (MIB II) upes MIB II avec les exceptions suivantes : • Pas de support pour le groupe EGP de MIB II (RFC
1213, section 3.11 et .10). stiques sur le protocole renvoyées pour les
CMP/TCP/UDP/etc.) ne capturent ute l’activité du trafic FortiGate. Des
informations plus précises peuvent être obtenue par ortées par la MIB Fortinet.
L’agent SNMP FortiGate supporte les gro
• Les statigroupes MIB II (IP/Ipas précisément to
les informations repRFC-2665 (MIB type Ethernet)
L’agent SNMP FortiGate supporte les informations MIB type Ethernet à l’exception de :
e support pour les groupes dot3Tests et rs.
• Pas ddot3Erro
Traps FortiGate
’agent FortiGate peut envoyer des traps aux superviseurs SNMP des es traps ne peut se faire qu’après avoir
c ilé la MIB Fort e superviseur SNMP. T mprennent lboîtier Fo
Lcommunautés SNMP. La réception dhargé et comp inet 3.0 sur l
ous les traps cortiGate.
e message trap ainsi que le numéro de série du
156 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Tableau 11 : Traps FortiGate génériques Message trap Description ColdStart WarmStart
Traps standard tels que décrits dans la RFC 1215.
LinkUp LinkDown
T ème Foableau 12 : Traps Syst rtiGate
Description Message trap CPU usage high
pCpuHigh) Le taux CPU dépasse 90%.
(fnTraMemory low Le taux mémoire dépasse 90% (fnTrapMemLow) Interface IP change (fnTrapIfChange)
Modification d’une adresse IP sur une interface FortiGate. Le message trap comprend le nom de l’interface, la nouvelle adresse IP et le numéro de série du boîtier FortiGate. Vous pouvez utiliser ce trap pour trouver les modifications d’adresse IP des interfaces dont les adresses
iques sont définies via DHCP ou PPPoE. IP dynam(fnFMTrapIfChange) message. L’interface change d’IP. Envoyé Pas de
uniquement pour contrôler le FortiManager. (fnFMTrapConfChange)
ger connecté. Tout changement apporté au FortiGate, à l’exception des changements apportés par un FortiMana
T ps VPN ableau 13 : Tra FortiGate
Message trap Description VPN tunnel is up ec commence. (fnTrapVpnTunUp)
Un tunnel VPN IPS
VPN tunnel dow(fnTrapVpnTunD
n own)
Un tunnel VPN IPSec se ferme.
T IPS Fableau 14 : Traps ortiGate
Message trap Description IPS Anomaly (fnTrapIpsAnomaly)
Anomalie IPS détectée.
IPS Signature (fnTrapIpsSignature)
Signature IPS détectée.
T raps antivableau 15 : T irus FortiGate
Message trap Description Virus detected (fnTrapAvEvent)
Le boîtier FortiGate détecte un virus et le supprime du fichier infecté du téléchargement HTTP ou FTP ou du message email.
Tableau 16 : Traps logging FortiGate
Message trap n DescriptioLog full (fnTrapLogFull)
nq
un m asse 90%.
Sur un équipeme t FortiGate muni d’un disque dur, l’utilisation du disFortiGate non m
ue dépasse 90%. Sur un équipement ni d’un disque dur, l’utilisation de la
émoire dépjournalisation e
Guide d’Administration FortiGate Version 3.0 157 01-30001-0203-20060424
T bleau 17 : Traps HA FMessage trap Description a ortiGate
HA switch (fnTrapHaSwitch)
maremplacé par un n Le membre pri ire d’un cluster tombe en panne et est
ouveau membre primaire.
Tableau 18 : Traps FortiBridge
Message trap Description FortiBridge detects fail Un équipe(fnTrapBridge)
ment FortiBridge détecte une panne d’un ent FortiGate. équipem
Champs MIB Fortinet
Les MIB Fortinet comprennent des champs co atuts courants du système FortiGate. Les sous ré MIB et leur description. Des us détasont disponibles en compil fortinetSNMP et en parcourant les champs MIB Fortin
ableau 19 : Champs MIBion
ncernant les sttableaux ci-des pertorient les noms des champsinformations pl
ant le fichier illées sur les champs MIB Fortinet .3.00.mib sur votre superviseur et.
T du système Champ MIB DescriptfnSysModel Le numéro du modèle boîtier FortiGate, par exemple 400 pour un
FortiGate-400. fnSysSerial Le numéro de série de l’équipement FortiGate. fnSysVersion r l’équipement FortiGate. La version du microcode installé sufnSysVersionAv a base de
ortiGate. La version de ll’équipement F
connaissance antivirus installée sur
fnSysVersionNids a base de ortiGate.
La version de l connaissance des attaques installée surl’équipement F
fnSysHaMode n cours (sLe mode HA e tand alone, A-A, A-P). fnSysOpMode Le mode de fonctionnement en cours (NAT ou Transparent). fnSysCpuUsage Le taux CPU (en pourcentage). fnSysMemUsage Le taux d’utilisation de la mémoire (en Mbit). fnSysSesCount Le compteur de sessions IP en cours. fnSysDiskCapacity La capacité du disque dur (Mbit). fnSysDiskUsage L’usage en cours du disque dur (Mbit).
Tableau 20 : Champs MI
Champ MIB B HA Description
fnHaSchedule Horaire pour l’équilibrage de charge en mode A-A. Statistiques pour les membres individuels FortiGate d’un cluster HA. fn bre dans le HaStatsIndex Le numéro de l’index du mem
cluster. fn e. HaStatsSerial Le numéro de série du membre FortiGatfn embre FortiGate (%). HaStatsCpuUsage Le taux CPU du mfn moire du membre HaStatsMemUsage Le taux usage de la mé
FortiGate. fnHaStatsNetUsage L’utilisation réseau en cours (Kbit/s). fnHaStatsSesCount Le nombre de sessions actives.
fnHaStatsTable
fnHaStatsPktCount Le nombre de paquets traités.
158 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
fnHaStatsByteCount Le nombre d’octets traités par le membre FortiGate.
fnHaStatsIdsCount Le nombre d’attaques détectées par l’IPS les dernières 20 heures.
fnHaStatsAvCount Le nombre de virus détectés par l’antivirus les dernières 20 heures.
T mptes A
Champ MIB Description ableau 21 : Co dministrateurs
fnAdminNumber Le nombre d’administrateurs sur l’équipement FortiGate. Le tableau des administrateurs. fnAdminIndex Le numéro de l’index du compte
administrateur. fnAdminName Le nom du compte administrateur. fnAdminAddr au de
compte administrateur peut être utilisé.
Une adresse d’un hôte ou sous-réseconfiance à partir duquel ce
fnAdminTable
Mask Le masque de réseau de fnAdminAddr. fnAdmin T sateurs
Dableau 22 : Utili locaux Champ MIB escription fnUserNumber L ’équipement
Fe nombre de comptes utilisateurs locaux sur lortiGate.
Le tableau des utilisateurs locaux. f pte de
fnUserTable nUserIndex Le numéro de l’index du com
l’utilisateur local. f al. nUserName Le nom du compte de l’utilisateur locfnUserAuth Le type d’authentification pour l’utilisateur
local : local – un mot de passe sauvegardé sur
ent FortiGate. asse
serveur RADIUS. ui
r
de passe sauvegardé sur un .
l’équipemradius-single – un mot de psauvegardé sur unradius-multiple – tous les utilisateurs qpeuvent s’authentifier sur un serveuRADIUS peuvent se connecter. ldap – un mot serveur LDAP
fnU al : activé ou serState Etat de l’utilisateur locdésactivé.
Tableau 23 : Options
Champ MIB Description fnOptIdleTimeout La période d’inactivité en minutes après laquelle un
administrateur doit se réauthentifier. fnOptAuthTimeout La période d’inactivité en minutes après laquelle un utilisateur
doit se réauthentifier avec un pare-feu. fnOptLanguage La langue de l’interface d’administration web. fnOptLcdProtection Dans le cas où un PIN LCD a été envoyé.
Guide d’Administration FortiGate Version 3.0 159 01-30001-0203-20060424
Tableau 24 : Journalisation Champ MIB Description fnLogOption Les préférences en matière de journalisation.
Tableau 25 : Messages personnalisés
Champ MIB Description fnMessages Le nombre de messages personnalisés sur l’équipement
FortiGate. Tableau 26 : Domaines virtuels
Champ MIB Description fnVdNumber Le nombre de domaines virtuels sur l’équipement FortiGate.
Tableau des domaines virtuels fnVdTable fnVdIndex Le num
interne éro de l’index du domaine virtuel sur l’équipement FortiGate.
fnVdName Le nom du domaine virtuel. Tablea tives
escription u 27 : Sessions IP ac
Champ MIB DfnIpSessIndex Le session IP active. numéro de l’index de lafnIpSessProto Le ro p tocole IP (TCP, UDP, ICMP, etc.) de la session. fnIpSessFromAddr L’ read sse IP source de la session IP active. fnIpSessFromPort Le or session IP active. p t source de lafnIpSessToPort L’ re sion IP active. ad sse IP de destination de la sesfnIpSessToAddr Le or tive. p t de destination de la session IP acfnIpSessExp Le m te ps d’expiration en secondes pour la session.
Tableau 28 : VPN dialup
Champ MIB esD cription fnVpnDialupIndex dex du dialup VPN paire. L’infnVpnDialupGateway relle. L’adresse IP distante de la passefnVpnDialupLifetime La durée de fonctionnement en secondes du tunnel VPN. fnVpnDialupTimeout Le squ’au prochain échange de clé (en temps restant ju
secondes). fnVpnDialupSrcBegin L’adresse du sous-réseau distant. fnVpnDialupSrcEnd Le masque du sous-réseau distant. fnVpnDialupDstAddr aL’ dresse du sous-réseau local.
160 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Messages de remplacement Sélectionnez Système > Configuration > Messages de Remplacement pour modifier les messages de remplacement et personnaliser les emails et informations sur les alertes que le boîtier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et sessions FTP. L’équipement FortiGate adjoint des messages de remplacement à plusieurs types de flux de contenu. Par exemple, si un virus est trouvé dans un email, le fichier contaminé est supprimé de l’email et remplacé par un message de remplacement. Cette procédure s’applique également aux pages Internet bloquées par un filtrage web et aux emails bloqués par un filtrage antispam.
Liste des messages de remplacement Illustration 71 : Liste des messages de remplacement
N L
blm
•
•
•
•
•
• catégories du filtrage
•
V
• rture de la session pour une authentification
• authentification de
•
•
om e type de message de remplacement. Cliquez sur le triangleeu pour afficher la catégorie. Vous pouvez modifier les essages adjoints aux
emails dont les pièces jointes sont infectées par un virus
pages web (http)
sessions ftp
messages de mails d’alertes
email smtp bloqués comme spam
pages web bloquées par une des web
sessions de messagerie instantanée et peer-to-peer
ous pouvez également modifier
la page d’ouvede l’utilisateur
les messages d’informations d’l’utilisateur (certains modèles)
la page d’ignorance du filtrage web FortiGuard
la page d’ouverture de session pour VPN SSL
Guide d’Administration FortiGate Version 3.0 161 01-30001-0203-20060424
Description Dd’ aque message de re
Icône Visualiser/Editer Sre
Modification des m remplacIl e d’un
escription du type de message de remplacement. L’interface administration web décrit l’endroit où chmplacement est utilisé par le boîtier FortiGate.
électionnez pour éditer ou visualiser un message de mplacement.
essages de ement message de remplacement d’un virus HTTP lustration 72 : Exempl
L de remplaceHTML. Vous pouvez ajouter de s messages HTML. De plus, les messages de remplacement peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs reçoivent le message de
en rapport avec le message.
nt
lises de messages de remplacement Balise Description
es messages ment s’écrivent sous forme de texte ou de messages un co HTML à de
remplacement, la balise est remplacée par un contenu
Le tableau 29 répertorie les balises des messages de remplacement qui peuveêtre adjointes. Tableau 29 : Ba
%%CATEGORY%% Le nom de la catégorie de contenu du site web. %%CRI ement critique d’alerte.
le message il d’alerte.
TICAL_EVENT%% Ajouté aux messages email d’évén%%CRITICAL_EVENT%% est remplacée pard’événement critique qui a enclenché l’ema
%%DEST_IP%% e un virus a
nvoyé l’email contaminé. Dans le cas b qui a
L’adresse IP de la destination à partir de laquell d’email, il s’agit de l’adresse IP du été reçu. Dans le cas
serveur email qui a ede HTTP, il s’agit de l’adresse IP de la page weenvoyé le virus.
%%EMAIL_FROM expéditeur du message duquel le %% L’adresse email de l’fichier a été supprimé.
%%EMAIL_TO% uel le a été supprimé.
L’adresse email du destinataire à l’attention duqmessage du fichier
%% E lux de contenu. us ou qui a été
FIL %% Le nom du fichier ayant été supprimé d’un fIl peut s’agir d’un fichier qui contenait un virbloqué par un antivirus. %%FILE%% peut être utilisé dans les messages de blocage de virus et fichiers.
162 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
%%FORTIGU DAR _WF%% Le logo FortiGuard – Filtrage Web. %%FORTINET%% go Fortinet. Le lo%%HTTP_ERR_CODE%% Le code erreur HTTP. Par exemple « 404 ». %%HTTP_ERR_DESC%% La description de l’erreur HTTP. %%NIDSVEVENT%% %%NIDS_EVENT%%
Le message de l’attaque IPS. %%NIDSEVENT%% est aaux messages email d’intrusions d’alerte.
jouté
%%OVERRIDE%% Le lien vers le formulaire d’ignorance du filtrage web FortiGuard. Visible uniquement par les utilisateurs qui appartiennent à un groupe qui a la permission de créer des
age web FortiGuard. ignorances de filtr%%OVRD_FORM%% Le formulaire d’ignorance du filtrage web F
balise doit être présente dans le formulaortiGuard. Cette
ire d’ignorance du filtrage web FortiGuard et ne doit pas être utilisée dans les autres messages de remplacement.
%%PROTOCOL%% Le protocole (http, ftp, pop3, imap ou smtp) dans virus a été détecté. est ajouté au
lequel le %%PROTOCOL%% x
sages des virus des emails d’alertes. mes%%QUARFILENAME%% Le nom d’un fichier qui a été supprimé d’un flux de contenu
et placé en quarantaine. Il peut s’agir d’un fichier qui nt un virus ou a été bloqué par un antivirus.
peut être utilisé dans les messages
disque local.
contie%%QUARFILENAME%%de blocage de virus et fichier. La mise en quarantaine n’est possible que sur les équipements FortiGate équipé d’un
%%SERVICE%% Le nom du service de filtrage web. %%SOURCE_IP%% L’adresse IP du destinataire qui aurait dû recevoir le fichier
.
bloqué. Dans le cas d’email, il s’agit de l’adresse IP de l’ordinateur de l’utilisateur qui a tenté de télécharger le message à partir duquel le fichier a été retiré
%%URL%% L’URL d’une page web. Il pbloquée par un filtre de con
eut s’agir d’une page web tenu web ou un blocage d’URL.
%%URL%% peut aussi être utilisé dans les messages des virus http et de blocage de fichier pour être l’URL de la page à partir de laquelle un utilisateur a tenté de télécharger un fichier qui a été bloqué.
%%VIRUS%% Le nom du virus trouvé dans un fichier par le système antivirus. %%VIRUS%% peut être utilisé dans les messages virus.
Modification de la page de connexion et d’authentification
Les utilisateurs voient s’afficher une page d’authentification lorsqu’ils utilisent un VPN ou une règle pare-feu qui nécessitent une authentification. Vous pouvez personnaliser cette page de la même manière que vous avez modifié d’autres messages de remplacement. Cependant il existe quelques exigences particulières :
• La page de connexion doit être une page HTLM contenant un formulaire avec ACTION= « / » et METHOD= « POST »
• Le formulaire doit contenir les contrôles cachés suivants :
• <INPUT TYPE="hidden" NAME="%%MAGICID%%"
VALUE="%%MAGICVAL%%">
Guide d’Administration FortiGate Version 3.0 163 01-30001-0203-20060424
• <INPUT TYPE="hidden" NAME="%%STATEID%%"
VALUE="%%STATEVAL%%">
• <INPUT TYPE="hidden" NAME="%%REDIRID%%"
VALUE="%%PROTURI%%">
• Le formulaire doit contenir les contrôles visibles suivants :
<INPUT TYPE="password" NAME="%%PASSWORDID%%"
Exemp
Ci-d épond aux exigences énoncées ci-dessus.
ation</TITLE></HEAD> e this service.</H4>
<FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH>Username:</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH>Password:</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML>
Modification de la page d’ignorance du filtrage web FortiGuard
La balise %%OVRD_FORM%% fournit le formulaire utilisé pour initier une ignorance dans le cas où le filtrage web FortiGuard bloque l’accès à une page web. Ne pas retirer cette balise du message de remplacement.
• <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25>
• size=25>
le
essous un exemple d’une page d’authentification simple qui r
<HTML><HEAD><TITLE>Firewall Authentic<BODY><H4>You must authenticate to us
164 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Modification du message de connexion VPN SSL
Le message de connexion VPN SSL présente une page web à partir de laquelle les utilisateurs se connectent au portail web VPN SSL. La page est reliée au boîtieFortiGate et vous devez l’éditer en respectant les exigences suivantes.
• La page de connexion doit être une page HTML contenant un formulaire avec
r
ACTION="%%SSL_ACT%%" et METHOD="%%SSL_METHOD%%"
Modification de la page d’information d’authentification
’ouvre
ir des règles pare-
feu » à la page 234. Il est conseillé de ne modifier que le texte de l’autorisation et non pas le code HTML du formulaire.
• Le formulaire doit contenir la balise %%SSL_LOGIN%% pour fournir le formulaire de connexion.
• Le formulaire doit contenir la balise %%SSL_HIDDEN%%.
La page d’information d’authentification, disponible sur certains modèles, spar un texte sur l’usage de règles que l’utilisateur doit accepter avant que l’accès au FortiGate ne lui soit permis. L’autorisation s’active dans une règle pare-feu. Vo« Autorisation de l’authentification de l’utilisateur » dans « Options
Guide d’Administration FortiGate Version 3.0 165 01-30001-0203-20060424
Mode de fonctionnement des VDOM et accès administratif
sse IP de l’interface est utilisée pour l’accès administratif. eule adresse IP
d’administration qui s’applique à toutes les interfaces du VDOM qui permettent un accès administratif. L’équipement FortiGate utilise également cette adresse IP pour se connecter au FDN pour la mise à jour de virus et d’attaques (voir « Centre FortiGuard» à la page 183.) Un administrateur régulier peut uniquement accéder au VDOM auquel il appartient. L’ordinateur d’administration doit être connecté à une des interfaces de ce VDOM. L’administrateur admin peut accéder à tous les VDOM, peu importe le VDOM auquel appartient l’interface. Dans les deux cas, l’ordinateur d’administration doit
nt l’adresse IP oit se trouver sur le même réseau.
dCependant, permettre unecompromettre la sécurité de l’équip ment FortiGate. Ceci est donc à éviter à moins
exige Gate lors d’une administration à
nterface via HTTPS ou SSH.
• maintenir la valeur par défaut (5 minutes) du timeout d’inactivité du système (voir « Paramètres » à la page 178 ).
Modification du mode de fonctionnement
Vous pouvez définir un mode de fonctionnement (aussi appelé mode d’opération) pour votre domaine virtuel et accomplir des configurations réseau suffisantes pour assurer une connexion à l’interface d’administration web dans ce nouveau mode.
Passer du mode NAT/ Route au mode Transparent
1 Sélectionnez Système > Configuration > Operation Mode ou cliquez sur Changer à côté de Mode de Fonctionnement sur la page des Statuts du Système pour le domaine virtuel.
2 Sélectionnez Transparent dans la liste Mode d’Opération.
Vous pouvez configurer un accès administratif pour chaque interface de votre VDOM. Voir « Contrôler l’accès administratif d’une interface » à la page 74 . En mode NAT/Route, l’adreEn mode Transparent, vous devez configurer une s
se connecter à une interface qui permette l’accès administratif et dod Vous pouvez autoriser l’a ministration à distance de l’équipement FortiGate.
administration à distance via l’Internet pourrait e
que la configuration l’ . Pour améliorer la sécurité de l’équipement Forti distance, il est fortement conseillé de :
• utiliser des mots de passe utilisateurs administratifs sécurisés.
• modifier régulièrement ces mots de passe.
• activer un accès administratif sécurisé à cette i
3 Entrez les informations suivantes et cliquez ensuite sur Appliquer.
166 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
IP/Netmask de gestion Entrez l’adresse IP et le masque de réseau d’administration. Il e pour le réseau à partir
r l’équipement FortiGate.
requise pour atteindre d’autres
1 e
2 électionnez NAT dans la liste Mode d’Opération.
doit s’agir d’une adresse IP validduquel vous voulez administre
Passerelle par défaut Entrez la passerelle par défautréseaux à partir du boîtier FortiGate.
Passer du mode Transparent au mode NAT/Route
Sélectionnez Système > Configuration > Operation Mode ou cliquez sur Changer à côté de Mode de Fonctionnement sur la page des Statuts du Systèmpour le domaine virtuel.
S
3 Entrez
les informations suivantes et cliquez ensuite sur Appliquer.
IP/Netmask de l’interface Entrez une adresse IP et un masque de réseau valides pour le u à partir duquel vous voulez administrer l’équipement ate.
Interface (ou Device) Sélectionnez dans la liste l’interface pour laquelle les paramètres IP/masque de réseau s’appliquent.
re d’autres
réseaFortiG
Passerelle par défaut Entrez la passerelle par défaut requise pour atteindréseaux à partir du boîtier FortiGate.
Interface de la passerelle Sélectionnez dans la liste l’interface à laquelle la passerelle (ou Gateway Device) par défaut est connectée.
Guide d’Administration FortiGate Version 3.0 167 01-30001-0203-20060424
Administration du Système
eb ou de l’interface s
p
Cette section couvre les sujets suivants :
• Administrateurs
• Profils d’administration
• FortiManager
• Contrôle des administrateurs
Administra
• Un administrateur rég
r défaut
Un compte administrateuron profil d’administration. Dans le cas où des domaines virtuels
sont activés, l’administrateur régulier est affecté à l’un de ces VDOM et ne peut nfiguration d’un autre s et spécifiques aux
omaine virtuel » à la page 41 et ge 42.
dministrateurs réguliers aux VDOM
is il est
min n’a pas de mot de passe.
sur us pouvez
auvegarder tous les comptes administrateurs sur un serveur RADIUS, à
Cette section décrit comment configurer des comptes administrateurs sur votre équipement FortiGate. Les administrateurs accèdent au boîtier FortiGate pour configurer son fonctionnement. L’équipement possède, par défaut, un administrateur : admin. A partir de l’interface d’administration wde ligne de commande, vous pouvez configurer des administrateursu plémentaires avec des niveaux variés d’accès aux différentes parties de la configuration de l’équipement FortiGate.
• Paramètres
teurs Il existe deux types de comptes administrateurs :
ulier
• Un compte pa , admin
régulier a accès aux options de configuration
déterminées par s
pas accéder aux options de la configuration globale ni à la coVDOM. Pour plus d’informations à propos des options globaleVDOM, voir « Paramètres de configuration d’un d« Paramètres de la configuration globale» à la pa Le compte administrateur par défaut, l’admin, a accès à la totalité de la configuration du boîtier FortiGate. De plus, il peut:
• activer la configuration VDOM
• créer des VDOM
• configurer des VDOM
• affecter des a
• configurer des options globales
Le compte admin n’ayant pas de profil d’administration, on ne sait pas en limiter ses droits. Il est par ailleurs impossible de supprimer le compte admin, mapossible de le renommer, de lui définir des hôtes de confiance et d’en modifier le mot de passe. Par défaut, l’ad
Vous pouvez authentifier un administrateur par un mot de passe sauvegardéun boîtier FortiGate ou sur un serveur RADIUS. Facultativement, vos
168 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
l’exception du compte admin par défaut. Les comptes RADIUS étant sur le même serveur RADIUS partagent le même profil d’administration.
Configuration de l’authentification RADIUS d
us prévoyez d’utiliser un serveu s administrateurs e VDOM, vous devez con
comptes administrateurs. Pour ce
• configurer l’accès au serveur R
er un groupe d’utilisateurs d
océdures suivantes prévoienRADIUS sur votre réseau avec les e passe de vos administrateurs. Pour plus d’informations sur la configuration d’un serveur RADIUS, reportez-vous à la documentation de votre serveur
Configurer un boîtier FortiGate pour accéder au serveur RADIUS
1 teur > RADIU
2 Cliquez sur Créer Nouveau.
3 vantes : Nom Entrez u rveur RADIUS. Vous utilisez ce nom
lorsque vous créez le groupe utilisateur.
Nom / adresse IP Le nom de domaine ou l’adresse IP du serveur RADIUS.
Secret Le secret du serveur RADIUS. L’administrateur du serveur mation.
2 Cliquez sur Créer Nouveau.
3 Dans le champ Nom, tapez un nom pour le groupe d’administrateurs.
les, sélectionnez le nom du serveur RADIUS.
5 Cliquez sur la flèche verte droite pour déplacer le nom vers la liste Membres.
6 Sélectionnez un profil de protection dans la liste.
7 Cliquez sur OK.
Visualisation de la liste des administrateurs
A partir du compte admin ou d’un compte qui possède les droits en lecture et en écriture des utilisateurs admin, vous pouvez créer de nouveaux comptes administrateurs et contrôler leurs niveaux de permission. Sélectionnez Système > Admin > Administrateurs. A moins que vous soyez l’administrateur admin, la liste des administrateurs n’affiche que les administrateurs pour le domaine virtuel en cours.
es administrateurs
Si vo r RADIUS pour authentifier ledans votr figurer l’authentification avant de créer des
faire, vous avez besoin de :
ADIUS sur le boîtier FortiGate
• cré ont le serveur RADIUS est le seul membre
Les pr t que vous ayez déjà configuré un serveur
noms et mots d
RADIUS.
Sélectionnez Utilisa S.
Entrez les informations suin nom pour le se
RADIUS peut vous fournir cette infor
4 Cliquez sur OK.
Créer le groupe d’utilisateurs d’administration
1 Sélectionnez Utilisateur > Groupe utilisateur.
4 Dans la liste Utilisateurs Disponib
Guide d’Administration FortiGate Version 3.0 169 01-30001-0203-20060424
Illustration 73 : Liste des Administrateurs
Créer Nouveau Permet d’ajouter un compte administrateur.
Nom Le nom du compte administrateur.
Poste IP L’adresse IP et le masque de réseau d’hôtes de confiance à partir desquels l’administrateur peut se connecter. Pour plus d’informations, voir « Utilisation d’hôtes de confiance » à la page 173.
rofil Le profil d’administration pour l’administrateur.
ype Le type d’authentification pour cet administrateur. Cela peut être :
Local – un mot de passe local
rte ser eur RADIUS.
pression
aliser
Icône Changer le mot de paur.
Modifier le mot de passe d’un administrateur
1 Sélectionnez Système > Admin > Administrateurs.
2 Cliquez sur l’icône Changer le mot de passe à côté du compte administrateur dont
3 Entrez et confirmez le nou
4 Cliquez sur OK.
Configuration d’un compte administrateur
un nouvel ad u compte dmin ou à partir d’un com
écriture d’utilisateur Admin t cliquez sur Créer Nouveau
PL’administrateur admin par défaut n’a pas de profil.
T
RADIUS – authentification d’un compte spécifique via un serveur RADIUS
RADIUS+Wildcard – authentification de n’impoquel compte via un v
Icône Sup Permet de supprimer le compte administrateur. Le compte administrateur admin ne peut pas être supprimé.
Icône Editer ou Visu Permet d’éditer ou de visualiser le compte administrateur.
sse Permet de modifier le mot de passe du compte administrate
vous voulez modifier le mot de passe.
veau mot de passe.
La création d’ ministrateur nécessite une connexion à partir da pte administrateur possédant les droits en lecture et
. Sélectionnez Système > Admin > Administrateurs e
.
170 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 74 : C on d’un compte administrateur – authentification locale. onfigurati
Illustration 75 : Configuration d’un compte administrateur – authentification RADIUS
Nom de compte Entrez le nom du compte administrateur.
RADIUS Cochez cette case pour authentifier l’administrateur via un serveur RADIUS. L’authentification RADIUS pour administrateurs doit être configurée d’abord. Voir « Configuration RADIUS pour une authentification des administrateurs » à la page 169.
Wildcard Cochez cette case pour faire de tous les comptes du serveur RADIUS des administrateurs. Cette fonction est uniquement disponible si RADIUS a été sélectionné.
Groupe utilisateur Dans le cas d’une utilisation d’une authentification RADIUS, sélectionnez dans la liste le groupe d’utilisateurs d’administrateurs qui compte comme membre le serveur RADIUS approprié.
Mot de Passe Entrez un mot de passe pour le compte administrateur. Pour plus de sécurité, le mot de passe doit être composé d’au moins 6 caractères. Si RADIUS est activé, l’équipement FortiGate tente une première authentification RADIUS. En cas d’échec, il tente une authentification via mot de passe. Ceci n’est pas disponible si la fonction Wildcard a été activée.
Guide d’Administration FortiGate Version 3.0 171 01-30001-0203-20060424
Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la première entrée. Ceci n’est pas disponible si la fonction Wildcard a été activée.
ur
t
administrateurs permet d’augmenter la sécurité du système.
îtier eau
n. Pour plus d’informations sur les profils d’administration, voir
6 .
Configurer un compte administrateur
1 Sélectionnez Système > Admin > Administrateurs.
2 Cliquez sur Créer Nouveau pour ajouter un compte administrateur ou cliquez sur l’icône Editer pour apporter des modifications à un compte administrateur existant.
3 Dans le champ Nom de compte, entrez un nom pour le compte administrateur.
Si vous utilisez une authentification RADIUS pour cet administrateur mais n’utilisez pas la fonction wildcard, le nom de l’administrateur doit correspondre à un des comptes du serveur RADIUS.
4 Si vous utilisez une authentification RADIUS pour cet administrateur :
• Sélectionnez RADIUS.
• Sélectionnez Wildcard si vous désirez que tous les comptes du serveur RADIUS soient des administrateurs de l’équipement FortiGate.
• Sélectionnez le groupe d’utilisateurs des administrateurs dans la liste Groupe Utilisateur.
5 Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette étape n’est pas nécessaire dans le cas d’une authentification RADIUS Wildcard.
6 Facultativement, entrez l’adresse IP et le masque de réseau d’un hôte de confiance à partir duquel l’administrateur puisse se connecter à l’interface d’administration web.
7 Sélectionnez le profil d’administration pour cet administrateur.
8 Cliquez sur OK.
Poste IP # 1 Facultativement, entrez l’adresse IP et le masque de réseau Poste IP # 2 d’un hôte de confiance auquel l’administrateur est restreint sPoste IP # 3 le boîtier FortiGate. Vous pouvez spécifier jusqu’à trois hôtes
de confiance. Les adresses par défaut sont respectivemen0.0.0.0/0, 0.0.0.0/0 et 127.0.0/32.
La mise en place d’hôtes de confiance pour vos
Pour plus d’informations, voir « Utilisation d’hôtes deconfiance » à la page 173.
Profil d’administration Sélectionnez le profil d’administration de l’administrateur. Le profil préconfiguré prof_admin fournit un accès total au boFortiGate. Vous pouvez également cliquer sur Créer Nouvpour créer un nouveau profil d’administratio
« Configuration d’un profil d’administration » à la page 17
Domaine Virtuel Sélectionnez le domaine virtuel que cet administrateur peut configurer. Ce champ est uniquement disponible si vous êtes l’administrateur admin et que la configuration des domaines virtuels est activée.
172 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Utilisation d’hôtes de confiance
La mise en place d’hôtes de confiance pour tous les administrateurs augmente la sécurité de votre réseau car en restreint l’accès administratif. En plus de devoir connaître le mot de passe, l’administrateur doit se connecter uniquement à partir du ou des sous-réseau(x) spécifié(s). Vous pouvez aller jusqu’à restreindre un
dministrateur à une seule adresse IP si vous ne définissez qu’une adresse IP ’hôte de confiance avec un masque de réseau 255.255.255.255.
Si vous défini es hôtes de confiance pour tous les administrateurs, l ate ne répond pas aux tentatives d’accès administratif de tout autre hôte. Cela fournit la meilleure sécurité. Si vous laissez, ne fût-ce qu’un seul a trict ment accepte les tentatives d’accès a quelle interface dont l’accès administratif est activé, exposant ain des t s d’accès non autorisées. P s d’h .0.0/0, 0 .1/32. S 0.0.0.0/0 est modifiée par une adresse non nulle, l’autre adresse 0.0.0.0/ seule façon d’utiliser u ctère (wildcard) est de maintenir les deux adresses d’hôtes de c 0.0.0.0/0. Tou pas une configuration sans r
ad
ssez d’équipement FortiG
dministrateur sans res ion, l’équipedministratif de n’importe
si le boîtier à entative
ar défaut les adresse ôtes de confiance sont respectivement 0.0.0.0.0/0 et 127.0.0 i une des adresses
0 sera ignorée. La ne entrée métacaraonfiance sur tefois, ceci ne constitueisque.
Guide d’Administration FortiGate Version 3.0 173 01-30001-0203-20060424
Profils d’administration C r appar ion. Le profil d ctéris ories de droits d ez activer des droits en lecture et/ou écriture. Le t ’interface d’administration web auxquelles c s : T ls s de l’interface d’administration web
Contrôle d’accès Pages de web affectées
haque compte administrateu’administrat
tient à un profil d’administrattiques FortiGate en catégion sépare les cara
’accès pour lesquels vous pouvableau suivant répertorie les pages de lhaque catégorie fournit un accè
ableau 30 : Droits d’accès des profi d’administration aux page
l’interface d’administration Utilisateurs d’administration Système > AdminConfiguration Antivirus Antivirus Utilisateurs authentifiés Utilisateur Configuration firewall Pare-feu Mise à jour FortiGuard Système > Maintenance > FortiGuard CenterConfiguration IPS Intrusion Protection Journaux et rapports Journaux/Alertes Maintenance Système > Maintenance Configuration réseau Système > Rés
Système >Système > DHCP
eau > Interface Réseau > Zone
Configuration routeur Routeur Configuration Spamfilter Anti-Spam Configuration système Système > r la session
e > on Système > arde et Restauration
e > upport
Statut, y compris les informations suSystèm Configurati
Maintenance > SauvegSystèm Maintenance > S
Configuration VPN VPN Configuration Webfilter Filtrage Web
Les droits en lecture autorisent l’administrateur à visualiser la page de l’interface d’administration web. L’administrateu en écriture pour apporter des modifications aux paramètres de la page.
r nécessite les droits
Remarque : Lorsque la configuration de d ée (voir « Paramètres » à la page 178), seul l’administrateur admi généraux. Même si les paramètres généraux sont activés dans le ministrateur régulier ne peut accéder qu’aux paramètres spéci ormations à propos des paramètres généraux, voir « Paramèt configuration d’un domaine virtuel » à la page 41. L la s des administrateurs aux commandes CLI. Le tableau suivant décrit les types de commande disponibles pour chaque catégorie de droits d’accès. Les droits en lecture donnent accès aux commandes « get » et « show », tandis que les droits en écriture permettent d’accéder à la commande « config ».
omaines virtuels est activètresn a accès aux param
profil d’administration, un adVDOM. Pour plus d’inffiques
res de
e profil d’administration affecte simi irement l’accè
174 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Tableau 31 : Droits d’accès des profils d’administration aux commandes CLI Contrôle d’accès Commandes CLI disponibles Utilisateurs d’administration (admingrp)
system admin system accprofile
Configuration Antivirus (avgrp) antivirus Utilisateurs authentifiés (authgrp) user Configuration Pare-feu (fwgrp) firewall Mise à jour FortiGuard (updategrp) system autoupdate
execute backup execute update_now
Configuration IPS (ipsgrp) ips Journaux et rapports (loggrp) alertemail
log Maintenance (mntgrp) execute factoryreset
execute formatlogdisk execute reboot execute restore execute shutdown
Configuration réseau (netgrp) system arp -address
ver
system dhcp reservedsystem dhcp sersystem interface system status system zone execute dhcp lease-clear execute dhcp lease-list
Configuratio tegrp) router n routeur (rou execute router
Configuration Filtrage Antispam (spamgrp)
spamfilter
Configuration système (sysgrp) system à l’exception de accprofile, admin et autoupdate
execute ping execute ping-options execute ping6 execute restore execute time execute traceroute
execute date execute dhcpclear execute enter execute ha
Configuration VPN (vpngrp) vpn execute vpn
Configuration Filtrage web (webgrp) webfilter Sélectionnez Système > Admin > Droits d’Accès pour ajouter des profils d’administration aux administrateurs FortiGate. Chaque compte administrateur appartient à un profil d’administration. Vous pouvez créer des profils d’administration qui empêchent ou permettent les droits en lecture uniquement, droits en écriture uniquement ou les deux : droits en lecture et écriture des fonctionnalités FortiGate.
Guide d’Administration FortiGate Version 3.0 175 01-30001-0203-20060424
Un administrateur qui possède les droits en lecture d’une fonction peut accéder à la page d’administration web de cette fonction mais ne peut pas apporter de
odifications à la configuration. Les boutons Créer ou Appliquer n’apparaissent e. Les listes affichen
mpas sur la pag t l’icône Visualiser ( ) à la place des icônes
er ou toute autre comma
Visualisation de la liste des profil
Pour créer ou éditer des profils d’a te admin ou un
Sélectionnez Système > Admin > Illustration 76 : Liste des profils d’a
Editer, Supprim nde de modification.
s d’administration
dministration, utilisez un compcompte qui possèdent les droits en lecture et en écriture des utilisateurs admin.
Droits d’Accès.
dministration
Créer Nouveau Ajoute un nouveau profil d’administration.
Nom du profil Le nom du profil d’administration.
Icône Suppression Sélectionnez cette icône pour supprimer un profil d’administration. Il est impossible de supprimer un profil d’administration tant qu’un ou plusieurs administrateur(s) y est (sont) encore affecté(s).
Icône Editer Sélectionnez cette icône pour modifier le profil d’administration.
Configuration d’un profil d’administration
Pour éditer des profils d’administration, utilisez un compte admin ou un compte qui possèdent les droits en lecture et en écriture des utilisateurs admin. Sélectionnez Système > Admin > Droits d’Accès et cliquez sur Créer Nouveau.
176 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 77 : Options des profils d’administration
Nom de profil Entrez le nom du profil d’administration.
Droits d’accès Les droits d’accès répertorient les catégories dont le profil d’administration contrôle l’accès.
our cocher les droits en les catégories.
roits en
Les catégories des droits d’accès Sélectionnez les cases none/lecture et/ou écriture pour les différentes catégories en fonction de vos besoins. Pour plus de détails à propos des catégories des droits d’accès, voir « Profils d’administration » à la page 174.
Lecture Cochez la case Lecture plecture de toutes
Ecriture Cochez la case Ecriture pour cocher les décriture de toutes les catégories.
Guide d’Administration FortiGate Version 3.0 177 01-30001-0203-20060424
FortiManager our permettre à votre FortiGate d’être administré par un serveur FortiManager,
dmin > FortiManager pour configurer votre équipement ion entre votre équipement FortiGate et le serveur
FortiManager se fait via un VPN IPSec pré-configuré et invisible sur votre FortiGate.
Illustration 78 : Configuration F
Psélectionnez Système > AFortiGate. La communicat
ortiManager
z la case Activer pour permettre une c m
Paramètres FortiManager
Activer Coche om unication sécurisée entre le boîtier FortiGate et le Serveur FortiManager. Sans quoi, la communication n’est pas sécurisée.
Adresse IP Entrez
Paramètres Sélectionnez Système > Admin > Settings (Paramètres) pour définir les options
• Les ports pour les accès a
• Les paramètres des timeo timeout de l’utilisateur
• Une protection à l’aide d’ucommandes (pour les mod
ID Entrez le numéro de série du Serveur FortiManager.
l’adresse IP du Serveur FortiManager.
suivantes :
dministratifs HTTP et HTTPS
uts, y compris le timeout de l’administrateur et le
• La langue de l’interface d’administration web
n PIN pour l’écran LCD et les boutons de èles équipés de ces fonctions uniquement)
178 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 79 : Paramètres des administrateurs
Web Administration Ports
HTTP Entrez le port TCP utilisé pour l’accès administratif HTTP. La valeur par défaut est 80.
HTTPS Entrez le port TCP utilisé pour l’accès administratif HTTPS. La valeur par défaut est 443.
Paramètres de timeout
Administrateurs Entrez le nombre de minute pendant lesquelles la connexion peut rester inactive avant que l’administrateur ne doive se reconnecter. Le temps maximum est de 480 minutes (8 heures). Pour une meilleure sécurité, il est conseillé de maintenir la valeur par défaut de 5 minutes.
Utilisateur (authentification Entrez le nombre de minute pendant lesquelles une pare-feu) connexion authentifiée peut rester inactive avant que
l’utilisateur ne doive se réauthentifier. Le temps maximum est de 480 minutes (8 heures). La valeur par défaut est 15 minutes. Pour plus d’informations, voir « Paramétrage du timeout d’authentification » à la page 324.
Langage
Interface d’administration Sélectionnez la langue désirée de l’interface d’administration web. Vous avez le choix entre l’anglais, le chinois simplifié ou traditionnel, le japonais, le coréen ou le français. Remarque : Il est conseillé de choisir la langue dans laquelle opère le système d’exploitation de l’ordinateur d’administration.
Panneau LCD (pour les équipements équipés de cette fonction)
Protection PIN Cochez la case Protection PIN et tapez un pin de 6 caractères dans le champ prévu à cet effet.
Les administrateurs doivent alors entrer le PIN pour accéder aux commandes de l’écran LCD et des boutons.
Virtual Domain Configuration Cochez cette case si vous désirez opérer de multiples VDOM. Cela active les droits de création et de configuration des VDOM du compte administrateur admin
Guide d’Administration FortiGate Version 3.0 179 01-30001-0203-20060424
par défaut. Pour plus d’informations sur la création et l’administration de VDOM, voir « Domaines Virtuels » à la page 40.
Contrôle des administrateurs
lustration 80 : Les administrateurs connectés dans la barre des statuts
Le nombre d’administrateurs connectés apparaît dans la barre des statuts des pages de l’interface d’administration web. Il
trateurs Connectés pour visualiser les informations sur és à l’interface d’administration web en cours. Une
nt la liste des administrateurs connectés à ce moment-là.
tration 81 : Fenêtre de contrôle des administrateurs connectés
Cliquez sur l’icône Adminisles administrateurs connectnouvelle fenêtre s’ouvre afficha
Illus
Déconnecter Déconnecte les administrateurs sélectionnés. Cette fonction
n’est disponible qu’aux administrateurs qui possèdent les droits en écriture de la Configuration du Système.
Rafraîchir Met la liste à jour.
Fermer Ferme la fenêtre.
Les cases à cocher Cochez les cases des administrateurs à déconnecter et cliqueensuite sur Déconnecter. Cette fonction n’est disponible qu’au
z x
administrateurs qui possèdent les droits en écriture de la Configuration du Système.
Nom d’utilisateur Le nom du compte administrateur.
Type Le type d’accès : WEB ou CLI.
De Dans le cas d’un Type WEB, apparaît dans ce champ l’adresse IP de l’administrateur. Dans le cas d’un Type CLI, apparaît dans ce champ, soit « ssh » ou « telnet », soit l’adresse IP de l’administrateur ou « console ».
Heure La date et l’heure auxquelles s’est connecté l’administrateur.
180 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Maintenance du Système Cette section décrit comment sauvegarder et restaurer la configuration de votre système et comment configurer des mises à jour automatiques à partir du FDN (FortiGuard Distribution Network). Les sujets suivants sont parcourus dans cette section :
• Sauvegarde et Restauration
• FortiGuard Center
• Licence
Sauvegarde et Restauration Pour sauvegarder et restaurer la configuration de votre système, et pour gérer le microcode, sélectionnez Système > Maintenance > Sauvegarde et Restauration. Vous pouvez sauvegarder la configuration du système, y compris les fichiers de contenu web et les fichiers de filtrage antispam sur l’ordinateur d’administration ou sur un disque USB (pour les modèles qui le supportent). Vous pouvez également restaurer la configuration du système à partir de fichiers de sauvegarde déjà téléchargés.
cats
ration d du co
configuration du système f rend les paramètres généraux e aque VDOM. Seul
dmin peu
paramètres généraux et les paramètres du VDOM géré par cet administrateur. rat
Pour inclure les certifi VPN dans le fichier de sauvegarde, vous devez permettre le cryptage du fichier de sauvegarde. Lorsque la configu es domaines virtuels est activée, le contenu du fichier de sauvegarde dépend mpte administrateur qui l’a créé. Une sauvegarde de la
aite à partir d’un compte administrateur admin compt les paramètres de ch
l’administrateur a t restaurer la configuration de ce fichier. Une sauvegarde faite à partir d’un compte administrateur régulier comprend les
Seul un compte administ eur régulier peut restaurer la configuration sauvée sur ce fichier.
Guide d’Administration FortiGate Version 3.0 181 01-30001-0203-20060424
Illustration 82 : Opti sauvegarde et de restauration ons de
Dernière Sauvegarde
Sauvegarde
Sau gaconf ur
nt FortiGate.
Nom du fichier :
Chiffrer le fichier de e case pour crypter le fichier de sauvegarde. configuration Entrez ensuite un mot de passe dans le champ Mot de Passe
et entrez le une seconde fois dans le champ Confirmer. Ce
doit être
Sauvegarde
Restaurer la configuration depuis :
Nom du fichier : a clé la ir du
Mot de Passe z le
Le jour et l’heure de la dernière sauvegarde vers le PC local.
Sauvegarde la configuration actuelle.
ve rde de la Sélectionnez le support sur lequel vous désirez sauvegarder ig ation vers : le fichier de configuration : local PC ou clé USB. La sélection
de Clé USB n’est possible que si la clé est connectée à l’équipeme
Si vous sélectionnez Clé USB, nommez le fichier de sauvegarde.
Cochez cett
mot de passe est exigé pour la restitution du fichier.
Pour sauvegarder des certificats VPN, le cryptage permis sur le fichier de sauvegarde.
Cliquez sur ce bouton pour sauvegarder la configuration.
Restaurer Restaure la configuration à partir d’un fichier.
Sélectionnez le support sur lequel vous avez sauvegardé la configuration : local PC ou Clé USB. La sélection de Clé USB n’est possible que si la clé est connectée à l’équipement FortiGate.
Dans le cas où vous restaurez la configuration à partir de lUSB, sélectionnez le nom du fichier de configuration dansliste. Dans le cas où vous restaurez la configuration à partPC d’administration, entrez le nom du fichier de configuration ou utilisez le bouton Parcourir (Browse).
Dans le cas où le fichier de sauvegarde est crypté, entremot de passe.
182 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Restaurer Cliquez sur le bouton Restaurer pour restaurer la configuration à partir du fichier sélectionné.
Firmware Partition Une partition peut contenir une version du logiciel et de la
configuration du système. Les modèles FortiGate 100 et plus possèdent deux partitions. Une des partitions est active, tandis que l’autre est une sauvegarde.
Active Une marque V verte indique la partition comprenant le logiciel et la configuration en cours.
Le jour et l’heure de la dernière mise à jour de cette partition.
Version du Firmware La version du microcode FortiGate. La partition de sauvegarde permet de :
• Sélectionner Charger pour remplacer le microcode par celui qui se trouve sur le PC d’administration ou sur la clé
marrer pour remplacer le on active.
malte e sauvegardé. Cette fonction n’est
r les FortiGate 100 et plus.
ancés (USB
é USB électionnez les
ez le boîtier FortiGate.
Si vous sélectionnez les mises à jour de configuration et de microcode, les deux s’enclenchent lors du redémarrage. Un microcode ou un fichier de configuration déjà téléchargé ne seront pas re-téléchargés.
Met a configuration à jour automatiquement lors du redémarrage. Assurez-vous que le nom du fichier de
ur irmWare de la FortiGate par celle de la clé USB si l’Image par défaut est présente sur celle-ci.
Met le microcode à jour automatiquement lors du redémarrage. Assurez-vous que le nom de l’Image par défaut corresponde au nom du fichier de l’image sur la clé USB.
Import Bilk CLI Commands Importe sur l’équipement FortiGate des définitions de filtres URL et de filtres antispam à partir d’un fichier texte présent sur
le aliser
Debug Log Télécharger un journal de déboguage crypté dans un fichier. Vous pouvez ensuite l’envoyer au Service Technique de
Dernière Mise à jour
USB.
• Sélectionnez Charger et Redémicrocode et en faire la partiti
Dé arrer sur firmware Cliquez sur ce bouton pour redémarrer le boîtier FortiGate rnatif en utilisant le microcod
disponible que su
Av Auto-Install, Import CLI Commands, Download Debug Log)
Cette section n’est disponible que dans le cas où une clest connectée à l’équipement FortiGate. Soptions requises et redémarr
• Quand le système redémarre, mettre à jour la configuration de la FortiGate par celle de la clé USB si le Fichier de Configuration par défaut est présent sur celle-ci.
l
configuration par défaut corresponde au nom de ce fichier sur la clé USB.
• Quand le système redémarre, mettre à jo le F
l’ordinateur d’administration. Entrez le chemin d’accès etnom de fichier ou cliquez sur Parcourir (Browse) pour locle fichier.
Vous pouvez créer le fichier texte en extrayant la section appropriée d’un fichier de sauvegarde de configuration FortiGate ou en tapant les commandes CLI appropriées.
Download
Fortinet qui vous aidera à diagnostiquer les problèmes éventuels rencontrés sur votre FortiGate.
Guide d’Administration FortiGate Version 3.0 183 01-30001-0203-20060424
Centre FortiGLe Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution
es à jour des bases de connaissance antivirus et IPS. Les Services FortiGuard procurent quant à eux des listes noires d’adresses IP, d’URL et autres outils de filtrage antispam.
Réseau de Distrib
pris ) et IPS (contre les attaques). Lorsque le boîtier FortiGate se connecte au
FDN, il se connecte au FDS le plus proche, considérant le fuseau horaire défini.
tes :
eur s, des bases de
Vous devez d’abord enregistrer votre FortiGate sur la page web du support de Fortinet. Voir « Enregistrement d’un équipement FortiGate » à la page 37. Pour recevoir des mises à jour programmées, l’équipement FortiGate doit pouvoir se connecter au FDN via HTTPS sur le port 443. Pour plus d’informations sur la configuration de programmation de mises à jour, voir « Activer la programmation
à
Services FortiGu
un autre Point de Service dont les informations
Cen Pour modifier, si nécessaire, le nom d’hôte du Point de Service FortiGuard par défaut, entrez le mot-clé hostname dans la commande CLI system
uard
Network (FDN - Réseau de Distribution FortiGuard) et les Services FortiGuard. Le FDN fournit des mis
ution FortiGuard
Ce réseau, appelé FDN, est un réseau mondial de FortiGuard Distribution Servers (FDS). Le FDN fournit des mises à jour des bases de données antivirus (y comgrayware
L’équipement FortiGate supporte les mises à jour des fonctionnalités suivan
• Mises à jour initiées par l’utilisateur à partir du FDN,
• Mises à jour mensuelles, hebdomadaires voire toutes les h edonnées antivirus et IPS, à partir du FDN,
• Mises à jour forcées à partir du FDN,
• Statuts des mises à jour, y compris les numéros des versions, les dates d’expiration, ainsi que les dates et heures des mises à jour,
• Mises à jour forcées à partir d’un serveur NAT.
de mise à jour» à la page 190. Vous pouvez également configurer votre FortiGate pour qu’il accepte des misesjour forcées. Pour ce faire, le FDN doit être capable d’acheminer des paquets vers le boîtier FortiGate via UDP port 9443. Pour plus d’informations à ce sujet, voir « Activer les mises à jour forcées » à la page 191.
rd a
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une couverture mondiale. Fortinet crée des nouveaux Points de Service à chaque fois que nécessaire. Le boîtier FortiGate communique par défaut avec le Point de Service le plus proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable, l’équipement FortiGate contacte s’affichent après quelques secondes. Par défaut le boîtier FortiGate communique avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez utiliser UDP port 8888 en sélectionnant Système > Maintenance > FortiGuard
ter.
184 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
fortiguard. Il n’est pas possible de modifier ce nom d’hôte à partir de l’interface d’administration web.
us sur la page web ortiGuard Center.
rvice Antispam FortiGuard
e antispam de Fortinet qui comprend des listes noires d’adresses IP, d’URL et des outils de filtrage antispam. La liste noire d’adresses IP contient des adresses IP de serveurs mails connus pour générer des spams. La liste noire d’URL contient des URL de sites web trouvés dans ces spams. Les procédés FortiGuard-A com s par Fortinet. Grâce à un co t e des mises à jour dynamiques, FortiGuard-Antispam est toujoFortiGuard-Antispam dansd’informations, voir « Optio à la page 286.
Une licence gratuite, valab ours, pour un essai du FortiGuard Antispam est offerte à l’achat d’un équipeme vie par les serveurs Fortinet. ILors de l’activation de Forautomatiquement un Pointlicence après la période d’ess i de 30 jours, contactez le Support Technique de Fortinet. Pour activer FortiGuard-AFortiGuard Center et configurechaque profil de protection pare-feu. Voir « Options du filtrage antispam » à la page 286.
Service FortiGuard-Web
st uncentaines s
utilisateurs peuvent accep ortiGate accède au Point de Service FortiGuard-Wpage web souhaitée et ap t utilisateur ou cette interfac Une licence gratuite, valab r un essai du FortiGuard-Web est offerte
n équipement serveurs Fortinet. Il n’est p de licence. Lors de l’activation du service de bFor ntacte automareno rtiG ctez le Sup For Pour activer FortiGuard-Web, sélectionnez Système > Maintenance > FortiGuard Cen urez ensu que profil de protection pare-fe ptions du filtrage FortiGuard-Web » à la page 285.
Pour plus d’informations sur les services FortiGuard, rendez-voF
Se
FortiGuard-Antispam est un systèm
ntispam sont plètement automatisés et configuréntrôle constan t
urs actualisé. Vous pouvez activer ou désactiver les profils de protection pare-feu. Pour plus ns du filtrage antispam »
le 30 j
nt FortiGate. La gestion de ces licences est suil n’est pas nécessaire d’entrer un numéro de licence. tiGuard-Antispam, le boîtier FortiGate contacte de Service FortiGuard-Antispam. Pour renouveler la
a
ntispam, sélectionnez Système > Maintenance > z ensuite les options du Filtrage Antispam pour
Le FortiGuard-Web e e solution de filtrage de contenu web de Fortinet. Ce service trie des de millions de pages web en diverses catégories que le
ter, bloquer ou contrôler. Le boîtier Feb le plus proche pour déterminer la catégorie de la
plique ensuite la règle pare-feu configurée pour cee.
le 30 jours, pou à l’achat d’u FortiGate. La gestion de ces licences est suivie par les
as nécessaire d’entrer un numéro locage des catégories FortiGuard, l’équipement
tiGate co tiquement un Point de Service FortiGuard. Pour uveler la licence Fo uard après la période d’essai de 30 jours, contaport Technique de tinet.
ter et config ite les options du filtrage FortiGuard-Web pour chau. Voir « O
Guide d’Administration FortiGate Version 3.0 185 01-30001-0203-20060424
Configuration du boîtier FortiGate pou le
Pour configurer l’accès aux mi ux services FortiGuard, sélectionnez Système > M n Illustration 83 : Centre de Mise
r s services FDN et FortiGuard
ses à jour FDN et aai tenance > FortiGuard Center.
à jour
on For rd
Etat ion au FortiGuard Distribution Network
îtier FortiGate arrive à se connecter au FDN. Vous pouvez le configurer pour des mises à jour
es à
à
Mise à jour forcée
pouvez FortiGate pour des mises à jour
Réseau de distributi tiGua
FDN L’état de la connex(FDN) :
• vert – Le bo
programmées. Voir « Activer la programmation de misjour» à la page 190.
• rouge-jaune clignotant – Le boîtier FortiGate n’arrive passe connecter au FDN. Voir « Résolution de problèmes de connexion FDN » à la page 188.
Le statut de réception des mises à jour forcées provenant duFDN :
• vert – Le FDN arrive à se connecter à l’équipement FortiGate pour envoyer des mises à jour forcées. Vousconfigurer l’équipementforcées. Voir « Activer les mises à jour forcées » à la page 191.
186 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• rouge-jaune clignotant – Le boîtier FortiGate n’arrive pas onnecter
à se c au FDN pour envoyer des mises à jour forcées.
8.
page
de remplacement
ez cette case et entrez une adresse IP ou un nom de ’un serveur FortiGuard. Cliquez ensuite sur
Appliquer. Si l’état FDN indique toujours un problème de
e
hier de la base de données
mise à jour FortiGate de télécharger les mises à jour des bases de données.
Statut de la dernière Le résultat de la dernière tentative de mise à jour : mise à jour
• Pas de mise à jour ; No Updates – la dernière tentative a été installée avec succès, pas de nouvelle mise à jour disponible.
• Mises à jour installées ; Installed Updates - la dernière tentative a été installée avec succès, de nouvelles mises à jour ont été installées.
D’autres messages peuvent indiquer que l’équipement FortiGate n’a pas réussi à se connecter au FDN ou autre message d’erreur.
Permettre les mises Cochez cette case pour permettre des mises à jour à jour forcées automatiques de votre FortiGate.
Utiliser l’adresse IP Spécifiez une adresse IP et un port de remplacement lors de la de remplacement présence d’un serveur NAT entre le boîtier FortiGate et le
FDN. Cochez la case, entrez l’adresse IP et le numéro du port auxquels le FDN doit envoyer les mises à jour. Cliquez ensuite sur Appliquer. Pour plus d’informations, voir « Activation des mises à jour forcées via un serveur NAT » à la page 192.
Programmation des Cochez cette case pour activer les mises à mises à jour régulières jour programmées.
Chaque Tente une mise à jour toutes les 1 à 23 heures. Sélectionnez le nombre d’heure désiré entre chaque requête de mise à jour.
Voir « Résolution de problèmes de connexion FDN » à la page18
Réactualiser Cliquez sur Réactualiser pour que le boîtier FortiGate teste sa connexion au FDN. Les résultats s’affichent en haut de la FortiGuard Center.
Utiliser l’adresse Configurez un serveur override si vous n’arrivez pas à vous connecter au FDN ou si votre entreprise fournit des mises à jour via son propre serveur FortiGuard.
• Cochdomaine d
connexion, voir « Résolution de problèmes de connexion FDN » à la page 188.
Mise à jour Ce tableau reprend les statuts des mises à jour des bases ddonnées antivirus et IPS FortiGuard.
Version Le numéro de la version du ficcourante sur le boîtier FortiGate.
Date d’expiration La date d’expiration de votre licence pour ce service FortiGuard.
Dernière tentative de Le jour et l’heure de la dernière tentative par le boîtier
Guide d’Administration FortiGate Version 3.0 187 01-30001-0203-20060424
Journalière Tente une mise à jour une fois par jour. Vous pouvez en
ise à jour irement pendant
une mise à jour FDN.
ances grâce à la réduction des t FortiGate au serveur FortiGuard. Le
ate. Lorsque le cache est plein, l’adresse IP ou l’URL
e.
Etat de la connexion vers le serveur FortiGuard-Antispam :
ec de la connexion avec le
exion avec le serveur
serveur u
Résolution de problèmes de connexion FDN
, il
r votre réseau afin de permettre à l’équipement FortiGate l’utilisation TTPS sur le port 443 pour se connecter à Internet.
rd 90.
r vous assurer de la connexion entre le serveur override FortiGuard et l’équipement FortiGate.
spécifier l’heure. La tentative de mise à jour s’enclenche à un moment déterminé arbitrairement pendant l’heure sélectionnée.
Hebdomadaire Tente une mise à jour une fois par semaine. Vous pouvez en spécifier le jour et l’heure. La tentative de ms’enclenche à un moment déterminé arbitral’heure sélectionnée.
Mettre à jour Sélectionnez cette fonction pour initier manuellement
FortiGuard Service
Activer Active le service.
Service Un des services FortiGuard : Anti Spam, Filtrage Web ou AV Query (future).
Licence Etat de votre licence pour ce service.
Expire Date d’expiration de votre licence pour ce service.
Utiliser le cache Permet le cache des informations des Services FortiGuard. Cela améliore les performrequêtes de l’équipemencache est configuré pour utiliser 6% de la mémoire duFortiGutilisée le moins récemment est supprimé
Cache TTL « Time to live ». Le nombre de secondes pour stocker les adresses IP et URL bloquées dans le cache avant de recontacter le serveur.
Etat
• Rouge/jaune clignotant – échserveur
• Vert permanent – succès de la conn
Use Default Port (53) Sélectionnez cette fonction pour utiliser le port 53 pour communiquer avec les serveurs FortiGuard-Antispam.
Use Alternate Port (8888) Sélectionnez cette fonction pour utiliser le port 8888 pourcommuniquer avec les serveurs FortiGuard-Antispam.
Test Availability Sélectionnez cette fonction pour tester la connexion auFortiGate-Antispam. Les résultats s’affichent en dessous dbouton et sur les indicateurs des Statuts.
Dans le cas où votre équipement FortiGate n’arrive pas à se connecter au FDNest nécessaire de vérifier votre configuration. Par exemple, vous devrez probablement ajouter des routes à la table de routage FortiGate ou encore configureH Vous devrez également peut-être vous connecter à un serveur override FortiGuapour recevoir des mises à jour. Voir « Ajouter un serveur override » à la page 1Si cela ne fonctionne toujours pas, vérifiez votre configuration pou
188 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Les mises à jour forcées risquent de ne pas être disponibles si :
• Vous n’avez pas enregistré votre équipement FortiGate (voir « Enregistrement d’un équipement FortiGate » à la page 37.)
et le FDN (voir « Activation .)
xy (voir « Activer la 190.)
Mise à jour des s s antivirus e
Les procédures suivantes nexion au Ré
aiss
> Statut et cliquez sur Changer à côté de Heure Système dans la section des Informations sur le système.
2
3 d Center.
4 Cliquez sur Réactualiser. Le boîtier FortiGate tente alors une connexion avec le en haut de la page des Mises à jour du
1 e > Maintenance > FortiGuard Center.
issance antivirus et
veur override, l’interface
st has been sent. Your database will w minutes. Please check your update
age for the status of the update.”
de
page de mise à jour.
• Un serveur NAT est installé entre votre FortiGatede mises à jour forcées via un serveur NAT » à la page 192
• Votre FortiGate se connecte à Internet via un serveur proprogrammation de mises à jour via un serveur proxy » à la page
ignature t IPS
vous guident dans la configuration de votre FortiGate seau de Distributpour une con ion FortiGuard (FDN) afin de mettre à
jour les bases de conn ance antivirus et IPS (contre les attaques).
S’assurer que l’équipement FortiGate se connecte au FDN
1 Sélectionnez Système
Assurez-vous que le bon fuseau horaire est sélectionné, dépendant de la localisation de votre FortiGate.
Sélectionnez Système > Maintenance > FortiGuar
FDN. Les résultat du test s’affichent système.
Mettre à jour les signatures antivirus et IPS
électionnez SystèmS
2 Cliquez sur Mettre à jour pour mettre à jour les bases de connaIPS.
En cas de succès de la connexion au FDN ou au serd’administration web affiche un message du type : “Your update requebe updated in a fep A savoir: Votre demande de mise à jour a été envoyée. Votre basedonnées sera mise à jour dans quelques minutes. Merci de vérifier l’état de la mise à jour sur votre
Lorsqu’une mise à jour est disponible, la page du Centre FortiGuard affichera, après quelques minutes, les nouvelles versions d’antivirus, en fonction de leurs dates de création et numéros de version. Le journal Evénement enregistre les messages témoignant du succès ou de l’échec des mises à jour.
Remarque : La mise à jour des définitions d’antivirus, par l’ajout de nouvelles signatures par FortiGate dans la base de données, peut entraîner une brève rupture du trafic analysé. Il est
Guide d’Administration FortiGate Version 3.0 189 01-30001-0203-20060424
dès lors préférable de progpendant la nuit.
rammer les mises à jour lorsque le trafic est faible, par exemple
1
2
3
s et minutes) entre chaque demande
ez en née.
ez
4
Dans le cas où vous ne parvenez pas à vous connecter au FDN, ou encore si votre leur propre serveur FortiGuard, les jouter une adresse IP d’un serveur
d Center.
l’adresse de remplacement.
3
4 ppliquer.
s paramètres .
A m jour via un serveur proxy
Si votre FortiGate doit se connecter à Inte serveur proxy, vous pouvez u de pour permettre a n t au FDN via le serveur proxy. Pour lus d’informations, voir le FortiGate CLI Reference.
Activer la programmation de mise à jour
Sélectionnez Système > Maintenance > FortiGuard Center.
Cochez la case Programmation des mises à jour régulières.
Sélectionnez une des fréquences suivantes pour la vérification et le téléchargement des mises à jour :
Chaque Toutes les 1 à 23 heures. Sélectionnez le tempsouhaité (en heuresde mise à jour.
Journalière La mise à jour a lieu quotidiennement. Vous pouvspécifier l’heure précise dans la jour
Hebdomadaire La mise à jour a lieu une fois par semaine. Vous pouven spécifier le jour et l’heure.
Cliquez sur Appliquer.
La nouvelle programmation de fréquence entre en vigueur immédiatement. A chaque fois que le boîtier FortiGate procède à une mise à jour, l’action est enregistrée dans le journal Evénement.
Ajouter un serveur override
entreprise vous fournit les mises à jour deprocédures suivantes vous permettront d’aoverride FortiGuard.
1 Sélectionnez Système > Maintenance > FortiGuar
2 Cochez la case Utiliser
Entrez le nom de domaine entier ou l’adresse IP d’un serveur FortiGuard.
Cliquez sur A
Le boîtier FortiGate teste la connexion vers le serveur override. En cas de succès, le paramètre du FDN affiche un statut disponible. Dans le cas contraire où le FDN affiche un statut de service indisponible, le boîtier FortiGate n’arrivant pas à se connecter au serveur override, vérifiez les onfigurations du FortiGate et du réseau et tentez de déceler lec
empêchant la connexion au serveur override FortiGuard
ctiver la programmation de ise à
rnet via untiliser la comman config system autoupdate tunnelingu FortiGate de se connecter (via u unnel)
p
190 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Activation des mises à jour forcées
é enregistré pour recevoir ces mises à jour forcées. oir « Enregistrement d’un équipement FortiGate » à la page 37.
ETUP au FDN. De cette manière, lorsque les nouvelles ases de connaissance antivirus et IPS sont créées, le FDN informe tous les
tes demandent la mise à jour au FDN.
Le FDN peut forcer les mises à jour sur le boîtier FortiGate en vue de fournir une réponse la plus rapide possible aux situations critiques. Votre équipement FortiGate doit d’abord avoir étV Les équipements FortiGate configurés pour recevoir les mises à jour forcées envoient un message SbFortiGate configurés pour la mise à jour forcée d’une nouvelle mise à jour disponible. Dans les 60 secondes après la réception de ce message, les FortiGa
Remarque : Les mises à jour forcées ne sont pas supportées dans le cas de l’utilisation
ment les mises à jour. Cependant, la programmation de mises à jour assurent au FortiGate une meilleure garantie de réception des dernières mises à jour.
jour n’est pas recommandée. Il existe toujours un risque que le boîtier FortiGate ne la disponibilité de nouvelles mises à jour. De plus une ’une seule tentative de connexion au FDN et de
ises à jour forcées
3
forcées en cas de modification des adresses IP
Le message SETUP envoyé par le boîtier FortiGate lors de l’activation de mises à jour forcées comprend l’adresse IP de l‘interface à laquelle vient se connecter le FDN. En mode Transparent, le message SETUP comprend l’adresse IP d’administration FortiGate. En mode NAT/Route, ce message comprend l’adresse IP d’une interface, dépendant du modèle boîtier FortiGate. Tableau 32 : Interface pour les mises à jour forcées FDN
Modèle Interface pour les mises à jour forcées FDN
d’un serveur proxy pour se connecter au FDN. Pour plus d’informations, voir « Activer la programmation de mises à jour via un serveur proxy » à la page 190. Lorsque la configuration du réseau le permet, il est recommandé d’activer les mises à jour forcées en plus de la configuration des mises à jour programmées. Cela permet au FortiGate de recevoir plus rapide
L’activation des mises à jour forcées comme seul moyen d’obtention des mises à
reçoive pas l’information detelle information n’active qutéléchargement des mises à jour.
ctiver les mA
1 Sélectionnez Système > Maintenance > FortiGuard Center.
2 Sélectionnez Permettre les mises à jour forcées.
Cliquez sur Appliquer.
Mises à jour FortiGate
50A, 50AM, 100, 200, 300, 500, 800, 2000, 3000, 3600, 4000
Externe
60, 60M, 60Wi-Fi WAN1 100A, 200A, 300A, 400, 400A, 500A Port 2
Guide d’Administration FortiGate Version 3.0 191 01-30001-0203-20060424
Dans le cas d’un changement manuel d’une adresse IP de l’interface ou de changement dynamique via DHCP ou PPPoE, l’équipement FortiGate envoie un
ate se
Si un changement d’adresse IP d’administration a lieu, en mode Transparent, l’équipement FortiGate envoie également un message SETUP pour en informer le FDN.
forcées via un serveur NAT
FDN ne ur NAT, il nfigurer le rel
la configd’un relayage de port, le F te au FortiGate via UDP soit sur le port 9443 soit sur un port de remplacement spécifié.
message SETUP. Le FDN doit pouvoir se connecter à cette adresse IP pour permettre à votre FortiGate de recevoir les messages de mises à jour forcées. Si votre FortiGtrouve derrière un serveur NAT, voir « Activation de mises à jour forcées via un serveur NAT » à la page 192. Dans le cas de connexions Internet redondantes, le boîtier FortiGate envoie
galement un message SETUP lorsque l’une des connexions échoue et qu’une éautre prend le relais.
Activation de mises à jour
Dans le cas où le se connecte au FortiGate qu’à travers un serveest nécessaire de co ayage de port sur le serveur NAT et d’ajouter ces informations dans uration des mises à jour forcées. Lors de l’utilisation
DN se connec
Remarque : Vous ne pouvez pas recevoir de mise à jour forcée via un serveur NAT si son adresse IP externe est dynamique (par exemple, via l’utilisation de PPPoE ou DHCP).
Procédure générale
Les procédures suivantes vous guident dans la configuration du serveur NAT FortiGate et du boîtier FortiGate sur le réseau interne pour la réception des mises à jour forcées.
1 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate.
2 Ajoutez une règle pare-feu sur le serveur NAT FortiGate qui comprenne l’IP virtuelle du relayage de port.
3 Configurez l’équipement FortiGate sur le réseau interne avec une IP et un port de remplacement.
Remarque : Avant de clôturer cette procédure, assurez-vous d’avoir enregistré votre réseau interne du FortiGate de manière à ce qu’il puisse recevoir les mises à jour forcées.
192 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Licence Pour les modèles Fortide Fortinet pour augm
Gate-3000 et plus, des clés de licence sont en vente auprès enter le nombre maximum de VDOM jusqu’à 25, 50, 100 ou
o
Sélectionnez Système > Maintenance > Licence pour entrer la clé de licence.
250. Le boîtier FortiGate supporte par défaut un maximum de 10 VDOM. La clé de licence est un code de 32 caractères fournit par Fortinet. Votre numérde série est exigé pour générer cette clé de licence.
Illustration 84 : Clé de licence pour ajout de VDOM supplémentaires
Current License Le nombre actuel maximum de domaines virtuels.
e Input License Key Entrez la clé de licence fournie par Fortinet et cliquez ensuitsur Appliquer.
Guide d’Administration FortiGate Version 3.0 193 01-30001-0203-20060424
Routeur S
aquets vers une destination autre que celle de la
,
Les routes statiques sont définies manuellement. Elles contrôlent le trafic sortant quets
).
esses IP source et/ou de destination et autres critères tels que l’interface qui a reçu le paquet ou le protocole
Route Statiques se configurent en définissant l’adresse IP et le masque de
réseau de destination des paquets que le boîtier FortiGate s’apprête à intercepter
.
tatique Vous trouverez dans cette section la façon de définir des routes statiques et de créer des règles de route. Une route fournit au FortiGate l’information nécessaire pour transférer un paquet vers une destination particulière. Une route statique
ntraîne le transfert de pepasserelle par défaut configurée à l’origine. La route statique par défaut configurée à l’origine vous fournit un point de départ pour configurer la passerelle par défaut. Vous pouvez éditer cette route statique par défaut et spécifier une passerelle par défaut différente pour le boîtier FortiGateou vous pouvez la supprimer et spécifier votre propre route statique par défaut qui dirige vers la passerelle par défaut (voir « Route par défaut et passerelle par défaut » à la page 198).
du FortiGate – vous pouvez spécifier l’interface à travers laquelle les pasortent et l’interface vers laquelle ces paquets sont dirigés. Facultativement, il est possible de définir des règles de route (route policiesCelles-ci ajoutent des critères supplémentaires pour l’examin des propriétés des paquets entrants. Ces règles permettent également de configurer le boîtier FortiGate pour diriger les paquets en fonction de leurs adr
(service) et/ou port utilisé pour le transport du paquet. Les sujets suivants sont parcourus dans cette section :
• Route Statique
• Règle de Routage
e Les routes statiqu
et en spécifiant une adresse IP (de passerelle) pour ces paquets. L’adresse de la passerelle indique le routeur du prochain saut vers lequel le trafic va être dirigé
Remarque : La commande CLI config router static6 permet d’ajouter, édisupprimer les routes statiques du trafic IPv6. Pour plus d’informations, voir le chapitre surles routeurs dans le
ter ou
Concepts de rout
r le alisée
grand ou petit, ce module vous aide à comprendre es par un équipement FortiGate.
FortiGate CLI Reference.
age
Le routage étant un sujet complexe, certains le considèrent comme trop difficile à maîtriser. Cependant, le boîtier FortiGate étant un appareil dédié à la sécurité sur le réseau, ce guide développe un certain nombre de concepts de base suroutage de manière à ce que la configuration du FortiGate puisse être réavec efficacité. Que le réseau à administrer soitles fonctions de routage exécuté
194 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Comment se construit une table de routage ?
La table de routage FortiGate comprend, par défaut, une seule route statique par défaut. Vous pouvez ajouter des informations à la table de routage en définissant
ement associée à la distance la plus courte entre l’équipement FortiGate et le routeur le plus proche du prochain saut. Dans le cas où la meilleure route est
ente un sous-
erfaces du FortiGate, ce dernier
s où le boîtier FortiGate n’arrive pas à communiquer avec l’ordinateur de cette adresse IP source, le boîtier FortiGate annule le paquet. Dans le cas où l’adresse de destination correspond à une adresse locale (et que la configuration locale permet la livraison), l’équipement FortiGate livre le paquet au
cal. Si le paquet est destiné à un autre réseau, l’équipement FortiGate
entrées vers une même destination sont présentes dans le table
table de routage sont administrative. Si la table de routage contient plusieurs entrées vers une même
trées
voir
des routes statiques supplémentaires. La table peut comprendre plusieurs routes différentes vers une même destination. Les adresses IP du routeur du prochain saut spécifié dans ces routes peuvent varier, de même que les interfaces FortiGateassociées à ces routes. L’équipement FortiGate sélectionne la « meilleure » route pour un paquet en évaluant les informations de la table de routage. La meilleure route est typiqu
indisponible, c’est la meilleure route suivante qui est sélectionnée. Les meilleures routes sont reprises dans la table de relayage FortiGate, qui représensemble de la table de routage FortiGate. Les paquets sont donc transférés en fonction des informations contenues dans la table de relayage.
Comment les décisions de routage sont-elles prises ?
chaque fois qu’un paquet arrive sur l’une des intAdétermine si le paquet a été reçu par une interface légitime en lançant une recherche inversée utilisant l’adresse IP source de l’en-tête du paquet. Dans le ca
réseau lotransfère le paquet vers le routeur du prochain saut d’après la règle de route correspondante (voir « Règle de routage » à la page 201) et/ou d’après les informations disponibles dans la table de relayage FortiGate.
Comment la distance administrative affecte-t-elle la préférence des routes ?
Lorsque plusieurs de routage, il est possible de forcer l’équipement FortiGate à sélectionner une route primaire (préférée) parmi les différentes routes, en diminuant sa distance administrative. La distance administrative se situe entre 1 et 255. Toutes les entrées de la ssociées à une distance adestination (les entrées pouvant avoir des associations de passerelles ou d’interfaces différentes), l’équipement FortiGate compare et sélectionne les enayant les distances les plus basses et les installe comme routes dans la table de relayage. De cette manière la table de relayage FortiGate ne contient que des routes ayant les distances les plus basses vers toutes les destinations possibles. Pour toutes informations sur la modification de ces distances administratives, « Ajout d’une route statique à la table de routage » à la page 200.
Comment le numéro de séquence d’une route affecte-t-elle la priorité de cette route ?
Une fois la sélection des routes statiques dans la table de relayage définie, la priorité de routage s’appuie sur le numéro de la route dans la liste. Lorsqu’il existe
Guide d’Administration FortiGate Version 3.0 195 01-30001-0203-20060424
deux routes pour une même destination dans la table de relayage, c’est la routequi possède le numéro le plus bas dans la succession qui est considérée comme la route avec la plus grande priorité. Dans la version 3.0 de FortiOS, il est possible de définir un champ de priorités pourles routes à partir
des commandes CLI. Ce champ ne tient pas compte du numéro
de séquence dans le cas où deux routes ont la même distance administrative – la rimaire. Si deux routes ont la
mp de priorités via la commande CLI
tion web, l’équipement FortiGate lui affecte
port1 »
route ayant la priorité la plus élevée est le route pmême priorité, il est possible de définir le chaset priority <integer> dans la commande config route static. Pour plus d’informations, voir le FortiGate CLI Reference. DH – New 3.0, partial fix for bug. Lorsqu’une route statique est créée dans la liste de Routes Statiques à partir de ’interface d’administralautomatiquement le prochain numéro de séquence. Par exemple, dans l’illustration 85, deux routes statiques vers une même destination (1.1.1.0/24) ont été créées pour montrer comment les numéros d’entrée et les numéros de séquence sont affectés par l’interface graphique. Les deux routes spécifient la même passerelle, mais dans un cas, le paquet quitte l’équipement FortiGate via l’interface «t dans le deuxième cas, via l’interface « port2 ». e
Illustration 85 : Routes statiques créées à partir de l’interface d’administration web
Le numéro de séquence dans la table de routage dépend de l’ordre de création des entrées. Ainsi l’entrée 2 a été créée avant l’entrée 3. Lorsque l’équipement FortiGate évalue ces deux routes pour une même destination, celles-ci seront toutes les deux ajoutées dans la table de relayage car leur distance administrative est basse. Une fois dans la table de relayage, le numéro de séquence détermine la priorité de la route, à moins que celle-ci ait été définie à partir de la commande CLI set priority. L’entrée 2 ayant le numéro de séquence le plus bas, elle devient la route préférée.
Remarque : Il es afficher les numéros des routes statiques dans la table de nde CLI config router static, et tapez ensuite getalente à la valeur edit <
t possible d’routage à partir de la comma . Le numéro d’une route est équiv ID_integer> entrée
édemment par une commstatic dans le FortiGate CL
s les routes ce l’ordre des entr
séquence des routes statiq ependant, le numéro de d’une route ne c
s Statiques. e leur création
e séquence peuuniquement.
ence plus bas qu’une autre route pour la même destination, l’équipement FortiGate
préc ande CLI. Pour plus d’informations, voir config router I Reference.
Lorsque toute statiques sont configurées à partir de l’interfagraphique, ées dans la liste de Routes Statiques équivaut à la
ues dans la table de routage. Cséquence orrespond pas toujours à son numéro d’entrée dans la liste de Route C’est le cas lorsque les numéros de séquence ont été définis lors d à partir de l’interface de commande en ligne. Les numéros d vent être spécifiés à partir de commandes CLI
En résumé, si une route de la table de routage possède un numéro de séqu
196 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
choisit la route avec le numéro dpouvez, lors de la configuration de ro
e séquence le plus bas. Etant donné que vous utes statiques, à partir de l’interface de ligne
les
ne g
Visualisation, cré
La liste de ent FortiGate
ues, l’équipement FortiGate évalue les nouvelles informations pour déterminer si celles représentent
n route différente comparée à toutes les autres routes présentes dans la table
Routeur > Static > u ique existante, cliquez sur son
ll à un équ un autre.
lustration 86 : Liste des Routes Statiques
de commande, spécifier les numéros de séquence ou la priorité à affecter, routes vers une même destination peuvent être définies comme prioritaires ou non en fonction de leurs numéro de séquence et priorité. Pour mettre la priorité sur uroute statique, vous devez créer cette route à partir de la commande CLI confirouter static et spécifier un numéro de séquence bas ou une priorité haute pour cette route.
ation et édition de routes statiques
s Routes Statiques affiche les informations que l’équipemcompare aux en-têtes des paquets dans le but de les diriger. Au départ, la liste comprend les routes statiques configurées par défaut (voir « Route par défaut et passerelle par défaut » à la page 198). Des entrées supplémentaires peuvent être créées manuellement. Lorsque vous ajoutez une route à la liste des Routes Statiq
u ede routage. Si aucune de ces routes ne possèdent la même destination, l’équipement FortiGate ajoute cette nouvelle route à la table de routage. Pour visualiser la liste des routes statiques, sélectionnez Ro te Statique. Pour éditer une entrée de route staticône Editer. L’i ustration 86 présente un exemple de liste de routes statiques appartenant
ipement FortiGate. Les noms des interfaces varient d’un modèle FortiGate à
Il
Créer Nouveau Permet d’ajouter une route statique à la liste des Routes
Statiques. Voir « Ajout d’une route statique à la table de routage » à la page 200.
és par l’équipement FortiGate.
Masque Le masque de réseau associé aux adresses IP.
Passerelle Les adresses IP des routeurs du prochain saut vers lequel les paquets interceptés sont envoyés.
Interface Le nom de l’interface FortiGate à travers laquelle les paquets interceptés sont reçus et envoyés.
Distance Les distances administratives associées à chaque route. La valeur représente la distance vers les routeurs du prochain saut.
Icônes Supprimer et Editer Permet de supprimer ou d’éditer l’entrée dans la liste.
IP Les adresses IP de destination des paquets intercept
Guide d’Administration FortiGate Version 3.0 197 01-30001-0203-20060424
Route par défaut et passerelle par défaut
Dans la configuration d’origine, l’entrée numéro 1 dans la liste des Routes Statiques est associée à l’adresse de destination 0.0.0.0/0.0.0.0, ce qui signifie toutes destinations. Cette route est appelée « la route statique par défaut ». Si aucune autre route n’est présente dans la table de routage et qu’un paquet doit être envoyé au-delà de l’équipement FortiGate, la route par défaut d’origine permet à l’équipement FortiGate d’envoyer le paquet vers la passerelle par défaut. Pour empêcher cela vous pouvez soit éditer la route statique par défaut et spécifier une passerelle par défaut différente, soit supprimer cette route statique par défaut et en spécifier une nouvelle qui dirige vers la passerelle par défaut. L’illustration 87 offre l’exemple d’un équipement FortiGate connecté à un routeur. Pour s’assurer que tous les paquets destinés à tout réseau au-delà du routeur sont commutés vers la bonne destination, il vous faut éditer la configuration par défaut et faire du routeur la passerelle par défaut de l’équipement FortiGate. Illustration 87 : Faire d’un routeur une passerelle par défaut
Dans cet exemple, pour diriger les paquets sortants du réseau interne vers des
z éditer la
ctée au réseau 192.168.10.0/24 (par
destinations qui ne sont pas sur le réseau 192.168.20.0/24, vous pouveroute par défaut et inclure les paramètres suivants :
• IP/Masque de destination : 0.0.0.0/0.0.0.0
• Passerelle : 192.168.10.1
• Interface : Nom de l’interface conneexemple, external).
• Distance : 10
198 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Le paramètre Passerelle spécifie, pour l’interface external du FortiGate, l’adresse IP de l’interface du routeur du prochain saut. L’interface derrière le
s routeurs derrière l’équipement FortiGate. Si la adresse IP d’un paquet n’est pas sur le réseau local mais sur un
réseau derrière l’un de ces routeurs, la table de routage de l’équipement FortiGate ce réseau. Dans l’exemple de l’illustration figuré avec des route statiques vers les
s
routeur (192.168.10.1) est la passerelle par défaut pour FortiGate_1. Dans certains cas, il peut y avoir dedestination d’une
doit comprendre une route statique vers88, l’équipement FortiGate doit être coninterfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets respectivement vers Network_1 et Network_2. llustration 88 : Destinations vers des réseaux derrière les routeurs interneI
rk_1 vers le Network_2, Router_1 doit être nternal de l’équipement Fo
Pour diriger les paquets du Netwoconfiguré pour utiliser l’interface i rtiGate comme sa
ar défaut. Vous pourriFortiGate une nouvelle route statiq
• IP/Masque de destination : 192.168.3
• Passerelle : 192.168.11.1
dmz
• Distance : 10
Pour diriger les paquets du Netwo
pour utiliser l’interface dmz de l’équipement FortiGate comme sa par défaut. Vous pourriez, pour cet exemple, créer sur l’équipement
• Distance : 10
passerelle p ez, pour cet exemple, créer sur l’équipement ue avec les paramètres suivants :
0.0/24
• Interface :
rk_2 vers le Network_1, Router_2 doit être configuré passerelleFortiGate une nouvelle route statique avec les paramètres suivants :
• IP/Masque de destination : 192.168.20.0/24
• Passerelle : 192.168.10.1
• Interface : internal
Guide d’Administration FortiGate Version 3.0 199 01-30001-0203-20060424
Spécifier une passerelle différente pour la route par défaut
La passerelle par défaut détermine vers quelle destination les paquets correspondants à la route par défaut seront envoyés.
pécifier une passerelle différente pour la route par défaut S
1
2
3
4
5 Dans le champ Distance, ajoutez, facultativement, la valeur de la distance administrative.
6
Ajout d’une route
ues se définissent manuellement. Les routes statiques contrôlent le trafic sortant de l’équipement FortiGate – vous pouvez spécifier à partir de quelle
tique, sélectionnez Routeur > Static > Route tatique et cliquez sur Créer Nouveau.
web, uence
la route et ajoute l’entrée à la liste de Routes Statiques. L’illustration 89 représente la boîte de dialogue d’édition d’une route statique appartenant à un équipement FortiGate ayant une interface appelée « internal ». Les noms des interfaces varient en fonction des modèles FortiGate. Illustration 89 : Nouvelle route statique
Sélectionnez Routeur > Static > Route statique.
Cliquez sur l’icône Editer de la ligne 1.
Dans le champ Passerelle, tapez l’adresse IP du routeur du prochain saut vers lequel le trafic sortant doit être dirigé.
Si l’équipement FortiGate atteint le routeur du prochain saut via une interface différente (comparé à l’interface en cours sélectionnée dans le champ Interface), sélectionnez le nom de l’interface dans le champ Interface.
Cliquez sur OK.
statique à la table de routage
Une route fournit au FortiGate les informations nécessaires pour envoyer un paquet vers une destination particulière. Une route statique permet aux paquets d’être envoyés vers une destination autre que la passerelle par défaut. Les routes statiq
interface le paquet sort et vers quelle interface le paquet doit être dirigé. Pour ajouter une entrée de route stas Lorsque vous ajoutez une route statique à partir de l’interface d’administrationl’équipement FortiGate affecte automatiquement le prochain numéro de séqà
Adresse IP destination / Masque Entrez l’adresse IP de destination et le masque de
réseau des paquets devant être interceptés par l’équipement FortiGate. La valeur 0.0.0.0/0.0.0.0 est réservée à la route par défaut.
200 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Passerelle Entrez l’adresse IP du routeur du prochain saut vers lequel l’équipement FortiGate enverra les paquets interceptés.
ur du prochain saut.
stance la
outeur du prochain saut. Une valeur
5.
Règle de Roue fois qu’un paque
détermine si le paquet a é lançant une versée utilisan cas FortiGate n’ar
adresse IP source, le boîtier FortiG
ù l’adresse d resse locale (et que la e permet
transfère le paquet vers lecorrespondante et/ou d’aprelayage FortiGate (voir « Lorsque des règles de route existent et qu’un paquet arrive sur l’équipement
rnier se réfère à la liste des Règles de Routage et tente de faire
utage. Si
Interface Sélectionnez le nom de l’interface FortiGate à travers laquelle les paquets interceptés passeront pour se diriger vers le route
Di Entrez une distance administrative pour la route. La valeur de la distance est arbitraire et devrait refléter distance vers le rplus basse indique une route préférée. La valeur se situe entre 1 et 25
tage A chaqu t arrive sur l’une des interfaces du FortiGate, ce dernier
té reçu par une interface légitime enrecherche in t l’adresse IP source de l’en-tête du paquet. Dans le où le boîtier rive pas à communiquer avec l’ordinateur de cette
ate annule le paquet. Dans le cas o e destination correspond à une adconfiguration local la livraison), l’équipement FortiGate livre le paquet au réseau local. Si le paquet est destiné à un autre réseau, l’équipement FortiGate
routeur du prochain saut d’après la règle de route rès les informations disponibles dans la table de Concepts de routage » à la page 194).
FortiGate, ce decorrespondre le paquet avec l’une d’entre elles. Si une correspondance est trouvée et que la règle contient assez d’informations pour diriger le paquet (l’adresse IP durouteur du prochain saut doit être spécifiée, ainsi que l’interface FortiGate pour l’envoi de paquets vers le routeur du prochain saut), l’équipement FortiGate dirige le paquet en fonction des informations contenues dans la règle de roaucune règle de routage correspond au paquet, l’équipement FortiGate dirige lepaquet utilisant la table de routage.
Remarque : Etant donné que la plupart des paramètres des règles sont optionnels, une règle seule risque de ne pas fournir toute l’information nécessaire au FortiGate pour envole paquet. L’équipement FortiGate peut se référer à la table de routage dans une tentativde faire corr
yer e
espondre les informations contenues dans l’en-tête du paquet avec une route ans la table de routage.
Par exemple, si l’interface sortante est le seul élément repris dans la règle, l’équipement FortiGate vérifie l’adresse IP du routeur du prochain saut dans la table de routage. Cette situation pourrait se présenter lorsque les interfaces FortiGate sont dynamiques (l’interface reçoit son adresse IP via DHCP ou PPPoE) et vous ne désirez pas ou n’arrivez pas à spécifier une adresse IP du routeur du prochain saut car l’adresse IP change dynamiquement.
Pour voir la liste des règles de routage, sélectionnez Routeur > Static > Policy Route. Pour éditer une règle de routage existante, cliquez sur l’icône Editer à côté de la règle que vous voulez éditer. L’illustration 90 représente une liste de règles de routage appartenant à un équipement FortiGate qui possèdent des interfaces appelées « external » et « internal ». Les noms des interfaces varient selon les modèles FortiGate.
d
Guide d’Administration FortiGate Version 3.0 201 01-30001-0203-20060424
Illustration 90 : Liste de Règle de Routage
Créer Nouveau Permet d’ajouter une règle de routage. Voir « Ajout d’une règle
de routage » à la page 202.
Les numéros ID des rè es de routage configurées. Ces numéros sont séquentiels, à moins que des règles aient été modifi
Interface source Les in de rou
Interface destination Les in s lesquelles les paquets routés par règles
Source Les ad nsables ap
Destination Les adrespon
Icône Supprimer Perme
Icône Déplacer Permebas da e icône, une nouve e vous pouvez spécifier la nouVoir «
Ajout d’une règle de routage
Les options des règles de routagresponsable de l’application d’un . Si les propriétés d’un paquet
s les condle paquet à travers l’interface sp
Pour ajouter une règle de routagroutage et cliquez sur Créer No
la boîte de dialogue d’une nouvelle règle de routage ent FortiGate qui possèdent des interfaces appelées
# gl
ées dans la table.
terfaces sur lesquelles les paquets sujets à des règlestage ont été reçus.
terfaces à traver sont dirigés.
resses IP source et masques de réseau respode l’ plication de règles de routage.
resses IP de destination et les masques de réseau sables de l’application de règles de routage.
t de supprimer une règle de routage.
Icône Editer Permet d’éditer une règle de routage.
t de déplacer une règle de routage vers le haut ou le ns la table de routage. En sélectionnant cett
lle fenêtre s’affiche dans laquellvelle localisation dans la table de Règles de Routage. Déplacer une règles de routage » à la page 203.
e définissent les propriétés d’un paquet entrant e règle de routage
correspondent à toute itions spécifiées, l’équipement FortiGate commute écifiée vers la passerelle désignée.
e, sélectionnez Routeur > Static > Règle de uveau.
L’illustration 91 représenteappartenant à un équipem« external » et « internal ». Les noms des interfaces varient selon les modèles FortiGate.
202 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 91 : Nouvelle Règle de Routage
Protocole Pour exécuter des règles de routage en fonction de la
valeur dans le champ protocole du paquet, entrez le numéro de protocole correspondant. Cette valeur se situe entre 0 et 255. La valeur 0 désactive la fonctionnalité.
Interface source Sélectionne le nom de l’interface à travers laquelle les paquets entrants sujets à la règle sont reçus.
Adresse source et masque Pour exécuter des règles de routage en fonction de l’adresse IP source du paquet, entrez l’adresse source et le masque de réseau correspondants. La valeur 0.0.0.0/0.0.0.0 désactive la fonctionnalité.
Adresse destination et masque Pour exécuter des règles de routage en fonction de l’adresse IP de destination du paquet, entrez l’adresse de destination et le masque de réseau correspondants. La valeur 0.0.0.0/0.0.0.0 désactive la fonctionnalité.
Ports destination Pour exécuter des règles de routage en fonction du port sur lequel est reçu, entrez le même numéro de port dans les champs Début et Fin. Si vous voulez que cette règle s’applique à un intervalle de ports, entrez le premier port de la plage dans le champ Début et le dernier dans le champ Fin. Les valeurs 0 désactivent cette fonctionnalité.
Interface destination Sélectionnez le nom de l’interface à travers laquelle les paquets concernés pas la règle passeront.
Passerelle Entrez l’adresse IP du routeur du prochain saut que l’équipement FortiGate peut accéder à travers l’interface spécifiée. La valeur 0.0.0.0 n’est pas valide.
Déplacement d’une règle de routage
Une nouvelle règle de routage est ajoutée au bas de la table de routage. Si vous désirez qu’une règle en précède une autre, vous aurez peut-être à la déplacer plus haut dans la table de routage. Le choix entre deux routes se présente lorsque celles-ci sont identiques. Prenons l’exemple suivant de deux routes présentes dans la table de routage : 172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux correspondre à 172.20.120.112 mais la deuxième est préférable. Elle devrait donc être positionnée avant l’autre dans la table de routage. A partir de l’interface de ligne de commande, vous pouvez affecter des priorités aux routes. Ainsi dans le cas de deux routes identiques dans la table de routage, la
Guide d’Administration FortiGate Version 3.0 203 01-30001-0203-20060424
priorité déterminera la route à utiliser. Cette fonctionnalité n’est disponible qu’à ommande.
ne règle de routage
partir de l’interface de ligne de c Illustration 92 : Déplacement d’u
Av nt / Après Sélectionnez A
sélectionnée aa vant pour placer la règle de routage
vant la route indiquée. Sélectionnez Après pour a règle de routage sélectionnée après la route e.
Pol de la règle de routage avant ou après laquelle doit venir se positionner la règle de routage sélectionnée.
placer lindiqué
icy route ID Entrez l’ID
204 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Routeur dr
s protocoles de routage dynamiques suivants :
ynamique Cette section explique comment configurer des protocoles dynamiques pour dirigele trafic à travers de larges et complexes réseaux. Les protocoles de routage dynamiques permettent à l’équipement FortiGate de partager automatiquement les informations sur les routes et réseaux avec les routeurs voisins. Le boîtier
ortiGate supporte leF
• Routing Information Protocol (RIP)
• Open Shortest First (OSPF)
• Border Gateway Protocol (BGP)
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent être configurées à partir de l’interface d’administration web. De nombreuses options supplémentaires peêtre configurées à partir de l’interface de ligne de commande uniquement. Des descripet exemples complets sur l’utilisation de commandes CLI pour configurer les paramètres RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Le boîtier FortiGate sélectionne des routes et met à jour sa table de routage dynamiquement en fonction de règles spécifiées. A partir d’un ensemble de règles, l’équipement FortiGate peut déterminer la meilleure route pour l’envoi de paquets vers une destination. Des règles peuvent également ê
uvent tions
tre définies pour supprimer la difier les informations de publicité des routes vers les routeurs voisins et/ou mo
routage FortiGate avant de les publier.
Remarque : Le boîtier FortiGate peut opérer comme un routeur PIM (Protocol Independant Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes Pclairsemé et de
IM nse et peuvent servir de serveurs ou receveurs multicast sur le segment
seau auquel l’interface FortiGate est connectée. PIM peut utiliser des routes statiques,
Multicast
RIP Le RIP est un protocole de routage à vecteur de distance prévu pour de petits réseaux relativement homogènes. L’implémentation FortiGate du RIP supporte les versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
réRIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.
Les sujets suivants sont parcourus dans cette section :
• RIP
• OSPF
• BGP
•
Remarque : Les options de base de routage peuvent être configurées à partir de l’interface d’administration web. De nombreuses options supplémentaires peuvent être configurées à partir de l’interface de ligne de commande uniquement. Des descriptions et exemples complets sur l’utilisation de commandes CLI pour configurer les paramètres RIP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Guide d’Administration FortiGate Version 3.0 205 01-30001-0203-20060424
Fonctionnement
orsque le routage RIP est activé, l’équipement FortiGate émet des requêtes pour es annonces RIP à partir de chacune de ses interfaces pour lesquelles le RIP est
uteurs voisinL’équipement FortiGate ajroutage, à sa propre table te déjà dans sa table de routage, l’équipement For a en choisit une. La métrique utilisée par RImeilleure route. Un nombr de 1 représente un réseau connecté directement à l’équipement Fo n réseau que l’équipement F dre. Chaque réseau traversé par un paquet pour atteindLorsque l’équipement Fortla route ayant le nombre d
un routnt des
fournissent des informations à propo s dans la table de ortiGate en fonc
préciser la fréquence à laqtemps pendant lequel unesubir de mise à jour, et encombien de temps l’équipeavant qu’elle soit supprimé
Visualisation et édition des paramètres de base RIP
Lors de la configuration deavec RIP, ain s les paramètres supplémentaires nécessaires
r le fonctionnemréseau RIP. Pour configurer les param n réseau RIP, sélectionnez Rde fonctionnement d’une icorrespondante à l’interfac L’illustraqui possinterfaces varient d’un mod
RIP
Ldactivé. Les ro s répondent en se basant sur leur table de routage.
oute les routes de ses voisins, absentes de sa table de de routage. Si une route existiG te compare la route diffusée à la route enregistrée et
P utilise le nombre de sauts (hop count) pour choisir la e de sauts
rtiGate. Un nombre de sauts de 16 représente uortiGate ne peut pas atteinre sa destination compte en général pour un saut. iGate compare deux routes pour une même destination, e sauts le plus bas est ajoutée à la table de routage.
Par ailleurs, lorsqu’ age RIP est activé sur une interface, le boîtier FortiGate envoie régulièreme réponses RIP aux routeurs voisins. Les annonces
s des routes présenteroutage F tion des règles de diffusion spécifiées. Il est possible de
uelle l’équipement FortiGate envoie ces annonces, le route est sauvegardée dans la table de routage sans core, pour les routes non mises à jour régulièrement, ment FortiGate diffuse la route comme inatteignable e de la table de routage.
paramètres RIP, vous devez spécifier les réseaux si que toufonctionnant
pour ajuste ent RIP sur les interfaces FortiGate connectées au
ètres de base d’un équipement FortiGate connecté à uouteur > Dynamic > RIP. Pour éditer les paramètres
nterface, cliquez sur l’icône Editer dans la ligne e (sur laquelle le routage RIP est activé).
tion 93 représente les paramètres de base RIP d’un équipement FortiGate èdent des interfaces appelées « external » et « internal ». Les noms des
èle FortiGate à un autre.
206 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 93 : Paramètres de base RIP
Version RIP Sélectionnez le niveau de compatibilité. Vous pouvez activer les paramètres globaux RIP sur toutes les interfaces FortiGate
IP
ique si nécessaire (voir « Ignorer les ge
Options Avancées
Réseaux au des réseaux principaux
seaux, les interfaces
IP/Masque
Add
Interfaces
Version - Envoyés
connectées aux réseaux RIP :
• Sélectionnez 1 pour envoyer et recevoir les paquets RIPversion 1.
• Sélectionnez 2 pour envoyer et recevoir les paquets Rversion 2.
• Sélectionnez Les deux pour envoyer et recevoir les paquets RIP versions 1 et 2.
Vous pouvez ignorer les paramètres globaux pour une interface FortiGate spécifparamètres de fonctionnement sur une interface » à la pa209).
Sélectionnez Options Avancées RIP. Voir « Sélection d’options RIP avancées » à la page 208.
Les adresses IP et masques de rése(connectés à l’équipement FortiGate) muni de RIP. Lorsque vous ajoutez un réseau à la liste des RéFortiGate faisant partie de ce réseau sont diffusées dans les annonces RIP. Vous pouvez activer RIP sur toutes les interfaces FortiGate dont les adresses IP correspondent à l’espace adressage du réseau RIP.
Entrez l’adresse IP et le masque de réseau qui définissent le réseau RIP.
Permet d’ajouter les informations sur le réseau à la liste des Réseaux.
Tous les paramètres supplémentaires nécessaires pour ajuster le fonctionnement RIP sur une interface FortiGate.
Créer Nouveau Permet de configurer les paramètres de fonctionnement RIP d’une interface. Ces paramètres ignoreront les paramètres globaux RIP pour cette interface. Voir « Ignorer les paramètres de fonctionnement RIP sur une interface » à la page 209.
Interfaces Sélectionnez l’interface pour laquelle configurer les paramètres de fonctionnement RIP.
Sélectionnez la version RIP utilisée pour l’envoi d’annonces à partir de chaque interface : 1, 2 ou les deux.
Guide d’Administration FortiGate Version 3.0 207 01-30001-0203-20060424
Version - Reçus Sélectionnez la version RIP utilisée pour la réception d’annonces à partir de chaque interface : 1, 2 ou les deux
Sélectionnez le type d’authentification utilisé sur cette interface : None, Text ou MD5.
.
Authentification
Icônes Supprimer et Editer
Sélection d’options RIP avancées
Les options RIP avancéescompteurs RIP et de définl’équipement FortiGate a pC’est le r exemple, BGP ou encore si vous ajoroutage FortiGate. Dans cl’équipement FortiGate de ce
Routeur > Dynamic > RIP nné les options, cliquez
Passive Sélectionnez pour bloquer l’émission RIP sur cette interface.
Permet de supprimer ou d’éditer une entrée réseau RIP ou une définition d’interface RIP.
vous permettent de spécifier les paramètres des ir les métriques pour la redistribution de routes dont ris connaissance autrement que par les annonces RIP.
cas pa si le boîtier FortiGate est connecté à un réseau OSPF ou utez manuellement une route statique à la table de
es cas-là, vous pouvez configurer la diffusion par s routes sur les interfaces RIP.
Pour sélectionnez les options RIP avancées, sélectionnez et dérouler les Options Avancées. Après avoir sélectio
sur Appliquer.
Remarque : Des options avancées supplémentaires peuvent être configurées à partir del’interface de ligne de commande. Par exemple, vous pouvez filtrer les annonces enet sortantes grâce à l’utilisation d’une carte de route, d’une l
trantes
iste d’accès ou encore d’une te de préfixes. L’équipement FortiGate supporte également des listes offset, qui ajoutent lis
un décalage aux métriques d’une route. Pour plus d’informations, voir le chapitre « Routeur » dans le FortiGate CLI Reference. Illustration 94 : Options avancées (RIP)
Métrique par défaut Entrez le nombre de sauts p
FortiGate devrait afar défaut que l’équipement
fecter aux routes ajoutées à la table de routage. Ce nombre varie entre 1 et 16.
Cette valeur s’applique également à la Redistribution des routes à
Annoncer la route par Sélectiondéfaut dans RIP route pa
générée ées à partir
ge o
moins que spécifié différemment.
nez pour générer et annoncer sans restriction une r défaut vers les réseaux RIP FortiGate. La route peut être basée sur des routes annonc
d’un protocole de routage dynamique, des routes de la table de routa u les deux.
208 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Compteurs RIP Igno s paramètres par défaut du compteur RIP. Ces res sont en vigueur dans la plupart des configurations de modification
re leparamèt– en cas s de ces paramètres, veillez à ce que les nouvlocaux e
Annonces Entrez le laps de temps (en s e envoi par le boîtie r
Route invalidée Entrez le temproute res cannonce n’es m pendant lequatteignable dn’est reçue pune annonceécoulé, le co
Cette péri dela périod
mée Entrez le tempFortiGatavant dedéterminreste da
Redistribution des routes Activez ou désactivez les annonces RIP concernant les routes qui n’ont pas été diffusées via annonces RIP. L’équipement
nnez cette option pour redistribuer les routes diffusées via des réseaux connectés directement. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case
e
ombre étrique et entrez
dans son champ le nombre de sauts. Ce nombre varie entre 1 et 16.
Sélectionnez cette option pour redistribuer les routes diffusées
p
ées s
nombre de sauts. Ce nombre varie entre 1 et 16.
Ignorer les param
IP. Par
RIP, vous pouvez configurer l’interface our qu’elle fonctionne passivement. Les interfaces passives reçoivent les
eaux paramètres soient compatibles avec les routeurs t les serveurs d’accès.
econdes) entre chaqur Fo tiGate des annonces RIP.
s maximum (en secondes) pendant lequel une te onsidérée comme atteignable bien qu’aucune
t reçue pour cette route. C’est le temps maximuel l’équipement FortiGate gardera une route ans la table de routage alors qu’aucune annonce our cette route. Si l’équipement FortiGate reçoit pour cette route avant que le laps de temps soit mpteur redémarre.
o devrait être au moins trois fois plus longue que e Annonces ci-dessus.
Route suppri s (en secondes) pendant lequel l’équipement e annoncera une route dont le statut est inatteignable la supprimer de la table de routage. Cette valeur e le temps pendant lequel une route inatteignable ns la table de routage.
FortiGate peut utiliser le RIP pour redistribuer les routes diffusées à partir de réseaux connectés directement, de routes statiques, OSPF et/ou BGP.
Connectées Sélectio
Métrique et entrez dans son champ le nombre de sauts. Cnombre varie entre 1 et 16.
Statiques Sélectionnez cette option pour redistribuer les routes diffusées via des routes statiques. Si vous désirez spécifier un nde saut pour ces routes, cochez la case M
OSPF via OSPF. Si vous désirez spécifier un nombre de saut pour ces routes, cochez la case Métrique et entrez dans son chamle nombre de sauts. Ce nombre varie entre 1 et 16.
BGP Sélectionnez cette option pour redistribuer les routes diffusvia BGP. Si vous désirez spécifier un nombre de saut pour ceroutes, cochez la case Métrique et entrez dans son champ le
ètres de fonctionnement RIP d’une interface
Les options des interfaces RIP vous permettent d’ignorer les paramètres globaux RIP qui s’appliquent à toutes les interfaces connectées à des réseaux Rexemple, si vous voulez supprimer l’envoi d’annonces RIP sur une interface connectée à un sous-réseau ou réseau pannonces RIP mais ne répondent pas aux requêtes. La version 2 du RIP permet de choisir un mot de passe d’authentification afin que l’équipement FortiGate authentifie un routeur voisin avant d’accepter ses
Guide d’Administration FortiGate Version 3.0 209 01-30001-0203-20060424
annonces. L’équipement FortiGate et les routeurs voisins doivent être configuréavec le même mot de passe. Le procédé d’authentification garantit l’authenticité dupaquet d’annonces mais n
s
e garantit pas la confidentialité des informations sur le utage contenus dans le paquet. ro
Pour définir les paramètres RIP des interfaces RIP, sélectionnez Routeur > Dynamic > RIP et cliquez sur Créer Nouveau.
Remarque : Certaines options supplémentaires telles que « split-horizon » et « key-chain » peuvent être configurées sur chaque interface à partir de l’interface de ligne de commande. Pour plus d’informations, voir le chapitre Routeur dans le FortiGate CLI Reference. L’illustration 95 représente la boîte de dialogue Nouvelle/Editer Interface RIP appartenant à un FortiGate qui possède une interface appelée « internal ». Les noms des interfaces varient selon les modèles FortiGate. Illustration 95 : Nouvelle/Editer Interface RIP
rface
Inte Sélectionnez le nom de l’interface pour laquelle les
paramètres ci-dessous s’appliquent. L’interface doit
annonces à travers l’interface : RIP version 1, version
u les deux.
Authentification Sélectionnez une méthode d’authentification pour les échanges RIP sur l’interface spécifiée :
er
de RIP version 2, vous pouvez facultativement un mot de passe uipement FortiGate
de passe est envoyé sous forme de texte à travers le réseau.
• Sélectionnez MD5 pour authentifier un échange
supprimer l’annonce des informations de à travers l’interface spécifiée. Pour
,
être connectée à un réseau RIP. L’interface peut être une interface virtuelle IPSec ou GRE.
Version des annonces envoyées, Sélectionnez pour ignorer le paramètre par défaut Version des annonces reçues de compatibilité RIP pour l’envoi ou la réception des
2 o
• Sélectionnez None pour désactivl’authentification.
• Pour une interface connectée à un réseau muni
sélectionner Texte et entrez (jusqu’à 35 caractères). L’éqet le routeur des annonces RIP doivent être configurés avec le même mot de passe. Le mot
via MD5.
Passive Interface Permet de routage FortiGateactiver les réponses de l’interface aux requêtes RIPne pas sélectionner cette case.
210 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
OSPF un protocole de routage IP de type état de lien utilisé généralement sur
e les OSPF est de larges réseaux hétérogènes pour partager les informations de routage entrrouteurs d’un même Système Autonome (AS). L’équipement FortiGate supporte OSPF version 2 (voir RFC 2328).
Remarque : Les options de base de routage OSPF peuvent être configurée à partir de
s F via l’utilisation des
apitre Routeur du FortiGate CLI Reference.
articiper aux échanges de communications OSPF. Le boîtier re.
oisins OSPF pour confirmer que ceux-
rs OSPF génèrent des LSA (link-state advertisements) et les envoient à urs voisins à chaque changement de statut d’un voisin ou lorsqu’un nouveau
raît dans l’aire. entre les voisins OSPF. Uaire et procure des informachemin le plus court vers uOSPF sont authentifiés.
basée sur les LSA re route (chemin le
applique l’algorithme SPF protocole OSPF utilise le coût relatif commemeille ût imFortiGate. Le coût d’une roaux interfaces de sorties s in vers la destination. C’est la route au moind ût qui sera con L’équipement FortiGate mdes résultats des calculs S PF sera commuté vers sa de n via le chemi seau, les entrées dans la table de routage F
• les adresses réseaux de l’envoyés directement).
l’interface d’administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptionet exemples complets sur la configuration de paramètres OSPcommandes CLI, voir le ch
Systèmes autonomes OSPF
Un système autonome OSPF est divisé en aires (ou zones) logiques reliées par des routeurs de bordure de zones. Une aire comprend un groupe de réseaux environnants. Un routeur de bordure de zones relie une ou plusieurs aires au backbone du réseau OSPF (Aire ID 0). Pour spécifier les caractéristiques d’un système autonome OSPF, voir « Définition d’un système autonome OSPF » à la page 212 . Lorsqu’un équipement FortiGate possède une de ses interfaces dans une aire OSPF, il peut alors pFortiGate utilise le protocole OSPF Hello pour acquérir des voisins dans une aiTout routeur qui possède une interface dans la même aire que le boîtier FortiGateest un voisin. Après un contact initial, l’équipement FortiGate échange égulièrement des paquets Hello avec ses vr
ci peuvent être joints. Les routeulevoisin appa Tant que le réseau OSPF est stable, il n’y a pas de LSA
n LSA identifie des interfaces de tous les routeurs d’une tions qui permettent aux routeurs de sélectionner le ne destination. Tous les échanges LSA entre routeurs
L’équipement FortiGate maintient une base de données des informations d’étatsde lien reçus des autres routeurs OSPF. Pour calculer la meilleu plus court) vers une destination, l’équipement FortiGate
(Shortest Path First) aux informations d’états de lien. Le métrique de base pour le choix de la
ure route. Le co pose une pénalité en sortie à chaque interface d’un ute est calculé en additionnant tous les coûts associés ur le chem
re co sidérée comme la meilleure route.
et à jour sa table de routage dynamiquement, en fonction PF pour assurer qu’un paquet OS
stinatio n le plus court. Selon la topologie du réortiGate peuvent inclure :
aire locale OSPF (vers lesquels les paquets sont
Guide d’Administration FortiGate Version 3.0 211 01-30001-0203-20060424
• des routes vers les routeupaquets destinés à d’a
• si le réseau contient d SPF et des domaines non-OSPF, des routes vsont configurés pour lsystème autonome OSPF.
Le nombre de routes porté dépendent de la topologie u des dizaines de milliers de routes
Définition d’un système autonome (AS) OSPF
Définir un AS OSPF comp
• la définition de caracté
• la création d’associati x ux à inclure dans l’AS OSPF.
si nécessaire, ajuster
Les procédures suivantesl’interface d’administration Défin
1 Sélectionnez Routeur > Dy
2 Clique r Nouvea
3 Définissez les caractéristiq n d’aires OSPF » à la page
4 Créer Nouveau
5 ssociations en réseaux locaupage
6 S’il est nécessaire d’ajustecliquez sur Créer Nouvea
7 Sélec z les paramètrde paramètres de fonction 18.
8 Répét pes 6 et 7
9 Facultativement, sélection r l’AS OSPF. Voir « Sélection d’options OSP
10 Cliquez sur Appliquer.
Visualisation et édition de paramètres
ation de l activé et spécifi ortiGate qui en font
partie. Pour cela il faut également spécifier les aires AS et les réseaux à inclure dans ces aires. Vous pouvez facultativement ajuster les paramètres associés aux opérations OSPF sur les interfaces FortiGate.
rs de bordure d’aires OSPF (vers lesquels les utres aires sont envoyés).
es aires Oers les routeurs frontières AS, qui résident dans le réseau backbone OSPF et
’envoi de paquets vers des destinations en dehors du
es à la connaissance de l’équipement FortiGate d réseau. Un seul équipement FortiGate peut supporter
si le réseau OSPF est configuré correctement.
rend :
ristiques d’une ou plusieurs aires OSPF.
ons entre aires OSPF que vous définissez et les réseauloca
• les paramètres des interfaces OSPF.
décrivent la configuration de ces tâches à partir de web.
ir un AS OSPF
namic > OSPF.
z sur Crée u dans la section Aires.
ues d’une ou plusieurs aires OSPF. Voir « Définitio216.
Cliquez sur dans la section Réseaux.
Créez des a tre les aires OSPF que vous définissez et les x à inclure dans l’AS OSPF. Voir « Spécification des réseaux OSPF » à la 217.
r les paramètres par défaut d’une interface OSPF, u dans la section Interfaces.
tionne es de fonctionnement pour l’interface. Voir « Sélection nement d’une interface OSPF » à la page 2
ez les éta si nécessaire pour d’autres interfaces OSPF.
nez les options OSPF avancées pouF avancées » à la page 214.
de base OSPF
Lors de la paramètres OSPF, il vous faut dOSPF est er les interfaces de l’équipement F
configur éfinir l’AS dans leque
212 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour visualiser et éditer les paramètres OSPF, sélectionnez Routeur > Dynamic >
lustration 96 : Paramètres de base OSPF
OSPF. L’illustration 96 représente les paramètres de base OSPF d’un équipement FortiGate qui possède une interface appelée « port1 ». Les noms des interfaces varient en fonction des modèles FortiGate. Il
Entrez un
Routeur ID ID de routeur unique en vue d’identifier l’équipement
ar convention, nt Ne
Options A .
Aires
Créer Nouveau
Aire
Type
ea », le type affiché est « Stub ».
FortiGate vis-à-vis des autres routeurs OSPF. Pl’ID du routeur est l’adresse IP la plus haute (numériquemeparlant) de toutes les interfaces FortiGate dans l’AS OSPF. pas modifier l’ID du routeur pendant le fonctionnement d’OSPF.
vancées Voir « Sélection d’options OSPF avancées » à la page 214
Informations à propos des aires (zones) qui forment l’AS OSPF. L’en-tête d’un paquet OSPF contient l’ID de l’aire, ce qui permet d’identifier l’origine d’un paquet au sein d’un AS.
Permet de définir une aire OSPF et d’ajouter cette nouvelle aire à la liste des Aires. Voir « Définition d’aires OSPF » à la page 216.
Chaque ligne comprend l’identificateur (ID) 32 bits unique, exprimé sous forme de notation décimale à point, d’une aire dans l’AS. L’aire portant l’ID 0.0.0.0 est l’aire backbone de l’AS et ne peut être changé ou supprimé.
Les différents types des aires dans l’AS :
• Dans le cas où l’aire est une aire normale OSPF, le typeaffiché est « Regular ».
• Si l’aire est une « not-so-stubby area », le type affiché est « NSSA ».
• Si l’aire est une « stub ar
Pour plus d’informations, voir « Définition d’aires OSPF » à la page 216.
Guide d’Administration FortiGate Version 3.0 213 01-30001-0203-20060424
Authentification t FortiGate liées à chaque aire.
• Lorsqu’une authentification avec mot de passe en texte est activée, la mention Texte s’affiche.
• Lorsque l’authentification MD5 est activée, la mention MD5 s’affiche.
Des paramètres d’authentification différents peuvent s’appliquer à certaines interfaces d’une aire, tel qu’affiché dans la section Interfaces. Par exemple, si une aire utilise des mots de passe simples, vous pouvez configurer un mot de passe différent pour un ou plusieurs réseaux de cette aire.
Les réseaux de l’AS OSPF et leur ID aire. Lorsqu’un réseau est ajouté dans la liste des Réseaux, toutes les interfaces FortiGate faisant partie du réseau sont annoncées via les LSA
OSPF.
Aire L’ID de l’aire affectée à l’espace adressage réseau OSPF.
e fonctionnement
s de fonctionnement d’une
nts des valeurs par défaut affectées à toutes les autres interfaces d’une même aire.
IP Les adresses IP des interfaces OSPF ayant des paramètres
ônes Supprimer Sélectionnez pour supprimer ou éditer une aire OSPF, un finition d’interface.
Sélection d’options avancées OSPF
Les options OSPF avancéredistribution de routes domoyens que les LSA OSP ipement FortiGate est connecté à un réseau RIP ou BGP ou encore si vous ajoutez manuellement
Les méthodes d’authentification de paquets OSPF envoyés ereçus à travers les interfaces
• Lorsque l’authentification est désactivée, la mention None s’affiche.
Réseaux
OSPF. Vous pouvez activer OSPF sur toutes les interfacesdont les adresses IP correspondent à l’espace adressage réseau
Créer Nouveau Sélectionnez pour ajouter un réseau à l’AS, spécifier son ID aire et ajouter une définition à la liste Réseaux. Voir « Spécification des réseaux OSPF » à la page 217.
Réseaux Les adresses IP et masques de réseau des réseaux de l’AS sur lesquels OSPF est activé. L’équipement FortiGate peut avoir des interfaces physiques ou VLAN connectées au réseau.
Interfaces Tout paramètre supplémentaire nécessaire à l’ajustement du fonctionnement OSPF sur une interface FortiGate.
Créer Nouveau Sélectionnez pour ajouter des paramètres dOSPF supplémentaires ou différents pour une interface FortiGate et ajouter la configuration à la liste des Interfaces. Voir « Sélection de paramètreinterface OSPF » à la page 218.
Nom Les noms des définitions des interfaces OSPF.
Interface Les noms des interfaces physiques ou VLAN ayant des paramètres différe
supplémentaires ou différents.
Authentification Les méthodes d’authentification des échanges LSA envoyés ou reçus sur des interfaces OSPF spécifiées. Ces paramètres ignorent les paramètres de l’authentification de l’aire.
Icet Editer réseau ou une dé
es vous permettent de préciser les métriques pour la nt le boîtier FortiGate a pris connaissance par d’autres F. C’est le cas par exemple, si l’équ
214 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
une ro e de routage FortiGate. Dans ces cas-là, voe FortiGate de ces routes sur les interfaces OSPF.
ute statique à la tabl us pouvez configurer la diffusion par l Pour sélectionnez les optio s OSPF et dérouler les Optio s Avancéecliquez sur Appliquer. Illustration 97 : Options OSPF a
n OSPF avancées, sélectionnez Routeur > Dynamic n s. Après avoir sélectionné les options,
vancées
Information par défaut Gén
OSPl’équroutagles d
Aucun
Regular e lae
est présente dans la table de routage.
Toujours Génère une route par défaut dans l’AS OSPF et diffuse la
même si la route est absente de la table de routage.
Redistribution Active ou désactive les LSA OSPF à propos des routes non diffusées via OSPF. L’équipement FortiGate peut utiliser OSPF pour redistribuer les routes diffusées à partir de réseaux
diffusées à partir de réseaux connectés directement. Si vous désirez préciser un coût pour ces routes, entrez le coût dans le champ
ût
ntrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et 16 777 214.
ption pour redistribuer les routes diffusées à partir de RIP. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut
BGP s routes diffusées
ère ou diffuse une route par défaut (external) vers l’AS F. La route générée peut être basée sur des routes dont ipement FortiGate a eu connaissance via un protocole de
e dynamique ou des routes dans la table de routage, ou eux.
Désactive la génération d’une route par défaut.
Génère une route par défaut dans l’AS OSPF et diffus route aux systèmes autonomes voisins seulement si la rout
route aux systèmes autonomes voisins inconditionnellement
connectés directement, de routes statiques, RIP et/ou BGP.
Connecté Sélectionnez cette option pour redistribuer les routes
Métrique. Ce coût peut varier entre 1 et 16 777 214.
Statiques Sélectionnez cette option pour redistribuer les routes diffuséesà partir de routes statiques. Si vous désirez spécifier un copour ces routes, e
RIP Sélectionnez cette o
varier entre 1 et 16 777 214.
Sélectionnez cette option pour redistribuer leà partir de BGP. Si vous désirez spécifier un coût pour ces routes, entrez le coût dans le champ Métrique. Ce coût peut varier entre 1 et 16 777 214.
Remarque : Des options avancées supplémentaires peuvent être configurées à partir de l’interface de ligne de commande. Pour plus d’informations, voir le chapitre « Routeur » dans le FortiGate CLI Reference.
Guide d’Administration FortiGate Version 3.0 215 01-30001-0203-20060424
Définitions d’aires OSPF
Une aire définit logiquement une partie de l’AS OSPF. Chaque aire est identifiée par un ID aire de 32 bits exprimé sous forme de notation décimale à point. L’aireportant l’ID 0.0.0.0 est l’aire backbone du réseau OSPF. Il existe trois classifications pour les aires d’une AS :
Regular
our atteindre le backbone OSPF, les routeurs d’une aire stub doivent envoyer les paquets vers un routeur de bordure de zones. Les routes qui mènent vers des domaines non-OSPF ne sont pas diffusées aux routeurs des aires stub. Le routeur de bordure de zones diffuse à l’AS OSPF une seule route par défaut (destination 0.0.0.0) dans l’aire stub, qui assure que tous les paquets OSPF ne correspondant pas à une route spécifique correspondront à la route par défaut. Tous les routeurs connectés à une aire stub est considérée comme faisant partie de cette aire.
-So-Stubby Area), les routes qui sortent de l’aire vers un
es.
e
diter dans
•
• Stub
• NSSA
Une aire « Regular » comprend plus d’un routeur, chacun ayant au moins une interface OSPF dans cette aire. P
Dans une aire NSSA (Notdomaine non-OSPF sont diffusées à l’AS OSPF. Cependant, l’aire elle-même continue d’être traitée comme une aire stub par le reste de l’AS. Les aires Regular et stub (y compris NSSA) sont connectées au backbone OSPFpar l’intermédiaire de routeurs de bordure de zon Pour définir une aire OSPF, sélectionnez Routeur > Dynamic > OSPF et cliquezsur Créer Nouveau dans la section Aires. Pour éditer les propriétés d’une airOSPF, sélectionnez Routeur > Dynamic > OSPF et cliquez sur l’icône Ela ligne correspondante à l’aire concernée.
Remarque : Si nécessaire, vous pouvez définir un lien virtuel vers une aire qui a perdu sa connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement être définis entre deux équipements FortiGate qui agissent en tant que routeurs de bordure de zones. Pour plus d’informations, voir « config virtual-link » sous la sous-commande OSPF « config area » dans le FortiGate CLI Reference. Illustration 98 : Nouvelle/Editer Aire OSPF
Aire Entrez un identificateur de 32 bits pour cette aire. La valeur
doit être similaire à une adresse IP sous forme de notation
Type
décimale à point. Une fois l’aire OSPF créée, la valeur IP de cette aire ne peut plus être modifiée.
Sélectionnez un type d’aire pour catégoriser les caractéristiques du réseau qui seront affectées à l’aire :
216 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• Sélectionnez Regular si l’aire comprend plus d’un routechacun ayant au moins une interface OSPF dans
• Sélectionnez NSSA si vous désirez des routes vers des domaines non-OSPF diffusés sur l’AS OSPF et désirez que l’aire soit traitée comme une aire stub pal’AS.
ur, l’aire.
r le reste de
t bordure de zones
Authentification Séleenvo termédiaire de toutes les interfaces
• l’authentification.
ntification sous forme de texte pour authentifier les ous forme
MD5.
ne ou amètres
nterface OSPF » à la page 218.
• Sélectionnez STUB si les routeurs de l’aire doivenenvoyer des paquets vers un routeur en pour atteindre le backbone et que vous ne désirez pas que les routes vers des domaines non-OSPF soit diffusées vers les routeurs dans l’aire.
ctionnez la méthode d’authentification OSPF des paquets yés et reçus par l’in
dans cette aire :
Sélectionnez None pour désactiver
• Sélectionnez Texte pour activer un mot de passe d’autheéchanges LSA. Le mot de passe est envoyé sde texte à travers le réseau.
• Sélectionnez MD5 pour authentifier un échange via
Si nécessaire, vous pouvez ignorer ce paramètres pour uplusieurs interfaces de l’aire (voir « Sélection des parde fonctionnement d’une i
Remarque : Pour affecter un la page 217.
Spécification de réseaux OSPF
Les aires OSPF regroupenun ID à un espace adress priétés de cette aire sont
réseau. Pour affecter un ID aire OS > OSPF et cliquez sur Créer ID, sélectionnez Routeur > D ns la
ndant au rés Illustration 99 : Nouveau/Ed
réseau à une aire, voir « Spécification des réseaux OSPF » à
t plusieurs réseaux environnants. Lorsque vous affectez age du réseau, les pro
associées au
PF à un réseau, sélectionnez Routeur > Dynamic Nouveau dans la section Réseaux. Pour éditer cet ynamic > OSPF et cliquez sur l’icône Editer da
ligne correspo eau concerné.
iter Réseau OSPF
IP/Masque Entrez l’adresse IP et le masque de réseau du réseau local
que vous désirez affecter à une aire OSPF.
Aire Sélectionnez un ID aire pour le réseau. Les propriétés de l’aire doivent correspondre aux caractéristiques et à la topologie du réseau spécifié. Vous devez définir l’aire avant de pouvoir sélectionnez l’ID aire. Voir « Définition d’aires OSPF » à la page 216.
Guide d’Administration FortiGate Version 3.0 217 01-30001-0203-20060424
Sélection de
_1), l’adresse IP affectée à l’interface, la méthode d’authentification des échanges LSA et les paramètres de temps pour
réception des paquets OSPF Hello et dead-interval.
devrie seau OSPF 0.0.0.0/0 ayant une aire qui corresponde à une
isins à configurer une définition de
l’interface OSPF comprenant un ensemble de paramètres Hello et dead-interval ètres d’un voisin, et configurer une deuxième
définition de cette même interface pour assurer la compatibilité avec les
mètres, cliquez sur l’icône Editer dans la ligne correspondant à l’interface OSPF à éditer.
lustration 100 : Nouvelle/Editer Interface OSPF
paramètres de fonctionnement d’une interface OSPF
La définition d’une interface OSPF contient des paramètres de fonctionnement spécifiques à une interface OSPF FortiGate. La définition comprend le nom de l’interface (par exemple, external ou VLAN
l’envoi et la Le protocole OSPF peut être activé sur toutes les interfaces FortiGate dont les adresses IP correspondent à l’espace réseau OSPF. Par exemple, définissez une aire 0.0.0.0 et un réseau OSPF défini à 10.0.0.0/16. Définissez ensuite vlan1 à 10.0.1.1.24, vlan2 à 10.0.2.1/24 et vlan3 à 10.0.3.1/24. Ces trois vlans seront munis d’OSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous
z créer un réadresse IP spécifique. Vous pouvez configurer des paramètres OSPF différents pour une même interface FortiGate lorsque plus d’une adresse IP ont été assignées à l’interface. Par exemple, une même interface FortiGate pourrait être connectée à deux vopartir de sous-réseaux différents. Vous pourriez alors
pour la compatibilité avec les param
paramètres du deuxième voisin. Pour sélectionnez les paramètres de fonctionnement d’une interface FortiGate, sélectionnez Routeur > Dynamic > OSPF et cliquez sur Créer Nouveau dans la section Interfaces. Pour éditer ces para
L’illustration 100 représente la boîte de dialogue Nouvelle/Editer Interface OSPF appartenant à un équipement FortiGate qui possède une interface appelée « port1 ». Les noms des interfaces varient selon les modèles FortiGate. Il
Nom Entrez un nom pour identifier la définition de l’interface OSP
Par exempF.
le, le nom pourrait indiquer l’aire OSPF à laquelle
Interface ).
sera reliée l’interface.
Sélectionnez le nom de l’interface à associer à cette définition d’interface OSPF (par exemple, port1, external ou VLAN_1L’équipement FortiGate peut avoir des interfaces physiques, VLAN, virtuelles IPSec ou GRE connectées au réseau OSPF.
218 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
IP rface lorsque son adresse IP
i
port1, entrez
tion
électionnez Texte pour une authentification à partir d’un de passe se compose de 35
e de texte à
n
x interfaces FortiGate doivent être
choisi la méthode d’authentification Texte.
Clés MD5 Entrez l’identificateur clé pour le (premier) mot de passe dans le champ ID (dans un intervalle de 1 à 255) et tapez ensuite le mot de passe associé dans le champ Clé (Key). Le mot de passe est une suite alphanumérique de maximum 16
e D5
p est disponible seulement si vous avez sélectionné la méthode
lus
BGP
Entrez l’adresse IP affectée à l’interface OSPF. L’intedevient une interface OSPFcorrespond à l’espace adresse réseau OSPF. Par exemple, svous définissez un réseau OSPF 172.20.120.0/24 et affectezl’adresse IP 172.20.120.140 au172.20.120.140.
Authentifica Sélectionnez une méthode d’authentification pour les échanges LSA pour l’interface spécifiée :
• Sélectionnez None pour désactiver l’authentification.
• Smot de passe textuel. Ce mot caractères maximum et est envoyé sous formtravers le réseau.
• Sélectionnez MD5 pour l’utilisation d’une ou plusieurs clé(s) pour générer un hash MD5.
Ces paramètres ignorent les paramètres d’Authentificatiopour l’aire.
Mot de passe Entrez le mot de passe textuel. Entrez une valeur alphanumérique jusqu’à 15 caractères. Les voisins OSPF qui envoient des LSA auconfigurés avec le même mot de passe. Ce champ n’est disponible que si vous avez
caractères. Les voisins OSPF qui envoient des LSA à cettinterface FortiGate doivent être configurés avec une clé Midentique. Si le voisin OSPF utilise plus d’un mot de passe pour générer un hash MD5, cliquez sur l’icône Ajouter pour ajouter des clés MD5 supplémentaires dans la liste. Ce cham
d’authentification MD5.
Hello Interval Vous pouvez, facultativement, définir un Hello Interval compatible avec les paramètres Hello Interval sur tous les voisins OSPF. Ce paramètre définit la période de temps d’attente (en secondes) de l’équipement FortiGate entre chaque envoi de paquets Hello par ses interfaces.
ec Dead Interval Facultativement, définissez le Dead Interval compatible avles paramètres Dead Interval de tous les voisins OSPF. Ce paramètre définit la période de temps d’attente (en secondes) de l’équipement FortiGate entre chaque réception de paquets Hello provenant de ses voisins sur ses interfaces. Si le FortiGate ne reçoit pas de paquet Hello endéans le temps spécifié, il déclare le voisin inaccessible.
Par convention, la valeur du Dead Interval est quatre fois pgrande que la valeur du Hello Interval.
BGP est un protocole de routage Internet généralement utilisé par les Fournisseurs d’Accès Internet (FAI) pour échanger des informations de routage entre différents réseaux FAI. Par exemple, BGP permet le partage de chemins de réseaux entre le réseau DAI et un système autonome (AS) qui utilise RIP et/ou OSPF pour acheminer les paquets dans l’AS. L’implémentation FortiGate du BGP supporte BGP-4 et est conforme à la RFC 1771.
Guide d’Administration FortiGate Version 3.0 219 01-30001-0203-20060424
Remarque : Les options de base de routage BGP peuvent être configurées à parl’interface d’administration web. De nombreuses options supplémentaires peuvent être configurées uniquement à partir de l’interface de ligne de commande. Pour des descriptions et exemples complets sur l’utilisation de commande CLI pour la configuration de paramètreBGP, voir le chapitre Routeur du
tir de
s
able ification de la table de
routage. Chaque AS, y compris celui dont l’équipement FortiGate est membre, est
ate examine les propriétés du iscriminant multi-sorties (MED – Multi-Exit Discriminator) des routes potentielles
pour déterminer le meilleur chemin vers une destination du réseau avant d’enregistrer ce chemin dans sa table de routage.
Visualisation et é BG
Lors de la configuration des par S dont le boîtier FortiGate est mem x autres routeurs BGP d’identifier t FortiGate. Vous devez également
s BGP du For iGate devrait être diffusé aux voisins B Pour visualiser et éditer les paraBGP. L’interface d’administratio les options de base BGP. De no peuvent être configurées à partir de l’interface , voir le chapitre Routeur du Forti
101 : Options de base
FortiGate CLI Reference.
Fonctionnement de BGP
Lorsque BGP est activé, l’équipement FortiGate envoie des mises à jour de la tde routage aux systèmes autonomes voisins à chaque mod
associé à un numéro AS. Ce numéro fait référence à une destination particulière sur le réseau. Les mises à jour BGP diffusent le meilleur chemin vers une destination du réseau. Lors de la réception de mises à jour, le boîtier FortiGd
dition des paramètres P
amètres BGP, il est nécessaire de spécifier l’Abre et d’entrer un ID routeur permettant au
l’équipemenidentifier les voisin tiGate et spécifier lequel des réseaux du Fort
GP.
mètres BGP, sélectionnez Routeur > Dynamic > n web offre une interface simplifiée pour configurermbreuses options avancées BGP de ligne de commande. Pour plus d’informations
Gate CLI Reference.
Illustration BGP
le numéro de l’AS local dont le boîtier FortiGate est re.
Local AS Entrezmemb
Entrezde l’éq du routeu t notation décimale à points. Si vous modifiez l’ID du routeur pendant le
Router ID un ID de routeur unique pour permettre l’identification uipement FortiGate aux autres routeurs BGP. L’IDr est une adresse IP en forma
220 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
fonctio P serontrétabli
Voisins Les adresses IP et les numéros AS de paires BGP dans les systèmes autonomes voisins.
IP Entrez l’adresse IP de l’interface du voisin du réseau BGP.
o de l’AS auquel le voisin appartient.
éseaux Les adresses IP et masques de réseaux des réseaux à quipement FortiGate peut avoir AN connectée à ces réseaux.
IP/Masque Entrez l’adresse IP et le masque de réseau du réseau à diffuser.
Bouton Add Sélectionnez pour ajouter des informations sur le réseau à la liste Réseaux.
Réseau Les adresses IP et masques de réseaux des réseaux majeurs diffusés aux paires BGP.
ône Supprimer Permet de supprimer un voisin BGP ou une définition réseau
Multicast Un équipement FortiGate peut opérer comme routeur Multicast PIM (Protocol Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les modes clairsemé (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et récepteurs multicast sur le segment réseau auquel est connectée une interface FortiGate.
Les applications serveurs envoyer une copie du paq n groupe de receveurs. Les routeurs PIM à travers le réseau assurent s le réseau jusqu’à ce qu’elle a du paquet sont créées seuapplications clients multica i nécessitent le trafic destiné à l’adresse multicast.
nnement BGP, toutes les connexions aux paires BG momentanément interrompues jusqu’à leurs ssement.
AS distant Entrez le numér
Boutons Add/Edit Sélectionnez Add pour ajouter les informations sur le voisin à la liste Voisins. Sélectionnez Edit pour éditer une entrée de la liste.
Voisin Les adresses IP des paires BGP.
AS distant Les numéros des AS associés aux paires BGP.
Rdiffuser aux paires BGP. L’éune interface physique ou VL
IcBGP.
multicast utilisent une adresse multicast (Class D) pour uet à u que seule une copie du paquet est envoyée à travertteigne sa destination finale. A destination, des copieslement s’il est nécessaire de livrer les informations aux st qu
Remarque : Toutes les ap cations envoi/réception et tous les routeurs PIM connectés entre doivent valider le protocole PIM version 2 en vue de supporter les communications
atiques, RIP, OSPF ou BGP pour transférer des paquets
pli
PIM. PIM utilise des routes st multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source à leur point de destination, soit le mode clairsemé (ou épars), soit le mode dense doit être activé sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsemé ne peuvent pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un équipement FortiGate est localisé entre une source et un routeur PIM, ou entre deux routeurs PIM ou encore est connecté directement à un receveur, vous devez créer une règle pare-feu manuellement pour passer les paquets (multicast) encapsulés ou les données décapsulées (trafic IP) entre la source et la destination. Un domaine PIM est une aire logique comprenant un nombre de réseaux contigus. Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsemé est activé le domaine comprend également plusieurs Points de Rendez-vous (RP)
Guide d’Administration FortiGate Version 3.0 221 01-30001-0203-20060424
et de Designated Routers (DR). Si PIM est activé sur un boîtier FortiGate, ce acune de ses fonctions à n’importe quel moment tel que en mode clairsemé, vous pouvez définir des RP statiques.
dernier peut exécuter chconfiguré. Si nécessaire
Remarque : Les options de base peuvent être configurées à partir de l’interface ns supplémentaires peuvent être configurées e commande. Pour des descriptions et exemples
compl nfiguration de paramètres PIM, voir « m CLI Reference.
PIM, sélectionnez Routeur > Dynamic >
erface de ligne de commande. Pour plus d’informations,
d’administration web. De nombreuses optiouniquement à partir de l’interface de ligne d
ets sur l’utilisation de commandes CLI pour la coulticast » dans le chapitre Routeur du FortiGate
Visualisation et édition de paramètres multicast
Lorsque le routage multicast (PIM) est activé, vous pouvez configurer le mode clairsemé ou dense sur chacune des interfaces FortiGate. Pour visualiser ou éditer les paramètresMulticast. L’interface d’administration web offre une interface simplifiée pour configurer les options de base PIM. Les options PIM avancées peuvent être configurées à partir de l’intvoir le chapitre Routeur du FortiGate CLI Reference. Illustration 102 : Options de base multicast
Activer le Routage Multicast e
s
Add Static RP (+)
est utilisé et
Appliquer
Créer Nouveau Sélectionnez pour créer une nouvelle entrée multicast pour une interface. Cela vous permettra de régler
Sélectionnez pour activer le routage PIM version 2. Unrègle pare-feu doit être créée sur les interfaces PIM pour laisser passer les paquets encapsulés et ledonnées décapsulées entre leur source et leur destination.
Ajouter une adresse RP. Si nécessaire en mode clairsemé, entrez l’adresse IP d’un Point de Rendez-vous (RP) qui peut être utilisé comme racine de l’arbre de distribution d’un paquet pour un groupe multicast. Les join messages du groupe multicast et les données de la source sont envoyés au RP.
Si un RP du groupe multicast de l’IP spécifié est déjàconnu par le Boot Strap Router, ce RPl’adresse RP statique spécifiée ignorée.
Permet de sauvegarder les adresses RP statiques entrées.
222 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
précisément des opérations PIM sur une interface spécifique FortiGate ou ignorer les paramètres globaux PIM sur une interface particulière. Voir « Ignorer les paramètres multicast sur une interface » à la page 223
Les noms des interfaces FortiGate ayant des paramètres spécifiq
.
Interface ues PIM.
ense)
our activer ou désactiver la candidature sur une interface, sélectionnez l’icône Editer dans la ligne correspondant à l’interface.
Priorité Le numéro de priorité affecté à la candidature RP sur
Priorité DR
Icônes Supprimer et Editer tres PIM de l’interface.
Ignorer les paramètres multicast d’une interface
Les options des interfaces u fonctionnement pour les interfa exemple vous pouvez activer l ur une interface connectée à un segment réseau PIM. Lors e numéro de priorité utilisé pouret/ou DR (Designated Router)
Mode Le mode de fonctionnement PIM (Clairsemé ou Dvalide sur cette interface.
Statut Le statut de la candidature RP en mode clairsemé sur l’interface. P
cette interface. Uniquement disponible lorsque la candidature RP est activée.
Le numéro de priorité affecté à la candidature DR (Designated Router) sur l’interface. Uniquement disponible lorsque le mode clairsemé est activé.
Permet de supprimer ou d’éditer les paramè
m lticast (PIM) permettent de définir des paramètres deces FortiGate connectées à des domaines PIM. Par
e mode dense squ le mode clairsemé est activé, vous pouvez ajuster le
diffuser les candidatures RP (Rendezvous Point) sur l’interface.
Illustration 103 : Paramètres multicast de l’interface
Interface
ucon n segment réseau PIM version 2.
Mode PIM Mod . Tous les routeurs PIM connectés au même
i vou que
Priorité DR Ent de candidatures DR sur l’interface FortiGate. L’intervalle va de 1 à 4 294 967 295.
Sélectionnez le nom de l’interface FortiGate du VDOM root à laq elle ces paramètres s’appliquent. L’interface doit être
nectée à u
Sélectionnez le mode de fonctionnement : Mode clairsemé ou e dense
segment réseau doivent fonctionner dans le même mode. Ss sélectionnez le mode clairsemé, ajuster les options tel décrit ci-dessous.
rez le numéro de priorité pour la diffusion
Cette valeur est comparée aux interfaces DR de tous les autres routeurs PIM du même segment réseau. Le routeur ayant la priorité DR la plus haute est sélectionnée pour être le DR.
Guide d’Administration FortiGate Version 3.0 223 01-30001-0203-20060424
Candidat RP Sélectionnez pour activer ou désal’interface.
ctiver la candidature RP sur
e FortiGate. L’intervalle va de 1 à 255. Priorité du candidat RP Entrez le numéro de priorité de la diffusion de la candidature
RP sur l’interfac
224 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Table de Routage
age
• utage FortiGate
Affichage des informations sur le routage Par hées dans la table de routage. La route
à 0.0.0.0/0, ce qui correspond à l’adresse IP de » paquet.
s interfaces appelées « port1 », « port4 » et « lan ». Les
Cette section vous aide à interpréter la table de routage. Les sujets suivants y sont parcourus :
• Affichage des informations sur le rout
Recherche dans la table de ro
défaut, toutes les routes sont afficstatique par défaut est définiedestination de « chaque/tout Pour afficher les routes de la table de routage, sélectionnez Routeur > Table deroutage. L’illustration 104 représente une table de routage appartenant à un équipement
ortiGate qui possèdent deFnoms des interfaces varient en fonction des modèles FortiGate. Illustration 104 : Table de routage
Type Sélectionnez un des types suivants pour lancer une recherche
sélectionné :
• Tout : affiche toutes les routes enregistrées dans la table de routage.
connexions directes aux interfaces FortiGate.
s
• OSPF : affiche toutes les routes diffusées par OSPF.
fiche toutes les routes RIP, OSPF et BGP synchronisées entre le membre primaire et les membres
dans la table de routage et afficher toutes les routes du type
• Connecté : affiche toutes les routes associées à des
• Statique : affiche les routes statiques ajoutéemanuellement à la table de routage.
• RIP : affiche toutes les routes diffusées par RIP.
• BGP : affiche toutes les routes diffusées par BGP.
• HA : af
Guide d’Administration FortiGate Version 3.0 225 01-30001-0203-20060424
subordonnés d’un cluster haute disponibilité (HA). Les routes HA étant maintenues au niveau des membres subordonnés, elles ne sont visibles qu’à partir d’une table
uré comme domaine virtuel subordonné dans un cluster virtuel. Pour plus de détails à propos de la synchronisation de routage,
de
éseau Entrez l’adresse IP et le masque de réseau (par exemple, t
.
et
utes les routes correspondantes.
affecté
• Pas de mention implique une route intra-aire. La ne aire à laquelle le boîtier FortiGate
PF. n
additionnant le coût externe et le coût OSPF.
OSPF.
ot-
i not-
sociée à la route. La valeur 0 routes
• Le comptage de sauts est utilisé pour les routes diffusées par RIP.
• Le coût relatif est utilisé pour les routes diffusées par OSPF.
de routage d’un domaine virtuel config
voir le FortiGate High Availability User Guide – GuiUtilisateur Haute Disponibilité FortiGate.
R172.16.14.0/24) pour rechercher une table de routage eafficher les routes correspondantes au réseau spécifié
Passerelle Entrez l’adresse IP et le masque de réseau (par exemple, 192.168.12.1/32) pour rechercher une table de routageafficher les routes correspondantes à la passerelle spécifiée.
Appliquer le filtre Permet de rechercher les entrées d’une table de routage sur base d’un critère de recherche spécifié et d’afficher to
Type La valeur type affectée aux routes FortiGate (Statique, Connecté, RIP, OSPF ou BGP).
Sous-type Si d’application, reprend la classification du sous-typeaux routes OSPF.
destination est dans uest connecté.
• OSPF inter area : la destination est dans l’AS OSPF, mais le boîtier FortiGate n’est pas connecté à cette aire.
• External 1 : la destination est en dehors de l’AS OSLa métrique d’une route redistribuée est calculée e
• External 2 : la destination est en dehors de l’ASDans ce cas, la métrique de la route redistribuée est équivalente au coût externe uniquement, exprimé en coûtOSPF.
• OSPF NSSA 1 : équivalent à la mention External 1, si ce n’est que la route a été reçue par une aire NSSA (nso-stubby area).
• OSPF NSSA 2 : équivalent à la mention External 2, sce n’est que la route a été reçue par une aire NSSA (so-stubby area).
Réseau Les adresses IP et masques de réseau de réseaux de destination atteignables par le boîtier FortiGate.
istance La distance administrative asDsignifie que la route est préférable à toutes les autres pour la même destination. Pour modifier la distance administrative affectée aux routes statiques, voir « Ajout d’uneroute statique à la table de routage » à la page 200.Référez-vous au FortiGate CLI Reference pour les routes dynamiques.
Métrique La métrique associée au type de la route. La métrique d’une route influence la façon dont le boîtier FortiGate l’ajoute dynamiquement dans la table de routage :
226 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• Le discriminant multi-sorties (MED) est utilisé pour les
Pasdestination.
e s
e ge
es routes diffusées par RIP, OSPF ou BGP, et/ou des routes associées au réseau
i vous désirez lancer une recherche dans la table de routage en fonction des s
s valeurs des critères de recherche doivent correspondre aux valeurs de la tte entrée soit affichée (la
condition implicite « ET » est appliquée à tous les paramètres de recherches pécifiés).
ement FortiGate icher toutes le
172.16.14.0/24, vous devez sé la liste Type, taper 172.16.14.0/24 dans le champ Réseau et ensuite cliquer sur Appliquer le Filtre pour afficher la ou les entrée(s) associée(s) de la table de routage. Chaque entrée qui contient le mot Connecté dans le champ Type et la valeur
cifiée dans le champ Pass
une recherche dans
1 Sélectionnez Routeur > Table
2 Sélectionnez dans la liste TypConnecté pour afficher toutes ur
s les routes diffus
3 Si vous désirez afficher les routesle masque de réseau du résea
4 Si vous désirez afficher les rou e IP de la passerelle dans le cha
5 ppliquer le Filtre.
routes diffusées par BGP. Cependant, plusieurs propriétés, en plus du MED, déterminent le meilleur chemin vers un réseau de destination.
serelle Les adresses IP des passerelles vers les réseaux de
Int rface L’interface à travers laquelle les paquets sont transférés verla passerelle du réseau de destination.
Valide depuis Le temps total accumulé pour qu’une route diffusée par RIP, OSPF ou BGP soit atteignable.
Recherche dans la table de routage FortiGatDes filtres peuvent être utilisés pour faire des recherches dans la table de routaet afficher certaines routes uniquement. Par exemple, vous pouvez afficher des routes statiques, des routes connectées,dou à la passerelle que vous spécifiez. Stypes et limiter un peu plus l’affichage en fonction de réseau ou passerelle, toutelemême entrée de la table de routage pour que ce
s Par exemple, si l’équip est connecté au réseau 172.16.14.0/24 et vous désirez aff s routes directement connectées au réseau
lectionner Connecté dans
spé erelle seront affichées.
Lancer la table de routage FortiGate
de routage > Table de routage.
e, le type à afficher. Par exemple, sélectionnez les routes connectées ou sélectionnez RIP po
afficher toute ées par RIP.
pour un réseau spécifique, tapez l’adresse IP et u dans le champ Réseau.
tes pour une passerelle spécifique, tapez l’adressmp Passerelle.
Cliquez sur A
Remarque de recherche doivent correspondre aux valeurs de la mê routage pour que cette entrée soit affichée.
: Toutes les valeurs des critères me entrée de la table de
Guide d’Administration FortiGate Version 3.0 227 01-30001-0203-20060424
Règle PareLes règles pare-feu contrôlent tout le trafic passant par le boîtier FortiGate. L’ajout
eu permet de cinterfaces FortiGate, les zones Cette section couvre les sujets
• A propos des règles pare-feu
• Visualisation de la liste des règles pare-feu
A propos d
le boîtier FortiGate reçoit une requête de connexion sous la forme d’un paquet, il analyse ce
e destination et le service (via
c ondre à une règle pare-feu. La
du pare-feu sur le paquet. Les actions possibles sont
serv ce de translation d’adresse réseau (NAT – network address translation) pour translater les adresses IP et ports source et de destination. Vous pouvez ajouter
ation NAT dynamique lorsque le pare-feu translate les uvez utiliser des règles pour configurer la translation
TTP, FTP, IMAP, POP3, IM et
• appliquer du filtrage web dynamique, par catégorie, sur ces mêmes règles HTTP
• activer les services antispam sur les règles IMAP, POP3 et SMTP
• activer les services de prévention d'intrusion su s les flux
activer la journalisation de contenu pour les flux HTTP, FTP, IMAP, POP3, IM
• configurer le filtrage IM et le contrôle d’accès pour AIM, ICQ, MSN et la messagerie instantanée Yahoo
-feu de règles pare-f ontrôler les connexions et le trafic entre les
et les sous-interfaces VLAN.
suivants :
• Configuration des règles pare-feu
es règles pare-feu Les règles pare-feu sont des instructions utilisées par le boîtier FortiGate pour décider de la réponse à donner à une requête de connexion. Lorsque
paquet pour en extraire l’adresse source, l’adresse dle numéro du port). L’adresse source, l’adresse de destination et le servi e d’un paquet qui veut se
n FortiGate doivent correspconnecter à travers urègle régit l’actionl’autorisation de la connexion, le blocage de la connexion, la requête d’une authentification avant que la connexion soit autorisée ou le traitement du paquetcomme un paquet IPSec VPN. Chaque règle peut être configurée pour diriger les connexions ou appliquer le
i
des pools IP pour une utilisadresses sources. Vous pod’adresse port (PAT – port address translation) à travers le boîtier FortiGate. L’ajout de profils de protection à des règles de pare-feu permet d’appliquer des
aramètres de protection différents pour le trafic contrôlé par des règles pare-feu. pVous pouvez utiliser des profils de protection pour :
• appliquer un contrôle antivirus aux règles HSMTP
activer du filtrage Web statique sur les règles HTTP •
r tou
•et SMTP
228 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
• configurer l’accès P2P et le contrôle de la largeur de bande pour les clients , Gnutella, Kazaa et Skype
protection à journaliser
journalisation par le boîtier
Le pare-feu lance une recherche sur des règles en partant du haut de la liste et
ar elle ont
ition d’une
Comment fonctio
gles en fonction des adresses source et de destination de la tentative de
connexion. Le boîtier FortiGate commence alors sa recherche par le haut de la liste et descend jusqu’à la première règle qui corresponde aux adresses source et de destination, au port service et au jour et heure de la tentative de connexion reçue. La première règle correspondante s’applique à la tentative de connexion. Si aucune règle ne correspond, la connexion est abandonnée. En règle générale, toujours organiser les règles pare-feu de la plus spécifique à la plus générale. Les règles générales sont des règles qui peuvent accepter des connexions avec de multiples adresses sources et de destination, ainsi qu’avec des intervalles d’adresses. Elles peuvent également accepter des connexions de multiples ports service ou avoir des horaires très ouverts. Si vous désirez ajouter des règles qui sont des exceptions aux règles générales, ces exceptions doivent être ajoutées au-dessus des règles générales. dans la liste de règles Par exemple, vous pouvez avoir une règle générale permettant à tous les utilisateurs de votre réseau interne d’accéder à tous les services Internet. Si vous désirez bloquer l’accès aux serveurs FTP sur Internet, vous devriez ajouter au-dessus de la règle générale une règle qui bloque les connexions FTP. La règle de déni bloque les connexions FTP mais les tentatives de connexion de tous les autres types de services ne correspondent pas à la règle FTP mais correspondent à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du réseau interne vers Internet, à l’exception des connexions FTP.
peer-to-peer Bit Torrent, eDonkey
• décider des actions des profils de
L’activation de la journalisation du trafic pour une règle pare-feu entraîne la
FortiGate de toutes les connexions utilisant cette règle.
descendant jusqu’à ce qu’il trouve la première correspondance. Il est donc essentiel de hiérarchiser les règles dans la liste de la plus spécifique à la plus générale. Par exemple, la règle par défaut est une règle très générale ccorrespond à toutes les tentatives de connexion. Les exceptions à cette règle sajoutées à la liste de règles au-dessus de la règle par défaut. Une règle qui devraitêtre placée en dessous de la règle par défaut ne représentera jamais une correspondance. Les options de la règle sont configurables lors de la création ou de l’édrègle pare-feu. Un ensemble différent d’options est présenté en fonction du type d’action sélectionné.
nne la correspondance de règles ?
Lorsque le boîtier FortiGate reçoit une tentative de connexion sur une interface, il sélectionne une liste de règles dans laquelle il va chercher une règle qui corresponde à la tentative de connexion. Le boîtier FortiGate choisit la liste derè
Guide d’Administration FortiGate Version 3.0 229 01-30001-0203-20060424
Concernant les correspondances de règles, il faut également savoir que :
Les règles qui nécessitent une authentification doivent être ajoutées à la liste t pas. e en
premier.
• Les règles sur le mode tunnel VPN IPSec doivent être ajoutées à la liste de règles au-dessus des règles d’accès ou de blocage correspondantes.
• Les règles sur le VPN SSL doivent être ajoutées à la liste de règles au-dessus des règles d’accès ou de blocage correspondantes.
Visualisation de la liste des règles pare-feu
Dans le cas où des domaines virtuels sont activés sur le boîtier FortiGate, les règles pare-feu sont configurées séparément pour chaque domaine virtuel. Pour accéder aux règles, sélectionnez un domaine virtuel à partir du menu principal. Ajouter, supprimer, éditer, réorganiser, activer ou désactiver des règles dans la liste des règles. Pour visualiser la liste des règles, sélectionnez Pare-feu > Règle. Illustration 105 : Echantillon d’une liste de règles
•de règles au-dessus des règles correspondantes qui n’en nécessitenSinon, la règle qui ne nécessite pas d’authentification est sélectionné
La liste des règles possèdent les icônes et fonctionnalités suivants : Créer Nouveau Permet d’ajouter une règle pare-feu. Voir « Ajout d’une
règle pare-feu » à la page .
Icône Commentaire Cette icône n’apparaît que dans le cas où la règle possède un commentaire. Le commentaire apparaît lorsque le curseur de la souris vient se placer sur l’icône.
ID L’identificateur de la règle. Les règles sont numérotées selon l’ordre dans lequel elles sont ajoutées à la liste.
Source L’adresse source ou le groupe d’adresses auquel la règle s’applique. Voir « Adresse Pare-feu » à la page 245. Les informations sur les adresses peuvent également être éditées à partir de la liste. En cliquant sur l’adresse, la boîte de dialogue d’édition d’une adresse s’ouvre.
Destination L’adresse de destination ou le groupe d’adresses auquel la règle s’applique. Voir « Adresse Pare-feu » à la page 245 . Les informations sur les adresses peuvent également être éditées à partir de la liste. En cliquant sur l’adresse, la boîte de dialogue d’édition d’une adresse s’ouvre.
230 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Schedule Détermine la période d’activité de la règle.
vice Détermine le service auquel s’applique la règle.
tatut Permet d’activer ou de désactiver la règle. Activer la règle
-> Destination (n) où n est le nombre de règles dans la
Sélectionnez pour supprimer la règle de la liste.
de la règle correspondante (la fenêtre de la nouvelle règle apparaît).
t t
Ajout d’une règle pare-feu
uivante décrit comment ajouter une règle pare-feu dans la liste des
1
2 liquez sur Créer Nouveau ou sélectionnez l’icône « Insérer la règle avant » à côté gle pour que la nouve
3 Sélectionnez les interfaces so
4 Sélec sses sou
5 Configurez la règle. Pour toute« Configuration des règles par
6 Cliquez sur OK.
7 Hiérarchisez les règles dans la
Pour plus d’informations sur l’a« Comm nne la corre« Dépl gle ve231.
Déplacement d’une règle dans la liste
Vous pouvez déplacer une règ inf encer les évaluations des règles. Dans le cas où plus d’ud’interfaces, la règle qui se tro La disposition des règles de cr prennent effet comme prévu –évaluées avant des règles par lières. Déplacer une règle dans la list
Ser
Action Définit l’action à apporter lorsque la règle correspond à une tentative de connexion.
Sla rend disponible pour le pare-feu pour les connexions entrantes.
Source -> destination (n) Les titres de la liste des règles indiquant le trafic auquel s’applique la règle. Le titre de la liste est en format Source
liste.
Icône Supprimer
Icône Editer Sélectionnez pour éditer la règle.
Icône Insérer la règle avant Sélectionnez pour ajouter une nouvelle règle au-dessus
Icône Déplacer Sélectionnez pour déplacer la règle correspondante avanou après une autre règle dans la liste. Voir « Déplacemend’une règle vers une position différente dans la liste » à lapage 231.
La procédure srègles pare-feu.
Sélectionnez Pare-feu > Règle.
Cd’une rè lle règle s’ajoute au-dessus de celle-ci.
urce et de destination.
tionnez les adre rce et de destination.
information sur la configuration de règles, voir e-feu » à la page 232.
liste de manière à obtenir les résultats attendus.
rrangement des règles dans une liste, voir ent fonctio spondance de règles ? » à la page 229 et
acement d’une rè rs une position différente dans la liste » à la page
le dans la liste pour lune règle ont été définies pour une même paire uve en premier dans la liste est évaluée en premier.
yptage pare-feu est importante pour assurer qu’elles les règles de cryptage pare-feu doivent être e-feu régu
e ne modifie pas son numéro ID.
Guide d’Administration FortiGate Version 3.0 231 01-30001-0203-20060424
Illustration 106 : Déplacer une règle
e.
1 Sélectionnez Pare-feu > Règl
2 Cliquez sur l’icône Déplacer d
3 Entrez une position pour la règ
4 Clique .
Configuration des règles pare-L’utilisation de règles pare-feuest sélectionnée pour être app inir comment le boîtier FortiGate t r c Pour ajouter ou éditer une règ Vous pouvez ajouter des règle communication. Une telle règletelles qu’une analyse des viruscommunication acceptée par cpermettre le trafic VPN IPSec une interface virtuelle IPSec. P ’informations, voir « Aperçu sur le mode
IPSec » à la page 29 Vous pouvez ajouter des règlecommunication. Vous pouvez également ajout le trafic VPN en mode tunnel IPSpermettre le trafic VPN SSL. Dtypes de trafic IP seront permipar une règles de cryptage pachaque fois qu’un paquet IP d né arrive à l’interface FortiGate vers
privé local. Pour plusIPSec » à la page 242 et « Op .
e la règle que vous voulez déplacer.
le.
z sur OK
feu permet de définir la façon dont une règle pare-feu liquée à une session de communication et de défraite les paquets pou ette session.
le pare-feu, sélectionnez Pare-feu > Règle.
s ACCEPT pour accepter des sessions de permet d’appliquer des fonctionnalités FortiGate et une authentification de la session de ette règle. Une règle ACCEPT peut également en mode interface si la source ou la destination est our plus d
interface 4.
s DENY pour interdire des sessions de
er des règles de cryptage IPSec pour permettre ec et des règles de cryptage VPN SSL pour es règles de cryptage pare-feu déterminent quels s pendant une session IPSec ou VPN SSL. Si permis re-feu, un tunnel peut être initié automatiquement à u type sélection
le réseau d’informations, voir « Options des règles pare-feu tions des règles pare-feu VPN SSL » à la page 243
232 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 107 : Options des règles – règle ACCEPT en mode NAT/Route
gles – règle ACCEPT en mode Transparent Illustration 108 : Options des rè
Guide d’Administration FortiGate Version 3.0 233 01-30001-0203-20060424
Illustration 109 : Options des règles – règle DENY
/Zone So -stinati
Les champs Adresse corresposession de communication. Le champ Horaire permet de d . Le champ Service correspond à la règle pare-feu avec le service utilisé par une session de communication. Le champ Action définit le traitement du trafic par le boîtier FortiGate. Spécifiez une action pour accepter ou bloquer le trafic ou configurez une règle de cryptage pare-feu. Les options des règles pare-feu peuvent être sélectionnées pour définir des
nnelles : NAT, Pro g e
appliqué aux règles qui bloque ts sont configurables à partir de l de commande (voir le chapitre
firewall » du FortiGate CLI R
Options des règles pare-feu
Sélectionnez Pare-feu > Règle et er une règle pare-feu. Les options suivan Source Spé IP
qui s
Interface/Zone Séle ate sur l us. Les interfaces et
ons sur les interfaces et les zones.
rface
connexions à des clients VPN SSL distants.
Les champs Interface urce et Destination correspondent à la règle parefeu avec la source et de on d’une session de communication.
ndent aux adresses sources et de destination de la
éfinir la plage horaire d’activité de la règle pare-feu
fonctionnalités additio fil de Protection, Log Allowed Traffic, LoViolation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut êtr
nt le trafic. Des services supplémentaires différen’interface de ligne
« eference).
cliquez sur Créer Nouveau pour ajouttes des règles pare-feu sont configurables :
cifiez les caractéristiques de la source des paquets eront sujets à la règle.
ctionnez le nom de l’interface ou de la zone FortiGaquelle les paquets IP sont reç
zones sont configurées sur la page Système > Réseau. Voir « Interface » à la page 61 et « Zone » à la page 75 pour plus d’informati
Si le champ ACTION est positionné sur IPSEC, l’inteest associée à un réseau privé local. Si le champ ACTION est positionné sur SSL-VPN, l’interface est associée à des
234 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Adresse
veau pour définir une nouvelle P
st positionné sur IPSEC, l’adresse
N est positionné sur SSL-VPN et que la règle s’applique aux clients en mode web, sélectionnez
p ACTION est positionné sur SSL-VPN et que
e
ones sont configurées sur la page Système > Réseau. Voir « Interface » à la page 61 et « Zone » à la page 75
les zones.
Si le champ ACTION est positionné sur IPSEC, l’interface est associée à l’entrée du tunnel VPN. Si le champ ACTION est positionné sur SSL-VPN, l’interface est associée à un réseau privé local.
Adresse Sélectionnez le nom d’une adresse IP précédemment définie à associer à l’interface ou zone de destination ; ou sélectionnez Créer Nouveau pour définir une nouvelle adresse IP. L’en-tête du paquet doit contenir l’adresse IP associée pour être confronté à la règle. Les adresses peuvent être créées à l’avance. « Configuration des adresses » à la page 247.
esse ets
l’hôte, au serveur ou au réseau dont les clients à distances ont besoin pour accéder derrière l’équipement
ur .
correspond au service ou protocole des paquets auquel s’applique cette règle. Vous pouvez sélectionner
Sélectionnez le nom d’une adresse IP précédemment définie à associer à l’interface ou zone source ; ou sélectionnez Créer Nouadresse IP. L’en-tête du paquet doit contenir l’adresse Iassociée pour être confronté à la règle. Les adresses peuvent être créées à l’avance. Voir « Configuration des adresses » à la page 247.
Si le champ ACTION ecorrespond à l’adresse privée de l’hôte, serveur ou réseau derrière le boîtier FortiGate.
Si le champ ACTIO
all (tout).
Si le chamla règle s’applique aux clients en mode tunnel, sélectionnez le nom de l’adresse que vous réservez pour ces clients.
Destination Spécifiez les caractéristiques de la destination des paquets IP qui seront sujets à la règle.
Interface/Zone Sélectionnez le nom de l’interface ou de la zone FortiGatvers laquelle les paquets IP sont envoyés. Les interfaces et z
pour plus d’informations sur les interfaces et
Si le champ ACTION est positionné sur IPSEC, l’adrcorrespond à l’adresse IP privée vers laquelle les paqupeuvent être envoyés à la fin du tunnel VPN.
Si le champ ACTION est positionné sur SSL-VPN, sélectionnez le nom de l’adresse IP qui correspond à
FortiGate.
Horaire Sélectionnez une plage horaire ponctuelle ou récurrente qui contrôle la période de disponibilité de la règle. Les horaires peuvent être crées à l’avance dans Pare-feu > Plage horaire. Voir « Plage horaire des pare-feu » à la page 257.
Vous pouvez créer une plage horaire, ponctuelle ou récurrente, pendant la configuration de la règle en cliquant sur Créer Nouveau. Ajoutez les informations requises pola configuration de la plage horaire et cliquez sur OKCette nouvelle plage horaire est alors ajoutée à la liste desplages horaires.
Service Sélectionnez le nom du service ou du groupe de services qui
Guide d’Administration FortiGate Version 3.0 235 01-30001-0203-20060424
les services à partir d’une longue liste de services prédéfinis. Des services personnalisés peuvent êà l’avance dans Pare-feu > Service > Personnalisé. Des groupes de services peuvent également être crées à
tre crées
l’avance dans Pare-feu > Service > Groupe. Voir « Configuration de services personnalisés » à la page 253 et « Configuration de groupes de services » à la page 255.
u. Ajoutez les informations requises pour la configuration des services personnalisés
pes de services et cliquez sur OK. Ces nt alors ajoutés à la liste des Services.
nalisation (journaliser les
par le
Configure une règle de cryptage pare-feu VPN SSL, qui entraîne l’acceptation du trafic VPN SSL par le boîtier
NAT règle. NAT translate l’adresse source et le port de paquets
, les
l d’adresses. Un pool d’adresses peut se composer d’une seule adresse IP ou d’une plage d’adresses IP. Une liste de pools d’adresses apparaît si ces pools ont été ajoutés à l’interface de destination. Sélectionnez ANY IP Pool pour que le boîtier FortiGate sélectionne n’importe quelle adresse IP de n’importe quel pool d’adresses ajouté à l’interface de destination.
Sélectionnez le nom d’un pool d’adresses ajouté à
i ou l’une
a zone configurée avec DHCP ou PPPoE.
Vous pouvez créer un service personnalisé ou un groupe de services pendant la configuration de la règle en cliquant sur Créer Nouvea
ou des grouservices so
Action Sélectionnez la réponse du pare-feu à appliquer lorsqu’unpaquet correspond aux conditions de la règle.
ACCEPT Accepte le trafic correspondant à la règle. Vous pouvez alors configurer les options NAT, profils de protection, log traffic, shape traffic, authentification ou ajouter un commentaire à la règle.
DENY Rejette le trafic correspondant à la règle. La seule option configurable est la jourconnexions refusées par la règle). Vous pouvez également ajouter un commentaire.
IPSEC Configure une règle de cryptage pare-feu IPSEC, quientraîne le traitement des paquets VPN IPSecboîtier FortiGate. Voir « Options des règles pare-feu IPSec » à la page 242.
SSL-VPN
FortiGate. Cette option n’est disponible qu’après avoir ajouté un groupe d’utilisateurs VPN SSL. Voir « Options des règles pare-feu VPN SSL » à la page 243.
Activer l’option NAT (Network Address Translation) pour la
acceptés par la règle. Lorsque NAT est activéfonctions Pool d’Adresses et Port Fixe peuvent être configurés. NAT n’est pas disponible en mode Transparent.
Pool d’Adresses Sélectionnez pour translater l’adresse source en une adresse sélectionnée arbitrairement dans un poo
l’interface de destination pour que le boîtier FortiGate translate l’adresse source en une des adresses définies dans ce pool.
Il n’est pas possible de sélectionner Pool d’Adresses sl’interface de destination, la sous-interface VLANdes interfaces ou des sous-interfaces VLAN dans lde destination est
Vous ne pouvez pas utiliser des pools d’adresses lors del’utilisation de zones. Un pool d’adresses peut seulement être associé à une interface.
236 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour plus d’informations sur l’ajout de pools d’adrevoir « Pla
sses, ges IP » à la page 277.
né.
connexion à la fois.
Sélectionnez un profil de protection pour configurer la façon dont les antivirus, filtrage web, filtrage par catégorie
la liste
des profils de protection. Pour plus d’informations sur
ne authentification dans les paramètres avancés, l’option de profil de protection est désactivée car le groupe
lié à un e
C ou VPN SSL pour enregistrer les messages dans les journaux à chaque fois que la règle traite une connexion.
lisation du trafic vers une destination disque local si disponible,
x et
s n
on (syslog, WebTrends, un
.
out oir
ux
traité par la règle.
e de
Port fixe Sélectionnez un port fixe pour empêcher NAT de translater le port source. Certaines applications ne fonctionnent pas correctement si le port source est modifié. Dans la plupart des cas, si Port fixe est sélectionné, Pool d’Adresses est également sélectionSi Pool d’Adresses n’est pas sélectionné, une règle qui a l’option Port Fixe sélectionnée ne peut permettre qu’une
Profil de protection
web, filtrage antispam, IPS, archives et journaux sont appliqués à la règle pare-feu. Les profils de protection peuvent être crées à l’avance ou pendant la configurationd’un profil. Les profils crées ici apparaissent dans
l’ajout et la configuration de profils de protection, voir « Profil de protection pare-feu » à la page 279.
Pour u
d’utilisateurs choisi pour l’authentification est déjà profil de protection. Pour plus d’informations à propos dl’ajout d’une authentification aux règles pare-feu, voir « Ajout d’une authentification aux règles pare-feu » à lapage 238.
Log Allowed Traffic Sélectionnez cette option pour les règles ACCEPT, IPSE
Activez la journa(syslog, WebTrends, un mémoire ou FortiAnalyzer) et fixez le niveau de sévérité de la journalisation à Notification ou plus bas. Pour plus d’informations sur la journalisation, voir « JournauAlertes » à la page 409.
Log Violation Traffic Sélectionnez cette option pour les règles DENY pour enregistrer les messages dans les journaux à chaque foique la règle traite une connexion. Activez la journalisatiodu trafic vers une destinatidisque local si disponible, mémoire ou FortiAnalyzer) et fixez le niveau de sévérité de la journalisation à Notification ou plus bas. Pour plus d’informations sur la journalisation, voir « Journaux et Alertes » à la page 409
uthentification Ajoutez des utilisateurs et un profil de protection pare-feu Aà un groupe d’utilisateurs avant de sélectionner Authentification. Pour toute information à propos de l’ajet de la configuration de groupes utilisateurs, v« Groupe d’utilisateurs » à la page 330. L’authentification est possible si l’action est positionnée sur ACCEPT. Pourplus d’informations sur l’ajout d’une authentification aux règles pare-feu, voir « Ajout d’une authentification arègles pare-feu » à la page 238.
Traffic Shaping Cette option permet de contrôler la bande passante disponible et de définir les niveaux de priorité du trafic
Remarque :
• Veillez à activer cette option sur toutes les règles pare-feu. Si vous n’appliquez aucune consign
Guide d’Administration FortiGate Version 3.0 237 01-30001-0203-20060424
priorité de trafic à une règle, cette dernière est définie comme hautement prioritaire par défaut.
des t
Pour toute information sur la configuration des priorités du trafic, voir « Ajout d’une priorité de trafic aux règles pare-feu » à la page 239.
User Authentication Affiche la page d’information d’authentification (un Disclaimer message de remplacement). L’utilisateur doit accepter ce
message pour se connecter à la destination. Ce message
modèles uniquement.
acceptation de la page d’information d’authentification de l’utilisateur. Cette option est disponible sur certains
es informations sur cette aractères,
Ajout d’une authentification aux règles pare-feu
il de protection pare-feu à un groupe d’utilisateurs
Groupe d’utilisateurs » à la page 330.
pare-feu n’accepte la conn Illustration 110 : Sélection
• Affectez à chaque règle pare-feu une des trois priorités (high, medium ou low).
• Assurez-vous que la somme de toutes les banpassantes garanties de toutes les règles pare-feu esconsidérablement moindre que la capacité de la bande passante de l’interface.
peut être utilisé lors d’une authentification ou d’un profil de protection. Cette option est disponible sur certains
Redirect URL Si vous entrez un URL dans ce champ, l’utilisateur est redirigé vers cette URL après authentification et/ou
modèles uniquement.
Commentaires Ajoutez une description ou d’autrrègle. Le commentaire peut être long de 63 cespaces compris.
Ajoutez des utilisateurs et un profavant de sélectionner une Authentification. L’authentification est disponible si l’Action est positionnée sur ACCEPT. Pour plus d’informations sur l’ajout et la configuration de groupes utilisateurs, voir « Sélectionnez Authentification, ensuite un ou plusieurs groupes d’utilisateurs pour obliger les utilisateurs à entrer un nom d’utilisateur et un mot de passe avant que le
exion.
de groupes utilisateurs pour authentification
on pour tous les services. Les utilisateurs peuvent -feu en utilisant HTTP, Telnet ou FTP. Pour que les entifier, ajoutez une règle HTTP, Telnet ou FTP ation. Lorsque les utilisateurs tentent de se connect
Sélectionnez Authentificatis’authentifier avec le pareutilisateurs puissent s’authconfigurée pour authentific er à travers le pare-feu via cettet un mot de passe pare-f
e règle, il leurs est demandé d’entrer un nom d’utilisateur eu.
238 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
La méthode d’authentifica finis
finis ec des groupes Active
Directory et d’autres groupes ne peut pas être combinée dans une même règle.
tion pare-feu comprend des groupes d’utilisateurs délocaux, de même que des utilisateurs LDAP ou Radius. Sélectionnez Active Directory dans le menu déroulant pour choisir des groupes Active Directory dédans Utilisateur > Groupe utilisateur. L’authentification av
Remarque : Pour permettre au boîtier FortiGate d’authentifier à partir d’un serveur Active irectory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active
Directory Domain Controller. Le FSAE est disponible auprès du Support Technique Fortinet. Pour que les utilisateurs puissent s’authentifier à partir d’autres services (par exemple POP3 ou IMAP), créez un groupe de services qui comprend les services pour lesquels une authentification est requise, de même que HTTP, Telnet et FTP. Ainsi, les utilisateurs peuvent s’authentifier avec la règle via HTTP, Telnet ou FTP
cas, assurez-vous que les utili à
feu sans auutilisateurs ne peuvent pa
.
D
avant d’utiliser un autre service.
Dans la plupart des sateurs puissent utiliser DNS travers le pare- thentification. Si DNS n’est pas disponible, les
s se connecter à un serveur web, FTP ou Telnet avec un nom de domaine
Remarque : Les règles qui n la es co ui ne
uthentificati
Ajout d’une priorité de trafic aux règle
Le Traffic Shaping contrôle niveau de priorité du traficcontrôler quelles règles ondonnées passent par un b ate. Par exemple, on pourrait attribuer à la
es passantes garantie et maximum, combinée à l’option d’attente dans la queue, assurent qu’un minimum et maximum de bande passante soit disponible
e bande
ponible, mais elle peut améliorer la qualité pour le trafic utilisant la bande passante de manière intensive ou sensible aux variations de performances.
ungarantissez la disponibilité d’une quantité de bande
ctets/sec). Par exemple, vous pourriez donner une bande passante garantie plus grande à votre trafic e-commerce.
écessitent une authentification doivent être placées, dansrrespondantes qui n’en nécessiliste, au-dessus des règl tent pas. Sinon, la règle q
nécessite pas d’a on est choisie en premier.
s pare-feu
la bande passante disponible pour la règle et définit le traité par cette règle. Le Traffic Shaping permet de t la priorité la plus haute lorsqu’un grand montant de oîtier FortiG
règle du serveur web de l’organisation une priorité plus haute que celle des règles destinées aux ordinateurs des autres employés. Un employé qui nécessiterait exceptionnellement un accès Internet haut débit pourrait bénéficier d’une règle spéciale offrant une bande passante plus grande. L’option de priorité de trafic est disponible pour les règles ACCEPT, IPSEC et VPN SSL, ainsi que pour tous les services supportés, y compris H.323, TCP, UDP, ICMP et ESP. Elle sera disponible pour SIP dans les versions futures. Les band
pour le trafic.
L’option de priorité de trafic ne permet pas d’augmenter la quantité totale dpassante dis
Bande passante garantie et bande passante maximum
Lorsque vous entrez e valeur dans le champ de la bande passante garantie ’une règle pare-feu, vous d
passante pour un trafic réseau sélectionné (en Ko
Guide d’Administration FortiGate Version 3.0 239 01-30001-0203-20060424
Lorsque vous entrez une valeur dans le champ de la bande passante maximum
pare-feu, vous pour un trafic réseau sélecmiter la bande passante d sante
e-commerce plus important.
ssante utiliséeaux sessions de données d trafic danbande passante garantie e alorsqu’un utilisateur d’un résea s fichiers, les sessions de récep la bande passante disponible au trafic contrôl La bande passante garantie e une règle est la bande
le. Si différents ommencent plusieurs sessions de communication avec la même ces sessions de communication doivent se partager la bande
passante disponible pour te Cependant, la disponibilitéinstances multiples qui utipar des règles différentes. arlimiter la quantité de band adresse réseau et créer une a r une autre adresse réseau.
Fixer une priorité permet dtrafic. Les trafics importan de priorité. Les trafics moins importants devraient se voir attribuer un niveau plus bas de priorité.
bande passante n’est pas utilisée pour des
connexions hautement prioritaires. Par exemple, vous pouvez ajouter des règles qui garantissent de la bande passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une haute priorité à la règle qui contrôle le trafic « voix » et une priorité medium à la règle qui contrôle le trafic e-commerce. Aux heures de pointe, lorsque les deux trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic voice sera transmis avant le trafic e-commerce puisqu’il a la plus haute priorité.
Remarques sur la priorité de trafic
L’option de priorité de trafic tente de normaliser les piques de trafic en donnant la priorité à certains flux. Il y a cependant une limite physique à la quantité de données mise en réserve (dans le buffer) et à son délai. Une fois les seuils dépassés, les trames et paquets seront abandonnés affectant alors le bon déroulement des sessions. Une priorité mal configurée pourrait dégrader un peu plus les flux réseaux étant donné que la quantité de paquets non pris en compte pourrait créer un surplus aux couches supérieures. Un exemple de priorité de trafic de base serait de définir une priorité pour certains flux de trafic au détriment d’autres trafics qui ne seront alors pas pris en compte.
d’une règle limitez la disponibilité d’une quantité de bande passante tionné (en Koctets/sec). Par exemple, vous pourriez u trafic IM, de manière à avoir plus de bande pasli
pour le trafic La bande pa pour le trafic contrôlé par une règle sert au contrôle et
u s les deux directions. Par exemple, si la st ppliquée à une règle FTP interne et externe,
u interne utilise FTP pour placer et recevoir detion et d’envoi partagent
er par cette règle.
t maximum disponible pour passante totale disponible pour tout le trafic contrôlé par cette règutilisateurs crègle, toutes
cet règle.
de la bande passante n’est pas partagée entre les lisent le même service si ces instances sont contrôlées P exemple, vous pouvez créer une règle FTP pour
e passante disponible pour le service FTP pour uneutre règle FTP avec une disponibilité différente pou
Priorité du trafic
e gérer les priorités relatives des différents types de ts devraient avoir un haut niveau
Le pare-feu antivirus FortiGate procure de la bande passante à des connexionsmoins prioritaires seulement si la
240 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X u de garantir la performance et la stabilité du trafic Y.
liquez une limitation de la bande passante à certains le fait que ces sessions peuvent être limitées.
rafic qui
n hôte externe, via une règle Interne -> Externe, subira la riorité de trafic appliquée même si le flot de données provient alors d’Externe ->
Interne. Ce sera par exemple le cas pour un fichier FTP « reçu » ou un serveur SMTP se co ne dans le but de récupérer des emails. La p rmal à des taux réguliers. Elle n’est pa e trafic dense alors que le trafic dép ortiGate. Les paquets doivent être reçus par le boît é de trafic. Si le boîtier For isque de paquets abandonnés, reta
our assurer un fonctionnement optimal de la priorité de trafic, veillez à ce que les soient dépourvues d’erreurs, de télescopage ou ’est pas le cas, les paramètres du boîtier ssiteront probablement quelques ajustements.
Pour un fonctionnement optimal de la priorité de trafic, veillez à respecter les
vous n’appliquez t définie par défaut
comme hautement prioritaire.
).
Configuration de la priorité de trafic FortiGate
mètres se définissent lors de la
Configurer la priorité de trafic
1 Sélectionnez Pare-feu > Règle.
2
3 une quantité disponible de bande passante
des bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l’interface.
dans le but d’augmenter o Si, par exemple, vous appflux, vous devez accepter La priorité de trafic appliquée à une règle pare-feu est renforcée pour le tpeut circuler dans chaque direction. Dès lors une session mise en place par un hôte interne vers up
nnectant à un serveur exter
riorité de trafic est efficace pour un trafic IP nos efficace durant des situations extrêmes d
asse la capacité du boîtier Fier FortiGate avant qu’ils soient sujets à la priorittiGate n’arrive pas à traiter tout le trafic reçu, le rrdés ou latents augmente.
Pstatistiques de l’interface Ethernet de dépassement du buffer. Si ce nFortiGate et du commutateur néce
règles suivantes :
• Activer la priorité de trafic sur toutes les règles pare-feu. Si une priorité de trafic qu’à une seule règle, cette dernière es
• Affectez à chaque règle pare-feu une des trois priorités (low, medium et high
Assurez-vous également que la somme des bandes passantes garanties de toutes les règles pare-feu est considérablement moindre que la capacité de la bande passante de l’interface.
La priorité de trafic s’active et ses paraconfiguration de règles pare-feu.
Lorsque vous créez une nouvelle règle ou éditer une règle existante, sélectionnez option Traffic Shaping (Priorité de Trafic). l’
Configurez les trois options suivantes : ande Passante Garantie Permet de garantir B
pour une règle à travers le pare-feu. Garantir de la bande passante (en Koctets) assure une disponibilité suffisante de bande passante pour les services hautement prioritaires. Assurez-vous que la somme
Guide d’Administration FortiGate Version 3.0 241 01-30001-0203-20060424
Ba de Passante Maximum Permet de limiter la quantité disponible dpour une règle à travers le pare-feu. Limiter l
n e bande passante a bande passante
r l’utilisation de la bande pour des services mineurs au bénéfice de services plus importants.
ve es . Par exemple,
onnecter à un serveur web fic e-commerce devrait être
basse (low). Le pare-feu fournit de la bande passante aux rioritaires seulement lorsque celle-ci n’est
trafic qu’à une
e.
permet d’empêche
Ni au de Priorité Sélectionnez High, Medium ou Low. Cela permet de gérer lpriorités relatives des différents types de traficune règle permettant de se csécurisé et supportant le traaffectée d’une priorité de trafic haute (High). Les services moins importants devraient être affectés d’une priorité de trafic
connexions moins ppas requise pour des connexions hautement prioritaires.
Assurez-vous d’activer la priorité de trafic sur toutes les règles pare-feu. Si vous n’appliquez une priorité de seule règle, cette dernière est définie par défaut comme hautement prioritair
Affectez à chaque règle pare-feu une des trois priorités.
Remarque : Si vous affectez la valeur 0 (zéro) à la bande passante garantie et à la bande passante maximum, la règle n’accepte aucun trafic.
Options des règles pare-feu IPSec
sitionnée sur IPSEC, les options suivantes sont disponibles : Illustration 111 : Règle de cryptage IPSEC
Lorsque l’action est po
VPN Tunnel Sélectionnez le nom du tunnel VPN défini dans la configuration
phase 1. Le tunnel spécifié sera sujet à cette règle de cryptage pare-feu.
Allow Inbound Activez cette option pour permettre au trafic d’un client ou d’ordinateurs « dialup » d’un réseau privé distant de démarrer le tunnel.
tunnel. bound NAT Activez cette option pour translater les adresses IP source de
s en adresse IP de l’interface FortiGate au réseau privé local.
utbound NAT Activez cette option en combinaison avec une valeur CLI natip pour translater les adresses sources des paquets sortants en clair en une adresse IP que vous spécifiez. Ne pas
s que vous n’ayez spécifié une ans ce cas, les adresses
Allow Outbound Activez cette option pour permettre au trafic à partir d’ordinateurs du réseau privé local de démarrer le
Inpaquets entrants décrypté
O
sélectionnez cette option à moinvaleur natip à partir du CLI. Dsource de paquets IP sortants sont remplacés avant que les paquets ne soient envoyés à travers le tunnel. Pour plus d’informations, voir le chapitre « Firewall » du FortiGate CLI Reference.
Remarque : Les tunnels IPS mode interface) ne sont pas configurés de la même manière que les tunnels IPSec en mode tunnel : au lieu de définir une règle de cryptage pare-feu (en mode tunnel « IPSEC ») qui permet les connexions VPN et le contrôle du trafic IP à travers le tunnel, celui-ci lie un tunnel VPN en mode route à une interface
ec en mode route (
242 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
virtuelle IPSec et spécifie ensudans une règle pare-feu (ACC
ite cette interface comme interface source ou de destination EPT ou DENY) régulière.
Options des règle
Lorsque l’Action est positionnée sur SSL-VPN, les options suivantes sont
Pour plus d’informations, voir le chapitre « Définition d’une règle de cryptage pare-u » du Guide Utilisateur VPN IPSec FortiGate – FortiGate IPSec VPN User fe
Guide.
s pare-feu VPN SSL
disponibles :
Remarque : L’option VPN SSL est disponible à partir de la liste Action après qu’un ou et des
urs plusieurs groupes d’utilisateurs aient été créés. Pour créer des comptes utilisateursgroupes d’utilisateurs VPN SSL, voir « Configuration des options des groupes d’utilisateVPN SSL » à la page 335. Illustration 112 : Règle de cryptage VPN SSL
es d’un certificat de être des membres d’un
oit
e niveau de cryptage SSL à utiliser. Le navigateur web du client distant doit pouvoir correspondre au niveau sélectionné :
•
ion Utilisateur Sélectionnez l’une des options suivantes :
Méthode
u est rs local, sélectionnez Local.
• Si les clients à distance seront authentifiés par un serveur ius.
• Si les clients à distance seront authentifiés par un serveur LDAP externe, sélectionnez LDAP.
• es tification Local est
Radius et ensuite LDAP.
isponibles sitant un accès VPN SSL, et cliquez ensuite sur la flèche droite. Ne sélectionnez pas plus d’un groupe d’utilisateurs à moins que
Certificat Client SSL Autorise le trafic généré par des titulairRestrictive groupe (partagé). Ces titulaires doivent
groupe d’utilisateurs VPN SSL, et le nom de ce groupe dêtre présent dans le champ « Allowed », « Autorisé ».
Algorithme de la clé Sélectionnez une des options suivantes pour déterminer le de cryptag
• Pour utiliser une suite de chiffres, sélectionnez Any.
• Pour utiliser une suite de chiffres 164 bits ou plus, sélectionnez High>=164.
Pour utiliser une suite de chiffres 128 bits ou plus, sélectionnez Medium>=128.
Authentificat
• Si le groupe d’utilisateurs lié à cette règle de pare-feun groupe d’utilisateu
RADIUS externe, sélectionnez Rad
Sélectionnez Any pour activer toutes les méthodd’authentification ci-dessus. L’authententée en premier, suivit de
Groupes D Sélectionnez le nom du groupe d’utilisateurs néces
Guide d’Administration FortiGate Version 3.0 243 01-30001-0203-20060424
tous les membres des groupes d’utilisateurs sélectionnés aient des exigences d’accès identiques.
formations s
rs VPN SSL, vPour plus d’in ur comment créer une règle de cryptage pare-feu pour les utilisateu oir le chapitre « SSL VPN administration tasks » du FortiGate SSL VPN User Guide.
244 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Adresse Pare-Feu
•
•
•
•
•
par exemple, 192.45.46.45).
ses IP possibles.
Le masque de réseau correspond au type d’adresses ajoutées. Par exemple :
Le masque de réseau d’une adresse IP d’un ordinateur unique devrait être 5.255.255.255.
masque de réseau 255.0.0.0.
• Le masque de réseau d’un sous-réseau classe B devrait être 255.255.0.0.
Le masque de réseau pour toutes les adresses devrait être 0.0.0.0.
Une plage d’adresses IP représente :
• Une plage d’adresses IP dans un sous-réseau (par exemple, 192.168.20.1 à 192.168.20.10).
A partir de cette page, vous pouvez ajouter, éditer ou supprimer des adresses pare-feu. Les adresses pare-feu sont ajoutées aux règles pare-feu pour correspondre aux adresses IP source ou de destination de paquets reçus par le boîtier FortiGate. Cette section couvre les sujets suivants :
A propos des adresses pare-feu
Visualisation de la liste des adresses pare-feu
Configuration des adresses
Visualisation de la liste des groupes d’adresses
Configuration des groupes d’adresses
A propos des adresses pare-feu Une adresse pare-feu peut être :
• L’adresse IP d’un ordinateur unique (
• L’adresse IP d’un sous-réseau (par exemple, 192.168.1.0 pour un sous-réseau classe C).
0.0.0.0 pour représenter toutes les adres•
•25
• Le d’un sous-réseau classe A devrait être
• Le masque de réseau d’un sous-réseau classe C devrait être 255.255.255.0.
•
Remarque : L’adresse IP 0.0.0.0 et le masque de réseau 255.255.255.255 ne correspond pas à une adresse de pare-feu valide. Pour simplifier la création de règles, il est conseillé d’organiser les adresses ayant un lien entre elles en groupes d’adresses. Une adresse pare-feu peut être configurée avec un nom, une adresse IP et un masque de réseau ou un nom et une plage d’adresses. Il peut également s’agir d’un FQDN (Fully Qualified Domain Name).
Entrez une adresse IP et un masque de réseau en utilisant les formats suivants :
Guide d’Administration FortiGate Version 3.0 245 01-30001-0203-20060424
• x.x.x.x/x.x.x.x., par exemple 192.168.1.0/255.255.255.0
• .x.x.x/x, par ex
Entrez une plage d s suivants :
• x.x.x.x-x.x.x.x, .168.110.120
• x.x.x.[x-x], par
• .x.*, par exe er tes les adr es sur le us-réseau
Une adresse IP/Ma
• un s-ré sse C, adre: 192.168.20 5 )
• e adresse IP IP 2.168.20 un masque de rés
• tes les adre r se IP : 0.0.0.0 et le masque de rés
Entrez un FQDN en
• st_name>.< <top_l n_ >
• <host_name>.<
Un FQDN peut être
• www.fortinet.co
• exemple.com
Visualisation de la liste d eu Si des domaines vi ortiGate, les adresses sont configurées séparé tuel. Pour accéder aux adresses, s ionnez un domaine virtuel de la liste dans le menu pal. Vous pouvez ajoute es sses existantes. Le b Gate es ut qui rep nte n’impo lle ad es dans la liste sont triées par t sque, P Pour visualiser la li Adresse. Illustration 113 : Ech d’adresses
x emple 192.168.1.0/24
’adresses IP en utilisant les format
par exemple 192.168.110.100-192
exemple 192.168.110.[100-120]
x.xso
mple 192.168.110.* pour représent
sque peut représenter :
sous-rése
tou ess
L’adresse d’IP
au (par exemple, un sou.0 et un masque de réseau : 255.25
seau cla.255.0
sse
Un unique (par exemple, une adresse eau : 255.255.255.255)
: 19 .1 et
Tou sses IP possibles (représentées paeau : 0.0.0.0)
utilisant le format suivant :
second
l’adres
<ho _level_domain_name>.
top_level_domain_name>
evel_domai name
m
es adresses pare-frtuels sont activés sur le boîtier Fment pour chaque domaine vir
élect princi
r des adresses à la liste et éditer d adreoîtier Forti
rte quet configuré avec l’adresse par défaresse IP sur le réseau. Les adress
« All » rése
ype : IP/Ma lage IP et FQDN.
ste d’adresses, sélectionnez Pare-feu >
antillon d’une liste
C uveau e pare-feu.
Nom
Adresse / FQDN e, la plage d’adresses IP ou le FQDN.
réer No Permet d’ajouter une adress
Le nom de l’adresse pare-feu.
L’adresse IP et le masqu
246 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Icône Supprimer ess liste. Cette icône ment si l’adresse n’est pas reprise dans une
I om ype, Sous-
Configuration des adresL dresses peuv ditées ant la configuration de règles pare-feu are-feu. Vous pouvez lier un quilibrage d charge et de la haute dispo u FQDN unique peut être créée pour l n intient enregistrement de s adresses auxquelles le FQDN correspond.
Permet de supprimer une adrs’affiche uniquerègle pare-feu.
e de la
cône Editer Permet d’éditer les informations suivantes : Nréseau/Plage IP.
ses
, T
es a ent également être créées ou éà partir de la fenêtre de la règle p
pend
FQDN à de multiples machines pour un énibilité. Une règle pare-fe
e
aquelle le boîtier FortiGate correspond automatiquemetoutes le
t et ma un
Attention : L’utilisat re-feu peut, malgrcommodité, présen très prudents lors de l e cette
Sélectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage d’adresses ou un F Illustration 114 : Options de nouvelles adresses ou de plag
ion d’un FQDN dans une règle pater des risques de sécurité. Soyez fonction.
é sa
’utilisation d
QDN.
e IP.
Nom er l’adresse pare-feu. Les adresses,
elles doivent avoir des noms afin d’éviter la confusion parmi les règles pare-feu.
T : S t/IP Rang QDN.
Subnet/IP Range IP du pare-feu / le masque du sous-réseau ou n
Visualisation de la liste des groupes d’adresses Si des domaines vi r FortiGate, les groupd’adresses sont co domaine virtuel. Pour accéder aux groupes d’adre lectionnez un domaine virtuel de la liste dans le menu p Pour simplifier la co llé iser les adresses a ntées en gro rès ajouté trois adresses et les avo adresses, configurez une seule r i reprend le Pour visualiser la li tionnez Pare-feu > Adresse > Groupe.
Entrez un nom pour identifigroupes d’adresses et IP virtuuniques
ype Sélectionnez le type d’adresse
Entrez l’adresse
ubne e ou F
entrez la plage IP séparée par u tiret.
rtuels sont activés sur le boîtienfigurés séparément pour chaque sses, sé
es
rincipal.
nfiguration de règles, il est conseiupes d’adresses. Par exemple, apir configuré en un groupe d’
d’organ avoir ppare
ègle qu s trois adresses.
ste des groupes d’adresses, sélec
Remarque : Si un gro règle, il ne peut pas être supprimer à moins qu
upe d’adresses est compris dans une’il soit d’abord retirer de la règle.
Guide d’Administration FortiGate Version 3.0 247 01-30001-0203-20060424
I 115 : Ech dresllustration antillon d’une liste de groupes d’a ses
Créer Nouveau ter un groupe d’adresses.
N roupes
M gro ’adresses
Icône Supprimer de la liste. Cette icône s’affiche est pas repris dans une
Icône Editer s suivantes : Nom du groupe et
Configuration s groupDes groupes d’adre t la configuration de pare-feu e ant sur Cré e Adr Pour organiser les le nez PareA > Groupe I tion 116 : Op
Permet d’ajou
om des g Le nom du groupe d’adresses.
embres Les adresses faisant partie du
Permet de supprimer le groupeuniquement si le groupe d’adresses n’
upe d .
règle pare-feu.
Permet d’éditer les informationMembres
de es d’adresses
sses peuvent être créés pendann cliqu er Nouveau de la liste déroulant esse.
adresses en groupes d’adresses, sé.
ction -feu > dresse
llustra tions des groupes d’adresses
Nom du groupe fier le groupe d’adresses. Les
IP virtuelles doi oir des on parmi les règl e-
A nibl co parcer les adresses d’une liste à
Membres La liste des adresses dans le groupe. Utilisez les flèches pour déplacer les adresses d’une liste à l’autre.
Entrez un nom pour identiadresses, groupes d’adresses et noms uniques pour éviter la confusifeu.
vent aves par
dresses dispo es La liste des adresses pare-feuUtilisez les flèches pour déplal’autre.
nfigurées et défaut.
248 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Service Paés par le pare-feu. Vous pouvez ajouter un ou plusieurs
ce(s) prédéfini(s) au choix à une règle. Vous pouvez également créer des services personnalisés pour chaque domaine virtuel et ajouter des services à des
roupes de services.
Visualisation de la liste des services prédéfinis
nalisés
• Configuration des services personnalisés
• Visualisation de la liste des groupes de services
• Configuration des groupes de services
Visualisation de la liste des aines virt FortiGate, les services
nis sont disponibles
ncipal, sé u > aliser la
es ser
re-feu La fonctionnalité Service permet de déterminer les types de communication qui eront acceptés ou refuss
servi
g Cette section couvre les sujets suivants :
•
• Visualisation de la liste des services person
services prédéfinis Lorsque des dom uels sont activés sur le boîtier prédéfi globalement.
Dans le menu pri lectionnez Configuration Globale et ensuite Pare-feService pour visu liste des services prédéfinis.
Illustration 117 : Liste d vices prédéfinis
Nom Le nom du service prédéfini.
étail Le protocole de chaque service prédéfini.
rtorie les à n’im e règle.
D
Le tableau 33 répe s services pare-feu FortiGate prédéfinis. Vous pouvez ajouter ces service porte quell
Guide d’Administration FortiGate Version 3.0 249 01-30001-0203-20060424
Tableau 33 : Services FortiNom du service Descri
Gate prédéfinis ption Protocole Port
AH Authenauthenl’intégrisecret. l’authenIPSec dagressi
51 tication Header. AH fournit une tification de l’hôte source et té des données, mais pas de Ce protocole est utilisé pour tification par les passerelles istantes définies en mode f.
ANY Conviequel pon’importe leprédéfipare-feu.
nt aux connexions à n’importe rt. Une connexion utilisant
all all
quel des services nis est autorisé à travers le
AOL Protocole de messagerieAOL.
instantanée TCP 5190-5194
BGP Protocole de routage Border GatewProtocol. BGP est un protocole de
ay TCP 179
routage intérieur/extérieur. DHCP Dynamic Host Confi
alloue des adresses guration Protocol réseau et livre
des paramètres de configuration à
UDP 67
partir de serveurs DHCP vers les hôtes.
TCP 53 DNS Domain Name Service pour la traduction de noms de domaines en adresses IP. UDP 53
ESP Encapsulating Security Payload. Ce service est utilisé par les tunnels VPN en clé manuelle et AutoIKE pour communiquer des données cryptées. Les tunnels VPN AutoIKE utilisent ESP après avoir établi le tunnel en utilisan
50
t IKE. FING ice réseau fournissant des TCP ER Un serv
informa79
tions sur les utilisateurs. FTP FTP pour le transfert de
. TCP Service
fichiers21
FTP_ FTP pour le téléchargement TCP 21 GET Servicede fichiers « reçus ».
FTP_PUT Service FTP pour le télde fichiers « à envoy
échargement er ».
TCP 21
GOPHER Service de communications
structurés
TCP 70 GOPHER. Il organise et affiche les
et sous contenus d’un serveur Internforme de liste de fichiershiérarchiquement.
GRE Generic Routing Encapsulation. Un protocole permettant à un protocole réseau arbitraire d’être transmis sur tout autre protocole réseau arbitraire, en encapsulant les paquets du protocole dans des paquets GRE.
47
H323 Protocole multimédia H.323. Il s’agit d’un standard approuvé par ITU (International Telecommunication Union) définissant comment les données de conférences audiovisuelles sont transmises à travers les réseaux.
TCP 1720, 1503
HTTP HTTP est le protocole utilisé par la toile web mondiale pour le transfert de données pour les pages web.
TCP 80
250 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
HTTPS HTTPS est un service SSL (Secure socket layer) pour des communications sécurisées des serveurs web.
TCP 443
ICMP t Control Message Protocol est ICMP _ANY Interneune conprotoco
sole de messages et un le de rapport d’erreurs entre
un hôte et une passerelle (Internet). IKE IKE est le protocole pour obtenir
l’échange de clés authentifiées utilisées avec ISAKMP pour IPSEC
UDP 500
IMAP Internet Message Access Protocol est un protocole utilisé pour la réception de courriers électroniques.
TCP 143
INFO_ADDRESS Messages de requêtes d’informations ICMP 17 ICMP.
INFO_REQUEST Messages de requêtes de masque d’adresses ICMP.
ICMP 15
IRC Internet Relay Chat permet aux personnes connectées à Internet de rejoindre des discussions en ligne.
TCP 6660-6669
Internet – Locator -
Internet Locator Service comprend LDAP, User Locator Service, et LDAP
TCP 389
Service sur TLS/SSL. L2TP L2TP est un protocole tunnel en mode
PPP pour l’accès à distance. TCP 1701
LDAP Lightweight Directory Access Protocol est un ensemble de protocoles utilisés
TCP
pour accéder aux informations des services d’annuaires.
389
NFS Network File System autorise les utilisateurs du réseau d’accéder à des fichiers partagés stockés sur des ordinateurs de différents types.
TCP 111, 2049
NNTP k News Transport Protocol est TCP Networun protocdistribuUSENE
119 ole utilisé pour envoyer,
er et recevoir des messages T.
NTP ime Protocol pour la nisation de la date et l’heure serveur NTP.
TCP 123 Network Tsynchroavec un
NetMeeting NetMee utilisateurs de participInterne
TCP 1720 ting autorise leser à des téléconférences via t comme moyen de
transmission. OSPF Open Shortest Path First est u
protocole de routage communn d’état
89
de lien. PC-Anywhere PC-Anywhere est un protocole de
contrôle à distance et de transfert de UDP 5632
fichiers. PING ICMP echo request/reply pour tester
dICMP 8
es connexions vers d’autres machines.
POP3 Post Office Protocol est un protocole email pour le téléchargement de courriers électroniques à partir d’un serveur POP3.
TCP 110
PPTP Point-to-Point Tunneling Protocol est un protocole permettant aux organisations d’étendre leur propre réseau organisationnel à travers des tunnels privés sur l’Internet public.
TCP 1723
Guide d’Administration FortiGate Version 3.0 251 01-30001-0203-20060424
QUAKE Pour les connexions utilisées par le jeu d’ordinateur multi-joueurs Quake.
UDP 26000, 27000, 27910, 27960
RAUDIO er le trafic multimedia audio UDP 707Pour fluel.
0 ré
RIP Ro Information Protocol est un le commun de routage à
UDP 520 utingprotocovecteur de distance.
RLOGIN Servicedistance à un serveur.
513 RLOGIN pour la connexion à TCP
SAMBA Samba autorise les clients Microsoft Windows à utiliser les services de fichier et d’impression à partir d’hôtes TCP/IP.
TCP 139
SIP Session Initiation Protocol définit comment les données de conférence audiovisuelle sont transmises à travers les réseaux.
UDP 5060
SIP- MSNmessenger
Session Initiation Protocol est utilisé par Microsoft Messenger pour initier une session mulimedia interactive.
TCP 1863
SMTP Simple Mail Transfer Protocol est utilisé pour l’envoi de mail entre serveurs emails sur Internet.
TCP 25
TCP 161-162 SNMP Simple Network Management Protocol est un ensemble de protocoles pour la gestion de réseaux complexes. UDP 161-162
TCP 22 SSH Secure Shell est un service pour connexions sécurisées d’ordinateurs lors d’administrations distantes. UDP 22
SYSLOG Service syslog pour connexion à distance.
UDP 514
TALK Un protocole supportant des conversations entre deux ou plusieurs utilisateurs.
UDP 517-518
TCP Tous les ports TCP. TCP 0-65535 TELNET Service Telnet pour des connexions
vers un ordinateur d’administration pour en prendre les commandes.
TCP 23
TFTP Trivial File Transfert Protocol est un protocole de transfert simple de fichiers similaire à FTP mais sans fonctionnalités de sécurité.
UDP 69
TIMESTAMP Messages de requêtes ICMP timestamp.
ICMP 13
UDP Tous les ports UDP UDP 0-65535 UUCP Unix to Unix copy utility, un protocole
simple de copiage de fichiers. UDP 540
VDOLIVE Pour fluer le trafic multimedia VDO live.
TCP 7000-7010
WAIS Wide Area Information Server est un protocole de recherche Internet.
TCP 210
WINFRAME Pour des communications WinFrame entre des ordinateurs munis de Windows NT.
TCP 1494
X-WINDOWS Pour des communications à distance entre un serveur X-Window et des clients X-Window.
TCP 6000-6063
252 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation de la liste des services personnalisés ate, les services
domaine virtuel. Pour maine virtuel de la liste
rvice
Personnalisé.
alisés
Si les domaines virtuels sont activés sur le boîtier FortiGpersonnalisés sont configurés séparément pour chaqueaccéder aux services personnalisés, sélectionnez un dodans le menu principal. Vous pouvez ajouter un service personnalisé pour créer une règle pour un sequi ne se trouve pas dans la liste des services prédéfinis. Pour visualiser la liste des services personnalisés, sélectionnez Pare-feu > Service > Illustration 118 : Liste de services personn
réer Nouveau Sélectionnez un protocole et cliquez ensuite sur Créer
ffiche uniquement si le service n’est pas repris dans une
Configuration e
r Nouveau de la liste Service déroulante.
1 Sélectionnez Pare-feu > Service > Personnalisé.
2 Positionnez le Type de Protocole sur TCP/UDP.
3 onfigurez les paramètres suivants :
ation 119 : Nouveau s
CNouveau pour ajouter un service personnalisé.
Nom du Service Le nom du service personnalisé.
Détail Les numéros des protocole et ports pour chaque service personnalisé.
Icône Supprimer Permet de supprimer une entrée de la liste. Cette icône s’arègle pare-feu.
Icône Editer Permet d’éditer les informations suivantes : Nom, Type de Protocole, Type, Numéro de Protocole, Code, Port Source et Port de Destination.
des services personnalisésDes services personnalisés peuvent être créés lors de la configuration d’une règlpare-feu en sélectionnant Crée Ajouter un service personnalisé TCP ou UDP
C
Illustr ervice personnalisé – TCP/UDP
Guide d’Administration FortiGate Version 3.0 253 01-30001-0203-20060424
Nom Entrez un nom au service personnalisé.
Type de protocole Sélectionnez le type de protocole du service personnalisé : TCP/UDP.
Protocole Sélectionnez TCP ou UDP comme protocole de la plage des
Spécifiez la plage des numéros de Port Source pour le service orts les plus bas et plus haut. Si le
éro de port, entrez celui-ci dans les champs Début et Fin. Les valeurs par défaut permettent l’utilisation de n’importe quel port source.
estination r le us
celui-hamps Début et Fin.
on ADD cliquez sur le bouton Add pour permettre plusieurs plages
1
2
3 ivants :
Illustration 120 : Nouveau service personnalisé - ICMP
ports ajoutée.
ort source Pen entrant les numéros de pservice n’utilise qu’un num
Port d Spécifiez la plage des numéros de Port de Destination pouservice en entrant les numéros de ports les plus bas et plhaut. Si le service n’utilise qu’un numéro de port, entrezci dans les c
Bout Si le service personnalisé nécessite plus d’une plage de ports,
source et de destination.
Icône Supprimer Permet de supprimer une entrée de la liste.
Ajouter un service personnalisé ICMP
Sélectionnez Pare-feu > Service > Personnalisé.
Positionnez le Type de Protocole sur ICMP.
Configurez les paramètres su
om N Entrez un nom au service personnalisé ICMP.
z le numéro du type ICMP pour ce service.
Code Entrez le numéro du code ICMP pour ce service si requis.
Ajouter un service personnalisé IP
1 Sélectionnez Pare-feu > Service > Personnalisé.
2 Positionnez le Type de Protocole sur IP.
3 Configurez les paramètres suivants :
Type de protocole Sélectionnez le type de protocole du service : ICMP.
ype EntreT
254 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 121 : Nouveau service personnalisé - IP
de protocole
ole
Visualisation de la liste des groupes de services es virtuels so te, les groupes de
el. Pour accéder aux liste dans le menu
e qui autorise ou bloque l’accès à tous les services d’un
ectionnez Pare-feu > Service > Groupe. Illustration 122 : Echantillon d’une liste de groupes de services
Nom Entrez un nom au service personnalisé IP.
Type Sélectionnez le type de protocole du service : IP.
Numéro de protoc Le numéro de protocole IP pour ce service.
Si les domain nt activés sur le boîtier FortiGaservices sont créés séparément pour chaque domaine virtugroupes de services, sélectionnez un domaine virtuel de laprincipal. Pour faciliter l’ajout de règles, vous pouvez créer des groupes de services et
nsuite ajouter une règlegroupe. Un groupe de service peut comprendre des services prédéfinis et personnalisés. Un groupe de services ne peut pas être ajouté à un autre groupe de ervices. s
Pour visualiser la liste des groupes de services, sél
Créer Nouveau Permet d’ajouter un groupe de services.
s groupes Le nom d’identification du groupe de services.
s
e e
diter
Configuration des groupes de services
pare-feu en cliquant sur Créer Nouveau dans la liste déroulante. Pour organiser les services en un groupe de services, sélectionnez Pare-feu > Service > Groupe.
Nom de
Membre Les services ajoutés à ce groupe de services.
Permet de supprimer l’entrée de la liste. Cette icône s’affichIcône Supprimeruniquement si le groupe de services n’est pas repris dans unrègle pare-feu.
Icône E Permet d’éditer les informations suivantes : Nom des groupes et Membres.
Des groupes de services peuvent être créés lors de la configuration d’une règle
Guide d’Administration FortiGate Version 3.0 255 01-30001-0203-20060424
Illustration 123 : Options des groupes de services
Nom du gro e Entrez un nom pour identifier le groupe de services.
Serv e des services configurés et prédéfinis. Utilisez les pour déplacer les services d’une liste à l’autre.
Membres La liste des services dans le groupe. Utilisez les flèches pour déplacer les services d’une liste à l’autre.
up
ices disponibles La listflèches
256 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Plage horaire d’un Pare-feu Cette section décrit l’utilisation de plages horaires pour contrôler les périodes d’activité et d’inactivité des règles. Des plages horaires ponctuelles et récurrentes peuvent être créées. Les plages horaires ponctuelles opèrent une seule fois
endant la période de temps spécifié dans l’horaire. Les plages horaires récurrentes se réitèrent chaque semaine. Elles opèrent uniquement lors de
Visualisation
urées séparément pour chaque domaine virtuel. Pour
figuré e règle par défaut qui permet l’accès à tous les services Internet à tout
moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet accès à Internet pendant une période de congé.
our visualiser la liste des plages horaires ponctuelles, sélectionnez Pare-feu > Plage horaire > Ponctuelle.
p
périodes de temps spécifiés de la journée ou lors de jours spécifiés dans la semaine. Cette section couvre les sujets suivants :
Visualisation de la liste des plages horaires ponctuelles •
• Configuration des plages horaires ponctuelles
• Visualisation de la liste des plages horaires récurrentes
• Configuration des plages horaires récurrentes
de la liste des plages horaires ponctuelles Si des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires
onctuelles sont configpaccéder aux plages horaires ponctuelles, sélectionnez un domaine virtuel de la liste dans le menu principal. Vous pouvez créer une plage horaire ponctuelle qui active ou désactive une règle
our une période de temps spécifiée. Par exemple, un pare-feu peut être conpavec un
P
Illustration 124 : Listes des plages horaires ponctuelles
Créer Nouveau Permet d’ajouter une plage horaire ponctuelle.
Nom Le nom de la plage horaire ponctuelle.
cône dans
Début La date et l’heure de début de la plage horaire ponctuelle.
Fin La date et l’heure de la fin de la plage horaire ponctuelle.
Icône Supprimer Permet de supprimer la plage horaire de la liste. Cette iapparaît seulement si la plage horaire n’est pas repriseune règle pare-feu.
Icône Editer Permet d’éditer la plage horaire.
Guide d’Administration FortiGate Version 3.0 257 01-30001-0203-20060424
Configurationées lors de la configuration d’une
gle pare-feu en sélectionnant Créer Nouveau dans la liste Plage Horaire
Pare-feu > Plage horaire Ponctuelle.
des plages horaires ponctuelles Les plages horaires ponctuelles peuvent être crérè(Schedule) déroulante. Pour ajouter une plage horaire ponctuelle, sélectionnez> Illustration 125 : Nouvelle plage horaire ponctuelle
Entrez un nom pour identifier la plage horaire po
Nom nctuelle.
b
t de
24 h
Visualisation ei des domaines virtuels sont activés sur le boîtier FortiGate, les plages horaires
la
vez créer une plage horaire récurrente qui active ou désactive une règle des moments de la journée ou lors de certains jours de la semaine spécifiés. Par
Dé ut Entrez les date et heure de départ de la plage horaire ponctuelle.
Fin Entrez les date et heure de fin de la plage horaire ponctuelle.
Pour une plage horaire active tout au long de la journée, affectez 00 aux dates eheures de départ et de fin. Les plages horaires ponctuelles utilisent une horloge
eures (et non pas 12).
d la liste des plages horaires récurrentes Srécurrentes sont configurées séparément pour chaque domaine virtuel. Pour accéder aux plages horaires récurrentes, sélectionnez un domaine virtuel deliste dans le menu principal. Vous pouàexemple, empêcher les jeux pendant les heures de travail en créant une plage horaire récurrente.
Remarque : Une pl re récurrente avec une heure de fin qui a lieu avant l’heure de début et finit à l’heure de fin de la journée suivante. Cette s plages horaires qui passent du jour au lendemain. Pour crne 24 heures, affectez la mê
age horaidébut commence à l’heure detechnique permet de créer de éer une plage horaire qui fonction me heure aux heures de début et de fin. Pour visualiser la liste desPlage horaire > Récurren
plages horaires récurrentes, sélectionnez Pare-feu > te.
258 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Il plages horaires récurrentes lustration 126 : Listes des
Créer Nouveau plage horaire récurrente.
Jour
ébut
Fin
Icône Supprimer ne
Configuration des plages horaires récurrentes Les plages horaires récurrrègle pare-feu en sélection(Schedule) déroulante.
ge ho ire > Récurrente. Illustration 127 : Nouvelle p
Permet d’ajouter une
Nom Le nom de la plage horaire récurrente.
Les initiales des jours de la semaine pendant lesquelles la plage horaire récurrente est active.
D L’heure de début de la plage horaire récurrente.
L’heure de fin de la plage horaire récurrente.
Permet de supprimer la plage horaire de la liste. Cette icôapparaît seulement si la plage horaire n’est pas reprise dans une règle pare-feu.
Icône Editer Permet d’éditer la plage horaire.
entes peuvent être créées lors de la configuration d’une nant Créer Nouveau dans la liste Plage Horaire
Pour ajouter une pla raire récurrente, sélectionnez Pare-feu > Plage hora
lage horaire récurrente
Nom Entrez un nom pour identifier la plage horaire récurrente.
Select Cochez les jours de la semaine pendant lesquelles la plage tive.
e de départ de la plage horaire récurrente.
.
Les plages horaires récurrentes utilisent une horloge de 24 heures (et non pas 12).
horaire récurrente doit être ac
Début Sélectionnez l’heur
Fin Sélectionnez l’heure de fin de la plage horaire récurrente
Guide d’Administration FortiGate Version 3.0 259 01-30001-0203-20060424
IP virtuelles IP virtuelles et les plages IP FortiGate.
Cette section couvre les s
• Visualisation de la liste
tion des IP v
• Plages IP
IP virtuelles travers le
r
e e que cette interface puisse répondre aux requêtes de
onnexion des utilisateurs en réalité connectés à un serveur du réseau DMZ ou du u interne.
Comment les adresses IP virtuelles gè vers le boîtier FortiGate
Un exemple d’utilisation d’un accès public facile à unFortiGate. De la manière l implique seulement trois parties, tel qu’exemplifié dans l’illustration 128 : Le serveur web du réseau privé, la machine cliente et le boîtier FortiGate connecté aux deux réseaux.
données reçus par le boîtisont réécrites et transférée Illustration 128 : Exemple d
Cette section explique comment configurer et utiliser dans les règles pare-feu les
ujets suivants :
• IP virtuelles
d’IP virtuelles
• Configura irtuelles
• Visualisation des Plages IP
• Configuration des Plages IP
Les adresses IP virtuelles sont utilisées pour permettre des connexions àboîtier FortiGate en utilisant des règles pare-feu NAT (Network Address Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au boîtier FortiGate de répondre aux requêtes ARP sur le réseau pour un serveur installé su
n autre réseau. Proxy ARP est défini par la RFC 1027. u Par exemple, vous pouvez ajouter une adresse IP virtuelle à une interface extern
ortiGate de manière à cFcrésea
rent-elles leurs connexions à tra?
une adresse IP virtuelle de translation est de permettre serveur web d’un réseau privé protégé par un boîtier
a plus simplifiée, cette situation
Un ordinateur client tentant de se connecter au serveur envoie des paquets de
er FortiGate. Les adresses reprises dans les paquets s au serveur du réseau privé.
’une adresse IP virtuelle de translation simple
Les paquets envoyés par l192.168.37.55 et une adre e reçoit ces paquets sur son dresse IP
’ordinateur client ont une adresse IP source sse IP de destination 192.168.37.4. Le boîtier FortiGat interface externe. Les paramètres de l’a
260 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
virtuelle indiquen irection de 192.168.37.4 à 10.10.10.42, les adresses dest une red ant été modifié de
0.10.10.42. L on du pare-fer le serveur.
translation client - serveur
paquets ay es. L’adresse source est devenue 10.10.10.2 et celledestination 1 e boîtier FortiGate enregistre cette translation dans satable de sessi u. Les paquets sont ensuite envoyés et arrivent finalement su
Illustration 129 : Exemple de translation d’adresse d’un paquet pendant une
dans les ait translaté
e s
se IP source 10.10.10.42 et une adresse IP de destination
déterminer l’adresse de destination translatée. Dans cet exemple, l’adresse source est réécrite et devient 192.168.37.4 et la destination 192.168.37.55. Les paquets sont ensuite envoyés et arrivent finalement sur l’ordinateur client. L’adresse du serveur n’apparaît pas dans les paquets que le client reçoit. En effet, après que le boîtier FortiGate ait translaté les adresses réseaux, il n’y a plus de référence faite au réseau du serveur. Le client n’a pas d’indication sur l’existence du réseau privé du serveur. Pour lui, le boîtier FortiGate est le serveur web. Illustration 130 : Exemple de translation d’adresse d’un paquet pendant une
anslation serveur - client
Vous remarquerez que l’adresse de l’ordinateur client n’apparaît paspaquets reçus par le serveur. En effet, après que le boîtier FortiGateles adresses réseaux, il n’y a plus de référence faite au réseau de l’ordinateur client. Le serveur n’a pas d’indication sur l’existence d’un autre réseau. Pour lui, toutes les communications viennent directement du boîtier FortiGate. Lorsque le serveur répond à l’ordinateur client, la procédure fonctionne de la mêmmanière mais dans la direction opposée. Le serveur envoie ses paquets réponseyant une adresa
10.10.10.2. Le boîtier FortiGate reçoit ces paquets sur son interface interne. Cependant, cette fois-ci, l’entrée dans la table de session pare-feu va servir à
tr
Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode Transparent. Une adresse IP virtuelle peut être une seule adresse IP ou une plage d’adresses IP limitée à une interface FortiGate. Lorsque vous faites correspondre une adresse IP ou une plage d’adresses IP à une interface FortiGate fonctionnant avec une adresse IP virtuelle, l’interface répond aux requêtes ARP pour l’adresse IP ou pour la plage d’adresses IP correspondante.
Guide d’Administration FortiGate Version 3.0 261 01-30001-0203-20060424
Dans le cas où la case NAT n’a pas été sélectionnée lors de la configuration d’une
ation network address e les paquets d’un réseau externe à l’attention d’une cifique, translate l’adresse de destination des
ché, les paquets peuvent arriver
ement l’adresse IP source des paquets oit identique à
esses IP et peuvent translater les ad’adresses IP virtuelles on
• L’adresse IP de corres255.255.255.255.
• L’adresse IP externe nNAT statique et est tra
adress
La translation de Port translate une plage de ports externes vers une plage de
Par exemple, une plage interne de 20 ports translatées du port externe 65530 n’est pas valide puisque le dernier port de la plage serait 65550.
age de port, la plage d’adresses IP externes ne peut pas inclure
n plus de lier l’adresse IP ou la plage d’adresses IP à l’interface, l’adresse IP ur translater
sses IP de l’interface qui reçoit les paquets vers réseau que l’adresse IP ou la plage d’adresses IP
er cinq diffé chacun pouvant T.
slation translate une adresse éseau source vers
une adresse IP translatée ou une plage d’adresses IP d’un
règle pare-feu, cette règle effectuera la DNAT (destintranslation). La DNAT acceptadresse IP de destination spépaquets en une adresse IP de correspondance d’un autre réseau caché et transfère ensuite les paquets à travers le boîtier FortiGate vers ce réseau de destination caché. A l’inverse des exemples précédents, l’adresse source n’est pas translatée. Une fois sur le réseau de destination caà leur destination finale. Les adresses IP virtuelles translatent égalde retour de l’adresse source du réseau caché pour qu’elle sl’adresse de destination des paquets originaux. Les plages d’adr virtuelles peuvent être de presque n’importe quelle taille
dresses vers différents sous-réseaux. Les plages t les restrictions suivantes :
pondance ne peut pas inclure 0.0.0.0 ou
e peut pas être 0.0.0.0. si le type de cette adresse est nslatée en une plage d’adresses IP. Seuls l’équilibrage
de charge des adresses IP virtuelles, et les adresses IP virtuelles translatées vers une seule e IP, supportent une adresse IP externe 0.0.0.0.
•ports internes. Le nombre de ces ports doit être le même. Pour cela, le port externe doit être défini de manière à ce que sa plage ne dépasse pas 65535.
• Lors du relayd’adresses IP d’interfaces.
• La plage d’adresses IP de correspondance ne doit pas inclure d’adresses IP d’interfaces.
• Le nom d’une adresse IP virtuelle ne peut pas être identique à celui d’une adresse ou d’un groupe d’adresses.
• Les entrées dupliquées ou de plages qui se chevauchent ne sont pas permises.
Evirtuelle contient également toutes les informations requises pol’adresse IP ou la plage d’adrel’interface connectée au mêmeactuelle. Vous pouvez cré rents types d’adresses IP virtuelles, être utilisé pour une variation de DNA Static NAT Les adresses IP virtuelles de tran
IP externe ou une plage d’adresses IP d’un r
réseau de destination.
262 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Les adresses IP virtuelles de translation utilisent une translation un-à-un. Une seule adresse IP externe est translatée vers une seule adresse IP. Une plage d’adresses IP externes est translatée vers une plage correspondante d’adresses IP. Une adresse IP donnée dans la plage d’adresses sources est toujours translatée vers la même adresse IP dans la plage d’adresses de destination.
Static NAT Port Le relayage de port NAT statique translate une seule adresse Forwarding IP ou une plage d’adresses et un seul numéro de port ou de
plage de ports sur un réseau vers une seule adresse IP ou une plage d’adresses différente et un seul numéro de port ou de plage de ports différente sur un autre réseau.
Le relayage de port NAT statique est également appelé relayage de port. Les adresses IP virtuelles du relayage de port NAT statique utilisent une translation un à un. Une plage d’adresses IP externes est translatée vers une plage
Les adresses IP virtuelles de relayage de port peuvent être utilisées pour configurer le boîtier FortiGate pour le PAT (port address translation).
Equilibrage de charge Egalement appelé relayage de port dynamique. Une adresse IP virtuelle d’équilibrage de charge translate une seule adresse IP sur un réseau vers une plage d’adresses IP sur un autre réseau.
L’équilibrage de charge utilise une translation un-à-plusieurs et un algorithme d’équilibrage de charge pour affecter une adresse IP de destination de la plage d’adresses IP pour assurer une distribution du trafic plus équilibrée.
Load Balancing Un équilibrage de charge avec une adresse IP virtuelle de Port Forwarding relayage de port translate une seule adresse IP et un seul
numéro de port sur un réseau vers une plage d’adresses IP et une plage de numéros de ports sur un autre réseau.
Un équilibrage de charge relayage de port utilise un algorithm se ne
distribution plus équilibrée du trafic et également pour affecter age de ports de destination.
ous définissez l’adresse IP externe d’une adresse IP
ellement uter une
seau externe vers un réseau ajoutez
c
Par exemple, si l’ordinateur minterne, il pourrait avoir une ad ir des paquets d’Internet vers le serveur web sur Internet. Ajoul’adresse externe IP du serveuweb du réseau interne. Pour a r
correspondante d’adresses IP et une plage de ports externes est translatée vers une plage correspondante de ports.
ed’équilibrage de charge un-à-plusieurs pour affecter l’adresIP de destination d’une plage d’adresses IP pour assurer u
le port de destination de la pl
Dynamic virtual IPs Si vvirtuelle à 0.0.0.0 vous créez une adresse IP virtuelle dynamique pour laquelle toute adresse IP externe est translatée vers l’adresse IP ou la plage d’adresses IP translatée.
Vous devez ajouter l’adresse IP virtuelle à une règle pare-feu NAT pour réimplémenter la translation configurée dans l’adresse IP virtuelle. Pour ajorègle pare-feu qui translate des adresses sur un réinterne, vous ajoutez une règle pare-feu de l’externe vers l’interne et l’adresse IP virtuelle dans le hamp de l’adresse de destination de la règle.
uni d’un serveur web est localisé sur le réseau resse IP privée telle que 10.10.10.42. Pour recevoserveur web, il doit y avoir une adresse externe du tez une adresse IP virtuelle au pare-feu qui translate r web sur Internet vers l’adresse actuelle du serveur utoriser des connexions d’Internet vers le serveu
Guide d’Administration FortiGate Version 3.0 263 01-30001-0203-20060424
web, ajoutez une règle pare-fe virtuelle à l’Adresse de Destina
Visualisation ’IP virPour visualiser la liste des adrvirtuelle > IP virtuelle.
lustration 131 : Liste d’adresses IP virtuelles
u de l’externe vers l’interne et affectez l’adresse IPtion.
de la liste d tuelles esses IP virtuelles, sélectionnez Pare-feu > IP
Il
Créer Nouveau Permet d’ajouter une adresse IP virtuelle.
L’adresse IP ou la plage d’adresses externe.
ort réel La translation vers le numéro du port ou la plage de ports. Le port d’adresses IP
et de supprimer l’adresse IP virtuelle de la liste. Cette eulement si cette adresse n’est pas reprise
Permet de mo se IP virtuelle son nom.
Configurationnez Pare-feu > IP virtuelle une adresse IP virtuelle,
le de translation pour une seule adresse IP est la lus simple d’une adresse IP virtuelle. Une seule adresse IP sur un
réseau est translatée vers une autre adresse IP sur un second réseau. Le boîtier
IP
ce externe est connectée au réseau source et reçoit les paquets à transférer au réseau de destination. Vous pouvez sélectionner n’importe quelle interface FortiGate, sous-interface VLAN ou interface VPN.
Type Sélectionnez NAT statique ou Load Balance.
Nom Le nom de l’adresse IP virtuelle.
IP
Port Le numéro du port externe ou la plage de ports. Le port de service est compris dans le relayage de port d’adresses IP virtuelles.
Adresse IP réelle La translation vers l’adresse IP ou la plage d’adresses sur le réseau de destination.
Pport réel est compris dans le relayage devirtuelles.
Icône Supprimer Permicône apparaît sdans une règle pare-feu.
Icône Editer difier toute option d’une adresnotamment
des adresses IP virtuelles Pour ajouter une liste d’adresses IP virtuelles, sélection> IP virtuelle et cliquez sur Créer Nouveau. Pour éditercliquez sur l’icône Editer de l’adresse à éditer. Une adresse IP virtuelconfiguration la p
FortiGate connecte les deux réseaux et autorise la communication entre eux. Pour ajouter ou éditer une adresse IP virtuelle, sélectionnez Pare-feu > IP virtuelle > IP virtuelle. Nom Entrez ou modifiez le nom d’identification de l’adresse
virtuelle. Pour éviter toute confusion, les règles pare-feu, les adresses, les groupes d’adresses et les adresses IP virtuelles ne peuvent pas avoir des noms en commun.
Interface externe Sélectionnez l’interface externe de l’adresse IP virtuelle dans la liste. L’interfa
264 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
External IP Entrez l’adresse IP externe que vous voulez translater vers Address/Range une adresse sur le réseau de destination. Pour configurer une
adresse IP virtuelle dynamique qui accepte les connexions pour n’importe quelle adresse IP, affectez 0.0.0.0 à l’adresse IP externe. Pour une adresse IP virtuelle dynamique de translation vous ne pouvez ajouter qu’une adresse IP translatée. Pour une adresse IP virtuelle dynamique d’équilibrage de charge vous pouvez spécifier une seule adresse ou une seule plage d’adresses translatée.
Mapped IP Entrez l’adresse IP réelle sur le réseau de destination de Address/Range l’adresse IP externe translatée. Vous pouvez également entrer
une plage d’adresses pour transférer les paquets vers de multiples adresses IP sur le réseau de destination.
Pour une adresse IP virtuelle de translation, si vous ajoutez
e p External IP Adresse/Range.
IP virtuelle de relayage de port.
ectionnez le protocole (TCP ou UDP) que les paquets
r le réseau de destination dont le numéro du port externe est translaté.
ports pour ets vers de multiples ports sur le réseau de
lation, si vous ajoutez boîtier FortiGate
Ajout d’une adresse IP virtuelle de tra
L’adresse IP 192.168.37.4privé. Les tentatives pour translatées et envoyées à Internet n’ont pas connais nateur
irtuelle de translation à une seule adresse IP
une plage d’adresses IP translatées, le boîtier FortiGate calcule la plage d’adresses IP externe et ajoute cette plagdans le cham
Port forwarding Permet d’ajouter une adresse
Protocole Séltransférés utiliseront.
Port externe Entrez le numéro du port service externe pour lequel vous désirez configurer le relayage de port.
Port réel Entrez le numéro du port su
Vous pouvez également entrer une plage detransférer les paqudestination.
Pour une adresse IP virtuelle de transune translation à une plage de ports, lecalcule la plage de ports externes et ajoute cette plage dans le champ Port Externe.
nslation à une seule adresse IP
sur Internet est translatée à 10.10.10.42 sur un réseau communiquer avec 192.168.37.4 sur Internet sont 10.10.10.42 par le boîtier FortiGate. Les ordinateurs sursance de cette translation et ne voient qu’un ordi
avec une adresse IP 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé derrière. Illustration 132 : Exemple d’adresse IP v
Guide d’Administration FortiGate Version 3.0 265 01-30001-0203-20060424
Ajouter une adresse IP virtuelle de translation à une seule adresse IP
1
2
3
t réseau DMZ.
xterne doit être une adresse IP statique obtenue I pour votre serveur web. Cette adresse doit
nique qui n’est pas utilisée e que l’adresse IP
elle va utiliser. Cependant, tée vers l’interface lle et l’adresse IP externe
peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’adresse IP virtuelle, l’interface externe répond aux requêtes ARP pour l’adresse IP externe.
e L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a qu’une adresse IP, laissez le deuxième champ vide.
seule adresse IP
Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.
Cliquez sur Créer Nouveau.
Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs d’Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Interne
t l’interface dmz1 est connectée aueNom simple_static_NAT
Interface externe wan1
Type NAT statique
L’adresse IP Internet du serveur External IP web.
Address/Range L’adresse IP epar votre FAégalement être une adresse IP upar un autre hôte et ne peut pas être la mêmde l’interface externe que l’IP virtul’adresse IP externe doit être rousélectionnée. L’adresse IP virtue
Map to IP/IP Rang
Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation à une
4 Cliquez sur OK.
Ajouter une adresse IP virtuelle de translation à une seule adresse IP dans une règle pare-feu Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de manière à ce que lorsque des utilisateurs sur Internet tentent de se connecter à l’adresse IP du serveur web, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate l’adresse de destination de ces paquets de l’IP externe vers l’adresse IP du réseau DMZ du serveur web.
1
2
ne adresse spécifique précise)
Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.
Configurez la règle pare-feu : Source Interface/Zone wan1
Source Adresse All (ou u
266 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Destination Interface/Zone dmz1
Destination Adresse simple_static_NAT
Horaire always
Service HTTP
3
4
Ajout d’une adresse IP virtuelle de translation à une plage d’adresses IP
La plage d’adresses IP 192.168.37.4-192.168.37.6 sur Internet est translatée vers 10.10.10.42-10.10.123.44 sur un réseau privé. Les paquets des ordinateurs Internet communiquant avec 192.168.37.4 sont translatées et envoyées à 10.10.10.42 par le boîtier FortiGate. Similairement, les paquets destinés à 192.168.37.5 sont translatés et envoyés à 10.10.10.43 et les paquets destinés à 192.168.37.6 sont translatés et envoyés à 10.10.10.44. Les ordinateurs sur Internet n’ayant pas connaissance de la translation ne voient que trois ordinateurs
IP indiv
Illustration 134 : Exemple d’adresse IP IP
Action ACCEPT
Cochez la case NAT.
Cliquez sur OK.
avec des adresses iduelles au lieu d’un boîtier FortiGate avec un réseau privé derrière.
virtuelle de translation à une plage d’adresses
Ajouter une adresse IP virtuelle de translation à une plage d’adresses IP
1
2
3
u DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est onnectée à Internet et l’interface dmz1 est connectée au réseau DMZ.
wan1
ange eurs web. Les externes doivent être des adresses IP
Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.
Cliquez sur Créer Nouveau.
Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui permette aux utilisateurs d’Internet de se connecter à trois serveurs web individuels sur leréseacNom static_NAT_range
Interface externe
Type NAT statique
External IP Address/R La plage d’adresses IP Internet des servadresses IP
Guide d’Administration FortiGate Version 3.0 267 01-30001-0203-20060424
statiques obtenues par votre FAI pour votre serveur web. être des adresses IP par un autre hôte et ne les adresses IP de
iser. Cependant, routées vers
l’interface sélectionnée. Les adresses IP virtuelles et l’adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’adresse IP virtuelle, l’interface externe répond aux requêtes ARP pour les
interne. e de la
Ces adresses doivent également uniques qui ne sont pas utilisées peuvent pas être les mêmes quel’interface externe que l’IP virtuelle va utilles adresses IP externes doivent être
adresses IP externes.
Map to IP/IP Range La plage d’adresses IP des serveurs du réseau Définissez la plage en entrant la première adressplage dans le premier champ et la dernière adresse de laplage dans le deuxième champ.
Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec une plage d’adresses IP
4 Cliquez sur OK.
Ajouter une adresse IP virtuelle de translation avec une plage d’adresses IP à une règle pare-feu
Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate les adresses de destination de ces paquets de l’adresse IP externe vers les adresses IP du réseau DMZ des serveurs web.
1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.
2 Configurez la règle pare-feu : Source Interface/Zone wan1
Source Adresse All (ou une adresse spécifique précise)
Destination Interface/Zone dmz1
Destination Adresse static_NAT_range
Horaire always
Service HTTP
Action ACCEPT
3 Cochez la case NAT.
4 Cliquez sur OK.
268 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Ajout d’un relaya l port
L’adresse IP 192.168.37.4, port 80 sur Internet est translatée vers 10.10.10.42, port 8000 sur un réseau privé. Les tentatives de communication avec 192.168.37.4, port 80 d’Internet sont translatées et envoyées vers 10.10.10.42, port 8000 par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur au 192.168.37.4, port 80 au lieu d’un boîtier FortiGate avec un réseau privé derrière. Illustration 136 : Exemple de relayage de port de l’adresse IP virtuelle de translation pour une seule adresse IP et un seul port
ge de port de translation à une seule adresse IP et un seu
Ajouter un relayage de port de l’adresse IP virtuelle de translation à une
1 Pare-feu > I
2 r Nouvea
3 Utilisez la procédure suivaaux utilisateurs sur InterneDans notre exemple, l’inteet l’interface dmz1 est con
Nom
Interface externe
External IP Address/Range IP externe doit être une adresse IP statique obtenue
it lisée
par un autre hôte et ne peut pas être la même que l’adresse IP de l’interface externe que l’adresse IP virtuelle va utiliser. Cependant, l’adresse IP externe doit être routée vers l’interface sélectionnée. L’adresse IP virtuelle et l’adresse IP
aux requêtes ARP pour l’adresse IP externe.
ort externe Le port utilisé par le trafic provenant d’Internet. Pour un serveur web, il s’agit généralement du port 80.
seule adresse IP et un seul port
Sélectionnez P virtuelle > IP virtuelle.
Cliquez sur Crée u.
nte pour ajouter une adresse IP virtuelle qui permette t de se connecter à un serveur web sur le réseau DMZ. rface wan1 du boîtier FortiGate est connectée à Internet nectée au réseau DMZ.
Port_fwd_NAT_VIP
wan1
Type NAT statique
L’adresse IP Internet du serveur web. L’adressepar votre FAI pour votre serveur web. Cette adresse doégalement être une adresse IP unique qui n’est pas uti
externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’adresse IP virtuelle, l’interface externe répond
Map to IP/IP Range L’adresse IP du serveur sur le réseau interne. Puisqu’il n’y a qu’une adresse IP, laissez le deuxième champ vide.
Port forwarding Sélectionné
Protocole TCP
P
Guide d’Administration FortiGate Version 3.0 269 01-30001-0203-20060424
Port réel Le port sur lequel le serveur reçoit le trafic. Purt, lais
isqu’il n’y a sez le deuxième champ vide.
Illus : Relayage de port d’une adresse IP virtuelle de translation à une seule adresse IP et un seul port
qu’un po
tration 137 : Options des adresses IP virtuelles
4 Cliquez sur OK. Ajouter un relayage de port d’une adresse IP virtuelle de translation à une seule adresse IP et un seul port à une règle pare-feu
Ajoutez une règle pare-feu de wan1 vers dmz1 qui utilise l’adresse IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se connecter aadresses IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’adresse IP virtuelle translate les adre
ux
sses et orts de destination de ces paquets de l’adresse IP externe vers les adresses IP
1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.
2 Configurez la règle pare-feu : Source Interface/Zone wan1
Source Adresse All (ou une adresse spécifique précise)
Destination Interface/Zone dmz1
Destination Adresse Port_fwd_NAT_VIP
Horaire always
vice HTTP
Ajout d’un relayade ports
sur un tion vers 192.168.37.5, port 82
10.10.43, port 8002 as connaissance de
tion ne voient 7.5 au lieu d’un
pdu réseau DMZ des serveurs web.
Ser
Action ACCEPT
3 Cochez la case NAT.
4 Cliquez sur OK.
ge de port de translation à une plage d’adresses IP et une plage
Les ports 80 à 83 des adresses 192.168.37.4 à 192.168.37.7 sur Internet sont translatées aux ports 8000 à 8003 des adresses 10.10.10.42 à 10.10.10.44réseau privé. Les tentatives de communicad’Internet par exemple, sont translatées et envoyées vers 10.par le boîtier FortiGate. Les ordinateurs sur Internet n’ayant pcette transla qu’un seul ordinateur au 192.168.3boîtier FortiGate avec un réseau privé derrière.
270 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 138 : Exemple dà une plage d’adresses IP e
e relayage de port d’une adresse IP virtuelle de translation t une plage de ports
ort de l’adresse IP virtuelle de translationAjouter un relayage de p à une plage d’adresses IP et une plage de ports
1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.
2 Cliquez sur Créer Nouveau.
3 ette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ.
s notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet 1 est connectée au réseau DMZ.
s doivent également être uniques et inutilisées par un autre hôte et ne
erface er. Cependant, les
sses IP externes doivent être routées vers l’interface ctionnée. Les adresses IP virtuelles et l’adresse IP externe
eaux différents. Lorsque vous ajoutez l pond aux requêtes
ur sur le réseau interne. Définissez la ns le
Port externe Les ports utilisés par le trafic provenant d’Internet. Pour un serveur web, il s’agit généralement du port 80.
Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la plage en entrant le premier port de cette plage dans le premier champ et le dernier port dans le deuxième champ. S’il n’y a qu’un seul port, laissez le deuxième champ vide.
ne plage de ports
Utilisez la procédure suivante pour ajouter une adresse IP virtuelle qui perm
Danet l’interface dmz
Nom Port_fwd_NAT_VIP_port_range
Interface externe wan1
Type NAT statique
External IP L’adresse IP Internet du serveur web. Address/Range Les adresses IP externes doivent être des adresses IP
statiques obtenues par votre FAI. Ces adresse
peuvent pas être identiques à l’adresse IP de l’intexterne que l’adresse IP virtuelle va utilisadresélepeuvent être sur des sous-rés
’adresse IP virtuelle, l’interface externe ré ARP pour les adresses IP externes.
Map to IP/IP Range Les adresses IP du serveplage en entrant la première adresse de cette plage da
xième premier champ et la dernière adresse dans le deuchamp.
Port forwarding Sélectionné
Protocole TCP
Illustration 139 : Options de l’adresse IP virtuelle : relayage de port de l’adresse IP virtuelle de translation à une plage d’adresses IP et u
Guide d’Administration FortiGate Version 3.0 271 01-30001-0203-20060424
4 liquez sur OK.
resse IP virtuelle de translation à une ègle pare-feu
wan1 vers dmz1 qui utilise l’IP virtuelle de manière à rs sur Internet tentent de se connecter aux adresses
e boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’IP virtuelle translate les adresses et ports de destination de ces paquets de l’IP externe vers les adresses IP du réseau DMZ des serveurs
1
2 Configurez la règle pare-feu :
e All (ou une adresse spécifique précise)
ACCEPT
4
Ajout d’une IP virtuelle d’équilibrage de charge à une plage d’adresses IP
L’adresse IP 192.168.37.4 sur Internet est translatée vers 10.10.123.42 à
s ordinateurs
C Ajouter un relayage de port d’une adplage d’adresses IP et une plage de ports à une r
Ajoutez une règle pare-feu dece que, lorsque des utilisateuIP du serveur, les paquets passent à travers l
web.
Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.
Source Interface/Zone wan1
Source Adress
Destination Interface/Zone dmz1
Destination Adresse Port_fwd_NAT_VIP_port_range
Horaire always
Service HTTP
Action
3 Cochez la case NAT.
Cliquez sur OK.
10.10.123.44 sur un réseau privé. La translation d’adresse IP est déterminée par l’algorithme de l’équilibrage de charge du boîtier FortiGate. Les tentatives de communication avec 192.168.37.4 d’Internet sont translatées et envoyées vers 0.10.10.42, 10.10.10.43 ou 10.10.10.44 par le boîtier FortiGate. Le1
sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur à 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé errière. d
272 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 140 : Exemple d’IP virtuelle d’équilibrage de charge d’une plage d’adresses IP
Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP
1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.
2 Cliquez sur Créer Nouveau.
3
et
par votre FAI pour votre serveur web. Cette adresse doit également être une adresse IP unique qui n’est pas utilisée
as être la même que l’adresse IP virtuelle va utiliser. Cependant,
a
Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet’interface dmz1 est connectée au réseau DMZ. lNom Load_Bal_VIP
Interface externe wan1
Type Load Balance
External IP L’adresse IP Internet du serveur web.
Address/Range L’adresse IP externe doit être une adresse IP statique obtenue
par un autre hôte et ne peut pde l’interface externe que l’IP l’adresse IP externe doit être routée vers l’interface sélectionnée. L’adresse IP virtuelle et l’adresse IP externe peuvent être sur des sous-réseaux différents. Lorsque vous ajoutez l’IP virtuelle, l’interface externe répond aux requêtes ARP pour l’adresse IP externe.
Map to IP/IP Range L’adresse IP des serveurs sur le réseau interne. Définissez lplage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième champ.
Illustration 141 : Options de l’IP virtuelle : IP virtuelle d’équilibrage de charge
liq4 uez sur OK. C
Guide d’Administration FortiGate Version 3.0 273 01-30001-0203-20060424
Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP à une règle pare-feu
z une règle pare-feu utilise l’IP virtuelle de manière à ce e des utilisateu necter à l’adresse IP du
ts passe rface wan1 à e ces paquets de
s adresse
nez Pare-feu
2 Configurez la règle pawan1
Destination Interface/Zone dmz1
IP
Horaire always
Service HTTP
Action ACCEPT
3 Cochez la case NAT.
ez sur OK.
Ajout d’une IP vir layage de pod’adresses IP et une plage de ports
Les connexions vers 192.1 10.10.10.44 sur un réseaul’algorithme de l’équilibrag à 83 sur 192.168.37.4 sont translatés vers 8000 à 8003. Les ordinateurs sur Internet n’ayant pas connaissance de cette translation ne voient qu’un seul ordinateur à 192.168.37.4 au lieu d’un boîtier FortiGate avec un réseau privé derrière. Illustration 142 : Exemple d’IP virtuelle relayage de ports équilibrage de charge à une plage d’adresses IP et une plage de ports
Ajoute wan1 vers dmz1 qui que, lorsqu rs sur Internet tentent de se conserveur, les paque nt à travers le boîtier FortiGate de l’intel’interface dmz1. L’IP virtuelle translate l’adresse de destination dl’IP externe vers le s IP du réseau DMZ des serveurs web.
1 Sélection > Règle et cliquez sur Créer Nouveau.
re-feu : Source Interface/Zone
Source Adresse All (ou une adresse spécifique précise)
Destination Adresse Load_Bal_V
4 Cliqu
tuelle re rt équilibrage de charge à une plage
68.37.4 sur Internet sont translatées vers 10.10.10.42 à privé. La translation d’adresse IP est déterminée par e de charge du boîtier FortiGate. Les ports 80
Ajouter une IP virtuelle d’équilibrage de charge à une plage d’adresses IP
1 Sélectionnez Pare-feu > IP virtuelle > IP virtuelle.
2 Cliquez sur Créer Nouveau.
3 Utilisez la procédure suivante pour ajouter une IP virtuelle qui permette aux utilisateurs sur Internet de se connecter à un serveur web sur le réseau DMZ. Dans
274 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
notre exemple, l’interface wan1 du boîtier FortiGate est connectée à Internet et au réseau DMZ.
al_VIP_port_forward
xternal IP L’adresse IP Internet du serveur web. rne doit être une adresse IP statique obtenue
par votre FAI pour votre serveur web. Cette adresse doit esse IP unique qui n’est pas utilisée
et ne peut pas être la même que l’adresse IP face externe que l’IP virtuelle va utiliser. Cependant, IP externe doit être routée vers l’interface
irtuelle et l’adresse IP externe seaux différents. Lorsque vous
lle, l’interface externe répond aux requêtes ne.
Map to IP réseau interne. Définissez la mière adresse de cette plage dans le
premier champ et la dernière adresse dans le deuxième champ.
Port Forwarding Sélectionné.
our un
plage en entrant la première adresse de cette plage dans le premier champ et la dernière adresse dans le deuxième
l’interface dmz1 est connectéeNom Load_B
Interface externe wan1
Type Load Balance
EAddress/Range L’adresse IP exte
également être une adrpar un autre hôtede l’interl’adressesélectionnée. L’adresse IP vpeuvent être sur des sous-réajoutez l’IP virtueARP pour l’adresse IP exter
/IP Range L’adresse IP des serveurs sur leplage en entrant la pre
Protocole TCP
Port externe Les ports que le trafic provenant d’Internet utiliseront. Pserveur web, il s’agit généralement du port 80.
Port réel Les ports sur lesquels le serveur attend le trafic. Définissez la
champ. S’il n’y a qu’un port, laissez le deuxième champ vide.
Illustration 143 : Options de l’IP virtuelle : IP virtuelle d’équilibrage de charge
uez sur OK. 4 Cliq
jo our une plage d’adresses IP à une règle pare-feu
ecter à l’adresse IP du serveur, les paquets passent à travers le boîtier FortiGate de l’interface wan1 à l’interface dmz1. L’IP virtuelle translate l’adresse de destination de ces paquets de l’IP externe vers les adresses IP du réseau DMZ des serveurs web.
1 Sélectionnez Pare-feu > Règle et cliquez sur Créer Nouveau.
A uter une IP virtuelle d’équilibrage de charge p
Ajoutez une règle pare-feu wan1 vers dmz1 qui utilise l’IP virtuelle de manière à ce que, lorsque des utilisateurs sur Internet tentent de se conn
Guide d’Administration FortiGate Version 3.0 275 01-30001-0203-20060424
2
adresse spécifique précise)
e/Zone dmz1
ort_forward
oraire always
Action
3 Cochez la case NAT.
4 z sur OK.
Ajout d’IP virtuelles dynamiques
Ajouter une IP virtuelle dyndifférence est que l’adress ce
u’elle corresponde à n’im . Illustration 144 : Ajout d’une nouvelle translation d’IP virtuelle – le relayage de port dynamique
Configurez la règle pare-feu : Source Interface/Zone wan1
Source Adresse All (ou une
Destination Interfac
Destination Adresse Load_Bal_VIP_p
H
Service HTTP
ACCEPT
Clique
amique est similaire à l’ajout d’une IP virtuelle. La e IP Externe doit être définie sur 0.0.0.0 de manière à porte quelle adresse IPq
virtuelle dynamique Ajouter une IP
1 électionnez Pare-feu > IP virtuelle > IP virtuelle.
2 Cliquez sur Créer Nouveau.
3 n nom pour l’IP virtuelle dynami
4 Sélectionnez l’Interface Externe de l’IP virtuelle dans la liste.
L’interface externe est connectée au réseau source et reçoit les paquets à réseau de de
Sélectionnez n’importe quelle interface pare-feu ou sous-interface VLAN.
5 Définissez l’Adresse IP Externe sur 0.0.0.0. Cela correspond à toute adresse IP.
6 Entrez le numéro du Port Externe pour lequel configurer le relayage de port dynamique.
Le numéro de port externe doit correspondre au port de destination des paquets à PPTP à
7 Entrez l’adresse Map to IP (ou Mapped IP Address) vers laquelle translater l’adresse IP externe. Par exemple, l’adresse IP d’un serveur PPTP sur un réseau interne.
S
Entrez u que.
transférer au stination.
transférer. Par exemple, si l’IP virtuelle fournit un accès PPTP au serveur travers l’Internet, le numéro du port externe devrait être 1723 (le port PPTP).
276 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
8 ntrez le numéro du Port Réel à ajouter aux paquets lors de leur transfert.
E rt n’est pas destiné à être slaté.
9 .
Plages IP
NA qui translatent les la lage IP au
cune répond est joutée.
ses pour se électionnée
e l’interface
Avec une plage IP ajoutée à l’interface interne, vous pouvez sélectionner une
plage IP à utiliser lors de la configuration d’une règle pare-feu. Une seule adresse IP est entrée normalement. Par exemple, 192.168.110.100 est une adresse de plage IP valide. Si une plage d’adresses IP est nécessaire, entrez l’un des formats suivants :
• x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
• x.x.x.[x-x], par exemple 192.168.110.[100-120]
Plages IP et NAT dynamique
Vous pouvez utiliser des plages IP pour une NAT dynamique. Par exemple, une entreprise peut avoir acheté une plage d’adresses Internet mais n’a qu’une connexion Internet sur l’interface externe de son boîtier FortiGate. Affectez une des adresses IP Internet de l’entreprise à l’interface externe du boîtier FortiGate. Si le boîtier FortiGate fonctionne en mode NAT/Route, toutes les connexions du réseau vers Internet semblent venir de cette adresse IP. Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette plage d’adresses à une plage IP pour l’interface externe. Sélectionnez ensuite Pool d’adresses pour toutes les règles qui ont l’interface externe comme destination. Pour chaque connexion, le pare-feu sélectionne dynamiquement une adresse IP de la plage d’adresses qui servira d’adresse source à la connexion. Les connexions vers Internet semblent alors provenir de n’importe quelle adresse IP de la plage IP.
Plages IP pour les règles pare-feu utilisant des ports fixes
Certaines configurations réseaux ne fonctionnent pas correctement si une règle NAT translate le port source des paquets utilisés par la connexion. La NAT translate les ports sources pour garder une trace des connexions pour un service particulier. Sélectionnez Port Fixe pour les règles NAT dans le but d’empêcher la
E
nan
trez le même numéro que le Port Externe si le potr
Cliquez sur OK
Vous pouvez utiliser des plages IP pour ajouter des règles Tadresses sources en adresses sélectionnées arbitrairement dans plieu d’être limité à l’adresse IP de l’interface de destination. Une plage IP définit une adresse ou une plage d’adresses IP dont chaaux requêtes ARP sur l’interface à laquelle la plage IP a Lors de la configuration d’une règle pare-feu, cochez la case Pool d’adres translater l’adresse source de paquets sortants en une adres sarbitrairement dans la plage IP. Une liste de plages IP apparaît lorsqude destination de la règle est la même que l’interface de plage IP.
plage IP dynamique pour les règles avec l’interface interne comme destination. Vous pouvez ajouter des plages IP à n’importe quelle interface et sélectionné la
Guide d’Administration FortiGate Version 3.0 277 01-30001-0203-20060424
translation de port source. Cependant, la sélection de Port Fixe signifie qu’une seule connexion peut être supportée à travers le pare-feu pour ce service. Pour être capable de supporter des connexions multiples, ajoutez une plage IP à
dresses dans la règle. Le pa plage IP et l’affecte à chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut supporter est limité par le nombre d’adresses IP dans la plage IP.
Visualisationi les domaines virtuels sont activés sur le boîtier FortiGate, les plages IP sont
sélectionnez un domaine virtuel de la liste dans le menu principal. Les plages IP ne s en mode Tran
Pour visualiser la liste des IP. Illustration 145 : Liste de plages IP
l’interface de destination, et sélectionnez ensuite Pool d’are-feu sélectionne arbitrairement une adresse IP de la
des plages IP Scréées séparément pour chaque domaine virtuel. Pour accéder aux plages IP,
sont pas disponible sparent.
plages IP, sélectionnez Pare-feu > IP virtuelle > Plage
u
Nom Le nom de la plage IP.
Début de la plage Définit la première adresse de la plage IP.
Fin de la plage Définit la dernière adresse de la plage IP.
ône Supprimer Permet de retirer une entrée de la liste. Cette icône n’apparaît -feu.
rface,
Configuration des plages IP Pour ajouter une plage IP, Illustration 146 : Nouvelle P
Créer Nouvea Permet d’ajouter une plage IP.
Icque si la plage IP n’est pas reprise dans une règle pare
Icône Editer Permet d’éditer les informations suivantes : Nom, IntePlage IP/Réseau.
sélectionnez Pare-feu > IP virtuelle > Plage IP.
lage IP dynamique
Nom Entrez ou modifie la plage IP.
Interface électionnez l’interface à laquelle ajouter une plage IP.
ut inférieur à la fin. La plage IP ne doit pas
IP de l’interface à
z le nom de
S
Plage IP/Résea Entrez la plage d’adresses IP pour cette plage IP. La plage d’adresses IP définit le début et la fin de la plage IP. Le débde la plage doit être
u
forcément se trouver sur le même sous-réseau que l’adresse laquelle la plage IP est ajoutée.
278 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Profil de Protection Cette section décrit comment ajouter des p tectNAT/Route et mode Transparent. Cette section couvre les sujets suivants :
• Qu’est-ce qu’un profil de protection ?
• Profil de protection par défaut
• Visualisation de la liste des profils de p
• Configuration d’un profil de protection
• Ajout d’un profil de protection à une rè
• Configuration CLI d’un profil de protec
Qu’est-ce qu ecUn profil de protection est un groupe de paramètres ajustables pour parvenir à un but particulier. Les profils de protection appliquant différents paramètres de protection aux trafics contrôlés par les règles pare-feu, vous pouvez adapter les
ation de profils de protection permet de :
• configurer une protection antivirus aux règles HTTP, FTP, IMAP, POP3, SMTP et IM.
filtrage d
r un filtrage p
• configurer un filtrage a
• activer l’IPS pour tous
• configurer un archivag s règles HTTP, FTP, IMAP, POP3, SMTP et IM.
• configurer un filtrage Iinstantanées AIM, ICQ
peer-to-peer Bit Torre
• configurer les profils de p
Grâce à l’utilisation de prof et niveaux de protection pou règles pare-feu.
Par exemple, alors que le e et externe nécessitent probablement une protectioconfiance nécessitent quaconfigurer des règles pourprofils de protection identiq
rofils de pro ion aux règles en mode
rotection
gle
tion
’un profil de prot tion?
paramètres au type de trafic que chaque règle contrôle. L’utilis
• configurer un e contenu web pour les règles HTTP.
• configure ar catégorie du contenu web pour les règles HTTP.
nti-spam pour les règles IMAP, POP3 et SMTP.
les services.
e de contenu pour le
M et un contrôle d’accès pour les messageries , MSN et Yahoo.
• configurer un contrôle d’accès et de la bande passante P2P pour les clients nt, eDonkey, Gnutella, Kazaa, Skype et WinNY.
rotection à journaliser.
ils de protection, vous pouvez personnaliser les typesr les différentes
trafic entre les adresses internn stricte, le trafic entre des adresses internes de
nt à lui une protection modérée. Il est conseillé de des services de trafics différents qui utiliseront des ues ou différents.
Guide d’Administration FortiGate Version 3.0 279 01-30001-0203-20060424
Si les domaine nt activés sur le boîtier FortiGate, les profils s virtuels so de rés s domaines
accéder aux nfiguration u > Pro
Profils de protectQuatre profils de protectio Strict
il
nt une
Scan Applique une analyse antivirus et une mise en quarantaine de fichiers du contenu du trafic HTTP, FTP, IMAP, POP3 et SMTP. Sur les modèles FortiGate muni d’un disque dur, lorsque l’analyse antivirus détecte un virus dans un fichier, ce dernier est mis en quarantaine sur le disque dur du boîtier FortiGate. Si nécessaire, les fichiers placés en quarantaine peuvent être récupérés.
Web Applique une analyse antivirus et un blocage du contenu web.
Vous pouvez ajouter ce profil de protection aux règles pare-feu qui contrôlent le trafic HTTP.
Unfiltered (Non-filtré) N’applique ni analyse, ni blocage, ni IPS. A utiliser dans le cas
où aucune protection du contenu du trafic n’est souhaitée. Vous pouvez ajouter ce profil de protection aux règles pare-feu pour les connexions entre des réseaux hautement fiables et sécurisés dont le contenu ne nécessite pas d’être protégé.
Visualisation de la liste des profils de protection Pour visualiser la liste des profils de protection, sélectionnez Pare-feu > Profil de protection. Illustration 147 : Profils de protection par défaut
protection sont configu globalement et sont disponibles pour tous levirtuels. Pour profils de protection, sélectionnez CoGlobale > Pare-fe fil de protection.
ion par défaut n sont pré-configurés:
Applique une protection maximum pour le trafic HTTP, FTP, IMAP, POP3 et SMTP. Vous n’utiliserez probablement pas ceprofil rigoureux de protection en circonstances normales maisest disponible en cas de problème de virus nécessitaanalyse maximum.
Créer Nouveau Permet d’ajouter un profil de protection.
Nom Le nom du profil de protection.
Icône Supprimer Permet de retirer un profil de protection de la liste. Cette icône apparaît uniquement si le profil n’est pas repris dans une règle pare-feu.
Icône Editer Permet de modifier un profil de protection.
Remarque : Un profil de protection ne peut pas être supprimé s’il est repris dans une règle pare-feu ou compris dans un groupe d’utilisateurs.
280 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration d’un profil de protection de protection par défaut ne fournissent pas les
sés.
Pour ajouter un profil de protection, sélectionnez Pare-feu > Profil de protection et cliquez sur Créer Nouveau. Illustration 148 : Nouveau profil de protection
Dans le cas où les profilsparamètres requis, vous pouvez créer des profils de protection personnali
Nom du profil Entrez un nom au profil de protection.
Comments Si nécessaire, entrez une description au profil.
Antivirus Voir « Options Antivirus » à la page 282.
iltrage Web Voir « Options du filtrage Web » à la page 283.
» à la page 285.
« Op i-spam » à la page 286.
« Op
IM & P2P Voir « Op
Logging Voir « Op
F
FortiGuard-Web Filtering Voir « Options du filtrage Web FortiGuard
Filtrage antispam Voir tions du filtrage ant
IPS Voir « Options IPS » à la page 289.
Archiver le contenu Voir tions des archives de contenu » à la page 289.
tions IM et P2P » à la page 290.
tions de la journalisation » à la page 291.
Remarque : Si les fonctionnali s Scan et File Block sont toutes deux activées, letés Viru e les fichiers corre antivirus.
boîtier FortiGate bloqu espondant aux types de fichiers activés avant de procéder à une analys
Guide d’Administration FortiGate Version 3.0 281 01-30001-0203-20060424
Options Antivirus
Illustration 149 : Options antivirus du profil de protection
Remarque : Les options NNTP ne peudans une version ultérieure. Les options antivirus suivantes son Détection de virus Activez ou désactivez l’analyse de virus pour chaque protocole
(HTTP, FTP, IMAP, POP3, SMTP, IM). L’option Grayware, si activée dans Antivirus > Config > Grayware, est comprise avec l’Analyse de virus. Notez que le mode continu est activé automatiquement lorsque vous activez l’analyse de virus.
File Pattern Activez ou désactivez l’option « file pattern » pour chaque protocole. Les fichiers peuvent être bloqués ou autorisés en fonction de leur nom, leur extension ou tout autre critère. Ce processus offre la flexibilité de bloquer des fichiers qui contiendraient des éléments nuisibles.
Liste déroulante de File Pattern : Sélectionnez la liste File Pattern à utiliser avec ce profil de protection. La liste par défaut est appelée « built-in-patterns ». Seuls les modèles FortiGate-800 et plus sont munis de cette liste.
uarantaine Activez ou désactivez l’option de mise en quarantaine pour k requis) chaque protocole. Vous pouvez visualiser les fichiers suspects
placés en quarantaine ou les soumettre à Fortinet pour analyse. Cette option n’est pas affichée si le boîtier FortiGate ne possède pas de disque dur ou un équipement FortiAnalyzer configuré.
Transmettre les mails Activez ou désactivez les emails fragmentés pour les fragmentés protocoles de mail (IMAP, POP3, SMTP). Les mails
fragmentés ne peuvent pas subir une analyse virus.
Comfort Clients Activez ou désactivez cette option pour les trafics HTTP et FTP. Cette option fournit le statut des fichiers mis en réserve (buffer) pour téléchargement via HTTP u FTP. Les utilisateurs peuvent observer les pages web ou fichiers en cours de téléchargement. Si désactivée, les utilisateurs n’ont aucune
peuvent annuler l
Interval
vent pas être sélectionnées. Le support sera ajouté
t disponibles dans les profils de protection.
Q(log dis
o
indication quant à la mise en réserve du téléchargement et e transfert pensant qu’il a échoué.
Le temps en secondes avant que l’option Comfort Client démarre après que le téléchargement ait commencé. Il s’agit
282 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
également du temps entre des intervalles prochains.
Le nombre d’octets envoyés à chaque intervalle.
smettre ou Bloquer pour les fichiersxcédant les seuils configurés po
Amount
Fichier/Mail dépassant Sélectionnez Tran taille limite et les messages mails e ur
chaque protocole.
du is
imite.
ence à la taille finale du mail après encodage du mail client,
s taille
binaires en 4 octets de données en base64.
octets plus petite que la taille limite configurée dans le seuil.
Ajout d’une signature Permet de créer et d’ajouter une signature aux mails sortants aux mails sortants (SMTP uniquement).
Voir « Antivirus » à la page 337 pour des options antivirus supplémentaires.
Options du filtrage Web
Illustration 150 : Options de filtrage
la
Threshold Si le fichier est plus grand que la valeurseuil (en mégaoctets), le fichier est transmou bloqué, selon ce qui a été défini dans l’option Fichier/Mail dépassant la taille lLe seuil maximum pour l’analyse en mémoire est 10% de la RAM du boîtier FortiGate.
Remarque : Pour l’analyse de mails, le seuil de taille limite fait référ
y compris les pièces jointes. Les mails clients peuvent utiliser une variété de typed’encodage dont certains translatent enplus grande que la taille de la pièce jointe originale. L’encodage le plus commun, base64, translate 3 octets de données
Dès lors un fichier peut être bloqué ou journalisé comme trop grand même si la pièce jointe est de quelques méga
Web du profil de protection
Les options de filtrage Web suivantes sont disponibles dans les profils de protection. Filtrage Web par Activez omots clefs HTTP ba e
de bloca
Liste déroulante de blocage de contenu : Permet de sélectionner une liste de blocage de contenu à utiliser avec ce
u désactivez le blocage de pages web pour le trafic sé sur les critères de blocage de contenu dans la listge de contenu.
Guide d’Administration FortiGate Version 3.0 283 01-30001-0203-20060424
profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection.
Thresho : Si les résultats combinés des critères de blocage de contenu apparaissant sur une page web excèdent la valeur du seuil, la page sera bloquée. Voir « Visualisation de la liste de blocage de contenu web » à la page 369.
Web Content Exempt Activez ou désactivez l’override (l’ignorance) du blocage de contenu web basé sur des critères de dispense de contenu dans la liste de contenu dispensé.
Liste déroulante de contenu web dispensé : Sélectionnez une liste de contenu dispensé à utiliser avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent cette sélection.
Web URL Filter Activez oHTTP ba
Liste désélection web à utiliser avec ce profil de protection. Seuls les modèles FortiGate-800 et plus offrent ce
ActiveX Filter Permet d ctiveX.
Cookie Filter Permet d’activer le blocage de cookies.
Java Applet Filter Permet d’activer le blocage des Applets Java.
téléchargement involontaire de virus cachés dans des fichiers fragmentés. Notez que certains types de fichiers, comme PDF,
ment.
typ
Voir « Filtrage Web » à la page 366 pour des options supplémentaires de configuration de filtrage web.
ld
u désactivez un filtrage de page web pour le trafic sé sur une liste d’URL.
roulante de filtre d’URL web : Permet de ner une liste de filtre d’URL
tte sélection.
’activer le blocage de contrôle A
Ne pas reprendre les Permet de bloquer les transferts de partie d’un fichier transferts Web en cours déjà partiellement téléchargé. Cette option empêche le
sont fragmentés pour augmenter la vitesse de téléchargeL’activation de cette option pourrait donc entraîner des interruptions dans le téléchargement de ces es de fichier.
284 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Options du filtrage FortiGuard-Web u profil de protection Illustration 151 : Options de filtrage FortiGuard-Web d
Activer FortiGuard-Web Filtering Active le blocage par catégorie (HTTP seulement) FortiGuard-WebTM. Activer FortiGuard-Web Filtering Active l’override (l’ignorance) de catégories. Une fois Overrides (HTTP uniquement) sélectionnée, une liste de groupes est affichée. Si
de la liste override » à la page 379 et
« Groupe d’utilisateurs » à la page 330.
(HTTP uniquement) liser
L (les images bloquées seront remplacées par des blancs) (HTTP uniquement)
Autoriser les sites web lors d’une erreur d’évaluation filtrage web.
Blocage strict Lorsque cette option est activée, l’accès au site web
aucun groupe n’est disponible, l’option est grisée. Pour plus d’informations sur les overrides, voir « Visualisation« Configuration de règles d’ignorance » à la page 380. Pour plus d’informations sur les groupes, voir
Fournir les détails pour les Affiche un message de remplacement pour les erreurs bloquées HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si l’erreur est
autorisée, des sites malintentionnés peuvent utices pages d’erreurs pour passer outre le blocage par catégorie web.
Evaluer les images par UR Bloque les images qui ont été évaluées par
FortiGuard. Les images bloquées sont remplacées sur les pages web par des blancs. Les types d’image qui sont évalués sont GIF, JPEG,PNG, BMP et TIFF.
Autorise les pages web qui renvoient une erreur d’évaluation du service de
(HTTP uniquement)
Guide d’Administration FortiGate Version 3.0 285 01-30001-0203-20060424
(HTTP uniquement) est rejeté si l’une des classifications ou catégcorrespond à l’évaluation du site. Lorsque cette
ories
option est désactivée, l’accès au site web est accepté si l’une des classifications ou catégories correspond à la liste autorisée. Ceci est définit par défaut.
Evaluer les URL par Lorsque cette option est activée, elle envoie l’URL et domaines et adresses IP l’adresse IP du site requis pour contrôle, fournissant
ainsi une sécurité additionnelle contre les tentatives
Catégorie ortiGuard-Web
es du trafic web. Définissez les actions à prendre pour les pages web de chaque catégorie : autorise, bloque, journalise ou autorise l’override.
Classification Les classifications bloquent des classes entières de
sites web. Des sites qui fournissent des contenus
ifiés sont également évalués dans l’une des catégories ou ne
oisissez entre autorise, bloque, journalise ou autorise l’override.
Voir « Filtrage Web FortiGuard» à la page 378 pour plus d’options de configuration du blocage de catégories.
Options du filtrage antispam
Illustration 152 : Options du filtrage antispam du profil de protection
de contournements du système FortiGuard.
Le service de filtrage de contenu Foffre de nombreuses catégories de filtrag
cachés, comme Google par exemple, peuvent être bloqués. Des sites web qui autorisent des recherches d’images, d’audio ou de vidéos peuvent également être bloqués. Des sites web qui sont class
sont pas évalués. Ch
Remarque : Les options NNTP ne peuvdans une version ultérieure. Les options de filtrage antispam suivantes sont disponibles dans les profils de protection.
xtrait
ent pas être sélectionnées. Un support sera ajouté
FortiGuard Anti-spam Vérification de Activez ou désactivez la liste noire l’adresse IP d’adresses IP du filtrage FortiGuard-
AntispamTM. Le FortiGuard-Antispam e
286 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
l’adresse source du serveur mail SMTenvoie l’adresse IP vFortiGuard-Antispam p
P et ers un serveur
our la comparer à la liste des spammers connus. Si l’adresse IP est trouvée FortiGuard-Antispam met fin à la session. Si l’adresse IP n’est pas trouvée le serveur mail envoie le mail à son destinataire. Voir « Service FortiGuard-Antispam » à la page 185 pour plus
service.
URL check Activez ou désactivez la liste noire URL du filtrage FortiGuard-AntispamTM. Le corps de messages mails sont filtrés pour en extraire tout lien URL. Ces liens URL sont envoyés vers un serveur FortiGuard-Antispam pour comparaison avec ses listes. Des messages spam contiennent souvent des liens URL vers des sites publicitaires. S’il y a une correspondance d’URL, le FortiGuard-Antispam met fin à la session. S’il n’y a pas de correspondance, le serveur mail envoie le mail à son destinataire. Voir « Service FortiGuard-Antispam » à la page 185 pour plus d’informations sur ce service.
Vérification Email Activez ou désactivez la liste noire de Checksum somme de vérification (checksum) de
messages mails FortiGuard-Antispam. Lorsque cette option est activée, ce filtre calcule la somme de vérification d’un message mail et l’envoie aux serveurs
somme de vérification fait partie de la liste. Le boîtier FortiGate transfère ensuite ou marque/bloque le message mail en fonction de la réponse
Spam que cette
voient ajoute rps du
ssage. Si n , cliquez le
message pou uard. Filtrage par liste d’adresses IP Activez ou désactivez le contrôle des adresses IP
entrantes en fonction de la liste d’adresses IP du filtre nfiguré (S
ulante de fIP : Permet de sélectionn e
à utilise Seuls les modèles Fo offrent cette sélection.
HELO DNS lookup Activez ou désactivez la recherche du nom du
e (com ain Name Server.
Filtrage par liste d’adresses mail :Activez ou ail entrants avec la
Liste déroulante de f e d’adresses
ectio ire ses mail à utilis n.
d’informations sur ce
FortiGuard afin de déterminer si cette
du serveur.
submission Lors option est activée, tous lesmessages mails définis comme spam se
r un lien dans le come le message mail n’est pas uspam simplement sur le lien dans
r en informer FortiG
antispam co MTP uniquement). Liste déro iltrage par liste d’adresses
er une liste blanche/noird’adresses IP r avec ce profil de protection.
rtiGate-800 et plus
domaine sourc mande SMTP HELO) dans leDom
désactivez le filtrage d’adresses mliste d’adresses mail du filtre antispam configuré.
iltrage par listmail : Permet de sél nner une liste blanche/nod’adres er avec ce profil de protectio
Guide d’Administration FortiGate Version 3.0 287 01-30001-0203-20060424
Seuls les modèles FortiGate-800 et plus offrent cette sélection.
mail DNS check e ns
(Répondre à) et From Address (A partir de l’adresse) possède un enregistrement DNS A ou MX.
Filtrage par mots clefs Activez ou désactivez le filtrage de mail source en
fonction d’une liste de mots-clés du filtre antispam
Liste déroulante de filtrage par mots clefs : Permet e mots-clés à utiliser avec
ion. Seuls les modèles FortiGate- cette sélection.
Threshold Si les résultats combinés des critères de mots-clés apparaissant dans un message mail excèdent la valeur du seuil, le message sera traité selon les paramètres définis dans Spam Action.
antispam. L’action Tag vous permet d’ajouter une balise personnalisée à un sujet ou un en-tête de mail identifié comme spam. Pour le trafic SMTP, si l’analyse de virus ou le mode continu est activé, vous ne pourrez que rejeter les mails spams, ces connexions étant alors abandonnées. (Notez que le mode continu est activé automatiquement lorsque l’analyse de virus est activée). Sans mode continu ou
Vous pouvez baliser les mails en insérant un mot ou une phrase dans le sujet ou en ajoutant un en-tête MIME et une valeur dans l’en-tête du mail. Vous pouvez choisir de journaliser toute action spam dans
Permet d’insérer une balise au sujet ou en-tête MIME du mail identifié comme spam.
Tag Entrez un mot ou une phrase (tag/balise) à insérer au
mail identifié comme spam. La longueur maximum étant de 63 caractères.
Return e- Activez ou désactivez cette option qui contrôle si ldomaine spécifié da les champs Reply to
configuré.
de sélectionner une liste dce profil de protect800 et plus offrent
Voir « Visualisation de la liste des mots bannis antispam » à la page 390.
Action antispam Définit les actions mises en vigueur par le filtre
analyse de virus activé, vous pouvez choisir entrebaliser ou rejeter les spams SMTP.
le Journal d’événements.
Insertion
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en fonction de leur en-tête MIME. Contrôlez les paramètres de votre mail client avant de définir comment baliser les spams. Voir « Antispam » à la page 386 pour plus d’options de configuration de filtre antispam. Pour configurer le service FortiGuard-Antispam, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.
288 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Options IPS
Illustration 153 : Options IPS du profil de protection
Les options suivantes sont disponibles pour l’IPS à travers le profil de protection. IPS Signature Sélectionnez un ou plusieurs niveaux de sévérité des
signatures IPS pour ce profil : Critical, High, Medium, Low et es avec niveau de sévérité qui n’ont
és ne sont pas enclenchées.
IPS z un ou plusieurs niveaux de sévérité d’anomalie pour ce profil : Critical, High, Medium, Low et Information. Les anomalies avec niveau de sévérité qui n’ont pas été sélectionnées ne sont pas enclenchées.
Voir ontre les intrusions » à la page 352 pour des options de
.
Options des arch
profil de protection
Information. Les signaturpas été sélectionn
Anomaly Sélectionne
« Protection cconfiguration IPS supplémentaires
ives de contenu
Pour accéder à toutes les options des archives de contenu, un équipement FortiAnalyzer doit être configuré et une connexion activée. Pour plus d’informations, voir « Journalisation sur un boîtier FortiAnalyzer » à la page 411. Illustration 154 : Options des archives de contenu du
Remarque : Les options NNTP et d’archivage de fichiers ne peuvent pas être sélectionnés. n support sera ajouté dans une version ultérieure.
Les options suivantes sont disponibles pour l’archivage de contenu à travers le profil de protection.
fficher les meta-informations Permet d’avoir des meta-informations pour chaque
t
U
Adans le tableau de bord Système types de trafic qui s’affichent dans la section Content
Summary de la page Statut du boîtier FortiGate. Visualiser les statistiques pour les trafics HTTP, FTP emessages mails (IMAP, POP3 et SMTP combinés).
Archive to FortiAnalyzer Activez ou désactivez l’archivage sur un équipement FortiAnalyzer de meta-informations sur le contenu pour chaque protocole. Les meta-informations sur le contenu
Guide d’Administration FortiGate Version 3.0 289 01-30001-0203-20060424
peuvent comprendre la date et l’heure, la source et le résultat de l’analyse. L’archivage de contenu n’est disponible que si un équipement FortiAnalyzer est activé dans Journaux/Alertes > Configuration >
t
re, les informations sur la
a
équipement FortiAnalyzer. L’archivage de contenu n’est disponible que si le FortiAnalyzer est activé dans Journaux/Alertes > Configuration > Configuration du Journal.
Remarque : Vous devez activer les options IM dans la section IM et P2P du profil de protection pour un archivage de contenu opérationnel.
Archive a copy of all files Activez ou désactivez l’archivage de copies transferred de fichiers transférés.
Remarque : Vous devez activer les options IM dans la
Options IM et P2P
Configuration du Journal.
Archive a copy of all files Activez ou désactivez l’archivage de copies transferred de fichiers téléchargés.
Log emails to FortiAnalyzer Permet de sauvegarder une copie de tous les messages mails sur un équipement FortiAnalyzer.
Archive IM to FortiAnalyzer Activez ou désactivez des informations condensées dejournalisation pour les protocoles IM: AIM, ICQ, MSN eYahoo. Des informations condensées peuvent comprendre la date et l’heusource et la destination, la taille de la requête et de la réponse et le résultat de l’analyse.
Remarque : Vous devez activer les options IM dans lsection IM & P2P du profil de protection pour un archivage de contenu opérationnel.
Archive full IM chat information to FortiAnalyzer Activez ou désactivez l’archivage de l’entièreté des chats pour le protocole IM sur un
section IM & P2P du profil de protection pour un archivage de contenu opérationnel.
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes d’archivage de contenu sont disponibles dans les profils de protection. Bloquer la connexion Empêche les utilisateurs de messageries
instantanées de se connecter aux services AIM, ICQ, MSN et Yahoo.
Bloquer le transfert de fichiers Bloque les transferts de fichiers pour les protocoles AIM, ICQ, MSN et Yahoo.
290 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Bloquer l’audio Bloque l’audio pour les protocoles AIM, ICQ, MSN et Yahoo.
Inspecter les ports non standard Active l’inspection de ports non standard pour le trafic
Action ans rts
pe lim tés.
Limite (Koctets/sec) Spécifiez une limite de bande passante pour les
que des utilisateurs sont connectés, ne prendront effet qu’à leur prochaine connexion.
emple, ne peut pas être utilisé pour n en cours.
Options de la journa
IM.
Transfère, bloque ou évalue une limite des tr feP2P pour les protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY. Les transferts Skypeuvent être transférés ou bloqués, mais pas i
protocoles BitTorrent, eDonkey, Gnutella, Kazaa et WinNY si l’action est définie sur Limitation de Bande Passante.
Les changements apportés aux options des profils de protection IM, alors
Activer le blocage de connexion, par exdéconnecter les utilisateurs qui ont une connexio Voir « IM/P2P » à la page 403 pour des options de configuration IM supplémentaires.
lisation
Illustration 156 : Options de connexion du profil de protection
Les options de journalisation suivantes sont disponibles dans les profils de protection. Antivirus Virus Active la journalisation de virus
scannés.
Fichiers bloqués Active la journalisation de fichiers bloqués.
Fichiers/Emails Active la journalisation de surdimensionnés fichiers et messages mails
surdimensionnés.
Filtrage Web Blocage de contenu Active la journalisation du blocage de contenu.
Guide d’Administration FortiGate Version 3.0 291 01-30001-0203-20060424
Filtrage d’URL Active la journalisation d’URL bloquées et exemptées.
Filtrer les ActiveX Active la journalisation des ActiveX bloqués.
Filtrer les Cookies Active la journalisation des cookies bloqués.
Filtrer les Applets Active la journalisation des Java Applets Java bloqués.
FortiGuard Web Filtering Erreurs d’évaluation Active la (HTTP uniquement) journalisation des erreurs
d’évaluation.
Filtrage Antispam Log Spam Active la journalisation des s.
S Journaliser les intrusions Active la journalisation des intrusions de signatures et anomalies.
IM / P2P Journaliser l’activité IM Active la journalisation de l’activité IM.
Journaliser l’activité p2p Active la journalisation de l’activité P2P.
Pour plus d’informations à pla page 409.
Ajout d’un profil de protection à une règle Vous pouvez activer un profest définie sur Allow ou IPSe , IMAP, POP3, SMTP ou un g s comprenant ces services. Si les domaines virtuels sonprotection doivent être ajout
ne règle, sél
1 e-feu >
2 Sélectionnez une liste d n profil de protection. Par ctiver un
par les utilisateurs internExterne.
3 Cliquez sur Créer Nouved’une règle à modifier.
4 Sélectionnez Profil de p
5 Sélectionnez un des profils de protection de la liste.
6 Configurez les autres pa m
7 Cliquez sur OK.
8 Répétez cette procédure o ne protection réseau.
spams détecté
IP
ropos de la journalisation, voir « Journaux/Alertes » à
il de protection pour les règles pare-feu dont l’action c et dont le service est défini sur ANY, HTTP, FTProupe de service
t activés sur le boîtier FortiGate, les profils de és aux règles dans chaque domaine virtuel. Pour
accéder à u ectionnez un domaine virtuel dans le menu principal.
Sélectionnez Par Règle.
e règles à laquelle ajouter uexemple, pour a e protection réseau sur les fichiers téléchargés d’Internet
es du réseau, sélectionnez une liste de règles Interne >
au pour ajouter une règle ou cliquez sur l’icône Editer
rotection.
ra ètres de la règle si nécessaire.
p ur toutes les règles pour lesquelles il faut activer u
292 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration CLI d’un profil de protection
Remarque : Pour des descriptions et exemples complets sur l’utilisation de commandes s au FortiG
Config firewall profile
La commande CLI confou de supprimer des proparamètres de protectio .
CLI, référez-vou ate CLI Reference.
ig firewall profile vous permet d’ajouter, d’éditer fils de protection. Les profils de protection appliquent des n différents pour le trafic contrôlé par les règles pare-feu
Guide d’Administration FortiGate Version 3.0 293 01-30001-0203-20060424
VPN IPSEC Cette section couvre les info(mode interface) VPN IPSec eb. Les boîtiers FortiGate implémPauload) en mode tunnel. Leordinaires qui peuvent être r t Key Exchange) s’effectue aucertificats digitaux X.509. Famanuelles. Le mode interfac e la crée une interface virtuelle pour la fin lo Cette section parcourt les su
• Aperçu du mode interfac
• Auto Key
• Clé Manuelle
• Tunnels actifs
Aperçu du mode interface IPSdéfinition d’un
interface virtuelle IPSecIKE générées automatiquement ou des clés manuelles, l’interface virtuelle IPSec est créée comme une sous-interface d’une interface physique FortiGate locale, agrégée ou VLAN sélectionnée lors de la définition des paramètres de la phase 1
rmations sur les options des modes tunnel et route disponibles à partir de l’interface d’administration wentent le protocole ESP (Encapsulated Security s paquets cryptés ressemblent à des paquets
outés à travers n’importe quel réseau IP. IKE (Internetomatiquement en fonction des clés partagées ou de cultativement, vous pouvez spécifier des clés e est uniqu ment supporté en mode NAT/Route. Ce
cale d’un tunnel VPN.
jets suivants :
e IPSec
ec Lors de la tunnel IPSec en mode route (mode interface), une
est créée automatiquement. Peu importe d’avoir des clés
IPSec. L’adresse IP de l’interface physique locale, agrégée ou VLAN est obtenue sur Système > Réseau > Interface.
Remarque : Il est possible de lier une interface IPSec à une zone.
e st pas
e liens des interfaces virtuelles IPSec sont affichés sur la page Système >
Réseau > Interface. Les noms de tous les tunnels liés aux interfaces physiques us l’interfa
e Interface, voir
Après qu’une interface virtrouté vers l’interface utilisa routes statiques et de règles. De plus, vous pouve elle IPSec comme interface source Lorsque le trafic IP provenant de derrière le boîtier FortiGate local arrive à une interface FortiGate de sortie amode interface IPSec est activ l et transféré à travers l’interfacliée. Lorsque le trafic encapsulFortiGate locale, le boîtier FortiGate détermine si une interface virtuelle IPSec est
Une interface virtuelle IPSec est considérée comme active (up) lorsqu’elle peut établir une connexion phase 1 avec un client ou paire VPN. Cependant, l’interfacirtuelle IPSec ne peut pas être utilisée pour envoyer du trafic tant qu’elle n’ev
liée à une définition de tunnel phase 2.
L s
sont affichés so ce physique associée dans la colonne Nom. Pour plus d’informations sur la pag « Interface » à la page 61.
uelle IPSec ait été liée à un tunnel, le trafic peut être nt des métriques spécifiques pour les
z créer une règle pare-feu ayant l’interface virtu ou de destination.
gissant comme sortie locale du tunnel IPSec (si le é sur l’interface), le trafic est encapsulé par le tunne
e physique à laquelle l’interface virtuelle IPSec est é d’un client distant atteint une interface physique
294 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
associée à l’interface phys correspond aux sélecteurs et transféré vers l’interface
Pour les flux en sortie, le b te exécute une recherche de route pour trouver l’interface à travers dre le routeur du prochain saut. S le liée à un tunnel VPN spécifique, le trafic ePour les flux en entrée, le boîtier FortiGate identifie un tunnel VPN en utilisant l’adresse IP de destination et le SPI (Security Parameter Index) du datagramme ESP pour identifier la SA (security association) de la phase 2 correspondante. Si une SA correspondante est trouvée, le datagramme est décrypté et le trafic IP associé est redirigé à trave La règle pare-feu associée tout le trafic passant entre les vous pouvez configurer plu ieuentrant et/ou sortant du tunécessaires pour supporter le travers un tunnel IPSec en mode route : l’un pour con lel’intérieur. Les VPN en mode route siVPN. Vous pouvez configurer une rout pour le même trafic IP utilisant des métriques de routes différed’informations de routage dyna IP, ISPF ou BGP) à travers des tunnels VPN. Si la connexion primpar un routage dynamique voyer le trafic en utilisant une conn
Auto Key Deux paires VPN (ou un s econfigurés pour générer des c ernet Key Exchange) automatiquement durant le
rer le boîtier Fment en phas
Lors de la définition des pa 2, vous pouvez choisir n’importe q e en place une connexion sécuri nce. La configuration Auto Key s’ap aux VPN en modes tunnel et interface.
ique à travers des sélecteurs dans le trafic. Si le trafic prédéfinis, il est encapsulé
virtuelle IPSec.
oîtier FortiGa laquelle il doit transférer le trafic en vue d’atteini la route trouvée passe par une interface virtuel
st crypté et envoyé à travers le tunnel VPN.
rs l’interface virtuelle IPSec.
à un chemin spécifique est responsable du contrôle deadresses source et de destination. Si nécessaire,
s rs règles pare-feu pour réguler le flux du trafic nnel VPN en mode route. Deux règles pare-feu sont
trafic bidirectionnel à trô r le trafic vers l’extérieur et l’autre pour le trafic vers
mplifient l’implémentation de la redondance de tunnel e
ntes. Vous pouvez également configurer l’échange mique (R
aire VPN échoue ou la priorité d’une route est modifiée , une route alternative sera sélectionnée pour enexion redondante.
erv ur dialup FortiGate et un client VPN) peuvent être lés uniques IKE (Int
s échanges IPSec en phases 1 et 2.
ortiGate pour qu’il génère des clés uniques Pour configuautomatique es 1 et 2, sélectionnez VPN > IPSEC > Auto Key (IKE).
ramètres de création du tunnel en phaseuel ensemble de paramètres de la phase 1 pour mettr
sée pour le tunnel et authentifier le paire à dista
plique
Guide d’Administration FortiGate Version 3.0 295 01-30001-0203-20060424
Illustration 157 : Liste Auto Key
Créer Phase 1 n
hase 2 n
Phase 1
Phase 2
Interface Binding ou
Icônes Supprimer et Editer
Création d’une nouvelle configuration
En phase 1, deux paires V up ortiGate et un client VPN) s’authentifient l’un l’autre ecommunication sécurisé e associent les paramètres ddéterminent :
• si les paramètres varié iples avec des informationsavec des informationsagressif).
• si une clé partagée ou d thentifier les identités des deux paires VPN (ou un serveur VPN et ses clients).
• si un identificateur spécial, un certificat « distinguished name », ou un nom de groupe seront utilisés pour identifier le paire ou client VPN à distance lors d’une tentative de connexion.
Pour définir les paramètreIPSEC > Auto Key (IKE) se 1.
Créer une nouvelle configuration phase 1. Voir « Créatiod’une nouvelle configuration phase 1 » à la page 296.
Créer P Créer une nouvelle configuration phase 2. Voir « Créatiod’une nouvelle configuration phase 2 » à la page 302.
Les noms des configurations phase 1 existantes.
Les noms des configurations tunnel phase 2 existantes.
Les noms des interfaces physiques locales, agrégées VLAN auxquelles les tunnels IPSec sont liés.
Supprime ou édite une configuration phase 1.
phase 1
PN (ou un serveur dial Ft échangent des clés pour établir un canal de
ntre eux. Les paramètres de base de la phase 1e la phase 1 avec une passerelle à distance et
s de la phase 1 seront échangés en étapes mult d’authentification cryptées ou en un message unique d’authentification qui ne sont pas cryptées (mode
es certificats digitaux seront utilisés pour au
s de base de la phase 1 IPSec, sélectionnez VPN > et cliquez sur Créer Pha
296 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 158 : Nouvelle Phase 1
Nom Entrez un nom qui représente la définition de la phase 1. La
longueur maximum du nom est de 15 caractères pour un VPN en mode interface, 35 caractères pour un VPN basé sur une règle. Le nom des VPN en mode tunnel devrait faire référencl’origine de la
e à connexion à distance. Dans le cas d’un tunnel en
mode route (mode interface), le boîtier FortiGate utilise ce même
ture de la connexion à distance :
t un paire à distance avec une adresse IP statique qui nectera au boîtier FortiGate, sélectionnez Adresse IP
Statique.
• Si ce sont un ou plusieurs utilisateurs dialup FortiClientTM/FortiGate avec des adresses IP dynamiques qui se connecteront au boîtier FortiGate, sélectionnez Utilisateur Dialup.
• Si c’est un paire à distance qui possède un nom de domaine
IP Si du
Dynamique DNS Sido
Interface locale Cette option est disponible en mode NAT/Route uniquement. Sélectionnez l’interface physique, agrégée ou VLAN à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient l’adresse IP de l’interface sur Système > Réseau > Interface (voir « Interface » à la page 61) à moins que vous spécifiez une adresse IP différente
serelle IP locale dans les options avancées « Passerelle IP locale » à la page 300).
• En mode Agressif, les paramètres de la phase 1 sont ations
sse uthentifié via un identifiant (ID
nom pour l’interface virtuelle IPSec qu’il crée automatiquement.
Passerelle Sélectionnez la na
• Si c’esse con
et souscrit à un service dynamique DNS qui se connectera au boîtier FortiGate, sélectionnez Dynamique DNS.
Adresse vous avez sélectionné Adresse IP Statique, entrez l’adresse IP paire à distance.
vous avez sélectionné Dynamique DNS, entrez le nom de maine du paire à distance.
dans le champ Pasde la Phase 1 (voir
Mode Sélectionnez Aggressive ou Main, en fonction des paramètres des Options de Connexion ci-dessous.
• En mode Main, les paramètres de la phase 1 sont échangés en étapes multiples avec des informations d’authentification cryptées.
échangés via un message unique avec des informd’authentification non cryptées.
Lorsque le client ou paire VPN à distance possède une adreIP dynamique, ou qu’il sera a
Guide d’Administration FortiGate Version 3.0 297 01-30001-0203-20060424
local), vous devez sélectionner le mode Agressif s’il y a plus ialup pour l’adresse IP de
l’interface.
Méthode Sélectionnez Clef partagée ou Signature RSA.
Clef partagée Siqu s du pa s de la ême valeur au client ou paire di mables et ne prconstituer d ues ch
Nom du certificat Dans le sissez le m lisera pour s’penda le certi ertificate Management U G
Options de connexion Une o uivantes sont disponibles pour l’authentification des paires ou clients VPN, en fonction de la Passerelle et des paramètres de la Méthode d’authentification.
• Lopa us pouvez sélectionner l’option « Accepter tout ideneêt r Aggressive ou Main.
• Lorsque la Méthode d’authentification est définie sur Clef
lier. ifiant» et entrez l’identifiant.
Pour un pco ntique à nfiguration de la paSide lient, référez-vous au document Authenticating FortiClient Dialup Clients Technical Note. Si plusieurs clients dialup FortiGate/FortiClient se connecteront à travers le même tunnel VPN et utilisant le même identifiant (partagé), le Mode doit être défini sur Aggressive.
• ur Clef pe
ifiants uniques et des clés partagées pour se connecter au VPN à travers le
e option est
rer, des clients dialup FortiClient, référez-vous à la al
Note. Le Mode doit être défini sur Aggressive lorsque les clients dialup utilisent des identifiants et clés partagées uniques. S’ils utilisent seulement des clés partagées
d’une configuration phase 1 d
d’authentification
vous avez sélectionné Clef partagée, entrez la clef partagée e le boîtier FortiGate utilisera pour s’authentifier auprèire à distance ou du client dialup pendant les négociation
phase 1. Vous devez définir la mstant. La clé doit contenir au moins 6 caractères impri doit être connue que des administrateurs réseau. Pour uneotection optimum contre les attaques connues, la clé devrait se
’un minimum de 16 caractères alphanumériqoisis arbitrairement.
cas où vous avez sélectionné Signature RSA, choi no du certificat du serveur que le boîtier FortiGate uti
authentifier auprès du paire à distance ou client dialup nt les négociations de la phase 1. Pour obtenir et chargerficat du serveur, voir le FortiGate C
ser uide.
u plusieurs des options s
rsque la Méthode d’authentification est définie sur Clef rtagée, vontifiant de connexion ». Dans ce cas, le boîtier FortiGate contrôlent pas les identifiants (ID locaux). Le mode peut re défini su
partagée, vous pouvez authentifier un paire à distance qui a une adresse IP dynamique, ou plusieurs clients dialup FortiGate/FortiClient en fonction d’un identifiant particuSélectionnez « Accepter cet ident
aire DDNS ou un client dialup FortiGate qui se nnecte via un tunnel dédié, cette valeur doit être idela valeur dans le champ ID local de la cosserelle en phase 1 sur le pair distant ou le client dialup. vous configurez des paramètres d’authentification pour s clients dialup FortiC
Lorsque la Méthode d’authentification est définie spartagée, sélectionnez « Accepter les identifiants du groudialup » pour authentifier de multiples clients dialup FortiGate/FortiClient qui utilisent des ident
même tunnel VPN. Dans ce cas, vous devez créer un groupe dialup dans un but d’authentification. Voir « Groupd’utilisateurs » à la page 330. Lorsque cette sélectionnée, vous pouvez sélectionner le nom du groupe dans la liste. Pour configurer des clients dialup FortiGate, référez-vous au FortiGate IPSec VPN User Guide. Pour configunote Authenticating FortiClient Dialup Clients Technic
298 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
uniques, vous pouvez définir le Mode sur Main s’il n’y a qu’une seule configuration dialup de la phase 1 pour cette adresse IP d’interface.
• Lorsque la Méthode d’authentification est définie sur
er us
« ser » dans le FortiGate CLI Reference. Si le paire ou client VPN à distance possède une adresse IP dynamique, définissez le Mode sur Aggressive.
• Lorsque la Méthode d’authentification est définie sur Signature RSA, vous pouvez utiliser un groupe de certificats pour authentifier les paires à distance et les clients dialup qui ont des adresses IP dynamiques et utilisent des certificats uniques. Sélectionnez le nom du groupe de la liste. Le
Avancé ... Pe« ssous.
Définition des paramètres avancés de
Les paramètres avancés d es algorithmes de cryptage e our générer des clés pour l’éc taires de la phase 1 peuvent être sé s négociations de la phase
VPN > IPSEC > Auto Key (IKE), cé. Illustration 159 : Paramètre
Signature RSA, vous pouvez authentifier un (ou plusieurs) paire à distance ou client dialup sur base d’un certificat de sécurité particulier (ou partagé). Sélectionnez le nom du certificat dans la liste. Le certificat doit être ajouté à la configuration FortiGate via la commande CLI config uspaire avant qu’il ne puisse être sélectionné. Pour pld’informations, voir le chapitre U
groupe doit être ajouté à la configuration FortiGate via les commandes CLI config user paire et config user peergrp avant qu’il ne puisse être sélectionné. Pour plus d’informations, voir le chapitre « User » dans le FortiGate CLI Reference. Si le paire ou client VPN à distance possèdeune adresse IP dynamique, définissez le Mode sur Aggressive.
rmet de définir les paramètres avancés de la phase 1. Voir Définition des paramètres avancés de la phase 1 » ci-de
la phase 1
e la Proposition Phase 1 permettent de sélectionner lt d’authentification que le boîtier FortiGate utilise phange IKE. Des paramètres avancés supplémenlectionnés pour assurer une bonne opération de
1.
Pour modifier les paramètres avancés de la phase 1 IPSec, sélectionnez cliquez sur Créer Phase 1 et ensuite sur Avan
s avancés de la Phase 1
Guide d’Administration FortiGate Version 3.0 299 01-30001-0203-20060424
Activer le mode interface IPSec parent.
Passerelle IP locale faut l VPN.
• Interface IP principale – Le boîtier FortiGate obtient l’adresse IP de l’interface à partir des paramètres dans Système > Réseau > Interface (voir « Interface » à la page 61).
• Spécifier – Spécifier une adresse IP. Cette adresse IP sera assignée à l’interface physique, agrégée ou VLAN qui est sélectionnée à ce moment dans le champ Interface locale de la phase 1 (voir « Interface locale » à la page 297).
Vous ne pouvez pas configurer le mode Interface dans un VDOM en mode Transparent.
Proposition Phase 1 Sélectionnez les algorithmes de cryptage et d’authentification qui seront utilisés pour générer des clés pour la protection des négociations.
Ajouter ou supprimer des algorithmes de cryptage et d’authentification tel que nécessaire.
définissez.
l Encryption Standard, un algorithme de 64
• 3DES – Triple- DES, avec lequel le texte clair est crypté trois fois par trois clés.
• AES128 – un algorithme de 128 bits qui utilise une clé de
lgorithme de 128 bits qui utilise une clé de
Vous pouvez sélectionner chacun des messages récapitulatifs pour vérifier l’authenticité des messages pendant les négociations de la phase 1 :
• MD5 – Message Digest 5, l’algorithme de hachage développé par RSA Data Security.
• SHA1 – Secure Hash Algorithm 1, qui produit un mess ge résumé de 160 bits.
Pou+ à
Groupe DH Sélectionnez un ou plusieurs groupes Diffie-Hellman des groupes DH 1, 2 et 5. Lors de l’utilisation du mode agressif, les grou
• statiques et
n seul groupe DH.
Créer une interface virtuelle pour le fin locale du tunnel VPN. Ceci n’est pas disponible en mode Trans
Dans le cas où le mode Interface IPSec est activé, il spécifier une adresse IP pour la fin locale du tunneSélectionnez l’une des options suivantes :
Sélectionnez un minimum de 1 et un maximum de trois combinaisons. Le paire ou client distant doit être configuré pour utiliser au moins une des propositions que vous
Vous pouvez sélectionner chacun des algorithmes à clés symétriques suivants :
• DES – Digitabits qui utilise une clé de 56 bits.
128 bits.
• AES192 – un algorithme de 128 bits qui utilise une clé de 192 bits.
• AES256 – un a256 bits.
a
r ajouter une troisième combinaison, cliquez sur le bouton côté des champs de la seconde combinaison.
pes DH ne peuvent pas être négociés.
Si les deux paires VPN (ou un serveur d’accès distant VPN et son client) ont des adresses IPutilisent un mode agressif, sélectionnez u
300 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Le paramétrage du boîtier FortiGate doit être identiqueparamétrage du paire distant ou du client di
au alup.
dynamique et utilise un mode agressif, sélectionnez jusqu’à trois groupes DH sur le boîtier
upe DH sur le paire à distance ou client trage du paire ou client distant doit être
identique à l’une des sélections du boîtier FortiGate.
Du en secondes) avant que la clé de
Si le boîtier FortiGate agit comme client VPN et que vous
ur
nt dialup et ne partagera pas up (ce qui signifie que le
tunnel sera dédié à ce client dialup FortiGate), définissez le Mode sur Aggressive.
XAuth Cette option est fournie pour supporter l’authentification de clients dialup. Si le boîtier FortiGate est un client dialup et que vous sélectionnez « Activer en tant que client », entrez le nom d’utilisateur et le mot de passe dont le boîtier FortiGate aura besoin pour s’authentifier auprès du serveur à distance XAuth.
Si la passerelle est définie sur Utilisateur dialup et que les clients dialup s’authentifieront comme membres d’un groupe dialup, le boîtier FortiGate peut agir comme un serveur XAuth. Pour pouvoir sélectionner « Activer en tant que serveur », vous devez d’abord créer des groupes d’utilisateurs pour identifier les clients dialup qui nécessitent un accès au réseau derrière le boîtier FortiGate. Voir « Configuration d’un groupe d’utilisateurs » à la page 333.
Vous devez également configurer le b ortiGate pour envoyer les requêtes d’authentification à un serveur
serveur
groupe
Nat-traversal
és ou désactivés).
• Lorsque le paire VPN distant ou le client possède une adresse IP
FortiGate et un grodialup. Le paramé
• Si l’un des paire ou client VPN emploie le mode main, vous pouvez sélectionner de multiples groupes DH. Aumoins, l’un des paramètres du paire ou client à distance doit être identique aux sélections du boîtier FortiGate.
rée de vie de la clef Entrez la période de temps (cryptage IKE expire. Lors de l’expiration d’une clé, une autre clé est générée sans interruption de service. La durée de vie de la clé peut varier entre 120 et 172800 secondes.
ID local Si le boîtier FortiGate agit comme client VPN et que vous utilisez des ID paire pour authentification, entrez l’identifiant que le boîtier FortiGate fournira au serveur d’accès distant VPN pendant l’échange de la phase 1.
utilisez des certificats de sécurité pour authentification, sélectionnez le nom DN (distinguished name) du certificat du serveur local que le boîtier FortiGate utilisera pol’authentification.
Si le boîtier FortiGate est un clieun tunnel avec d’autres clients dial
oîtier F
d’authentification externe RADIUS ou LDAP. Pour plus d’informations à ce propos, voir « Configuration d’un serveur RADIUS » à la page 326 et « Configuration d’un LDAP » à la page 328.
Sélectionnez un paramètre de Type de Serveur pour déterminer le type de méthode de cryptage à utiliser entre un boîtier FortiGate, un client XAuth et le serveur d’authentification externe. Sélectionnez ensuite le d’utilisateurs dans la liste des Groupes Utilisateur.
Activez cette option si un serveur NAT existe entre le boîtierFortiGate local et le paire ou client VPN. Le boîtier FortiGate local et le paire ou client VPN doivent avoir les mêmes paramètres de NAT traversal (tous deux sélectionn
Guide d’Administration FortiGate Version 3.0 301 01-30001-0203-20060424
Fréquence d Si vous activez NAT-traversal, entrez un paramètre de fréquence des keepalive. Cette valeur représente un interv
es keepalive alle
entre 0 et 900 secondes.
DPD Dead Paire Detection – Activez cette option pour rétablir des tunnels VPN sur des connexions inactives et se débarrasser des paires IKE morts si nécessaire. Vous pouvez utiliser cette option pour recevoir une notification à chaque fois qu’un tunnel
é à l’intérieur du tunnel (par exemple, dans les
conn
Lorsq ouvez utiliser les l)
ou c phase1-interface (mode
tentative. Pour plus d’informations, voir le FortiGate CLI
Création d’une nouvelle configuration phase 2
près que les négociations de la phase 1 IPSec se terminent avec succès, la éfinissent les algorithmes que
ourra ansférer des données pour le reste de la session. PendaIPSec nécessaires à l’implémentation de services de sécurité sont sélectionnées et un tunnel est établi. Les paramètres de base de la pha hase 2 avec la configuration de p VPN. Dans la plupart des cas,paramètres de base de la a Pour configurer les paramètres de la phase 2, sélectionnez VPN > IPSEC > Auto Key (IKE) et cliquez sur Créer Phase 2.
60 : Nouvelle P
devient actif ou inactif. Vous pouvez aussi activer l’option pour garder les connexions tunnel ouvertes lorsque aucun trafic n’est générscénarios où un client dialup ou paire DNS dynamique se
ecte d’une adresse IP qui change régulièrement – le trafic peut être suspendu pendant que l’adresse IP change).
ue l’option de DPD est activée, vous pcommandes CLI config vpn ipsec phase1 (mode tunne
onfig vpn ipsecinterface) pour spécifier optionnellement un temps d’inactivité court et long, un nombre d’essais et un intervalle entre chaque
Reference.
Aphase 2 commence. Les paramètres de la phase 2 dle boîtier FortiGate p it utiliser pour crypter et tr
nt la phase 2, les associations spécifiques de sécurité
se 2 associent les paramètres IPSec de la p la hase 1 et spécifient le point final à distance du tunnel
vous n’avez besoin de configurer que les ph se 2.
Illustration 1 hase 2
ntifier la configuration du tunnel.
Phase 1 Sélectionnez la configuration de la phase 1 à affecter à ce tunnel. Voir « Création d’une nouvelle configuration phase 1 »
irtunn
Nom Entrez un nom pour ide
à la page 296. La configuration phase 1 décrit comment des pa es ou clients VPN à distance seront authentifiés sur ce
el, et comment la connexion sera sécurisée.
Avancé Permet de définir les paramètres avancés de la phase 2. Voir « Définition des paramètres avancés de la phase 2 » ci-dessous.
302 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Définition des paramètres avancés de la phase 2
ction des détails
’implémentation de SA (Securtity Associations). Les clés sont générées
és de la phase 2 IPSec, sélectionnez VPN > IPSEC > Auto Key (IKE), cliquez sur Créer Phase 2 et ensuite sur Avancé.
mètres avancés de la Phase 2
Pendant la phase 2, le boîtier FortiGate et le paire ou client VPN s’échangent encore des clés pour établir un canal de communication sécurisé entre eux. Les paramètres de la proposition Phase 2 sélectionnent les algorithmes de cryptage etd’authentification nécessaires à la génération de clés pour la protedautomatiquement via un algorithme Diffie-Hellman. Un nombre de paramètres supplémentaires avancés de la phase 2 sont disponibles pour améliorer l’opération du tunnel. Pour modifier les paramètres avanc
Illustration 161 : Para
Proposition Phase 2 Sélectionnez les algorithmes de cryptage et d’authentification
qui seront utilisés pour modifier les données en code crypté.
Ajoutez ou supprimez les algorithmes de cryptage et d’authentification tel que requis.
Sélectionnez un minimum de 1 et un maximum de 3 combinaisons. Le paire à distance doit être configuré pour utiliser au moins une des propositions que vous avez définies.
Vous pouvez sélectionner un des algorithmes à clés symétriques suivants :
• NULL – Ne pas utiliser d’algorithme de cryptage.
• DES – Digital Encryption Standard, un algorithme de 64 bits qui utilise une clé de 56 bits.
• 3DES – Triple-DES, dans lequel le texte clair est crypté trois fois par trois clés.
• AES128 – Un algorithme de 128 bits qui utilise une clé de 128 bits.
• AES192 – Un algorithme de 128 bits qui utilise une clé de 192 bits.
• AES256 – Un algorithme de 128 bits qui utilise une clé de 256 bits.
Guide d’Administration FortiGate Version 3.0 303 01-30001-0203-20060424
Vous pouvez sélectionner chacun des messages récapitulatifs pour vérifier l’authenticité des messages pendant les négociations de la phase 2 :
a Security.
message
econde ème
combinaison, cliquez sur le bouton + à côté des champs de la seconde combinaison.
tivement, vous pouvez activer ou désactiver « Replay detection » l’option “Replay Detection”. Les attaques rejouées ont lieu
lorsqu’une partie non autorisée intercepte une série de paquets IPSec et les rejoue dans le tunnel.
an à chaque fois durée de vie d’une clé expire.
pe Diffie-Hellman (1, 2 ou 5). Le paire distant ou client dialup doit être configuré pour utiliser le même groupe.
Durée de vie Sélectionnez la méthode pour déterminer quand la clé Tunnel toujours actif de la phase 2 expire : Secondes, Koctets ou les deux. Si vous
sélectionnez les deux, la clé expire soit quand la période de temps s’est écoulée, soit lorsque le nombre de Ko a été traité. Les intervalles s’étendent de 120 à 172800 secondes ou de 5120 à 2147483648 Ko. Activez l’option tunnel toujours actif si vous désirez que le tunnel reste actif lorsque aucune donnée n’est traitée.
HCP-IPSec Activez cette option si le boîtier FortiGate agit comme serveur dialup et qu’un relais DHCP FortiGate sera utilisé pour affecter des adresses VIP aux clients dialup FortiClient. N’activez pas
ctiver pour que le boîtier FortiGate agisse comme proxy pour ses clients dialup.
Ceci n’est disponible que pour les configurations phase 2 en mode tunnel associées à une configuration phase 1 dialup.
Quick Mode Selector Facultativement, vous pouvez spécifier les adresses IP source et de destination à utiliser comme sélecteurs pour des négociations IKE. Si le boîtier FortiGate est un serveur dialup, la valeur par défaut 0.0.0.0/0 devrait être maintenue à moins qu’il soit nécessaire de contourner des problèmes causés par des adresses IP ambiguës entre un ou plusieurs réseaux privés constituant le VPN. Vous pouvez spécifier une seule adresse IP hôte, une plage d’adresses IP ou une adresse réseau. Vous pouvez en option spécifier les numéros de ports source et de destination et/ou un numéro de protocole.
Si vous éditez une configuration de tunnel phase 2 existante, les champs Adresse Source et Adresse
• NULL – Ne pas utiliser de message récapitulatif.
• MD5 – Message Digest 5, l’algorithme de hachage développé par RSA Dat
• SHA1 – Secure Hash Algorithm 1, qui produit unrésumé de 160 bits.
Pour spécifier une seule combinaison, affectez à la scombinaison, la mention NULL. Pour ajouter une troisi
Activer l’option Faculta
Activer l’option« Perfect Activer ou désactiver PFS. Cette option améliore la sécurité forward secrecy » (PFS) en forçant un nouvel échange Diffie-Hellm
qu’une
Groupe DH Sélectionnez un grou
D
cette option sur les boîtiers FortiGate qui agissent comme clients dialup. Les paramètres du relais DHCP doivent être configurés séparément. Pour plus d’informations, voir « Système > DHCP » à la page 99.
Si le boîtier FortiGate agit comme serveur dialup et vous affectez manuellement les adresses VIP des clients dialup FortiClient qui correspondent au réseau derrière le serveur dialup, sélectionnez A
304 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Destination sont indisponibles si le tunnel a été configuré pour utiliser des adresses pare-feu comme
cal/locaux ou au réseau derrière le l. Par exemple, 172.16.5.0/24 ou
172.16.5.0/255.255.255.0 pour un sous-
ate.
pour rvice spécifié (numéro du
0 et 65535. Pour spécifier
pour une
sélecteurs. Cette option n’existe que sur l’interface deligne de commande. Voir les mots-clés dst-addr-type, dst-name, src-addr-type et src-name de la commande vpn ipsec phase2 dans le FortiGate CLI Reference.
Adresse source Si le boîtier FortiGate est un serveur dialup, entrez l’adresse IP source qui corresponde à/aux expéditeur(s) lopaire VPN loca
réseau, ou 172.16.5.1/32 ou 172.16.5.1/255.255.255.255 pour un serveur ou un hôte, ou 192.168.10.[80-100] ou 192.168.10.80-192.168.10.100 pour une plage d’adresses.
Une valeur de 0.0.0.0/0 représente toutes les adresses IP derrière le paire VPN local. Si le boîtier FortiGate est un client dialup, l’adresse source doit référer au réseau privé derrière le client dialup FortiG
Port source Entrez le numéro du port que le paire VPN local utilise transporter le trafic lié au seprotocole). L’intervalle varie entre tous les ports, entrez . 0
Adresse destination Entrez l’adresse IP de destination qui corresponde aux destinataires ou réseau derrière le paire VPN distant. Par exemple 192.168.20.0/24 pour un sous-réseau, ou 172.16.5.1/32 pour un serveur ou un hôte, ou 192.168.10.[80-100] plage d’adresses. Une valeur de 0.0.0.0/0 représente toutes les adresses IP derrière le paire VPN à distance.
Port destination Entrez le numéro du port que le paire VPN à distance utilise pour transporter le trafic lié au service spécifié (numéro de protocole). L’intervalle varie entre 0 et 65535. Pour spécifier tous les ports, entrez 0.
Protocole Entrez le numéro du protocole IP du service. L’intervalle varie entre 1 et 255. Pour spécifier tous les ports, entrez 0.
Remarque : Vous rmettre aux utilisateurs VPN de naviguer sur Internet à travers faire, configurez une règle pare-feu IPSec supplémentaire avece destination l’interface publique FortiGate, l’adresse sourceseau à distance et la translation en entrée activ
pouvez pele boîtier FortiGate. Pour ce comme interface source et d all, l’adresse de destination le ré ée. Pour plus
gles a page
Clé Manuelle Si nécessaire, vous pouvez dé pour l’établissement d’un tunneldans les cas suivants :
• Une connaissance antérie st nécessaire (c’est-à-dire lo paires VPN requiert une clé spécifique de cryptage et/ou d’authentification).
d’informations sur les rè pare-feu, voir « Configuration de règles pare-feu » à l232.
finir manuellement des clés de cryptographie VPN IPSec. Des clés manuelles peuvent être définies
ure de la clé de cryptage et/ou d’authentification ersque l’un des
Guide d’Administration FortiGate Version 3.0 305 01-30001-0203-20060424
• Le cryptage et l’authen ic
Dans les deux cas, vous ne sp ; au lieu de cela, vous définisseClef Manuelle.
tif ation doivent être désactivés.
écifiez pas les paramètres des phases 1 et 2 IPSecz des clés manuelles sur la page VPN > IPSEC >
Remarque : Il y a toujours un risq la définition de clés manuelles car il faut compter
Illustration 162 : Liste des c
ue dans sur les administrateurs réseaux pour garder les clés confidentielles et la propagation
ée de changements asécuris ux paires VPN à distance risque d’être difficile.
lés manuelles
Créer Nouveau Créer une nouvelle configuration de clé manuelle. Voir
elle configuration à clé manuelle »
s.
Passerelle .
Algorithme de chiffrement s algorithmes de chiffrement spécifiés dans
Algorithme d’authentificatio
Icônes Supprimer et Editer ne configuration de clé
Création d’une nouvelle configuration
nts Vpour établir un tunnel, les oivent être configurés pour
st tres
complémentaires SPI (Sec Chaque SPI identifie un SA (Security Association). La valeur est placée dans des datagrammes ESP pour lier les datagrammes au SA. Lorsqu’un datagramme est reçu, le destinataire se réfère au SPI pour déterminer quel SA s’applique au datagramme. Un SPI doit être spécifié manuellement pour chaque SA. Etant donné qu’un SA s’applique à la communication dans une seule direction, vous devez spécifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les communications bidirectionnelles entre deux équipements VPN.
« Création d’une nouvci-dessous.
Nom du tunnel Les noms des configuration de clés manuelles existante
Les adresses IP des paires distants ou des clients dialup
Les noms deles configurations de clés manuelles.
n Les noms des algorithmes d’authentification spécifiés dans les configurations de clés manuelles.
Permet de supprimer ou d’éditer umanuelle.
à clé manuelle
Si l’un des équipeme PN utilise des clés d’authentification et/ou de cryptage deux équipements VPN d
utiliser des clés d’authentification et/ou de cryptage identiques. De plus, il eiel que ces deux éqessent uipements VPN soient configurés avec les paramè
urity Parameter Index).
Attention : Si vous n’êtes pas familier avec les règles de sécurité, SA, sélecteurs et bases de données SA, ne tentez pas la procédure suivante sans assistance qualifiée. Pour spécifier des clés manuelles pour la création d’un tunnel, sélectionnez VPN > IPSEC > Clef Manuelle et cliquez sur Créer Nouveau.
306 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 163 : Nouvelle Clé Manuelle
Nom Entrez un nom
pas dépasser pour le tunnel VPN. La longueur du nom ne doit 15 caractères pour un VPN en mode interface,
35 caractères pour un VPN basé sur une règle.
SPI Local Entrez un nombre hexadécimal (jusqu’à 8 caractères, 0-9, a-f)
ette
qui représente le SA qui traite le trafic entrant sur le boîtier FortiGate local. L’intervalle s’étend de 0x100 à 0xffffffff. Cette
Entrez l’adresse IP de l’interface publique vers le paire distant. L’adresse identifie le destinataire des datagrammes ESP.
est disponible qu’en mode NAT/Route. Sélectionnez le nom de l’interface physique, agrégée ou VLAN à laquelle le tunnel IPSec sera lié. Le boîtier FortiGate obtient l’adresse IP de l’interface dans les paramètres de Système > Réseau > Interface (voir « Interface » à la page 61).
Algorithme de chiffrement Vous pouvez sélectionner un des algorithmes à clé symétrique suivants :
• NULL – Ne pas utiliser d’algorithme de chiffrement.
• DES – Digital Encryption Standard, un algorithme de 64
r trois clés.
e clé de .
e
– Un algorithme de 128 bits qui utilise une clé de
Clef de chiffrement Si vous avez sélectionné :
• DES, entrez un numéro hexadécimal de 16 symboles (0-9, a-f).
qui représente le SA qui traite le trafic sortant sur le boîtier FortiGate local. L’intervalle s’étend de 0x100 à 0xffffffff. Cvaleur doit correspondre à la valeur SPI Distant dans la configuration de la clé manuelle du paire distant.
SPI Distant Entrez un nombre hexadécimal (jusqu’à 8 caractères, 0-9, a-f)
valeur doit correspondre à la valeur SPI Local dans la configuration de la clé manuelle du paire distant.
Passerelle
Local Interface Cette option n’
bits qui utilise une clé de 56 bits.
• 3DES – Triple-DES, dans lequel le texte est crypté troisfois pa
• AES128 – Un algorithme de 128 bits qui utilise un128 bits
• AES192 – Un algorithme de 128 bits qui utilise une clé d192 bits.
• AES256256 bits.
Guide d’Administration FortiGate Version 3.0 307 01-30001-0203-20060424
• 3DES, entrez un nombre hexadécimal de 48 symboles (0-9, a-f), séparé en trois segments de 16 symboles.
• AES128, entrez un nombre hexadécimal de 32 symboles (0-9, a-f) , séparé en deux segments de 16 symboles.
ombre hexadécimal de 64 symboles
s messages ’authentification récapitulatifs suivants:
pas utiliser de message récapitulatif.
• MD5 – Message Digest 5, algorithme qui produit un message récapitulatif de 128 bits.
• SHA1 – Secure Hash Algorithm 1, qui produit un message récapitulatif de 160 bits.
(0-
• SHA1, entrez un nombre hexadécimal de 40 symboles (0-9, a-f) , séparé en un segment de 16 symboles et un
Concentrateu-and-spoke », les connexions à plusieurs paires
ate central. Les connexions site à site entre le ependant, des tunnels VPN entre deux des
s à distance peuvent être établis à travers un hub FortiGate.
hub-and-sp terminent au hub. Les nectent au hu ub
centVPN entre les « spokes ». Le hub.
concentrat« hub-and-spoke ».
centrateur,
• AES192, entrez un nombre hexadécimal de 48 symboles (0-9, a-f) , séparé en trois segments de 16 symboles.
• AES256, entrez un n(0-9, a-f) , séparé en quatre segments de 16 symboles.
Algorithme Vous pouvez sélectionner un ded
• NULL – Ne
Clef d’authentification Si vous sélectionnez :
• MD5, entrez un nombre hexadécimal de 32 symboles9, a-f) séparé en deux segments de 16 symboles.
second de 24 symboles.
IPSec Interface Mode Créez une interface virtuelle pour la fin locale du tunnel VPN. Cette commande n’est disponible qu’en mode NAT/Route.
r ans une configuration « hubD
distants partent d’un seul boîtier FortiG paires à distance n’existent pas ; cs
paire Dans un réseau « oke », tous les tunnels VPN se paires qui se con b sont connus sous le nom de « spokes ». Le hfonctionne comme un con rateur sur le réseau, gérant toutes les connexions
trafic VPN passe d’un tunnel à un autre à travers le
Vous définissez un eur pour inclure des « spokes » dans la configuration
Pour définir un con sélectionnez VPN > IPSEC > Concentrateur.
308 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 164 : Liste des concentrateurs
Créer Nouveau Défi
IPSe oir « Définition des options d’un conc
Nom du concentrateur Les
Membres Les
Icônes Supprimer et PermEditer
Définition des op
eur spécifie quels spokes inclure dans une -and-spoke I
okes d’une configu -spoke IPSec, sélectionnez
Illustration 165 : Nouveau Concentrateur VPN
nissez un nouveau concentrateur pour une configuration c hub-and-spoke. Ventrateur » ci-dessous.
noms des concentrateurs VPN IPSec existants.
tunnels qui sont associés aux concentrateurs.
et de supprimer ou d’éditer un concentrateur.
tions d’un concentrateur
Une configuration de concentratconfiguration hub PSec.
our spécifier les sp ration hub-andPVPN > IPSEC > Concentrateur et cliquez sur Créer Nouveau.
Nom du concentrateur Entrez un nom pour le concentrateur.
Tunnels Disponibles Une liste de tunnels VPN IPSec définis. Sélectionnez un tunnel de la liste et cliquez ensuite sur la flèche droite. Répétez cette étape jusqu’à ce que tous les tunnels associés aux spokes soient inclus dans le concentrateur.
Membres Une liste de tunnels membres du concentrateur. Pour enlever un tunnel du concentrateur, sélectionnez le tunnel et cliquez sur la flèche gauche.
Guide d’Administration FortiGate Version 3.0 309 01-30001-0203-20060424
Tunnels actifs
els actifs
Cette page vous permet de visualiser l’activité des tunnels VPN IPSec, et également de les démarrer ou de les arrêter. S’affichent à l’écran une liste d’adresses, d’ID proxy et d’informations timeout pour tous les tunnels actifs, y ompris les tunnels en mode tunnel et en mode route (mode interface). c
Pour visualiser les tunnels actifs, sélectionnez VPN > IPSEC > Tunnels actifs. Illustration 166 : Liste des tunn
La liste des tunnel p fournit des informations sur le statut depour les clients dialup. La liste reprend les adresses IP de
s dialu s tunnels établis clients dialup et les
modifie quand un cl
tu r tous les tunnels dialup et le trafic passant à travers tous les tunnels dialup. Les utilisateurs dialup auront peut-être à se reconnecter pour établir des nouvelles sessions VPN.
Icône Page suivante et Affiche la page suivante et précédente de la liste des Page précédente statuts des tunnels dialup.
Nom Les noms de tunnels configurés.
Passerelle distante Lorsqu’un client dialup FortiClient établit un tunnel, le champ Passerelle Distante affiche soit l’adresse IP publique et le port UDP de la machine de l’hôte distant (sur lequel l’application FortiClient Host Security est installée), soit, dans le cas où un serveur NAT existe à l’avant de l’hôte distant, l’adresse IP publique et le port UDP de l’hôte distant.
Lorsqu’un client dialup FortiGate établit un tunnel, le champ Passerelle Distante affiche l’adresse IP publique et le port UDP du client dialup FortiGate.
Compte utilisateur L’ID du paire, le nom du certificat ou le nom utilisateur XAuth du client dialup ( dans le cas où ces éléments ont été affectés au client dialup dans le but d’une authentification).
Timeout La période de temps avant le prochain échange de clés de la phase 2. Ce temps est calculé en soustrayant le temps passé depuis le dernier échange de clés de la durée de vie de la clé. Lorsque la clé de la phase 2 expire, une nouvelle clé est générée sans interruption de service.
ID Proxy Source Les adresses IP des hôtes, serveurs ou réseaux privés situés derrière le boîtier FortiGate. Une plage de réseau s’affiche si l’adresse source de la règle pare-feu de chiffrement a été exprimée sous forme de plage d’adresses IP.
noms de tous les tunnels actifs. Le nombre de tunnels affichés dans la liste se ient dialup se connecte ou se déconnecte.
Icône Flush dialup nnels Permet d’arrête
310 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
ID Proxy Destination Lorsqu’un client dialup FortiClient établit un tunnel :
• Si les adresses VIP ne sont pas utilisées et que l’hôte distant se connecte à Internet directement, le champ Proxy ID Destination affiche l’adresse IP publique de la
ont été configurées (manuellement ou à travers un relais FortiGate DHCP), le champ Proxy ID
fiche soit l’adresse VIP appartenant à un client dialup FortiClient, soit l’adresse d’un sous-réseau à partir duquel les adresses VIP ont été affectées.
Lorsqu’un client dialup FortiGate établit un tunnel, le champ Proxy ID Destination affiche l’adresse IP du réseau privé distant.
nnel up et tunnel Une flèche verte pointant vers le haut signifie que le tunnel est en train de traiter du trafic. Une flèche rouge
et Vous
ouvez également commencer ou arrêter des tunnels individuels à partir de cette
ivante et Affiche la page précédente ou suivante de la liste des Page précédente statuts des tunnels VPN.
asserelle distante Les adresses IP et les ports UDP des passerelles. Pour les iques, les adresses IP sont mises à jour
Timeout La période de temps avant le prochain échange de clés de la sé lé.
ne nouvelle clé est
ID Proxy Source eaux privés
xy Destination
l uge
ar le urs.
NIC (Network Interface Card) dans l’hôte distant.
• Si les adresses VIP ne sont pas utilisées et l’hôte distant est derrière un serveur NAT, le champ Proxy ID Destination affiche l’adresse IP privée de la NIC dans l’hôte distant.
• Si les adresses VIP
Destination af
Icône Tudown
pointant vers le bas signifie que le tunnel n’est pas en train detraiter du trafic.
La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit desinformations à propos des tunnels VPN aux paires à distance qui ont des adresses IP statiques ou des noms de domaine. Cette liste permet de visualiser les statutsinformations sur les adressages IP pour chaque configuration de tunnel. pliste.
Icône Page su
Nom Les noms des tunnels configurés.
Ptunnels DNS dynamdynamiquement.
phase 2. Ce temps est calculé en soustrayant le temps pasdepuis le dernier échange de clés de la durée de vie de la cLorsque la clé de la phase 2 expire, ugénérée sans interruption de service.
Les adresses IP des hôtes, serveurs ou résderrière le boîtier FortiGate. Une plage de réseaux s’affiche sil’adresse source de la règle pare-feu de chiffrement a été exprimée sous forme de plage d’adresses IP.
ID Pro Les adresses IP des hôtes, serveurs et réseaux privés derrière le boîtier FortiGate distant.
Icône Tunnel up et tunne Une flèche verte pointant vers le haut signifie que le down tunnel est en train de traiter du trafic. Une flèche ro
pointant vers le bas signifie qu’aucun traitement de trafic ptunnel n’est en co
Guide d’Administration FortiGate Version 3.0 311 01-30001-0203-20060424
VPN PPTP Le boîtier FortiGate supporte PPTP pour créer un tunnel pour le trafic PPP entre deux paires VPN. Les clients Windows et Linux peuvent établir un tunnel PPTP avec un boîtier FortiGate configuré comme serveur PPTP. Comme alternative, vous pouvez configurer le boîtier FortiGate pour envoyer des paquets PPTP vers un serveur PPTP sur le réseau derrière le boîtier FortiGate.
ene plage d’adresses IP pour les clients PPTP. Pour toute information sur
FortiGate PPTP VPN User Guide.
Plage PPTP
nt se connecte, le boîtier FortiGate affecte une adresse IP d’une plage d’adresses IP réservées à l’interface PPTP du client. Le
urée
cifier la plage d’adresses PPTP, sélectionnez VPN > PTP > Plage PPTP, sélectionnez les options requises et cliquez ensuite sur
lustration 167 : Editer la plage PPTP
Le VPN PPTP est uniquement disponible en mode NAT/Route. Cette s ction explique comment utiliser l’interface d’administration web pour spécifier ula mise en place du VPN PPTP, voir le Cette section parcourt la plage PPTP.
Vous pouvez spécifier une plage d’adresses PPTP sur la page Plage PPTP. La plage d’adresses PPTP est une plage d’adresses réservée aux clients PPTP distants. Lorsqu’un client PPTP dista
client PPTP utilise l’adresse IP affectée comme adresse source pendant la dde la connexion. Pour activer PPTP et spéPAppliquer.
Il
nt de pouvoir sélectionner cette option, vous devez ajouter roupe d’utilisateurs. Voir « Groupe d’utilisateurs » à la 330.
Activer PPTP Ava
un gpage
IP début de plage trrése
IP fin de plage Entr
Groupe Utilisateur Séle e vous ave
Désactiver PPTP Dés
En ez l’adresse de départ de la plage d’adresses IP rvées.
ez l’adresse de fin de la plage d’adresses IP réservées.
ctionnez le nom du groupe d’utilisateurs PPTP quz défini.
active le support PPTP.
312 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
VPN SSL in > SSL
e d’administ es fonctionnalités en mode N
Cette section fournit les formations sur les fonctionnalités de la page VPN dans l’interfac ration web. Le boîtier FortiGate supporte c
AT/Route uniquement.
Remarque : Po d’instructions détaillées sur la configuration des opérmode web et mode tun ir le FortiGate SSL VPN User Guide.
ur davantage ations en nel, vo
ection couvre les su
• Configuration
onitor
Configuration La page Config comporte l es valeurs timeout et des préférences vous pouvez également activer l’utilisation de certificats digitaux pour l’authentification des
Cette s jets suivants :
• M
es paramètres de base VPN SSL y compris d de cryptage SSL. Si nécessaire,
clients distants.
Remarque : Si nécessaire, vous pouvez activer le cryptage SSL version 2 (compdes navigateurs plus anciens) à partir de l’interface de ligne de commande. Pou
atible avec r plus
informations, voir « SSL Settings » dans le chapitre « VPN » du FortiGate CLI Reference.
aramètres de
d’ Sélectionnez VPN > SSL > Config pour un affichage des pconfiguration SSL en cours. Illustration 168 : Paramètres VPN SSL
Activer SSL-VPN Active les connexions VPN SSL.
Guide d’Administration FortiGate Version 3.0 313 01-30001-0203-20060424
Port de Login Facultativement, entrez un numéro de port HTTPS différent pour les navigateurs web des clients distants
t
s pour les clients VPN SSL en mode tunnel. Entrez les adresses de départ
ervées.
rtiGate
clients distants lors de leurs connexions.
tte option si vous désirez permettre rtificats de groupes pour l’authentification
de clients distants. Par après, lorsque le client distant initie une connexion, le boîtier FortiGate génère un message chez lui concernant sa partie du certificat, ceci faisant partie du processus d’authentification.
Algorithme de la clé de Sélectionnez l’algorithme pour la création d’une ryptage connexion sécurisée SSL entre le nav eur web du
Nécessite une longu ette option pour le navigateur web d’un clé>=128bit(défau de
Nécessite une longue eur web d’un client distant est capable de clé>128bit(haute) de correspondre à un haut niveau de cryptage SSL,
r activer des suites de its pour crypter les données.
t rester inactive avant de forcer l’utilisateur à se reconnecter.
ion se coupe pas tant que des sessions d’application web
ou des tunnels sont activés.
M trez le message personnalisé que vous désirez voir apparaître sur le portail.
Serveur DNS #2
Serveur WINS #1 #2
pour se connecter au boîtier FortiGate. Le numéro de porpar défaut est 10443.
Plage IP du tunnel Spécifiez la plage d’adresses IP réservée
et de fin qui définissent la plage d’adresses IP rés
Certificat Serveur Sélectionnez le certificat serveur signé à utiliser pour le processus d’authentification. Si vous maintenez le paramétrage par défaut (Self-Signed), le boîtier Fopropose son certificat installé par défaut par Fortinet aux
Nécessite un certificat client Sélectionnez cel’utilisation de ce
c igatclient distant et le boîtier FortiGate.
eur Sélectionnez c
de t) client distant capable de correspondre à une suite chiffres de 128 bits et plus.
ur Si le navigat
sélectionnez cette option pouchiffres utilisant plus de 128 b
Nécessite une longueur Si vous n’êtes pas certain du niveau de cryptage SSL de clé>=64bit(basse) que supporte le navigateur web du client distant,
sélectionnez cette option pour activer une suite de chiffres de 64 bits et plus.
Idle Timeout Timeout d’inactivité : Entrez la période de temps (en secondes) pendant laquelle la connexion peu
L’intervalle varie entre 10 et 28800 secondes. Ce paramètre s’applique à la session VPN SSL. La connexne
essage du portail Facultativement, en
Avancé (Serveurs DNS et WINS)
Serveur DNS #1 Entrez jusqu’à deux Serveurs DNS fournis pour une utilisation clients.
Entrez jusqu’à deux Serveurs WINS fournis pour une
Serveur WINS utilisation clients.
314 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Monitor Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste affiche le nom utilisateur de l’utilisateur distant, son adresse IP et l’heure à laquelle la connexion a été initiée. La liste répertorie également quels services sont fournis. Pour visualiser la liste des sessions actives VPN SSL, sélectionnez VPN > SSL > Monitor. lustration 169 : Liste Monitor Il
No. L’identificateur de la connexion.
Utilisateur Les noms utilisateurs de tous les utilisateurs distants con
P Source Les adresses IP des hôtes connectés au boîtier FortiGate.
nectés.
oîtier FortiGate affecte au client distant.
I
Heure de début L’heure de début de chaque connexion.
Description Des informations sur les services fournis. Lorsqu’un utilisateur en mode tunnel est connecté, le champ Description affiche l’adresse IPque le b
Icône Supprimer Supprime un tunnel.
Guide d’Administration FortiGate Version 3.0 315 01-30001-0203-20060424
Certificatsexplique comment gérer les certificats de sécurité X.509 à partir de
es listes de révocation, sauvegarder et restaurer des ur plus d’informations, voir le .
Cette section parcourt les sujets suivants :
• Certificats locaux
Certificats CA
Certificat locLes requêtes de certificat este des Certificats Locaux. Après avoir soumis une requête à une autorité de
numéro de série, une date d’expiration et la clé publique de l’autorité de certification. L’AC va ensuite signer et vous envoyer le certificat à installer sur votre boîtier FortiGate.
rtificat serveur signé.
Ill
VPN ette section C
l’interface d’administration web FortiGate. Ce module vous apprend à générer des requêtes de certificat, installer des certificats signés, importer le certificat de ’autorité de certification et dlcertificats et leurs clés privées associées. PoFortiGate Certificate Management User Guide
•
• CRL
aux t les certificats serveurs installés sont affichés dans la
licertification (AC), cette dernière vérifie les informations et enregistre les informations de contact sur un certificat digital qui contient un
Pour visualiser des requêtes de certificat et/ou importer des certificats de serveur signés, sélectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les détails du certificat, sélectionnez l’icône Voir les Détails du Certificat du certificat oncerné. c
A la première ligne de l’illustration 170 s’affiche une requête de certificat et à la euxième ligne, un ced
stration 170 : Liste des Certificats Locaux u
Générer Génère une requête d
requête de certifie certificat local. Voir « Générer une
cat » à la page 317.
Importer Importer un certificat local signé. Voir « Importation d’un certificat serveur signé » à la page 319.
Nom Les noms des certificats locaux existants et des requêtes de certificat en suspens.
Sujet Les DS (Distinguished Names) des certificats signés locaux.
Etat Le statut du certificat local. PENDING désigne une requête de certificat nécessitant un téléchargement et une signature.
316 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Icône Voir les Détails Affiche les détailsdu Certificat certificat, l’émetteu
du certificat tels que le nom du r, le sujet et les dates de validité. Voir
at serveur signé pour le
Illustration 171.
Icône Supprimer Supprime la requête de certificat sélectionnée ou le certificat serveur installé lors de la configuration FortiGate.
Icône Sauvegarder Sauvegarde une copie de la requête du certificat sur un ordinateur local. Envoyez la requête à votre autorité de certification pour obtenir un certificboîtier FortiGate.
llustration 171 : Informations détaillées sur le certificat I
Pour des informations détaillées et des procédures pas à pas pour l’obtention et l’installation des certificats digitaux, voir le FortiGate Certificate Management User Guide.
Générer une requête de certificat
Le boîtier FortiGate génère une requête de certificat basée sur les informations entrées pour identifier le boîtier FortiGate. Les requêtes générées sont affichées dans la liste des Certificats Locaux avec le statut PENDING. Après avoir généré une requête de certificat, vous pouvez télécharger la requête sur un ordinateur qui possède un accès administratif au boîtier FortiGate et transférer ensuite la requête à une autorité de certification (AC). Pour compléter une requête de certificat, sélectionnez VPN > Certificats > Certificats Locaux et cliquez sur Générer. Pour télécharger et transférer une requête de certificat, voir « Téléchargement et soumission d’une requête de certificat » à la page 318. Illustration 172 : Générer des Requêtes de Signature de Certificat
Guide d’Administration FortiGate Version 3.0 317 01-30001-0203-20060424
Nom du certificat Entrez un nom au certificat. En général, il s’agit du nom du ortiGate. Pour activer l’exportation d’un certificat signé
sous forme d’un fichier PKCS12 si nécessaire, même plus tard, ne pas inclure d’espace dans le nom.
t
esse IP publique du boîtier FortiGate. Si celui-ci ne possède pas
• Si le boîtier FortiGate possède une adresse IP statique et souscrit à un service DNS dynamique, utilisez un nom de domaine si disponible pour identifier le boîtier FortiGate. Si vous sélectionnez Nom de Domaine, entrez le FQDN du boîtier FortiGate. Ne pas inclure le protocole de spécification (http://) ni numéro de port ni noms de chemin. Si un nom de domaine n’est pas disponible et que le boîtier FortiGate souscrit à un service dynamique DNS, un message de type « Unable to verify certificate » (« Impossibilité de vérifier le certificat ») peut s’afficher dans une fenêtre du navigateur à chaque changement d’adresse IP publique du boîtier FortiGate.
• Si vous sélectionnez Mail, entrez l’adresse mail du propriétaire du boîtier FortiGate.
Unité organisationnelle Facultativement, entrez le nom de votre département.
Organisation Facultativement, entrez le nom légal de votre entreprise ou organisation.
Localité (Ville) Facultativement, entrez le nom de la ville où est situé le boîtier FortiGate.
Etat/Province Facultativement, entrez le nom de l’état, de la province ou du département où est situé le boîtier FortiGate.
Pays Facultativement, entrez le nom du pays où est situé le boîtier FortiGate.
Mail Facultativement, entrez l’adresse mail de contact.
Type de clef Seul RSA est supporté.
Longueur de la clef Choisissez entre 1024bit, 1536bit et 2048bit. Les plus grandes clés sont plus lentes à générer mais procurent une sécurité plus accrue.
Téléchargement et soumission d’une requête de certificat
Vous devez compléter une requête de certificat et générer la requête avant de pouvoir soumettre les résultats à l’autorité de certification. Pour plus d’informations, voir « Générer une requête de certificat » à la page 317. Télécharger et soumettre une requête de certificat
1 Sélectionnez VPN > Certificats > Certificats Locaux.
2 Dans la liste des Certificats locaux, sélectionnez l’icône Sauvegarder de la requête de certificat générée.
boîtier F
Information sur le suje Entrez les informations requises pour identifier le boîtierFortiGate :
• Si le boîtier FortiGate possède une adresse IP statique, sélectionnez Adresse IP de l’hôte et entrez l’adr
d’adresse IP publique, utilisez à la place une adresse(ou un nom de domaine si disponible).
318 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
3 Dans la boîte de dialogue de Sauvegarde du Fichier, sélectionnez Sauvegarder.
mmez le fichier et sauvegardez-le dans le système de fichiers locaux.
umettez votre requête à votre autorité de certification de la manière suivante :
rtificat au format PKCS#10 encodé en base64 et téléchargez votre requête de certificat.
certification pour télécharger leur vocation List), et installez-les
istance (référez-vous à la documentation du
6 Lors de la réception du certificat signé de l’AC, installez-le sur le boîtier FortiGate. Voir ’un certificat serveur signé » ci-dessous.
Importation d’un certificat serveur signé
Vot ertificat serveur signé à installer sur le b certificat, sauvegardez-le sur un rdinateur qui possède un accès administratif au boîtier FortiGate.
ificats >
s
4 No
5 So
• A partir du navigateur web sur l’ordinateur d’administration, allez sur le site web de l’autorité de certification.
• Suivez les instructions de l’autorité de certification pour effectuer une requête de ce
• Suivez les instructions de l’autorité de certificat et leur liste de révocation (Certificate Reensuite sur chaque client à dnavigateur).
« Importation d
re autorité de certification va vous fournir un coîtier FortiGate. Lors de la réception de ce
o Pour installer le certificat serveur signé, sélectionnez VPN > CertCertificats Locaux et cliquez sur Importer. Installez le certificat à partir de la boîte de dialogue de téléchargement du certificat local en haut de la page. Le fichier du certificat peut se trouver sous le format PEM ou DER. Les autres boîtes de dialogue servent à importer des certificats exportés précédemment et leurs cléprivées.
Illustration 173 : Télécharger le certificat local
Télécharger le fichier Entrez le chemin complet et le nom du fichier du certificat
serveur signé.
Browse Alternativement, accédez au certificat sauvegardé sur l’ordinateur d’administration, sélectionnez alors le certificatcliquez sur OK.
et
Importation d’
ée à importer doivent avoir été exporté précédemment sous forme d’un fichier unique PKCS12 à partir de la commande
e key export. Ce fichier est associé à un mot
nt User Guide.
un certificat serveur exporté et de sa clé privée
Le certificat serveur et sa clé priv
CLI execute vpn certificatde passe nécessaire à son importation. Avant de commencer, sauvegardez une copie du fichier sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour plus d’informations, se référer au FortiGate Certificate Manageme
Guide d’Administration FortiGate Version 3.0 319 01-30001-0203-20060424
Pour importer le fichier PKCS12 ; sélectionnez VPN > Certificats > Certificats ocaux et cliquez sur Importer.
2
L Illustration 174 : Télécharger le certificat PKCS1
Certifier avec un fichier clé Entrez le chemin complet et le nom du fichier du fichier
PKCS12 exporté précédemment.
Browse Alternativement, accédez au fichier PKCS12 sauvegardé sur l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.
ot de passe Entrez le mot de passe requis pour télécharger le fichier PKCS12.
Importation de fichiers séparés de cer clé privée
ir de la boîte de dialat serveu
certificat et la clé privée n’ FortiGate. Les deux orter doivent dministration.
M
tificat serveur et leur
A part ogue de téléchargement de certificat, importez les fichiers du certific r et de sa clé privée associée lorsque la requête de
ont pas été générées par le boîtier fichiers à imp être disponibles sur l’ordinateur d’a
Illustration 175 : Télécharger le certificat
fichier certificat Entrez le chemin complet et le nom du fichier du certificat
exporté précédemment.
Fichier clé Entrez le chemin complet et le nom du fichier de la clé exporté précédemment
Mot de passe Entrez, si requis, le mot de passe pour télécharger et ouvrir les fichiers.
Certificats CA pliquez po atif) ou de groupe à
es clients dist et la liste d
du certificat
distants en respectant les navigateur. Installez le cer tification
re boîtier FortiGate. Les certificats CA installésvisualiser des certificats ra VPN
Lorsque vous ap ur un certificat personnel (administrinstaller sur d tants, vous devez obtenir le certificat racine correspondan e révocation (CRL) de votre autorité de certification.
A la réception personnel ou de groupe, installez-le sur les clients procédures décrites dans la documentation du tificat racine et le CRL de votre autorité de cer
sur vot
sont affichés dans la liste de Certificats CA. Pour cines AC installés ou pour en importer,sélectionnez
320 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
> Certific CA. Pour visualiser les détails du certificat racine, s détails du certificat du certificat concerné.
ertificats CA
ats > Certificatssélectionnez l’icône Voir le Illustration 176 : Liste des c
Importer Importez un certificat racine CA. Voir « Importatio
certificats de l’autorité de cert n »n de
ificatio
om Les noms des certificats racines CA existants. Le rtiGate affecte des noms uniques
(CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux certificats AC lors de leur importation.
Supprimer ne CA de la configuration
Icône Sauvegarder
Pour des informations détaillées et des procédures pas à pas pour l’obtention et digitaux, se référer au FortiGate Certificate Management
User Guide.
Importation de ce
té de certification, sauvegardez le certificat sur un ordinateur qui possède un accès administratif au boîtier FortiGate. Pour importer un certificat racine CA, sélectionnez VPN > Certificats > Certificats CA et cliquez sur Importer. lustration 177 : Télécharger un certificat CA
ci-dessous.
Nboîtier Fo
Sujet Informations sur l’ autorité de certificationémettrice.
Icône Supprime un certificat raciFortiGate.
Icône Voir les Détails du Certificat Affiche les détails du certificat.
Sauvegardez une copie du certificat racine CA sur un ordinateur local.
l’installation de certificats
rtificats de l’autorité de certification
Après avoir téléchargé le certificat racine de l’ autori
Il
Télécharger le fichier Entrez le chemin complet et le nom de fichier du certificat
racine CA.
Browse Alternativement, accédez au certificat sauvegardé sur l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.
Guide d’Administration FortiGate Version 3.0 321 01-30001-0203-20060424
Le système affecte un nom unique à chaque certificat. Les noms sont numérotconsécutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.).
és
CRL
hés dans la liste CRL. Le boîtier FortiGate utilise des CRL pour s’assurer de la
Une liste de Révocation de Certificat (CRL) est une liste de souscripteurs de certificat CA et des informations sur le statut du certificat. Les CRL installés sont ffica
validité des certificats appartenant à des AC et à des clients distants. Pour visualiser des CRL installés ou un CRL importé/mis à jour, sélectionnez VPN > Certificats > CRL. lustration 178 : Liste de révocation de certificat Il
Impor porte un CRL. Voir « Importation d’une liste de révocatio
rtificat » ci-dter Im n de
ce essous.
Le Le bo , CRL_
n
Icône Supprimer S
Illustration 179 : Détails d’u
Nom s noms des listes de révocation de certificat existantes.îtier FortiGate affecte des noms uniques (CRL_1, CRL_2
3, etc.) aux listes lors de leur importation.
Sujet I formations sur les listes de révocation de certificat.
upprime le CRL sélectionné de la configuration FortiGate.
n certificat CA
Importation d’une liste de révocation de certificat
Il est conseillé d’accéder régulièrement à des listes de révocation de certificat sur les sites web des AC et de mettre à jour les informations correspondantes sur le boîtier FortiGate pour s’assurer que les clients dont les certificats ont été révoqués ne puissent plus établir de connexions avec le boîtier FortiGate. Après avoir télécharger un CRL d’un site web d’une AC, sauvegardez-le sur un ordinateur qui possède un accès administratif vers le boîtier FortiGate. Pour importer une liste de révocation de certificat, sélectionnez VPN > Certificats > CRL et cliquez sur Importer.
322 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
arger CRL Illustration 180 : Téléch
Télécharger le fichier Entrez le chemin complet et le nom de fichier du CRL.
Browse Alternativement, accédez au CRL sauvegardé sur l’ordinateur d’administration, sélectionnez-le et cliquez sur OK.
Le système affecte un nom unique à chaque CRL. Les noms sont numérotés consécutivement (CRL_1, CRL_2, CRL_3, etc.).
Guide d’Administration FortiGate Version 3.0 323 01-30001-0203-20060424
Utilisateur d’utilisateurs et des serveu l’authentification de l’utilisa ccès aux ressources du
Cette section couvre les s
de l’auth
ilisateurs lo
DIUS
• Serveurs LDAP
Configuration de l’authentification d’un utilisateur L’authentification FortiGate contrôle l’accès par les groupes utilisateurs. La création de groupes d’utilisateurs n’est pas la première étape de la configuration de l’authentification. Vous devez configurer l’authentification d’un utilisateur en respectant l’ordre suivant :
1 Si une authentification externe utilisant des serveurs RADIUS ou LDAP est quise, configurez l’accès à ces serveurs. Voir « Serveurs RADIUS » à la page
26 et « Serveurs LDAP » à la page 327.
2 comptes uutilisateur, le mot de passe
erveur LDAP. Vo .
3 En cas d’utilisation d’un se e Directory pour l’authentification, configure ows AD » à Les u n’ont pas besoin de compt boîtier FortiGate. Vous devez in r les Fortinetréseau Windows.
4 Créez dy des m troisDirectory et VPN SSL.
Paramétrage du timeout d’authentification
Les timeouts d’authentification contrôlent combien de temps une connexion pare-feu authentifiée peut rester inactive avant que l’utilisateur ne doive s’authentifier à nouveau.
Cette section explique comment installer des comptes utilisateurs, des groupes rs d’authentification externes. Certains composants deteur permettent de contrôler l’a
réseau.
ujets suivants :
• Configuration entification d’un utilisateur
• Comptes ut caux
• Serveurs RA
• Serveurs Windows AD
• Groupe d’utilisateurs
• Configuration de paires et de groupes paires
re3
Configurez des tilisateurs locaux dans Utilisateur > Local. Pour chaque peut être authentifié par le boîtier FortiGate, un serveur
RADIUS ou un s ir « Comptes utilisateurs locaux » à la page 325
rveur Microsoft Windows Activz-en l’accès. Voir « Configuration d’un serveur Wind
la page 329. tilisateurs authentifiés par un serveur Active Directoryes utilisateurs locaux sur le
stalle Server Authentication Extensions (FSAE) sur votre
es groupes d’utilisateurs dans Utilisateur > Groupe utilisateur et ajoutez-embres. Il y a types de groupes d’utilisateurs : Pare-feu, Active
324 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Définir un time
out d’authentification
1
2 aramètres de Timeout Utilisateur, entrez une période de temps en minutes.
Comptes utilisateurs locaux
con authentification.
Illustration 181 : Liste des utilisateurs locaux
Sélectionnez Système > Admin > Settings.
Dans PLe timeout d’authentification par défaut est de 15 minutes.
Sélectionnez Utilisateur > Local pour ajouter des comptes utilisateurs locaux et figurer une
Créer Nouveau Permet d’ajouter un nouveau compte utilisateur local.
Nom des utilisateurs Le nom de l’utilisateur local.
tilisateur.
r
eur.
Type Le type d’authentification à mettre en place pour cet u
Icône Supprimer Supprimer l’utilisateur. Cette icône n’apparaît pas si l’utilisateuappartient à un groupe d’utilisateurs.
Icône Editer Permet d’éditer le compte utilisat
Rema uthentification configurée pour
Edition d’un compte
Séle ur créer un nou er d’un Illus
rque : Supprimer le nom utilisateur supprime également l’a l’utilisateur.
utilisateur
ctionnez Utilisateur > Local et cliquez sur Créer Nouveau poveau compte utilisateur. Vous pouvez également sélectionner l’icône Edit compte utilisateur existant pour visualiser ou modifier ses paramètres.
tration 182 : Options des utilisateurs locaux
Nom odifiez le nom du comp
Dés t utilisateur de
Mot partir d’un mot de passe stocké sur le boîtier FortiGate. Entrez
caractères de long.
LDA er cet utilisateur à partir d’un mot ur LDAP. Sélectionnez le serveur
LDAP. Vous pouvez seulement sélectionner un serveur LDAP
de compte Entrez ou m te.
activer Cochez cette case si vous voulez empêcher ces’authentifier.
de passe Sélectionnez un mot de passe pour authentifier cet utilisateur à
un mot de passe d’au moins 6
P Cochez LDAP pour authentifide passe stocké sur un serve
Guide d’Administration FortiGate Version 3.0 325 01-30001-0203-20060424
qui a été ajouté à la configuration LDAP FortiGate. Voir
DIUS. Vous pouvez seulement sélectionner un serveur RADIUS qui a été ajouté à la configuration RADIUS FortiGate. Voir « Serveurs RADIUS » ci-dessous.
Serveurs RADIUS Si vous avez configuré un support RADIUS et qu’un utilisateur doit s’authentifier à
contacte ce serveur pour r > RADIUS pour configurer les serveurs
« Serveurs LDAP » à la page 327.
RADIUS Cochez RADIUS pour authentifier cet utilisateur à partir d’un mot de passe stocké sur un serveur RADIUS. Sélectionnez le serveur RA
l’aide d’un serveur RADIUS, le boîtier FortiGate authentification. Sélectionnez UtilisateuRADIUS. Le port par défaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS utilise le port 1645, vous pouvez modifier le port RADIUS par défaut à partir de l’interface de ligne de commande. Pour plus d’informations,voir la commande config system global dans le FortiGate CLI Reference. Illustration 183 : Liste des serveurs RADIUS
Créer Nouveau Permet d’ajouter un nouveau serveur RADIUS.
Nom Le nom du serveur RADIUS.
Nom/Adresse IP Le nom de domaine ou l’adresse IP du serveur RADIUS.
e
Configuration d’un s
er Nouveau pour créer une
Icône Supprimer Supprime une configuration de serveur RADIUS. Vous npouvez pas supprimer un serveur RADIUS qui a été ajouté à un groupe d’utilisateurs.
Icône Editer Editer une configuration de serveur RADIUS.
erveur RADIUS
Sélectionnez Utilisateur > RADIUS et cliquez sur Crénouvelle configuration de serveur RADIUS. Vous pouvez également cliquer sur l’icône Editer d’un serveur RADIUS existant pour le modifier. Illustration 184 : Configuration RADIUS
Nom Entrez un nom pour identifier le serveur RADIUS.
Nom/Adresse IP Entrez un nom de domaine ou une adresse IP d’un serveur RADIUS.
Secret Entrez le secret du serveur RADIUS.
326 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Serveurs LDAr à
un
Le boîtier FortiGate supporte la fonctionnalité du protocole LDAP définie dans la
DAP
ctionnez Utilisateur > LDAP pour configurer les serveurs LDAP.
te des serveurs LDAP
P Si vous avez configuré un support LDAP et qu’un utilisateur doit s’authentifiel’aide d’un serveur LDAP, le boîtier FortiGate contacte ce serveur pour authentification. Pour authentifier avec le boîtier FortiGate, l’utilisateur entrenom d’utilisateur et un mot de passe. Le boîtier FortiGate envoie ces informations au serveur LDAP. Si ce serveur peut authentifier l’utilisateur, celui-ci est connecté avec succès au boîtier FortiGate. Si le serveur LDAP ne peut pas authentifier l’utilisateur, la connexion au boîtier FortiGate lui est refusée.
RFC2251 pour la recherche et la validation des noms d’utilisateurs et mots de passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec Lv3. Le support FortiGate LDAP ne couvre pas les fonctionnalités « privées », telle que la notification de la date d’expiration d’un mot de passe, qui est parfois disponiblesur certains serveurs LDAP. Le support FortiGate LDAP ne fournit pas d’informations à l’utilisateur sur les raisons de l’échec de l’authentification. Séle
Illustration 185 : Lis
Créer Nouveau Ajoute un nouveau serveur LDAP.
om Le nom d’identification du serveur LDAP sur le boîtier
Port
Nom Commun nt
rs utilisent un autre l’identifiant tel que uid.
Icône Supprimer serveur LDAP.
NFortiGate.
Nom/Adresse IP Le nom de domaine ou l’adresse IP du serveur LDAP.
Le port utilisé pour communiquer avec le serveur LDAP.
Identifiant L’identifiant nom commun pour le serveur LDAP. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependacertains serveu
Distinguished Name Le distinguished name utilisé pour rechercher des entréesdans le serveur LDAP. Le distinguished name reflète la hiérarchie des classes d’objets des bases de données LDAP au-dessus de l’Identifiant Nom Commun.
Supprime une configuration de
Icône Editer Edite une configuration de serveur LDAP.
Guide d’Administration FortiGate Version 3.0 327 01-30001-0203-20060424
Configuration d’un serveur LDAP
Sélectionnez Utilisateur > LDAP et cliquez sur Créer Nouveau pour créer une nouvelle configuration de serveur LDAP. Vous pouvez également cliquez sur l’icône Editer d’une configuration d’un serveur LDAP existante. Illustration 186 : Configuration d’un serveur LDAP
Nom Entrez ou modifiez un nom d’identification de ce serveur
LDAP.
Nom/Adresse IP nom de d
Port Entrez le port utilisé AP. Par défaut, LDAP u
Identifiant Nom Commun Entrez l’Identifiant Nom Com rveur LDAP. Ce
LDAP cet identifiantutilisent un autre l’id
Distinguished Name Entrez le distinguish eentrées sur le serveur L
nguishle X.500 correct ou ltransfère ce distingu
de
nguished name, par :
Serveurs Windows AD
l’authentification, les boîtiemanière transparente, san e passe. Vous devez pour c tensions
coinformations du serveur W la FSAE Technical Note. Sélectionnez Utilisateur > D pour configurer les serveurs Windows
Entrez un omaine ou une adresse IP du serveur LDAP.
pour communiquer avec le serveur LDtilise port 389.
mun pour le sechamp est limité à 20 caractères. Pour la plupart des serveurs
est cn. Cependant certains serveurs entifiant tel que uid.
ed name utilisé pour rech rcher des DAP.
Entrez le disti ed name de base pour le serveur utilisant e format LDAP. Le boîtier FortiGate ished name inchangé au serveur.
Par exemple, vous pouvez utiliser le distinguished namebase suivant : ou=marketing,dc=fortinet,dc=com où ou est le département dans l’organisation et dc, le composant du domaine. Vous pouvez également spécifier des instances multiples du même champ dans le distiexemple, pour spécifier de multiples unités organisationnelles ou=account,ou=marketing,dc=fortinet,dc=com.
Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour rs FortiGate peuvent authentifier les utilisateurs de s avoir à leur demander leur compte utilisateur et mot dela installer le Fortinet Server Authentication Ex
(FSAE) sur le réseau et nfigurer le boîtier FortiGate pour retrouver les indows AD. Pour plus d’informations sur le FSAE, voir
Windows AAD.
328 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 187 : Liste de rveurs Windows AD se
Les adresses IP et les ports TCP d’agents collecteurs (jusqu’à a connexion au
Icône Supprimer Supprime ce serveur Windows AD.
Icône Editer Edite ce serveur Windows AD.
Icône Rafraîchir Fournit des informations sur les groupes et domaines à partir du serveur Windows AD.
Configuration d’un serveur Windows AD
>n
propos de FSAE, voir la F Illustration 188 : Configura
Créer Nouveau Permet d’ajouter un nouveau serveur Windows AD.
FortiClient AD Le nom du serveur Windows AD avec FSAE. Vous pouvez étendre le nom du serveur pour afficher les informations du groupe et domaine Windows AD.
dresse IP Amaximum 5) qui envoient des informations sur lserveur Windows AD au boîtier FortiGate.
Sélectionnez Utilisateur Windows AD et cliquez sur Créer Nouveau pour créer une nouvelle configuratio de serveur Windows AD. Pour plus d’informations à
SAE Technical Note.
tion du serveur Windows AD
FortiClie om pour le serveur Windows AD. Ce nom apparaît
éez des
Server #
IP ws AD où cet agent
s AD. Ce doit être le e spécifié dans la configuration de
e
nt AD Entrez un ndans la liste des serveurs Windows AD lorsque vous crgroupes d’utilisateurs.
1 - # 5 Entrez les informations suivantes des agents collecteurs(maximum 5 agents collecteurs).
Adresse Entrez l’adresse IP du serveur Windocollecteur est installé.
Port Entrez le port TCP utilisé pour Windowmême que le port FortiGatl’agent collecteur FSAE.
Mot de pass Entrez le mot de passe pour l’agent collecteur. Ceci est requis uniquement si vous avez configuré votre agent collecteur FSAE pour qu’il requiert un accès authentifié.
Guide d’Administration FortiGate Version 3.0 329 01-30001-0203-20060424
Groupe d’utilisateurs Un grou eurs eêtre :
• un compte utilisateur local (compte utilisateur et mot de passe) stocké sur le
• un compte utilisateur local avec mot de passe stocké sur un serveur RADIUS
eur RADIUS ou LDAP (toutes les identités sur le serveur peuvent
ans la plupart des cas, le boîtier FortiGate authentifie les utilisateurs en requérant te vérifie d’abord les
comptes utilisateurs locaux. En absence de correspondance, le boîtier FortiGate é ifie les serveurs RADIUS et LDAP qui appartiennent au groupe d’utilisateurs.
éussit lo
Pour un groupe d’utilisateu ctory, le serveur Active Directory
rs lorsqu’il
ous pouvez configurer les
feu qu
Voir « Ajout d’une auth à la page 238.
• des VPN SSL sur le boîtier FortiGate
Voir « Options des règles pare-feu VPN SSL » à la page 243.
• des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup.
Voir « Création d’une nouvelle configuration phase 1 » à la page 296.
• de XAuth pour les configurations Phase 1 VNP IPSec
Voir XAUTH dans « Définition des paramètres avancés de la phase 1 » à la page 299.
• de la configuration PPTP FortiGate
Voir « Plage PPTP » à la page 312.
• de la configuration L2TP FortiGate
Configurable uniquement à partir de la commande CLI config vpn 12tp. Voir le FortiGate CLI Reference.
• d’une connexion administrateur via une authentification RADIUS
Voir « Configuration d’une authentification RADIUS des administrateurs » à la page 169.
• des groupes override du Filtrage Web FortiGuard
Voir « Filtrage Web FortiGuard » à la page 378.
pe d’utilisat st une liste d’identités d’utilisateurs. Une identité peut
boîtier FortiGate
ou LDAP
• un servs’authentifier)
• un groupe d’utilisateurs défini sur un serveur Microsoft Active Directory (AD)
Dleur compte utilisateur et mot de passe. Le boîtier FortiGa
v rL’authentification r rsque la correspondance du compte utilisateur et du mot de passe a lieu.
rs Active Direauthentifie les utilisateu s se connectent au réseau. Le boîtier FortiGatereçoit les noms et adresse IP des utilisateurs de l’agent collecteur FSAE. Pour plus d’informations sur le FSAE, voir FSAE Technical Note.
groupes d’utilisateurs pour fournir un accès authentifié Và :
• des règles pare- i requièrent une authentification
entification aux règles pare-feu »
330 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
quels groupes utilisateurs ner le nombre et l’a embres concernés
en
Types de groupe d’utilisateurs
lisateurs pare-feu fournit un accès à une règle pare-feu qui requiert hentification de type pare-feu et comprend le groupe d’utilisateurs parmi les
boît e passe des membres du grressources protégées par d’une authentification aux
tilisateurs pa s dialup. Da
utilise l’ID paire Accept dal’utilisateur est configuré a
uniquement si son compte s autorisé et que le mot de pUn groupe d’utilisateurs ne pe t pas être un groupe dialup si l’un des membres est
uthentifié à partir d’un serveur RADIUS ou LDAP. Pour plus d’informations, voir uvelle 296.
sateurs pa r fournir des privilèges s options override
r des informations la page
ur un réseau Microsoft Windows, le boîtier FortiGate peut permettre l’accès aux membres de groupes utilisateurs d’un serveur Active Directory qui ont été authentifiés sur le réseau Windows. Le FSAE (Fortinet Server Authentication Extensions) doit être installé sur les contrôleurs du domaine du réseau. Un groupe d’utilisateurs Active Directory fournit un accès à une règle pare-feu qui requiert une authentification de type Active Directory et comprend le groupe d’utilisateurs parmi les groupes autorisés. Les membres du groupe d’utilisateurs sont des groupes Active Directory que vous sélectionnez dans une liste que le boîtier FortiGate reçoit des serveurs Windows AD que vous avez configurés. Voir « Serveurs Windows AD » à la page 328. Un groupe d’utilisateurs Active Directory ne peut pas bénéficier des privilèges override FortiGuard ou d’un accès VPN SSL.
Pour chaque ressource qui nécessite une authentification, vous devez spécifieront une permission d’accès. Vous devez également dhésion des groupes d’utilisateurs mdétermi
pour vos besoins d’auth tification.
Il existe trois types de groupes d’utilisateurs :
Groupe d’utilisateurs pare-feu
Un groune aut
pe d’utiugroupes autorisés. Le ier FortiGate requiert le compte utilisateur et mot d
oupes lorsque l’utilisateur tente d’accéder aux la règle pare-feu. Pour plus d’informations, voir « Ajout règles pare-feu » à la page 238.
Un groupe d’u re-feu peut également fournir un accès à un VPN IPSecaux utilisateur ns ce cas, la configuration de la phase 1 VPN IPSec
ns l’option paire groupe dialup. Le client VPN de vec comme compte utilisateur l’ID du paire et comme
mot de passe la clé partagée. L’utilisateur arrive à se connecter au VPN IPSec utilisateur est membre d’un groupe d’utilisateurasse corresponde à celui stocké sur le boîtier FortiGate.
ua« Création d‘une no configuration phase 1 » à la page Un groupe d’utili re-feu peut être utilisé poud’override pour le filtrage web FortiGuard. Voir « Configuration deFortiGuard pour un groupe d’utilisateurs » à la page 334. Poudétaillées sur FortiGuard Web Filter, voir « Filtrage Web FortiGuard » à378.
Groupe d’utilisateurs Active Directory
S
Guide d’Administration FortiGate Version 3.0 331 01-30001-0203-20060424
Groupe d’utilisateurs VPN SSL
Un groupe d’utilisateurs VPN SSL fournit un accès à une règle pare-feu qui requiert une authentification de type VPN SSL et comprend le groupe d’utilisateurs parmi les groupes autorisés. Les comptes utilisateurs locaux, ainsi que les
requiert le nom du compte utilisateur et son mot de passe rsque l’utilisateur accède au portail web VPN SSL. Les paramètres du groupe
ur les fonctionnalités VPN SSL. Voir « Configuration des options d’un groupe d’utilisateurs VPN SSL » à la page 335. Un group utilisateurs VPN SSL peut également fournir un accès aux utilisateurs dial s ce cas, la configuration phase 1 VPN IPSec utilise l’ide epter configuré dans l’option du groupe de paires. Le client VPN de l’utilisateur est configuré avec comme compte utilisateur l’IP du paire et comme mot de passe, la clé partagée. L’utilisateur arrive à se connecter au VPN IPS urs auto e boîtier FortiGate. Un groupe d’utilisateurs ne peut pas être un groupe dialup si l’un des membres est authentifié à partir d’un serveur RADIUS ou LDAP. Pour plus
Liste de groupes
serveurs RADIUS et LDAP peuvent être membres d’un groupe d’utilisateurs VPN SSL. Le boîtier FortiGatelod’utilisateurs comprennent des options po
e d’up VPN IPSec. Danntifiant du paire à acc
ec uniquement si le compte utilisateur est membre d’un groupe d’utilisaterisé et que le mot de passe corresponde à un mot de passe stocké sur l
d’informations, voir « Création d‘une nouvelle configuration phase 1 » à la page 296.
d’utilisateurs
Sélectionnez Utilisateur > Groupe utilisateur pour configurer des groupes d’utilisateurs. Illustration 189 : Liste des groupes d’utilisateurs
Créer Nouveau Permet d’ajouter un nouveau groupe d’utilisateurs.
r
Supprime le groupe d’utilisateurs. Vous ne pouvez pas supprimer un groupe d’utilisateurs repris dans une règle pare-feu, une configuration phase 1 d’un utilisateur dialup ou une configuration PPTP ou L2TP.
Icône Editer Edite l’adhésion d’un membre et les options du groupe.
Nom des groupes Le nom du groupe d’utilisateurs. Les noms sont répertoriés patype de groupe d’utilisateurs : Pare-feu, Active Directory et VPN SSL.
Membres Les utilisateurs et serveurs RADIUS ou LDAP du groupe d’utilisateurs.
Profil de protection Le profil de protection associé à ce groupe d’utilisateurs.
ône SupprimerIc
332 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration d’u
Sélectionnez Utilisateur > Groupe utilisateur et cliquez sur Créer Nouveau ou s ’un groupe existant pour s o I e d
n groupe d’utilisateurs
ur l’icône Editer d configurer ses membres et autreptions.
llustration 190 : Configuration d’un group ’utilisateurs
Nom Entrez le nom du groupe d’utilisateurs.
T type du groupe d’utilisateurs : Voir « Types de teurs » à la page 331.
Firewall Vous pouvez sélectionner ce groupe pour chaque règle pare-feu requérant une authentification pare-feu. Voir « Ajout
ne authentification aux règles pare-feu » à la page 238.
Vous pouvez sélectionner ce groupe pour chaque règle pare-feu requérant une authentification Active Directory. Voir « Ajout d’une authentification aux règles
SSL-VPN er ce groupe pour chaque règle pare-feu dont l’Action est définie sur SSL-VPN. Voir « Options des règles pare-feu VPN SSL » à la page 243.
ction Disponible uniquement si le type est Firewall ou Active Directory. Sélectionnez un profil de protection pour ce groupe d’utilisateurs. Vous pouvez sélectionner Créer Nouveau pour
LDAP
s et cliquez sur la flèche
. Sélectionnez le nom d’un utilisateur ou d’un a liste des Membres et cliquez sur la flèche
ype Sélectionnez legroupe d’utilisa
d’u
Active Directory
pare-feu » à la page 238.
Vous pouvez sélectionn
Profil de prote
créer un nouveau profil de protection.
Utilisateurs disponibles La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP qui peuvent être ajoutés à un groupe d’utilisateurs.
Membres La liste des utilisateurs, serveurs RADIUS ou serveursqui appartiennent à un groupe d’utilisateurs.
Bouton Flèche Droite Permet d’ajouter un utilisateur ou un serveur à la liste des Membres. Sélectionnez le nom d’un utilisateur ou d’un serveur dans la liste Utilisateurs Disponibledroite pour le transférer dans la liste des Membres.
Bouton Flèche Gauche Permet de supprimer un utilisateur ou un serveur de la listedes Membresserveur dans l
Guide d’Administration FortiGate Version 3.0 333 01-30001-0203-20060424
gauche pour le transférer dans la liste des Utilisateurs Disponibles.
Override du filtrage web Ceci est uniquement disponible si le Type est défini sur FortiGuard Firewall. Permet de configurer les options override du filtrage
web FortiGuard pour ce groupe. Voir « Configuration des
Ceci est uniquement disponible si le Type est défini sur VPN SSL. Pour des instructions détaillées à propos de la
configuration du mode web ou du mode tunnel, voir le FortiGate SSL VPN User Guide.
options override FortiGuard pour un groupe d’utilisateurs » ci-dessous.
Options de groupe d’utilisateurs SSL-VPN
Remarque : Si vous tentez d’ajouter des serveurs LDAP ou des utilisateurs locaux à un groupe configuré pour une authentification d’administrateurs, un message d’erreur s’affiche.
Configuration des options override FortiGuard pour un groupe d’utilisateurs
web FortiGuard
Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l’icône Editer d’un groupe d’utilisateurs pare-feu. Afficher la section Override du filtrage Web FortiGuard. Illustration 191 : Configuration de l’override du filtrage
Permettre l’override du Les membres de ce groupe peuvent solliciter l’override
(l’ignorance
filtrage Web FortiGuard ) de la page de blocage du filtrage Web FortiGuard. exion doit avoir
me vent
ilter Block Override
pe
Utilisateur L’utilisateur seul
IP N’importe quel utilisateur à l’adresse IP de l’utilisateur
sateur
Demander L’utilisateur en cours d’authentification choisit l’override
du directory dans l’URL
site web
Catégories à la catégorie FortiGuard
Le profil de protection pare-feu gérant la connactivé l’override de FortiGuard.
Le profil de protection désigne un groupe d’utilisateurs comgroupe Override. Les membres de ce groupe Override peuauthentifier sur la page FortiGuard Web Fpour accéder au site bloqué.
Pour plus d’informations détaillées, voir « Filtrage Web FortiGuard » à la page 378.
Override Sco L’override peut s’appliquer au seul utilisateur qui sollicite l’override ou en comprendre d’autres. Choisissez entre :
Groupe Le groupe d’utilisateurs auquel appartient l’utilisateur d’utilisateurs
Profil N’importe quel utilisateur sur le sous-réseau de l’utili
Type d’Override Choisissez pour permettre l’accès :
Directory uniquement au niveau le plus bas
Domaine à l’intégralité du domaine du
334 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Demander L’utilisateur en cours d’authentification choisit le type d’override
Cextérieurs du site bloqué :
peut suivre les liens des autres sites.
Interdit L’utilisateur peut uniquement suivre les liens vers les destinations définies par le type d’Override.
Demander L’utilisateur en cours d’authentification choisit de permettre
Etablissez la durée de l’override.
Constant Définissez la durée de l’override en jours, heures, minutes.
Demander L’utilisateur en cours d’authentification détermine la durée de l’override. La durée que vous définissez est la durée maximum.
Configuration des options des groupes d’utilisateurs VPN SSL
Sélectionnez Utilisateur > Groupe Utilisateur et cliquez sur l’icône Editer d’un groupe d’utilisateurs VPN SSL. Affichez la section Options de groupe d’utilisateurs VPN SSL. Pour des instructions détaillées sur la configuration en mode web et mode tunnel, voir le FortiGate SSL VPN User Guide. Illustration 192 : Options de groupe d’utilisateurs VPN SSL
Off-site URLs hoisissez si l’utilisateur peut accéder aux liens des sites
Autorisé L’utilisateur
l’accès aux liens de sites extérieurs.
Override Time
Activer le service Activer pour permettre aux utilisateurs de ce groupe de se tunnel SSL-VPN connecter au réseau derrière le boîtier FortiGate utilisant le
tunnel VPN SSL. Ceci n’est pas disponible en mode Transparent.
Vérifier si le FortiClient Permettre au client de se connecter seulement s’il est installé et fonctionne fonctionne avec le FortiClient Host Security Software. Pour
plus d’informations à propos de ce software, visitez le site de Documentation Technique Fortinet.
Vérifier la présence Permettre au client de se connecter seulement si un logiciel d’un antivirus tiers antivirus Norton (Symantec) ou McAfee est installé. Cette
option n’est pas disponible si vous sélectionnez Vérifier si le FortiClient est installé et fonctionne.
Guide d’Administration FortiGate Version 3.0 335 01-30001-0203-20060424
Vérifier la présence Permettre au client de se connecter seulement si un logicied’un firewall logiciel ti
l ers pare-feu Norton (Symantec) ou McAfee est installé. Cette
option n’est pas disponible si vous sélectionnez Vérifier si le FortiClient est installé et fonctionne.
indre la plage IP
du tunnel pour ce groupe N > SSL > Config.
ation
Proxy HTTP/HTTPS z Web Application, activez chaque applications
upe.
Cache Clean t la déconnexion. Ceci
s’effectue grâce à un contrôle ActiveX téléchargé et fonctionne 000 et
Le
r web de cette URL doit se trouver sur le réseau privé
e
Configuration
ntification dans certaines configurations VPN. Pour ce faire, utilisez les
Restre Entrez les adresses IP de début et de fin de la plage intervalle pour ce groupe si vous désirez un override de la plage Tunnel IP définie dans VP
Activer Web Applic Activez le portail web pour fournir un accès aux application
web. Ceci n’est pas disponible en mode Transparent.
Si vous activeFTP dont l’accès est permis aux utilisateurs de ce gro
(applet) TelnetSamba Activer Enlève tous les fichiers temporaires Internet créés sur
l’ordinateur client entre la connexion e
uniquement avec Internet Explorer sur Windows 2Windows XP.
Redirect URL Facultativement, ouvrez une deuxième fenêtre de navigation
vers cette URL lorsque la page du portail VPN SSL s’ouvre. serveuderrière le boîtier FortiGate.
Vous pouvez également modifier la page de connexion du portail web VPN SSL. Pour plus d’informations, voir « Modification du message de connexion VPN SSL » à la pag165.
Personnaliser le Entrez le message personnalisé à afficher sur la page de message du portail garde du portail pour ce groupe. pour ce groupe
de paires et de groupes de paires Vous pouvez définir des paires et des groupes de paires utilisés pour ’authelcommande CLI config user paire et config user peergrp. Pour davantage d’informations, voir le chapitre « User » du FortiGate CLI Reference.
336 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Antivirus
• Antivirus
• Modèles de Fichier
• Mise en Quarantaine
Configuration
figuration de l’Anti
Antivirus Le traitement Antivirus comprend des modules et des appliances variés exécutant
es séparées. Le b raitements antivirus dans ition des fonctionnalités dans le menu de l’interface d’administration e fichier, analyse antivirus, et grayware, suivis par heuristique,
e rk
,
e dans
Cette section décrit comment configurer les options antivirus associées aux profils de protection pare-feu. Cette section couvre les sujets suivants :
•
• Con virus à partir de l’interface de ligne de commande
des tâch oîtier FortiGate procède aux tl’ordre d’apparweb : modèle dconfigurable uniquement à partir de l’interface de ligne de commande. Les services FortiGuard-AntivirusTM constituent d’excellentes ressources offrant des mises à jour automatiques des bases de données antivirus et IPS, de mêmque de l’antispam local DNSBL, et ce, à partir du FortiGuard Distribution NetwoFDN). Par ailleurs, le Centre FortiGuard fournit une encyclopédie FortiGuard-(
Antivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de détailsvisitez le site de la Base de Connaissance Fortinet où vous trouverez également un lien vers le Centre FortiGuard. La connexion entre le boîtier FortiGate et le Centre FortiGuard se configurSystème > Maintenance > FortiGuard Center. Voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier Ffonctionnalités antivirus sont configurées globalement. Po
ortiGate, les ur accéder à ces fonctionnalités,
sélectionnez Configuration Globale dans le menu principal. Alors que des paramètres antivirus sont configurés pour une utilisation globale, des paramètres spécifiques peuvent être implémentés pour chaque profil. Le tableau 34 compare les options antivirus des profils de protection et les paramètres du menu antivirus.
Guide d’Administration FortiGate Version 3.0 337 01-30001-0203-20060424
Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus Options antivirus des Profils de Protection
Paramètres Antivirus
Analyse antivirus Antivirus > Config > Liste de Virus Activer ou désactiver l’analyse antivirus pour chaque protocole (http, FTP, IMAP, POP3, SMTP, IM).
Visualiser une liste (en lecture uniquement) des virus actuels.
Modèle de fichier Antivirus > File Pattern Activer ou désactiver le traitement de modèle de Fichier (File Pattern) pour
Configurer des modèles de fichier pour bloquer o
chaque protoc modèles peuvent aussi être activés ou ole. u autoriser ces fichiers. Des
désactivés individuellement. Mise en Qu Antivirus > Mise en Quarantaine arantaine Activer ou désactiver la mis quarantaine
haque protocole. Cetnible sur les boîtiers a
local ou un FortiAnalyzer co
Visualiser et trier la liste des fichiers en
er
e enpour c te option est dispo vec un disque
nfiguré.
quarantaine, configurer des modèles de fichier pour téléchargement automatique vers Fortinet pour analyse et configurles options de quarantaine dans Antivirus.
Passer les emails fragmentés Activer ou désactiver le pas
emails fraglysés c
sage d’emails fragmentés. Les mentés ne peuvent pas être ana ontre les virus. Option « Comfort Client » Activer ou désactiver cette otrafic HTTP et FTP. Etablir uun volume en octets pour dél’option de comfort client.
ption pour le n intervalle et clencher
Fichier/Mail surdimensionné Configurer le boîtier FortiGaou autoriser les fichiers et msurdimensionnés pour chaq
es seuils de taille po pour chaque protocole
te pour bloquer ails
ue protocole. Etablir d ur les fichiers et mails dans Antivirus. Antivirus > Config > Grayware iver ou désactiver le blocage de Act
grayware par catégorie. Ajouter une signature aux mails sortants. Crée e à ajouter aux mails sortants (SMT ment).
r et activer une signaturP seule
Modèles de FLa configuration de modèl ermet de bloquer tous les
ers potentiellement mepeuvent être bloqués sur bLe blocage de modèles de r des
nus potentiellement d
ichier es de fichier (File Pattern) p
fichi naçants et empêcher les attaques et virus. Les fichiers ase du nom, de l’extension ou tout autre caractéristique. nom de fichier offre la flexibilité de bloque
conte angereux.
Remarque : Les entrées de m e sont pas sensibles à la casse des
ge
odèles de fichier ncaractères (lettre majuscule/minuscule). Par exemple, ajouter *.exe à une liste de modèles de fichier entraîne un bloca de tous les fichiers se terminant par .EXE.
338 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
En cas d’opération rd, vous pouvez choisir de désactiver File Pattern dae l’activer temp
standa ns le Profil de Protection et d orairement pour bloquer les menaces
d elles ap
Le boîtier FortiGate bloque les fichiers qui correspondent à un modèle de fichier
tivés, le boîtier FortiGate bloque les r activés et ne procède pas à une
spécifiques quan paraissent.
spécifique et affiche un message de remplacement à la place. Le boîtier FortiGateenregistre un message dans le Journal Virus et peut être configuré pour envoyer un message d’alerte.
Si File Pattern et Virus Scan sont tout deux acfichiers correspondants aux modèles de fichieanalyse des virus.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, électionnez Configuration Globale dans le menu principal.
Visualisation du cplus uniquement
c profil de protection. Pour visualiser le catalogue des listes de modèles de
fichier
s
atalogue de la liste des modèles de fichier (FortiGate-800 et )
Les modèles FortiGate-800 et plus prévoient la possibilité d’ajouter des listes de modèles de fichier et de sélectionner ensuite la liste la plus appropriée pour haque
fichier, sélectionnez Antivirus > File Pattern. Pour visualiser une liste de modèles de fichier, cliquez sur l’icône Editer de la liste. Illustration 193 : Echantillon d’un catalogue de listes de modèles de
Remarque : Le catalogue des listes de Modèles de Fichier par défaut s’appelle builtin-
Nom
aque liste.
Commentaire facultative de chaque liste.
Icône Supprimer Permet de retirer la liste du catalogue. Cette icône n’est pas ste est reprise dans un profil de
Sélectionnez les listes de modèles de fichier dans les profils de protection. Pour
lus d’informations, voir « Options Antivirus » à la page 282.
patterns.
Créer Nouveau Permet d’ajouter une nouvelle liste de modèles de fichier au catalogue.
Les listes de modèles de fichier disponibles.
# entrées Le nombre de modèles de fichier dans ch
Profils Les profils de protection auxquels la liste a été appliquée.
Description
disponible lorsque la liprotection.
Icône Editer Permet d’éditer des informations de la liste de modèles defichier telles que le nom de la liste ou le commentaire.
p
Guide d’Administration FortiGate Version 3.0 339 01-30001-0203-20060424
Création d’une no le liste de mouniquement)
Pour ajouter une liste de modèles de fichier dans le catalogue, sélectionnez Antivirus > File Pattern et cliquez sur Créer Nouveau.
uvel dèles de fichier ( FortiGate-800 et plus
Illustration 194 : Nouvelle liste de modèles de fichier
Nom Entrez un nom pour cette nouvelle liste.
Commentaire Entrez un commentaire pour décrire cette liste si nécessaire.
Visualisation de l
Pour visualiser la liste de modèles de fichier sur les modèles FortiGate-500 et ins, sélectionnez Antivirus > File Pattern.
Illustration 195 : Liste des modèles de fichier par défaut pour les modèles FortiGate-500 et moins
a liste de modèles de fichier
m
o
Pour visualiser la liste des modèles de fichier sur les modèles FortiGate-800 et plus, sélectionnez Antivirus > File Pattern et cliquez sur l’icône Editer de la liste à visualiser.
340 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 196 : Echantillon d’une liste de modèles de fichier pour les modèlesFortiGate-800 et plus
-
Nom Le nom de la liste. Pour modifier le nom, éditez le texte
ce dans
champ et cliquez sur OK. Le champ Nom apparaît sur les modèles FortiGate-800 et plus.
Commentaire Commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ commentaire et cliquez sur OK.
800 et plus.
Filtre
Activer fichier.
Icône Supprimer
Icône Editer et son action.
Icône Déplacer
Les fichiers sont comparésd’apparition dans la liste, dpas à l’un de modèles de fi ).
assent s’ils ne sont pas explicitement bloqués.
L’action Autoriser permet de renverser la procédure, en bloquant tous les fichiers sauf ceux précisés explicitement. Entrez tous les modèles de fichier que vous voulez laisser passer associés à l’attribut Autoriser. A la fin de la liste, ajoutez le méta-caractère (*.*) associé à l’action Autoriser. Les fichiers autorisés passent à travers l’analyseur de virus (si activé) alors que les fichiers ne correspondant à aucun modèle de fichier sont bloqués grâce au méta-caractère ajouté à la fin de la liste.
ur les modèles FortiGate-500 et moins, la liste des modèles de fichier est
• Les fichiers exécutables (*.bat, *.com, *.exe)
• Les librairies dyna
cations H
Le champ commentaire apparaît sur les modèles FortiGate-
Créer Nouveau Permet d’ajouter un nouveau modèle à la liste.
La liste actuelle des modèles de fichier.
Action Les fichiers correspondants aux modèles de fichier peuvent être définis sur Bloquer ou Autoriser.
Décochez la case pour désactiver le modèle de
Permet de retirer le modèle de fichier de la liste.
Permet d’éditer le modèle de fichier
Permet de modifier la position du modèle de fichier dans la liste.
aux modèles de fichier activés, et ce dans leur ordre e haut en bas. Dans le cas où un fichier ne correspond chier spécifiés, il subit une analyse virale (si activée
Les fichiers p
Spréconfigurée avec les modèles par défaut suivants :
• Les fichiers compressés ou archivés (*.gz, *.rar, *.tar, *.tgz, *.zip)
miques (*.dll)
• Les appli TML (*.hta)
Guide d’Administration FortiGate Version 3.0 341 01-30001-0203-20060424
• Les fichiers Micros
chiers Visua
• Les fichiers Scree
• Les fichiers d’infor
Les modèles de fichier sond’information, voir « Option
Configuration de la liste de modèles d
es de fichier peu e long. Une liste peut contenir maximum de 5000 modèles de fichier.
oft Office (*.doc, *.ppt, *.xl)
• Les fichiers Microsoft Works (*.wps)
• Les fi l Basic (*.vb)
n Saver (*.scr)
mations de programmes (*.pif)
t activés dans les profils de protection. Pour plus s Antivirus » à la page 282.
e fichier
Les modèl vent faire 80 caractères dun Pour ajouter un nouveau modèle de fichier, cliquez sur Créer Nouveau. Pour éditer un modèle de fichier existant, cliquez sur l’icône Editer associée au modèle. Illustration 197 : Nouveau modèle de fichier
Pattern Entrez le modèle de fichier. Celui-ci peut correspondre au n
exacte d’un fichier ou inclure des méta-caractères.
Action Sélectionnez un type de modèle de la liste déroulante :Wildcard ou Expression régulière.
om
ctiver Cochez pour activer le modèle.
Mise en Quarantaine es uts
ortiGate non munis d’un disque local peuvent placer en quarantaine alyzer. Les fichiers stockés
s pour visualisation. Pour configurer un boîtier FortiAnalyzer, sélectionnez Journaux/Alertes > Configuration > Configuration du Journal.
A
Les boîtiers FortiGate munis d’un disque local peuvent placer en quarantaine dchiers bloqués ou infectés. Vous pouvez visualiser le nom du fichier et ses statfi
dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des fichiers spécifiques et d’ajouter des modèles de fichier à la liste de soumission automatique pour un téléchargement automatique vers Fortinet pour analyse.
es boîtiers FLdes fichiers bloqués ou infectés sur un boîtier FortiAnsur un FortiAnalyzer peuvent êtres récupéré
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités antivirus sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
342 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation de l
s pouvez trier les fichiers par nom de fichier, date, service, état,
écompte (DC) ou time to live (TTL). Il est également possible de filtrer la liste
Pour visualiser la liste des Fichiers mis en quarantaine, sélectionnez Antivirus > iers en quarantaine.
a liste des Fichiers mis en Quarantaine
La liste des fichiers mis en quarantaine affiche des informations à propos de chaque fichier mis en quarantaine pour cause d’infection par virus ou de blocagede fichiers. Voudselon l’état ou le service du fichier en quarantaine.
Mise en Quarantaine > Fich Illustration 198 : Liste des fichiers mis en quarantaine
Cette liste comporte les fonctionnalités suivantes et affiche les informations suivantes pour chaque fichier mis en quarantaine : Appliquer Permet d’appliquer les sélections de tri et de filtrage à la liste.
, e
igurable à partir de l’interface de ligne de
ichier Le nom du fichier en quarantaine. Lorsqu’un fichier est mis en quarantaine, tous les espaces sont enlevés du nom du fichier et une somme de vérification de 32-bit est exécuté sur le fichier. La somme de vérification apparaît dans le message de remplacement mais pas dans le fichier en quarantaine. Le fichier est stocké sur le disque dur du FortiGate avec la convention suivante :
<32bit_CRC>.<processed_filename>
Par exemple, un fichier du nom de Over Size.exe est stocké sous
3fc155d2.oversize.exe
Date La date et l’heure de la mise en quarantaine du fichier, sous le format jj/mm/aaaa hh:mm. Cette valeur indique le moment auquel le premier fichier a été mis en quarantaine si le décompte augmente.
Service Le service à partir duquel le fichier a été mis en quarantaine (HTTP, FTP, IMAP, POP3, SMTP, IM).
Etat La raison pour laquelle le fichier a été mis en quarantaine : contaminés, heuristiques ou filtrés.
Description du statut Informations spécifiques relatives à l’état, par exemple « File is infected with « W32/Klez.h » » ou « File was stopped by file block pattern ».
Classer par Trie la liste. Choisissez entre Etat, Service, Nom du FichierDate, TTL ou décompte. Cliquez sur Appliquer pour lancer ltri.
Filtre Filtre la liste. Choisissez entre Etat (contaminés, heuristiques, filtrés) ou service (IMAP, POP3, SMTP, FTP ou HTTP). Cliquez sur Appliquer pour lancer le filtrage. Le mode heuristique est confcommande seulement. Voir « Configuration de l’Antivirus à partir de l’interface de ligne de commande » à la page 350.
Nom du F
Guide d’Administration FortiGate Version 3.0 343 01-30001-0203-20060424
DC Duplicate count - Décompte. Le nombre de duplicata du même fichier mis en quarantaine. Un nombre augmentant rapidement peut être un signal de la présence d’un virus.
TTL Time to live sous le format hh:mm. Une fois le TTL écoulé, le boîtier FortiGate nomme le fichier EXP sous l’en-tête TTL. Dans le cas de duplicata de fichiers, chaque duplicata trouvé rafraîchit le TTL.
Statut du téléchargement Un Y indique que le fichier a été téléchargé vers Fortinet pour analyse. Un N signifie que ce fichier n’a pas été téléchargé.
Icône Supprimer Permet de retirer un fichier de la liste.
Icône Télécharger Permet de télécharger le fichier correspondant dans son format original.
Icône Soumettre Permet de soumettre un fichier suspect à Fortinet pour analyse.
Remarque : Les duplicatas de fichiers (basés sur la somme de vérification) ne sont pastockés, seulement comptés. La valeur TTL et le comptage de duplicata sont mis à jouchaque fois qu’un fichier est trouvé.
s r à
Visualisation de la liste de soumission automatique
conf s automatiquement r des modèles de fichier éta-
tères (* ou ?tenir compte des p Téléchargez les fisoumettez des fich is en
ntaine. Le bo les fichiers à un serve Cette option est disponible uniquement sur les boîtiers FortiGate munis d’un disque
Pour visualiser la Antivirus > Mise
rantaine >
Illustration 199 : Echantillon d’une liste de soumission automatique
Vous pouvez igurer le boîtier FortiGate pour télécharger les fichiers suspectvers Fortinet pour analyse. Vous pouvez également ajoute à la liste de soumission automatique en utilisant les m
carac ). Les modèles de fichier sont appliqués à l’AutoSubmit, sans aramètres de blocage de fichier.
chiers vers Fortinet selon l’état (filtré ou heuristique) ou iers individuels directement à partir de la liste des fichiers m
quara îtier FortiGate utilise des mails cryptés pour soumettreur SMTP à partir du port 25.
local.
liste de soumission automatique, sélectionnez en Qua Soumission automatique.
Permet d’ajouter un nouveau modèle de fichier à la liste de soumission automatique.
Créer Nouveau
e fichier ée éez un modèle en utilisant les méta-
Icône Supprimer
Nom d La liste en cours de modèles de fichier qui sera téléchargautomatiquement. Crcaractères ? ou *. Cochez la case pour activer tous les modèles de fichier de la liste.
Permet de retirer une entrée de la liste.
344 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Icône Permet d’éditer les informations suivantes : Modèle de Fichieet Activer.
Editer r
Configuration de la liste de soumission automatique
Pour ajouter un msélectionnez Antiv Illustration 200 : Nou
odèle de fichier à une liste de soumission automatique, irus > Mise en Quarantaine > Soumission automatique.
veau modèle de fichier
Entrez le modèle de fic
Filtre hier ou le nom de fichier à télécharger
Activer
automatiquement vers Fortinet.
Sélectionnez pour activer le modèle de fichier.
Remarque : Pour activer un téléchargement automatique des modèles de fichier configurés, sélectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le téléchargement automatique et sélectionnez Utiliser les filtres de nom.
Configuration des
ions de configuration de mise en quarantaine, notamment le choix de mettre en
ine ou pas les fichiers contaminés ou filtrés et à partir de quel service. z le TTL et les valeurs de taille de fichiers et activez les paramètres
AutoSubmit. Illustration 201 : Configuration de la mise en Quarantaine (FortiGate avec disque local)
options de mise en quarantaine
Sélectionnez Antivirus > Mise en Quarantaine > Config pour définir des opt
quarantaConfigure
Guide d’Administration FortiGate Version 3.0 345 01-30001-0203-20060424
Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer d’un FortiGate avec disque local)
Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer d’un FortiGate sans disque local)
Remarque : Les options NNTP ne peuvent pas être sélectionnées. Un support sera ajouté dans l’avenir.
La configuration de la mise en quarantaine offre les options suivantes : Options Mise en quarantaine des fichiers contaminés: Sélectionnez les
protocoles à partir desquels mettre en quarantaine les fichiers contaminés identifiés par l’analyseur antivirus.
Mise en quarantaine des fichiers suspects: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers suspects identifiés par heuristique.
Mise en quarantaine des fichiers bloqués: Sélectionnez les protocoles à partir desquels mettre en quarantaine les fichiers bloqués identifiés par un blocage de fichiers antivirus. Cette option n’est pas disponible pour les protocoles HTTP, FTP et IM parce qu’un nom de fichier est bloqué avant téléchargement et ne peut pas être mis en quarantaine.
Âge limite Le temps limite en heures pendant lequel les fichiers sont maintenus en quarantaine. Cette limite est utilisée pour formuler la valeur dans le colonne TTL de la liste des fichiers mis en quarantaine. Lorsque la limite est atteinte, la colonne TTL affiche EXP. et le fichier est supprimé (bien qu’un enregistrement est maintenu dans la liste des fichiers mis en
346 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
quarantaine). La valeur 0 (zéro) permet un stockage indéfini,
e
quarantaine les nouveaux fichiers.
ur activer le stockage des fichiers bloqués ou ur un boîtier FortiAnalyzer. Voir
age 409 pour plus d’informations îtier FortiAnalyzer.
Acti onnalité de soumission automatique. auto tionnez une ou les deux options ci-dessous :
ser les filtres de nom : Active le téléchargement omatique des fichiers correspondants aux modèles de
fichier dans la liste de soumission automatique.
ment statut.
Sélectionnez soit Heuristique, soit Nom filtré.
e l’interface de ligne de guration de l’Antivirus à
Configurationl
dépendant de l’espace libre sur le disque.
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Unquarantaine taille maximum trop haute pourrait impacter la performance.
Espace disque faible Sélectionnez l’action à prendre lorsque le disque local est complet : Ecraser les plus vieux fichiers ou Ne pas mettre en
FortiAnalyzer Sélectionnez poen quarantaine s« Journaux/Alertes » à la psur la configuration d’un bo
ver le téléchargement Active la fonctimatique Sélec
Utiliaut
Utiliser le statut des fichiers : Active le téléchargeautomatique de fichiers en quarantaine selon leur
Heuristique est configurable à partir dcommande uniquement. Voir « Confipartir de l’interface de ligne de commande » à la page 350.
Appliquer Enregistre la configuration.
La page Config affiche une liste des virus actuels bloqués par le boîtier FortiGate. I
st également possible de configurer des limites de tailles de fichiers et de mails, eet de bloquer des graywares.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, lesnalités antivirus sont configurées globalement. Pour accéder à ces fonction
fonction nalités,
Visualisation de l
actuelles
Celui-ci utilise les définitions de virus pour détecter ou enlever les virus, vers,
n
du Centre FortiGuard comprend des descriptions étaillées de virus, vers, troyens et autres menaces pouvant être détectés et retirés
par votre boîtier FortiGate grâce aux informations des définitions des virus FortiGuard.
sélectionnez Configuration Globale dans le menu principal.
a liste des virus
La liste des virus affiche une liste alphabétique FortiGuard des définitionsdes virus (appelées également définitions AV) installée sur le boîtier FortiGate.
troyens et autres menaces lorsqu’ils passent à travers le boîtier FortiGate. Visualiser la liste complète ou des parties de cette liste en sélectionnant un intervalle numérique ou alphabétique. Pour visualiser la liste des virus, sélectionnez Antivirus > Config. La liste FortiGuard des définitions de virus est mise à jour à chaque réceptiod’une nouvelle version FortiGuard des définitions AV par le boîtier FortiGate. L’Encyclopédie des Virusd
Guide d’Administration FortiGate Version 3.0 347 01-30001-0203-20060424
Illustration 204 : Liste (partielle) des virus
Les définitions AV FortiGuard sont généralement mises à jour automatiquement à partir du réseau de distribution FortiGuard (FDN – FortiGuard Distribution Network). Sélectionnez Système > Maintenance > FortiGuard Center pour
Visualisation de l
ments pouvant es fins malveillantes.
L ate procède à une analyse tables g La ies s à jour à chaque réceptio ntivirus par le boîtier FortiGate. De nouvelles catégories p et seront téléchargées lors de la mise à jour a elles catégories sont désactivées. L’option de recu rsque Virus Scan e L d . A c es mises à jour des défin ar le boîtier F grayware sont mis
configurer automatiquement les mises à jour automatiques des définitions AV à partir du FDN. Vous pouvez également mettre à jour manuellement les définitions AV à partir dutableau de bord (sélectionnez Système > Statut).
a liste des Graywares
Les programmes Grayware sont des logiciels commerciaux non désirés qui ’installent sur les ordinateurs, en général sans l’autorisation ni connaissance de s
l’utilisateur. Ces programmes sont considérés comme désagrée ce, vo dntraîner des problèmes de performan ir être utilisés à
e boîtier FortiG en vue des programmes exécurayware pour chaque catégorie activée. ont ajoutés ou mis
liste et les contenus des catégorn de mise à jour de l’a
euvent être créées à tout moment ntivirus. Par défaut, toutes les nouvherche de Grayware est activée dans
n profil de protection lo st activé.
es catégories Grayware sont composéeshaque réception d
e fichiers exécutables connusitions antivirus et IPS p
ortiGate, les catégories es à jour.
Remarque : Lorsque des domaines virtuels sontfonctionnalités antivirus sont configurées globale sélectionnez Configuration Globale dans le me
activés sur le boîtier FortiGate, les ment. Pour accéder à ces fonctionnalités,nu principal.
Pour visualiser la liste Grayware, sélectionnez Antivirus > Config > Grayware.
348 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 205 : Echantillons des options grayware
L’activation d’une catégorie grayware entraîne le blocage de tous les fichiers
Adware Blocage des programmes adware. Les adwares sont généralement ancrés dans des logiciels gratuits qui entraînent l’apparition de publicités à chaque ouverture ou utilisation du programme.
BHO Blocage des Browser Helper Object. Les BHO sont des fichiers DDL souvent installés dans des logiciels de manière à ce que ce logiciel puisse contrôler le comportement de l’Internet Explorer 4.x et plus. Certains BHO sont bienveillants, mais il y a toujours un risque potentiel de rassembler des informations sur les habitudes de navigation.
Dial Blocage des programmes dialer. Les dialers sont des petits programmes qui peuvent se créer une nouvelle connexion Internet à des numéros surtaxés ou longues distances via les modems d’autres
C.
Blocage ont généraleinstaller
cage éral des blagues ou jeux que vous
HackerTool Blocage
Hijacker Blocagesubstitue nt des modifications des paramètres du navigateur Internet, notamd’accueil
Joke Blocagedes curs
Keylog Blocage Enregistreurs de frappe. Ces programmes enregistrpasse, le
Misc Blocagegrayware
NMT Blocageréseaux modifier les paramètres et perturber la sécurité du réseau.
répertoriés dans cette catégorie. Les catégories peuvent être modifiées ou complétées lors des mises à jour. Choisissez parmi les catégories suivantes, celles que vous voulez bloquer :
P
Download des programmes de téléchargement. Les téléchargementsment lieu lors du démarrage Windows et sont destinés à des logiciels, en particulier des publicités.
Game Blo de games. Les games sont en gén voudrez probablement interdire aux utilisateurs du réseau.
des outils des attaquants.
des programmes des substitueurs de navigateur. Les urs de navigateur entraîne
ment dans les favoris, signets, page et options des menus.
des programmes joke. Ces programmes peuvent comprendre eurs clients qui apparaissent pour affecter le système.
des programmesent la frappe des touches sur le clavier notamment les mots de s messages instantanés et les discussions sur forum.
de n’importe quel programme compris dans la catégorie « miscellaneous ».
des Network Management Tools. Ces outils de gestion des peuvent être installés et utilisés avec malveillance pour
Guide d’Administration FortiGate Version 3.0 349 01-30001-0203-20060424
P2P Blocagequ’étant onyme de programme de partage autres fic
Plugin Blocage se greffe rincipal afin de lui apporter de nouvelles fonctionnbarres d’ou enreg
Blocagedistanceà distanc
Spy Blocageadware, Ils permettent
publicité
Toolbar Blocagesont sanbarres d’ t ces infor
Configuration de l’Antivirus à partir de l’interface de ligne de commande
Cette section parcourt les commandes CLI offrant des fonctionnalités supplémentaires que celles de l’interface d’administration web. Pour des descriptions et exemples complets sur l’ajout de fonctionnalités à partir de l’interface de ligne de commande, reportez-vous au FortiGate CLI Reference.
system global optimize
Cette fonctionnalité configure les paramètres CPU pour assurer un fonctionnement efficace de l’analyseur antivirus ou de passage direct du trafic à travers le boîtier FortiGate. Lorsque cette fonction est définie sur antivirus, le boîtier FortiGate utilise un procédé de traitement multiple symétrique pour étendre les tâches antivirus à divers CPU, rendant ainsi l’analyse plus rapide. Cette fonction est disponible sur les modèles FortiGate-1000 et plus. Pour plus d’informations, voir l’article Antivirus failopen and optimization sur le site de la Base de Connaissance Fortinet.
config antivirus heuristic
L’engin antivirus heuristique FortiGate exécute des tests sur les fichiers pour détecter des comportements susceptibles d’être effectués par des virus ou des indicateurs de virus connus. Une analyse heuristique est lancée en dernier, après que le filtrage des fichiers et l’analyse antivirus n’aient donné aucun résultat. L’analyseur heuristique peut donc trouver de nouveaux virus mais risquent également de produire des résultats erronés. L’engin heuristique est activé par défaut pour laisser passer les fichiers suspects vers le destinataire et envoyer une copie en quarantaine. Une fois configurée dans l’interface de ligne de commande, l’analyse heuristique est activée dans un profil de protection lorsque le Virus Scan est activé.
des programmes de communication peer to peer. P2P, bien un protocole légitime, est souvent synde fichiers utilisés pour échanger de la musique, des films et hiers, souvent en toute illégalité.
des modules d’extension. Ces modules d’extension viennentr à un logiciel palités. Ils sont souvent sans risque. Cependant, certaines outils ou de modules d’extensions peuvent tenter de contrôler istrer et envoyer les préférences de navigation de l’utilisateur.
RAT de Remote Administration Tools. Ces outils de gestion à permettent à des utilisateurs extérieurs de modifier et contrôler e un ordinateur du réseau.
des logiciels espions. Les logiciels espions tels que les sont souvent compris dans les logiciels gratuits.
de faire des rapports des activités de l’utilisateur telles que les habitudes de navigation Internet et de les envoyer à un site web de
qui les analysera.
des barres d’outils clients. Bien que certaines barres d’outils s risque, les développeurs de logiciels espions utilisent des outils pour contrôler les habitudes de navigation et envoienmations au développeur.
350 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Utilisez la commande heuristique pour modifier le mode d’analyse heuristique.
config antivirus quarantine
L uarantaine paramètres liés à l’analyse modèles FortiGate-200 et p
config antivirus se <service_name
Utilisez cette commande po de gros fichiers dans le trafic HTTP les ports que le boîtier FortiGate ana
a commande q donne également lieu à une configuration des heuristique. Cette fonction est disponible sur leslus.
rvice >
ur configurer le traitement de l’analyse antivirus, FTP, IM, POP3, IMAP ou SMTP, ainsi que lyse pour le service.
Guide d’Administration FortiGate Version 3.0 351 01-30001-0203-20060424
Protection contre lee système de Prévention d’Intrusion FortiGuard (IPS - Intrusion Prevention ystem) combine la détection et la prévention des intrusions d’anomalies et de
signatures, et ce avec la garantie d’une haute fiabilité. Le système IPS offre un es lors de la création des profils de
Signatures prédéfinies
• Signatures personnalisées
• Décodeurs de protocoles
• Anomalies
• Configuration de l’IPS à partir de l’interface de ligne de commande
A propos de la protection contre les intrusions rtiGate peut e r
’alerte aux admréinitialiser ou supprimer le ou sessions suspects. Il est important
des seuils d’anom timal du trafic sur protégés. La cer le système I
L’IPS FortiGate correspon s signatures IPS. La fiabilité s connues. L’infrastructure ddes nouvelles menaces et
FortiGuard fo et comprennent des mises à jour automatiques des engins et définitions antivirus et IPS (attaques) grâce au Réseau de Distribution FortiGuard (FDN – FortiGuard Distribution Network). Le Centre FortiGuard offre également une encyclopédie de virus et attaques et publie le bulletin de FortiGuard. Visitez le site de la Base de Connaissance Fortinet pour plus de détails et un lien vers le Centre FortiGuard.
rtiGate et FortiGuard est configurée dans Système
fichiers de d s
rs de définitions des attaques dès que ceux-ci sont onibles sur le FDN.
s Intrusions LS
accès de configuration des options IPS activéprotection pare-feu. Cette section couvre les sujets suivants :
• A propos de la protection contre les intrusions
•
Le boîtier Fo nregistrer le trafic suspect dans des journaux, envoyedes mails d inistrateurs et journaliser, passer, abandonner,
s paquets d’ajuster alies IPS pour un fonctionnement oples réseaux réation de signatures personnalisées permet de personnalis PS FortiGate pour des environnements réseaux divers.
d au trafic réseau contre les modèles contenus dans lede ces signatures protège votre réseau des attaqueu FortiGuard de Fortinet assure une identification rapide le développement de nouvelles signatures IPS.
Les services rment des ressources précieuses
La connexion entre le boîtier Fo> Maintenance > FortiGuard Center. Voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186 pour plus d’informations. Vous pouvez configurer le boîtier FortiGate pour télécharger automatiquement les
éfinitions des attaques mis à jour qui contiennent les signatures leplus récentes. Vous pouvez également les télécharger manuellement. Une alternative est de configurer le boîtier FortiGate de manière à ce qu’il autorise les
ises à jour forcées des fichiemdisp
352 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Lorsque le boîtier FortiGate installe un fichier de définition des attaques mis à jour, il vérifie que la configuration par défaut de chaque signature a été modifiée. Si c’est le cas, ces modifications seront maintenues.
uvez créer des sigutilisera en plus de sa vastou empêchement d’une atconfigurer le boîtier FortiG
mail d’alerte aux admini ors à quel intervalle le ate doit envo uire le nombre de
s journalisés et dauxquelles le système n’el’absence de fonctionneme
ets fournit aux administrateurs la possibilité d’analyser les on de faux positifs.
ir
Vous po natures IPS personnalisées que le boîtier FortiGate
e liste de signatures IPS prédéfinies. A chaque détection taque, un message d’attaque est généré. Vous pouvez ate pour qu’il ajoute le message au Journal des Attaques
et envoie un strateurs. Définissez alboîtier FortiG yer un mail d’alerte. Vous pouvez rédmessage ’alertes en désactivant les signatures pour les attaques
st pas vulnérable, par exemple, les attaques web en nt du serveur web.
La journalisation de paqupaquets pour une détecti Pour plus d’informations sur la journalisation et les mails d’alertes FortiGate, vo« Journaux/Alertes » à la page 409. Configurez l’IPS et activez ou désactivez ensuite toutes les signatures ou toutesles anomalies dans les profils de protection pare-feu individuels.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Le tableau 35 décrit les paramètres IPS et comment y accéder pour les configurer.
Tableau 35 : IPS des profils de protection et configuration IPS Options IPS des profils de protection Paramètres IPS
Signature IPS Intrusion Protection > Signature Activer ou désactiver les signatures IPS par Visualiseniveau de sévérité.
r et configurer une liste de signatures prédéfinies. Créer des signatures personnalisées basées sur les nécessités du réseau.
tocoles. Configurer des décodeurs de proAnomalie IPS Intrusion Protection > Anomaly Activer ou désactiver les anomalieniveau de sévérité. d’anomalies prédéfinies.
s IPS par Visualiser et configurer une liste
Journaux des Intrusions Intrusion Protection > Anomaly > [i ndividual aly] anom
Activer la journa es Activer la journalisation pour chaque lisation de toutes lsignatures et intrusions d’anomalies. signature ou groupe de signatures.
Activer la journalisation de paquets pour chaque signature ou anomalie.
Pour accéder aux options IPS des profils de protection, sélectionnez Pare-feu >
tection, cliquez su et sélectionnez IPS. Profil de pro r Editer ou Créer Nouveau
Guide d’Administration FortiGate Version 3.0 353 01-30001-0203-20060424
Signatures prédéfinies atures prédéfinies sont s
s. Par défaut, toutes les journalisation de toutes les signa par défaut répondent aux exigen La désactivation de signatures inet réduire le nombre de messagl’IPS. Par exemple, l’IPS détectel’accès à un serveur web derrièr er FortiGate n’est pas prévu, désactivez
natures des attaqu Les groupes de signatures compdu type de signature dans le gro
e signature s’a
Visualisation de la liste de signatures préd
ctiver et configurer les paramètres pour les signatures liste. Cette liste peut être visualisée par niveau de
Les sign arrangées en groupes basés sur le type deattaque signatures ne sont pas activées mais la
tures est activée. Veillez à ce que le paramétrageces du trafic du réseau.
utiles peut améliorer la performance du système es journalisés et les mails d’alertes générés par un grand nombre d’attaques du serveur web. Si e le boîti
toutes les sig es du serveur web.
rennent des paramètres configurables dépendant upe de signatures. Les paramètres configurés
pour un groupe d ppliquent à toutes les signatures de ce groupe.
éfinies
Vous pouvez activer ou désaprédéfinies individuelles de lasévérité de la signature.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal. Pour visualiser la liste des signatures prédéfinies, sélectionnez Intrusion Protection > Signature > Predefined. Illustration 206 : Liste des signatures prédéfinies
Voir les signatures Sélectionnez des filtres et cliquez ensuite sur Go prédéfinies avec pour visualiser les signatures répondant aux critères la sévérité : des filtres. Les critères de tri peuvent être <=, =, >=, Tout,
Information, Low, Medium, High ou Critical.
Nom des signatures Le nom du groupe de signatures.
Activer L’état des signatures du groupe. Un cercle vert indique que chaque signature dans le groupe est activée. Un cercle gris
354 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
indique qu’aucune signature dans le groupe n’est activée. Un cercle mi-gris, mi-vert indique que certaines signatures sont activées et d’autres pas.
atures du groupe. Par es les signatures.
de la session, Laisser passer la session, ou Supprimer la session. En cas d’activation de la journalisation, l’action apparaît dans le champ Etat du
Sévérité tures. ation, Low, Medium, High ou
Critical. Le niveau de sévérité est défini pour les signatures individuelles.
embres du groupe de signatures, cliquez sur le
s ou ètres
nière, cela permet d’activer ou de désactiver tous les membres d’un groupe en une seule opération.
té modifié. Cliquez sur la flèche bleue pour dérouler le groupe de signatures pour visualiser les signatures qui ont été modifiées. Sélectionner
par ures
Journaliser L’état de la journalisation pour les signdéfaut, la journalisation est activée pour toutLorsque la journalisation est activée, l’action apparaît dans le champ Etat (Status ou Statut) du message journalisé générépar la signature.
Action L’action définie pour les signatures individuelles. Cliquez sur le triangle bleu pour faire apparaître les membres du groupe de signatures. L’action peut être Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets
message journalisé généré par la signature. Voir le Tableau 36pour une description de ces actions.
Le niveau de sévérité défini pour chacune de ces signaCe niveau peut être Inform
Révision Le nombre de révision pour les signatures individuelles. Pourafficher les mtriangle bleu.
Icône Configurer Configurez les paramètres pour les signatures individuelleun groupe entier. Les modifications apportées aux paramd’un groupe s’appliquent à tous les membres de ce groupe. De cette ma
Icône Réinitialiser (Reset) Cette icône apparaît uniquement lorsque le paramétrage par défaut d’une signature ou d’un groupe a é
cette icône pour une signature rétablit son paramétragedéfaut. Sélectionner cette icône pour un groupe rétablit leparamétrage par défaut du groupe et de toutes les signatmembres du groupe.
Guide d’Administration FortiGate Version 3.0 355 01-30001-0203-20060424
Le tableau 36 décrit chaque action possible pour les signatures prédéfinies, personnalisées ou les anomalies. Tableau 36 : Actions à sélectionner pour chaque signature prédéfinie
Action Description Laisser passer Lorsqu’un paquet active une signature, le boîtier
et à
Si la journalisation est désactivée et l’action établie sur Laisser passer, la signature est effectivement désactivée.
FortiGate génère une alerte et autorise le paqutravers le pare-feu sans action supplémentaire.
Rejeter Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. La session pare-feu est intouchée. Fortinet recommande l’utilisation d’une autre action que Rejeter pour les attaques basées sur des connexions TCP.
Réinitialiser et. Le
lisation au client are-feu de la
TCP. Les
ement établie, la session
Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquboîtier FortiGate envoie une réinitiaet au serveur et rejette la session ptable de session pare-feu. Ceci ne s’applique qu’aux connexionsattaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l’action Réinitialiser est enclenchée avant que la connexion TCP soit entièrest supprimée.
Réinitialiser côté client Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au client et rejette la session pare-feu de la table de session pare-feu. Ceci ne s’applique qu’aux connexions TCP. Les attaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l’action Réinitialiser côté client est enclenchée avant que la connexion TCP soit entièrement établie, la session est supprimée.
Réinitialiser côté serveur
ux connexions TCP. Les
aliser côté serveur est enclenchée
Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et rejette le paquet. Le boîtier FortiGate envoie une réinitialisation au serveur et rejette la session pare-feu de la table de session pare-feu. Ceci ne s’applique qu’aattaques non TCP définies avec ce paramètre verront leur session supprimée. Dans le cas où l’action Réinitiavant que la connexion TCP soit entièrement établie, la session est supprimée.
Rejeter tous les paquets de la session
nature, le boîtier FortiGate génère une alerte et rejette le paquet. Les paquets suivants de cette session pare-feu sont également rejetés.
Lorsqu’un paquet active une sig
Laisser passer la session Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et autorise le paquet à travers le pare-feu. Les paquets suivants de cette session contournent l’IPS.
Supprimer la session Lorsqu’un paquet active une signature, le boîtier FortiGate génère une alerte et la session à laquelle appartient ce paquet est immédiatement retirée de
356 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
la table de session. Aucun réinitialisation n’est envoyée. Pour TCP, tous les paquets suivants sont rejetés. Pour UDP, tous les paquets suivants peuvent
le pare-enclencher une nouvelle session créée par feu.
ies
s les nfiguration d’un groupe sont appliquées
roupes de signatures IPS prédéfinies
Configuration de groupes de signatures prédéfin
Pour modifier rapidement et facilement les attributs de toutes les signatures d’un groupe, cliquez sur l’icône Configurer du groupe de signatures associé. Seul
ttributs modifiés dans une fenêtre de coaaux signatures de ce groupe. llustration 207 : Configuration de gI
re
Activer
Journaliser outes les signatures du groupe.
ppliquer à toutes les
paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions.
a liste déroulante. Les
signatures individuelles.
Configuration des ures prédéfin
Pour chaque signature, co IPS FortiGate doit prendre lors de ction d’une attaque
ou supprimer les paquets nnez re.
er des groupignature > Predefined.
Signatu Le groupe de signatures auquel les changements seront appliqués.
Active toutes les signatures du groupe.
Active la journalisation pour t
Action Sélectionnez une action de la liste à asignatures du groupe. Les différentes action sont : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les
Packet Log Active la journalisation des paquets.
Severity Sélectionnez un niveau de sévérité de ldifférents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les
signat ies
nfigurez l’action que l’la déte . L’IPS FortiGate peut laisser passer, rejeter, réinitialiser
ou les sessions. Activez ou désactivez la journalisationde paquets. Sélectio un niveau de sévérité à appliquer à la signatu Pour configur es de signatures, sélectionnez Intrusion Protection > S
Guide d’Administration FortiGate Version 3.0 357 01-30001-0203-20060424
Illustration 208 : Configuration des signatures IPS prédéfinies.
ction Sélectionnez une deA s actions de la liste : Laisser passer,
ession. Voir le tableau 36 pour une description des actions.
Packet Log Active la journalisation des paquets.
Les dium,
i pour les signatures individuelles.
er ate pour des environnements réseaux divers. Les signatures
i une application inhabitu ne est utilisée, o s pouvez ajouter des signatures personnalisées en fonction des alertes de
es v
Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la s
Sévérité Sélectionnez un niveau de sévérité de la liste déroulante.différents niveaux de sévérité sont : Information, Low, MeHigh, Critical. Le niveau de sévérité est défin
Signatures personnalisées Les signatures personnalisée offrent le pouvoir et la flexibilité de personnalis’IPS FortiGlprédéfinies FortiGate couvrent les attaques les plus courantes. S
elle ou spécialisée ou encore une plateforme peu commuv usécurité publiées par l endeurs de l’application ou de la plateforme.
Remarque : Lorsque des dom tivés sur le boîtier FortiGate, les nnalités IPS sont confi er à ces fonctionnalités, onnez Configuration
Visualisation de la liste des signatures personnalisées
Pour visualiser la liste desProtection > Signature > .
Illustration 209 : Liste des s
aines virtuels sont acfonctio gurées globalement. Pour accédsélecti Globale dans le menu principal.
signatures personnalisées, sélectionnez Intrusion Custom
ignatures personnalisées
Sélectionnez les filtres et cliquez ensuite sur Go pour érité visualiser les signatures personnalisées qui
correspondent à ces critères. Les
Voir les signatures personnalisées avec la sév
différents critères sont
Critical.
personnalisées
Créer nouveau Permet de créer un nouvelle signature personnalisée.
Icône Supprimer toutes les Supprime toutes les signatures personnalisées du groupe.
<+, =, >= pour Tout, Information, Low, Medium, High ou
Activer les signatures Activez ou désactivez le groupe de signatures
personnalisées
358 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
signatures personnalisées
es signatures.
ournaliser Le statut de la journalisation pour chaque signature ifie que la
ure.
Action L’action établie pour chacune des signatures personnalisées. Les différentes actions sont : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l’action apparaît dans le champ Etat du message journalisé généré par la signature. Voir le leau 36 pour une description des actions.
Icône Supprimer ne signature personnalisée.
ter vérité.
Création de signatures personnalisée
L’utilisation de signatures personnalisées sert à bloquer ou permettre des trafics spécifiques. Par exemple, pour bloquer le trafic comprenant un contenu pornographique, ajoutez des signatures personnalisées similaires au modèle suivant : F-SBID (--protocol tcp ; --flow established ; --content « nude cheerleader » ; --no_case) Lors de l’ajout de la signature, définissez l’action sur Rejeter tous les paquets de la session. Pour plus d’informations sur la syntaxe des signatures personnalisées, voir le FortiGate Intrusion Protection System (IPS) Guide.
Icône Réinitialiser aux valeurs Réinitialise les paramètres par défaut à toutes les par défaut ? signatures personnalisées.
Nom des signatures Le nom d
Activer L’état de chaque signature personnalisée. Une case cochée signifie que la signature est activée.
Jpersonnalisée. Une case cochée signjournalisation est activée pour cette signat
tab
Sévérité Le niveau de sévérité pour chaque signature personnalisée. Les différents niveaux de sévérité sont : Information, Low, Medium, High, Critical. Le niveau de sévérité est défini pour les signatures individuelles. Permet de supprimer u
Icône Edi Permet d’éditer les informations suivantes : Nom, Signature, Action, Packet Log et Sé
s
Remarque : Les signatures personnalisées consistent en une fonction avancée. Ce document présume que l’utilisateur a l’expérience nécessaire pour créer des signatures de détection d’intrusions. Pour créer une signature personnalisée, sélectionnez Intrusion Protection > Signature > Custom.
Guide d’Administration FortiGate Version 3.0 359 01-30001-0203-20060424
Illustration 210 : Configurer une signature personnalisée
Nom des signatures Le nom de la signature personnalisée.
ations sur
initialiser, Réinitialiser côté client, Réinitialiser côté serve r, ejeter tous les paquets de la session, Laisser passer la
session et Supprimer la session. Voir le tableau 36 pour une description des actions.
. Les ,
signatures individuelles.
Décodeurs de protocoles ui
Activez ou désactivez la journalisation pour chaque anomalie de protocole, et rez l’action IPS à prendre en cas de détection d’anomalie. Utilisez les
commandes CLI pour configurer le contrôle de la session en fonction des adresses
des anomalies des protocoles peut uniquement être mise à jour de l’image logicielle boîtier FortiGate.
Signature Entrez la signature personnalisée. Pour plus d’informla syntaxe des signatures personnalisées, voir le FortiGate Intrusion Protection System (IPS) Guide.
Action Sélectionnez une action de la liste : Laisser passer, Rejeter, Ré uR
Packet Log Active la journalisation des paquets.
Sévérité Sélectionnez un niveau de sévérité de la liste déroulantedifférents niveaux de sévérité sont : Information, Low, MediumHigh, Critical. Le niveau de sévérité est défini pour les
L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic réseau qtente d’exploiter des failles connues.
configu
réseaux source et de destination.
La liste de détection jour lors de la mise à
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités IPS sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
360 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation de la liste d
Pour visualiser la liste de
e décodeurs de protocoles
décodeurs, sélectionnez Intrusion Protection > Signature > Protocol Decoder. Illustration 211 : Un échantillon de la liste des décodeurs de protocoles
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas être désactivés. Les fonctions IM et P2P ont besoin de ces décodeurs pour fonctionner. Cependant, le décodeur individuel peut être désactivé. Voir les protocol decoders Sélectionnez les filtres et cliquez ensuite sur OK pour avec la sévérité visualiser les seuls décodeurs qui correspondent aux critères
, Lo
ournaliser Le statut de la journalisation pour chaque décodeur de t
Les groupes de décodeurs utilisent un indicateur graphique
signifie que toutes les signatures du groupe sont activées. Un iqu groupe n’a été
activée. Un cercle mi-vert, mi-gris signifie que certaines signatures sont a
A e p er r, Rejeter,
ôté les paquets de la er passer la session et Supprimer la session. Si
la journalisation est activée, l’action apparaît dans le champ oir le
S iveau de sév ie de protocole. Les ents niveaux de sévérité sont : Information, Low, Medium,
High, Critical. Le i pour les odeurs indivi
I et d’éditer ltocoles.
ône Réinitialiser Cette icône s’affiche uniquement lorsqu’un décodeur a été modifié. Utilisez cette icône pour restaurer les valeurs initiales des paramètres recommandés.
des filtres. Les différents filtres sont <=, =, >= pour Tous,Information w, Medium, High ou Critical.
Nom Le nom du décodeur de protocole.
Activer L’état du décodeur de protocole. Une case cochée signifie quela signature du décodeur est activée.
Jprotocole. Une case cochée signifie que la journalisation esactivée pour le décodeur.
pour le statut de la signature dans le groupe. Un cercle vert
cercle gris ind e qu’aucune signature du
ctivées et d’autres pas.
ction L’action définipasseRéinitialiser csession, Laiss
our chaque décodeur de protocoles : LaissRéinitialiser, Réinitialiser côté client, serveur, Rejeter tous
statut du message journalisé généré par le décodeur. Vtableau 36 pour une description des actions.
évérité Le ndiffér
érité pour chaque anomal
niveau de sévérité est défindéc
cône Configurer Permpro
duels.
es attributs du groupe de décodeurs de
Ic
Guide d’Administration FortiGate Version 3.0 361 01-30001-0203-20060424
Configuration des
D protoco es des s groupe. Sélectionnez l’icône Configurer du groupe de décodeurs de p ce gr configuration du g les paramètres des anomalies individuelles du groupe. C e protocole possède ses propriétés spécifiques. M impacte le fonctionnement du groupe. La manière d peuvent varier pour chaque groupe. I malies de Protocole : HTTP
groupes de décodeurs de protocoles IPS
e nombreux groupes d’anomalies de ignatures du
le ont des propriétés séparé
rotocoles afin d’éditer les propriétés deroupe ne modifiera pas
oupe. L’édition de la
haque groupe d’anomalies dodifier l’une de ces propriétés ont les changements affectent le groupe
llustration 212 : Editer un Groupe d’Ano
Configuration des décode
C alie de trafic IPS est prédéfinie par une configuration recommandée. V omr s de votre réseau. P de trafic IPS, sélectionnez Intrusion Protection > Signature > Protocol Decoder. Illustration 213 : Editer une anomalie de protocole IPS : tcp_reassembler, stealth a
urs de protocoles IPS
haque anomous pouvez utiliser ces configurations rec
épondre aux besoinmandées ou les modifier pour
our configurer les anomalies
ctivity
A c
r er côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer
Supprimer la session. Voir le tableau 36 pour une es actions.
P alisation des paquets.
S iveau de sévérité de la liste déroulante : Information, Low, Medium, High, Critical.
Anomalies au ne
i.
ocoles
ction Sélectionnez une aRejeter, Réinitialise
tion de la liste déroulante : Laisser passer, , Réinitialis
la session etdescription d
acket Log Activer la journ
évérité Sélectionnez un n
L’IPS FortiGate utilise la détection d’anomalies pour identifier le trafic résecorrespondant pas aux modèles de trafic connu ou prédéfin L’IPS FortiGate identifie quatre types d’anomalies statistiques pour les protTCP, UDP et ICMP. Flooding Si le nombre de sessions ciblant une seule destination en une
seconde dépasse un seuil spécifié, la destination est submergée (flooding).
362 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Scan Si le nombre de sessions provenant d’une seule source en une seconde dépasse un seuil spécifié, la source est analysée
Limite de la session Si le nombre de sessions en cours à partir d’une de la source
.
seule source dépasse un seuil spécifié, la limite de la session de la source est atteinte.
s en cours vers une seule la destination destination dépasse un seuil spécifié, la limite de la session de
la destination est atteinte.
Limite de la session de Si le nombre de session
Il vous faut activer ou désactiver la journalisation pour chaque anomalie de trafic, et configurer l’action IPS à enclencher en réponse à la détection d’une anomalie. Dans de nombreux cas, les seuils utilisés par l’anomalie pour détecter des modèles de trafic qui pourraient représenter une attaque sont configurables.
Remarque : Il est important de connaître le trafic réseau normal et attendu avant de modifier les seuils d’anomalie par défaut. Etablir un seuil trop bas pourrait causer des faux positifs, et à l’inverse, établir un seuil trop élevé pourrait laisser passer des attaques.
et
ise jour de l’image logicielle sur le boîtier FortiGate.
Pour configurer un contrôle de la session basé sur les adresses réseau sourcede destination, utilisez les commandes CLI. La mise à jour de la liste de détection des anomalies de trafic a lieu lors de la mà
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les S sont confifiguration
Visualisation de l e des anomalies
er la liste des ection > ly.
fonctionnalités IP gurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Con Globale dans le menu principal.
a list de trafic
Pour visualis anomalies, sélectionnez Intrusion ProtAnoma Illustration 214 : Un échantillon de la liste des anomalies de trafic
ur afficher tres : Les
critères sont <=, =, >= pour Tous, Information, Low, Medium,
e cochée signifie que la .
Journaliser L’état de la journalisation pour chaque anomalie de trafic. Une case cochée signifie que la journalisation de l’anomalie est activée.
Voir les anomalies de Sélectionnez les filtres et cliquez ensuite sur Go potrafic avec la sévérité les anomalies qui correspondent aux critères des fil
High, Critical.
Nom Le nom de l’anomalie de trafic.
Activer L’état de l’anomalie de trafic. Une cassignature de l’anomalie est activée
Guide d’Administration FortiGate Version 3.0 363 01-30001-0203-20060424
Action L’action définie pour chaque anomalie de trafic : Laisser passer, Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Si la journalisation est activée, l’action apparaît dans le champ statut du message journalisé généré par l’Anomalie. Voir le tableau 36 pour une description des actions.
évérité Le niveau de sévérité défini pour chaque anomalie de trafic. Il e sévérité : Information, Low,
r
Icône Editer Permet d’éditer les informations suivantes : Action, Sévérité et
Configuration de
malies de trafic IPS, sélectionnez Intrusion Protection > Anomaly.
Sexiste différents niveaux dMedium, High, Critical. Le niveau de sévérité est défini poules anomalies individuelles.
Seuil.
Icône Réinitialiser Cette icône s’affiche uniquement si l’anomalie a été modifiée. Elle permet de restaurer les valeurs par défaut des paramètresmodifiés.
s anomalies de trafic IPS
Chaque anomalie de trafic IPS est prédéfinie par une configuration recommandée.Vous pouvez utiliser les configurations recommandées ou les modifier pour
pondre aux besoins de votre réseau. ré Pour configurer les ano
Illustration 215 : Editer l’Anomalie de Trafic IPS : icmp_dst_session
Action Sélectionnez une action de la liste déroulante : Laisser passer,
Rejeter, Réinitialiser, Réinitialiser côté client, Réinitialiser côté serveur, Rejeter tous les paquets de la session, Laisser passer la session et Supprimer la session. Voir le tableau 36 pour une description des actions.
Sévérité Sélectionnez un niveau de sévérité de la liste déroulante : Information, Low, Medium, High, Critical.
Seuil Dans le cas des anomalies IPS comprenant le paramètre seuil, le trafic dépassant le seuil spécifié enclenche l’anomalie.
364 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configurationcommande
Cette section reprend les commandes CLI qui élargissent l’éventail des fonctionnalités disponibles à partir de l’interface d’administration web. Pour plus de descriptions et exemples complets sur l’activation des fonctionnalités supplémentaires à partir de l’interface de ligne de commande, voir le FortiGate CLI Reference.
system auto
modifiés par l’utilisateur sont conservés. Dans le cas où les paramètres recommandés des signatures IPS n’ont
té modifiés, et que leparamètres de la signaturerecommended-settings
ips global fail-open
son qu ctionner, par défaut il ial ne sera pas
re-feu que le problème soit
ips global ip_protocol
ssources du système en restreignant le traitement IPS aux seuls utorisés par les
ips global socket
Définit la taille de la réserv
(config ips anomaly
z à la sous-comma
session basé sur les adresest disponible pour
on, tcp , ion, ud .
de l’IPS à partir de l’interface de ligne de
update ips
Lorsque l’IPS est mis à jour, les paramètres
pas é s paramètres de mise à jour sont différents, les seront définis en fonction de la commande accept-.
Si, pour quelque rai e ce soit, l’IPS devait arrêter de fonlaisse passer le trafic. Ce qui signifie que le trafic réseau crucbloqué, et que les pa continueront d’opérer jusqu’à ce résolu.
Sauve les reservices a règles pare-feu.
-size
e IPS.
) config limit
Accéde nde config limit à partir de la commande configips anomaly <name_str>. Utilisez cette commande pour un contrôle de la
ses réseau source et de destination. Cette commande
tcp_src_sessi _dst_session, icmp_src_sessionicmp_dst_sess p_src_session, udp_dst_session
Guide d’Administration FortiGate Version 3.0 365 01-30001-0203-20060424
Filtrage Wion décrit comment configurer les options du Filtrage Web. Les fonctions
u filtrage web doivent être activées dans le profil de protection actif pour les
ette section couvre les sujets suivants :
• Filtrage par mots-clés
• Filtre URL
• Filtrage Web FortiGuard
Filtrage Web e filtrage web comprend des modu s variés qui exécutent des tâches séparées.
r FortiGate effectu de l’interface d’ad
filtrage par catégorie (Fortdernier. Le Filtrage Web FortiGuar n détails dans la section « Options du
rtiGuard » que d’évaluati s via
la page web du Centre FortiGua Connaissance Fortinet Knowled rs le Centre
ard.
eaux suivants com les profils de protection et le menu du filtrage web.
rofils ction
eb Cette sectdparamètres correspondants. C
• Filtrage Web
L leLe boîtie e le filtrage web dans l’ordre d’apparition des filtres dans le menu ministration web : filtrage par mots-clés, filtre URL et
iGuard-Web). Le filtrage des scripts est effectué en
d est décrit eFiltrage Web Fo à la page 285. Les corrections d’évaluation, ainsi des suggestions on pour de nouvelles pages peuvent être soumise
rd. Visitez le site de la Base de Fortinet : ge Center, pour plus de détails et un lien veFortiGu Les tabl parent les options de filtrage web dans
Tableau 37 : Filtrage Web et configuration du filtrage par mots-clés à partir des pde prote
Options de filtrage web des profils de protection Web
Paramètres du Filtrage
Filtrage par mots-clés Filtrage Web > Filtrage par mots-clés Activer ou désactiver le blocage de page web en fonction de mots-clés ou caractéristiques interdits dans la liste de filtrage par mots-clés pour le trafic HT
Ajouter des mots et caractéristiques pour bloquer les pages web contenant ces mots ou caractéristiques.
TP.
leau 38 : Filtrage Web et configuration du filtrage d’URL dans les profils de Taction
Options de filtrage web des ction W
Paramètres du Filtrage
bprote
profils de prote eb Filtrage d’URL Filtrage Web > URL Filter Activer ou désactiver le filtra
ge web pour le trafic Hnction de la liste du filtr
Ajouter les URL et caractéristiques d’URL pour ovenant de
ge de pa TTP en fo e
dispenser ou bloquer les pages web prsources spécifiques.
URL.
366 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Tableau 39 : Filtra t filtrage de script Web dans les profils de protection ement s profils de
ge Web e t configuration de télécharge
Options de filtrage web de Paramètres du Filtrage Web protection Filtrage des ActiveX, Filtrage des cookies, Filtrage des Applets Java
n/a
Activer ou désactiver le blocage scripts de page web pour le trafic HTTP.
Blocage Web resume Download n/a Activez pour bloquer le téléchargement du reste d’un fichier déjà partiellement téléchargé.
Cette option empêche le téléchargement involontaire des virus, mais peut par contre entraîner des interruptions dans le téléchargement.
Tableau 40 : Filtrage Web et configuration du filtrage de catégories web dans les
Options de filtrage web des profils de protection
Paramètres du Filtrage Web profils de protection
Activer le Filtrage Web FortiGuard (HTTP uniquement).
FortiGuard Web Filter > Configuration
Activer l’Override du Filtrage Web FortiGuard (HTTP uniquement).
FortiGuard Web Filter > Override
Fournit le détail des erreurs HTTP 4xx et 5xx ées (HTTP uniquemen
bloqu t). Evalu es images e les images par URL (l
remplacées p(HTTP uniquement). bloquées sont ar des blancs)
Autorise les sites web lorsqu’une erreur d’évaluation a lieu (HTTP uniquement).
Blocage strict (HTTP uniquement). Catégorie / Action Le service de Filtrage Web FortiGuard fournit de nombreuses catégories à partir desquelles le trafic web peut être filtré. Choisissez l’action
à prendre pour chaque catégorie : autorise, bloque, journalise ou autorise l’override. Les catégories locales peuvent être configurées pour co
FortiGuard Web Filter > Catégories locanvenir aux besoins locaux.
les/Local Ratings
Classification / Action Si sélectionnés, les utilisateurs peu
er aux sites web fournissant des vent
accédcontenus sauvegardés et des moteurs de recherche de fichiers image, son et vidéo. Choisissez entre autorise, bloque, journalise ou autorise l’override.
Pour accéder aux options de filtrage web des profils de protection, sélectionnez Pare-feu > Profil de protection, cliquez sur Editer ou Créer Nouveau et sélectionnez Filtrage Web ou Filtrage par Catégorie Web.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités de filtrage web sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
Guide d’Administration FortiGate Version 3.0 367 01-30001-0203-20060424
Filtrage par mots-clés Vous pouvez contrôler le contenu du web en bloquant des mots ou caractéristiques spécifiés. Si cette option est activée dans le profil de protection, le boîtier FortiGate recherche ces mots et caractéristiques sur les pages web demandées. Dans le cas où des correspondances sont trouvées, les valeurs affectées à ces mots sont additionnées. La page web est bloquée lorsque la valeur seuil pour cet utilisateur est dépassée. Utilisez des expressions régulières en Perl ou des méta-caractères (wildcard) pour ajouter des modèles de mots interdits à la liste.
Remarque : Les expressions régulières en Perl sont sensibles à la casse des carapour le filtrag
ctères e par mots-clés. Pour modifier cela et rendre le mot ou la phrase insensible à la
des caractères, utilisezs cas de bad langua
(wildcards) ne sont pas sensi
Visualisation du catalogue des listes det plus)
outer de m u Web pour les s FortiGate-800 et p re liste pour
e profil de protection listes, sélectionnez te quelle liste de
orrespondante.
locage de contenu web
casse l’expression /i. Par exemple, /bad language/i bloque tous le ge sans tenir compte de la casse. Les méta-caractères
bles à la casse des caractères.
e blocage de contenu Web (FortiGate-800
Vous pouvez aj ultiples listes de blocage de contenmodèle lus, et sélectionnez ensuite la meilleuchaqu . Pour visualiser le catalogue des Filtrage Web > Filtrage par mots-clefs. Pour visualiser n’imporblocage de contenu web, cliquez sur l’icône Editer de la liste c Illustration 216 : Echantillon d’un catalogue de listes de b
veau m et
Nom filtrage par mots-clés disponibles.
# d’entrées Le nombre de mots-clés dans chaque liste.
Commentaire Description facultative de chaque liste de filtrage par mots-
liste du catalogue. Cette icône est
diter Sélectionnez pour éditer une liste, un nom de liste ou un commentaire.
Sélectionnez les listes de filtrage par mots-clés dans les profils de protection. Pour plus d’informations, voir « Options du Filtrage Web » à la page 283.
Créer Nou Pour ajouter une nouvelle liste au catalogue, entrez un nosélectionnez Ajouter. Les nouvelles listes sont vides par défaut.
Les listes de
Profils Le profil de protection auquel s’applique chacune des listes.
clés.
Icône Supprimer Sélectionnez pour retirer ladisponible si la liste n’est pas reprise dans un profil de protection.
Icône E
368 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Création d’une noFortiGate-800 et p
eb au catalogue, sélectionnez Filtrage Web > Filtrage par mots-clés et cliquez sur Créer Nouveau. Illustration 217 : Nouvelle liste de blocage de contenu web
uvelle liste de blocage de contenu Web (Modèle boîtier lus)
Pour ajouter une liste de blocage de contenu W
Entrez un nom à la liste.
Entrez un commentaire pour décrire la liste, si nécessaire.
Nom
Commentaire
Visualisation de l cage de
activation de blo t comparée à la liste de blocage de contenu. La valeur du score de chaque modèle apparaissant sur la page est additionnée. Si le total dépasse la valeur seuil définie dans le profil de protection, la page est bloquée. Le score d’un modèle est calculé une seule fois même s’il apparaît à plusieurs reprises sur la page. Pour visualiser la liste de blocage du contenu Web sur les modèles 500 et moins, sélectionnez Filtrage Web > Filtrage par mots-clefs. Illustration 218 : Echantillon d’une liste de blocage de contenu Web pour les
a liste de blo contenu Web
Grâce à l’ cage de contenu Web, chaque page web demandée es
FortiGate-500 et moins
Pour visualiser la liste de blocage du contenu Web sur les modèles 800 et plus,
ter
sélectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur l’icône Edid’une liste que vous voulez visualiser.
Guide d’Administration FortiGate Version 3.0 369 01-30001-0203-20060424
Illustration 219 : Echantillon d’une liste de blocage de contenu Web pour les FortiGate-800 et plus
Remarque : Activer Filtrage pour activer les paramètres d ntenu.
Nom de blocage de contenu. Pour modifier le nom, éditer le texte dans le champ et cliquez sur OK. Le champ
un ommentaire, entrez un texte dans le champ Commentaire et cliquez sur OK. Le champ Commentaire s’affiche sur les modèles FortiGate-800 et plus.
dèles dans la liste.
page précédente.
Icône Bas de page Permet d’afficher la page suivante.
Icône Supprimer toutes Permet de supprimer les entrées de la table. les entrées
Modèles La liste en cours des modèles. Cochez la case pour activer tous les modèles de la liste.
ype de modèles Le type de modèle utilisé dans l’entrée de la liste de modèles. aractère) ou Expression ressions régulières en
Langage Le caractère du modèle. Choisissez entre Chinois Simplifié, inois Traditionnel, Français, Japonais, Coréen, Thaï ou cidental.
èles correspondants apparaissant sur la page sont additionnées. Si le total dépasse la valeur seuil définie dans le profil de protection, la page est bloquée.
Permet de supprimer une entrée de la liste.
Type de modèles, Langage, Activer.
Web > Web Content Block dans un profil de protection pare-feu e blocage de co
Nom de la liste
Nom s’affiche sur les modèles FortiGate 800 et plus.
Commentaire Commentaire facultatif. Pour ajouter ou éditer c
Créer Nouveau Permet d’ajouter un modèle à la liste.
Total Le nombre de mo
Icône Haut de page Permet d’afficher la
TChoisissez entre Wildcard (méta-crégulière. Voir « Utilisation des expPerl » à la page 400.
ChOc
Score Une valeur numérique affectée au modèle. Les valeurs des scores de tous les mod
Icône Supprimer
Icône Editer Permet d’éditer les informations suivantes : Modèles,
370 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration de ontenu web
ot ou de texte jusqu’à 80 caractères de long. Le nombre maximum de mots-clés dans la liste est
e 5000.
eb > Content Block.
Illustration 220 : Nouveau modèle banni
la liste de blocage de c
Les modèles de contenu web peuvent être entrés sous forme de m
d Pour ajouter ou éditer un modèle de blocage de contenu, sélectionnez FiltrageW
Modèle Entrez un modèle de blocage de contenu. Si vous entrez un
mot, le boîtier FortiGate recherche ce mot sur toutes les pages
rase s les
Type de format
Score un score pour le modèle.
Visualisation du cFortiGate-800 et p
Vous pouvez ajouter de m pour les les FortiGate-800 et
rofil de protection. z Web > Filtrage p r
chaque liste d’exemption d ent, cliquez sur l’icône orrespon
web. Si vous entrez une phrase, il recherche tous les mots dela phrase sur toutes les pages web. Si vous entrez une phentre guillemets, il recherche la phrase entière sur toutepages web.
Sélectionnez un type de format de la liste déroulante : Wildcard ou Expression Régulière.
Langage Sélectionnez une langue de la liste déroulante.
Entrez
Activer Cochez cette case pour activer le modèle.
ontenu de la liste d’exemption des contenus Web (modèles lus)
ultiples listes d’exemption des contenus Web modè plus, et sélectionner ensuite la meilleure liste pour chaque p Pour visualiser le contenu de ces listes, sélectionneFiltrage ar mots-clés > Web Content Exempt. Pour visualise
es contenus Web individuellemEditer de la liste c dante. Illustration 221 : Echantillon d’un catalogue de liste d’exemption des contenus Web
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
sélectionnez Ajouter. Les nouvelles listes sont vides par défaut.
Nom Les listes d’exemption des contenus Web disponibles.
# d’entrées Le nombre de modèles de contenu dans chaque liste de blocage de contenu web.
Guide d’Administration FortiGate Version 3.0 371 01-30001-0203-20060424
Profils Le profil de protection appliqué à chaque liste.
scription facultative de chaque liste.
e. Cette icône est
ône Editer Permet d’éditer une liste, le nom de la liste ou le commentaire.
nnez les listes d’exemption des contenus Web dans les profils de ir « Options de filtrage web » à la page 283.
Création d’une nouvelle liste d’exemption des contenus Web (modèles FortiGate-800 et plus)
Pour ajouter une liste d’exemption des contenus Web au catalogue, sélectionnez Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur Créer Nouveau.
velle liste
Commentaire De
Icône Supprimer Permet de retirer une liste du catalogudisponible si la liste n’est pas reprise dans un profil de protection.
Ic
Sélectioprotection. Pour plus d’informations, vo
Illustration 222 : Nou d’exemption des contenus Web
Nom Entrez un nom à cette nouvelle liste.
Commentaire Entrez, si nécessaire, un commentaire qui décrive cette liste.
Visualisation de la liste d’exemption des contenus Web
Les exemptions autorisent l’overriding de la fonction de blocage de contenu web. Si l’un des modèles d’exemption défini dans la liste d’exemption des contenus Web
b content exempt list) apparaît sur une page web, celle-ci ne sera pas bloquée
-fs > Web
les
(wemême si elle aurait dû l’être par la fonction de blocage de contenu web. Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate500 et moins, sélectionnez Filtrage Web > Blocage par mots-cleContent Exempt. Illustration 223 : Echantillon d’une liste d’exemption des contenus Web pourmodèles FortiGate-500 et moins
Pour visualiser la liste d’exemption des contenus Web sur les modèles FortiGate-800 et plus, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt et cliquez sur l’icône Editer de la liste à visualiser.
372 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
tion des contenus Web pour les Illustration 224 : Echantillon d’une liste d’exempmodèles FortiGate-800 et plus
Remarque : Pour activer les es des contenus exemptés, activez Filtrage Web > Web Content Exempt dans un profil de protection pare-feu.
ône Supprimer Permet de supprimer la table.
expressions régulières en Perl » à la page 400.
u
iste.
Icône Editer Permet d’éditer les informations suivantes : Modèle, Type de le, Langage et l’activation.
Configuration de
rme d’un mot ou d’une phrase longue de maximum 80 caractères. La liste peut contenir jusqu’à 5000
paramètr
La liste d’exemption des contenus Web offre les icônes et fonctionnalités suivantes : Nom Le nom de la liste. Pour le modifier, entrez un nouveau nom
dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.
Commentaire Un commentaire facultatif. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez ensuite sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.
Créer Nouveau Permet d’ajouter un modèle à la liste.
Total Le nombre de modèles dans la liste.
Icône Haut de page Permet de visualiser la page précédente.
Icône Bas de page Permet de visualiser la page suivante.
Ictoutes les entrées
Modèle La liste des modèles en cours. Cochez la case pour activer tous les modèles de la liste.
Type de modèle Le type de modèle utilisé par cette entrée. Choisissez entre Wildcard ou Expression Régulière. Voir « Utilisation des
Langage Les caractères utilisés par le modèle : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï oOccidental.
Icône Supprimer Permet de supprimer l’entrée de la l
modè
la liste d’exemption des contenus Web
Les modèles de contenu web exempté se trouve sous la fo
mots.
Guide d’Administration FortiGate Version 3.0 373 01-30001-0203-20060424
Pour ajouter ou éditer un modèle d’exemption, sélectionnez Filtrage Web > Filtrage par mots-clefs > Web Content Exempt. Illustration 225 : Nouveau modèle d’exemption
Modèle Entrez le modèle d’exemption. Dans le cas d’un mot unique, le
boîtier FortiGate recherche le mot dans toutes les pages web. Dans le cas d’une phrase, le boîtier FortiGate recherche chaque mot de la phrase dans toutes les pages web. Dans le cas d’une phrase entre guillemets, le boîtier FortiGate recherche la phrase entière dans toutes les pages web.
pe de modèle Sélectionnez un type de modèle dans la liste déroulante : Wildcard ou Expression Régulière.
tiver
Filtre URL r ou b s ajoutant à la liste
e et des ulières (ou rise ou
bloque les pages web corr aux URL ou modèles spécifiés et affiche sage de remplacem
Ty
Langage Sélectionnez un type de caractères dans la liste déroulante.
Ac Cochez pour activer le modèle.
Vous pouvez autorise loquer l’accès à certaines URL en lede filtre URL. Cela se fait par l’ajout de modèles utilisant du textexpressions rég des méta-caractères). Le boîtier FortiGate auto
espondantesun mes ent à la place de la page.
Remarque : Po paramètres des filtres URL, activez Filtrage Web > Web URL tion pare-feu.
ur activer les Filter dans un profil de protec
Remarque : Le blocage d’URL n’empêche pas l’accès aux autres services que les eur navig L ne bloque pas
le.com our bloquer les P.
Visualisation du catalogue des listes de filtres URL (Modèles FortiGate-800 et plus)
Vous pouvez ajouter plusieurs listes de filtres URL pour les modèles FortiGate-800 et plus, et sélectionner ensuite la liste de filtres URL la plus appropriée à chaque profil de protection. Pour visualiser le catalogue de ces listes, sélectionnez Filtrage Web > URL Filter. Pour visualiser une liste de filtres URL individuellement, cliquez sur l’icône Editer de la liste à visualiser.
utilisateurs ont sur l ateur web. Par exemple, le blocage d’URl’accès à ftp://ftp.exemp . A la place, utilisez des règles pare-feu pconnexions FT
374 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 226 : Echantillon du catalogue des listes de filtres URL
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un no
cliquez sur Ajouter. Les nouvelles listes sont pm et
ar défaut vide.
Les listes de filtres URL disponibles.
trées ue liste de filtres URL.
s te.
ntaire
Icône Supprimer e. profil
u le
tection.
s d’informations, voir
Création d’une nouvelle liste de filtres
Pour ajouter une liste de fi L au catalogue, sélectionnez Filtrage Web > URL Filter et cliquez sur Créer Nouveau. Illustration 227 : Nouvelle liste de filtres URL
Nom
# d’en Le nombre de modèles URL dans chaq
Profil Les profils de protection auxquels s’applique la lis
Comme Description facultative pour chaque liste de filtres URL.
Permet de supprimer une liste de filtres URL d’un cataloguCette icône s’affiche si la liste n’est pas reprise dans unde protection.
Icône Editer a liste ocommentaire. Permet d’éditer une liste de filtres URL, le nom de l
Sélectionnez Listes de filtres URL (URL filter lists) dans les profils de proPour plu « Options de filtrage web » à la page 283.
URL (Modèles FortiGate-800 et plus)
ltres UR
Nom Entrez un nom à la nouvelle liste.
Commentaire Entrez, si nécessaire, une description de la liste.
Visualisation de la liste des filtres URL
Il est possible d’ajouter des URL spécifiques à bloquer ou à exempter et d’ajouter les éléments suivants à la liste de filtres URL :
• URL complètes
• Adresses IP
• URL partielles qui permettent de bloquer ou d’autoriser tous les sous-domaines.
Guide d’Administration FortiGate Version 3.0 375 01-30001-0203-20060424
Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, sélectionnez Filtrage Web > URL Filter. Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, sélectionnez Filtrage Web > URL Filter et cliquez sur l’icône Editer de la liste à visualiser. Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus
La liste de filtres URL possède les icônes et fonctionnalités suivantes : Nom Le nom de la liste de filtres URL. Pour le modifier, entrez un
nouveau nom dans le champ Nom et cliquez sur OK. Ce champ s’affiche sur les modèles FortiGate-800 et plus.
Commentaire Un commentaire facultatif. Pour l’ajouter ou le modifier, entrez un commentaire dans ce champ et cliquez sur OK. Ce champ s’affiche sur les modèles FortiGate-800 et plus.
ge des
Icône Page précédente
Icône Page suivante
toutes
URL
ne Editer ype, Action
Créer Nouveau Sélectionnez pour ajouter une URL à la liste de blocaURL.
Permet de visualiser la page précédente.
Permet de visualiser la page suivante.
Icône Supprimer Permet de supprimer toutes les entrées de la table. les entrées
La liste en cours des URL bloquées ou exemptées. Cochez la case pour sélectionner toutes les URL de la liste.
Type Le type d’URL : Simple ou Regex (expression régulière).
Action L’action à prendre lors d’une correspondance avec l’URL : Bloquer, Autoriser ou Exempter.
Icône Supprimer Permet de retirer une entrée de la liste.
Icô Permet d’éditer les informations suivantes : URL, Tet l’activation.
Icône Déplacer Ouvre la boîte de dialogue de déplacement d’un filtre URL.
376 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration d’une liste de filtres UR
Une liste de filtres URL peut compter jusqu’à 5000 entrées.
L
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, « com »pour bloquer l’accès à toutes les URL comprenant ce suffixe. Pour ajouter une URL à la liste de filtres URL, sélectionnez Filtrage URL > URL Filter.
)
Illustration 230 : Nouveau filtre URL
URL Entrez une URL sans inclure http://
Type Sélectionnez un type dans la liste déroulante : Simple ou Reg(Expression Régulière
ex ).
ans la liste déroulante : Autoriser, Bloquer, Exempter.
Activer Cochez cette case pour activer l’URL.
Entrez une URL ou une adresse IP de haut niveau pour contrôler l’accès à toutes les pages d’un site web. Par exemple, www.exemple.com ou 192.168.144.155ontrôle l’accès à toutes les pages de ce site web.
de haut ni e fichier pour cès à une seu
ontrôle age News de
s à to e par exemple.com, .com
eb FortiGate s
Action Sélectionnez une action d
c Entrez une URL veau suivie d’un chemin et d’un nom dcontrôler l’ac le page d’un site web. Par exemple, www.exemple.com/news.html ou 192.168.144.155/news.html cl’accès à la p ce site. Pour contrôler l’accè utes les pages dont l’URL se terminajoutez exemple.com à la liste de filtres. Par exemple, l’ajout de exemplecontrôle l’accès à www.exemple.com, mail.exemple.com, www.finance.exemple.com, etc.
Les filtres w upportent les expressions régulières standard.
Remarque : Les URL dontà l’analyse de virus. Si lesprovenant de sites web de e ce site à la liste de filtres
définie s ne procède e de virus de
l’action est définie sur Exempter ne sont pas soumises utilisateurs du réseau téléchargent des fichiers confiance, ajoutez l’URL d
URL avec l’action ur Exempter pour que le boîtier FortiGatepas à l’analys ces fichiers.
Remarque : Pour activer les paramètren profil de protection pare-feu.
s des filtres URL, activez Filtrage Web > Web URL Filter dans u
Guide d’Administration FortiGate Version 3.0 377 01-30001-0203-20060424
Déplacement d’URL au sein de la liste de filtres URL
, les entrées peuvent être ts end
Pour déplacer une URL dans la liste, sélectionnez l’icône Déplacer à droite de l’URL à déplacer.
u
Pour simplifier l’utilisation de la liste de filtres URLdéplacées à différen roits de la liste.
31 : Déplacer n filtre URL Illustration 2
Déplacer vers Choisissez une localisation dans la liste.
(URL) Entrez l’URL avant ou après laquelle la nouvelle URL doit être placée.
Filtrage Web
ortiGuard-Web trie des centaines de millions de pages web en une grande gamme de catégories que les utilisateurs peuvent autoriser, bloquer ou surveiller.
rtiGate se connecte au Point de Service FortiGuard-Web le plus roche pour déterminer la catégorie d’une page web sollicitée et suit ensuite les
directives de la règle pare-feu configurée pour cet utilisateur ou cette interface. FortiGuard-Web comprend plus de 60 millions d’évaluation de sites web couvrant ainsi des centaines de millions de pages. Les pages sont triées et évaluées en fonction de 56 catégories que les utilisateurs peuvent bloquer, autoriser ou surveiller. Les catégories peuvent être ajoutées ou mises à jour en fonction de l’évolution d’Internet. Pour simplifier une configuration, l’utilisateur peut également choisir de bloquer, autoriser ou surveiller des groupes entiers de catégories. Les pages bloquées sont alors remplacées par un message indiquant que la page n’est pas accessible étant donné le règlement en vigueur sur l’utilisation de l’Internet. Les évaluations de FortiGuard-Web sont le résultat d’une combinaison de méthodes propres d’analyse de texte, d’exploitation de la structure du Web et d’évaluations entreprises par une équipe de personnes analyseurs du web. Les utilisateurs peuvent faire part aux Points de Service FortiGuard-Web d’une page qui est, à leur avis, mal catégorisée. Les nouveaux sites web sont rapidement évalués si nécessaire. La procédure pour configurer le blocage de catégories FortiGuard dans un profil de protection est décrite dans « Options du filtrage FortiGuard-Web » à la page 285. Pour configurer le service FortiGuard-Web, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.
Configuration du filtrage FortiGuard-Web
Pour configurer un service FortiGuard-Web, sélectionnez Système > Maintenance > Centre FortiGuard. Pour plus d’informations, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 186.
FortiGuard e service FortiGuard-Web est une solution de filtrage Web gérée par Fortinet. L
F
Le boîtier Fop
378 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation de l
Les utilisateurs voudront probablement accéder à des sites web bloqués par une règle. Dans ce cas, un administrateur peut donner à cet utilisateur la possibilité d’ignorer le blocage pour un temps déterminé. Lorsqu’un utilisateur tente d’accéder à un site bloqué alors que l’override est activé, un lien vers une page d’authentification apparaît sur la page bloquée. L’utilisateur doit fournir un nom d’utilisateur et un mot de passe corrects sans quoi le site web reste bloqué. L’authentification est basée sur des groupes utilisateurs et peut être effectuée pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus d’informations sur l’authentification et la configuration de groupes utilisateurs, voir « Groupe d’utilisateurs » à la page 330. Pour visualiser la liste d’override, aussi appelée liste des règles d’ignorance, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 232 : Liste Override
a liste override
Créer Nou Permet d’ajouter une nouveau velle règle d’ignorance à la liste.
édente
Icône Supprimer tout Supprime toutes les entrées de la table.
URL/Catégorie L’URL ou la catégorie à laquelle s’applique la règle
t de la règle d’ignorance.
’ignorance.
Date d’expiration La date d’expiration de la règle d’ignorance.
er une entrée de la liste.
d’ignorance.
# Le nombre de règles d’ignorance dans la liste.
Icône Page préc Permet de visualiser la page précédente.
Icône Page suivante Permet de visualiser la page suivante.
d’ignorance.
Portée L’utilisateur ou le groupe d’utilisateurs qui bénéficien
Off-site URLs L’utilisateur se voit autoriser ou interdit d’accéder aux liens de la catégorie ou de l’URL ignorée. Une marque verte signifie unaccès off-site permis. Une croix grise signifie une interdiction d’accès.
Initiateur Le créateur de la règle d
Icône Supprimer Permet de retir
Icône Editer Permet d’éditer les informations suivantes : Type, URL, Portée, Utilisateur, Off-site URLs et Durée de la règle
Guide d’Administration FortiGate Version 3.0 379 01-30001-0203-20060424
Configuration de
cès aux sites web bloqués en fonction du répertoire, nom de domaine ou de la catégorie. Pour créer une règle d’ignorance pour un répertoire ou un domaine, sélectionnez Filtrage Web > FortiGuard-Web Filter > Override. Illustration 233 : Nouvelle règle d’ignorance – Répertoire ou Domaine
règles d’ignorance
Les règles d’ignorance peuvent être configurées pour permettre l’ac
Type Sélectionnez Répertoire ou Domaine.
URL Entrez l’URL ou le nom de domaine du site web.
Choisissez entre : UtilisatePortée ur, Groupe d’utilisateurs, IP, Profil.
Utilisateur
Groupe d’utilisateurs
e l’ordinateur initiant la règle.
rofil Sélectionnez un profil de protection dans la liste déroulante.
n va web
ignoré.
orance s
En fonction de l’option choisie, le champ qui suit varie.
Entrez le nom de l’utilisateur sélectionné dans Portée.
Sélectionnez un groupe d’utilisateurs dans la liste déroulante. Ces groupes doivent être configurés avant de commencer la configuration du FortiGuard-Web. Pour plus d’informations, voir « Groupe d’utilisateurs » à la page 330.
IP Entrez l’adresse IP d
P
Off-site URLs Choisissez entre Autorisées ou Bloquées. Cette fonctiopermettre à l’utilisateur d’accéder ou non aux liens du site
Durée d’ign Entrez la durée en jours, heures et minutes. La date d’expiration alors calculée s’affiche dans la liste des règled’ignorance.
380 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour créer une règle d’ignorance pour des catégories, sélectionnez Filtrage Web > ard-Web Filter > Override.
velle règle d’ignorance – Catégories
FortiGu Illustration 234 : Nou
Type Sélectionnez Catégories.
Catégories Choisissez les catégories auxquelles s’applique la règle d’ignorance. Un groupe ou un sous-groupe de catégories peut être sélectionné. Les catégories locales sont également affichées.
ue la règle céder aux
sites web qui fournissent des contenus sauvegardés et des e, audio et vidéo.
Portée Choisissez entre : Utilisateur, Groupe d’utilisateurs, IP, Profil. En fonction de l’option choisie, le champ qui suit varie.
Utilisateur Entrez le nom de l’utilisateur sélectionné dans Portée.
ste déroulante.
règle.
la liste déroulante.
oisissez entre Autorisées ou Bloquées. Cette fonction va permettre à l’utilisateur d’accéder ou non aux liens du site web
Classifications Choisissez les classifications auxquelles s’appliqd’ignorance. Si prévu, les utilisateurs peuvent ac
moteurs de recherche de fichiers imag
Groupe d’utilisateurs Sélectionnez un groupe d’utilisateurs de la li
IP Entrez l’adresse IP de l’ordinateur initiant la
Profil Sélectionnez un profil de protection de
Off-site URLs Ch
ignoré.
Guide d’Administration FortiGate Version 3.0 381 01-30001-0203-20060424
Durée d’ignorance Entrez la durée en jours, heures et minutes. La date d’expiration alors calculée s’affiche dans la liste des règles
Création de catégories locales
Des catégories définies par des utilisateurs peuvent être créées afin d’autoriser sur base d’un profil. Les catégories
ries URL globale lors de la en
d’ignorance.
aux utilisateurs de bloquer des groupes d’URLdéfinies ici s’affichent dans la liste des catégoconfiguration d’un profil de protection. Les utilisateurs peuvent évaluer les URLfonction des catégories locales. Illustration 235 : Liste des catégories locales
Add/Ajouter Entrez le nom d’une catégorie et cliquez ensuite sur le bouton
Add.
cône Supprimer Permet de retirer une eI ntrée de la liste.
Visualisation de la liste des évaluations locales
P ons localF tings. I locales
our visualiser la liste des évaluatiortiGuard-Web Filter > Local Ra
es, sélectionnez Filtrage Web >
llustration 236 : Liste des évaluations
C outer u
R d
1 d’é
Icô te Permet de visualis
Icône Page suivante Permet de passer
Icône Supprimer tout Permet de supprim
U . Cli iste en
C égorie ou cla cée. Si l’URL a été clasclassifications, des ppremière catégorie de dialogue Filtre de cl’entonnoir apparaî
Icône Supprimer Permet de supprim
réer Nouveau Permet d’aj
echercher Entrez un critère
– 3 of 3 Le nombre total
ne Page précéden
ne évaluation à la liste.
e recherche pour filtrer la liste.
valuations locales dans la liste.
er la page précédente.
à la page suivante.
er toutes les entrées de la table.
RL L’URL évaluéefonction des URL.
atégorie La cat
quez sur la flèche verte pour trier la l
ssification dans laquelle l’URL a été plasée dans plusieurs catégories ou points de sus ension (...) suivent la . En cliquant sur l’entonnoir gris, la boîteatégorie s’ouvre. Une fois la liste filtrée, t en vert.
er une entrée de la liste.
382 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
I Permet d’éditer les informations suivantes : URL, Evaluation catégorie et Evaluation de la Classification.
I
cône Editer de la
llustration 237 : Filtre de catégorie
C
N uez sur la flèch e la gorie.
A le rie
N ons (o
Activer le filtre Permet d’activer le
Configuration d’évaluations locales
L es catégorie ui entrent dans c teurs de bloquer des groupes de sites web s nt comprises dans la liste d’URL globale a lles sont comparées de la même façon que la liste d’URL bloquées. L’utilisateur peut également spécifier si l’évaluation locale est utilisée en conjonction avec l’évaluation FortiGuard ou utilisée comme règle d’ignorance. Pour créer une évaluation locale, sélectionnez Filtrage Web > FortiGuard-Web Filter > Local Ratings.
lear Filter Supprime tous les filtres.
om de la catégorie Cliqcaté
e bleue pour afficher le contenu d
ctiver le filtre Permet d’activer individuelle.
om de la classification Les classificatiu classe)
filtre pour la catégorie ou la sous-catégo
qui peuvent être filtrées.
filtre de classification.
es utilisateurs peuvent créer des catégories. Cela permet aux utilisaur base d’un profil. Les évaluations sovec les catégories associées et e
s et spécifier les URL q
Guide d’Administration FortiGate Version 3.0 383 01-30001-0203-20060424
I llustration 238 : Nouvelle évaluation locale
URL Entrez l’URL à évaluer.
Nom de la catégorie Cliquez sur la flèche bleue pour afficher la catégorie.
Activer le filtre Cochez la case pour activer le filtre pour la catégorie ou sous-
Configuration d’un blocage de catégorie à partir de l’interface de ligne de
Utilisez le mot-clé hostname pour la commande webfilter fortiguard pour
Rapports du Filtr
catégorie individuelle.
Nom de la classification Les classifications pouvant être filtrées.
Activer le filtre Cochez la case pour activer le filtre de classification.
commande
modifier le nom d’hôte par défaut (URL) du Point de Service FortiGuard-Web. Ce nom ne peut être modifié à partir de l’interface d’administration web. Configurez tous les paramètres FortiGuard-Web à partir des commandes CLI. Pour plus d’informations, voir le FortiGate CLI Reference.
age FortiGuard-Web
Remarque : Les filtrage FortiGuard-Web ne sont disponibles que sur les dur.
rapports du FortiGate munis d’un disque
n permet de géné de diagramme Filtrage Fort rotection. Le boîtier
te enregistre les st tégories, risées ou so des tranches jours. Vous complet de toutes
les activités.
Cette fonctio rer un tableau textuel et sous formedu rapport du iGuard-Web pour tous les profils de pFortiGa atistiques pour les pages web de toutes les cabloquées, auto us surveillance. Les rapports portent sur d’heures ou de pouvez aussi visualiser un rapport
384 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
iltrage web, sélectionnez Filtrage Web > FortiGuard-Pour créer un rapport de f
Web Filter > Rapports.
o FortiGuard-Web Illustration 239 : Echantill n d’un rapport de Filtrage
Profil Sélectionnez le profil de p
être généré. rotection pour lequel un rapport doit
t hoisissez entre heure, jour ou tout.
lage horaire (24 heures) ou la plage de jour
le
jour
n rapport généré comprend un diagramme et les informations suivantes :
atégorie La catégorie pour laquelle les statistiques sont générées.
tranche de temps défini.
quées La nombre d’adresses web bloquées sollicitées dans la
tranche de temps défini.
Type de rappor Sélectionnez un type de temps pour le rapport. C
Plage Sélectionnez la p(des 6 derniers jours à aujourd’hui) pour le rapport. Par exemple, un rapport de type heure avec une plage 13 à 16,rapport affiche les résultats de la tranche horaire 13 à 16 heures aujourd’hui (1 pm à 4 pm). Pour un rapport de type avec une plage de 0 à 3, le rapport affiche les résultats destrois derniers jours à aujourd’hui.
Obtenir le rapport Génère un rapport.
U
C
Autorisées Le nombre d’adresses web autorisées accédées dans la
Blotranche de temps défini.
Contrôlées Le nombre d’adresses web contrôlées accédées dans la
Guide d’Administration FortiGate Version 3.0 385 01-30001-0203-20060424
Antispam Cette section explique comment configurer les options du filtrage antispam associé à un profil de protection.
ette section parcourt les sujets suivants :
ntispam
• Mots bannis
et liste Bla
• Configuration antispam
• Utilisation des express res Perl
Antispam pam gère les mails tectant les messages
rveurs spam
Antispam est une des fonctionnalités de la gestion des spams.
FortiGuard reçoit les soumi s mails spams ainsi que les faux
Center, pour plus de détail
Ordre du filtrage antispam
re dans lequel les maest déterminé par le protoc
Pour le trafic SMTP
1 Vérification des adresses
2 Vérification RBL & ORDBLHELO DNS lookup
3 Vérification des adresses anches ou noires
4 Vérification des en-têtes MIME
5 es adresses Iadresses extraites des cha
6 Vérification DNS de l’adresse de retour, vérification antispam par s champs d’en-tête u du message)
7
1
C
• A
• Liste Noire nche
avancée
ions réguliè
L’Antis commerciaux non sollicités en démails spam et identifiant les transmissions spam provenant de seconnus ou suspectés. Les filtres spams sont configurés pour une utilisation au niveau du système, mais sont activés sur base des profils. FortiGuard-FortiGuard est un système antispam de Fortinet qui comprend une liste noire d’adresses IP, une liste noire d’URL et des outils de filtrage antispam. Le Centre
ssions de messagepositifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge
s et un lien vers le Centre FortiGuard.
L’ord ils entrants passe à travers les filtres Antispam FortiGate ole utilisé pour le transfert des mails.
en listes blanches ou noires (prochain saut IP)
, vérification des adresses par FortiGuard,
Email en listes bl
Vérification d P en listes blanches ou noires (à partir des mps d’en-tête « Received »)
Fortiguard (à partir des adresses extraites de« Received » et des URL extraites du conten
Vérification des mots bannis
Pour le trafic POP3 et IMAP
Vérification des adresses Email en listes blanches ou noires
386 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
2
3
4
fic SMTP, POP3 et IMAP
Les filtres nécessitant une de à un serveur et une réponse (FortiGuard
s sont première réponse enclenc eff t dès la réception de
nse.
Chaque filtre spam passe ln problème n’est trou
spam) s’enclenche, le boît ail (SMTP nt) suivant les par
ark as clear (Marquer comme non spam), le mail est s. Si l’action est Mark as Reject (Rejeter), la session mail ssages mails SMTP rejetés sont substitués par un
message de remplacement configurable. Tableau 41 : Antispam et configuration du filtrage antispam dans les profils de
rotection
Vérification des en-têtes MIME et vérification des IP en listes blanches ou noires
Vérification DNS de l’adresse de retour, vérification antispam par ortiGuard, vérification RBL & ORDBL F
Vérification des mots bannis
Pour le tra
demanAntispam Service et DNSBL/ORDBL) fonctionnent simultanément. Pour éviter lesretards, les requête envoyées pendant que d’autres filtres fonctionnent. La
hant une action spam prend ecette répo
e mail au prochain filtre si aucune correspondance ou aucu vé. Si l’action du filtre Mark as spam (Marquer comme
ier FortiGate balisera (tag) ou rejettera le mseuleme amètres configurés dans le profil de protection. Si l’action enclenchée est Mdispensé des autres filtreest abandonnée. Les me
pOptions du filtrage antispam des profils de protection
Paramètres Antispam
Vérification FortiGuard-Antispam de l’adresse IP
Système > Maintenance > FortiGuaCenter
rd
Activation ou désactivation du service antispam Fortinet appelé FortiGuard-
Activation FortiGuard-Antispam, vérification de l’état du serve
Antispam. FortiGuard-Antispam est le serveur DNSBL propre à Fortinet qui fournit les listes noires des adresses IP et URL spams. Fortinet maintient ces listes à jour.
FortiGuard-Antispam, visualisation du type de licence et de la date d’expiratioet configuration du cache. Pour plus de détails, voir « Configuration du boîtier FortiGate pour les services FDN et FortiGuard » à la page 18
ur
n
6. Vérification des adresses IP en listes Anti-spam > Black/White List > Adresse IP blanche ou noire Vérification des listes noire et blanche. Ajout et édition d’adresses IP à la liste. Activation ou désactivation de la comparaison des adresses IP entrantes à la
Vous pouvez configurer l’action à prendre pour chaque adresse IP : spam, non-
nt liste d’adresses IP du filtre spam configuré (SMTP uniquement).
spam ou rejeter. Les adresses IP peuveêtre placées à un endroit précis de la liste. Le filtre contrôle chaque adresse IP successivement (SMTP uniquement).
Contrôle DNSBL & ORDBL A partir de l’interface de ligne de commande uniquement
Activation ou désactivation de la comparaison du trafic mail au serveur des
Ajout ou suppression des serveurs DNSBL et ORDBL de la liste. Vous
listes Blackhole DNS configurée (DNSBL) et Open Relay Database (ORDBL).
pouvez configurer l’action à prendre pour les mails identifiés comme spam pour chaque serveur : spam ou rejeter (SMTP uniquement). La configuration DNSBL et ORDBL ne peut être modifiée qu’à partir de l’interface de ligne de commande. Pour plus d’informations, voir le FortiGate CLI Reference.
Guide d’Administration FortiGate Version 3.0 387 01-30001-0203-20060424
Rech n/a erche HELO DNS Activation ou de la comparaison d maine source à
désactivation u nom de do
e IP enregistrée danaine. Si le noespond pas à
ofil denclenchée.
l’adress s le Serveur des Noms de Dom m de domaine source ne corr l’adresse IP, le mail est marqué comme spam et l’action sélectionnée dans le pr e protection est
Contrôle des en listes blanche ou n
Anti-spam > Black/White List > Adresse Mail
adresses mails oire
Activation ou désactivation comparaison des mails entrants à la liste
édition d’adresses mails à la liste, avec l’option d’utilisation de wildcards et
res
adresses IP peuvent être placées à un
de la Ajout et
des adresses mails du filtre spam configuré. d’expressions régulières. Vous pouvez configurer pour chaque ad se mail l’action à prendre : spam ou rejeter. Les
endroit précis de la liste. Le filtre contrôlechaque adresse IP successivement.
Vérification DNS de l’adresse de retour n/a Activation ou désactivation de la comparaison du nom de domaine de l’adresse de retour des mails entrants à
l’adresse IP enregistrée dans le Serveur des
de l’adresse de retour ne correspond pas à l’adresse IP, le mail est marqué comme spam et l’action sélectionnée dans le profil
otection est enclenché
Noms de Domaine. Si le nom de domaine
de pr e. Vérification de A partir de l’interface de ligne
commande uniquement s en-têtes MIME de
Activation ou désactivation de la comparaison de l’en-tête MIME de la source à la liste d’en-têtes MIME du filtre spam configuré.
Ajout et édition d’en-têtes MIME, avec l’option d’utiliser des wildcards ou des expressions régulières. Vous pouvez configurer l’action à prendre pour chaque en-tête MIME: spam ou rejeter. La configuration DNSBL et ORDBL ne peut être modifiée qu’à partir de l’interface de ligne de commande. Pour plus d’informations, voir le FortiGate CLI Reference.
Filtrage par mots-clefs Anti-spam > Mots Clefs Activation ou désactivation de la comparaison du mail source avec la liste des mots bannis du filtre antispam.
Ajout et édition des mots bannis de la liste, avec l’option d’utiliser des wildcards ou expressions régulières. Vous pouvez configurer la langue et décider de lancer la recherche dans le sujet ou le corps du mail, ou les deux. Vous pouvez configurer l’action à prendre pour chaque mot : spam ou rejeter.
Action antispam n/a L’action à prendre pour un mail identifié comme spam. Les messages POP3 et IMAP sont balisés (tag). Choisissez entre Tag ou Rejeter pour les messages SMTP. Vous pouvez ajouter un mot ou phrase personnalisé au sujet des en-tête MIME des mails balisés. Vous pouvez choisir de journaliser chaque action antispam dans le journal des événements.
Insertion : Choisissez d’ajouter la balise au sujet ou à l’en-tête MIME du mail identifié comme spam.
388 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Insertion de : Entrez un mot ou une phrase (tag) à ajouter au mail identifié comme spam. Longueur maximum du tag : 63 caractères. Ajouter l’événement dans le journal du système.
Activer ou désactiver la journalisation des actions antispam dans la journal des événements.
Pour accéder aux options du profil de protection Antispam, sélectionnez Pare-feu > Profil de protection, éditer ou Créer Nouveau, Filtrage antispam.
Remarque : Lorsque des domaines virtuels sont activés sur le boîtier FortiGate, les fonctionnalités de filtrage antispam sont configurées globalement. Pour accéder à ces fonctionnalités, sélectionnez Configuration Globale dans le menu principal.
Mots bannis Il vous est possible de contrôler les mails spam contenant des mots ou expressions spécifiques. Lorsque cette option est activée dans le profil de protection, le boîtier FortiGate recherche ces mots et expressions dans les mails. Si des correspondances sont trouvées, les valeurs affectées aux mots sont totalisées. Si une valeur de seuil définie pour un utilisateur est dépassée, le mail est marqué comme spam. Si aucune correspondance n’est trouvée, le mail passe
essions bannis dans la liste, utilisez des expressions gulières en Perl ou des méta-caractères.
jusqu’au prochain filtre. Pour ajouter des mots et exprré
Remarque : Les expressions régulières en Perl sont sensibles à la casse des aractères pour le filtrage antispam par mots-clés. Pour modifier cela et rendre le mot ou la
nsible à la casse language/i bloque tous les s méta-caractères (wildcards) n
Visualisation du catalogue de listes d800 et plus)
outer de m les FortiGate-800 et plus, et s r ensuite la meilleure liste pour chaque profil
tection. Pour visuali s bannis antispam, ionnez Anti-spam > Mots cle ue liste
ion
du catalogue de listes de filtrage par mots-clés
cphrase inse des caractères, utilisez l’expression /i. Par exemple, /bad
cas de bad language sans tenir compte de la casse. Lee sont pas sensibles à la casse des caractères.
e mots bannis antispam (Modèles FortiGate-
Vous pouvez aj ultiples listes de mots bannis antispam sur les modèélectionne
de pro ser la catalogue des listes de motsélect fs. Pour visualiser chaqindividuellement, sélect nez l’icône Editer de la liste désirée. Illustration 240 : Echantillon
Créer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont vides par défaut.
Guide d’Administration FortiGate Version 3.0 389 01-30001-0203-20060424
Nom
# d’entrées
Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est n’est pas reprise dans un profil de
Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
électionnez les listes de filtrage par mots-clés dans les profils de protection. Pour
ge 286.
Création d’une no tispam (modèles FortiGate-800 et plus)
Pour ajouter une liste de mots bannis antispam au catalogue, sélectionnez Anti-spam > Mots clefs et cliquez sur Créer Nouveau. Illustration 241 : Boîte de dialogue d’une nouvelle liste de mots bannis antispam
Les listes de mots bannis antispam disponibles.
Le nombre d’entrées dans chaque liste.
Profils Les profils de protection appliqués à chaque liste.
Commentaire Description facultative de chaque liste.
disponible si la listeprotection.
Splus d’informations, voir « Options du filtrage antispam » à la pa
uvelle liste de mots bannis an
Entrez un nom à la liste.
Entrez une description de la liste, si nécessaire.
Nom
Commentaire
Visualisation de la liste de mots bannis antispam
tispam. uvez ajouter un ou plusieurs mots bannis pour filtrer les mails contenant
e est
Pour visualiser la liste des mots bannis sur les modèles FortiGate-500 et moins, sélectionnez Anti-spam > Mots Clefs. Illustration 242 : Echantillon d’une liste de mots bannis pour les modèles FortiGate-500 et moins
Chaque mail est contrôlé par comparaison à la liste des mots bannis anVous poces mots dans leur sujet, corps du message ou les deux. La valeur accordée à chaque mot apparaissant dans le message est ajoutée au total des valeurs. Si celui-ci dépasse la valeur seuil définie dans le profil de protection, le messagtraité selon l’Action antispam configurée dans le profil de protection. La valeur d’un mot banni n’est comptabilisée qu’une seule fois même si ce mot apparaît à plusieurs reprises dans le message.
390 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Pour visualiser la liste de mots bannis sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Mots clefs et cliquez sur l’icône Editer de la liste à
Illustration 243 : Echantillo plus
visualiser.
n d’une liste de mots bannis pour les modèles FortiGate-800 et
Nom de la liste de mots banNom nis. Pour le modifier, entrez un nom dans le champ Nom et cliquez sur OK. Ce champ
commentaire, entrez le texte dans le champ Commentaire et
Créer Nouveau Permet d’ajouter un mot ou une phrase à la liste des mots bannis.
Total Le nombre d’éléments dans la liste.
Icône Page suivante Permet de visualiser la page suivante.
Icône Supprimer toutes Permet de supprimer toutes les entrées de la table. les entrées
Expression régulière La liste des mots bannis. Cochez la case pour activer tous les mots de la liste.
ype d’expression Le type d’expression utilisé par l’entrée de la liste. Choisissez entre Wildcard et Expression. Pour plus d’informations, voir
régulières en Perl » à la page 400.
hinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental.
ssage dans laquelle le boîtier FortiGate nni : sujet, corps ou tout.
e
valeur définie dans spamwordthreshold on, la page est
mptabilisé une seule
fois même dans les cas où le mot apparaît à plusieurs reprises sur la page web.
Icône Supprimer Permet de supprimer un mot de la liste.
Icône Editer Permet d’éditer les informations suivantes : Expression Régulière, Type d’Expression, Langage, Où, Action antispam et l’activation.
apparaît sur les modèles FortiGate-800 et plus.
Commentaire Commentaire optionnel. Pour ajouter ou éditer un
cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.
Icône Page précédente Permet de visualiser la page précédente.
T
« Utilisation d’expressions
Langage Les caractères du mot banni : Chinois simplifié, C
Où La localisation du meva chercher le mot ba
Score La valeur numérique affectée au mot banni. Les valeurs Scorde tous les mots correspondants apparaissant dans un mailsont additionnées. Si le total dépasse la
du profil de protectitraitée selon l’action antispam définie pour ce type de trafic dans le profil de protection (ex. smtp3-spamaction) : passou tag. Le Score d’un mot banni est co
Guide d’Administration FortiGate Version 3.0 391 01-30001-0203-20060424
Configuration de
Les mots peuvent être marqués comme spam ou à rejeter. Les mots bannis euvent être un mot ou une phrase d’une longueur maximum de 127 caractères.
ase, le boîtier FortiGate bloque tous les mails ontenant la phrase exacte. Pour entraîner le blocage à chaque apparition d’un
Pour ajouter ou éditer un mot banni, sélectionnez Anti-spam > Mots Clefs. Illustration 244 : Ajouter un mot-clé
la liste des mots bannis antispam
p Dans le cas d’un mot simple, le boîtier FortiGate bloque tous les mails contenant ce mot. Dans le cas d’une phrcmot de la phrase, utilisez les expressions régulières en Perl.
xpression Entrez le mot ou la phrase à inclure dans la liste des mots bannis.
xpression
Où n du message dans laquelle le boîtier FortiGate
Activer te case pour activer le filtrage de ce mot banni.
Liste noire et liste blanche
r filtre cette option ait été pr
rification à pa oîtier FortiGate essivement ssage à sa liste
qu’unel’adresse IP est enclenchétrouvée, le mail est envoyé in f Lors d’une vérification à partir d’une liste d’adresses mails, le boîtier FortiGate compare successivement l’adresse mail de l’émetteur du message à sa liste d’adresses mails. Lorsqu’une correspondance est trouvée, l’action associée avec l’adresse mail est enclenchée. Dans le cas où aucun correspondance n’a été trouvée, le mail est envoyé vers le prochain filtre antispam activé.
E
Type d’e Sélectionnez le type d’expression du mot banni : Wilcard ou Expression régulière. Voir « Utilisation d’expressions régulières en Perl » à la page 400.
Langage Les caractères du mot banni : Chinois simplifié, Chinois traditionnel, Français, Japonais, Coréen, Thaï ou Occidental.
La localisatiova chercher le mot banni : sujet, corps ou tout.
Cochez cet
Le boîtier FortiGate utilise aussi bien une liste d’adresses IP qu’une liste d’adresses mails pou r les mails entrants à condition que activée dans le profil de otection. Lors d’une vé rtir de la liste d’adresses IP, le bcompare succ l’adresse IP de l’émetteur du med’adresses IP. Lors correspondance est trouvée, l’action associée à
e. Dans le cas où aucun correspondance n’a été vers le procha iltre antispam activé.
392 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Visualisation du catalogue de listes d’adresses IP antispam (modèles FortiGate-800 et plus).
d’adresses IP antispam pour les modèles e pour chaque profil de
e listes d’adresses IP antispam, sélectionnez Anti-spam > Black/White List > Adresse IP. Pour visualiser une ste individuellement, cliquez sur l’icône Editer de la liste désirée.
: Echantillon d’adresses IP antispam
Vous pouvez ajouter plusieurs listesFortiGate-800 et plus et sélectionner la meilleure listprotection. Pour visualiser le catalogue d
li Illustration 245 d’un catalogue de listes
Créer Nouveau Pou , entrez un nom et
Nom Les disponibles.
es
rofils Les profils de protection appliqués à chaque liste.
e de chaque liste.
talogue. Cette icône est
filtrage par mots-clés dans les profils de protection. Pour s, voir « Options du filtrage antispam » à la page 286.
Pour ajouter une liste d’adresses IP antispam au catalogue, sélectionnez Anti-spam > Black/White List > Adresse IP et cliquez sur Créer Nouveau. Illustration 246 : Boîte de dialogue d’une nouvelle liste d’adresses IP antispam
r ajouter une nouvelle liste au cataloguecliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides.
listes d’adresses IP antispam
# d’entré Le nombre d’entrées dans chaque liste.
P
Commentaire Description facultativ
Icône Supprimer Permet de supprimer une liste du cadisponible si la liste n’est pas reprise dans un profil de protection.
Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Sélectionnez les listes deplus d’information
Création d’une nouvelle liste d’adresses IP antispam (modèles FortiGate-800 et plus)
Nom Donnez un nom à la liste.
Commentaire Entrez une description de la liste, si nécessaire.
Guide d’Administration FortiGate Version 3.0 393 01-30001-0203-20060424
Visualisation de la liste d’adresses IP antispam
boîtier FortiGate pour qu’il filtre les mails provenant mpare l’adresse IP de l’émetteur à sa liste
uccessivement. Vous pouvez marquer chaque adresse IP de l’action : non spam, spam ou rejeter. Les adresses IP simples ou
Il est possible de configurer led’adresses IP spécifiques. Le boîtier cod’adresses IP antispam, et ce s
des plages d’adresses au niveau du réseau peuvent être filtrées en configurant l’adresse et le masque. Pour visualiser la liste d’adresses IP sur les modèles FortiGate-500 et moins, électionnez Anti-spam > Black/White List > Adresse IP s
Illustration 247 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-500et moins
Pour visualiser la liste d’adresses IP sur les modèles FortiGate-800 et plus, sélectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur lEditer de la liste à visualiser. Illustration 2
’icône
48 : Echantillon d’une liste d’adresses IP pour les modèles FortiGate-800 t plus e
Nom Nom de la liste d’adresses IP antispam. Pour le modifier,
entrez un nom dans le champ Nom et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.
la liste d’adresses IP
ône Page précédente Permet de visualiser la page précédente.
Icône Page suivante Permet de visualiser la page suivante.
Icône Supprimer toutes Permet de supprimer toutes les entrées de la table. les entrées
Commentaire Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.
Créer Nouveau Permet d’ajouter une adresse IP àantispam.
Total Le nombre d’éléments dans la liste.
Ic
394 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Adresse IP/Masque La liste actuelle des adresses IP.
Action L’action à prendre pour un mail provenant d’une adresse IP configurée. Les actions sont : Marquer comme spam pour appliquer l’action antispam configurée, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam
me spam.
Icône S rimer une adresse de la liste.
Configuration de la liste des adresses IP antispam
• x.
suivants, ou Marquer à Rejeter (SMTP uniquement) pour supprimer la session. Si une adresse IP est définie sur Rejeter, mais que le mail provient d’une adresse IP à partir de POP3 ou IMAP, les messages mails seront marqués com
upprimer Permet de supp
Icône Editer Permet d’éditer les informations suivantes :L’adresse IP/Masque, Insertion, Action antispam et l’activation.
Pour ajouter une adresse IP à la liste d’adresses IP, sélectionnez Anti-spam > Black/White List > Adresse IP et cliquez sur Créer Nouveau. Entrez une adresse IP et un masque dans un de ces deux formats :
x. x.x/x.x.x.x, par exemple, 62.128.69.100/255.255.255.0 • x.x.x.x/x, par exemple, 62.128.69.100/24 Illustration 249 : Ajouter une adresse IP
Adresse IP/Masque Entrez l’adresse IP et le masque.
Insérer Avant/Après Sélectionnez une position dans la liste pour cette adresse IP.
Sélectionnez une action. Les actions sont : Marquer comme spam pour appliquer l’action antispam configurée dans le profil
Visualisation du catalogue de listes d’adresses mail antispam (modèles
s et sélectionner la meilleure liste pour chaque profil de
rotection. Pour visualiser le catalogue de listes d’adresses mail antispam, sélectionnez Anti-spam > Black/White List > Adresse Mail. Pour visualiser une liste individuellement, cliquez sur l’icône Editer de la liste désirée.
Action
de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants, ou Marquer à rejeter (SMTP uniquement) pour supprimer la session.
Activer Cochez cette case pour activer l’adresse.
FortiGate-800 et plus).
Vous pouvez ajouter plusieurs listes d’adresses mail antispam pour les modèlesFortiGate-800 et plup
Guide d’Administration FortiGate Version 3.0 395 01-30001-0203-20060424
Illustration 250 : Echantillon d’un catalogue de listes d’adresses mail antispam
C veau P elle liste au catalogue, entrez un nom et
c .
N Les listes d’adresses mail antispam disponibles.
# d’entrées L
Profils L
Commentaire D facultative de chaque liste.
Icône Supprimer Permet de supprimer une liste du catalogue. Cette icône est disponible si la liste n’est pas reprise dans un profil de protection.
Icône Editer Permet d’éditer les informations suivantes : la liste, le nom de la liste ou le commentaire.
Sélectionnez les listes de fi e protection. Pour plus d’informations, voir « Option 286.
Création d’une no liste d’adresse et plus)
Pour ajouter une liste d’adr lectionnez Anti-spam > Black/White List> Adresse Mail et cliquez sur Créer Nouveau. Il stration 251 : Boîte de dia
réer Nou our ajouter une nouvliquez sur Ajouter. Les nouvelles listes sont, par défaut, vides
om
e nombre d’entrées dans chaque liste.
es profils de protection appliqués à chaque liste.
escription
ltrage par mots-clés dans les profils ds du filtrage antispam » à la page
uvelle s mail antispam (modèles FortiGate-800
esses mail antispam au catalogue, sé
lu logue d’une nouvelle liste d’adresses mail antispam
N E
Commentaire E nécessaire.
Visualisation de la liste d’adresses IP m
Le boîtier FortiGate peut filt i que tous les mails provenan z marquer chaque adresse m Pour visualiser la liste d’adrsélectionnez Anti-spam > B
om ntrez un nom à la liste.
ntrez une description de la liste, si
ail antispam
rer les mails provenant d’émetteurs spécifiques, ainst d’un domaine (tel que exemple.net). Vous pouveail de l’action non spam ou spam.
esses mail sur les modèles FortiGate-500 et moins, lack/White List > Adresse Mail
396 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 252 : Echantillon dèles FortiGate-500 et moins
d’une liste d’adresses mail pour les mo
Pour visualiser la liste d’adresses IP sur les modèles FortiGate-800 et plus,
ez sur l’icône
Illustration 253 : Echantillon d’une liste d’adresses mail pour les modèles FortiGate-800 et plus
sélectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquEditer de la liste à visualiser.
Nom Nom de la liste d’adresses mail antispam. Pour le modifier,
r OK. Ce t plus.
Commentaire Commentaire optionnel. Pour ajouter ou éditer un commentaire, entrez le texte dans le champ Commentaire et cliquez sur OK. Ce champ apparaît sur les modèles FortiGate-800 et plus.
Créer Nouveau Permet d’ajouter une adresse mail à la liste d’adresses mail antispam.
Total Le nombre d’éléments dans la liste.
Icône Page précédente Permet de visualiser la page précédente.
Icône Page suivante Permet de visualiser la page suivante.
Icône Supprimer toutes Permet de supprimer toutes les entrées de la table. les entrées
Adresse Mail La liste actuelle des adresses mail.
Type d’expression Le type d’expression utilisé dans l’entrée de l’adresse mail. Choisissez entre Wildcard et Expression Régulière. Pour plus d’informations, voir « Utilisation d’expressions régulières en Perl » à la page 400.
Action L’action à prendre pour un mail provenant d’une adresse mail configurée. Les actions sont : Marquer comme spam pour appliquer l’action antispam configurée dans le profil de protection, Marquer comme non-spam pour ignorer ce filtre, ainsi que les filtres antispam suivants,
Icône Supprimer Permet de supprimer une adresse de la liste.
entrez un nom dans le champ Nom et cliquez suchamp apparaît sur les modèles FortiGate-800 e
Guide d’Administration FortiGate Version 3.0 397 01-30001-0203-20060424
Icône Editer Permet d’éditer les informations suivantes :adresse mail, Type d’Expression, Action antispam et l’activation.
n de la liste des adresses mail antispam
ion 254: Ajouter une adresse mail
Configuratio
Pour ajouter une adresse mail ou un domaine à la liste, sélectionnez Anti-spam > Black/White List > Adresse Mail. lustratIl
Adresse Mail Entrez l’adresse mail.
Type d’expression Sélectionnez un type d’expression : Wildcard ou Expression Régulière.
Insérer Avant/Après Sélectionnez une position dans la liste pour cette adresse mail.
Action Sélectionnez une action. Les actions sont :
• Marquer comme spam pour appliquer l’action antispam configurée dans le profil de protection
• Marquer comme non-spam pour ignorer ce filtre, ainsi que
1
2 Sélectionnez un type d’expression pour l’entrée de la liste.
3 Si nécessaire, choisissez d’insérer l’adresse mail avant ou après une autre adresse dans la liste.
4 Sélectionnez l’action à prendre pour les mails provenant d’adresses mail ou de domaines configurés.
5 Cochez la case Activer.
6 Cliquez sur OK.
Configuration antispam avancée La configuration antispam avancée couvre uniquement des commandes CLI no
présentées dans l’interface d’administration web. Pour des descriptions et FortiGate
CLI Reference.
config spamfilter mheader
Cette commande permet de configurer le filtrage mail en fonction de l’en-tête MIME. Ce filtrage s’active dans les profils de protection.
les filtres antispam suivants
Activer Cochez cette case pour activer l’adresse.
Entrez une adresse mail ou une expression.
nreexemples complets sur l’utilisation de commandes CLI, reportez-vous au
398 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
ccessivement la paire clé-valeur de l’en-tête Mde paires. Lorsqu’une correspondance est . Lorsque aucune corre
Le boîtier FortiGate compare su IME des mails entrants avec sa liste trouvée, l’action spécifiée est enclenchée spondance n’est trouvée, le
st envoyé vers le prochain Les en-têtes MIME (Multipurpos xtensions) sont ajoutés aux mails pour décrire le type et le codage de contenu, tels que le type de texte dans le corps du mail ou le programme qui a généré le mail. Quelques exemples d’en-têtes MIME comprennent :
• X-mailer : outgluck
X-Distribution : bulk
• Content_Type : text/html
e : image/jpg
La première partie de l’en-tête MIME s’appelle la clé de l’en-tête, ou juste en-tête.
eur. Les spammeurs insèrent souvent des -tête ou les laissent vides. Ces en-têtes
malformés peuvent duper certains filtres antispam et antivirus. L’utilisation de la liste d’en-têtes MIME permet de marquer les mails provenant de certains programmes mails les plus répandus ou comprenant certains types de contenu communs des messages mails. Il est conseillé de marquer le mail comme pam ou non-spam pour chaque en-tête configuré.
config spamfilter
te commande s’utilise pour configurer le filtrage mail à partir des serveurs de la lackhole
List et de la liste Ope se List (ORDBL). Ces deux filtres s’activent pour chaque profil de protection.
ortiGate compare l’adtoutes les listes de base de donn es, et ce, successivement. Lorsqu’une correspondance est trouvée, l’action spécifiée est enclenchée. Lorsque aucune correspondance n’est trouvée, le mail est envoyé vers le prochain filtre antispam.
ins spammeurs utilisent dedes mails non sollicités. L’utilisade baliser (tag) ou rejeter les spa istes agissent comme des serveurs d maine identique au domaine d’un mail
ne liste d’adresses IPdes spams à passer au travers.
eurs, dontses à jo
le service utilisé pour confirmer l serveur.
mail e filtre antispam.
e Internet Mail E
•
• Content_Typ
La deuxième partie est appelée valcommentaires dans les valeurs de l’en
s
rbl
Cetliste DNS-based Blackhole List (DNSBL), appelée également Realtime B
n Relay Databa
Le boîtier F resse IP et le nom de domaine de l’émetteur à
ées configuré
Certa s serveurs SMTP tiers insécurisés pour envoyer tion de DNSBL et ORDBL est un moyen efficace ms lors de leur entrée sur le réseau. Ces l
e nom de doentrant d’u connues pour envoyer des spams ou autoriser
Il existe plusieurs serv la souscription est gratuite, qui fournissent un accès fiable pour des mi ur continues des DNSBL et ORDBL. Vérifiez avec
e nom de domaine correct pour une connexion au
Remarque : Etant donné que le boîtier FortiGate utilise le nom de domaine du serveur pour se connecter au serveur DNSBL ou ORDBL, il doit être capable de chercher ce nom sur le
Guide d’Administration FortiGate Version 3.0 399 01-30001-0203-20060424
serveur DNS. Pour plus d’informations sur le configuration DNS, voir « Options » à la page 76.
Utilisation des expressions régulières en Perl Les entrées des listes d’adresses mail, d’en-têtes MIME et de mots bannis peuvent comprendre des méta-caractères ou expressions régulières en Perl.
Expression Régulière vs Modèle à méta-caractère
Dans les expressions régulières en Perl, le caractère « . » remplace n’importe quel caractère unique. C’est similaire au caractère « ? » des modèles à méta-caractère.
e le :
• Pour référer à fortinet.com, l’expression régulière à utiliser est : fortinet\.com
ans les expressions régulières, « * » est utilisé pour correspondre au caractère
l’astérisque, etn’importe quel caractère. P
• forti*.com corresp
porte qexemple :
• forti*.com doit s’éc
Limite des mots
Dans les expressions Perl on n’a pas de limites implicites. Par exemple, l’expression régulière « test » correspond aux mots « test » bien sûr mais aussi à tous les mots contenant « test » comme « attester », « mytest », « atestb ». Pour spécifier une limite au mot, utilisez la notation « \b ». Pour faire correspondre au mot exact « test », l’expression doit être \btest\b.
Certaines expressions régulières sont sensibles à la casse des caractères pour les filtrage par mots-clés et antispam. Pour modifier cela et rendre le mot ou la phrase
sensible à la casse des caractères, utilisez l’expression /i. Par exemple, /bad language/i bloque toutes les cas de bad language sans tenir compte de la casse.
Formats des expr
ques exemples de formats d’expressions régulières en Perl.
Par exemple : • fortinet.com correspond à fortinet.com mais aussi fortinetacom,
fortinetbcom, fortinetccom, etc.
Pour que les caractères « . » et « * » ne réfèrent à aucun autre caractère, utilisez lcaractère « \ ». Par exemp
Dsitué avant ce 0 ou plusieurs fois. Il ne remplace par contre pas
ar exemple : ond à fortiiii.com mais ne correspond pas à fortinet.com
Pour correspondre à n’importe quel caractère, 0 ou plusieurs fois, utilisez « .* » où le « . » signifie n’im uel caractère et « * » signifie 0 ou plusieurs fois. Par
rire fort.*\.com.
, l’expressi
Sensibilité à la casse des caractères
in
essions régulières en Perl
Le tableau 42 répertorie et décrit quel
400 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Tableau 42 : Formats d’expressions régulières en Perl Expression Correspondances
abc « abc » (la séquence exacte de caractères à tout endroit de la succession)
^abc « abc » au début de la succession
abc$ « abc » à la fin de la succession
a|b Soit « a », soit « b »
^abc|abc$ La succession « abc » au début ou à la fin de la succession
ab{2,4}c « a » suivi de deux, trois ou quatre « b » suivi par un « c »
ab{2,}c « a » suivi d’au moins deux « b » suivi d’un « c »
ab*c vi d’un nombre indéfini (0 ou plus) de « b » suivi d’un « c » « a » sui
ab+c « a » suivi d’un ou plusieurs « b » suivi d’un « c »
ab ?c « a » suivi d’un « b » optionnel suivi d’un « c », donc soit « abc », soit « ac »
a.c ligne) suivi d’un « c » « a » suivi de n’importe quel caractère (sauf retour à la
a\.c « a.c » exactement
[abc] n’importe lequel de « a », « b » ou « c »
[Aa]bc soit « Abc », soit « abc »
[abc]+ Toute succession (sans espace) de « a », « b » et « c » (telle que « a », « abba », « acbabcacaa »)
[^abc]+ Toute succession (sans espace) qui ne contient pas de « a », « b » et « c » (telle que « defg »)
\d\d Tout chiffre à deux décimales, tel que 42, pareil que \d{2}
/i Rend la casse des caractères insensible. Par exem/bad language/i bloque tous les cas de bad
ple,
sans tenir compte de la casse des caractères. language
\w t » : une séquence sans espace de caractères alphanumériques et de tirets bas ( _ , underscore) telle que foo et 12bar8 et foo_1
+ Un « mo
100\s*mk La succession « 100 » et « mk » séparées optionnellement par un nombre indéfini d’espace blanc (espaces, tabulations, retour à la ligne)
abc\b « abc » suivi d’une limite au mot ( par exemple, dans « abc ! » mais pas dans « abcd »)
perl\B « perl » sans être suivi d’une limite du mot (par exemple, ans « perl stuff ») dans « perlert » mais pas d
\x Le parser d’expression régulière ignore les espaces blancs qui ne sont ni précédés d’un « \ », ni dans une classe de caractères. Utilisez cette commande pour scinder une expression régulière en plusieurs parties lisibles.
/x Utilisé pour ajouter des expressions régulières dans d’autres textes. Si le premier caractère d’une expression est « / », celui-ci est traité comme borne. L’expression doit contenir un second « / ». L’expression entre les deux « / »
uit ons
régulières (‘i’, ‘x’,etc). Une erreur apparaît si le second « / » est absent. Dans les expressions régulières, l’espace à l’avant et l’es
sera traitée comme expression régulière, et tout ce qui sle « / » sera traité comme liste d’options d’expressi
pace à l’arrière sont traités comme s’ils
Guide d’Administration FortiGate Version 3.0 401 01-30001-0203-20060424
faisaient partie de l’expression régulière.
Exemples
Bloquer chaque mot de la phrase /block|any|word/
Bloquer expressément les mots mal orthographiés
Les spammeurs insèrent souvent d’autres caractères entre les lettres d’un mot pour duper les logiciels de blocage de spams.
/^.*v.*i.*a.*g.*r.*o.*$/i
\*=<>\.\,;!\?%&§@\^°\$
Les phrases suivantes sont de
r free/i
/student loans/i
/you’re already approv
[\+\-
\*=<>\.\,;!\?%&~#§@\^°\$£€\{\}()\[\]\|\\_1]offer/i
/cr[eéèêë][\+\-
£€\{\}()\[\]\|\\_01]dit/i
Bloquer les phrases spam communes
s exemples de phrases communes trouvées dans les messages spam.
/try it fo
ed/i
/special
402 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
IM/P2P /P2P fournit à l’utilisateur IM les outils d’administration et les statistiques pour le
réseau IM et l’usage P2P. Les protocoles IM et P2P doivent être activés dans le profil de protection actif pour que les paramètres de cette section prennent leurs effets.
sujets suivants :
• Statistiques
• Configuration IM/P2P à partir de l’interface de ligne de commande
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries instantanées et les communications « point to point » afin de connaître l’utilisation de ces deux protocoles sur le réseau. Des statistiques d’ensemble sont fournies pour tous les protocoles IM et P2P. Des statistiques détaillées et individuelles existent pour chaque protocole IM.
IM
Cette section parcourt les
• Utilisateur
Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctions IM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale dans le menu principal.
Visualisation des statistiques d’ensemble
L’onglet Overview reprend un résumé des statistiques pour tous les protocoles IM et P2P. Pour visualiser ces statistiques, sélectionnez IM/P2P > Statistics > Overview. Illustration 255 : Statistiques Overview IM/P2P
Intervalle de rafraîchissement Sélectionnez l’intervalle désiré entre deux automatique rafraîchissements automatiques. Choisissez entre un
intervalle de 0 (none) à 30 secondes.
Rafraîchir Cliquez sur ce bouton pour rafraîchir la page et faire apparaître les statistiques mises à jour.
Guide d’Administration FortiGate Version 3.0 403 01-30001-0203-20060424
Réinitialiser les statistiques Cliquez sur ce bouton pour remettre les statistiques à zéro.
Pour chaque protocole IM, les informations suivantes sur l’utilisateur s’affichent : utilisateurs connectés, (utilisateurs) depuis la dernière réinitialisation,
rnière réinitialisation et (fichiers transférés) bloqués.
ue protocole IM, les informations suivantes sur les chats vocaux s’affichent : (chats vocaux) depuis la dernière réinitialisation et (chats vocaux) bloqués.
Utilisation P2 que protocole P2P, les informations suivantes sur l’utilisation s’affichent : octets au total et moyenne
Visualisation des sta otocole
L’on ol fournit des statistiques détaillées individuellement pour chaque rotocole IM.
atistiques, sélectionnez IM/P2P > Statistics > Protocol.
Utilisateurs
(utilisateurs) bloqués.
Chat Pour chaque protocole IM, les informations suivantes sur le chat s’affichent : sessions de chat totales et totaldes messages.
Transferts de fichiers Pour chaque protocole IM, les informations suivantes sur les transferts de fichiers s’affichent : (fichiers transférés) depuis la de
Chats vocaux Pour chaq
P Pour cha
de la bande passante.
tistiques par pr
glet Protocp Pour visualiser ces st Illustration 256 : Statistiques IM par protocole
Intervalle de rafraîchissement Sélectionnez l’intervalle désiré entre deux automatique rafraîchissements automatiques. Choisissez entre un
intervalle de 0 (none) à 30 secondes.
es
Protocole Sélectionnez le protocole désiré : AIM, ICQ, MSN ou Yahoo.
Utilisateurs Pour le protocole sélectionné, les informations suivantsur l’utilisateur s’affichent : utilisateurs connectés,
404 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
(utilisateurs) depuis la dernière réinitialisation, (utilisateurs) bloqués.
Chat Pour le protocole sélectionné, les informations suivantes sur le chat s’affichent : Sessions de chat totales, Chats basés sur un serveur, Groupe de chat et Chat direct/privé.
Messages Pour le protocole sélectionné, les informations suivantes sur les messages s’affichent : Total des messages, (messages) envoyés et (messages) reçus.
rés) envoyés, (fichiers transférés) reçus et
Utilisateur
tés dans la liste Current Users. Les administrateurs réseaux peuvent alors analyser la liste et décider quels utilisateurs
onnus.
Transferts de fichiers Pour le protocole sélectionné, les informations suivantessur les transferts de fichiers s’affichent : (fichiers transférés) depuis la dernière réinitialisation, (fichierstransfé(fichiers transférés) bloqués.
Chats vocaux Pour le protocole sélectionné, les informations suivantes sur les chats vocaux s’affichent : (chats vocaux) depuis la dernière réinitialisation et (chats vocaux) bloqués.
Après que les utilisateurs IM se soient connectés à travers le pare-feu, le boîtier FortiGate affiche les utilisateurs connec
accepter et quels utilisateurs rejeter. Une règle peut être configurée pour traiter le cas des utilisateurs inc
Remarque : Si les domaines virtuels sont activés sur le boîtier FortiGate, les fonctioIM/P2P sont configurées globalement. Pour y accéder, sélectionnez Configuration Globale dans le menu principal.
a liste des utilisateurs connectés
ns
Visualisation de l
rmations sur les utilisateurs des messageries instan ectés. La liste p e par protocole. Pour visualiser les utilisateurs en cours, sélectionnez IM/P2P > Users > Current Users. Illustration 257 : Lis nectés
La liste des utilisateurs connectés reprend des infotanées conn eut être filtré
te des utilisateurs con
Protocole la liste en sélecti us
voulez avoir les utilisate ous ecté ffichés.
Protocole cours.
N r ar l’utilisateur lors de son enregistrement d’utilisateur peut être utilisé
protocoles IM. Chaque nom d’utilisateur / paire de protocole apparaît séparément dans la liste.
IP Source L’adresse à partir de laquelle l’utilisateur initie une session IM.
Dernier Login La dernière fois que l’utilisateur connecté avait utilisé ce protocole.
Filtrez onnant le protocole pour lequel vours : AIM, ICQ, MSN ou Yahoo. T
les utilisateurs conn
Le protocole en
s peuvent également être a
om d’utilisateu Le nom sélectionné pà un protocole IM. Le même nom pour plusieurs
Guide d’Administration FortiGate Version 3.0 405 01-30001-0203-20060424
Bloque Sélectionnez pour déconnecter l’utilisateur et ajouter son nom à la liste noire permanente. Chaque nom d’utilisateur / paire de
Visualisation de l
ries
rtir de
List.
Illustration 258 : Liste des utilisateurs
protocole doit faire l’objet d’un blocage explicite par l’administrateur.
a liste des utilisateurs
La liste des utilisateurs reprend des informations à propos des utilisateurs autorisés (liste blanche) et ceux bloqués (liste noire) des services des messageinstantanées. Des utilisateurs peuvent être ajoutés en cliquant sur Créer Nouveau ou à pala liste temporaire d’utilisateurs. Pour visualiser la liste des utilisateurs, sélectionnez IM/P2P > Users > User
Créer Nouveau Sélectionnez pour ajouter un nouvel utilisateur à la liste.
Protocole Filtrez la liste en sélectionnant un protocole : AIM, ICQ, MSN, Yahoo ou All.
Politique Filtrez la liste en sélectionnant une règle : Autoriser, Bloquer ou Tout.
Protocole Le protocole associé à l’utilisateur.
Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son enregistrement à un protocole IM. Le même nom d’utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d’utilisateur / paire de protocole apparaît séparément dans la liste.
d’utilisation du protocole : Bloquer ou Autoriser.
ône Editer Permet de modifier les informations suivantes sur l’utilisateur :
pprime définitivement un utilisateur de la liste.
Ajout d’un nouvel utilisateur à
Ajouter des utilisateurs à la liste des utilisateurs leur permet d’accéder aux services de messageries instantanées ou de les bloquer de ces services. Sélectionnez IM/P2P > User > User List et cliquez sur Créer Nouveau.
l’utilisateur
Politique La règle appliquée à l’utilisateur lors d’une tentative
IcProtocole, nom d’utilisateur et Politique.
Icône Supprimer Su
la liste des utilisateurs
Illustration 259 : Editer
406 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Protocole Sélectionnez un protocole dans la liste déroulante : AIM, ICQ,
Sélectionnez une politique dans la liste déroulante : Autoriser ou Bloquer.
Configuration d’une politique utilisateur globale
ateurs ns ou
z IM/P2P > User > Config.
MSN ou Yahoo.
Nom d’utilisateur Entrez un nom pour cet utilisateur.
Politique
La politique utilisateur globale détermine l’action à prendre face à des utilisinconnus. Les utilisateurs inconnus peuvent être soit autorisés à utiliser certaitous les protocoles IM et sont alors ajoutés à la liste blanche, soit ils sont bloquésde certains ou tous les protocoles et alors ajoutés à la liste noire. Les administrateurs peuvent a posteriori visualiser les listes blanche et noire et ajouter des utilisateurs à la liste des utilisateurs.
Pour configurer une politique IM, sélectionne Illustration 260 : Politique utilisateur IM
Autoriser automatiquement Sélectionnez les protocoles que les utilisateurs inconnus
sont autorisés à utiliser. Les utilisateurs inconnus sont ajoutés à une liste blanche d’utilisateurs temporaires.
nt Sélectionnez les protocoles que les utilisateurs inconnus ne sont pas autorisés à utiliser. Les utilisateurs inconnus
L Reprend les nouveaux utilisateurs ajoutés aux listes te blanche et noire des utilisateurs temporaires. Les
, le ur.
rque : Le contenu de la liste est effacé à chaque réinitialisation du FortiGate.
Protocole Filtrez la liste des utilisateurs temporaires en sélectionnant un protocole.
Nom d’utilisateur Le nom sélectionné par l’utilisateur lors de son enregistrement à un protocole IM. Le même nom d’utilisateur peut être utilisé pour plusieurs protocoles IM. Chaque nom d’utilisateur / paire de protocole apparaît séparément dans la liste.
Bloquer automatiqueme
sont ajoutés à une liste noire d’utilisateurs temporaires.
iste des utilisateurs mporaires
informations sur l’utilisateur reprennent le protocolenom d’utilisateur et la politique appliquée à cet utilisate
Rema
Guide d’Administration FortiGate Version 3.0 407 01-30001-0203-20060424
Politique La politique appliquée à l’utilisateur lors d’une tentative d’utilisation du protocole : Bloquer ou Autoriser.
itivement
r > User List.
finitivement e noire st répertorié
dans IM/P2P > User > User List.
ale.
Configuration IM/P2P à partir dcommande
crit les commapartir de l’interface d’administr ur des descriptions et exemples omplets sur l’activation des fo upplé face e ligne de commande, voir le er
config imp2p old-versio
Certaines versions plus ancientravers le filtre car les types de mmande fournit l’option de désactiver c ersions de protocole IM. Les protocoles IM supportés c
• MSN 6.0 et plus
• ICQ 4.0 et plus
• AIM 5.0 et plus
• Yahoo 6.0 et plus
Autoriser défin Sélectionnez pour ajouter l’utilisateur à la liste blanche permanente. L’utilisateur reste en ligne et est répertorié dans IM/P2P > Use
Bloquer dé Sélectionnez pour ajouter l’utilisateur à la listpermanente. L’utilisateur est déconnecté et e
Appliquer Cliquez pour faire appliquer la politique utilisateur glob
e l’interface de ligne de
Cette section dé ndes CLI qui étendent des fonctions disponibles à ation web. Po
c nctionnalités s mentaires à partir de l’interd FortiGate CLI Ref ence.
n
nes des protocoles IM sont capable de passer à messages ne sont pas reconnus. Cette co
es anciennes v
omprennent :
408 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Journaux
d’administration web. Les boîtiers FortiGate fournissent des possibilités diverses de journalisation pour les fonctions de protection du trafic, du système et du
t
et r
Cette section couvre les sujets suivants :
e
• Types de Journaux
• Journal
• Rapports
• Alerte Mail
Journalisatiofic
me, la Haute Disponibilité et l’activité VPN.
ge an
• filtrage web, blocage de contenu URL et HTTP
• signatures et prévention contre les attaques et anomalies
• trafic de Messageries
uvez fixer le niveaet leur lieu de stockage. Lesystème et des intrusions
moire, leic ré
gros volume des message Pour un meilleur stockage et une ré ut envoyer les messages journalisés vers un boîtier FortiAnalyzerTM. Les boîtiers FortiAnalyzer sont des appliances réseau fournissant une collection de journaux intégrés, des outils d’analyse et des stockages de données. Des rapports
& Alertes Cette section informe sur l’activation de la journalisation, la visualisation desfichiers journaux et l’affichage des rapports disponibles à partir de l’interface
réseau. Des rapports et journaux détaillés offrent une analyse historique eactualisée de l’activité réseau, afin de permettre l’identification de problèmes ou faiblesses de la sécurité éduire les abus réseaux.
• Journalisation FortiGat
• Niveaux de sévérité des journaux
• Stockage de Journaux
• Journalisation d’un cluster Haute Disponibilité
n FortiGate Les boîtiers FortiGate peuvent journaliser de nombreuses activités réseaux et tray compris :
• tout trafic réseau
• des événements liés au système dont les redémarrages systè
• infection et bloca tivirus
• filtrage antispam
Instantanées et Peer-to-Peer
Vous po u auquel le boîtier FortiGate journalise ces événements
boîtier FortiGate peut journaliser des événements du sur la mémoire du boîtier. Cependant, étant donné la
nature limitée de cette mé s messages les plus anciens ne sont pas sauvegardés et le traf seau n’est pas journalisé sur la mémoire en raison du
s journalisés.
cupération efficace, le boîtier FortiGate pe
Guide d’Administration FortiGate Version 3.0 409 01-30001-0203-20060424
journalisés détailléréseau et mail afin de perm
s offrent une analyse historique et actualisée des activités ettre l’identification de problèmes de sécurité et de
us les r
but de les archiver. Pour des informations détaillées sur la onfiguration du boîtier FortiGate pour l’envoi de journaux vers un boîtier
FortiAnalyzer, voir « Journalisation sur un boîtier FortiAnalyzer » à la page 411. Le boîtier FortiGate peut également envoyer des journaux vers un serveur Syslog
u WebTrends dans un but de stockage et d’archivage. Le boîtier FortiAnalyzer yer les messages journalisés vers son
Afin de vous permettre de revenir sur les activités se produisant sur votre réseau et travers le boîtier FortiGate, ce dernier vous permet de visualiser les messages
j en mémoire, sur un boîtier FortiAnalyzm s onib ur le boîtier. Des filtres pe cilement des informations spécifiques dans les fichiers d sation.
réduire les mauvais usages du réseau. Le boîtier FortiGate peut envoyer totypes de messages journalisés, ainsi que des fichiers en quarantaine vers le boîtieFortiAnalyzer pour stockage. Le FortiAnalyzer peut télécharger des journaux vers un serveur FTP dans lec
opeut également être configuré pour envodisque dur si disponible sur le boîtier.
àournalisés disponibles er muni du
icrocode version 3.0 ou plursonnalisables vous
ou sur un disque dur si disppermettent de localiser fae journali
le s
RF
emarque : Pour plus de détails sur la sauvegarde de journaux sur le disque dur du ible, voir le FortiGate CLI Reference.
FortiGate Log Message Reference
Niveaux de sIl est um de sécurité des messages jo par le boîtier FortiGate pour sauver des fichiers journaux. Le boîtier FortiGate journalise tous les messages dépassant le
ortiGate, si dispon Voir le pour plus de détails sur les messages et formats des journaux.
évérité des journaux nécessaire de définir un niveau minim
sés pour chaque destination utiliséeurnali
niveau de sécurité minimum défini. Par exemple, si vous sélectionnez Erreur, le boîtier journalise les messages des niveaux Erreur, Critique, Alerte et Urgent. Tableau 43 : Niveaux de sévérité de Journalisation
Niveaux Description Généré par 0 – Urgent Le système est devenu
instable. Messages d’urgence indisponibles.
1 – Alerte Une action immédiate est requise.
Messages journalisés d’attaques NIDS.
2 – Critique Le fonctionnement est affecté.
DHCP
3 – Erreur Une erreur est présente et le fonctionnement pourrait en être affecté.
Messages d’erreur indisponibles.
4- Avertissement Le fonctionnement pourrait être affecté.
Messages journalisés des Antivirus, Filtrage Web, Filtrage Mail et événements du système.
5 – Notification Informations à propos des Messages jourévénements normaux.
nalisés des Antivirus, Filtrage Web, Filtrage Mail.
6 - Information
Information générale sur les opérations système.
Messages journalisés des Antivirus, Filtrage Web, Filtrage Mail, des contenus et autres événements.
410 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Stockage des Journaux
tilisé.
ieu messages journalisés sont supprimés. Par ailleurs, en raison du grand volume potentiel du Journal du Trafic et de la taille du Journal de Contenu, le boîtier FortiGate ne stockera pas les messages journalisés des trafics sur sa mémoire.
ournaux/Alertes > Configuration > Configuration du Journal.
Journalisation sur un boîtier FortiAnal
ortiAnalyzer ction intégrée de journaux, des outils d’analyse et des lieux de stockage de données. Des rapports de journaux détaillés offrent une analyse historique et actualisée des
Illustration 261 : Configuration d’une connexion à un FortiAnalyzer
Il vous faut configurer les destinations de stockage des messages et fichiersjournaux. Le type et la fréquence des messages journalisés que vous avec l’intention de sauvegarder décideront du type de destination de stockage uPar exemple, stocker des messages journalisés dans la mémoire ne fournit qu’une place très limitée. Seul un nombre limité de messages journalisés peut être sauvé sur la mémoire. Au fur et à mesure que la mémoire se remplit, les plus v x
Vous pouvez configurer le boîtier FortiGate pour qu’il stocke les messages journalisés sur une ou plusieurs destinations, telle qu’un boîtier FortiAnalyzer. Pour configurer les endroits de stockage, sélectionnez J
yzer
Les boîtiers F sont des appliances réseaux fournissant une colle
activités du réseau et mail afin de permettre l’identification de problèmes de sécurité et de réduire les mauvais usages et abus du réseau.
Configurer un boîtier FortiGate pour qu’il envoie les journaux vers un boîtier
1 Sélectionnez Journaux/Alertes > Configuration > Configuration du Journal.
2
3
4 r au boîtier FortiAnalyzer.
Le boîtier FortiGate journalise tous les messages égaux ou supérieurs au niveau de sévérité défini. Pour plus de détails sur les niveaux de la journalisation, voir le
6 sur Appliquer.
FortiAnalyzer
Sélectionnez FortiAnalyzer.
Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer.
Définissez le niveau des messages journalisés à envoye
Tableau 43 à la page 410.
5 Entrez l’adresse IP du Serveur du boîtier FortiAnalyzer.
Cliquez
Remarque : Le boîtier FortiGate peut se connecter jusqu’à trois boîtiers FortiAnalyzer. Il leur envoie à tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une réelle protection de sauvegarde en temps réel dans le cas où l’un des trois FortiAnalyzer
Guide d’Administration FortiGate Version 3.0 411 01-30001-0203-20060424
devrligne
ait tomber en panne. Cette fonctionnalité n’est disponible qu’à partir de l’interface de de commande. Pour plus d’informations, voir le FortiGate CLI Reference.
Remarque : Après avoir configuré les paramètres de la journalisation sur le boîtier ortiGate, le FortiAnalyzer nécessite d’être configuré pour recevoir les journaux envoyés par
le boîtier FortiGate. Il vous faut alors contacter l’administrateur FortiAnalyzer pour finaliser la configuration.
Se connecter à un boîtier FortiAnalyzer au moyen de la découverte automatique
La découverte automatique est une méthode pour établir une connexion à un is la déco
FortiGate utilise des paquets Hdisponible sur le réseau au se us-réseau. Lorsqu’un FortiAnalyzer
r FortiGatece à
la journalisation pour le trafic e
Activer la découverte autom
1 ux/Alerte
2 èche bleue de
3 Cochez Découverte Automatiq
oîtier FortiGate cherche d
4 Une fois découvert, sélectionn ecté à.
5 Cliquez sur Appliquer.
Test de la configuration d’un boîtier FortiAnalyzer
Après avoir configuré les paramètres FortiAnalyzer, vous pouvez tester la connexion entre le boîtier FortiGate et le boîtier FortiAnalyzer pour vous assurer que la connexion fonctionne correctement. Ceci vous permet de voir la connexion entre les deux équipements, y compris les paramètres spécifiés pour la
n des jo ers
ion
1 Sélectionnez Journaux/Ale urnal.
2 Sélectionnez FortiAnalyzer.
3 Cliquez sur la flèche bleue pour faire apparaître les options FortiAnalyzer.
4 Cliquez sur Tester la connexion.
F
FortiAnalyzer. Une fo uverte automatique sélectionnée, le boîtier ELLO pour localiser tout boîtier FortiAnalyzer
in du même soest trouvé, le boîtie permet automatiquement la connexion au boîtier FortiAnalyzer et commen lui envoyer des données journalisées, dans le cas où
st configurée.
atique
Sélectionnez Journa s > Configuration > Configuration du Journal.
Cliquez sur la fl FortiAnalyzer pour en faire apparaître les options.
ue.
Le b ans le même sous-réseau la réponse d’un FortiAnalyzer disponible.
ez un boîtier FortiAnalyzer de la liste Conn
transmission et la réceptio urnaux, rapports, archives de contenu et fichien quarantaine.
Tester la connex
rtes > Configuration > Configuration du Jo
412 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 262 : Test de connectivité avec le FortiAnalyzer
FortiAnalyzer(Nom) boîtier FortiAnalyzer est le nom du produit, par exemple,
FortiAnalyzer-400.
Le nom du boîtier FortiAnalyzer. Le nom par défaut d’un
ortiGate Le numéro de série du boîtier FortiGate.
de l’équipement)
Etat d’enregistrement L’état de l’enregistrement du boîtier FortiGate.
on entre les boîtiers FortiGate et rque en V indique qu’il y a
e croix signifie l’absence de
Espace alloué La quantité d’espace prévue pour
Espace utilisé La quantité d’espace utilisé.
Espace libre total La quantité d’espace inutilisé.
n de
• Tx indique que le boîtier FortiGate est configuré pour transmettre des paquets journalisés au boîtier
alyzer.
• Rx indique que le boîtier FortiGate est autorisé à rts et journaux stockés sur le
de urnaux et
rapports. Une croix signifie que le boîtier FortiGate ne er ces
Journalisation su
La mémoire du système FortiGate possède une capacité limitée pour la lisation des messages. Le boîtier FortiGate n’affiche que les entrées
s les plus récentes. Il ne stocke pas les journaux Trafic et Contenu dans
F(Identifiant
Etat de la connexion L’état de la connexiFortiAnalyzer. Une maconnexion, tandis qu’unconnexion.
Espace disque les journaux.
Privilèges Affiche les permissions pour l’envoi et la visualisatiojournaux et rapports.
FortiAn
visualiser les rappoFortiAnalyzer.
Une marque en V indique que le boîtier FortiGate possèles permissions d’envoyer ou de visualiser les jo
possède pas la permission d’envoyer ou visualisinformations.
r la mémoire
journajournaliséela mémoire étant donnée leur taille et fréquence. Lorsque la mémoire est pleine, le boîtier FortiGate remplace les messages les plus anciens. Toutes les entrées journalisées sont effacées lors d’un redémarrage du FortiGate.
Guide d’Administration FortiGate Version 3.0 413 01-30001-0203-20060424
Configurer tiGate pour que les journaux soient sauvegardés en le boîtier Formémoire
1 nfiguration > Configuration du Journal.
2
3 Cliquez sur la flèche bleue pour faire apparaître les options de la Mémoire.
ate journalise tous les messages du niveaux de sévérité
urnalisation, voir
Journalisation su
d’u serveur Syslog. Syslog est un standard industriel utilisé pour capturer les données journalisées fournies par les
uipements du réseau.
Sélectionnez Journaux/Alertes > Co
Cochez Mémoire.
4 Choisissez un niveau de sévérité.
Le boîtier FortiGsélectionné et au-delà. Pour plus de détails sur les niveaux de la jole Tableau 43 à la page 410.
r un serveur Syslog
Le Syslog est un ordinateur distant muni n
éq Illustration 263 : Journalisation sur un serveur Syslog
Configurer le boîtier FortiGate pour envoyer des journaux au serveur syslog
du Journal.
2 Cochez Syslog.
Cliquez sur la flèche bleue pour faire apparaître les options Syslog.
4 Définissez les options syslog suivantes et cliquez sur Appliquer :
Nom / Adresse IP Le nom de domaine ou l’adresse IP du serveur syslog.
ort Le numéro du port pour les communications avec le serveur syslog, en général le port 514.
Niveau (Log Level) Le boîtier FortiGate journalise tous les messages du niveau de eaux de sévérité supérieurs. Pour plus
e la journalisation, voir le Tableau
essage journalisé. Par défaut, il s’agit du local7. Vous pouvez changer
Utiliser le format CSV Si vous cochez cette option, le boîtier FortiGate produit le journal dans le format CSV (Comma Separated Value). Dans le cas où vous n’activez pas cette option, le boîtier FortiGate produit des fichiers de texte simples.
1 Sélectionnez Journaux/Alertes > Configuration > Configuration
3
P
sévérité défini et des nivde détails sur les niveaux d43 à la page 410.
Facilité La facilité indique au serveur syslog la source d’un m
la valeur par défaut pour distinguer les messages journalisés des différents boîtiers FortiGate.
414 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Journalisation sur WebTrends
ed Log ormat (WELF) et compatibles avec NetIQ WebTrends Security Reporting Center
ers
config log webtrends setting
Par défaut
Un ordinateur distant sur lequel le serveur NetIQ Web Trends fonctionne. Les formats des journaux FortiGate sont conformes à WebTrends EnhancFand Firewall Suite 4.1. Pour configurer le boîtier FortiGate pour l’envoi de messages journalisés vWebTrends, entrez la commande suivante à partir de l’interface de ligne de commande :
set server <address_ipv4> set status {disable | enable}
end
Mots-clés et variables Description server <address_ipv4> Entrez l’adresse IP du serveur
WebTrends qui stocke les n/a
journaux. status {disable | Entrez enable pour activer la
journalisation vers un serveur WebTrends.
disable enable}
Exemple Cet exemple montre comment activer la journalisation vers un serveur WebTrends et comment en définir l’adresse IP.
ux à orti ate CLI
Journalisation d’un cluster Haute Disponibilité dre d’un cluster Haute
aire pour que celui-ci envoie des Syslog. Les paramètres
ubordonnés. Ceux-ci envoient les messages s les journaux au FortiAnalyzer
Une connexion sécurisée via un tunnel VPN IPSec entre un boîtier FortiAnalyzer et un cluster HA est en réalité une connexion entre ce boîtier et le membre primaire du cluster HA. Pour plus d’informations, voir le High Availability User Guide.
config log webtrends setting set status enable set server 220.210.200.190
end Pour plus de détails sur le paramétrage des options pour les types de journaenvoyer vers WebTrends, voir le chapitre sur les Journaux dans le F GReference.
Lors de la configuration de la journalisation dans le caDisponibilité, il faut configurer le membre primjournaux vers le FortiAnalyzer ou un serveurs’appliqueront aux membres sjournalisés au membre primaire qui lui envoie touou serveur Syslog.
Guide d’Administration FortiGate Version 3.0 415 01-30001-0203-20060424
Types de Journaux Le boîtier FortiGate offre une large gamme d’options de journalisation pour surveiller votre réseau. Cette section décrit chaque type de journal et son activation.
Remarque : Vous devez avant tout commencer par configurer les destinations de sauvegarde des fichiers journaux. Pour plus de détails, voir « Stockage de Journaux » à la page 411.
Journal Trafic
enregistre u FortiGate. Vous pouvez copare-feu, ainsi que la journdestination. Vous pouvez ts :
Trafic autorisé rnalise tout le trafic autorisé par les
Trafic bloqué
Le journal Trafic tout le trafic vers et passant à travers les interfaces dnfigurer la journalisation du trafic contrôlé par des règles alisation du trafic entre toute adresse source et de
appliquer les filtres suivan
Le boîtier FortiGate jouparamètres de la règle pare-feu.
Le boîtier FortiGate journalise tout le trafic violant les paramètres de la règle pare-feu.
Remarque r les messages journalisés du trafic, vniveau ation lors de la configuration de la des
: Afin d’enregistre ous devez paramétrer le de sévérité sur Notific tination de journalisation.
Activation de la journ
La journalisation du trafic enregistre tout le trafic vers et en provenance de l’interface ou de la sous-interface VLAN. Pour enregistrer des journaux, vous
le nivea
isation
1 stème > Réseau
2 Cliquez sur l’icône Editer d
3 Cochez la case Journaliser.
t bloqué ar la règle pare-feu, en fonction du profil de protection.
Activer la journalisation du trafic d’une règle pare-feu
1 Sélectionnez Pare-feu > Règle.
2 Cliquez sur la flèche bleue de la direction du trafic souhaité pour afficher la liste de règles.
3 Cliquez sur l’icône Editer d’une règle ou créez une nouvelle règle pare-feu.
alisation du trafic
devez paramétrer u de sévérité sur Notification ou un niveau moindre.
Activer la journal du trafic pour une interface ou sous-interface VLAN
Sélectionnez Sy > Interface.
’une interface.
4 Cliquez sur OK.
Activation de la journalisation du trafic d’une règle pare-feu
La journalisation du trafic d’une règle pare-feu enregistre le trafic permis ep
416 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
4
Journal Evénement
ctivités, gement de co ement
nibilité.
em
1 onnez Journaux/Alerte
2 Sélectionnez parmi les journa
s au atut de
c
DHCP Le boîtier FortiGate journalise tous les événements liés au DHCP tels que les journaux de requêtes et de réponses.
.
dministration Le boîtier FortiGate journalise tous les événements
HA Le boîtier FortiGate journalise tous les événements liés à la Haute Disponibilité tels que les informations relatives aux liens, aux membres et à l’état du cluster.
Authentification pare-feu Le boîtier FortiGate journalise tous les événements liés au pare-feu tels que l’authentification des utilisateurs.
Mise à jour des signatures Le boîtier FortiGate journalise tous les événements de mises à jour des signatures tels que les mises à jour des signatures antivirus et IPS et les échecs de mises à jour.
SSL VPN user authentication Le boîtier FortiGate journalise tous les événements d’authentification des utilisateurs pour les connexions VPN SSL tels que connex ns, déconnexions et timeout d’inactivité.
Le boîtier FortiGate journalise tous les événements d’administration des VPN SSL tels que les configurations
ement de certificats CA.
vités de la nts et blocage
es timeouts, les vérifications etc.
Cochez Log Allowed Traffic et cliquez ensuite sur OK.
Le journal Evénement enregistre les événements d’administration et d’atels que lors d’un chan nfiguration ou de l’apparition d’un événVPN ou Haute Dispo Activer les journaux Evén ent
Sélecti s > Configuration > Event Log.
ux suivants :
Evénement système Le boîtier FortiGate journalise tous les événements lié
système tels que l’échec d’un serveur ping et le stla passerelle.
Négociation IPSe Le boîtier FortiGate journalise tous les événements liés à la négociation tels que les rapports sur les progrès et les erreurs.
L2TP/PPTP/PPPoE Le boîtier FortiGate journalise tous les événements liésaux protocoles tels que les processus d’administration
Aadministratifs tels que les connexions utilisateurs, les réinitialisations et mises à jours de la configuration.
io
SSL VPN administration
SSL et le télécharg
SSL VPN session Le boîtier FortiGate journalise toutes les actisession telles que les lancemed’applications, l
Guide d’Administration FortiGate Version 3.0 417 01-30001-0203-20060424
Journal Antivirus
Journal Antiviru et mail. Par e
bloque un type depouvez appliquer nts :
Virus s infections virales.
ués s.
e fichiers ou mails dépassant un seuil défini.
AV Monitor Le boîtier FortiGate journalise tous les cas des virus, fichiers bloqués et fichiers et mails surdimensionnés. Cela s’applique aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM.
1 ction.
2 Cliquez sur l’icône Editer d’un profil de protection.
3
4
Journal Filtrage Web
e Journal Filtrage Web enregistre les erreurs d’évaluation de journalisation s de blocage de contenu web effectuées par
le boîtier FortiGate.
n.
3 flèche bleue à côté de Logging pour afficher les options de
ge web à journaliser.
rtiGuard.
Journal des Attaq
te. Le boîtier FortiGate journalise les événements suivants :
ate.
Le s enregistre les incidents liés aux virus pour les trafics Web, FTP xemple, lorsque le boîtier FortiGate détecte un fichier infecté,
fichier ou bloque un fichier ou mail surdimensionné. Vous les filtres suiva
Le boîtier FortiGate journalise toutes le
Fichiers Bloq Le boîtier FortiGate journalise tous les cas de fichiers bloqué
Le boîtier FortiGate journalise tous les cas dFichiers/Mails surdimensionnés
Activer les journaux antivirus
Sélectionnez Pare-feu > Profil de prote
Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation.
Cochez les événements antivirus à journaliser et cliquez ensuite sur OK.
LFortiGuard HTTP ainsi que les action
Activer les journaux Filtrage Web
1 Sélectionnez Pare-feu > Profil de protectio
2 Cliquez sur l’icône Editer d’un profil de protection.
Cliquez sur laJournalisation.
4 Sous Filtrage Web, cochez les événements de filtra
5 Cochez FortiGuard Web Filtering – Erreurs d’évaluation (HTTP uniquement) pour journaliser le filtrageFo
6 Cliquez ensuite sur OK.
ues
Le Journal Attaques enregistre les intrusions détectées et bloquées par le boîtier FortiGa
Signature des attaques Le boîtier FortiGate journalise toutes les intrusions détectées et bloquées basées sur la signature de l’attaque, ainsi que les actions prises par le boîtier FortiG
418 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
An malies Le boîtier FortiGate journalise toutes les intrusions détectées et bloquées basées sur des signatures inconnues ou suspectes, ainsi que les actions prises par le boîtier FortiGate.
iver les journaux Attaques
o
Act
1 le
2 Cliq
3 Cliqu ogging pour afficher les options de Journalisation.
rnaliser les intrusions et cliquez ensuite sur OK.
Sé ctionnez Pare-feu > Profil de protection.
uez sur l’icône Editer d’un profil de protection.
ez sur la flèche bleue à côté de L
4 Cochez IPS – Jou
Remarque : Vous devez vous assurer de l’activation des paramètres de journalisation des
signatures personnalisées aient l’option de journalisation activée. Pour plus de détails, voir
Journal Antispam
Le Journal Antispam enregistre les blocages d’adresses mails et de contenu des trafics SMTP, IMAP et POP3. Activer les journaux antispam
1 Sélectionnez Pare-feu > Profil de protection.
2 Cliquez sur l’icône Editer d’un profil de protection.
3 Cliquez sur la flèche bleue à côté de Logging pour afficher les options de Journalisation.
4 Cochez Filtrage antispam – Log Spam et cliquez ensuite sur OK.
Journal IM / P2P
Le Journal des Messageries Instantanées et Peer-to-Peer enregistre les textes des messages instantanés, les communications audio, les tentatives de transferts de fichiers par les utilisateurs, le temps d’essai de la transmission, le type d’application IM utilisé et le contenu de la transmission. Activer les journaux IM / P2P
1 électionnez Pare-feu > Profil de protection.
2
3 Cliquez sur la flèche bleueJournalisation.
4 Cochez les deux journalis
signatures des attaques et anomalies. Les options de journalisation pour les signatures présentes sur le boîtier FortiGate sont définies par défaut. Veillez à ce que toutes les
« Protection contre les intrusions » à la page 352.
S
Cliquez sur l’icône Editer d’un profil de protection.
à côté de Logging pour afficher les options de
ations des activités IM et P2P et cliquez ensuite sur OK.
Guide d’Administration FortiGate Version 3.0 419 01-30001-0203-20060424
Accès aux Journaux Le boîtier FortiGate vous permsur le disque dur ou sur un Fo Au sein de l’afficheur de journa des messages journalisés. Pour le us pouvez également supprimer d rnaux, retirer des messages journalisés des fichiers et télécharger le fichier journal soit en format texte, soit en
et de visualiser les journaux stockés en mémoire, rtiAnalyzer muni du microcode version 3.0.
ux, vous pouvez lancer une recherche et filtrers journaux stockés sur un FortiAnalyzer, voes fichiers jou
format CSV.
Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celuimicrocode version 3.0 ou plus.
-ci doit être muni du
Accès aux messa
alyzer
1
as stockés en
Accès aux journaux stockés sur un boîtier FortiAnal
ges journalisés stockés en mémoire
Visualiser les messages journalisés stockés dans le FortiAn
Sélectionnez Journaux/Alertes > Journal.
2 Sélectionnez Memory.
3 Sélectionnez le type de journal désiré. Les journaux trafic ne sont pmémoire, étant donné leur volume.
Les messages journalisés s’affichent dans la fenêtre.
yzer
Dans la cas où vous avez configuré votre boîtier FortiGate pour qu’il envoie des paquets messages journalisés vers un FortiAnalyzer, vous pourrez visualiser, naviguer et télécharger des journaux sauvegardés sur ce FortiAnalyzer. Pour plus de détails sur la configuration du FortiGate pour l’envoi de journaux vers un FortiAnalyzer, voir « Journalisation sur un FortiAnalyzer » à la page 411.
Remarque : Pour accéder aux journaux d’un FortiAnalyzer, celui-ci doit être muni du microcode version 3.0 ou plus. Accéder aux fichiers journaux d’un FortiAnalyzer
1 Sélectionnez Journaux/Alertes > Journal.
2 Sélectionnez FortiAnalyzer.
3 Sélectionnez le type de journal désiré.
420 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 264 : Fichiers journaux sur un FortiAnalyzer
Type de journal Sélectionnez le type de journal que vous voulez visualiser.
Certains fichiers journaux, tels que le journal Trafic, ne peut des
Nom de fichier Les noms des fichiers du type sélectionné stocké sur le disque dur du FortiAnalyzer.
fichier avec le même nom. Par exemple, le journal n cours est alog.log. Tout journal supplémentaire
sauvé aura comme nom alog.n, où n est le nombre de
aquet
cours efface tous les messages journalisés du fichier actif. Il est seulement possible de vider le journal actif.
rimer le fichier journal entier. Vous ne pouvez
er le journal sous format texte ou fichier
Visualisation des
’afficheur de journaux reprend les informations des messages journalisés. Les colonnes reprennent le contenu des fichiers journaux. La partie supérieure de la page comprend des fonctionnalités de navigation qui vous aideront à vous déplacer parmi les messages et à localiser des informations spécifiques.
pas être sauvegardé sur la mémoire en raison du volumeinformations journalisées.
Lorsqu’un fichier journal atteint sa taille maximum, le FortiAnalyzer sauve ce fichier avec un numéro et commence un nouveauAttaques e
journaux répertoriés.
Taille La taille du fichier journal en octets.
Date du dernier accès Le jour, le mois, l’année et l’heure auxquels le dernier pjournalisé a été envoyé par le boîtier FortiGate.
Icône Vider Permet de vider le fichier en cours. Vider un fichier en
Icône Supprimer Permet de supppas supprimer le fichier actif.
Icône Télécharger Permet de téléchargCSV.
Icône Visualiser Permet d’afficher le fichier journal à partir de l’interface d’administration web.
informations journalisées
L
Guide d’Administration FortiGate Version 3.0 421 01-30001-0203-20060424
Illustration 265 : Visualisation des messages journalisés
Type de journal Sélectionnez le type de journal à visualiser.
Icône Page précéd Affiche la page précédente du fichier journal.
Affiche la page suivante du fichier journal.
ente
Icône Page suivante
Visualiser… lignes par page Choisissez le nombre de messages journalisés affichés
ligne à
nnes.
n affichage non électionnez
Formatage pour passer en affichage organisé en
imer les options de filtrage en cours pour le fichier journal.
Paramètres de c
ge des messages
lisés
sur chaque page.
Ligne Entrez le numéro de la ligne de la premièreafficher. Le nombre suivant le slash (« / ») est le nombre total de ligne dans le journal.
Formatage des colonnes Sélectionnez pour ajouter ou supprimer des colo
Colonnes/Formatage Sélectionnez Colonnes pour passer eformaté des messages journalisés. S
colonnes.
Clear All Filters Supprimer tous les filtres. Permet de suppr
s olonnes
Le formatage des colonnes permet de personnaliser l’affichajournalisés lors de l’affichage Formatage des messages. Illustration 266 : Paramètres des colonnes pour l’affichage des messages journa
Personnaliser les colonnes
électionnez Journa1 ux/Alertes > Journal.
2
S
Choisissez le Type de Journal que vous désirez accéder.
422 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
3 Choisissez entre Memory ou FortiAnalyzer.
4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le fichier.
5 liquez sur Formatage des colonnes.
6 om de c s des nez soit
la flèche d ectionnés de la liste Champs er les champs dans cet ordre.
s champs sélectionnés de la ps
place vers le haut dans la liste Visualiser les champs dans cet ordre.
ace le champ sélectionné d’une place vers le bas dans la
7 Cliquez sur OK.
Filtrage des messages journalisés
est possible de filtrer les contenus des journaux pour trouver des informations large une
c Illustration 267 : Filtrages d
C
Sélectionnez un n olonne. Pour modifier l’affichage des informationjournaux, sélection :
-> roite pour déplacer les champs sél Disponibles vers la liste Visualis
<- la flèche gauche pour déplacer leliste Visualiser les champs dans cet ordre vers la liste ChamDisponibles.
Monter Déplace le champ sélectionné d’une
Descendre Déplliste Visualiser les champs dans cet ordre.
Ilspécifiques dans un fichier ou dans plusieurs fichiers. Le filtrage offreforme de recherche avan ée pour chaque colonne d’information du journal.
es journaux
Les paramètres de filtrage appliqués se maintiennent pendant la durée de votre connexion au boîtier FortiGate. Les filtres des journaux sont réinitialisés à chaque déconnexion du boîtier FortiGate.
Remarque : Vous devez être en affichage Formatage pour accéder aux filtres. Filtrer des messages journalisés
1 Sélectionnez Journaux/Alertes > Journal.
2 Sélectionnez le type de journal auquel vous voulez accéder.
3 Choisissez entre Memory ou FortiAnalyzer.
4 Si vous visualisez un fichier journal sur un FortiAnalyzer, sélectionnez View pour le fichier.
5 Sélectionnez l’icône Filtre de la colonne à trier.
6 Entrez un critère de filtrage dans le champ Texte.
7 Sélectionnez si le critère entré est égal à ce que vous filtrez ou s’il est présent dans les données.
8 Si vous désirez exclure les contenus, cochez NOT.
Guide d’Administration FortiGate Version 3.0 423 01-30001-0203-20060424
Les icônes Filtres apparaissent en gris dans l’en-tête de la colonne. Un filtre utilisé
er
Rapports Le bles
• émoire pour soumettre, sous format graphique, des
informations de base sur le trafic. Les rapports comprennent la bande
nalyzer, le boîtier ir
ut
Rapports de base
Le boîtier FortiGate utilise des informations sur les journaux rassemblées et les présente sous format graphique pour établir l’usage réseau pour un nombre de services. Les graphiques montrent le volume d’octets utilisé par le trafic.
apparaît en vert.
Pour annuler un filtre, sélectionnez l’icône Filtre et cliquez ensuite sur RéinitialisFiltre.
oîtier FortiGate offre deux formes de rapports, vous permettant de visualiser informations sur le trafic circulant sur votre réseau :
Rapports de base sur le trafic – Le boîtier FortiGate utilise les informations des journaux stockés en m
passante par service et les protocoles par volume.
• Rapports FortiAnalyzer – lorsqu’il est connecté à un FortiAFortiGate peut accéder à tous les rapports générés par le FortiAnalyzer à partde ses journaux. Vous pouvez également personnaliser un rapport par défapour le boîtier FortiGate.
sur le trafic
Remarque : Les données utilisées pour les graphiques sont stockées en mémoire. Lors d’un redémarrage ou d’une réinitialisation du boîtier FortiGate, les données sont effacées.
Pour visualiser les rapports des journaux, sélectionnez Journaux/Alertes > Report Access et choisissez Memory. Illustration 268 : Visualisation de la Bande Passante par service
424 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
La localisation à partir de laquelle le boîtier FortiGate obtieSource des données nt
r rtiAnalyzer.
yzer, voir
Time Period ez un intervalle de temps pour les analyses de
FortiAnalyzer Link uré
en peut être :
• To access a complete set of 1000+ reports, please en
Acce r ce
accé
Le rapport n’est pas mis àsélectionnez Journaux/Al
Configuration de l’af
Les rapports FortiGate com le rappoifiqu
graphe Bande Passante p Modifier les informations
1 z Journaux/Al
2 Choisissez Memory comm
3 Sélectionnez le service quensuite sur Appliquer.
e se met à jour avby Total Volume » ne chan
les données sur la journalisation pour ses rapports. Choisissez Memory pour visualiser les journaux de base sur le trafic. Pouobtenir des rapports plus détaillés, sélectionnez Fo
Pour plus d’informations sur les rapports du FortiAnal« Rapports FortiAnalyzer » à la page 426.
Sélectionngraphiques.
Le lien en haut du rapport varie selon que vous ayez configle boîtier FortiGate pour l’envoi de journaux vers un FortiAnalyzer. Le li
configure a FortiAnalyzer appliance – cliquez sur ce lipour configurer un FortiAnalyzer. Pour plus de détails, voir« Journalisation sur un FortiAnalyzer » à la page 411.
• ss full set of reports on FortiAnalyzer – cliquez sulien pour lancer une nouvelle fenêtre de navigation
dant à l’interface d’administration web du FortiAnalyzer.
jour en temps réel. Pour rafraîchir le rapport, ertes > Report Access.
fichage des graphiques
prennent une large gamme de services que vous pouvez contrôler avec rt de base graphique. Pour vous aider à visualiser des informations spéc es, vous pouvez personnaliser ce que vous voyez sur le
ar Service ( Bandwidth Per Service).
des graphiques
Sélectionne ertes > Report Access.
e Source de données.
e vous désirez voir apparaître sur le graphe et cliquez
Le graph ec le contenu sélectionné. Le « Top Protocols Ordered ge pas.
Remarque : Il s’agit de rappo FortiAnalyzer peut fournir des rapports llés ou spécifiques.
nalisés et de gainsi d nces sur
votre réseau pour les activitéproblèmes de sécurité et dan on des mauvais usages et abus du réseau.
rts simplifiés. Un boîtierplus détai La fonction d’un FortiAnalyzer est de rassembler des messages jour énérer des rapports. Il peut générer plus de 140 rapports différents, vous offrant es informations historiques et mises à jour, des tenda
s mail, IM et générales. Ceci vous aide dans l’identification de s la réducti
Guide d’Administration FortiGate Version 3.0 425 01-30001-0203-20060424
Rapports FortiAn
ts uvez également configurer un profil de
cifiques pour le boîtier Fo
orsque le boîtier FortiGate se connecte pour la première fois à un FortiAnalyzer, e un profil de
être personnalisé à partir d Le FortiAnalyzer peut crée e afin de répondre à une ga ersonnalisables
détails sur l’azer Administratio
alyzer
Dans le cas où le boîtier FortiGate est connecté à un FortiAnalyzer muni du microcode version 3.0 ou plus, il vous est possible d’accéder à tous les rapporénérés pour le boîtier FortiGate. Vous pog
rapport par défaut configurable pour générer des rapports spértiGate.
Lce dernier cré rapport par défaut personnalisable. Seul ce profil peut
u boîtier FortiGate.
r plusieurs profils de rapport pour un boîtier FortiGatmme d’exigences et à des options p
additionnelles. Pour plus de jout et la configuration de profils de rapport, voir le FortiAnaly n Guide.
Remarque : Les rapports FortiAnal us ne configurez pas r FortiGate pour qu’il as
muni du microcode version 3.0 ou plus.
Visualisation des rapports FortiAnalyzer
demande. Si vous utilisez un FortiAnalyzer, vous pouvez accéder à tout rapport
Visualiser les rapports FortiAnalyzer
1
2
3 Cliquez sur la flèche bleue pour afficher la sélection des rapports à visualiser.
4 Sélectionnez un nom de rapport pour visualiser une version HTML du rapport.
Si le rapport a été configuré pour inclure des formats alternés, vous pouvez sélectionner l’icône dans la colonne Autres Formats.
yzer n’apparaissent pas tant que vole boîtie se connecte à un FortiAnalyzer, ou si le FortiAnalyzer n’est p
Le FortiAnalyzer peut générer un nombre de rapports spécifiques pour un boîtier FortiGate et faire fonctionner ces rapports selon des horaires précis, ou sur
généré pour le boîtier FortiGate à partir de l’interface d’administration web FortiGate.
Sélectionnez Journaux/Alertes > Report.
Choisissez FortiAnalyzer comme Source de données.
426 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 269 : Visualisation des rapports FortiAnalyzer pour le boîtier FortiGate
SélectiConfigurationboîtier FortiGate. Ce rapport apparaissant en haut de
onnez pour configurer le rapport par défaut pour le
ble à partir du boîtier FortiGate. Pour plus de détails, voir le
Date La date et l’heure auxquelles le FortiAnalyzer a généré les
supplémentaires de rapports apparaîtront. Ces formats comprennent Adobe PDF,
ration du rapport par défaut du FortiAnalyzer
Il est possible de mettre à jour ou de modifier un profil de configuration de rapport pour y inclure les informations à paraître sur le rapport. Choisissez le type de rapport et un intervalle de temps pour fournir des rapports spécialisés. Configurer le profil de rapport par défaut du FortiAnalyzer
1 Sélectionnez Journaux/Alertes > Report Config.
2 Choisissez FortiAnalyzer comme Source de données.
3 Sélectionnez Configuration.
4 Entrez un titre pour le rapport et une description de ce qu’il contient. Ces deux champs sont facultatifs.
5 Cliquez sur la flèche bleue à côté des options à configurer : Période de temps Choisissez un intervalle de temps pour le rapport.
Portée du rapport Choisissez le type de résultat à inclure dans le rapport.
Report Types Sélectionnez les rapports à inclure.
Filtre Filtrez les données des journaux pour créer des rapports sur des contenus ou informations spécifiques.
la listedes rapports FortiAnalyzer, est le seul rapport personnalisa
FortiAnalyzer Administration Guide.
Fichiers de rapport Les noms des fichiers HTML pour chaque rapport généré dans le profil de rapport.
rapports.
Taille (octets) La taille des fichiers rapports.
Autres Formats Dans le cas où cela a été configuré par l’administrateur FortiAnalyzer, des formats de fichiers
Microsoft Word RTF ou ASCII Text.
onfiguC
Guide d’Administration FortiGate Version 3.0 427 01-30001-0203-20060424
Planifié Configurez le moment auquel le FortiAnalyzer génère ses rapports, par exemple, chaque semaine ou chaque mois.
Format/Sortie Choisissez un format pour les rapports.
6 Cliquez sur OK.
Configuration des options temporelles
Les rapports reprennent les informations pour un laps de temps donné. Vous devez spécifier cet intervalle de temps souhaité. Lorsque le FortiAnalyzer génère un rapport, il utilise les données journalisées pour cette période de temps spécifié uniquement. Illustration 270 : Configuration des options temporelles des rapports
Période de temps Sélectionnez un intervalle de temps pour le rapport.
Date de début : Choisissez la date et l’heure de départ.
Choisissez la date et l’heure de fin.
contenu des rapports
Date de fin :
Configuration du contenu des rapports
électionnez le type de résultats que vous voulez inclure dans les rapports.S Illustration 271 : Configuration du
Résoudre les Permet l’affichage des noms d’hôtes par un nom noms
d’hôtes,
Résoudre les noms ce de services éros de port. Par exemple, HTTP au lieu de port 80.
Dans les « rapports classés » montrer le top
s.
r
valeurs du champ « Top ».
d’hôtes reconnaissable à la place des adresses IP. Pour toute information sur la configuration d’adresse IP de nomsvoir le FortiAnalyzer Administration Guide.
Permet l’affichage des noms des services réseaux à la plades num
Pour certains types de rapports, vous pouvez définir les éléments supérieurs. Ces rapports ont le mot « Top » dans leur nom et afficheront uniquement les n entrées supérieurePar exemple, le rapport des clients mail les plus actifs dans l’organisation (au lieu de tous les clients mail).
Les rapports qui ne comprennent pas le mot « Top » dans leunom afficheront quant à eux toutes les informations. Les rapports ne seront pas affectés par un changement des
428 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration de la sélection des rapports
Sélectionnez le type d’informations que vous voulez inclure dans les rapports :
Basic – offre les types de rapports les plus communs.
• All – offre tous les types de rapports. Si les données pour un type de rapport sont inexistantes, ce rapport affichera un message précisant que les données journalisées pour ce rapport n’ont pas été trouvées.
• Custom – permet de sélectionner les rapports que vous voulez inclure. Cliquez sur la flèche bleue pour afficher les catégories de rapports et sélectionnez des rapports individuels.
Configuration de filtres pour les journaux
Le filtrage vous permet de visualiser ou retirer des informations d’un rapport pour obtenir un rapport plus concis. Cela sert dans le cas, par exemple, où vous ne désirez que des rapports sur des messages d’erreurs spécifiques ou encore si vous ne voulez pas inclure certaines adresses IP de destination. Illustration 272 : Configuration de filtres pour les journaux
•
Filtres Choisissez None pour ne pas appliquer de filtres aux journaux d’un rapport.
Choisissez Custom pour appliquer des filtres aux journaux d’un rapport.
Include logs that match Sélectionnez le critère voulu pour le filtre.
Sélectionnez All pour inclure dans le rapport les journaux qui correspondent à tous les paramètres des filtres. Si le contenu d’un journal ne correspond pas à tous les critères, le FortiAnalyzer ne reprendra pas ce journal dans son rapport.
Sélectionnez Any pour inclure dans le rapport les journaux qui correspondent à au moins un critère des filtres. Si un contenu de filtre, même s’il est le seul, correspond au contenu d’un journal, celui-ci sera repris dans le rapport généré par le FortiAnalyzer.
Priorité Cochez cette case pour activer les options de filtrage en fonction du niveau de priorité. Sélectionnez ensuite le niveau de priorité à rechercher dans les journaux et précisez si vous désirez que le contenu soit égal, plus grand ou plus petit que ce niveau de priorité.
Guide d’Administration FortiGate Version 3.0 429 01-30001-0203-20060424
Source(s) Entrez l’adresse IP source comme critère de correspondance. Utilisez une virgule pour séparer plusieurs adresses.
Cochez Not pour exclure l’adresse IP source du rapport. Dans le cas par exemple où vous ne voulez pas inclure le contenu d’une adresse IP source précise dans le rapport.
Destination(s) Entrez l’adresse IP de destination comme critère de correspondance. Utilisez une virgule pour séparer plusieurs adres
Coc dresse IP de destination du rapp ù vous ne voulez pas inclure de destination précise dans le
Vou rganiser le filtre en fonction de plages ris des sous-réseaux pour créer des rap tion. Par exemple :
• s IP du sous ou 172.20.110.0/24
• .20.110.0-140.255 filtre toutes les adresses IP de 172.20 .255
• resses IP de 172.16
(s) Entrez lure dans le rapport. Sépare une virgule.
Cochez cette interface du rapp ar exemple où vous ne voulez pas inclur terface précise dans le rapport.
ine(s) Virtuel(s) Entr irtuels à inclure dans le rapport. Séparez plusieu ls par une virgule.
Coche u rapport. Dans le cas par exe ure le contenu d’un VDOM précis
Entr dans le rapport. Sép ule.
Coc e service du rapport. Dans le cas par exemp oulez pas inclure le contenu d’un service préc
URL(s) Entr e dans le rapport. Séparez plusi
Cochez Not pour exclure l’URL du rapport. Dans le cas par exem ù vous ne voulez pas inclure le contenu d’un URL précis s le rapport.
Séle ure dans le rapport.
Jours de la semaine Cho es jours de la semaine pour lesquels les informa s journaux sont insérées dans les rappor
ses.
hez Not pour exclure l’aort. Dans le cas par exemple o
le contenu d’une adresse IP rapport.
s pouvez également o d’adresses IP, y compports sur des groupes de l’organisa
172.20.110.0-255 filtre toutes les adresse-réseau 172.20.110.0/255.255.255.0
172.110.0 à 172.20.140
172.16.0.0-20.255.255 filtre toutes les ad.0.0 à 172.20.255.255
Interface l’interface que vous voulez incz plusieurs interfaces par
Not pour exclus p
re les informations de ort. Dans le cae le contenu d’une in
Doma ez les domaines vrs domaines virtue
z Not pour exclure le VDOM dne voulez pas inclmple où vous
dans le rapport.
Service(s) ez les services spécifiques à inclure arez plusieurs services par une virg
hez Not pour exclure lle où vous ne v
is dans le rapport.
ez les URL spécifiques à inclureurs URL par une virgule.
ple o dan
Période ctionnez un intervalle de temps à incl
isissez ltions tirées des fichier
ts.
430 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Configuration d’un planning pour les rapports
Le FortiAnalyzer génère des rapports selon un planning que vous définissez. Choisissez un horaire récurrent pour que, par exemple, chaque semaine des
ur le trafic mail soien
Illustration 273 : Configuration d’u
rapports s t générés.
n planning pour les rapports
Non planifié Permet de ne pas générer de rapport quotidien. Utilisez ce
para oulez obtenir des rapports seulement lorsq ionnez cette option, vous deve rt à partir de l’interface d’ad
Quotidiennement Perm ort tous les jours à la même heure.
Ces jours Perme tains jours de la semaine.
Permeexemp miers et quinziè
ure Perme généré.
onfiguration de la sort
pouvez choisir la destina gurez pour cela le boîtier FortiAnalyzer pour soit sauvegarder les rapports sur son disque dur, soit les envoyer par mail à tous les d core les deux options. Lors de la configuration du For r mail des rapports, vous devez configurer le serveur ma our toute information à ce sujet, voir le FortiAnalyzer Adm
mètre lorsque vous vue nécessaire. Si vous sélect
on du rappoz solliciter l’initiatiministration web du FortiAnalyzer.
et de générer un rapp
t de générer un rapport cer
Des dates t de générer un rapport certains jours du mois. Par le, pour générer un rapport tous les premes jours du mois, entrez 1, 15.
He t de définir l’heure à laquelle le rapport sera
C ie des rapports
Vous tion et le format des rapports. Confi
estinataires prévus, soit en
tiAnalyzer pour l’envoi pail sur le FortiAnalyzer. Pinistration Guide.
Remarque : Si vous envoyez par ateur et que son client email ne supporte pas HTML, il ve de HTML de chaque rapport dans le corps du
ssage.
mail des rapports HTML à un utilisrra le co
me
Guide d’Administration FortiGate Version 3.0 431 01-30001-0203-20060424
Illustration 274 : Configuration de la sortie des rapports
Fichier de sortie Sélecti ur les rapports générés
sau ur du FortiAnalyzer.
Email de sortie Séle r les rapports générés env e jointe de courriers élec
ses Email Entr ires des rapports. Tapez la touch Enter pour ajouter une adresse mail supplémentaire.
Sélecti s fichiers de rapports terminés sur un serveur FT
Adresse IP Entr
utilisateur Entrez le ous connecter sur le serveur FTP.
Mot de passe Entrez le mot de passe pour vous connecter sur le serveur FTP
er le(s) rapport(s) Perme es rapports en at gzip fichi es télécharger sur un serveur FTP.
er le(s) fichier(s) Permet de supprimer les fichiers des rapports du argement disq u FortiAnalyzer une fois que celui-ci a terminé le
télécha
Mail d’alerte La fonctionnalité de mail d’ale boîtier FortiGate de surveiller les
aux de messages journalisé sévérité. Si le sage apparaît dans les journaux, le boîtier FortiGate envoie un mail aux
s prédéfinis du mess rnalisé en question. L’envoi de mails d’alerte fournit un èmes
paraissant sur le boîtier For ou des attaques seaux.
onnez le format de fichier povés sur le disque d
ctionnez le format de fichier poucoyés par le FortiAnalyzer en piè
troniques.
Liste d’adres ez les adresses mail des destinatae
Charger le rapport onnez pour télécharger deP. sur un serveur FTP
ez l’adresse IP du serveur FTP.
Nom d’ nom d’utilisateur pour v
.
Charg t de compresser les fichiers dau form
ers gzip avant de l
Supprimaprès ch ue dur d
rgement sur le serveur FTP.
rte permet aujourn
ss ayant un certain niveau de
medestinataire age jou
e notification immédiate de problreurs systèmeap tiGate, tels que des er
ré
432 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Illustration 275 : Options des mails d’alerte
Configuration des mails d’alerte
Lors de la configuration de mails urer au moins un S. Le boîtier FortiGate utilise le nom du serveur SMTP pour se
connecter au serveur mail et doit chercher ce nom sur votre serveur DNS.
onfigurer les mails d’alerte
Sélectionnez Journaux/Alerte ration > Alerte Mail.
issez les options suivantes Le nom/a P.
Email from Le nom
e Entrez jusqu’à trois destinataires des mails d’alerte.
Authentification Activer Coch activer l’authentification SMTP.
Compte de messagerie Entrez tilisateur pour vous connecter au TP serveu oi de mails d’alerte. Cette manoeuvre
n’es vous avez activé l’authentification SMTP.
Entrez necter au serveur SMTP pour l’e ’alerte. Cette manoeuvre n’est nécess l’authentification SMTP.
Log Level Le boît ie des mails d’alerte pour tous les messa eau de sévérité sélectionné ainsi que des niveau
Entrez un int d’attente avant l’envoi du mail d’ale niveau additionnel des messages journalisés.
Erreur Avertissement Notification
n
d’alerte, vous devez configserveur DN
C
1 s > Configu
2 Défin et cliquez ensuite sur Appliquer : Serveur SMTP dresse du serveur mail SMT
d’utilisateur SMTP.
Destinatair
e z cette case pour
un nom d’uSM r SMTP pour l’env
t nécessaire que si
Mot de passe un mot de passe pour vous connvoi de mails d
aire que si vous avez activé
ier FortiGate envoges du nivx supérieurs.
Urgent ervalle de temps Alerte Critique
rte du
Informatio
Guide d’Administration FortiGate Version 3.0 433 01-30001-0203-20060424
Remarque : Dans le cas où le boîtier FortiGate réunit plus d’un message journalisé avant que l’intervalle de temps soit atteint, le boîtier FortiGate combine ces messages et n’envoie qu’un mail d’alerte.
434 Guide d’Administration FortiGate Version 3.0 01-30001-0203-20060424
Guide d’Administration FortiGate Version 3.0 435 01-30001-0203-20060424
Index
A accès au mode console, 33 administrateur
authentification RADIUS, 169 configuration d’un compte, 170 contrôle, 180 liste, 169 modifier le mot de passe, 170
administration comptes administrateurs, 168 FortiManager, 177–78 groupe d’utilisateurs, 169 profils d’administration, 174
adresse pare-feu, 245 configuration, 247 configuration des groupes d’adresses, 248 introduction, 245 liste des adresses pare-feu, 246 liste des groupes d’adresses, 247
ajout d'un serveur ping à une interface, 76–77 antispam, 386
configuration cli, 398 expressions régulières en Perl, 400 liste noire et liste blanche, 392 modèle à méta-caractère, 400 mots bannis, 389 trafic POP3 et IMAP, 386 trafic SMTP, 386
antivirus, 337 configuration CLI, 350 liste de soumission automatique, 344 liste des graywares, 348 liste des virus, 347 mise en quarantaine, 342 modèles de fichier, 338 options de mise en quarantaine, 345
archives de contenu, 58 authentification
RADIUS, 169 authentification
d’un utilisateur, 324 authentification
paramétrage du timeout, 324 auto key, 295
B bande passante garantie, 239 bande passante maximum, 239 BGP, 219
paramètres, 220
C Centre FortiGuard, 184
configuration du boîtier, 186 problèmes de connexion, 188 service Antispam, 185 service de filtrage web, 185
certificats VPN, 316 certificats CA, 320 certificats locaux, 316 générer une requête de certificat, 317 importation d’un certificat serveur signé, 319 liste de révocation de certificat, 322
châssis FortiGate série 5000, 15 cluster
administration, 133 administration individuelle des membres, 135 configuration, 124 connexion au réseau, 147 déconnexion d’un membre, 136 liste des membres, 119–20 réadjoindre un membre déconnecté, 137 réplication, 135
cluster virtuel administration, 141
clustering virtuel activation, 131 configuration, 127 exemple de configuration, 139
configuration des paramètres du modem, 79
configuration de l'interface modem, 79 configuration du système
sauvegarde et restauration, 181 Configuration Globale
paramètres, 42 configuration par défaut
des profils de protection, 280 console de message d'alerte, 50 conventions du document, 26
D date et heure, paramétrage, 51 détection de l'échec d'une passerelle, 76 DHCP
baux d’adresses, 103 configuration d’un serveur, 101 configuration d’une interface, 69 configuration d’une interface comme relais DHCP,
101 configuration des services DHCP, 100 serveurs et relais, 99
DNS configuration dynamique d'une interface, 72
domaines virtuels
436 Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 01-30000-0270-20051212
affectation d’un administrateur, 46 ajout d’interfaces à un vdom, 45 création et édition, 44 introduction, 40 mode Multiple VDOM, 43 paramètres de configuration, 41 paramètres de la Configuration Globale, 42
domaines virtuels et cluster configuration, 130
E échec d'une passerelle
détection, 76 enregistrement d'un FortiGate, 37 expressions régulières en Perl, 400
F filtrage web, 366
filtre url, 374 liste d’exemption des contenus web, 371 liste de blocage de contenu, 368 par mots clés, 368
filtrage web FortiGuard, 378 liste override, 379
filtre MAC, 96 FortiAnalyzer, 411
accès aux journaux, 420 découverte automatique, 412 rapports, 425–26
FortiGate documentation, 26–27
FortiGate IPv6, 91 commande CLI, 91
FortiGate série 5000 châssis, 15 modules, 16
FortiGuard configuration des options override, 334 mise à jour manuelle des définitions AV et IPS, 55
Fortinet Base de Connaissance, 28 Service clientèle et support technique, 28
Fortinet, gamme de produits FortiAnalyser, 22 FortiBridge, 23 FortiClient, 22 FortiGuard, 22 FortiMail, 23 FortiManager, 23 FortiReporter, 23
G gamme de produits FortiGate, 15 gamme de produits Fortinet, 21–22 groupe d’adresses pare-feu, 247
groupe d’utilisateurs, 329–30 configuration, 333 groupe d’utilisateurs Active Directory, 331 groupe d’utilisateurs pare-feu, 331 groupe d’utilisateurs VPN SSL, 332 liste de groupe, 332 options override FortiGuard, 334 types de groupe, 331
groupe d’utilisateurs VPN SSL, 335 groupes d’adresses
configuration, 248
H HA, high availability
voir haute disponibilité, 104 haute disponibilité
exemple de configuration en maillage intégral, 143 haute disponibilité, 104
clustering virtuel, 108 interface de Heartbeat, 117 maillage intégral HA, 109 modes HA (actif-actif et actif-passif, 107 options HA, 114 priorité de l’équipement, 115 protocole de clustering FortiGate (FGCP), 106 statistiques, 122
haute disponibilité interfaces agrégées 802.3ad, 150
haute disponibilité journalisation d’un cluster, 415
heartbeat adresses IP des interfaces, 119 interface, 117 interfaces par défaut, 118
historique opérationnel, 55 hôtes de confiance, 172–73
I icônes, description, 36 IM, 403
configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques d’ensemble, 403 statistiques par protocole, 404
information sur la licence, 48 interface
ajout d'un serveur ping, 76–77 configuration additionelle, 74 configuration DHCP, 69 configuration DNS dynamique, 72 configuration PPPoE, 70 contrôler un accès administratif, 74 introduction, 61 paramètres, 63 paramètres DHCP, 70
Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 437 01-30000-0270-20051212
paramètres PPPoE, 71 interface agrégée 802.3ad, 66 interface d'administration web, 29
aide en ligne, 30 barre de boutons, 30 barre de statuts, 37 déconnexion, 34 écran, 29 icônes, 36 menu, 35 moteur de recherche, 32 pages, 34
interface IPSec virtuelle configuration, 72
interface modem configuration, 79
interface redondante, 67 interface sans fil, 68 interfaces
statuts, 50 IP virtuelles, 260
ajout d’IP virtuelles dynamiques, 276 ajout d’un relayage de port, 269 ajout d’une IP virtuelle d’équilibrage de charge,
272 ajouter une adresse IP virtuelle de translation, 265–
66 configuration des adresses, 264 liste, 264
ips, 352 anomalies, 362 configuration cli, 364–65 décodeurs de protocoles, 360 signatures personnalisées, 358 signatures prédéfinies, 353–54
IPSec virtuelle configuration d'une interface, 72 paramètres, 73
J journal des Attaques, 59 journalisation, 409
accès aux journaux, 419–20 boîtier FortiAnalyzer, 411 d’un cluster haute disponibilité, 415 filtres et colonnes, 422 journal antispam, 419 journal antivirus, 417–18 journal des attaques, 418 journal événement, 417 journal filtrage web, 418 journal im/p2p, 419 journal Trafic, 416 niveaux de sévérité, 410 stockage des journaux, 411 sur la mémoire, 413 sur un serveur Syslog, 414
sur Web Trends, 415 types de journaux, 415–16
L licence, 192–93 liste des sessions, 57 logiciel FortiGate, 53
mise à jour logicielle, 53 retour à une version antérieure, 54
M MAC
adresses MAC virtuelles, 138 mail d’alerte, 432 maillage intégral
exemple de configuration, 143 message de connexion VPN SSL
modification, 164–65 messages de remplacement, 160–61 méta-caractère, 400 MIB
champs MIB Fortinet, 158 MIB FortiGate, 156 mise à jour
des signatures antivirus et IPS, 189 mise à jour forcée, 191 via un serveur proxy, 190
mise à jour logicielle, 53 à partir de l’interface d’administration web, 53
mise en quarantaine, 342 configuration des options, 345
mode Transparent table de routage, 78
modèles de fichier, 338 modem
configuration des paramètres, 79 connexion et déconnexion, 83 statut, 84
modules FortiGate série 5000, 16 Multicast, 221
paramètres, 222
N nom d’hôte d’un membre, 123 nom d'hôte du FortiGate, modification, 52 numéro de séquence, 195
O options du réseau
configuration, 77 OSPF, 211
définitions d’aires, 216 options avancées, 214
438 Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 01-30000-0270-20051212
paramètres de base, 212 spécification de réseaux, 217 système autonome, 211
P P2P, 403
configuration cli, 408 les utilisateurs, 405 politique utilisateur globale, 407 statistiques d’ensemble, 403 statistiques par protocole, 404
page d’ignorance du filtrage web FortiGuard modification, 164
page d’information d’authentification modification, 165
page de connexion et authentification modification, 163
paires et groupes de paires, 336 par défaut
route et passerelle, 198 paramétrage, date et heure du système, 51 paramètres
d'une route en mode Transparent, 78 paramètres du modem
mode redondant, 79, 81 mode stand alone, 79, 82
pare-feu groupe de service, 255 service personnalisé ICMP, 254 service personnalisé IP, 254 service personnalisé TCP ou UDP, 253
pare-feu, 249 configuration des services personnalisés, 253 liste des services personnalisés, 253 liste des services prédéfinis, 249 règle, 228
pare-feu plage horaire
voir plage horaire, 257 passerelle
détection de l'échec d'une passerelle, 76 plage horaire d’un pare-feu, 257
configuration des plages ponctuelles, 258 configuration des plages récurrentes, 259 liste des plages ponctuelles, 257 liste des plages récurrentes, 258
Plages IP, 277 configuration, 278
Plages IP et NAT dynamique, 277 PPPoE
configuration d’une interface, 70 préférence des routes, 195 priorité d’un membre, 123 priorité de l’équipement, 115 priorité du trafic, 240 produits de la gamme Fortinet, 21–22 profil de protection, 279
ajout d’un profil à une règle, 292 configuration, 281 configuration CLI, 293 introduction, 279 liste, 280 options antivirus, 281–82 options de filtrage antispam, 286 options de filtrage web, 283 options de la journalisation, 291 options des archives de contenu, 289 options du filtrage FortiGuard-Web, 284–85 options IM et P2P, 290 options IPS, 288–89 par défaut, 280
profils d’administration, 174 configuration, 176 liste, 176
protection contre les intrusions, 352 anomalies, 362 configuration cli, 364–65 décodeurs de protocoles, 360 signatures personnalisées, 358 signatures prédéfinies, 353–54
R RADIUS
authentification des administrateurs, 169 rapports, 424
configuration d’un planning, 430–31 configuration de la sortie des rapports, 431 configuration des filtres, 429 configuration des graphiques, 425 configuration du contenu, 428 FortiAnalyzer, 425–26 options temporelles, 428 sur le trafic, 424
règle de routage, 201 ajout, 202 déplacement, 203
règle pare-feu, 228 ajout d’une authentification, 238 ajout d’une priorité de trafic, 239 ajout d’une règle, 231 configuration, 232 corresondance de règles, 229 déplacement, 231 liste, 230 options, 234
règle pare-feu IPSec, 242 règle pare-feu VPN SSL, 243 réseau
options du réseau, 76 options, configuration, 77
retour à une version logicielle antérieure, 54 RIP, 205
ignorer les paramètres, 209 options avancées, 208
Guide d’installation FortiGate-3000 et FortiGate-3600 Version 3.0 439 01-30000-0270-20051212
paramètres de base, 206 routage
ajout d’une route statique, 200 concepts, 194 construction d’une table de routage, 195 numéro de séquence, 195 préférence des routes, 195 prendre les décisions, 195 règle, 201
route paramètres, en mode Transparent, 78
route et passerelle par défaut, 198 routes statiques
création et édition, 197 routeur dynamique, 205
BGP, 219 Multicast, 221 OSPF, 211 RIP, 205
S serveur override
ajout, 190 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 service clientèle et support technique, 28 snmp
configuration, 153 SNMP, 152
configuration d’une communauté, 154 statistiques
visualisation, 57 statuts du système, 47
informations, 48 page des statuts, 47 ressources, 49 statistiques, 50
Syslog journalisation, 414
système sans fil domaines régulatoires, 92 filtrage des MAC, 96 interface LAN sans fil FortiWiFi, 92 numéros des canaux IEEE 802.11x, 92 paramètres du système, 94 surveillance du module, 97
T table de routage, 225
affichage des informations, 225
en mode Transparent, 78 recherche, 227
traps FortiGate, 156
U utilisateur, 324
authentification d’un utilisateur, 324 comptes utilisateurs locaux, 325 configuration d’un groupe d’utilisateurs, 333 groupe d’utilisateurs, 329–30 groupe d’utilisateurs Active Directory, 331 groupe d’utilisateurs pare-feu, 331 groupe d’utilisateurs VPN SSL, 332 liste de groupe d’utilisateurs, 332 serveurs LDAP, 327 serveurs RADIUS, 326 serveurs Windows AD, 328 types de groupe d’utilisateurs, 331
V VLAN
en mode NAT/Route, 85 en mode Transparent, 88 introduction, 84
VPN IPSec, 294 auto key, 295 clé manuelle, 305 concentrateur, 308 création d’une phase 1, 296 création d’une phase 2 \r, 302 tunnels actifs, 309–10
VPN PPTP, 312 plage PPTP, 312
VPN SSL, 313 configuration, 313 monitor, 314–15
W Web Trends
journalisation, 415 wireless
voir Système sans fil, 92
Z zone, 75
liste des zones, 75 paramètres d'une zone, 76