Guide Dadministration FortiGate v30MR1 FR PDF

GUIDE DADMINISTRATION
FortiGate
Version 3.0
www.fortinet.com
Guide dadministration FortiGate
Version 3.0
24 avril 2006
01-30001-0203-20060424
Droit dauteur 2006 Fortinet, Inc. Tous droits rservs. En aucun cas, tout ou
partie de cette publication, y compris les textes, exemples, diagrammes ou
illustrations, ne peuvent tre reproduits, transmis ou traduits, sous aucune forme et
daucune faon, que ce soit lectronique, mcanique, manuelle, optique ou autre,
quelquen soit lobjectif, sans autorisation pralable de Fortinet, Inc.
Marques dposes
Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS,
FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System,
FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion,
FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS,
FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et
FortiWiFi sont des marques dposes de Fortinet, Inc. aux tats-Unis et/ou dans
dautres pays. Les noms des socits et produits mentionns ici peuvent tre des
marques dposes par leurs propritaires respectifs.
2 Guide dAdministration FortiGate Version 3.0

01-30001-0203-20060424
Table des Matires
Introduction .......................................................................................................15
Prsentation des quipements FortiGate ............................................................................. 15
Chssis FortiGate srie 5000 ............................................................................................... 15
A propos des modules FortiGate srie 5000 ........................................................................ 16
FortiGate-3600...................................................................................................................... 17
FortiGate-3000...................................................................................................................... 17
FortiGate-1000A ................................................................................................................... 18
FortiGate-1000AFA2............................................................................................................. 18
FortiGate-1000...................................................................................................................... 18
FortiGate-800........................................................................................................................ 18
FortiGate-800F...................................................................................................................... 19
FortiGate-500A ..................................................................................................................... 19
FortiGate-500........................................................................................................................ 19
FortiGate-400A ..................................................................................................................... 19
FortiGate-400........................................................................................................................ 19
FortiGate-300A ..................................................................................................................... 20
FortiGate-300........................................................................................................................ 20
FortiGate-200A ..................................................................................................................... 20
FortiGate-200........................................................................................................................ 20
FortiGate-100A ..................................................................................................................... 20
FortiGate-100........................................................................................................................ 21
FortiGate-60/60M/ADSL ....................................................................................................... 21
FortiWiFi-60 .......................................................................................................................... 21
FortiGate-50A ....................................................................................................................... 21
Gamme de Produits Fortinet.................................................................................................. 22
Services de souscription FortiGuard..................................................................................... 22
FortiAnalyser......................................................................................................................... 22
FortiClient.............................................................................................................................. 22
FortiManager......................................................................................................................... 23
FortiBridge ............................................................................................................................ 23
FortiMail ................................................................................................................................ 23
FortiReporter......................................................................................................................... 23
A propos de ce document ...................................................................................................... 24
Conventions utilises dans ce document ............................................................................. 26
Documentation FortiGate ....................................................................................................... 27
CD doutils et de documentation Fortinet.............................................................................. 28
Base de Connaissance Fortinet (Fortinet Knowledge Center) ............................................. 28
Remarques sur la documentation technique Fortinet........................................................... 28
Service clientle et support technique ................................................................................. 28
Interface dadministration web ........................................................................29

Fonctionnalits de la barre de boutons ................................................................................ 30
Contacter le Support Technique ........................................................................................... 30
Aide en Ligne ........................................................................................................................ 30
Accs au mode console........................................................................................................ 33
Dconnexion ......................................................................................................................... 34
Guide dAdministration FortiGate Version 3.0 3

01-30001-0203-20060424
Pages de linterface dadministration web ........................................................................... 34
Menu de linterface dadministration web.............................................................................. 35
Listes..................................................................................................................................... 36
Icnes.................................................................................................................................... 36
Barre de statuts..................................................................................................................... 37
Enregistrement dun quipement FortiGate......................................................................... 37
Utilisation de domaines virtuels ......................................................................40

Domaines virtuels ................................................................................................................... 40
Paramtres de configuration des domaines virtuels............................................................. 41
Paramtres de la Configuration Globale............................................................................... 42
Activation du mode Multiple VDOM ...................................................................................... 43
Configuration des VDOM et paramtres globaux ................................................................ 43
Visualisation, cration et dition de domaines virtuels et dition de paramtres globaux ... 44
Ajout dinterfaces un domaine virtuel................................................................................. 45
Affectation dun administrateur un domaine virtuel............................................................ 46
Statuts du Systme...........................................................................................47
Page des statuts...................................................................................................................... 47
Visualisation des statuts du systme.................................................................................... 47
Modification des informations du systme .......................................................................... 51
Paramtrage des date et heure ............................................................................................ 51
Modification du nom dhte du botier FortiGate................................................................... 52
Modification du logiciel FortiGate ......................................................................................... 53
Mise jour logicielle.............................................................................................................. 53
Retour une version logicielle antrieure ............................................................................ 54
Visualisation de lhistorique oprationnel............................................................................ 55
Mise jour manuelle des dfinitions FortiGuard................................................................. 55
Mise jour manuelle des dfinitions AV FortiGuard ............................................................ 56
Mise jour manuelle des dfinitions IPS FortiGuard ........................................................... 56
Visualisation des Statistiques ............................................................................................... 57
Visualisation de la liste des sessions.................................................................................... 57
Visualisation des Archives de Contenu ................................................................................ 58
Visualisation du Journal des Attaques.................................................................................. 59
Systme > Rseau ............................................................................................61

Interface ................................................................................................................................... 61
Paramtres de linterface ...................................................................................................... 63
Cration dune interface agrge 802.3ad ........................................................................... 66
Cration dune interface redondante .................................................................................... 67
Cration dune interface sans fil ........................................................................................... 68
Configuration DHCP dune interface..................................................................................... 69
Configuration PPPoE dune interface ................................................................................... 70
Configuration dun service DNS dynamique dune interface ................................................ 72
Configuration dune interface IPSec virtuelle........................................................................ 72

01-30001-0203-20060424
Configuration additionnelle des interfaces............................................................................ 74
Zone .......................................................................................................................................... 75
Paramtres dune zone......................................................................................................... 76
Options..................................................................................................................................... 76
Dtection de lchec dune passerelle .................................................................................. 76
Configuration des Options du Rseau.................................................................................. 77
Table de Routage (en mode Transparent) ............................................................................ 78
Paramtres dune route en mode Transparent..................................................................... 78
Configuration de linterface modem...................................................................................... 79
Configuration des paramtres du modem ............................................................................ 79
Configuration du mode Redondant....................................................................................... 81
Configuration du mode stand alone...................................................................................... 82
Ajout de rgles pare-feu pour les connexions modem ......................................................... 83
Connexion et dconnexion du modem ................................................................................. 83
Vrification du statut du modem ........................................................................................... 84
Aperu sur les VLAN............................................................................................................... 84
Equipements FortiGate et VLAN .......................................................................................... 85
VLAN en mode NAT/Route ..................................................................................................... 85
Consignes sur les identificateurs VLAN................................................................................ 86
Consignes sur les adresses IP VLAN................................................................................... 86
Ajout de sous-interfaces VLAN............................................................................................. 87
VLAN en mode Transparent................................................................................................... 88
Consignes sur les identificateurs VLAN................................................................................ 90
Domaines virtuels et VLAN en mode Transparent ............................................................... 90
Support FortiGate IPv6 ........................................................................................................... 91
Systme Sans Fil ..............................................................................................92

Interface LAN sans fil FortiWiFi............................................................................................. 92
Domaines rgulatoires............................................................................................................ 92
Paramtres sans fil du systme (FortiWiFi-60) .................................................................... 94
Paramtres sans fil du systme (FortiWiFi-60A et 60AM)................................................... 95
Filtrage des MAC ..................................................................................................................... 96
Surveillance du module sans fil ............................................................................................ 97
Systme DHCP ..................................................................................................99

Serveurs et relais DHCP FortiGate ........................................................................................ 99
Configuration des services DHCP....................................................................................... 100
Configuration dune interface comme relais DHCP ............................................................ 101
Configuration dun serveur DHCP ...................................................................................... 101
Visualisation des baux dadresses...................................................................................... 103
Rservation dadresses IP pour clients spcifiques ........................................................... 103

01-30001-0203-20060424
Configuration du Systme .............................................................................104
Haute Disponibilit................................................................................................................ 104
Aperu sur la Haute Disponibilit........................................................................................ 105
Protocole de Clustering FortiGate (FGCP) ......................................................................... 106
Modes HA (actif-actif et actif-passif) ................................................................................... 107
Compatibilit de la HA FortiGate avec DHCP et PPPoE.................................................... 108
Aperu sur le clustering virtuel............................................................................................ 108
Aperu sur le maillage intgral HA ..................................................................................... 109
Configuration doptions HA (clustering virtuel inactiv) ...................................................... 112
Configuration doptions HA pour clustering virtuel.............................................................. 112
Options HA.......................................................................................................................... 114
Liste des membres dun cluster .......................................................................................... 120
Visualisation des statistiques HA........................................................................................ 122
Modification du nom dhte et de la priorit dun membre subordonn.............................. 123
Configuration dun cluster HA ............................................................................................. 124
Configuration dun clustering virtuel.................................................................................... 127
Administration dun cluster.................................................................................................. 133
Dconnexion dun membre du cluster ................................................................................ 136
Adresses MAC virtuelles dun cluster ................................................................................. 138
Exemple de configuration dun clustering virtuel ................................................................ 139
Administration de clusters virtuels ...................................................................................... 141
Exemple de configuration en maillage intgral HA............................................................. 143
Maillage intgral HA pour clustering virtuel ........................................................................ 148
HA et interfaces redondantes ............................................................................................. 149
HA et interfaces agrges 802.3ad .................................................................................... 150
SNMP ...................................................................................................................................... 152
Configuration SNMP ........................................................................................................... 153
Configuration dune communaut SNMP ........................................................................... 154
MIB FortiGate...................................................................................................................... 156
Traps FortiGate................................................................................................................... 156
Champs MIB Fortinet .......................................................................................................... 158
Messages de remplacement ................................................................................................ 161
Liste des messages de remplacement ............................................................................... 161
Modification des messages de remplacement.................................................................... 162
Modification de la page de connexion et dauthentification ................................................ 163
Modification de la page dignorance du filtrage web FortiGuard ........................................ 164
Modification du message de connexion VPN SSL ............................................................. 165
Modification de la page dinformation dauthentification ..................................................... 165
Mode de fonctionnement des VDOM et accs administratif ............................................ 166
Modification du mode de fonctionnement ........................................................................... 166
Administration du Systme ...........................................................................168

Administrateurs..................................................................................................................... 168
Configuration de lauthentification RADIUS des administrateurs ....................................... 169
Visualisation de la liste des administrateurs ....................................................................... 169
Configuration dun compte administrateur .......................................................................... 170
Profils dadministration ........................................................................................................ 174
Visualisation de la liste des profils dadministration ........................................................ 176
Configuration dun profil dadministration ......................................................................... 176

01-30001-0203-20060424
FortiManager.......................................................................................................................... 178
Paramtres............................................................................................................................. 178
Contrle des administrateurs .............................................................................................. 180
Maintenance du Systme ...............................................................................181

Sauvegarde et Restauration................................................................................................. 181
Centre FortiGuard ................................................................................................................. 184
Rseau de Distribution FortiGuard ..................................................................................... 184
Services FortiGuard ............................................................................................................ 184
Configuration du botier FortiGate pour les services FDN et FortiGuard ........................... 186
Rsolution de problmes de connexion FDN ..................................................................... 188
Mise jour des signatures antivirus et IPS......................................................................... 189
Activation des mises jour forces .................................................................................... 191
Licence ................................................................................................................................... 193
Routeur Statique .............................................................................................194

Route Statique ....................................................................................................................... 194
Concepts de routage........................................................................................................... 194
Visualisation, cration et dition de routes statiques.......................................................... 197
Route par dfaut et passerelle par dfaut .......................................................................... 198
Ajout dune route statique la table de routage ................................................................. 200
Rgle de Routage .................................................................................................................. 201
Ajout dune rgle de routage............................................................................................... 202
Dplacement dune rgle de routage.................................................................................. 203
Routeur dynamique ........................................................................................205

RIP........................................................................................................................................... 205
Fonctionnement RIP ........................................................................................................... 206
Visualisation et dition des paramtres de base RIP ......................................................... 206
Slection doptions RIP avances ...................................................................................... 208
Ignorer les paramtres de fonctionnement RIP dune interface ......................................... 209
OSPF....................................................................................................................................... 211
Systmes autonomes OSPF .............................................................................................. 211
Dfinition dun systme autonome (AS) OSPF .................................................................. 212
Visualisation et dition de paramtres de base OSPF ....................................................... 212
Slection doptions avances OSPF .................................................................................. 214
Dfinitions daires OSPF..................................................................................................... 216
Spcification de rseaux OSPF.......................................................................................... 217
Slection de paramtres de fonctionnement dune interface OSPF .................................. 218
BGP......................................................................................................................................... 219
Fonctionnement de BGP..................................................................................................... 220
Visualisation et dition des paramtres BGP ..................................................................... 220
Multicast................................................................................................................................. 221
Visualisation et dition de paramtres multicast ................................................................ 222
Ignorer les paramtres multicast dune interface................................................................ 223

01-30001-0203-20060424
Table de Routage ............................................................................................225
Affichage des informations sur le routage ......................................................................... 225
Recherche dans la table de routage FortiGate .................................................................. 227
Rgle Pare-feu.................................................................................................228
A propos des rgles pare-feu .............................................................................................. 228
Comment fonctionne la correspondance de rgles ? ......................................................... 229
Visualisation de la liste des rgles pare-feu ...................................................................... 230
Ajout dune rgle pare-feu................................................................................................... 231
Dplacement dune rgle dans la liste................................................................................ 231
Configuration des rgles pare-feu....................................................................................... 232
Options des rgles pare-feu ............................................................................................... 234
Ajout dune authentification aux rgles pare-feu ................................................................ 238
Ajout dune priorit de trafic aux rgles pare-feu ................................................................ 239
Options des rgles pare-feu IPSec..................................................................................... 242
Options des rgles pare-feu VPN SSL ............................................................................... 243
Adresse Pare-Feu ...........................................................................................245

A propos des adresses pare-feu ......................................................................................... 245
Visualisation de la liste des adresses pare-feu ................................................................. 246
Configuration des adresses................................................................................................. 247
Visualisation de la liste des groupes dadresses .............................................................. 247
Configuration des groupes dadresses .............................................................................. 248
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prdfinis................................................................ 249
Visualisation de la liste des services personnaliss......................................................... 253
Configuration des services personnaliss......................................................................... 253
Visualisation de la liste des groupes de services ............................................................. 255
Configuration des groupes de services.............................................................................. 255
Plage horaire dun Pare-feu ...........................................................................257

Visualisation de la liste des plages horaires ponctuelles................................................. 257
Configuration des plages horaires ponctuelles................................................................. 258
Visualisation de la liste des plages horaires rcurrentes................................................. 258
Configuration des plages horaires rcurrentes................................................................. 259
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260
Comment les adresses IP virtuelles grent-elles leurs connexions travers le botier
FortiGate ? .......................................................................................................................... 260

01-30001-0203-20060424
Visualisation de la liste dIP virtuelles ................................................................................ 264
Configuration des adresses IP virtuelles ........................................................................... 264
Ajout dune adresse IP virtuelle de translation une seule adresse IP ............................. 265
Ajout dune adresse IP virtuelle de translation une plage dadresses IP......................... 267
Ajout dun relayage de port de translation une seule adresse IP et un seul port ............ 269
Ajout dun relayage de port de translation une plage dadresses IP et une plage de ports
............................................................................................................................................ 270
Ajout dune IP virtuelle dquilibrage de charge une plage dadresses IP....................... 272
Ajout dune IP virtuelle relayage de port quilibrage de charge une plage dadresses IP et
une plage de ports .............................................................................................................. 274
Ajout dIP virtuelles dynamiques......................................................................................... 276
Plages IP ................................................................................................................................ 277
Plages IP et NAT dynamique.............................................................................................. 277
Plages IP pour les rgles pare-feu utilisant des ports fixes................................................ 277
Visualisation des plages IP .................................................................................................. 278
Configuration des plages IP................................................................................................. 278
Profil de Protection.........................................................................................279
Quest-ce quun profil de protection? ................................................................................. 279
Profils de protection par dfaut........................................................................................... 280
Visualisation de la liste des profils de protection ............................................................. 280
Configuration dun profil de protection .............................................................................. 281
Options Antivirus................................................................................................................. 282
Options du filtrage Web ...................................................................................................... 283
Options du filtrage FortiGuard-Web.................................................................................... 285
Options du filtrage antispam ............................................................................................... 286
Options IPS......................................................................................................................... 289
Options des archives de contenu ....................................................................................... 289
Options IM et P2P............................................................................................................... 290
Options de la journalisation ................................................................................................ 291
Ajout dun profil de protection une rgle ........................................................................ 292
Configuration CLI dun profil de protection ....................................................................... 293
Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperu du mode interface IPSec ......................................................................................... 294
Auto Key................................................................................................................................. 295
Cration dune nouvelle configuration phase 1 .................................................................. 296
Dfinition des paramtres avancs de la phase 1.............................................................. 299
Cration dune nouvelle configuration phase 2 .................................................................. 302
Dfinition des paramtres avancs de la phase 2.............................................................. 303
Cl Manuelle .......................................................................................................................... 305
Cration dune nouvelle configuration cl manuelle ........................................................ 306
Concentrateur........................................................................................................................ 308
Dfinition des options dun concentrateur........................................................................... 309

01-30001-0203-20060424
Tunnels actifs ........................................................................................................................ 310
VPN PPTP ........................................................................................................312

Plage PPTP ............................................................................................................................ 312
VPN SSL ..........................................................................................................313

Configuration......................................................................................................................... 313
Monitor ................................................................................................................................... 315
Certificats VPN ................................................................................................316

Certificat locaux .................................................................................................................... 316
Gnrer une requte de certificat ....................................................................................... 317
Tlchargement et soumission dune requte de certificat ................................................ 318
Importation dun certificat serveur sign ............................................................................. 319
Importation dun certificat serveur export et de sa cl prive ........................................... 319
Importation de fichiers spars de certificat serveur et leur cl prive .............................. 320
Certificats CA......................................................................................................................... 320
Importation de certificats de lautorit de certification......................................................... 321
CRL ......................................................................................................................................... 322
Importation dune liste de rvocation de certificat .............................................................. 322
Utilisateur ........................................................................................................324
Configuration de lauthentification dun utilisateur........................................................... 324
Paramtrage du timeout dauthentification ......................................................................... 324
Comptes utilisateurs locaux ................................................................................................ 325
Edition dun compte utilisateur............................................................................................ 325
Serveurs RADIUS .................................................................................................................. 326
Configuration dun serveur RADIUS ................................................................................... 326
Serveurs LDAP ...................................................................................................................... 327
Configuration dun serveur LDAP ....................................................................................... 328
Serveurs Windows AD .......................................................................................................... 328
Configuration dun serveur Windows AD ............................................................................ 329
Groupe dutilisateurs ............................................................................................................ 330
Types de groupe dutilisateurs............................................................................................ 331
Liste de groupes dutilisateurs ............................................................................................ 332
Configuration dun groupe dutilisateurs ............................................................................. 333
Configuration des options override FortiGuard pour un groupe dutilisateurs .................... 334
Configuration des options des groupes dutilisateurs VPN SSL......................................... 335
Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337

01-30001-0203-20060424
Modles de Fichier ................................................................................................................ 338
Visualisation du catalogue de la liste des modles de fichier (FortiGate-800 et plus
uniquement) ........................................................................................................................ 339
Cration dune nouvelle liste de modles de fichier ( FortiGate-800 et plus uniquement). 340
Visualisation de la liste de modles de fichier .................................................................... 340
Configuration de la liste de modles de fichier ................................................................... 342
Mise en Quarantaine ............................................................................................................. 342
Visualisation de la liste des Fichiers mis en Quarantaine .................................................. 343
Visualisation de la liste de soumission automatique .......................................................... 344
Configuration de la liste de soumission automatique ......................................................... 345
Configuration des options de mise en quarantaine ............................................................ 345
Configuration......................................................................................................................... 347
Visualisation de la liste des virus ........................................................................................ 347
Visualisation de la liste des Graywares .............................................................................. 348
Configuration de lAntivirus partir de linterface de ligne de commande .................... 350
system global optimize........................................................................................................ 350
config antivirus heuristic...................................................................................................... 350
config antivirus quarantine .................................................................................................. 351
config antivirus service <service_name>............................................................................ 351
Protection contre les Intrusions ....................................................................352

A propos de la protection contre les intrusions ................................................................ 352
Signatures prdfinies.......................................................................................................... 354
Visualisation de la liste de signatures prdfinies .............................................................. 354
Configuration de groupes de signatures prdfinies .......................................................... 357
Configuration des signatures prdfinies ........................................................................... 357
Signatures personnalises .................................................................................................. 358
Visualisation de la liste des signatures personnalises...................................................... 358
Cration de signatures personnalises .............................................................................. 359
Dcodeurs de protocoles ..................................................................................................... 360
Visualisation de la liste de dcodeurs de protocoles.......................................................... 361
Configuration des groupes de dcodeurs de protocoles IPS ............................................. 362
Configuration des dcodeurs de protocoles IPS ................................................................ 362
Anomalies .............................................................................................................................. 362
Visualisation de la liste des anomalies de trafic ................................................................. 363
Configuration des anomalies de trafic IPS.......................................................................... 364
Configuration de lIPS partir de linterface de ligne de commande .............................. 365
system autoupdate ips ........................................................................................................ 365
ips global fail-open .............................................................................................................. 365
ips global ip_protocol .......................................................................................................... 365
ips global socket-size.......................................................................................................... 365
(config ips anomaly) config limit.......................................................................................... 365
Filtrage Web ....................................................................................................366

Filtrage Web........................................................................................................................... 366
Filtrage par mots-cls ........................................................................................................... 368

01-30001-0203-20060424
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800 et plus)
............................................................................................................................................ 368
Cration dune nouvelle liste de blocage de contenu Web (Modle botier FortiGate-800 et
plus) .................................................................................................................................... 369
Visualisation de la liste de blocage de contenu Web ......................................................... 369
Configuration de la liste de blocage de contenu web ......................................................... 371
Visualisation du contenu de la liste dexemption des contenus Web (modles FortiGate-800
et plus) ................................................................................................................................ 371
Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate-800 et
plus) .................................................................................................................................... 372
Visualisation de la liste dexemption des contenus Web .................................................... 372
Configuration de la liste dexemption des contenus Web................................................... 373
Filtre URL ............................................................................................................................... 374
Visualisation du catalogue des listes de filtres URL (Modles FortiGate-800 et plus) ....... 374
Cration dune nouvelle liste de filtres URL (Modles FortiGate-800 et plus).................... 375
Visualisation de la liste des filtres URL............................................................................... 375
Configuration dune liste de filtres URL .............................................................................. 377
Dplacement dURL au sein de la liste de filtres URL........................................................ 378
Filtrage Web FortiGuard ....................................................................................................... 378
Configuration du filtrage FortiGuard-Web........................................................................... 378
Visualisation de la liste override ......................................................................................... 379
Configuration de rgles dignorance ................................................................................... 380
Cration de catgories locales ........................................................................................... 382
Visualisation de la liste des valuations locales ................................................................. 382
Configuration dvaluations locales .................................................................................... 383
Configuration dun blocage de catgorie partir de linterface de ligne de commande..... 384
Rapports du Filtrage FortiGuard-Web ................................................................................ 384
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386
Ordre du filtrage antispam .................................................................................................. 386
Mots bannis ........................................................................................................................... 389
Visualisation du catalogue de listes de mots bannis antispam (Modles FortiGate-800 et
plus) .................................................................................................................................... 389
Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et plus) . 390
Visualisation de la liste de mots bannis antispam .............................................................. 390
Configuration de la liste des mots bannis antispam ........................................................... 392
Liste noire et liste blanche ................................................................................................... 392
Visualisation du catalogue de listes dadresses IP antispam (modles FortiGate-800 et
plus). ................................................................................................................................... 393
Cration dune nouvelle liste dadresses IP antispam (modles FortiGate-800 et plus) .... 393
Visualisation de la liste dadresses IP antispam ................................................................. 394
Configuration de la liste des adresses IP antispam............................................................ 395
Visualisation du catalogue de listes dadresses mail antispam (modles FortiGate-800 et
plus). ................................................................................................................................... 395
Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et plus). 396
Visualisation de la liste dadresses IP mail antispam ......................................................... 396
Configuration de la liste des adresses mail antispam ........................................................ 398
Configuration antispam avance......................................................................................... 398
config spamfilter mheader................................................................................................... 398
config spamfilter rbl............................................................................................................. 399

01-30001-0203-20060424
Utilisation des expressions rgulires en Perl .................................................................. 400
Expression Rgulire vs Modle mta-caractre ........................................................... 400
Limite des mots................................................................................................................... 400
Sensibilit la casse des caractres.................................................................................. 400
Formats des expressions rgulires en Perl ...................................................................... 400
Exemples ............................................................................................................................ 402
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403
Visualisation des statistiques densemble .......................................................................... 403
Visualisation des statistiques par protocole........................................................................ 404
Utilisateur............................................................................................................................... 405
Visualisation de la liste des utilisateurs connects............................................................. 405
Visualisation de la liste des utilisateurs .............................................................................. 406
Ajout dun nouvel utilisateur la liste des utilisateurs ........................................................ 406
Configuration dune politique utilisateur globale ................................................................. 407
Configuration IM/P2P partir de linterface de ligne de commande ............................... 408
Journaux & Alertes .........................................................................................409

Journalisation FortiGate....................................................................................................... 409
Niveaux de svrit des journaux ....................................................................................... 410
Stockage des Journaux........................................................................................................ 411
Journalisation sur un botier FortiAnalyzer ......................................................................... 411
Se connecter un botier FortiAnalyzer au moyen de la dcouverte automatique............ 412
Test de la configuration dun botier FortiAnalyzer ............................................................. 412
Journalisation sur la mmoire ............................................................................................. 413
Journalisation sur un serveur Syslog.................................................................................. 414
Journalisation sur WebTrends ............................................................................................ 415
Journalisation dun cluster Haute Disponibilit ................................................................ 415
Types de Journaux................................................................................................................ 416
Journal Trafic ...................................................................................................................... 416
Journal Evnement ............................................................................................................. 417
Journal Antivirus ................................................................................................................. 418
Journal Filtrage Web........................................................................................................... 418
Journal des Attaques .......................................................................................................... 418
Journal Antispam ................................................................................................................ 419
Journal IM / P2P ................................................................................................................. 419
Accs aux Journaux ............................................................................................................. 420
Accs aux messages journaliss stocks en mmoire ...................................................... 420
Accs aux journaux stocks sur un botier FortiAnalyzer................................................... 420
Visualisation des informations journalises ........................................................................ 421
Paramtres des colonnes ................................................................................................... 422
Filtrage des messages journaliss ..................................................................................... 423
Rapports................................................................................................................................. 424
Rapports de base sur le trafic ............................................................................................. 424
Rapports FortiAnalyzer ....................................................................................................... 426

01-30001-0203-20060424
Mail dalerte............................................................................................................................ 432
Configuration des mails dalerte ......................................................................................... 433
Index ................................................................................................................435

01-30001-0203-20060424
Introduction
Bienvenue et merci davoir choisi les produits Fortinet pour la protection en temps
rel de votre rseau.
Les botiers FortiGateTM Unified Threat Management System (Systme de Gestion

Unifie des Attaques) scurisent les rseaux, rduisent les mauvais usages et
abus rseaux et contribuent une utilisation plus efficace des ressources de
communication, sans compromettre la performance de votre rseau. La gamme a
reu les certifications ICSA pare-feu, VPN IPSec et antivirus.
Lappliance FortiGate est un botier entirement ddi la scurit. Il est convivial

et fournit une gamme complte de services, que ce soit:
au niveau des applications (comme le filtrage antivirus, la protection contre les
intrusions, les filtrages antispam, de contenu web et IM/P2P).
au niveau du rseau (comme le pare-feu, la dtection et prvention dintrusion,
les VPN IPSec et VPN SSL et la qualit de service).
Au niveau de ladministration (comme lauthentification dun utilisateur, la
journalisation, les rapports du FortiAnalyzer, les profils dadministration, laccs
scuris au web et laccs administratif CLI et SNMP).
Le systme FortiGate utilise la technologie de Dynamic Threat Prevention System

(Systme Dynamique de Prvention des Attaques) (DTPSTM). Celle-ci sappuie sur
les dernires avances technologiques en matire de conception de microcircuits,
de gestion de rseaux, de scurit et danalyse de contenu. Cette architecture
unique base sur un Asic permet d'analyser en temps rel les contenus applicatifs
et les comportements du rseau.
Ce chapitre parcourt les sections suivantes :
Introduction aux quipements FortiGate

Gamme de produits Fortinet
A propos de ce document
Documentation FortiGate
Service clientle et support technique
Prsentation des quipements FortiGate

Toutes les appliances FortiGate Unified Threat Management offrent les
fonctionnalits antivirus, filtrage de contenu, pare-feu, VPN et dtection/prvention
dintrusion destines aux rseaux des petites comme des grandes entreprises.
Chssis FortiGate srie 5000

Les plates-formes de scurit rseau FortiGate srie 5000 sont des systmes
chssis destins aux grandes entreprises et fournisseurs de services haut dbit
Internet. Ils garantissent des services de scurit intgrant pare-feu, VPN,
protection antivirus, antispam, filtrage de contenu web et systme de prvention
contre les intrusions (IPS). Le grand choix de configurations systme quoffrent les
FortiGate srie 5000 assure la flexibilit ncessaire la croissance des rseaux de
haute performance. Les chssis FortiGate srie 5000 supportent de multiples

01-30001-0203-20060424
modules FortiGate srie 5000 ainsi que des sources dalimentation changeables
chaud.
Cette approche modulaire offre aux entreprises et utilisateurs des FAI

(Fournisseurs daccs Internet) une solution adaptable, hautement performante et
tolrante aux pannes.
Chssis FortiGate-5140
Le chssis FortiGate-5140 comprend quatorze slots (logements) permettant
dinstaller jusqu quatorze modules pare-feu antivirus FortiGate-5000. Il sagit dun
chssis de 12U comprenant deux modules redondants et changeables chaud
dalimentation de courant continu qui se connectent une alimentation -48 VDC
des salles dhbergement. Ce chssis possde galement trois plateaux de
ventilateurs changeables chaud.
Le chssis FortiGate-5050 comprend cinq slots permettant dinstaller jusqu cinq
modules pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 5U comprenant
deux connexions redondantes dalimentation de courant continu qui se connectent
une alimentation -48 VDC des salles dhbergement. Ce chssis possde
galement un plateau de ventilateurs changeable chaud.
Le chssis FortiGate-5020 comprend deux slots permettant linstallation dun ou de
deux module(s) pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 4U
comprenant deux entres dalimentation de courant AC vers DC redondantes qui
se connectent une alimentation AC. Ce chssis possde galement un plateau
interne de ventilateurs.
A propos des modules FortiGate srie 5000

Chaque module FortiGate srie 5000 est un systme de scurit autonome
pouvant faire partie dun cluster HA FortiGate. Tous les modules sont
changeables chaud. Ces quipements sont des systmes de scurit de haute

01-30001-0203-20060424
performance possdant de multiples interfaces gigabits, des capacits de
domaines virtuels et dautres fonctionnalits FortiGate de grande qualit.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un systme de scurit hautement performant et
autonome possdant huit interfaces Ethernet gigabits. Il supporte les
fonctionnalits de haut niveau notamment les VLAN 802.1Q ainsi que de multiples
domaines virtuels.
Module FortiGate-5001FA2
Le module FortiGate-5001FA2 est un systme de scurit hautement performant
et autonome possdant six interfaces Ethernet gigabits. Il est similaire au module
FortiGate-5001SX lexception de deux interfaces qui, intgrant la technologie
Fortinet, offrent une acclration de la performance du traitement des petits
paquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un systme de scurit hautement performant
et autonome possdant un total de six interfaces Ethernet gigabits. Deux de ces
interfaces intgrant la technologie Fortinet offrent une acclration de la
performance du traitement des petits paquets.
FortiGate-3600
La fiabilit et les performances du
FortiGate-3600 sont levs un
niveau de type oprateur et
rpondent aux exigences des
grandes entreprises et fournisseurs
de services.
Son architecture multiprocesseur et Asic fournit un dbit de 4Gbit/s, rpondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend
des blocs dalimentation redondants et un partage de charge, avec un secours
assur sans interruption de service. La grande capacit du FortiGate-3600, sa
fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de
services de scurit manags.
FortiGate-3000
La fiabilit et les performances du
FortiGate-3000 sont levs un
niveau de type oprateur et
rpondent aux exigences des
de services.
Son architecture multiprocesseur et Asic fournit un dbit de 3Gbit/s, rpondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend
des blocs dalimentation redondants et un partage de charge, avec un secours
assur sans interruption de service. La grande capacit du FortiGate-3000, sa
fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de
services de scurit manags.

01-30001-0203-20060424
FortiGate-1000A
Le botier FortiGate-1000A est une
solution hautement performante
rpondant aux exigences des
de services.
Grce son rseau de distribution (FortiGuard Distribution Network), les services

FortiGuard permettent au FortiGate-1000A de disposer des informations les plus
rcentes, assurant une protection continue contre les virus, vers, troyens et autres
menaces, mme les plus rcentes. Son architecture flexible lui permet de sadapter
aux technologies mergeantes telles que IM, P2P ou VOIP mais aussi de contrer
les mthodes frauduleuses de collectes dinformations prives utilises par les
spyware, phishing et pharming.
FortiGate-1000AFA2
Le botier FortiGate-1000AFA2 est
une solution hautement performante
rpondant aux exigences des
de services.
Ses deux ports de fibres optiques supplmentaires, bnficiant de la technologie
FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses
fonctions de scurit critique sur une plateforme hautement scurise garantissent
fiabilit, rentabilit, rapidit de dploiement, cots oprationnels bas et un taux
suprieur de dtection des anomalies connues et inconnues.
FortiGate-1000
Le botier FortiGate-1000 est conu
pour les grandes entreprises. Son
architecture multiprocesseur et Asic
fournit un dbit de 2Gbit/s,
rpondant ainsi aux besoins des applications les plus exigeantes. Le botier
FortiGate-1000 comprend des blocs dalimentation redondants minimisant les
points uniques de panne, ainsi que des supports pour un partage de charge et un
secours assur sans interruption de service.
FortiGate-800
Le botier FortiGate-800 fournit en
plus dun haut dbit, un total de huit
connexions rseau (quatre tant
personnalisables), un support des
VLAN et des domaines virtuels.
Lors dune configuration de cluster FortiGate, il fournit une redondance matrielle
stateful en haute disponibilit. Ses fonctionnalits hautement performantes en font
un choix naturel pour les grandes entreprises qui exigent une scurit optimum de
leurs rseaux.

01-30001-0203-20060424
FortiGate-800F
Le botier FortiGate-800F offre les
mmes fonctionnalits que le botier
FortiGate-800, mais avec quatre
interfaces de fibre optique : Internal,
External, DMZ et HA.
Ce botier fournit galement une redondance matrielle stateful en haute
disponibilit et un support aux protocoles de routage RIP et OSPF. Il garantit la
flexibilit, fiabilit et gestion aise que les grandes entreprises recherchent.
FortiGate-500A
Le botier FortiGate-500A
offre
un niveau de performance
et de fiabilit de classe
oprateur, rpondant
aux exigences des
fournisseurs de services et
des grandes entreprises.
Ses 10 connexions rseaux (dont un commutateur 4 ports LAN) et ses
fonctions haute disponibilit avec rplication automatique sans coupure de
rseau font du FortiGate-500A une solution performante aux applications
les plus critiques. Sa flexibilit, fiabilit et sa gestion aise en font un choix
naturel pour les oprateurs de services de scurit manags.
FortiGate-500
Le botier FortiGate-500 est conu pour
les grandes entreprises. Sa flexibilit, sa
fiabilit et sa gestion aise en font un
choix naturel pour les oprateurs de
services de scurit manags. Le botier FortiGate-500 supporte la haute
disponibilit.
FortiGate-400A
Le botier FortiGate-400A
rpond aux exigences des
grandes entreprises en terme de
performance, disponibilit
et fiabilit. Il supporte la haute
disponibilit et prsente une
rplication automatique
sans coupure de rseau. Ses caractristiques en font le meilleur choix
pour les applications les plus critiques.
FortiGate-400
les grandes entreprises. Il fournit un
dbit jusqu 500Mbit/s et supporte la
haute disponibilit, qui comprend une
rplication automatique sans coupure de rseau.

01-30001-0203-20060424
FortiGate-300A
Le botier FortiGate-300
rpond aux exigences
des grandes
entreprises en terme
de performance, disponibilit et fiabilit. Il supporte la haute disponibilit et
comprend une rplication automatique sans coupure de rseau. Ses
caractristiques en font le meilleur choix pour les applications les plus
critiques.
FortiGate-300
les grandes entreprises. Il supporte la
haute disponibilit, qui comprend une
rplication automatique sans
coupure de rseau. Ses caractristiques en font le meilleur choix pour les
applications les plus critiques.
FortiGate-200A
Le botier FortiGate-200A est
une solution conviviale et facile
grer garantissant un haut
niveau de performance, idal
pour rpondre aux applications
dentreprises domicile ou de petites entreprises ou succursales. Lassistant
dinstallation FortiGate guide les utilisateurs travers des procdures simples
dinstallation qui permettent au botier dtre oprationnel en quelques minutes.
FortiGate-200
rpondre aux applications
dentreprises domicile ou de petites
entreprises ou succursales.
Il offre une solution conviviale, facile grer. Le botier FortiGate-200 supporte la
haute disponibilit.
FortiGate-100A
Le botier FortiGate-100A est une
solution pratique et facile grer qui
rpond parfaitement aux applications
des petites entreprises, bureaux
domicile et succursales. Ce botier
supporte des fonctions avances
telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.

01-30001-0203-20060424
FortiGate-100
Le botier FortiGate-100 est conu
pour rpondre aux applications
dentreprises domicile ou de petites
entreprises ou succursales.
Il supporte les fonctions avances telles que VLAN 802.1Q, domaines virtuels,
haute disponibilit et protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL
les bureaux de personnel itinrant et
les magasins. Il comprend un port
modem extrieur qui peut servir de
connexion Internet redondante ou
stand alone.
Le botier FortiGate-60M comprend quant lui un modem interne qui peut
galement servir de connexion Internet redondante ou stand alone. Le botier
FortiGate-60ADSL est pour sa part muni dun modem ADSL interne.
FortiWiFi-60
Le modle FortiWiFi est une solution
intgre qui assure des connexions
sans fil scurises. Il combine
mobilit et flexibilit grce ses
fonctions FortiWiFi Antivirus Firewall.
De plus, il sadapte aux
avances technologiques
radiophoniques. Il peut faire office de
point de connexion entre rseaux
sans fil et rseaux cbls ou tenir
lieu de point central dun
rseau sans fil stand alone.
FortiGate-50A
Le botier FortiGate-50A est conu
pour les tltravailleurs, les
utilisateurs mobiles, les petites
entreprises et les succursales
comptant 10 employs ou moins. Il
comprend un port modem extrieur
qui peut servir de connexion
autonome Internet ou de service de sauvegarde.

01-30001-0203-20060424
Gamme de Produits Fortinet
En complment de sa gamme FortiGate, Fortinet propose une solution complte
de logiciels et dappliances de scurit, adressant notamment la scurit de la
messagerie, la journalisation et ldition de rapports statistiques, la gestion du
rseau et des configurations. Pour plus dinformations sur les gammes de produits
Fortinet, vous pouvez consulter le site www.fortinet.com/products.
Services de souscription FortiGuard

Les services FortiGuard sont des services de scurit dvelopps, mis jour et
grs par une quipe de professionnels en scurit Fortinet. Ces services assurent
la dtection et le filtrage des attaques, mme les plus rcentes, pour prserver les
ordinateurs et les ressources du rseau. Ces services ont t mis au point partir
des plus rcentes technologies de scurit et sont conus pour oprer des cots
oprationnels les plus bas possible.
Les services FortiGuard comprennent:
Le service FortiGuard antivirus

Le service FortiGuard IPS (Intrusion Prevention System)
Le service FortiGuard de filtrage web
Le service FortiGuard antispam
Le service FortiGuard premier
Sur notre site web, vous trouverez galement un scanner de virus et une
encyclopdie des virus et attaques.
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs rseaux les informations ncessaires
qui leur permettent dassurer une meilleure protection du rseau, une plus grande
scurit contre attaques et vulnrabilits. FortiAnalyser permet entre autres:
de centraliser les journaux des botiers FortiGate, des serveurs syslog et du

FortiClient
de gnrer des centaines de rapports partir des donnes collectes
de scanner le rseau et gnrer des rapports de vulnrabilits
de stocker les fichiers mis en quarantaine par FortiGate
FortiAnalyser peut galement tre configur en sniffer rseau et capturer en temps

rel le trafic intercept. Vous pouvez en outre utiliser FortiAnalyser comme lieu de
stockage o les utilisateurs peuvent accder et partager des donnes, telles que
des rapports et journaux conservs sur son disque dur.
FortiClient
Le logiciel FortiClientTM offre un environnement informatique scuris et fiable aux
utilisateurs dordinateurs de bureau et dordinateurs portables munis des systmes

01-30001-0203-20060424
dexploitation les plus rpandus de Microsoft Windows. FortiClient offre de
nombreuses fonctionnalits, y compris:
un accs VPN pour se connecter aux rseaux distants

un antivirus temps rel
une protection contre des modifications du registre Windows
une recherche des virus sur tout ou partie du disque dur
FortiClient peut sinstaller de faon silencieuse et se dployer aisment sur un parc

dordinateurs selon un paramtrage pr-tabli.
FortiManager
FortiManagerTM est conu pour rpondre aux besoins des grandes entreprises (y
compris les fournisseurs de services de gestion de scurit) responsables du
dploiement et du maintien de dispositifs de scurit travers un parc
dquipements FortiGate. FortiManager vous permet de configurer et de contrler
les statuts de plusieurs botiers FortiGate. Vous pouvez galement consulter leurs
journaux en temps rel et leurs historiques. FortiManager est facile utiliser et
sintgre aisment des systmes tiers.
FortiBridge
FortiBridgeTM permet dassurer une continuit de connexion rseau mme en cas
de panne lectrique dun systme FortiGate. Le FortiBridge connect en parallle
au FortiGate dvie le flux rseau lorsqu'il dtecte une panne sur le botier et reoit
alors le trafic pour viter toute coupure rseau. FortiBridge est facile utiliser et
dployer. Vous pouvez programmer lavance les actions que FortiBridge mettra
en place en cas de panne de courant ou de panne dans le systme FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de mme que des
rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en
oeuvre des techniques fiables et hautement performantes pour dtecter et bloquer
les mails non dsirs, tels que les signatures SHASH (Spam Hash) ou les filtres
bayesians. Construit sur base des technologies primes FortiOS et FortiASIC,
FortiMail utilise ses pleines capacits dinspection de contenu afin de dtecter les
menaces les plus avances dans les courriers lectroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer gnre des rapports explicites. Il peut
centraliser des journaux de nimporte quel botier FortiGate, ainsi que de plus de
30 botiers de rseau et de scurit provenant de constructeurs tiers. FortiReporter
offre une visibilit sur les abus rseau, lutilisation de la bande passante et lusage
du web afin de sassurer que le rseau est utilis de faon approprie.
FortiReporter permet aux administrateurs didentifier les attaques et dy rpondre. Il
permet galement de dfinir des actions proactives de protection des rseaux
avant que ceux-ci ne soient confronts une augmentation des menaces.

01-30001-0203-20060424
A propos de ce document
Ce Guide dAdministration FortiGate FortiOS v3.0 fournit des informations
dtailles sur les fonctionnalits de linterface dadministration web FortiGate et
celles ne pouvant tre configures qu partir de linterface de ligne de commande
(CLI).
Ce Guide dAdministration parcourt les fonctions de linterface graphique dans le

mme ordre que le menu de cette interface. Le document commence avec une
description gnrale de linterface dadministration web FortiGate et une
description des domaines virtuels FortiGate. Les chapitres suivants couvrent toutes
les options des menus Systme, Routeur, Pare-Feu et VPN. Enfin, les menus
Utilisateur, Antivirus, Protection Anti-Intrusion, Filtrage Web, Antispam, IM/P2P et
Journaux/Alertes sont dcrits sparment. Un index se trouve la fin du
document.
La dernire version de ce document se trouve sur la page FortiGate du site de

Documentation Technique Fortinet (Fortinet Technical Documentation). Les
informations contenues dans ce document sont galement disponibles, sous une
forme quelque peu diffrente, dans laide en ligne de linterface dadministration
web FortiGate.
De la documentation technique complmentaire sur FortiOS v3.0 est disponible sur

la page FortiGate du site de Documentation Technique Fortinet (Fortinet Technical
Documentation) et dans la Base de Connaissance Fortinet (Fortinet Knowledge
Center), ladresse http://kc.forticare.com.
Ce Guide dAdministration contient les chapitres suivants :
Interface dadministration web : fournit une introduction aux fonctionnalits de

linterface graphique, explique comment enregistrer un quipement FortiGate
et comment utiliser laide en ligne de linterface.
Utilisation de domaines virtuels : dcrit comment dfinir et administrer les
domaines virtuels dun quipement FortiGate.
Statut du Systme : dtaille les informations statuts visibles, y compris le
statut du systme, les informations sur lquipement, les ressources du
systme, la console de message dalerte, ainsi que les statistiques des
sessions, de larchive de contenu et du journal des attaques. Les changements
de statuts sont galement parcourus dans ce chapitre, tels que les
modifications apportes au microcode, au nom dhte et lheure du systme.
Rseau du Systme : retrace la configuration des interfaces physiques et
virtuelles, ainsi que les paramtres DNS sur le botier FortiGate.
Systme Sans Fil : dcrit la configuration dune interface LAN Wireless sur un
quipement FortiWiFi-60.
Systme DHCP : explique comment configurer une interface FortiGate comme
serveur DHCP ou Relais DHCP.
Configuration du Systme : dveloppe les procdures de configuration dun
clustering HA et virtuel, de configuration SNMP, de remplacement de
messages et de modification du mode de fonctionnement.
Administration du Systme : vous guide dans lajout et ldition de comptes
administrateurs, dans la dfinition de profils daccs administrateurs, dans la
configuration daccs au FortiManager et dans la dfinition des paramtres

01-30001-0203-20060424
gnraux des administrateurs tels que les langues, les timeouts et les ports
dadministration web.
Maintenance du Systme : dtaille comment sauvegarder et restaurer la
configuration du systme, activer les mises jour FortiProtectTM Distribution
Network (FDN), enregistrer lquipement FortiGate, crer des rapports sur les
bogues et entrer une cl de licence pour augmenter le nombre maximum de
domaines virtuels.
Routeur Statique : explicite comment dfinir des routes statiques et crer des
rgles pour celles-ci. Une route statique permet aux paquets dtre transfrs
vers une destination autre que celle de la passerelle par dfaut.
Routeur Dynamique : dfinit la configuration de protocoles dynamiques pour
guider le trafic travers de larges rseaux complexes.
Table de Routage: permet dinterprter la liste et les entres de la Table de
routage.
Rgle Pare-Feu : dcrit comment ajouter des rgles pare-feu qui contrlent les
connexions et le trafic entre les interfaces FortiGate, les zones et les sous-
interfaces VLAN.
Adresse Pare-Feu : retrace la configuration dadresses et de groupes
dadresses pour les rgles pare-feu.
Service Pare-Feu : rpertorie les services disponibles et explique comment
configurer des groupes de services pour les rgles pare-feu.
Plage horaire dun Pare-Feu : permet de configurer des plages horaire pare-
feu ponctuelles et rcurrentes.
IP Virtuelles : dcrit comment configurer et utiliser les adresses IP virtuelles et
les plages dadresses IP.
Profil de Protection : explique comment configurer des profils de protection
pour les rgles pare-feu.
VPN IPSEC : offre des informations pour le mode tunnel et le mode route
(mode interface) sur les options VPN IPSec (Internet Protocol Security)
disponibles partir de linterface dadministration web.
VPN PPTP : explique comment utiliser linterface dadministration web pour
spcifier une plage dadresses IP pour des clients PPTP.
VPN SSL : informe sur les paramtres de base VPN SSL.
Certificats VPN : dcrit comment grer les certificats de scurit X.509.
Utilisateur : dtaille comment contrler laccs aux ressources du rseau via
une authentification de lutilisateur.
Antivirus : explique comment activer les options antivirus lors de la cration de
profils de protection pare-feu.
Protection contre les Intrusions : parcourt la configuration doptions IPS lors de
la cration de profils de protection pare-feu.
Filtrage Web : parcourt la configuration doptions de filtrage du contenu web
lors de la cration de profils de protection pare-feu.
Antispam : parcourt la configuration doptions de filtrage de spams lors de la
cration de profils de protection pare-feu.

01-30001-0203-20060424
IM / P2P : parcourt la configuration doptions IM et P2P lors de la cration de
profils de protection pare-feu. Les statistiques IM et P2P permettent davoir un
aperu de lutilisation des protocoles dans le rseau.
Journaux et Alertes : dcrit comment activer la journalisation, visualiser les
journaux et rapports de base disponibles partir de linterface dadministration
web.
Conventions utilises dans ce document

Les conventions suivantes sont utilises dans ce guide :
Dans les exemples, les adresses IP prives sont utilises aussi bien pour les
adresses IP prives que publiques.
Les remarques et attentions fournissent des informations importantes :
Les remarques vous apportent de linformation additionnelle utile.
Les attentions vous mettent en garde contre des commandes et procdures qui
pourraient avoir des rsultats inattendus ou indsirables tels que perte de donnes ou
dtrioration de lquipement.
Conventions typographiques
La documentation du FortiGate utilise les conventions typographiques suivantes :
Convention Exemple
Commandes de Menus Allez dans VPN > IPSEC et slectionnez Crer Phase 1.
Entre clavier Dans le champ Nom de Passerelle, tapez un nom pour le client
VPN distant (par exemple, Central_Office_1).
Exemple de code config sys global
set ips-open enable
end
Syntaxe CLI (Interface config firewall policy
de ligne de commande) edit id_integer
set http_retry_count <retry_integer>
set natip <address_ipv4mask>
end
Noms des documents Guide dAdministration FortiGate
Contenu de fichier <HTML><HEAD><TITLE>Firewall

Authentication</TITLE></HEAD>
<BODY><H4>You must authenticate to use this
service.</H4>
Affichage du rsultat
Welcome!
dun programme
Variables <address_ipv4>

01-30001-0203-20060424
Documentation FortiGate
Les versions les plus rcentes de la documentation Fortinet, de mme que les
prcdentes parutions, sont disponibles sur le site de documentation technique
Fortinet ladresse http://docs.forticare.com.
Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront
aussi disponibles en franais :
FortiGate QuickStartGuide - Guide de dmarrage rapide FortiGate
Fournit les informations de base sur la connexion et linstallation dun FortiGate
FortiGate Install Guide - Guide dInstallation FortiGate
Dcrit comment installer un FortiGate. Il comprend des informations sur le
matriel, des informations sur la configuration par dfaut, ainsi que des
procdures dinstallation, de connexion et de configuration de base. Slectionnez
le guide en fonction du numro du modle du produit.
FortiGate Administration Guide - Guide dAdministration FortiGate
Fournit les informations de base sur la manire de configurer un FortiGate, y
compris la dfinition des profils de protection FortiGate et des rgles pare-feu.
Explique comment appliquer les services de prvention dintrusion, protection
antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt galement
la manire de configurer un VPN.
FortiGate online help - Aide en ligne FortiGate
Fournit le Guide dAdministration au format HTML avec des outils de recherche.
Vous pouvez accder laide en ligne partir de linterface dadministration web.
FortiGate CLI Reference - Guide de Rfrence CLI
Dcrit comment utiliser linterface de ligne de commande FortiGate et rpertorie
toutes ses commandes.
FortiGate Log Message Reference - Guide de rfrence des messages
journaliss dun FortiGate
Disponible uniquement partir de la base de connaissance (Fortinet Knowledge
Center), ce mode demploi dcrit la structure et le contenu des messages
prsents dans les journaux FortiGate.
FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilit FortiGate
Fournit une description dtaille des fonctions de haute disponibilit et du
protocole de clustering FortiGate.
FortiGate IPS User Guide - Guide utilisateur de lIPS FortiGate (Systme de
Prvention dIntrusion)
Dcrit la configuration des paramtres IPS FortiGate et le traitement des
attaques les plus courantes.
FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate
Fournit des instructions pas pas sur la configuration VPN IPSec via linterface
FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate
Compare les technologies FortiGate VPN IPSec et VPN SSL et dcrit comment
configurer partir de l'interface graphique les modes VPN SSL web et VPN SSL
tunnel pour les connexions distance des utilisateurs.

01-30001-0203-20060424
FortiGate PPTP VPN User Guide - Guide utilisateur du VPN PPTP FortiGate
Explique comment configurer un VPN PPTP via linterface dadministration web.
FortiGate Certificate Management User Guide - Guide utilisateur de gestion des
certificats FortiGate
Indique comment grer les certificats digitaux, et notamment comment gnrer
des requtes de certificat, installer des certificats, importer le certificat de
l'autorit de certification et des listes de rvocation, sauvegarder et restaurer des
certificats et leurs cls prives associes.
FortiGate VLANs and VDOMs User Guide - Guide utilisateur des VLANs et
VDOMs FortiGate
Dcrit comment configurer des VLAN et VDOM en mode NAT/Route et
Transparent. Des exemples dtaills y sont repris.
CD doutils et de documentation Fortinet

Toute la documentation Fortinet est disponible sur le CD doutils et de
documentation fourni avec votre matriel livr. Les documents du CD
correspondent lquipement fourni. Pour obtenir les versions les plus jour de la
documentation Fortinet, visitez le site de Documentation Technique Fortinet sur
http://docs.forticare.com.
Base de Connaissance Fortinet (Fortinet Knowledge Center)

De la documentation technique complmentaire est disponible dans la base de
connaissance Fortinet (Fortinet Knowledge Center), notamment des articles sur les
dpannages et questions les plus frquemment rencontrs, des notes techniques,
et davantage. Vous pouvez consulter le site de la Base de Connaissance Fortinet
ladresse http://kc.forticare.com.
Remarques sur la documentation technique Fortinet

Merci dindiquer toute ventuelle erreur ou omission trouve dans cette
documentation techdoc@fortinet.com.
Service clientle et support technique

Le Support Technique Fortinet (Fortinet Technical Support) propose son
assistance pour une installation rapide, une configuration facile et une fiabilit des
systmes Fortinet.
Pour connatre ces services, consultez le site de Support Technique Fortinet

ladresse http://support.fortinet.com.

01-30001-0203-20060424
Interface dadministration web
Cette section dcrit les fonctionnalits conviviales de linterface dadministration
web de votre FortiGate.
Vous pouvez configurer et administrer le botier FortiGate avec une connexion
HTTP ou HTTPS, partir de tout ordinateur muni dun navigateur web. Linterface
dadministration web fonctionne en plusieurs langues, dont le franais. Vous
pouvez configurer le botier FortiGate pour une administration HTTP et HTTPS
partir de nimporte quelle interface FortiGate.
Illustration 1 : Ecran de linterface dadministration web
Linterface dadministration web permet de configurer la plupart des paramtres

FortiGate et de contrler son statut. Les changements de configuration apports
partir de linterface dadministration web sont instantanment pris en compte, sans
quil soit ncessaire de rinitialiser le pare-feu et sans interruption de service. Une
fois votre configuration souhaite accomplie, il est conseill de la sauvegarder. Elle
pourra alors tre restaure ds que ncessaire.
Pour plus dinformations sur la connexion linterface dadministration web, voir

Accs linterface dadministration web dans le Guide dInstallation de votre
FortiGate.
Les sujets suivants sont parcourus dans cette section :

Fonctionnalits de la barre de boutons
Pages de linterface dadministration web
Enregistrement dun quipement FortiGate

01-30001-0203-20060424
Fonctionnalits de la barre de boutons
Les boutons de la barre en haut droite de linterface dadministration web
fournissent un accs plusieurs fonctionnalits importantes du FortiGate.
Illustration 2 : Barre de boutons de linterface dadministration web
Contacter le Support Technique

En cliquant sur le bouton Contacter le Support Technique (Contact Customer
Support), la page du site de support Fortinet souvre dans une nouvelle fentre. De
cette page, vous pouvez :
enregistrer votre quipement FortiGate (Product Registration). Pour plus de

dtails sur les instructions, voir Enregistrement dun quipement FortiGate
la page 37. Fortinet vous enverra un courrier lectronique reprenant votre
compte utilisateur et le mot de passe qui vous permettront de vous inscrire au
Centre de Support Client (Customer Support Center).
entrer sur le site du Centre de Support Client.
visiter le Centre FortiGuard.
accder la Base de Connaissance.
tlcharger les mises jour des bases de connaissance antivirus et IPS.
obtenir tous les renseignements sur les programmes de formation et de
certification.
en apprendre davantage sur Fortinet et ses produits.
Aide en Ligne
Les boutons de laide en ligne (Online Help) activent laffichage de laide en ligne
pour la page ouverte de linterface dadministration web. La page daide en ligne
affiche contient les informations et procdures relatives aux commandes de la
page ouverte. La plupart des pages daide contiennent galement des hyperliens
sur certains sujets dont il est question. Le systme daide en ligne comprend
galement plusieurs commandes offrant de linformation additionnelle.

01-30001-0203-20060424
Illustration 3 : Page daide en ligne des statuts du systme
Show Navigation Ouvre le panneau de navigation de laide en ligne. A partir de

l, vous pouvez utiliser la table des matires de laide en ligne,
lindex et le moteur de recherche. Laide en ligne est organise
de la mme manire que linterface dadministration web et
que le Guide dAdministration FortiGate.
Previous Retourne la page prcdente de laide en ligne.
Next Passe la page suivante de laide en ligne.
Email Envoie un courrier lectronique au centre de Documentation
Technique Fortinet techdoc@fortinet.com. Tout commentaire
ou rectificatif sur la documentation des produits Fortinet peut
tre envoy cette adresse.
Print Imprime la page ouverte de laide en ligne.
Bookmark Ajoute une entre cette page daide en ligne dans les
marque-pages de votre navigateur ou dans votre liste de
Favoris. Ce bouton facilite la recherche de pages daide en
ligne.
Slectionnez Show Navigation pour afficher le panneau de navigation

de laide en ligne.
Illustration 4 : page de laide en ligne avec panneau de navigation
Contents Affiche la table des matires de laide en ligne. Vous pouvez

naviguer travers la table des matires pour trouver des
informations dans laide en ligne. Laide en ligne est organise
de la mme manire que linterface dadministration web et
que le Guide dAdministration FortiGate.
Index Affiche lindex de laide en ligne. Vous pouvez utiliser lindex
pour trouver de linformation dans laide en ligne.

01-30001-0203-20060424
Search Affiche le moteur de recherche de laide en ligne. Voir A
propos de la recherche de laide en ligne la page 32 pour
tout renseignement sur le moteur de recherche de laide en
ligne.
Show in Contents Si vous avez utilis lindex, le moteur de recherche ou les
hyperliens pour trouver linformation recherche dans laide en
ligne, la table des matires a probablement disparu de votre
cran. Slectionnez Show in Contents pour afficher la table
des matires vous indiquant la localisation de la page daide
ouverte.
A propos de la recherche dans laide en ligne

Grce sa fonction de recherche, laide en ligne vous permet de lancer une
recherche partir dun mot ou dun groupe de mots prsents dans le texte de laide
en ligne FortiGate.
Quelques remarques pour vous aider dans votre recherche :
Si vous entrez un groupe de mots, les rsultats de la recherche afficheront les

pages qui contiennent tous les mots du groupe et non pas lun ou lautre de
ces mots.
Les pages affiches lors du rsultat de la recherche sont classes par ordre
logique. Les premiers rsultats affichs ont plus de chance de contenir les
informations utiles propos du mot ou des mots recherch(s). Les pages
daide qui reprennent un ou plusieurs des mots recherchs se trouvent en haut
de la liste des rsultats.
Lastrisque (*) remplace nimporte quel nombre ou caractre dans un mot. De
cette manire, lentre auth* vous permettra de trouver les pages contenant
auth, authentique, authentification, authentifier, etc.
Dans certains cas la recherche donne lieu des correspondances identiques.
Par exemple, si vous entrez fentres , la recherche ne portera pas sur
fentre au singulier. Afin dviter cet inconvnient, vous pouvez utiliser
lastrisque (dans cet exemple, fentre*).
Chercher dans laide en ligne

1 A partir de nimporte quelle page de linterface dadministration web, slectionnez
le bouton daide en ligne.
2 Slectionnez Show Navigation pour afficher le panneau de navigation de laide
en ligne.
3 Slectionnez Search.
4 Tapez un ou plusieurs mots rechercher dans le champ Search et tapez ensuite
sur Enter ou cliquez sur Go.
Le panneau de recherche rpertorie le nom de toutes les pages daide en ligne qui
contiennent le(s) mot(s) entr(s). Slectionnez un des noms de la liste pour afficher
la page daide.

01-30001-0203-20060424
Navigation dans laide en ligne partir des entres du clavier
Le tableau 1 rpertorie les raccourcis clavier qui permettent dafficher et trouver
les informations souhaites dans laide en ligne.
Tableau 1 : Touches de navigation dans laide en ligne

Touche Fonction
Alt+1 Affiche la table des matires.
Alt+2 Affiche lindex.
Alt+3 Affiche le moteur de recherche.
Alt+4 Retourne la page prcdente.
Alt+5 Passe la page suivante.
Alt+7 Envoie un courrier lectronique au centre de
Documentation Technique de Fortinet
techdoc@fortinet.com. Tout commentaire ou rectificatif sur
la documentation des produits Fortinet peut tre envoy
cette adresse.
Alt+8 Imprime la page ouverte.
Alt+9 Ajoute une entre cette page daide en ligne dans les
marque-pages de votre navigateur ou dans votre liste de
Favoris. Ce bouton facilite la recherche de pages daide en
ligne.
Accs au mode console

Linterface de ligne de commande (CLI), interface base sur du texte, peut servir
dalternative linterface dadministration web. Certaines options ne sont
configurables qu partir des commandes CLI.
Le bouton daccs au mode console (Console Access) ouvre une application

Terminal base sur Java. Lordinateur dadministration doit tre muni de la version
Java 1.3 ou suprieure.
Pour plus dinformations sur lutilisation des commandes CLI, rfrez-vous au

FortiGate CLI Reference.

01-30001-0203-20060424
Illustration 5 : Accs au mode console
Connect Se connecte au botier FortiGate partir de linterface de ligne de

commande.
Disconnect Se dconnecte au botier FortiGate.
Clear screen Efface lcran.
Dconnexion
Le bouton Dconnecter (Logout) vous dconnecte immdiatement de
linterface dadministration web. Noubliez pas de vous dconnecter avant de
fermer la fentre du navigateur. Si vous fermez la fentre ou quittez linterface
dadministration web sans vous dconnecter, vous restez connect jusqu
lexpiration du timeout dinactivit (par dfaut 5 minutes).
Pages de linterface dadministration web

Linterface dadministration web se compose dun menu et de pages, qui pour la
plupart, possdent diffrents onglets (Tabs). Lorsque vous cliquez sur un des
lments du menu (par exemple Systme), celui-ci souvre sur un sous-menu.
Lorsque vous slectionnez un des lments dun sous-menu, la page associe
souvre et affiche le contenu de son premier onglet. Pour visualiser le contenu
dune page diffrente, cliquez sur son onglet.
Les procdures dcrites dans ce manuel vous dirigent vers la page dsire en
spcifiant llment du menu, llment du sous-menu et longlet. Par exemple :
1 Slectionnez Systme > Rseau > Interface.

01-30001-0203-20060424
Illustration 6 : Les diffrentes parties de linterface dadministration web
Menu de linterface dadministration web

Le menu procure laccs des options de configuration pour toutes les
fonctionnalits majeures du botier FortiGate.
Systme Configure les fonctionnalits du systme telles que les

interfaces rseau, les domaines virtuels, les services DHCP,
lheure du systme et les options dinstallation du systme.
Routeur Configure le routeur.

Pare-Feu Configure les rgles pare-feu et les profils de protection qui
sappliquent aux fonctionnalits de protection du rseau.
Configure galement les adresses IP virtuelles et les plages
IP.
VPN Configure les rseaux privs virtuels.
Utilisateur Configure les comptes utilisateurs utiliss dans les rgles
pare-feu requrant une authentification des utilisateurs.
Configure galement les serveurs externes dauthentification.
Antivirus Configure une protection antivirus.
Intrusion Protection Configure le systme de prvention anti-intrusion.
Filtrage Web Configure le filtrage de contenu web.
Anti-Spam Configure le filtrage des spams dans les emails
IM / P2P Configure le contrle des services de messageries Internet et
peer-to-peer.
Journaux / Alertes Configure les modalits de la journalisation. Affiche des
messages journaliss.

01-30001-0203-20060424
Listes
De nombreuses pages de linterface dadministration web se prsentent sous
forme de liste. On trouve par exemple des listes des interfaces rseaux, des rgles
pare-feu, des administrateurs, des utilisateurs, etc.
Illustration 7 : Exemple dune liste de linterface dadministration web
La liste offre des informations sur chaque lment. Les icnes de la dernire
colonne permettent de modifier le statut de ces lments. Dans cet exemple, il est
possible de slectionner Delete (Supprimer) pour supprimer llment ou Edit
(Editer) pour lditer.
Pour ajouter un nouvel lment une liste, cliquez sur Crer Nouveau. Une bote
de dialogue souvre pour crer et dfinir le nouvel lment. Cette bote de dialogue
est similaire celle dEdition dun lment existant.
Icnes
Les icnes, galement prsentes dans linterface dadministration web, permettent
dinteragir avec le systme. Des conseils sur les outils sont disponibles pour vous
aider comprendre la fonction de chacune de ces icnes. Placez le curseur de la
souris sur licne pour visualiser le commentaire de loutil. Le tableau suivant
reprend la description des icnes de linterface dadministration web.
Icne Nom Description

Changer le Mot Modifie le mot de passe administrateur. Cette icne
de Passe apparat dans la liste des Administrateurs seulement si
votre profil daccs vous donne la permission dattribuer
des droits en criture aux administrateurs.
Supprimer Supprime une ou plusieurs entres.
Drouler Cette icne est utilise dans certaines botes de dialogues

et listes pour cacher certains champs. Cliquer sur cette
icne fait apparatre les champs cachs.
Formatage des Slectionne les colonnes afficher.
colonnes
Suppression Supprime un lment. Cette icne apparat dans des

listes o llment peut tre supprim et seulement
lorsque vous en avez les droits en criture.
Description Affiche la description de lentre du tableau slectionne.
Tlcharger ou Tlcharge un fichier journalis ou sauvegarde un fichier

Sauvegarder de configuration.
Tlcharger Tlcharge une requte de signature dun certificat.

01-30001-0203-20060424
Editer ou Edite une configuration. Cette icne apparat dans les
Configurer listes pour lesquelles vous avez les droits en criture
requis.
Drouler Droule une section qui rvle des champs
supplmentaires. Cette icne est utilise dans certaines
botes de dialogues et listes.
Filtre Insre un filtre sur une ou plusieurs colonnes dun
tableau. Une bote de dialogue souvre dans laquelle vous
pouvez spcifier les filtres dsirs. Licne est verte dans
les colonnes o un filtre est activ. Dans le cas contraire,
elle est grise.
Go Lance une recherche.
Insrer une Cre une nouvelle rgle qui prcde la rgle courante.
rgle avant
Dplacer Dplace un lment de la liste.
Page Suivante Affiche la page suivante de la liste.
Page Affiche la page prcdente de la liste.

Prcdente
Rafrachir Met linformation de la page jour.
Restaurer Restaure la configuration partir dun fichier.
Visualiser Visualise une configuration. Cette icne apparat dans les

listes la place de licne dEdition dans le cas o vous
navez pas les droits en criture requis.
Barre de statuts
La barre de statuts se trouve en bas de lcran de linterface dadministration web.
Illustration 8 : Barre de statuts
Cette barre affiche :

le nombre dadministrateurs connects au botier FortiGate. Voir Contrle
des administrateurs la page 180.
depuis combien de temps le botier FortiGate est actif depuis son dernier
redmarrage.
Enregistrement dun quipement FortiGate

Aprs avoir achet et install un nouvel quipement FortiGate, vous pouvez
enregistrer celui-ci partir de linterface dadministration web. Slectionnez
Enregistrer ( Register ) dans la section Information Licence sur la page Statut du
Systme. Vous pouvez aussi procder lenregistrement via le site :
http://support.fortinet.com en cliquant sur Product Registration .

01-30001-0203-20060424
Lenregistrement consiste entrer vos coordonnes et le(s) numro(s) de srie
de(s) nouveau(x) quipement(s) acquis. Plusieurs enregistrements peuvent tre
introduits lors dune seule session.
Une fois lenregistrement accompli, Fortinet vous envoie un compte utilisateur et un

mot de passe Support Login votre compte de messagerie. Ces donnes sont
ncessaires pour se connecter au site de support Fortinet afin de :
visualiser la liste des quipements que vous avez enregistrs

enregistrer des quipements additionnels
ajouter ou modifier les numros du Contrat de Support FortiCare (FortiCare
Support Contract) pour chaque quipement
visualiser et modifier les informations entres lors de lenregistrement
tlcharger les mises jour des bases de connaissances antivirus et IPS
tlcharger les mises jour logicielles
modifier les informations entres lors de lenregistrement aprs un RMA.
Toutes les informations sur les enregistrements sont sauves dans la base de
donnes du Support aux Clients Fortinet (Fortinet Customer Support). Ces
informations sont utiles pour assurer une mise jour rgulire de vos
quipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais
ces informations avec des organisations tiers.
Les propritaires de nouveaux quipements FortiGate bnficient dun support

technique pendant 90 jours. Pour continuer bnficier de ce service de support,
des Contrats de Support FortiCare sont en vente chez vos revendeurs et
distributeurs autoriss Fortinet. Afin de correspondre vos besoins, diffrents
niveaux de support sont disponibles. Pour garantir une protection rseau
maximum, Fortinet recommande tous ses clients dacheter un contrat de service
qui comprenne les mises jour des bases de connaissances antivirus et IPS. Pour
plus dinformations sur les formules et prix, veuillez vous adresser votre
revendeur ou distributeur Fortinet.
Pour activer un Contrat de Support FortiCare, il est indispensable denregistrer

lquipement FortiGate et dajouter le numro de Contrat de Support FortiCare aux
informations sur lenregistrement. Il est galement possible denregistrer un
FortiGate sans acheter un Contrat de Support FortiCare. Dans ce cas, lors dun
lachat ultrieur dun Contrat de Support FortiCare, les informations sur
lenregistrement doivent tre mises jour et le numro du contrat de support
ajout.
Un seul Contrat de Support FortiCare peut couvrir plusieurs quipements

FortiGate. Vous devez alors entrer le mme numro de contrat de service pour
tous les modles couverts par ce contrat.
Enregistrer un quipement FortiGate

Les informations suivantes sont indispensables lenregistrement dun FortiGate :
Vos coordonnes, y compris :

Nom et prnom
Nom de la socit

01-30001-0203-20060424
Adresse email (votre compte utilisateur et le mot de passe Support Login
vous seront envoys cette adresse.)
Adresse
Numro de tlphone de contact
Une question de scurit et sa rponse. Cette information servira en cas de
perte du mot de passe. La question de scurit doit tre simple et vous seul
devez en connatre la rponse. La rponse cette question ne doit pas tre
facile deviner.
Le modle du produit et son numro de srie, et ce pour chaque quipement
FortiGate que vous dsirez enregistrer. Le numro de srie est situ sur une
tiquette au bas du FortiGate. Vous pouvez galement visualiser le numro de
srie dans linterface dadministration web, dans Systme > Statut ou via la
commande CLI get system status.
Les numros de Contrats de Support FortiCare achets pour les quipements
que vous voulez enregistrer.
1 Slectionnez Systme > Statut.

2 Dans la section Information Licence, slectionnez Enregistrer cte de Contrat de
Support.
3 Entrez vos informations de contact sur le formulaire denregistrement du produit.
4 Introduisez une question de scurit et sa rponse.
5 Slectionnez le modle du produit enregistrer.
6 Entrez le numro de srie de votre FortiGate.
7 Entrez le numro de Contrat de Support FortiCare de lquipement si vous en avez
achet un.
8 Cliquez sur Suivant .
Si vous avez entr un numro de contrat de support, une validation en temps rel
a lieu pour vrifier que les informations SCN correspondent lquipement
FortiGate. Si ce nest pas le cas, tentez nouveau dentrer le numro de contrat.
Saffiche alors une page web qui contient les informations dtailles sur le service
de support technique de Fortinet disponible pour lquipement enregistr.
Vos compte utilisateur et mot de passe vous sont envoys par email ladresse
entre avec vos coordonnes.

01-30001-0203-20060424
Utilisation de domaines virtuels
Cette section dcrit comment utiliser des domaines virtuels pour que votre
quipement opre comme sil sagissait de multiples units virtuelles, fournissant
des pare-feu et services de routage sparment de multiples rseaux.
Cette section couvre les sujets suivants:

Domaines virtuels
Activation du mode multiple VDOM
Configuration des VDOM et des paramtres gnraux
Domaines virtuels
Les domaines virtuels permettent un botier FortiGate de fonctionner comme de
multiples units indpendantes. Il peut fournir des rgles pare-feu, des routages et
des configurations VPN spars pour chaque niveau dorganisation. Lutilisation de
VDOM peut galement simplifier ladministration de configurations complexes.
Il est ncessaire dactiver la configuration de domaines virtuels pour configurer et

utiliser les VDOM. Voir ce propos Activation du mode multiple VDOM la
page 43.
Lors de la cration et de la configuration dun domaine virtuel, vous devez lui

attribuer des interfaces ou des sous-interfaces VLAN. Eventuellement, vous
pouvez aussi lui assigner un compte administrateur qui pourra uniquement se
connecter ce VDOM. Si un VDOM est cr pour servir une organisation, cela
permet lorganisation de grer sa configuration de manire autonome.
Chaque VDOM contient ses propres zones, rgles pare-feu, routage,

authentification dutilisateurs et configuration VPN. Chaque domaine virtuel
fonctionne de manire similaire un quipement FortiGate en matire de
configuration du paramtrage. Cette sparation simplifie la configuration parce
quelle vite de grer de nombreuses rgles pare-feu et routes la fois.
Lorsquun paquet entre dans un domaine virtuel sur lquipement FortiGate, il reste
limit ce domaine virtuel. Dans un domaine donn, vous pouvez seulement crer
des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou des
zones de ce domaine virtuel. Les paquets ne passent jamais la frontire dun
domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut
galement tre slectionn sparment sur chaque VDOM.
Les autres fonctions du FortiGate sont gnrales. Elles sappliquent tous les
domaines virtuels. Cela signifie quil existe une seule configuration de prvention
anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage
de contenu web, une seule configuration de profils de protection etc. Dans le
mme ordre dide, les domaines virtuels partagent les mmes versions logicielles
et bases de connaissances antivirus et IPS. Pour une liste complte des
paramtres de configurations partags, voir Paramtres de la configuration
gnrale la page 42.
Votre quipement FortiGate supporte par dfaut un maximum de 10 VDOM pour

toutes combinaisons des modes NAT/Route et Transparent.

01-30001-0203-20060424
Des cls de licence sont vendues pour tous les modles FortiGate 3000 et plus
(3600, srie 5000...) afin daugmenter le nombre maximum de VDOM jusqu 25,
50, 100 ou 250.
Pour connatre le nombre maximum de domaines virtuels support par votre botier
FortiGate, veillez ce que la configuration des domaines virtuels vous le
permettent et connectez-vous en tant quadministrateur admin. Allez ensuite dans
Systme > Statut et regarder sous Domaine Virtuel dans les Informations sur la
Licence.
Chaque FortiGate fonctionne par dfaut avec un domaine virtuel appel root. Ce
domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN,
zones, rgles pare-feu, paramtres de routage et paramtres VPN du FortiGate.
Les outils dadministration tels que les SNMP, journalisation, emails dalerte, mises
jour via le FDN ou encore paramtrage du temps via un serveur NTP utilisent
des adresses et routage dans le domaine virtuel root pour communiquer avec le
rseau. Ils ne peuvent se connecter quaux ressources du rseau qui
communiquent avec le domaine virtuel dadministration, qui est configur sur root
par dfaut.
Une fois un nouveau domaine virtuel cr, vous pouvez le configurer en ajoutant
des sous-interfaces VLAN, des zones, des rgles pare-feu, des paramtres de
routage et des paramtres VPN. Vous pouvez galement dplacer des interfaces
physiques du domaine virtuel root vers dautres domaines virtuels et dplacer les
sous-interfaces VLAN dun domaine virtuel vers un autre.
Paramtres de configuration des domaines virtuels

Les paramtres de configuration suivants sont propres un domaine virtuel et ne
sont pas partags entre les domaines virtuels. Un administrateur rgulier dun
VDOM ne peut que visualiser ces paramtres, tandis que ladministrateur admin
par dfaut peut accder ces paramtres. Il doit avant tout slectionner le VDOM
quil veut configurer.
Paramtres du Systme
Zones
Services DHCP
Mode de fonctionnement (NAT/Route ou Transparent)
IP dadministration (en mode Transparent)
Configuration du routeur
Paramtres des pare-feu
Rgles
Adresses
Services prdfinis, personnaliss et groups
Plage horaire
IP Virtuelle
Plages IP
Configuration VPN

01-30001-0203-20060424
IPSec
PPTP
SSL
Paramtres de lutilisateur
Utilisateurs
Groupes dutilisateurs
Serveurs RADIUS et LDAP
Serveurs Microsoft Windows Active Directory
Statistiques P2P (visualiser/rinitialiser)
Configuration de la journalisation, accs aux journaux et rapports.
Paramtres de la Configuration Globale

Les paramtres de configuration suivants impactent tous les domaines virtuels.
Seul ladministrateur admin par dfaut peut accder aux paramtres globaux
lorsque la configuration des domaines virtuels est active.
Paramtres du systme
Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou
sous-interface VLAN appartient un seul VDOM. Chaque VDOM ne peut
utiliser ou configurer que ses propres interfaces.)
Paramtres DNS
Nom dhte, heure du systme, version du Microcode (sur la page Statut du
Systme.)
Timeout dinactivit et dauthentification
Langue de linterface dadministration web
PIN du panneau LCD, si applicable.
Dtection de lchec dune passerelle
Configuration HA
Configuration SNMP
Messages de remplacement
Administrateurs (chaque administrateur appartient un seul VDOM. Chaque
VDOM ne peut configurer que ses propres administrateurs.)
Profils daccs
Configuration FortiManager
Sauvegarde et restauration dune configuration
Configuration dune mise jour FDN
Rapport sur les bogues
Pare-Feu
Services prdfinis

01-30001-0203-20060424
Profils de protection
Certificats VPN
Configuration antivirus
Configuration de la Prvention Anti-Intrusion
Configuration du filtrage Web
Configuration Antispam
Configuration IM
Statistiques
Listes et rgles utilisateurs
Activation du mode Multiple VDOM

A partir du compte administrateur admin par dfaut, vous pouvez activer le mode
multiple VDOM sur lquipement FortiGate.
Activer la configuration dun domaine virtuel
1 Connectez-vous en tant quadmin linterface dadministration web.

2 Slectionnez Systme > Admin > Paramtres (Settings).
3 Cochez la case Virtual Domain Configuration pour activer la Configuration de
Domaine Virtuel.
4 Cliquez sur Appliquer.
Le botier FortiGate vous dconnecte. Vous pouvez maintenant vous reconnecter

en tant quadmin.
Lorsque la Configuration de Domaine Virtuel est active, linterface dadministration

web et linterface de ligne de commande incorporent les changements suivants :
Les configurations gnrales et personnalises par VDOM sont spares.

Seul le compte admin peut visualiser et configurer les options globales.
Le compte admin peut configurer toutes les configurations VDOM.
Le compte admin peut se connecter via nimporte quelle interface dans le
VDOM root ou via une interface qui appartient un VDOM pour lequel un
compte administrateur rgulier a t assign.
Un compte administrateur rgulier peut uniquement configurer le VDOM qui lui
a t assign et peut accder au botier FortiGate partir de la seule interface
qui appartient ce VDOM.
Configuration des VDOM et paramtres globaux

Lorsque la Configuration du Domaine Virtuel est active, seul le compte
administrateur admin par dfaut peut :
configurer les paramtres gnraux

crer ou supprimer des VDOM
configurer de multiples VDOM

01-30001-0203-20060424
attribuer des interfaces un VDOM
affecter un administrateur un VDOM
Un VDOM nest pas utile sil ne possde pas au moins deux interfaces physiques
ou sous-interfaces VLAN. Seul ladministrateur admin peut attribuer des interfaces
physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur
rgulier peut crer une sous-interface VLAN dans son propre VDOM sur une
interface physique de son propre VDOM.
Seul ladministrateur admin peut configurer un VDOM moins quun administrateur

rgulier soit cr et assign ce VDOM. Seul ladministrateur admin peut assigner
un administrateur un VDOM. Un compte administrateur rgulier dont le profil
daccs contient les droits en lecture et en criture des utilisateurs Admin est
autoris crer des administrateurs supplmentaires pour son propre VDOM.
Visualisation, cration et dition de domaines virtuels et dition de paramtres

globaux
Lorsque vous vous connectez en tant quadmin et que la Configuration de
Domaine Virtuel est active, linterface dadministration web affiche la liste des
domaines virtuels. Utilisez cette liste pour administrer vos VDOM.
Illustration 9 : Liste des domaines virtuels
Configuration Gnrale Configure les paramtres gnraux. Linterface

dadministration web affiche un cran similaire celui
dcrit dans la section sur linterface dadministration
web (voir Interface dadministration web la page
29.) la diffrence que seuls les paramtres
gnraux sont repris. Cliquez sur << Main Menu pour
retourner la liste des domaines virtuels.
Crer un nouveau Cre un nouveau domaine virtuel. Tapez un nom et
slectionnez OK. Le VDOM ne doit pas porter le
mme nom quun VLAN ou quune zone. Le nom du
VDOM ne doit pas dpasser 11 caractres.
Associer le Management Le Management des Domaines Virtuels est associ
au VDOM slectionn. Le Management est indiqu
ct du VDOM choisi. Par dfaut il sagit du root. Si
plusieurs VDOM sont slectionns comme
Management, cest le premier de la liste qui associera
le Management des Domaines Virtuels. Le trafic de
ce VDOM comprend SNMP, la journalisation, lenvoi
demails dalerte, les mises jour partir du FDN et
le paramtrage de lheure partir dun serveur NTP.
Supprimer Supprime le VDOM slectionn. Le VDOM root ne
peut pas tre supprim.

01-30001-0203-20060424
Les cases de slection Permettent de slectionner un VDOM soit pour le
supprimer soit pour le configurer comme
Management des Domaines Virtuels.
Name (Nom) Le nom du domaine virtuel. Slectionnez le nom pour
configurer le domaine virtuel. Cliquez sur << Main
Menu pour retourner la liste des domaines virtuels.
Linterface dadministration web affiche un cran
similaire celui dcrit dans la section sur linterface
dadministration web (voir Interface dadministration
web la page 29.) la diffrence que seuls les
paramtres spcifiques un VDOM sont repris. La
barre de statuts au bas de lcran affiche le VDOM
activ.
Operation Mode (Mode de Le mode de fonctionnement dun VDOM : NAT
Fonctionnement) (NAT/Route) ou Transparent
Ajout dinterfaces un domaine virtuel

Un domaine virtuel doit contenir au moins deux interfaces. Il peut sagir dinterfaces
physiques ou de sous-interfaces VLAN. Toutes les interfaces physiques font par
dfaut partie du domaine virtuel root.
Les sous-interfaces VLAN doivent se trouver dans des VDOM diffrents que leurs
interfaces physiques. Pour ce faire, l administrateur admin doit crer la sous-
interface VLAN et laffecter au VDOM requis. Les interfaces font partie des
paramtres gnraux de configuration. Pour plus dinformations sur la cration de
sous-interfaces VLAN, voir Ajout de sous-interfaces VLAN la page 87.
Pour raffecter une interface existante dun domaine virtuel un autre, appliquez la
procdure ci-dessous. Vous ne pouvez pas retirer une interface dun domaine
virtuel si cette interface est comprise dans lune des configurations suivantes :
routage
proxy arp
serveur DHCP
zone
rgle pare-feu
plage IP
Il est ncessaire de supprimer ou modifier ces lments avant de pouvoir changer

linterface de domaine virtuel.
Affecter une interface un domaine virtuel
1 Connectez-vous en tant quadmin.

2 Slectionnez Configuration Globale.
4 Cliquez sur le bouton Editer de linterface raffecter.
5 Slectionnez le Domaine Virtuel auquel linterface doit tre raffecte.
6 Configurez les autres paramtres comme requis et cliquez sur OK. Voir
Paramtres de linterface la page 63.

01-30001-0203-20060424
Linterface est affecte au domaine virtuel. Les pare-feu, plages IP et adresses
virtuelles IP ajouts cette interface sont supprims. Il est conseill de supprimer
manuellement toutes les routes comprenant cette interface.
Affectation dun administrateur un domaine virtuel

Si vous crez un VDOM pour servir une organisation qui dsire administrer ses
propres ressources, vous devez crer un compte administrateur pour ce VDOM.
Affecter un administrateur un VDOM
1 Connectez-vous en tant quadmin. La Configuration de Domaine Virtuel doit tre

active.
2 Slectionnez Configuration Globale.
3 Slectionnez Systme > Admin > Administrateurs.
4 Configurez le compte administrateur tel que requis. Pour plus de dtails sur la
configuration dun compte administrateur, voir Configuration dun compte
administrateur la page 170.
5 Slectionnez dans la liste des Domaines Virtuels le VDOM que cet administrateur
devra grer.
Un administrateur rgulier assign un VDOM peut seulement se connecter aux

interfaces qui appartiennent ce VDOM partir de linterface dadministration web
ou de linterface de ligne de commande. Ladministrateur admin peut se connecter
linterface dadministration web ou linterface de ligne de commande partir de
nimporte quelle interface qui permettent les accs administratifs. Seul
ladministrateur admin ou un administrateur rgulier du domaine virtuel root peut se
connecter partir de linterface de la console.

01-30001-0203-20060424
Statuts du Systme
Cette section dcrit la page Statut du Systme, le tableau de bord de votre
FortiGate. On y retrouve les statuts en cours du botier FortiGate, y compris le
numro de srie, lusage des ressources du systme, les informations sur la
licence FortiGuard, les messages dalerte et les informations sur la session.

Page des statuts
Modification des informations du systme
Visualisation de lhistorique oprationnel
Mise jour manuelle des dfinitions FortiGuard
Visualisation des Statistiques
Page des statuts

La page Statut du Systme, galement appele tableau de bord reprend les
statuts oprationnels en cours du systme. Tous les administrateurs FortiGate dont
les profils daccs prvoient les droits en lecture de la configuration du systme
peuvent visualiser les informations sur les statuts du systme.
Dans le cas dun cluster HA, la page des statuts affiche les statuts du membre
primaire. Pour visualiser les statuts de tous les membres du cluster, slectionnez
Systme > Configuration > HA. Pour plus dinformations sur ce sujet, voir
Haute Disponibilit la page 104. La fonction HA nest pas disponible sur les
modles FortiGate 50A et 50AM.
Les administrateurs FortiGate dont les profils daccs prvoient les droits en
criture de la configuration du systme peuvent modifier ou mettre jour les
informations du botier FortiGate. Pour plus dinformations sur les profils daccs,
voir Profils dadministration la page 174.
Visualisation des statuts du systme

La page Statut du Systme saffiche par dfaut lors du dmarrage dune session
de linterface dadministration web. Il existe cependant une exception : dans le cas
o la Configuration de Domaine Virtuel est active, ladministrateur admin
visualisera la page Statut du Systme seulement aprs avoir slectionn
Configuration Globale ou un VDOM administrer.
A tout moment, vous pouvez slectionner Systme > Statut pour visualiser la
page Statut du Systme.
Pour visualiser cette page, votre profil daccs doit prvoir les droits en lecture de
la configuration du systme. Si vous avez galement les droits en criture de la
configuration du systme, vous pouvez modifier les informations du systme et
mettre jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus
dinformations sur les profils daccs, voir Profils dadministration la page 174.

01-30001-0203-20060424
Illustration 10 : Statuts du Systme
Informations du systme
Numro de Srie Le numro de srie de lquipement FortiGate. Ce numro
est unique pour chaque quipement et ne change pas
avec les mises jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier
redmarrage de lquipement FortiGate.
Heure Systme La date et lheure en cours selon lhorloge
prprogramme. Cliquez sur Changer pour modifier
lheure ou configurez le botier FortiGate pour quil se
synchronise avec un serveur NTP. Voir Paramtrage
des date et heure la page 51.
Nom dhte Le nom dhte actuel de lquipement FortiGate. Cliquez
sur Changer pour le modifier. Voir Modification du nom
dhte du botier FortiGate la page 52.
Version de Code La version du microcode install sur votre FortiGate.
Cliquez sur Update (Mettre jour) pour changer le logiciel.
Voir Mise jour logicielle la page 53.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit
NAT, soit Transparent. Cliquez sur Changer pour passer
du mode NAT au mode Transparent et vice-versa. Voir
Modification du mode de fonctionnement la page
166.
Information sur la licence

Les indicateurs du statut de la licence sont verts quand tout est en ordre, gris sil
ny a pas de licence ou jaune/rouge clignotant si le botier FortiGate ne peut pas se
connecter au service.
Contrat de Support Le numro du contrat de support et sa date dexpiration.

Sil ny a pas de date affiche, slectionnez Enregistrer
(Register) pour enregistrer votre quipement. Si la
mention Renouveler (Renew) saffiche, vous devez
renouveler votre contrat de support. Contactez alors
votre revendeur local.

01-30001-0203-20060424
Souscriptions FortiGuard
AntiVirus La version du contrat, la date dmission et les statuts
du service.
Dfinitions AV La version installe des Dfinitions AntiVirus FortiGate.
Pour mettre jour ces dfinitions manuellement, cliquez
sur Update (Mettre jour). Pour plus dinformations, voir
Mise jour manuelle des Dfinitions AV FortiGuard
la page 56.
Protection anti-intrusion La version du contrat, la date dmission et les statuts
du service.
Dfinitions IPS La version installe des Dfinitions des attaques IPS.
Pour mettre jour ces dfinitions manuellement, cliquez
sur Update (Mettre jour). Pour plus dinformations, voir
Mise jour manuelle des Dfinitions IPS FortiGuard
la page 56.
Filtrage Web Type de la licence, date dexpiration et statuts du
service.
AntiSpam Type de la licence, date dexpiration et statuts du
service.
Domaine Virtuel Le nombre de domaines virtuels supports par le botier
FortiGate. Il est possible dacheter une cl de licence
chez Fortinet pour augmenter le nombre maximum de
VDOM pour les FortiGate 3000 et plus. Voir Licence
la page 193. Seul ladministrateur admin peut accder
cette information si la Configuration de Domaine
Virtuel est active.
Ressources
Les ressources du systme napparaissant pas sur la page Statut sont accessibles
sous forme de graphiques partir de licne Historique.
Icne Historique Affiche des reprsentations graphiques du taux CPU, du

taux mmoire, des sessions et du taux dutilisation rseau
les plus rcents. Cette page reprend galement les
dtections des virus et attaques de ces 20 dernires heures.
Pour plus dinformations, voir Visualisation de lhistorique
oprationnel la page 55.
Taux CPU Le statut du taux CPU en cours saffiche sous la forme dun
compteur de vitesse et en pourcentage. Linterface
dadministration web reprend les taux CPU pour les
processus majeurs uniquement. Les taux CPU pour les
processus administratifs (par exemple pour les connexions
HTTPS vers linterface graphique) sont exclus.
Taux Mmoire Le statut du taux de la mmoire en cours saffiche sous la
forme dun compteur de vitesse et en pourcentage.
Linterface dadministration web reprend les taux mmoire
pour les processus majeurs uniquement. Les taux mmoire
pour les processus administratifs (par exemple pour les
connexions HTTPS vers linterface graphique) sont exclus.
Quota du disque Le statut en cours du quota du disque du
FortiAnalyzer FortiAnalyzer saffiche sous la forme dun diagramme
circulaire et en pourcentage. Ceci est uniquement disponible
si vous avez configur la journalisation sur un botier
FortiAnalyzer.

01-30001-0203-20060424
Ractualiser laffichage toutes les
Cette fonction dtermine lintervalle de temps entre les mises jour automatiques
de la page Statut. Slectionnez Ractualiser pour mettre la page jour
instantanment.
Statuts des Interfaces

Une reprsentation du panneau avant du botier reprend les statuts des interfaces
du botier. Un port rseau dune interface apparaissant en vert signifie que
linterface est connecte. Placez le curseur de la souris sur le port pour visualiser
ladresse IP, le masque de rseau et le statut actuel de linterface.
A droite de la reprsentation du panneau avant du botier, reli par une ligne de

connexion, est illustr un autre panneau, celui reprsentant le FortiAnalyzer. Si le
botier FortiGate a t configur pour envoyer des journaux au FortiAnalyzer, celui-
ci apparat fonc. Dans le cas contraire, il apparat en gris. Une marque en V verte
sur la ligne de connexion indique que la connexion entre le botier et le
FortiAnalyzer est active. Dans le cas contraire, une croix rouge apparat sur la
ligne de connexion.
Console de message dalerte

Les messages de types suivants peuvent apparatre dans la rubrique Console de
message dalerte.
Redmarrage systme Le systme a redmarr. Ceci peut tre d une

action de loprateur ou un cycle de courant off/on.
Firmware updated by Ladministrateur nomm a procd une mise jour
<nom_admin > logicielle sur la partition active ou non active.
Firmware downgraded by Ladministrateur nomm a procd un retour logiciel

<nom_admin > sur la partition active ou non active.
FortiGate has reached connection Le moteur Antivirus disposait de peu de mmoire

limit for <n> seconds pendant la dure du temps indiqu. Dans ces
conditions et selon les modles et configurations, le
contenu peut avoir t bloqu ou tre pass sans
avoir t analys.
Pour chaque message, la date et lheure de sa parution sont indiques. Sil ny a

pas assez despace pour visualiser tous les messages, cliquez sur Tout Voir afin
que souvre une nouvelle fentre avec la liste complte des messages.
Pour effacer les messages dalerte, cliquez sur Tout Voir, ensuite sur licne
Supprimer les messages dalerte, en haut de la nouvelle fentre.
Statistiques
Depuis La date et lheure de la relance des compteurs. Les
compteurs sont relancs lors dune rinitialisation du
systme FortiGate.
Icne Remise zro Remet zro les compteurs du Journal des Archives
et des Attaques.
Sessions Le nombre de sessions de communication FortiGate
en cours. Slectionnez Dtails pour visualiser des

01-30001-0203-20060424
informations plus compltes. Voir Visualisation de la
liste de session la page 57.
Archive de contenu Un rsume du trafic archiv par le botier FortiGate.
Les pages Dtails rpertorient les 64 derniers
lments et fournissent un lien vers le FortiAnalyzer
o le trafic archiv est mmoris. Si vous navez pas
configur de connexion au FortiAnalyzer, les pages
Dtails prvoient un lien vers Journaux / Alertes >
Configuration > Configuration du Journal.
Journal des attaques Un rsum des virus, attaques, messages emails
spams et URL que le botier FortiGate a intercept.
Les pages Dtails rpertorient les 10 derniers
lments, fournissant lheure, la source, la destination
et autres informations.
Opration Systme
Les oprations suivantes peuvent tre accomplies par les administrateurs dont le
profil daccs comprend les droits en criture de configuration du systme.
Reboot Redmarre le botier FortiGate.

Shutdown Eteint le botier FortiGate, stoppant le flux du trafic.
Pour redmarrer le botier FortiGate, couper et re-
brancher ensuite le courant.
Rinitialiser aux paramtres Redmarre le botier FortiGate avec sa configuration
par dfaut initiale. Cette procdure supprime tous les
changements apports la configuration. Seules la
version logicielle et les dfinitions dantivirus et
dattaques sont maintenues.
Slectionnez dans la liste Opration Systme lopration dsire et cliquez ensuite

sur Go.
Modification des informations du systme

Les administrateurs dont le profil daccs comprend les droits en criture de
configuration du systme peuvent procder aux modifications suivantes : date et
heure du systme, nom dhte et mode de fonctionnement dun VDOM.
Paramtrage des date et heure

2 Dans la section Information, cliquez sur Changer ct du champ Heure Systme.
3 Slectionnez votre fuseau horaire. Vous avez ensuite le choix entre paramtrer
manuellement la date et lheure ou configurer votre FortiGate pour quil se
synchronise avec un serveur NTP.

01-30001-0203-20060424
Illustration 11 : Paramtrage des date et heure
Date et heure du systme La date et lheure actuelle du systme FortiGate

Actualiser Mise jour instantane de la date et lheure du
systme.
Fuseau horaire Slectionnez le fuseau horaire applicable.
Ajuster automatiquement Ajuste automatiquement lhorloge du
lors du passage lheure FortiGate lors du passage lheure dt.
dt/lheure dhiver
Rglage Remplissez les champs heure, minute, seconde, jour,

mois, anne.
Synchronisation avec Slectionnez cette option si vous dsirez utiliser

le serveur NTP un serveur NTP pour paramtrer les date et heure
automatiquement. Spcifiez le serveur et lintervalle de
synchronisation dsirs.
Serveur Entrez ladresse IP ou un nom de domaine dun serveur
NTP. Pour trouver le bon serveur NTP, voir
http://www.ntp.org
Intervalle de Sync Spcifiez le nombre de fois que le botier FortiGate
synchronise ses paramtres date et heure avec le
serveur NTP. Par exemple, dfinir un intervalle de 1440
minutes entrane un synchronisation quotidienne.
Modification du nom dhte du botier FortiGate

Le nom dhte du botier FortiGate apparat sur la page Statut et sur lcran lors
dune connexion en CLI. Le nom dhte est galement utilis comme nom de
systme SNMP. Pour plus dinformations sur le SNMP, voir SNMP la page
152.
Le nom dhte par dfaut est le nom du modle, par exemple botier FortiGate-300.
Les administrateurs dont le profil daccs prvoit les droits en criture peuvent
modifier le nom dhte du FortiGate.
Remarque : Si votre FortiGate fait partie dun cluster HA, il est conseill de lui attribuer un
nom unique pour le distinguer des autres quipements du cluster.

01-30001-0203-20060424
1 Slectionnez Systme > Statut > Statut.
2 Dans le champ Nom dHte de la section Informations sur le Systme,
slectionnez Changer.
3 Dans le champ Nouveau Nom, entrez un nouveau nom dhte.
4 Cliquez sur OK.
5 Le nouveau nom dhte saffiche dans le champ Nom dHte et sur lcran lors
dune connexion en CLI. Il est galement ajout au Nom de Systme SNMP.
Modification du logiciel FortiGate

Les administrateurs FortiGate dont le profil daccs prvoit les droits en criture et
lecture peuvent modifier le logiciel FortiGate.
Les modifications du logiciel portent soit sur une mise jour logicielle vers une
version plus rcente ou soit sur une rvision vers une version prcdente. Les
procdures de modifications sont dcrites ci-dessous.
Mise jour logicielle

Retour une version logicielle antrieure
Mise jour logicielle

La procdure suivante vous guide dans une mise jour vers une nouvelle version
logicielle.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la
nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre
jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces
bases de connaissance sont jour.
Mettre le logiciel jour partir de linterface dadministration web
1 Copiez le fichier de limage logicielle sur votre poste dadministration.

2 Connectez-vous linterface dadministration web en tant quadministrateur admin
ou sous un compte administrateur qui possde les droits en lecture et en criture
de configuration systme.
4 Dans la section Informations sur le Systme (ou Statut), slectionnez Update
(Mettre jour) dans la ligne Version du Code.
5 Tapez le chemin et le nom de fichier de limage logicielle ou slectionnez
Browse (Parcourir) pour localiser ce fichier.
6 Cliquez sur OK.
Le botier FortiGate tlcharge le fichier de limage logicielle, installe la nouvelle
version logicielle, ferme toutes les sessions, redmarre et affiche la page
douverture dune session FortiGate. Cette procdure prend quelques minutes.
7 Connectez-vous linterface dadministration web.

01-30001-0203-20060424
8 Slectionnez Systme > Statut et vrifiez la version du code pour vous assurer du
succs de linstallation de la mise jour.
9 Mettez les bases de connaissance antivirus et IPS jour. Pour plus dinformations
sur ce sujet, voir Centre FortiGuard la page 183.
Retour une version logicielle antrieure

Les procdures suivantes permettent dquiper le botier FortiGate dune version
antrieure du logiciel. Notez que cela entrane la restauration de la configuration
par dfaut du botier FortiGate et la suppression des signatures personnalises
IPS, de la base de donnes de filtrage web et antispam et des changements
apports aux messages de remplacement. Pour prserver ces informations,
sauvegardez la configuration de votre FortiGate. Pour plus dinformations ce
sujet, voir Sauvegarde et Restauration la page 181.
Si vous retournez une version antrieure FortiOS (par exemple, passer de

FortiOS v3.0 FortiOS v2.80), il y a un risque que la configuration antrieure ne
puisse tre restaure partir de la sauvegarde du fichier de configuration.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la
nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre
jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces
bases de connaissance sont jour.
Retourner une version logicielle antrieure partir de linterface

dadministration web
1 Copiez le fichier de limage logicielle sur votre poste dadministration.

2 Connectez-vous linterface dadministration web du FortiGate.
Remarque : La procdure suivante ncessite que vous vous connectiez partir du compte
administrateur admin ou dun compte administrateur qui possde tous les droits daccs en
lecture et criture de la configuration du systme.

2 Dans la section Informations sur le Systme (ou Statut), slectionnez Update
(Mettre jour) dans la ligne Version du Code.
3 Tapez le chemin et le nom du fichier de limage logicielle, ou slectionnez
Browse (Parcourir) pour localiser ce fichier.
4 Cliquez sur OK.
Le botier FortiGate tlcharge le fichier de limage logicielle, retourne la version
antrieure du logiciel, redmarre et affiche la page douverture dune session
FortiGate. Cette procdure prend quelques minutes.
6 Slectionnez Systme > Statut et vrifiez la version du code pour vous assurer du
succs de linstallation du logiciel.
7 Restaurez votre configuration.

01-30001-0203-20060424
Pour plus dinformations sur la restauration de votre configuration, voir
Sauvegarde et Restauration la page 181.
8 Mettez jour les bases de connaissance antivirus et IPS.
Pour plus dinformations sur les dfinitions des antivirus et attaques, voir Mettre
jour les bases de connaissances antivirus et IPS la page 189.
Visualisation de lhistorique oprationnel

La page de lHistorique des Ressources du Systme affiche six graphiques
reprsentant les ressources du systme et son activit protection du rseau.

2 Cliquez sur licne Historique dans le coin en haut droite de la section
Ressources.
Illustration 12 : Exemple de lhistorique des ressources du systme
Time Interval Slectionnez lintervalle de temps que vous voulez

voir illustrer dans les graphiques.
Historique du taux CPU Usage CPU pendant lintervalle prcdent.
Historique du taux mmoire Usage Mmoire pendant lintervalle prcdent.
Historique des sessions Nombre de sessions pendant lintervalle prcdent.
Historique du taux dutilisation Utilisation du rseau pendant lintervalle prcdent.
rseau
Historique des virus Nombre de virus dtect(s) pendant lintervalle
prcdent.
Historique des attaques Nombre de tentatives dintrusions dtecte(s)
pendant lintervalle prcdent.
Mise jour manuelle des dfinitions FortiGuard

Vous pouvez mettre jour les bases de connaissance FortiGuard Antivirus et
FortiGuard IPS tout moment partir de la section dInformations sur la Licence
de la page Statut du Systme.
Pour configurer une mise jour automatique des fichiers de dfinitions par le
botier FortiGate, voir Centre FortiGuard la page 183.

01-30001-0203-20060424
Mise jour manuelle des dfinitions AV FortiGuard
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises
jour des dfinitions antivirus, voir Centre FortiGuard la page 183.
1 Tlchargez le fichier de mise jour des dfinitions des derniers antivirus sur le
site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration
web.
2 Dmarrez linterface dadministration web et slectionnez Systme > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Dfinitions AV des
souscriptions FortiGuard, slectionnez Update (Mettre jour).
La bote de dialogue Mettre jour les dfinitions antivirus souvre.
4 Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise
jour des dfinitions antivirus. Vous pouvez galement slectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise jour des dfinitions antivirus sur le
botier FortiGate.
Le botier FortiGate met jour les dfinitions AV. Cela prend environ 1 minute.
6 Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour
de la version du FortiGuard Antivirus.
Mise jour manuelle des dfinitions IPS FortiGuard
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises
jour des dfinitions IPS (attaque), voir Centre FortiGuard la page 183.
1 Tlchargez le fichier de mise jour des dfinitions des dernires attaques sur le
site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration
web.
2 Dmarrez linterface dadministration web et slectionnez Systme > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Dfinitions IPS des
souscriptions FortiGuard, slectionnez Update (Mettre jour).
La bote de dialogue Mettre jour les dfinitions dattaque souvre.
4 Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise
jour des dfinitions des attaques. Vous pouvez galement slectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise jour des dfinitions des attaques
sur le botier FortiGate.
Le botier FortiGate met jour les dfinitions IPS. Cela prend environ 1 minute.
6 Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour
de la version du FortiGuard IPS.

01-30001-0203-20060424
Visualisation des Statistiques
Les Statistiques de la page Statut du Systme fournissent des informations sur les
sessions, les archives de contenu et lactivit protection rseau.
Visualisation de la liste des sessions

La liste des sessions affiche des informations sur les sessions de communication
en cours sur le botier FortiGate.
Visualiser la liste des sessions

2 Dans la section Statistiques, cliquez sur Dtails dans la ligne Sessions.
Illustration 13 : Liste des Sessions
Virtual Domain Slectionnez un domaine virtuel pour en rpertorier les

sessions en cours. Slectionnez Tous pour visualiser les
sessions utilises par tous les domaines virtuels. Ceci nest
possible que si de multiples domaines virtuels sont activs.
Icne Rafrachir Met jour la liste des sessions.
Page prcdente Affiche la page prcdente de la liste des sessions.
Page suivante Affiche la page suivante de la liste des sessions.
Ligne Entrez le numro de la ligne de la session marquant le dbut
de la liste des sessions affiches. Par exemple, dans le cas
o il y a 5 sessions et vous entrez le numro 3, seules les
sessions 3, 4 et 5 seront affiches. Le nombre suivant le
/ est le nombre de sessions actives sur le botier
FortiGate.
Supprimer tous les filtres Annule tous les filtres daffichage installs.
Icne Filtre Toutes les icnes en haut des colonnes lexception de # et
Expiration. Slectionnez une de ces icnes pour ouvrir la
bote de dialogue dEdition de Filtres vous permettant
dinstaller des filtres daffichage par colonne.
Protocole Le protocole de service sur la connexion, par exemple, udp,
tcp ou icmp.
Adresse Source Ladresse IP source de la connexion.
Port Source Le port source de la connexion.
Adresse Destination Ladresse IP de destination de la connexion.
Port Destination Le port de destination de la connexion.
Identifiant de rgle Le nombre de rgles pare-feu permettant cette session. Le
champ reste vide si la session implique une seule interface
FortiGate (session admin par exemple).
Expire (sec) Le temps, en secondes, avant que la connexion expire.

01-30001-0203-20060424
Icne de suppression Met fin une session de communication active. Votre profil
daccs doit comprendre les droits en lecture et en criture
de la configuration du systme.
Visualisation des Archives de Contenu

Les statistiques portant sur les trafics HTTP, email, FTP et IM travers le botier
FortiGate sont visibles dans la section Statistiques de la page Statut du Systme.
Pour en savoir plus sur chaque type de trafic, cliquez sur Dtails ct du trafic
concern.
Licne Remise zro en haut de la section Statistiques permet deffacer les

archives de contenu et les informations sur les journaux des attaques et de
remettre les compteurs zro.
Visualisation des archives de contenu HTTP

2 Dans la section Archive de Contenu, cliquez sur Dtails ct de HTTP.
Date La date et lheure de laccs lURL.

Source Ladresse IP partir de laquelle lURL a t accde.
URL LURL accde.
Visualisation des archives de contenu email

2 Dans la section Archive de Contenu, cliquez sur Dtails ct dEmail.
Date La date et lheure du passage de lemail travers le botier

FortiGate.
Source Ladresse email de lmetteur.
Destination Ladresse email du destinataire.
Sujet Le sujet de lemail.

01-30001-0203-20060424
Visualisation des archives de contenu FTP
2 Dans la section Archive de Contenu, cliquez sur Dtails ct de FTP.
Date La date et lheure de laccs.

Destination Ladresse IP du serveur FTP accd.
Utilisateur LID de lutilisateur stant connect au serveur FTP.
Tlchargement Les noms des fichiers tlchargs.
Envoie vers un serveur Les noms des fichiers envoys vers un serveur.
Visualisation des archives de contenu IM

2 Dans la section Archive de Contenu, cliquez sur Dtails ct dIM.
Date / Time La date et lheure de laccs.

Protocol Le protocole utilis lors de la session IM.
Kind Le type de trafic IM constituant la transaction.
Local Ladresse locale de la transaction.
Remote Ladresse distante de la transaction.
Direction Indique si le fichier a t envoy ou reu.
Visualisation du Journal des Attaques

Les statistiques portant sur les attaques rseaux bloques par le botier FortiGate
sont visibles dans la section Statistiques de la page Statut du Systme. Pour en
savoir plus sur chaque type dattaques, cliquez sur le lien Dtails de lattaque
concerne.
Licne Remise zro en haut de la section Statistiques permet deffacer les

archives sur le contenu et les journaux des attaques, et de remettre les compteurs
zro.

01-30001-0203-20060424
Visualisation des virus attraps
2 Dans la section Journal des attaques, cliquez sur Dtails ct dAV.
Date & heure La date et lheure de la dtection du virus.

De Ladresse email ou ladresse IP de lmetteur.
A Ladresse email ou ladresse IP du destinataire vis.
Service Le type de service, tel que POP ou HTTP.
Virus Le nom du virus dtect.
Visualisation des attaques bloques

2 Dans la section Journal des attaques, cliquez sur Dtails ct dIPS.
Date & heure La date et lheure de la dtection de lattaque.

De La source de lattaque.
A Lhte cible de lattaque.
Service Le type de service.
Attaque Le type dattaque dtecte et bloque.
Visualisation des spams bloqus

2 Dans la section Journal des attaques, cliquez sur Dtails ct de Spam.
Date & heure La date et lheure de la dtection du spam.

De -> IP Les adresses IP de lmetteur et du destinataire vis.
De -> A comptes email Les adresses email de lmetteur et du destinataire vis.
Service Le type de service, tel que SMTP, POP ou IMAP.
Type de SPAM Le type de spam dtect.
Visualisation des URL bloques

2 Dans la section Journal des attaques, cliquez sur Dtails ct de Web.
Date et heure La date et lheure de la dtection de la tentative daccs de

lURL.
De Lhte qui a tent daccder lURL.
URL Bloques LURL bloque.

01-30001-0203-20060424
Systme > Rseau
Cette section vous guide dans la configuration de votre FortiGate pour oprer sur
votre rseau. Les paramtres rseaux de base comprennent la configuration des
interfaces FortiGate et des paramtres DNS. La configuration plus avance
comprend lajout de sous-interfaces VLAN et de zones la configuration rseau du
FortiGate.
Cette section couvre les sujets suivants :

Interface
Zone
Options
Table de routage (en mode Transparent)
Configuration de linterface modem
Aperu sur les VLAN
VLAN en mode NAT/Route
VLAN en mode Transparent
Support FortiGate IPv6
Remarque : Certains champs permettent dentrer ladresse IP et le masque de rseau en

une fois. Dans ce cas, vous pouvez utiliser la forme courte du masque de rseau. Par
exemple, 192.168.1.100/255.255.255.0 peut galement tre entr sous 192.168.1.100/24.
Interface
En mode NAT/Route, slectionnez Systme > Rseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
agrger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modles 800 et plus).
combiner des interfaces physiques en une interface redondante
ajouter et configurer des sous-interfaces VLAN
modifier la configuration dune interface physique
ajouter des interfaces sans fil (pour les modles WiFi-60 et WiFi-60 AM
uniquement).
Remarque : A moins dune directive contraire, dans cette section, le mot interface rfre
aussi bien une interface FortiGate physique qu une sous-interface FortiGate VLAN.
Pour toute information sur les VLAN en mode NAT/Route, voir VLAN en
mode NAT/Route la page 85.
Pour toute information sur les VLAN en mode Transparent, voir VLAN en
mode Transparent la page 88.

01-30001-0203-20060424
Illustration 14 : Liste des interfaces pour un administrateur rgulier
Illustration 15 : Liste des interfaces pour un administrateur admin avec la

Configuration de Domaine Virtuel active
Crer Nouveau Cre une sous-interface VLAN.

Possibilit de crer une interface agrge IEEE 802.3ad pour
les modles 800 et plus.
Icne Description Laide en ligne de cette icne affiche le champ de Description
pour cette interface.
Nom Les noms des interfaces physiques de votre botier FortiGate.
Les nombre et noms de ces interfaces dpendent du modle.
Certains noms indiquent la fonction par dfaut de linterface :
Internal, External, DMZ par exemple. Dautres noms sont
gnriques : port1 par exemple.
Les modles FortiGate 50 et 60 fournissent une interface
modem. Voir Configuration de linterface modem la page
79.
Linterface oob/ha est linterface de gestion hors bande du
modle FortiGate 4000. Vous pouvez vous connecter cette
interface pour grer votre quipement FortiGate. Cette
interface est galement disponible comme interface de
heartbeat HA.
Sur les modles 800 et plus, si plusieurs interfaces sont
combines en une interface agrge, seule celle-ci sera
rpertorie (et non pas les interfaces composantes). La mme
chose sapplique pour les interfaces redondantes. Voir
Cration dune interface agrge 802.3ad la page 66 ou
Cration dune interface redondante la page 67.
Si vous avez ajout des sous-interfaces VLAN, celles-ci
apparaissent aussi dans la liste des noms, juste en dessous
de linterface physique ou agrge laquelle elles ont t
ajoutes. Voir Aperu sur les VLAN la page 84.
A moins dtre ladministrateur admin, et si la Configuration de
Domaine Virtuel est active, les informations disponibles
concernent uniquement les interfaces de votre domaine virtuel.
IP / masque Ladresse IP et le masque de rseau actuels de cette interface.
Accs La configuration de laccs administratif de linterface.

01-30001-0203-20060424
Pour toute information sur les options de laccs administratif,
voir Contrler laccs administratif dune interface la page
74.
Domaine Virtuel Le domaine virtuel auquel linterface appartient. Cette colonne
nest visible que par ladministrateur admin et ce, uniquement
lorsque la Configuration de Domaine Virtuel est active.
Etat Ltat administratif de linterface. Une flche verte indique que
linterface est active et peut accepter le trafic rseau. Une
flche rouge indique que linterface est inactive et ne peut pas
accepter le trafic rseau. Pour modifier ltat administratif,
slectionnez Activer ou Dsactiver.
Icnes Supprimer, Supprime, dite ou visualise une entre.
Editer et Visualiser
Paramtres de linterface
Pour configurer une interface, slectionnez Systme > Rseau > Interface.
Cliquez sur Crer Nouveau pour crer une nouvelle interface. Pour diter une
interface existante, slectionnez licne Editer de cette interface.
Il est impossible de crer une interface virtuelle IPSec ici. Mais vous pouvez en
spcifier les adresses de terminaison, activer laccs administratif et fournir une
description. Voir Configuration dune interface IPSec virtuelle la page 72.
Illustration 16 : Paramtres dune interface
Nom de linterface Entrez un nom pour linterface. Il nest pas possible de

modifier le nom dune interface existante.
Type Sur les modles 800 et plus, vous pouvez crer des
interfaces VLAN, agrges 802.3ad et redondantes.
Sur les modles WiFi-60A et WiFi-60AM, vous pouvez
crer des interfaces sans fil.
Certains modles ne supportent que la cration
dinterface VLAN et naffichent alors pas le champ Type.

01-30001-0203-20060424
Si vous dsirez crer une interface agrge, voir
Cration dune interface agrge 802.3ad la page
66.
Si vous dsirez crer une interface redondante, voir
Si vous dsirez crer une interface sans fil, voir
Cration dune interface sans fil la page 68.
Il est impossible de modifier le type dune interface
existante.
Interface Slectionnez le nom de linterface physique laquelle
vous voulez adjoindre une sous-interface VLAN. Une
fois cr, le VLAN est repris dans la liste des interfaces,
en dessous de son interface physique. Il est impossible
de modifier linterface dune sous-interface VLAN
existante.
ID VLAN Entrez lID du VLAN qui correspond lID du VLAN des
paquets destins cette sous-interface VLAN. Il est
impossible de modifier lID dune sous-interface VLAN
existante.
LID VLAN, se situant entre 1 et 4096, doit correspondre
lID VLAN ajoute par le routeur IEEE 802.1Q-
compliant ou connect la sous-interface VLAN.
Pour plus dinformations sur les VLAN, voir Aperu sur
les VLAN la page 84.
Domaine Virtuel Slectionnez le domaine virtuel auquel la sous-interface
VLAN appartient. Seul ladministrateur admin peut
effectuer cette commande lorsque la Configuration de
Domaine Virtuel est active. Pour plus dinformations sur
les domaines virtuels, voir Utilisation des domaines
virtuels la page 40.
Mode dadressage Pour configurer une adresse IP statique dune interface,
slectionnez Manuel et entrez adresse IP/masque de
rseau dans le champ prvu cet effet. Ladresse IP
doit tre sous le mme sous-rseau que le rseau
auquel linterface se connecte. Deux interfaces ne
peuvent pas avoir leurs adresses IP sur le mme sous-
rseau.
Pour plus dinformations sur la configuration dun
adressage dynamique, voir Configuration DHCP dune
interface la page 69 ou Configuration PPPoE
dune interface la page 70.
DDNS Cochez la case Activer ct de DDNS pour configurer
un service DNS Dynamique pour cette interface. Des
champs additionnels sont affichs. Pour plus
dinformations sur la configuration DDNS, voir
Configuration dun service DNS Dynamique dune
interface la page 72.
Ping Serveur Pour activer la dtection de lchec dune passerelle,
entrez ladresse IP du routeur du prochain saut sur le
rseau connect linterface et cochez la case Activer.
Pour plus dinformations sur la dtection de lchec

01-30001-0203-20060424
dune passerelle, voir Dtection de lchec dune
passerelle la page 76.
Administration Slectionnez les types daccs administratifs permis sur
cette interface.
HTTPS Permet des connexions HTTPS scurises vers
linterface dadministration web travers cette interface.
PING Linterface rpond aux requtes Ping. Cette
fonctionnalit vous permet de vrifier votre installation et
de la tester.
HTTP Permet des connexions HTTP vers linterface
dadministration web travers cette interface. Les
connexions HTTP ne sont pas scurises et peuvent
tre interceptes par des tiers.
SSH Permet des connexions SSH vers linterface de
commande en ligne travers cette interface.
SNMP Permet un superviseur SNMP distant de solliciter des
informations SNMP en se connectant cette interface.
Voir Configuration SNMP la page 153.
TELNET Permet des connexions Telnet vers le CLI travers cette
interface. Les connexions Telnet ne sont pas scurises
et peuvent tre interceptes par des tiers.
MTU Ce champ nest disponible que sur les interfaces
physiques. Pour amliorer la performance rseau, vous
pouvez modifier lunit maximum de transmission (MTU)
des paquets que le botier FortiGate transmet.
Idalement le MTU devrait tre identique au plus petit
MTU de tous les rseaux entre le botier FortiGate et les
destinations des paquets. Les plus grands paquets
envoys seront fragments, ce qui ralentit la
transmission. Procdez des tests en diminuant le MTU
jusqu trouver la taille du MTU qui fournit la meilleure
performance rseau.
Pour modifier le MTU, slectionnez Remplacer la valeur
MTU par dfaut (1500) et entrez une nouvelle taille du
MTU. La taille du MTU varie entre 68 et 1500 octets en
mode manuel, entre 576 et 1500 octets en mode DHCP
et entre 576 et 1492 octets en mode PPPoE. En mode
Transparent, si vous modifiez le MTU dune interface,
vous devez modifier le MTU de toutes les interfaces
pour correspondre la nouvelle.
Journaliser Slectionnez Journaliser pour enregistrer les journaux
pour tout trafic partir ou vers linterface. Pour
enregistrer des journaux, vous devez activer la
journalisation du trafic vers une destination et fixer le
niveau de svrit de la journalisation Notification ou
plus bas. Slectionnez Journaux/Alertes > Journal
pour configurer les types et destinations de
journalisation. Pour plus dinformations sur les
journalisations, voir Journaux et Alertes la page
409.
Description Facultativement, entrez une description de 63 caractres
maximum.

01-30001-0203-20060424
Cration dune interface agrge 802.3ad
Vous pouvez agrger (combiner) deux ou plusieurs interfaces pour augmenter la
bande passante et fournir quelques redondances de lien. Cela offre lavantage
dune plus grande bande passante mais augmente le risque de points de panne
potentiels par rapport aux interfaces redondantes. Les interfaces doivent se
connecter la mme destination du prochain saut. Le logiciel FortiGate des
modles 800 et plus implmentent le standard 802.3ad pour une agrgation de
liens.
Une interface est disponible pour agrgation uniquement si :
il sagit dune interface physique et non pas dune interface VLAN

elle ne fait pas dj partie dune interface agrge ou redondante
elle est dans le mme VDOM que linterface agrge
elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou
PPPoE
elle na pas de serveur DHCP ou de relais configur
elle na pas de sous-interfaces VLAN
elle nest pas reprise dans une rgle pare-feu, VIP, IP Pool ou multicast
il ne sagit pas dune interface de heartbeat HA
Lorsquune interface fait partie dune agrgation, elle nest plus reprise dans la liste
de la page Systme > Rseau > Interface. Elle nest plus configurable
individuellement et ne peut plus tre incluse dans les rgles pare-feu, VIP, IP pools
ou de routage.
Illustration 17 : Paramtres pour une interface agrge 802.3ad
Crer une interface agrge 802.3ad

2 Cliquez sur Crer Nouveau.
3 Dans le champ Nom, entrez un nom pour linterface agrge. Le nom de linterface
doit diffrer des noms des autres interfaces, zones ou VDOM.
4 Slectionnez dans la liste Type droulante 802.3ad Aggregate.
5 Slectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface
que vous voulez inclure dans linterface agrge et cliquez sur la flche droite pour
la dplacer vers la liste des Interfaces Slectionnes.

01-30001-0203-20060424
6 Si cette interface opre en mode NAT/Route, il est ncessaire de lui configurer un
adressage. Pour plus dinformations sur ladressage dynamique, voir :
Configuration DHCP dune interface la page 69.
Configuration PPPoE dune interface la page 70.
7 Configurez les autres options tel que requis.
8 Cliquez sur OK.
Cration dune interface redondante

Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance
de liens. Cette fonctionnalit vous permet de vous connecter deux ou plusieurs
commutateurs afin dassurer une connectivit continue mme dans le cas o une
interface ou un des quipements devait tomber en panne.
La diffrence entre un lien redondant et un lien dagrgation rside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface la fois (peu
importe le nombre de liens redondants). Cependant les interfaces redondantes
permettent des configurations plus robustes avec un risque de points de pannes
plus faible. Ceci est important dans une configuration en maillage intgral HA.
Le logiciel FortiGate des modles 800 et plus implmente des interfaces

redondantes.
Une interface peut tre une interface redondante seulement si :

il sagit dune interface physique et non pas dune interface VLAN
elle ne fait pas dj partie dune interface agrge ou redondante
elle est dans le mme VDOM que linterface redondante
elle na pas dadresse IP dfinie et nest pas configure partir de DHCP ou
PPPoE
elle na pas de serveur DHCP ou relais configur
elle na pas de sous-interface VLAN
elle nest pas prsente dans une rgle pare-feu, VIP, IP Pool ou multicast
elle nest pas contrle par un HA.
Lorsquune interface fait partir dune interface redondante, elle nest plus reprise
dans la liste de la page Systme > Rseau > Interface. Elle nest plus
configurable individuellement et ne peut plus tre incluse dans les rgles pare-feu,
VIP, IP pools ou de routage.

01-30001-0203-20060424
Illustration 18 : Paramtres dune interface redondante
Crer une interface redondante

3 Dans le champ Nom, entrez un nom pour linterface redondante. Le nom de
linterface doit diffrer des noms des autres interfaces, zones ou VDOM.
4 Slectionnez dans la liste Type droulante Interface Redondante.
5 Slectionnez, une par une, dans la liste Interfaces Disponibles, chaque interface
physique que vous voulez inclure dans linterface redondante et cliquez sur la
flche droite pour la dplacer vers la liste des Interfaces Slectionnes.
6 Si cette interface opre en mode NAT/Route, il est ncessaire de lui configurer un
adressage. Pour plus dinformations sur ladressage dynamique, voir :
Configuration PPPoE dune interface la page70.
7 Configurez les autres options tel que requis.
8 Cliquez sur OK.
Cration dune interface sans fil

Vous pouvez crer des interfaces sans fil WLAN sur les modles FortiWiFi-60A et
FortiWiFi-60AM, voir ce propos Paramtres sans fil du systme (FortiWiFi-60)
la page 94.

3 Dans le champ Nom, entrez un nom pour linterface sans fil. Ce nom doit diffrer
des noms des autres interfaces, zones ou VDOM.
4 Slectionnez dans la liste Type droulante Wireless.
5 Dans la section Paramtres Sans Fil (Wireless Settings), entrez les informations
suivantes :

01-30001-0203-20060424
Illustration 19 : Paramtres de linterface sans fil
SSID Entrez le nom du rseau sans fil que le FortiWiFi-60 doit

mettre. Les utilisateurs dsireux dutiliser le rseau sans fil
doivent configurer leurs ordinateurs pour se connecter au
rseau qui met ce nom de rseau.
SSID Broadcast A slectionner si vous voulez que le botier mette son SSID.
(En mode Point dAccs uniquement).
Security Mode Pour une utilisation du WEP, slectionnez WEP64 ou
WEP128. Pour une utilisation WPA (disponible en mode Point
dAccs uniquement), slectionnez WPA Pre-shared Key ou
WPA_Radius. Les utilisateurs du rseau sans fil FortiWiFi-60
doivent configurer leurs ordinateurs avec les mmes
paramtres.
Cl Pour une cl WEP de 64 bits, entrez 10 symboles
hexadcimaux (0-9 a-f). Pour une cl WEP de 128 bits, entrez
26 symboles hexadcimaux (0-9 a-f). Les utilisateurs du
rseau sans fil doivent configurer leurs ordinateurs avec les
mmes cls.
Pre-shared Key Pour le mode scuris WPA Pre-Shared Key, entrez la cl
partage. Les utilisateurs dun rseau sans fil doivent
configurer leurs ordinateurs avec la mme cl.
RADIUS Server Name Pour le mode scuris WPA Radius, slectionnez dans la liste
le nom du serveur Radius. Le serveur Radius doit tre
configur dans Utilisateur > Radius. Pour plus dinformations,
voir Serveurs RADIUS la page 326.
Data Encryption En mode WPA uniquement. Choisissez entre les protocoles de
cryptage TKIP ou AES (WPA2).
RTS Threshold Le seuil RTS (Request to Send) dtermine le temps dattente
du botier pour la reconnaissance CTS (Clear to Send) dun
autre quipement sans fil.
Fragmentation Threshold Le seuil de fragmentation dtermine la taille maximum dun
paquet de donnes avant que celui-ci ne soit fragment en
deux ou plusieurs paquets. La rduction de ce seuil peut
amliorer la performance dans des environnements soumis
de hautes interfrences.
6 Configurez les options des autres interfaces tel que requis.
7 Cliquez sur OK.
Configuration DHCP dune interface

Lorsque vous configurez une interface pour une utilisation DHCP, le botier
FortiGate met automatiquement une requte DHCP. Linterface est configure
avec ladresse IP et ventuellement les adresses du serveur DNS, ainsi que les
adresses des passerelles par dfaut fournies par le serveur DHCP.

01-30001-0203-20060424
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou
slectionnez licne Editer dune interface existante. Dans la section de Mode
dAdressage, slectionnez DHCP.
Illustration 20 : Paramtres DHCP de linterface
Distance Entrez la distance administrative de la passerelle par dfaut

retrouve par le serveur DHCP. La distance administrative,
entre 1 et 255, indique la priorit relative dune route lorsquil
en existe plusieurs vers une mme destination. Au plus la
distance administrative est basse, au plus est elle
considre comme prioritaire. La distance par dfaut de la
passerelle par dfaut est de 1.
Obtenir dynamiquement Activez cette option pour retrouver ladresse IP dune
la route par dfaut passerelle par dfaut partir dun serveur DHCP. La
passerelle par dfaut est ajoute la table de routage
statique.
Remplacer le serveur DNS Permet de remplacer les adresses IP du
pr-configur serveur DNS de la page DNS par des adresses DNS
retrouves par le serveur DHCP.
Sur les modles 100 et moins, lactivation de Obtenir
dynamiquement les adresses des serveurs DNS dans
Systme > Rseau > Options est conseille. Voir
Configuration des Options du Rseau la page 77.
Connecter Permet linterface de tenter automatiquement de se
connecter un serveur DHCP. Dsactiver cette option si
vous configurez linterface hors ligne.
Statut Affiche les messages sur les statuts DHCP lorsque le botier
FortiGate se connecte au serveur DHCP et reoit des
informations sur ladressage. Slectionnez cette option pour
rafrachir le message de statut du mode dadressage.
initialisation Aucune activit.
se connecte Linterface tente de se connecter au serveur DHCP.
connect Linterface retrouve une adresse IP, un masque de rseau et
dautres paramtres du serveur DHCP.
chec Linterface a chou dans sa tentative de retrouver une
adresse IP et dautres informations partir du serveur
DHCP.
Configuration PPPoE dune interface

Lorsque vous configurez une interface pour une utilisation PPPoE, le botier
FortiGate met automatiquement une requte PPPoE. Vous pouvez dsactiver
Connecter si vous configurez le botier FortiGate hors ligne et ne dsirez pas
lenvoi de la requte PPPoE.

01-30001-0203-20060424
Le botier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y
compris les IP non numrotes, les timeouts de dcouverte initiale et les PPPoE
Active Discovery Terminate (PADT).
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur
licne Editer dune interface existante. Slectionnez PPPoE dans la section Mode
dAdressage.
Illustration 21 : Paramtres PPPoE de linterface
Compte utilisateur Le nom dutilisateur du compte PPPoE.

Mot de Passe Le mot de passe du compte PPPoE.
Unnumbered IP Spcifiez ladresse IP de linterface. Dans le cas o votre
FAI (Fournisseur dAccs Internet) vous en a affectes
plusieurs, choisissez-en une parmi celles-ci. Par ailleurs,
cette adresse IP peut tre identique celle dune autre
interface ou peut galement tre nimporte quelle adresse
IP.
Initial Disc Initial Discovery Timeout. Il sagit du temps dattente
Timeout avant quune nouvelle tentative de dcouverte PPPoE soit
lance. Pour dsactiver cette option, affectez-lui 0.
Initial PADT Initial PPPoE Active Discovery Terminate

Timeout (PADT) timeout. Se dfinit en secondes. Sert fermer la
session PPPoE aprs un laps de secondes dinactivit
dfini dans cette option. PADT doit tre support par votre
FAI. Pour dsactiver cette option, affectez-lui 0.
Distance Entrez la distance administrative de la passerelle par
dfaut retrouve par le serveur PPPoE. La distance
administrative, entre 1 et 255, indique la priorit relative
dune route lorsquil en existe plusieurs vers une mme
destination. Au plus la distance administrative est basse,
au plus elle est considre comme prioritaire. La distance
par dfaut de la passerelle par dfaut est de 1.
Obtenir dynamiquement Permet de retrouver une adresse IP dune passerelle
la route par dfaut par dfaut partir dun serveur PPPoE. La passerelle par
dfaut est ajoute la table de routage statique.
Remplacer le serveur DNS Permet de remplacer les adresses IP du serveur

pr-configur DNS de la page DNS par les adresses DNS retrouves
par le serveur PPPoE ou PPPoA.
Connecter Permet linterface de tenter automatiquement de se
connecter un serveur PPPoE ou PPPoA. Dsactiver
cette option si vous configurez linterface hors ligne.
Etat Affiche les messages sur les statuts PPPoE lorsque le
botier FortiGate se connecte au serveur PPPoE et reoit

01-30001-0203-20060424
des informations sur ladressage. Slectionnez cette
option pour rafrachir le message de statut du mode
dadressage.
initialisation Aucune activit.
se connecte Linterface tente de se connecter au serveur PPPoE.
connect Linterface retrouve une adresse IP, un masque de rseau
et dautres paramtres du serveur PPPoE.
chec Linterface a chou dans sa tentative de retrouver une
adresse IP et dautres informations partir du serveur
PPPoE.
Configuration dun service DNS dynamique dune interface

Lorsque le botier FortiGate possde un nom de domaine statique et une adresse
IP publique dynamique, vous pouvez utiliser un service DDNS pour mettre jour
les serveurs DNS Internet quand ladresse IP du domaine change.
Le service DDNS est uniquement disponible en mode NAT/Route.
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur
licne Editer dune interface existante. Activez DDNS, juste en dessous de la
section Mode dAdressage et configurez le service DDNS en fonction des
informations fournies.
Illustration 22 : Configuration dun service DDNS
Serveur Slectionnez un serveur DDNS. Les logiciels clients pour

ces services sont inclus dans le microcode FortiGate. Le
botier FortiGate ne peut se connecter qu un de ces
services.
Domaine Le nom de domaine pour le service DDNS.
Compte utilisateur Le nom dutilisateur ncessaire une connexion un
serveur DDNS.
Mot de passe Le mot de passe ncessaire une connexion un serveur
DDNS.
Configuration dune interface IPSec virtuelle

La cration dune interface IPSec virtuelle se fait en slectionnant le Mode
Interface IPSec dans VPN > IPSec > Auto Key (IKE) ou VPN > IPSec > Clef
Manuelle lors de la cration dun VPN. Il faut galement slectionner une interface
physique ou VLAN de la liste Interface Local. Linterface IPSec virtuelle est reprise
dans la liste comme sous-interface de linterface dans Systme > Rseau >
Interface. Pour plus dinformations, voir
Aperu du mode interface IPSec la page 294.
Auto Key la page 295 ou Cl Manuelle la page 305.

01-30001-0203-20060424
Slectionnez Systme > Rseau > Interface et cliquez sur licne Editer dune
interface IPSec pour :
configurer des adresses IP de terminaison locales et distantes de linterface

IPSec de manire activer un routage dynamique sur linterface ou lancer une
requte ping pour tester le tunnel.
permettre laccs administratif travers linterface IPSec
permettre la journalisation sur linterface
entrer une description de linterface
Illustration 23 : Paramtres de linterface IPSec virtuelle
Nom Le nom de linterface IPSec

Domaine Virtuel Slectionnez le VDOM de linterface IPSec
IP Si vous voulez utiliser un routage dynamique avec le
Remote IP tunnel ou pouvoir pinger linterface du tunnel, entrez les
adresses IP des points finaux locaux et distants du tunnel. Ces
deux adresses ne peuvent pas apparatre ailleurs sur le
rseau.
Administration Slectionnez les types daccs administratifs permis sur cette
interface.
HTTPS Permet des connexions HTTPS scurises vers linterface
dadministration web travers cette interface.
PING Linterface rpond aux requtes Ping. Cette fonctionnalit vous
permet de tester votre installation.
HTTP Permet des connexions HTTP vers linterface dadministration
web travers cette interface. Les connexions HTTP ne sont
pas scurises et sont susceptibles dtre interceptes par des
tiers.
SSH Permet des connexions SSH vers linterface de ligne de
commande travers cette interface.
SNMP Permet un superviseur SNMP distant de solliciter des
informations SNMP en se connectant cette interface. Voir
Configuration SNMP la page 153.
TELNET Permet des connexions Telnet vers le CLI travers cette
interface. Les connexions Telnet ne sont pas scurises et
sont susceptibles dtre interceptes par des tiers.

01-30001-0203-20060424
Journaliser Slectionnez Journaliser pour enregistrer les journaux de tout
trafic partir ou vers linterface. Pour enregistrer des journaux,
vous devez activer la journalisation du trafic vers une
destination et fixer le niveau de svrit de la journalisation
Notification ou plus bas. Slectionnez Journaux/Alertes >
Journal pour configurer des types et destinations de
journalisation. Pour plus dinformations sur la journalisation,
voir Journaux et Alertes la page 409.
Description Facultativement, entrez une description de 63 caractres
maximum.
Configuration additionnelle des interfaces

Ajouter une adresse IP secondaire
La commande CLI config system interface permet dajouter une adresse IP

secondaire toute interface FortiGate. Cette adresse secondaire ne peut pas se
trouver sur le mme sous-rseau que linterface primaire ou que toute autre
interface ou adresse IP secondaire. Pour plus dinformations, voir config
secondaryip sous system interface dans le FortiGate CLI Reference.
Contrler un accs administratif vers une interface

Un contrle daccs administratif vers les interfaces dun VDOM est possible si ce
VDOM fonctionne en mode NAT/Route.
Vous pouvez permettre une administration distance du botier FortiGate.

Cependant, une administration distance via Internet pourrait compromettre la
scurit de votre FortiGate. Cette manoeuvre est donc viter moins que cela
soit ncessaire pour votre configuration.
Les consignes suivantes amliorent la scurit du botier FortiGate lors dune

administration distance via Internet :
Utilisation de mots de passe dutilisateurs administratifs scuriss.

Modification rgulire de ces mots de passe.
Permettre un accs administratif scuris vers cette interface via une utilisation
HTTPS ou SSH.
Maintenir la valeur du Timeout dinactivit par dfaut 5 minutes (voir
Paramtres la page 178.)
Pour configurer un accs administratif en mode Transparent, voir Mode de
fonctionnement des VDOM et accs administratif la page 166.

2 Cliquez sur licne Editer de linterface choisie.
3 Slectionnez les protocoles dAdministration pour cette interface.
4 Cliquez sur OK pour enregistrer les changements.
Modifier la taille MTU des paquets qui quittent une interface

01-30001-0203-20060424
3 Slectionnez la valeur de Remplacer la valeur MTU par dfaut (1500).
4 Dfinissez une nouvelle valeur MTU.
Remarque : Un redmarrage du FortiGate est ncessaire pour mettre jour la nouvelle

valeur du MTU des sous-interfaces VLAN sur cette interface.
Configurer la journalisation du trafic pour les connexions vers une interface

3 Activez la case Journaliser pour enregistrer les messages journaliss lorsquune
rgle pare-feu accepte une connexion cette interface.
Zone
Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces
zones simplifient la cration de rgles. Dans le cas de regroupement dinterfaces et
de sous-interfaces VLAN en zones, vous pouvez configurer des rgles pour des
connexions de et partir dune zone. Cependant il nest pas possible de configurer
des rgles de et partir de chaque interface de cette zone.
A partir de la liste Zone, il est possible dajouter des zones, de les renommer, les
diter ou encore les supprimer. Pour ajouter une zone, vous devez slectionner les
noms des interfaces et sous-interfaces VLAN ajouter cette zone.
Les zones sont ajoutes aux domaines virtuels. Si de multiples domaines virtuels
ont t ajouts la configuration FortiGate, veillez configurer le domaine virtuel
correct avant dajouter ou dditer des zones.
Illustration 24 : Liste des zones
Crer Nouveau Permet de crer une zone.

Nom Les noms des zones ajoutes.
Bloquer le trafic intra-zone Le mot Yes saffiche si le trafic entre les interfaces dune
mme zone est bloqu. Le mot No saffiche si le trafic entre
les interfaces dune mme zone nest pas bloqu.
Interfaces membres Les noms des interfaces ajoutes cette zone. Les noms
des interfaces varient dun modle FortiGate un autre.
Icnes Editer/Visualiser Permet dditer ou de visualiser une zone.
Icne Supprimer Permet de supprimer une zone.

01-30001-0203-20060424
Paramtres dune zone
Slectionnez Systme > Rseau > Zone pour configurer des zones. Cliquez sur
Crer Nouveau ou sur licne Editer dune zone pour la modifier.
Illustration 25 : Options dune zone
Nom Entrez un nom pour identifier la zone.

Bloquer le trafic intra-zone Slectionnez cette option pour bloquer le trafic entre les
interfaces ou sous-interfaces VLAN au sein de cette zone.
Interfaces membres Slectionnez les interfaces faisant partie de cette zone.
Cette liste comprend les VLAN configurs.
Options
Les options du rseau comprennent les paramtres du serveur DNS et de la
dtection dchec dune passerelle.
Plusieurs fonctions du FortiGate, notamment les emails dalertes et le blocage

dURL, utilisent le DNS. Pour cela, spcifiez les adresses IP des serveurs DNS
auxquels le botier FortiGate doit se connecter. Ces adresses IP sont
gnralement fournies par votre FAI (Fournisseur dAccs Internet).
Les modles FortiGate 100 et moins peuvent tre configurs pour obtenir des
adresses de serveur DNS automatiquement. Pour ce faire, au moins une des
interfaces doit utiliser le mode dadressage DHCP ou PPPoE. Voir Configuration
DHCP dune interface la page 69. Voir Configuration PPPoE dune interface
la page 70.
Les modles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs
interfaces. Les htes du rseau attach utilisent ladresse IP de linterface comme
leur serveur DNS. Les requtes DNS envoyes linterface sont transmises aux
adresses du serveur DNS configures ou fournies automatiquement au botier
FortiGate.
Dtection de lchec dune passerelle

Lactivation de loption de dtection de lchec dune passerelle entrane un
lancement rgulier dune commande ping pour confirmer la connectivit. En
gnral, le serveur ping est le routeur du prochain saut avant le rseau externe ou
lInternet. La priode de ping (Detection Interval) et le nombre de tentatives de ping
chous, indicateur de la perte dune connexion, sont dfinis dans Systme >
Rseau > Options. Pour appliquer la dtection de lchec dune passerelle une
interface, vous devez lui configurer un serveur ping.

01-30001-0203-20060424
Ajouter un serveur ping une interface

2 Choisissez une interface et cliquez sur Editer.
3 Affectez au Serveur Ping ladresse IP du routeur du prochain saut sur le rseau
connect linterface.
4 Cochez la case Activer.
Configuration des Options du Rseau

Dans Systme > Rseau > Options, vous pouvez configurer les paramtres des
serveurs DNS et de la dtection de lchec dune passerelle.
Illustration 26 : Options de la mise en rseau pour les modles 200 et plus.
Illustration 27 : Options de la mise en rseau pour les modles 100 et moins
Obtenir dynamiquement Cette option est uniquement disponible sur les modles 100
les adresses et moins.
des serveurs DNS
Lorsque le service DHCP est utilis par une interface, il
permet galement dobtenir ladresse IP dun serveur DNS.
Ceci est uniquement valable en mode NAT/Route. Il est
conseill dactiver Remplacer le serveur DNS pr-
configur dans les paramtres DHCP de linterface. Voir

01-30001-0203-20060424
Utiliser les adresses du Cette option est uniquement disponible sur les modles 100
et
serveur DNS suivantes moins.
Utilisez les adresses des serveurs DNS primaire et
secondaire spcifies.
Serveur DNS primaire Entrez ladresse IP du serveur DNS primaire.
Serveur DNS secondaire Entrez ladresse IP du serveur DNS secondaire.
Local Domain Name Entrez le nom de domaine ajouter aux adresses sans
portion de domaine lors des recherches DNS.
Activer le DNS forwarding Cette option est uniquement disponible sur les modles 100
sur les interfaces : et moins en mode NAT/Route.
Slectionnez les interfaces qui transfrent les requtes DNS
reues vers les serveurs DNS configurs.
Dtection de lchec Cette option permet la confirmation de la connectivit
dune passerelle grce lutilisation dun serveur ping ajout la
configuration dune interface. Pour toute information
propos de lajout dun serveur ping une interface, voir
Ajouter un serveur ping une interface la page 77.
Detection Interval Entrez lintervalle de temps souhait (en secondes) entre
chaque lancement dun ping vers sa cible.
Fail Over Detection Entrez le nombre dchec de tentatives de ping partir
duquel le botier FortiGate considra que la passerelle nest
plus en fonction.
Table de Routage (en mode Transparent)

En mode Transparent, slectionnez Systme > Rseau >Table de Routage pour
ajouter des routes statiques du botier FortiGate aux routeurs locaux.
Illustration 28 : Table de Routage
Crer Nouveau Permet de crer une nouvelle route.

# Le numro de la route.
IP Ladresse IP de destination de cette route.
Masque Le masque de rseau de cette route.
Passerelle Ladresse IP du routeur du prochain saut vers lequel cette
route dirige le trafic.
Distance La prfrence relative de cette route. La route prfre porte
le n1.
Icne Supprimer Supprime une route.
Icnes Visualiser/Editer Edite ou visualise une route.
Icne Dplacer Modifie la position de la route dans la liste.
Paramtres dune route en mode Transparent

Dans Systme > Rseau > Table de Routage, slectionnez Crer Nouveau pour
ajouter une route. Licne Editer dune route permet de lui apporter des
modifications.

01-30001-0203-20060424
Illustration 29 : Options de la route en mode Transparent
Adresse IP destination Entrez ladresse IP de destination et le masque de

/Masque rseau de cette route. Pour crer une route par dfaut,
configurez lIP de destination et le Masque sur 0.0.0.0.
Passerelle Entrez ladresse IP du routeur du prochain saut vers lequel
cette route dirige le trafic. Pour une connexion Internet, la
passerelle de routage du prochain saut dirige le trafic vers
Internet.
Distance La prfrence relative de cette route. La route prfre
porte le n1.
Configuration de linterface modem

Sur les modles FortiGate fournis avec un support modem, celui-ci peut servir soit
dinterface redondante (back up), soit dinterface autonome (stand alone) en mode
NAT/Route.
En mode redondant (back up), linterface modem prend automatiquement le

relais dune interface Ethernet lorsque celle-ci est indisponible.
En mode autonome (stand alone), linterface modem sert de connexion entre le
botier FortiGate et Internet.
Dans les deux modes, lorsque le modem se connecte un FAI, il peut

automatiquement composer trois comptes tlphoniques jusqu ce que la
connexion soit tablie.
Les modles FortiGate 50AM et 60M sont conus avec un modem intgr. Il est
ds lors possible de configurer des oprations modem partir de linterface
dadministration web. Voir Configuration des paramtres du modem .
Les modles FortiGate 50A et 60 peuvent se connecter un modem extrieur via

un convertisseur USB vers srie. Ces modles demandent une configuration des
oprations modem partir de linterface de ligne de commande. Voir la commande
system modem dans le FortiGate CLI Reference.
Remarque : Ne pas confondre linterface modem avec le port AUX, utilis pour des
connexions distance vers la console il na pas dinterface associe. Le port AUX est
uniquement disponible sur les modles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus
dinformations, voir la commande config system aux dans le FortiGate CLI
Reference.
Configuration des paramtres du modem

La configuration des paramtres du modem permet au botier FortiGate dutiliser le
modem pour se connecter aux comptes tlphoniques du FAI. Vous pouvez
configurer jusqu trois comptes tlphoniques, slectionner le mode stand alone
ou redondant et dterminer les modalits de connexion et dconnexion du modem.

01-30001-0203-20060424
Vous ne pouvez configurer et utiliser le modem quen mode NAT/Route.
Illustration 30 : Paramtres du modem ( mode Stand alone)
Illustration 31 : Paramtres du modem (mode Redondant)
Activer le modem USB Cochez cette case pour activer le modem FortiGate.
Etat du modem Les diffrents statuts du modem sont : inactif , en cours
de connexion , connect , en cours de dconnexion ou
dconnect (pour le mode Stand alone uniquement).
Appeler/Raccrocher (Pour le mode Stand alone uniquement.) Slectionnez Appeler
pour vous connecter manuellement un compte tlphonique.
Lorsque le modem est connect, slectionnez Raccrocher
pour dconnecter le modem manuellement.
Mode Slectionnez le mode dsir : Standalone ou Redondant. En
mode stand alone, le modem est une interface autonome. En
mode Redondant, le modem est un outil de sauvegarde, un
actif en secours dune interface Ethernet slectionne.

01-30001-0203-20060424
Connexion automatique (Pour le mode Stand alone uniquement). Appelle le modem
automatiquement si la connexion est perdue ou si le botier
FortiGate redmarre. Cette option nest pas compatible avec
loption Connexion la demande .
Actif en secours de (Pour le mode Redondant uniquement). Slectionnez
linterface Ethernet pour laquelle le modem assure le service
de secours.
Connexion la (Pour le mode Stand alone uniquement). Appelle
demande le modem lorsque les paquets sont dirigs vers linterface
modem. Le modem se dconnecte aprs une priode
dinactivit dfinie dans Timeout dinactivit. Cette option nest
pas compatible avec loption Connexion automatique.
Timeout dinactivit (Pour le mode Stand alone uniquement). Dfinissez le laps de
temps pass (1-60 minutes) avant quune connexion modem
inactive soit dconnecte.
Temps dattente (Pour le mode Redondant uniquement). Etablissez le laps de
temps pass (1-60 secondes) avant que le botier FortiGate
repasse de linterface modem linterface initiale, une fois la
connexion de celle-ci restaure. Par dfaut ce laps de temps
est de 1 seconde. Dterminez un temps plus long dans le cas
o le botier FortiGate passe trop frquemment dune interface
lautre.
Nombre dessais Slectionnez le nombre de fois (1 10) que le modem du
botier FortiGate doit tenter de se reconnecter au FAI en cas
dchec de connexion. Par dfaut, le nombre dessais est de 1.
Slectionnez None pour ne pas limiter le nombre de tentatives
dappel.
Compte tlphonique Configurez jusqu trois comptes tlphoniques. Le botier
FortiGate tente de se connecter chaque compte
alternativement jusqu ce que la connexion soit tablie.
Numro de Tlphone Entrez le numro de tlphone requis pour la connexion au
compte tlphonique. Ne pas inclure despace dans les
numros de tlphone. Assurez-vous cependant dinclure les
caractres standard pour les pauses, prfixes de pays et
autres fonctions requises par votre modem pour vous
connecter au compte tlphonique.
Compte utilisateur Le compte utilisateur (maximum 63 caractres) envoy au FAI.
Mot de passe Le mot de passe envoy au FAI.
Pour configurer le modem en mode Redondant, voir Configuration du mode

Redondant la page 81.
Pour configurer le modem en mode Standalone, voir Configuration du mode

Stand alone la page 82.
Configuration du mode Redondant

Linterface modem en mode redondant sert dactif en secours dune interface
Ethernet slectionne. Si cette dernire se dconnecte de son rseau, le modem
se connecte automatiquement au(x) compte(s) tlphonique(s) pr-configur(s). Le
botier FortiGate chemine alors les paquets IP normalement destins linterface
Ethernet vers linterface modem.
Lorsque le botier FortiGate dtecte que linterface Ethernet sest reconnecte au

rseau, il dconnecte linterface modem et repasse sur linterface Ethernet.

01-30001-0203-20060424
Afin de permettre au botier FortiGate de passer de linterface Ethernet au modem,
il est ncessaire, lors de la configuration du modem, de slectionner cette interface
et de lui configurer un serveur ping. De plus, il est important de configurer des
rgles pare-feu pour les connexions entre linterface modem et les autres
interfaces du botier FortiGate.
Remarque : Ne pas ajouter de rgles pour les connexions entre linterface modem et
linterface secourue par le modem.
Configurer un mode redondant

1 Slectionnez Systme > Rseau > Modem.
2 Slectionnez Mode Redondant.
3 Entrez les informations suivantes :
Mode Redondant
Actif en secours de Slectionnez dans la liste linterface secourir.
Temps dattente Entrez le laps de temps pass (1-60 secondes) avant
que le botier FortiGate repasse de linterface modem
linterface initiale, une fois la connexion de celle-ci
restaure.
Nombre dessais Entrez le nombre maximum de tentatives de connexion
dans le cas o le FAI ne rpond pas.
Compte tlphonique 1 Entrez le numro de tlphone de votre FAI ainsi
Compte tlphonique 2 que vos comptes utilisateurs et mots de passe
Compte tlphonique 3 pour les comptes tlphoniques dsirs (entre 1 et 3).
5 Configurez un serveur ping pour linterface Ethernet que le modem doit secourir.
Voir Ajouter un serveur ping une interface la page 77.
6 Configurez des rgles pare-feu pour les connexions de linterface modem. Voir
Ajout de rgles pare-feu pour les connexions modem la page 83.
Configuration du mode stand alone

En mode stand alone, le modem se connecte au compte tlphonique pour fournir
une connexion Internet. Vous pouvez configurer le modem pour quil se connecte
chaque dmarrage du FortiGate ou lors de la prsence de paquets non chemins.
Il est galement possible dappeler ou de raccrocher le modem manuellement.
Si la connexion aux comptes tlphoniques choue, le botier FortiGate rappelle le

modem. Le modem recompose alors automatiquement le numro du FAI, et ce,
autant de fois que spcifi dans la configuration ou jusqu ce que la connexion
soit tablie.
Il est primordial de configurer des rgles pare-feu pour les connexions entre
linterface modem et les autres interfaces du botier FortiGate.
Oprer en mode stand alone

Mode Standalone

01-30001-0203-20060424
Connexion automatique Slectionnez cette option pour que le modem se
connecte au FAI chaque dmarrage du FortiGate.
Connexion la demande Slectionnez cette option pour que le modem se
connecte au FAI lors de la prsence de paquets non
chemins.
Timeout dinactivit Entrez la dure dinactivit en minutes aprs laquelle le
modem se dconnecte.
Nombre dessais Entrez le nombre maximum de tentatives de connexion
dans le cas o le FAI ne rpond pas.
Compte tlphonique 1 Entrez le numro de tlphone de votre FAI ainsi
Compte tlphonique 2 que vos comptes utilisateurs et mots de passe
Compte tlphonique 3 pour les comptes tlphoniques dsirs (entre 1 et 3).
4 Configurez des rgles pare-feu pour les connexions de linterface modem. Voir
Ajout de rgles pare-feu pour les connexions modem la page 83.
Ajout de rgles pare-feu pour les connexions modem

Linterface modem ncessite des adresses et des rgles pare-feu. Vous pouvez
ajouter une ou plusieurs adresses pare-feu linterface modem. Pour plus
dinformations sur lajout dadresses, voir Ajouter une adresse IP, une plage IP
ou un FQDN la page 247. Lorsque de nouvelles adresses sont ajoutes,
linterface modem apparat sur la matrice des rgles.
Vous pouvez configurer des rgles pare-feu pour contrler le flot de paquets
circulant entre linterface modem et les autres interfaces FortiGate. Pour plus
dinformations propos de lajout de rgles pare-feu, voir Ajout dune rgle pare-
feu la page 231.
Connexion et dconnexion du modem

Le modem doit tre en mode stand alone.
Se connecter un compte tlphonique

2 Slectionnez Activer le modem USB.
3 Assurez-vous de lexactitude des comptes tlphoniques.
4 Slectionnez Appliquer si vous avez apport des modifications la configuration.
5 Slectionnez Appeler.
Le botier FortiGate compose alors le numro de chaque compte tlphonique

alternativement jusqu ce que le modem se connecte un FAI.
Dconnecter le modem
La procdure suivante permet de dconnecter le modem dun compte

tlphonique.

2 Slectionnez Raccrocher pour vous dconnecter du compte tlphonique.

01-30001-0203-20060424
Vrification du statut du modem
Le statut de la connexion du modem ainsi que le compte tlphonique activ sont
visible dans Systme > Rseau > Modem. Lors de la connexion entre le modem
et le FAI, ladresse IP et le masque de rseau sont visibles galement.
Le modem peut avoir un des statuts suivants :
Inactif Le modem nest pas connect au FAI.

En cours de connexion Le modem tente de se connecter au FAI.
Connect Le modem est connect au FAI.
En cours de dconnexion Le modem se dconnecte du FAI.
Dconnect Le modem sest dconnect du FAI. (En mode
stand alone uniquement). Le modem ne se
reconnectera que lorsque vous cliquerez sur
Appeler.
Un indicateur vert dsigne le compte tlphonique activ.
Ladresse IP et le masque de rseau affects linterface modem apparaissent sur

la page Systme > Rseau > Interface de linterface dadministration web.
Aperu sur les VLAN

Un VLAN est un groupe de PC, serveurs et autres quipements dun rseau qui
communiquent comme sils faisaient partie dun mme segment LAN, alors que ce
nest pas forcment le cas. Par exemple, les stations de travail et serveurs dun
dpartement de comptabilit peuvent tre disperss dans un btiment, connects
plusieurs segments du rseau et quand bien mme faire partie dun mme
VLAN.
Dans un VLAN les quipements sont segments logiquement et non pas

physiquement. Chaque VLAN est trait comme un domaine de diffusion. Les
quipements du VLAN 1 peuvent se connecter avec dautres quipements du
VLAN 1, mais ne peuvent pas se connecter avec des quipements dautres VLAN.
La communication entre les quipements dun VLAN ne dpend pas du rseau
physique.
Un VLAN distingue les quipements en ajoutant des balises VLAN 802.1Q tous
les paquets reus et envoys par ces quipements. Ces balises sont des
extensions de 4 octets comprenant un identificateur VLAN ainsi que dautres
informations.
Les VLAN offrent une grande flexibilit, une segmentation efficace du rseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir
compte de la localisation physique.

01-30001-0203-20060424
Illustration 32 : Topologie VLAN de base
Equipements FortiGate et VLAN

Dans une configuration VLAN classique, des balises VLAN sont ajoutes aux
paquets par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore
des pare-feu. Les commutateurs niveau 2 grent les paquets cheminant entre des
machines dun mme VLAN, tandis que les paquets cheminant entre des machines
de VLAN diffrents sont pris en charge par des quipements niveau 3 tels que
routeur, pare-feu ou commutateur niveau 3.
Grce lutilisation dun VLAN, un seul botier FortiGate fournit des services de
scurit et des connexions sous contrle entre de multiples domaines scuriss.
Le trafic provenant de chaque domaine scuris reoit un identificateur VLAN
diffrent. Le botier FortiGate reconnat les identificateurs VLAN et applique les
rgles de scurit pour protger les rseaux et le trafic VPN IPSec entre les
domaines scuriss. Le botier FortiGate appliquent galement les fonctionnalits
dauthentification, de profils de protection et autres rgles pare-feu sur le trafic du
rseau et le trafic VPN autoris circuler entre les domaines scuriss.
VLAN en mode NAT/Route

En mode rout, le botier FortiGate opre comme un quipement niveau 3 pour
contrler le flot de paquets entre les VLAN. Le botier FortiGate peut galement
retirer les balises VLAN des paquets VLAN entrants et transfrer les paquets non
baliss vers dautres rseaux, comme Internet.
En mode rout, le botier FortiGate supporte les VLAN pour la construction de

tronons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le
botier FortiGate. Normalement linterface interne du botier FortiGate se connecte

01-30001-0203-20060424
un tronon VLAN sur un commutateur interne, tandis que linterface externe se
connecte en amont vers un routeur Internet non balis. Le botier FortiGate peut
alors appliquer diffrentes rgles pour les trafics sur chaque VLAN connect
linterface interne.
A partir de cette configuration, vous pouvez ajouter linterface interne du botier

FortiGate des sous-interfaces VLAN qui possdent les identificateurs VLAN
correspondants aux identificateurs des paquets du tronon VLAN. Le botier
FortiGate dirige alors les paquets avec les identificateurs VLAN vers les sous-
interfaces avec les identificateurs correspondants.
Vous pouvez galement dfinir des sous-interfaces VLAN sur toutes les interfaces
du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une
sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter
une balise diffrente aux paquets sortants.
Consignes sur les identificateurs VLAN

En mode NAT/Route, deux sous-interfaces VLAN ajoutes la mme interface
physique ne peuvent pas avoir le mme identificateur VLAN. Cependant, deux ou
plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent tre
ajoutes diffrentes interfaces physiques. Il ny a pas de connexion interne ou de
lien entre deux sous-interfaces VLAN avec le mme identificateur. Leur relation est
la mme que la relation entre nimporte quelles deux autres interfaces rseaux
FortiGate.
Consignes sur les adresses IP VLAN

Les adresses IP de toutes les interfaces doivent se trouver sur diffrents sous-
rseaux, elles ne peuvent pas se chevaucher. Cette rgle sapplique aussi bien
aux interfaces physiques quaux sous-interfaces VLAN.
Remarque : Sil vous est impossible de modifier vos configurations existantes et

dempcher un chevauchement dadresses IP, entrez les commandes CLI config
system global et set allow-interface-subnet-overlap enable pour
permettre un chevauchement dadresses IP. En entrant cette commande, vous permettez
plusieurs interfaces VLAN davoir une adresse IP qui fait dj partie dun sous-rseau utilis
par une autre interface. Cette commande nest recommande quaux utilisateurs avancs.
Lillustration 33 reprsente une configuration VLAN simplifie en mode NAT/Route.

Dans cet exemple, linterface interne du FortiGate se connecte un commutateur
VLAN via un tronon 802.1Q et est configure avec deux sous-interfaces VLAN
(VLAN 100 et VLAN 200). Linterface externe se connecte Internet et nest pas
configure avec des sous-interfaces VLAN.
Lorsque le commutateur VLAN reoit des paquets de VLAN 100 et VLAN 200, il
leurs applique des balises VLAN et les transfre vers les ports locaux et travers
le tronon vers le botier FortiGate. Des rgles sont configures dans le botier
FortiGate pour permettre aux trafics de circuler entre les VLAN et partir des
VLAN vers le rseau externe.

01-30001-0203-20060424
Illustration 33 : FortiGate en mode NAT/Route
Ajout de sous-interfaces VLAN

Lidentificateur VLAN de chaque sous-interface VLAN doit correspondre
lidentificateur VLAN ajout par le routeur IEEE 802.1Q-compliant. Lidentificateur
VLAN peut tre nimporte quel nombre entre 1 et 4096. Chaque sous-interface
VLAN doit galement tre configure avec ses propres adresse IP et masque de
rseau.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
Il est ncessaire dajouter des sous-interfaces VLAN linterface physique qui

reoit les paquets baliss VLAN.
Ajouter une sous-interface VLAN en mode NAT/Route

2 Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN.
3 Entrez un nom pour identifier cette nouvelle sous-interface.
4 Slectionnez linterface physique qui doit recevoir les paquets VLAN lattention
de cette sous-interface VLAN.
5 Entrez lidentificateur (ID) qui correspond lidentificateur des paquets recevoir
par cette sous-interface VLAN.
6 Ladministrateur admin devra slectionner le domaine virtuel auquel cette sous-
interface VLAN devra tre ajoute. Les autres administrateurs ne peuvent crer
des sous-interfaces VLAN que dans leur VDOM. Voir Utilisation de domaines
virtuels la page 40 pour plus dinformations sur les domaines virtuels.

01-30001-0203-20060424
7 Configurez les paramtres de la sous-interface VLAN tel que pour les autres
interfaces FortiGate. Voir Paramtres de linterface la page 63.
Le botier FortiGate ajoute la nouvelle sous-interface VLAN cre linterface

choisie au point 4.
Ajouter des rgles pare-feu aux sous-interfaces VLAN
Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de
leur appliquer des rgles pare-feu pour les connexions entre les sous-interfaces
VLAN ou dune sous-interface vers une interface physique.
1 Slectionnez Pare-Feu > Adresse.
2 Cliquez sur Crer Nouveau pour crer des adresses pare-feu qui correspondent
aux adresses IP source et de destination des paquets VLAN. Voir A propos des
adresses pare-feu la page 245.
3 Slectionnez Pare-Feu > Rgle.
4 Crer ou ajouter des rgles pare-feu tel que requis.
VLAN en mode Transparent

En mode Transparent, le botier FortiGate peut appliquer des rgles pare-feu et
des services tels que lauthentification, les profils de protection et autres fonctions
pare-feu au trafic dun tronon VLAN IEEE 802.1. Le botier FortiGate peut tre
insr en mode Transparent dans le tronon sans quil soit ncessaire dapporter
des modifications au rseau. Dans une configuration classique, linterface interne
du FortiGate accepte les paquets VLAN sur un tronon VLAN provenant dun
commutateur VLAN ou dun routeur connect des VLAN internes. Linterface
externe du FortiGate transfre les paquets baliss par le tronon jusqu un
commutateur VLAN externe ou un routeur connect ventuellement Internet. Le
botier FortiGate peut tre configur pour appliquer diffrentes rgles au trafic pour
chaque VLAN du tronon.
Il faut ajouter une sous-interface VLAN linterface interne et une autre

linterface externe pour permettre au trafic VLAN de circuler entre les interfaces
interne et externe du FortiGate. Dans le cas o ces sous-interfaces VLAN ont les
mmes identificateurs, le botier FortiGate applique des rgles pare-feu au trafic de
ce VLAN. Dans le cas o par contre les sous-interfaces VLAN ont des
identificateurs diffrents, ou si plus de deux sous-interfaces sont ajoutes, vous
pouvez galement crer des rgles pare-feu qui contrlent les connexions entre
les VLAN.
Un botier FortiGate oprant en mode Transparent peut scuriser le trafic du

rseau passant entre les diffrents VLAN si ce rseau utilise des balises VLAN
IEEE 802.1 pour segmenter son trafic. Il est ncessaire dajouter des domaines
virtuels la configuration du FortiGate pour lui permettre de supporter le trafic
VLAN en mode Transparent. Un domaine virtuel se compose dau moins deux
sous-interfaces ou zones. Au sein dun domaine virtuel, une zone peut contenir
une ou plusieurs sous-interfaces VLAN.
Lorsquun botier FortiGate reoit un paquet balis VLAN sur lune de ses
interfaces, ce paquet est dirig vers la sous-interface VLAN possdant
lidentificateur VLAN correspondant. La sous-interface VLAN retire la balise et
affecte une interface de destination au paquet en fonction de son adresse MAC de
destination. Les rgles pare-feu des sous-interfaces VLAN source et de destination

01-30001-0203-20060424
sappliquent au paquet. Si celui-ci est accept par le pare-feu, le botier FortiGate
le transfre vers la sous-interface VLAN de destination. Lidentificateur du VLAN de
destination est ajout au paquet par le botier FortiGate et il est envoy au tronon
VLAN.
Illustration 34 : Equipement FortiGate avec deux domaines virtuels en mode

Transparent
Lillustration 35 reprsente un quipement FortiGate oprant en mode Transparent

et configur avec trois sous-interfaces VLAN. Dans cette configuration un
quipement FortiGate peut tre ajout ce rseau pour fournir chaque VLAN
une analyse antivirus, un filtrage de contenu web ainsi que des services
supplmentaires.
Illustration 35 : Equipement FortiGate en mode Transparent

01-30001-0203-20060424
Consignes sur les identificateurs VLAN
En mode Transparent, deux sous-interfaces VLAN ajoutes la mme interface
physique ne peuvent pas avoir le mme identificateur VLAN. Cependant, deux ou
plusieurs sous-interfaces VLAN avec des identificateurs identiques peuvent tre
ajoutes diffrentes interfaces physiques. Il ny a pas de connexion interne ou de
lien entre deux sous-interfaces VLAN avec le mme identificateur. Leur relation est
identique une relation entre deux autres interfaces rseaux FortiGate.
Domaines virtuels et VLAN en mode Transparent

Les sous-interfaces VLAN sont ajoutes et associes des domaines virtuels. La
configuration par dfaut du botier FortiGate prvoit un domaine virtuel, appel
root, auquel peuvent tre ajoutes autant de sous-interfaces VLAN ncessaires.
Des domaines virtuels supplmentaires peuvent tre crs si vous dsirez sparer
des groupes de sous-interfaces VLAN en domaines virtuels. Pour plus
dinformations sur lajout et la configuration de domaines virtuels, voir Utilisation
de domaines virtuels la page 40.
Ajouter une sous-interface VLAN en mode Transparent
Lidentificateur VLAN de chaque sous-interface VLAN doit correspondre

lidentificateur ajout par le commutateur ou routeur IEEE 802.1Q-compliant.
Lidentificateur VLAN peut tre nimporte quel nombre entre 1 et 4096. Il est
ncessaire dajouter des sous-interfaces VLAN linterface physique recevant les
paquets baliss VLAN.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.

2 Cliquez sur Crer Nouveau pour ajouter une sous-interface VLAN.
3 Entrez un nom pour identifier cette nouvelle sous-interface.
4 Slectionnez linterface physique qui doit recevoir les paquets VLAN lattention
de cette sous-interface VLAN.
5 Entrez lidentificateur correspondant lidentificateur des paquets recevoir par
cette sous-interface VLAN.
6 Slectionnez les domaines virtuels ajouter cette sous-interface VLAN. Voir
Utilisation de domaines virtuels la page 40 pour plus dinformations sur les
domaines virtuels.
7 Configurez laccs administratif et les paramtres log tels que pour les autres
interfaces FortiGate. Voir Paramtres de linterface la page 63 pour une
description de ces paramtres.
Le botier FortiGate ajoute la nouvelle sous-interface VLAN cre linterface
slectionne.
9 Slectionnez Activer pour dmarrer la sous-interface VLAN.

01-30001-0203-20060424
Ajouter des rgles pare-feu aux sous-interfaces VLAN
Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de
leurs appliquer des rgles pare-feu pour les connexions entre les sous-interfaces
VLAN ou dune sous-interface vers une interface physique.
1 Slectionnez Pare-Feu > Adresse.

2 Cliquez sur Crer Nouveau pour crer des adresses pare-feu correspondantes aux
adresses IP source et de destination des paquets VLAN. Voir A propos des
adresses pare-feu la page 245.
3 Slectionnez Pare-Feu > Rgle.
4 Crer ou ajouter des rgles pare-feu tel que requis.
Support FortiGate IPv6

Vous pouvez affecter la fois une adresse IPv4 et une adresse IPv6 chaque
interface FortiGate. Linterface fonctionne comme deux interfaces, une pour les
paquets adresss IPv4, lautre pour les paquets adresss IPv6.
Les quipements FortiGate supportent le routage statique, les annonces de

routage priodiques et lencapsulation du trafic IPv6 sur un rseau IPv4. Toutes
ces fonctionnalits doivent tre configures partir de linterface de ligne de
commande. Voir le FortiGate CLI Reference pour plus dinformations sur les
commandes suivantes :
Tableau 2 : Commande CLI IPv6

Fonction Commande CLI
Configuration des interfaces, y config system interface
compris les annonces de routage Voir les mots-cls commenant par ip6.
priodiques config ip6-prefix-list
Routage statique config router static6
Encapsulation du trafic IPv6 config system ipv6_tunnel

01-30001-0203-20060424
Systme Sans Fil
Cette section parcourt la configuration des interfaces LAN sans fil des botiers
FortiWiFi.

Interface LAN sans fil FortiWiFi
Domaines rgulatoires
Paramtres sans fil du systme (FortiWiFi-60)
Paramtres sans fil du systme (FortiWiFi-60A et 60AM)
Filtre MAC
Surveillance du module sans fil
Interface LAN sans fil FortiWiFi

Vous pouvez configurer linterface sans fil FortiWiFi dans le but de :
fournir un point daccs auquel les utilisateurs munis de cartes rseau sans fil
peuvent se connecter (Mode Point dAccs).
ou
connecter le botier FortiWiFi un autre rseau sans fil (Mode Client).
Le mode Point dAccs est activ par dfaut. Les botiers FortiWiFi-60A et 60AM
peuvent fournir de multiples WLAN.
Les botiers FortiWiFi supportent les standard rseau sans fil suivants :
IEEE 802.11a (Bande des 5-GHz)

IEEE 802.11b (Bande des 2.4-GHz)
IEEE 802.11g (Bande des 2.4-GHz)
WEP (Wired Equivalent Privacy)
WPA (Wi-Fi Protected Access) utilisant des cls partages ou un serveur
RADIUS (en mode Point dAccs uniquement).
Domaines rgulatoires
Les tableaux suivants reprennent les canaux et domaines rgulatoires pour les
LAN sans fil.
Tableau 3 : Numros des canaux IEEE 802.11a (Bande des 5-GHz)

Numro Frquence Domaines rgulatoires
de (MHz) Amrique Europe Taiwan Singapour Japon
canal
34 5170 - X - - X
36 5180 X X - X -
38 5190 - X - - X
40 5200 X X - X -

01-30001-0203-20060424
42 5210 - X - - X
44 5220 X X - X -
46 5230 - X - - X
48 5240 X X - X -
52 5260 X X X - -
56 5280 X X X - -
60 5300 X X X - -
64 5320 X X X - -
149 5745 - - - - -
153 5765 - - - - -
157 5785 - - - - -
161 5805 - - - - -
Tous les canaux sont limits un usage intrieur except pour les continents
amricains, qui permettent un usage interne et externe des canaux 52 64 aux
Etats-Unis.
Tableau 4 : Numros des canaux IEEE 802.11b (Bande des 2.4-GHz)

de canal (MHz) Amrique EMEA Isral Japon
1 2412 X X - X
2 2417 X X - X
3 2422 X X - X
4 2427 X X X X
5 2432 X X X X
6 2437 X X X X
7 2442 X X X X
8 2447 X X X X
9 2452 X X X X
10 2457 X X X X
11 2462 X X - X
12 2467 - X - X
13 2472 - X - X
14 2484 - - - X
Le Mexique est compris dans le domaine rgulatoire amricain. Les canaux 1 8
sont usage intrieur uniquement. Les canaux 9 11 sont usage intrieur et
extrieur. Il est de la responsabilit de lutilisateur de sassurer que la configuration
du canal sans fil est compatible avec la rglementation en vigueur au Mexique.
Tableau 5 : Numros des canaux IEEE 802.11g (Bande des 2.4-GHz)
de (MHz) Amrique EMEA Isral Japon
canal CC OFDM CCK OFDM CCK OFDM CCK OFDM
K
1 2412 X X X X - - X X
2 2417 X X X X - - X X
3 2422 X X X X - - X X
4 2427 X X X X - - X X
5 2432 X X X X X X X X
6 2437 X X X X X X X X
7 2442 X X X X X X X X
8 2447 X X X X X X X X
9 2452 X X X X - - X X
10 2457 X X X X - - X X
11 2462 X X X X - - X X
12 2467 - - X X - - X X
13 2472 - - X X - - X X
14 2484 - - - - - - X -

01-30001-0203-20060424
Paramtres sans fil du systme (FortiWiFi-60)
Slectionnez Systme > Wireless > Paramtres pour configurer les paramtres
dun LAN sans fil.
Illustration 36 : Configuration des paramtres Sans Fil
Adresse MAC Ladresse MAC de linterface Wireless.

Mode dOpration Le mode dopration en cours. Cliquez sur Changer pour le
modifier. En mode Point dAccs, le FortiWiFi-60 agit comme
un point daccs sans fil auquel peuvent se connecter
plusieurs utilisateurs. En mode Client le botier est configur
pour se connecter un autre rseau sans fil en tant que client.
Gographie Slectionnez votre rgion pour dterminer les canaux
disponibles. Vous devez choisir entre Americas (les deux
continents amricains), EMEA (Europe, Moyen Orient,
Afrique), Isral ou Japon. Pour toute autre rgion du monde,
choisissez World.
Canal Slectionnez un canal pour votre rseau sans fil FortiWiFi-60.
Les utilisateurs de ce rseau doivent configurer leurs
ordinateurs pour utiliser le mme canal. Le choix des canaux
dpend de la rgion slectionne dans Gographie. Voir
Domaines rgulatoires la page 92 pour toute information
sur laffectation des canaux.
SSID Entrez le nom du rseau sans fil mis par le FortiWiFi-60. Les
utilisateurs de ce rseau doivent configurer leurs ordinateurs
pour se connecter au rseau qui met ce nom de rseau.
SSID Broadcast Slectionnez Activer pour que le FortiWiFi-60 mette son
SSID. (En mode Point dAccs uniquement).
Security Mode Slectionnez WEP64 ou WEP128 pour une utilisation WEP.
Slectionnez WPA Pre-shared Key ou WPA Radius pour une
utilisation WPA (en mode Point dAccs uniquement). Les
utilisateurs du rseau sans fil du FortiWiFi-60 doivent
configurer leurs ordinateurs avec les mmes paramtres.

01-30001-0203-20060424
Cl Pour une cl WEP de 64 bits, entrez 10 symboles
hexadcimaux (0-9 a-f). Pour une cl WEP de 128 bits, entrez
26 symboles hexadcimaux (0-9 a-f). Les utilisateurs du
rseau sans fil doivent configurer leurs ordinateurs avec la
mme cl.
Pre-Shared Key Pour le mode scuris WPA Pre-Shared Key, entrez la cl
partage. Les utilisateurs de ce rseau sans fil doivent
configurer leurs ordinateurs avec la mme cl.
Radius Server Name Pour le mode scuris WPA Radius, slectionnez dans la liste
le nom du serveur Radius. Le serveur Radius doit tre
configur dans Utilisateur > RADIUS. Pour plus
dinformations, voir Serveurs RADIUS la page 326.
Avancs Cliquez sur Avancs pour ouvrir et fermer la section des
paramtres avancs du Wireless. Les valeurs par dfaut
fonctionnent trs bien dans la plupart des situations. Si
ncessaire, modifiez les paramtres pour rsoudre des
problmes de performance. Les paramtres avancs sont
dcrits ci-dessous. (En mode Point dAccs uniquement).
Puissance Tx Dfinit le niveau de puissance de lmetteur. La valeur par
dfaut est positionne sur la puissance maximum, 31 dBm.
Beacon Interval Dfinit lintervalle entre les paquets beacon. Les Points
dAccs mettent les beacons ou Traffic Indication Messages
(TIM) pour synchroniser les rseaux sans fil. Si de grandes
interfrences sont prsentes, il est utile de diminuer le Beacon
Interval pour amliorer la performance du rseau. Dans le cas
contraire, vous pouvez augmenter cette valeur.
RTS Threshold Le seuil RTS (Request to Send) dtermine le temps dattente
du botier pour la reconnaissance CTS (Clear to Send) dun
autre quipement sans fil.
Fragmentation Threshold Dtermine la taille maximum dun paquet de donnes avant
que celui-ci ne soit fragment en deux ou plusieurs paquets.
La rduction de ce seuil amliore la performance dans des
environnements soumis de hautes interfrences.
Paramtres sans fil du systme (FortiWiFi-60A et 60AM)

Slectionnez Systme > Wireless > Paramtres pour configurer les paramtres
dun LAN sans fil.
Illustration 37 : Paramtres Sans Fil FortiWiFi-60A et FortiWiFi-60AM
Mode dOpration Le mode dopration en cours. Cliquez sur Changer pour le

modifier. En mode Point dAccs, le FortiWiFi agit comme un

01-30001-0203-20060424
point daccs sans fil auquel peuvent se connecter plusieurs
utilisateurs. En mode Client le botier est configur pour se
connecter un autre rseau sans fil en tant que client.
Gographie Slectionnez votre rgion pour dterminer les canaux
disponibles. Vous devez choisir entre Americas (les deux
continents amricains), EMEA (Europe, Moyen Orient,
Afrique), Isral ou Japon. Pour toute autre rgion du monde,
choisissez World.
Canal Slectionnez un canal pour votre rseau sans fil FortiWiFi. Les
pour utiliser le mme canal. Le choix des canaux dpend de la
rgion slectionne dans Gographie. Voir Domaines
rgulatoires la page 92 pour toute information sur
laffectation des canaux.
Puissance Tx Dfinit le niveau de puissance de lmetteur. La valeur par
dfaut est positionne sur la puissance maximum, 31 dBm.
Beacon Interval Dfinit lintervalle entre les paquets beacon. Les Points
dAccs mettent les beacons ou Traffic Indication Messages
(TIM) pour synchroniser les rseaux sans fil. Si de grandes
interfrences sont prsentes, il est utile de diminuer le Beacon
Interval pour amliorer la performance du rseau. Dans le cas
contraire, vous pouvez augmenter cette valeur.
Liste des Interfaces Wireless
Interface Le nom de linterface WLAN. Slectionnez le nom pour diter
linterface.
Adresse MAC Ladresse MAC de linterface Wireless.
SSID Entrez le nom du rseau sans fil mis par le FortiWiFi. Les
pour se connecter au rseau qui met ce nom de rseau.
SSID Broadcast Un signal vert indique que le FortiWiFi met son SSID. (En
mode Point dAccs uniquement).
Security Mode WEP64, WEP128, WPA Pre-shared Key, WPA Radius ou
none. Lutilisation WPA est disponible en mode Point dAccs
uniquement. Les utilisateurs du rseau sans fil doivent
configurer leurs ordinateurs avec les mmes paramtres.
Filtrage des MAC

Slectionnez Systme > Wireless > Filtre MAC pour autoriser ou rejeter laccs
sans fil aux utilisateurs en fonction de leur adresse MAC.

01-30001-0203-20060424
Illustration 38 : Filtre MAC
Filtrage des MAC Pour activer le filtrage, cochez la case Activer.

Accs des PCs non lists Permet dautoriser ou de rejeter laccs aux adresses
ci-dessous MAC non rpertories.
Adresses MAC Entrez ladresse MAC filtrer.
Autoriser ou Rejeter Permet dautoriser ou de rejeter laccs cette adresse
MAC.
Ajouter Ajoute ladresse MAC dans la Liste dAutorisation ou dans
la Liste de Rejet en fonction du choix mis.
Liste dAutorisation Liste des adresses MAC autorises accder au rseau
sans fil.
Liste de Rejet Liste des adresses MAC rejetes de laccs au rseau
sans fil.
Les boutons Flches Dplace une adresse MAC dune liste lautre.
Supprimer (sous la Liste Supprime les adresses MAC slectionnes de la
dAutorisation) Liste dAutorisation.
Supprimer (sous la Liste Supprime les adresses MAC slectionnes de la
de Rejet) Liste de Rejet.
Surveillance du module sans fil

Slectionnez Systme > Wireless > Monitor pour voir qui est connect votre
LAN sans fil. Cette fonctionnalit est seulement disponible en mode de scurit
WPA.
Illustration 39 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60)

01-30001-0203-20060424
Illustration 40 : Surveillance du module sans fil - Wireless Monitor (FortiWiFi-60A et
60AM)
Statistiques Informations statistiques sur les performances sans

fil pour chaque WLAN. Uniquement disponible sur
les FortiWiFi-60A et FortiWiFi-60AM.
AP Name Le SSID de linterface WLAN.
Signal Strength (dBm) Lintensit du signal du client.
Noise (dBm) Le niveau de bruit reu.
S/N (dB) Le ratio signal/bruit, exprim en dcibels, est calcul
partir de lintensit du signal et du niveau de bruit.
Rx (KBytes) Le montant de donnes en KiloOctets reus pendant
la session.
Tx (KBytes) Le montant de donnes en KiloOctets envoys
pendant la session.
Clients Le nombre de clients connects au WLAN et des
informations leur propos.
Adresse MAC Ladresse MAC du client sans fil connect.
Adresse IP Ladresse IP affecte au client sans fil connect.
AP Name Le nom du WLAN auquel le client est connect.
Disponible uniquement sur les FortiWiFi-60A et
FortiWiFi-60AM.
ID LID du client connect utilisant le mode scuris
WPA RADIUS. Ce champ reste blanc si le client
utilise les modes scuriss WPA Pre-Shared Key ou
WEP.
Disponible uniquement sur le FortiWiFi-60.

01-30001-0203-20060424
Systme DHCP
Cette section dcrit lutilisation du protocole DHCP fournissant une configuration
rseau automatique pratique pour vos clients.

Serveurs et relais FortiGate DHCP
Configuration des services DHCP
Visualisation des baux dadresses
Serveurs et relais DHCP FortiGate

Le protocole DHCP permet aux htes dobtenir automatiquement leur adresse IP.
Eventuellement, ils peuvent aussi obtenir les paramtres de la passerelle par
dfaut et du serveur DNS. Une interface FortiGate ou une sous-interface VLAN
peut pourvoir les services DHCP suivants :
Serveurs DHCP rguliers pour des connexions Ethernet rgulires
Serveurs DHCP IPSec pour des connexions IPSec (VPN)
Relais DHCP pour des connexions Ethernet rgulires ou IPSec (VPN)
Une interface ne peut pas fournir en mme temps un serveur et un relais pour des
connexions du mme type (rgulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP rgulier sur une interface seulement
si celle-ci possde une adresse IP statique. Vous pouvez configurer un serveur DHCP
IPSec sur une interface qui possde une adresse IP statique ou dynamique.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur nimporte quelle

interface FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux
htes du rseau connects cette interface. Les ordinateurs htes doivent tre
configurs de manire obtenir leurs adresses IP via DHCP.
Dans le cas o une interface est connecte de multiples rseaux via des
routeurs, vous pouvez ajouter un serveur DHCP pour chaque rseau. La plage
dadresses IP pour chaque serveur DHCP doit correspondre la plage dadresses
du rseau. Les routeurs doivent tre configurs pour les relais DHCP.
Pour configurer un serveur DHCP, voir Configuration dun serveur DHCP la

page 101.
Vous pouvez configurer une interface FortiGate comme relais DHCP. Linterface
transfre alors les requtes DHCP des clients DHCP vers un serveur externe
DHCP, et renvoient ensuite les rponses aux clients. Le serveur DHCP doit avoir
un routage appropri de manire ce que ses paquets-rponses aux clients
DHCP arrivent au botier FortiGate.
Pour en savoir plus sur la configuration dun relais DHCP, voir Configuration
dune interface comme relais DHCP la page 101.

01-30001-0203-20060424
Configuration des services DHCP
Slectionnez Systme > DHCP > Service pour configurer les services DHCP.
Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou
dajouter autant de serveurs DHCP que ncessaire.
Sur les modles FortiGate 50 et 60, un serveur DHCP est configur par dfaut sur
linterface Interne, avec les paramtres suivants :
Plage dadresses IP 192.168.1.110 192.168.1.210

Masque de rseau 255.255.255.0
Passerelle par dfaut 192.168.1.99
Dure du bail 7 jours
Serveur DNS 1 192.168.1.99
Vous pouvez dsactiver ou modifier cette configuration du serveur DHCP par

dfaut.
Ces paramtres sont appropris pour ladresse IP par dfaut 192.168.1.99 de

linterface Interne. Si vous changez cette adresse vers un rseau diffrent, il faut
galement modifier les paramtres du serveur DHCP pour que ceux-ci
correspondent la nouvelle adresse.
Illustration 41 : Liste des services DHCP Exemple dun FortiGate-200A
Interface Liste des interfaces FortiGate. Cliquez sur la flche

bleue ct de chacune des interfaces pour
visualiser les relais et serveurs.
Nom du serveur/IP du relais Nom dun serveur FortiGate DHCP ou adresse IP
dun serveur DHCP accd via un relais.
Type Type de relais ou serveur DHCP : Rgulier ou IPSec.
Activer Une icne V verte indique que le serveur ou relais est
activ.
Icne dajout dun serveur DHCP Permet de configurer et dajouter un serveur DHCP
sur cette interface.
Icne Editer Permet dditer la configuration dun relais ou serveur
DHCP.
Icne de Suppression Permet de supprimer un serveur DHCP.

01-30001-0203-20060424
Configuration dune interface comme relais DHCP
Slectionnez Systme > DHCP > Service et cliquez sur licne Editer pour voir ou
modifier la configuration du relais DHCP dune interface.
Illustration 42 : Editer les paramtres du relais DHCP
Nom de linterface Le nom de linterface slectionne.

Activer Active lagent relais DHCP sur cette interface.
Type Slectionnez le type de service DHCP requis.
Regular Configurez linterface comme relais DHCP pour les
ordinateurs du rseau connects cette interface.
IPSEC Configurez linterface comme relais DHCP seulement
pour les clients distants VPN avec une connexion VPN
IPSec cette interface.
Adresse IP du Serveur DHCP Entrez ladresse IP du serveur DHCP qui rpondra aux
requtes DHCP des ordinateurs du rseau connects
linterface.
Configuration dun serveur DHCP

Slectionnez Systme > DHCP > Service pour configurer un serveur DHCP sur
une interface. Slectionnez licne en croix Ajouter un Serveur DHCP ct de
linterface ou cliquez sur Editer ct dun serveur DHCP existant pour en modifier
les paramtres.

01-30001-0203-20060424
Illustration 43 : Options du Serveur
Nom Entrez un nom pour le serveur DHCP.

Activer Active le serveur DHCP.
Type Slectionnez Rgulier ou IPSEC.
Il nest pas possible de configurer un serveur DHCP Rgulier
sur une interface qui possde une adresse IP dynamique.
Plage IP Entrez le dbut et la fin de la plage dadresses
IP que ce serveur DHCP affecte aux clients DHCP.
Masque de rseau Entrez le masque de rseau que le serveur DHCP affecte aux
clients DHCP.
Routeur par dfaut Entrez ladresse IP de la passerelle par dfaut que le serveur
DHCP affecte aux clients DHCP.
Domaine Entrez le domaine que le serveur DHCP affecte aux clients
DHCP.
Dure du Bail Slectionnez Illimite pour une dure de bail illimite ou entrez
le temps, en jours, heures, minutes, aprs lequel un client
DHCP devra demander au serveur DHCP de nouveaux
paramtres. La dure du bail peut varier entre 5 minutes et
100 jours.
Avancs Cliquez sur Avancs pour configurer les options avances.
Serveur DNS 1 Entrez les adresses IP de 1 3 serveurs DNS que le
Serveur DNS 2 serveur DHCP affecte aux clients DHCP.
Serveur DNS 3
Serveur WINS 1 Ajoutez les adresses IP dun ou deux serveurs WINS que le

01-30001-0203-20060424
Serveur WINS 2 serveur DHCP affecte aux clients DHCP.
Option 1 Entrez jusqu trois options personnalises DHCP qui peuvent

Option 2 tre envoyes par le serveur DHCP. Code est le code option
Option 3 DHCP compris entre 1 et 255. Loption est un chiffre pair
hexadcimal et nest pas requis pour certains codes option.
Pour plus dinformations dtailles propos des options
DHCP, voir la RFC 2132, Options DHCP et BOOTP Vendor
Extensions.
Exclure les plages IP
Ajouter Permet dajouter une plage dadresses IP exclure. Vous
pouvez ajouter jusqu 16 plages dadresses IP exclure, que
le serveur DHCP naffectera donc pas aux clients DHCP. Les
plages ne peuvent pas dpasser 65536 adresses IP.
Dbut de ladresse IP Entrez la premire adresse IP de la plage exclure.
Fin de ladresse IP Entrez la dernire adresse IP de la plage exclure.
Icne de Suppression Supprime la plage exclure.
Visualisation des baux dadresses

Slectionnez Systme > DHCP > Baux dadresses (Address Leases) pour
visualiser les adresses IP que les serveurs DHCP ont affectes et les adresses
MAC client correspondantes.
Illustration 44 : Liste des baux dadresses
Interface Slectionnez linterface pour laquelle vous voulez voir la liste

des baux.
Ractualiser Slectionnez Rafrachir pour mettre jour la liste des baux
dadresses.
Adresse IP Ladresse IP affecte.
Adresse MAC Ladresse MAC de lquipement auquel ladresse IP est
affecte.
Expiration du bail Date et heure dexpiration du bail DHCP.
Rservation dadresses IP pour clients spcifiques

Vous pouvez rserver une adresse IP pour un client spcifique identifi par
ladresse MAC de lquipement du client et le type de connexion, Ethernet rgulier
ou IPSec. Le serveur DHCP affecte toujours ladresse rserve ce client. Vous
pouvez dfinir jusqu 50 adresses rserves.
Utilisez la commande CLI system dhcp reserved-address. Pour plus

dinformations, rfrez-vous au FortiGate CLI Reference.

01-30001-0203-20060424
Configuration du Systme
Cette section dcrit la configuration de plusieurs fonctionnalits non lies au
rseau, telles que cluster HA, messages de remplacement personnaliss, timeouts
et langue de linterface dadministration web.

Haute Disponibilit
SNMP
Mode de fonctionnement des VDOM et accs administratif
Les HA, SNMP et messages de remplacement font partie de la configuration

globale du FortiGate. La modification du mode de fonctionnement sapplique
indpendamment chaque VDOM.
Haute Disponibilit
Cette section fournit une description gnrale de la Haute Disponibilit FortiGate et
du clustering virtuel HA FortiGate. Les options de configuration et quelques
procdures de configuration et de maintenance de base de la Haute Disponibilit
sont galement dtailles dans cette section.
Remarque : Pour vous informer sur la manire de configurer et doprer un cluster HA

FortiGate, reportez-vous au Guide utilisateur des fonctions de haute disponibilit FortiGate
et la Base de Connaissance de Fortinet.

Aperu sur la Haute Disponibilit
Protocole de Clustering FortiGate (FGCP)
Modes HA (actif-actif et actif-passif)
Compatibilit de la HA FortiGate avec DHCP et PPPoE
Aperu sur le clustering virtuel
Aperu sur le maillage intgral HA
Configuration doptions HA (clustering virtuel inactiv)
Configuration doptions HA pour clustering virtuel
Options HA
Liste des membres dun cluster
Visualisation des statistiques HA
Modification du nom dhte et de la priorit du membre subordonn
Configuration dun cluster HA
Configuration dun clustering virtuel

01-30001-0203-20060424
Administration dun cluster
Dconnexion dun membre du cluster de son cluster
Adresses MAC dun cluster virtuel
Exemple de configuration dun clustering virtuel
Administration de clusters virtuels
Exemple de configuration en maillage intgral HA
Maillage intgral HA pour un clustering virtuel
HA et interfaces redondantes
HA et interfaces agrges 802.3ad
Aperu sur la Haute Disponibilit

La Haute Disponibilit (HA) FortiGate offre une solution aux deux exigences les
plus critiques des rseaux dentreprises : une fiabilit perfectionne et une
performance croissante.
La Haute Disponibilit FortiGate simplmente en configurant deux ou plusieurs

quipements FortiGate afin quils oprent en un cluster HA. Pour le rseau, ce
cluster HA saffiche comme un seul quipement FortiGate, traitant le trafic du
rseau et fournissant les services de scurit tels que pare-feu, VPN, prvention
contre les intrusions, analyse des virus, filtrage web et antispam.
Illustration 45 : Cluster HA compos de deux botiers FortiGate-3600
Au sein dun cluster, les quipements individuels FortiGate sont appels membres.
Ces membres partagent les informations sur leur tat et configuration. Dans le cas
dune dfaillance de lun des membres, les autres membres du cluster prennent en
charge lactivit du membre en panne. Aprs la panne, le cluster continue de traiter
le trafic rseau et de fournir les services FortiGate sans interruption du service.

01-30001-0203-20060424
Chaque cluster FortiGate est form dun membre primaire (aussi appel matre) et
dun ou plusieurs membres subordonns (aussi appels esclave ou redondants).
Le membre primaire contrle le fonctionnement du cluster. Les rles jous par les
membres primaire et subordonn(s) dans le cluster dpendent du mode dans
lequel le cluster opre. Voir Modes HA (actif-actif et actif-passif) la page 107.
Lavantage quoffre le cluster de fournir continuellement un service pare-feu, mme

dans le cas dune dfaillance, est appel la redondance. La redondance HA
FortiGate signifie que votre rseau ne doit pas sappuyer sur un FortiGate pour
continuer de fonctionner. Vous pouvez installer des membres additionnels et
former un cluster HA. Les autres membres du cluster prendront le relais en cas de
dfaillance dun des membres.
Une deuxime fonctionnalit HA, appele lquilibrage de charge, sert augmenter

les performances pare-feu. Un cluster de membres FortiGate peut augmenter la
performance du rseau grce un partage de la charge que reprsentent le
traitement du trafic et la fourniture des services de scurit. Le cluster saffiche sur
le rseau comme un seul quipement, ce qui augmente ses performances sans
apporter de modifications votre configuration rseau.
Un clustering virtuel tend les fonctionnalits HA pour fournir une redondance et un

quilibrage de charge pour chaque domaine virtuel activ dans le cadre dun
cluster de FortiGate. Un cluster virtuel se compose dun cluster de deux membres
FortiGate oprant avec des domaines virtuels. Le trafic sur diffrents domaines
virtuels est rparti entre les membres du cluster.
Protocole de Clustering FortiGate (FGCP)

Fortinet ralise de la haute disponibilit grce ses ressources hardware
redondantes et son Protocole de Clustering FortiGate (FGCP). Chaque membre
FortiGate dun cluster HA applique les mmes rgles globales de scurit et
partage les mmes paramtres de configuration. Vous pouvez totaliser jusqu 32
membres FortiGate dans un cluster HA. Tous les membres FortiGate dun cluster
HA doivent tre du mme modle et fonctionner avec la mme version logicielle
FortiOS.
Les membres FortiGate dun cluster utilisent les interfaces Ethernet pour
communiquer des informations sur la session du cluster, synchroniser la
configuration et la table de routage du cluster et crer des rapports sur les statuts
des membres individuels du cluster. On appelle ces interfaces Ethernet du cluster
les interfaces de heartbeat, et les communications entre les membres du cluster le
heartbeat HA. Grce ce dernier, les membres du cluster sont constamment en
train de communiquer sur les statuts du HA pour assurer un bon fonctionnement
du cluster.
La Haute Disponibilit FortiGate et le FGCP supportent la rplication de lien, la

rplication matrielle et la rplication du heartbeat HA.
Rplication de lien Si un des liens vers un membre FortiGate dun cluster

HA choue, toutes les fonctions, connexions pare-feu
1
tablies et sessions VPN IPSec sont maintenues par
les autres membres FortiGate du cluster HA. Pour plus
dinformations sur lchec de lien, voir Surveillance
des ports la page 116.
1
La Haute Disponibilit ne fournit pas de rplication de sessions pour les services PPPoE, DHCP, PPTP et
P2TP.

01-30001-0203-20060424
Rplication matrielle Si un des membres FortiGate dun cluster HA est
dfaillant, toutes les fonctions, connexions pare-feu
tablies et sessions VPN IPSec sont maintenues par les
autres membres FortiGate du cluster HA.
Rplication du heartbeat HA Vous pouvez configurer de multiples interfaces comme

interfaces heartbeat HA. Si une interface heartbeat HA
choue, le heartbeat HA est transfr vers une autre
interface.
Modes HA (actif-actif et actif-passif)

Les membres FortiGate peuvent tre configurs pour oprer en mode HA actif-actif
(A-A) ou actif-passif (A-P). Les clusters actif-actif et actif-passif fonctionnent aussi
bien en mode NAT/Route que Transparent.
Un cluster HA actif-passif (A-P), aussi appel rplication HA, se compose dun

membre primaire qui analyse le trafic et dun ou plusieurs membre(s)
subordonn(s). Ces derniers sont connects au rseau et au membre primaire
mais ne traitent pas le trafic.
Lorsquun cluster opre en mode actif-passif , la mention (a-p) apparat sur les
crans LCD de tous les membres (pour les modles qui en possdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary saffiche sur lcran LCD du membre primaire. Les membres
subordonns affichent sur leur cran LCD la mention slave <priority_id> o
<priority_id> est la place prioritaire du membre subordonn dans le cluster.
Dans lexemple dun cluster compos de trois membres, les crans afficheront :
primary (a-p)
slave 1 (a-p)
slave 2 (a-p)
Le mode HA actif-actif (A-A) quilibre la charge du traitement du trafic vers tous les
membres du cluster. Un cluster HA actif-actif se compose dun membre primaire et
dun ou plusieurs membre(s) subordonn(s) qui traitent ensemble tout le trafic. Le
membre primaire utilise un algorithme dquilibrage de charge pour distribuer le
traitement tous les membres du cluster.
Par dfaut un cluster actif-actif HA FortiGate quilibre la charge des sessions

danalyse des virus entre tous les membres du cluster. Tous les autres trafics sont
traits par le membre primaire. Vous pouvez configurer un cluster pour quil
quilibre la charge du trafic TCP et lanalyse de virus parmi tous les membres et
ce, laide de linterface de ligne de commande.
Lorsquun cluster opre en mode actif-actif, la mention (a-a) apparat sur les
crans LCD de tous les membres (pour les modles qui en possdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary saffiche sur lcran LCD du membre primaire. Les membres
subordonns affichent sur leur cran LCD la mention slave <priority_id> o
<priority_id> est la place prioritaire du membre subordonn dans le cluster.
Dans lexemple dun cluster compos de trois membres, les crans afficheront :
primary (a-a)
slave 1 (a-a)

01-30001-0203-20060424
slave 2 (a-a)
Pour plus dinformations sur le FGCP reportez-vous au Guide utilisateur des

fonctions de haute disponibilit FortiGate et la Base de Connaissance de
Fortinet.
Compatibilit de la HA FortiGate avec DHCP et PPPoE

La Haute Disponibilit FortiGate nest pas compatible avec les protocoles PPP tels
que DHCP ou PPPoE. Si une ou plusieurs interfaces de lquipement FortiGate
sont configures dynamiquement avec DHCP ou PPPoE, vous ne pouvez pas
passer en mode HA. Par ailleurs, si vous oprez votre cluster HA FortiGate, vous
ne pouvez pas modifier une interface du cluster pour la configurer dynamiquement
avec DHCP ou PPPoE.
La configuration dune interface comme serveur DHCP ou relais DHCP nest pas
affecte par une opration HA. Pour toute information sur les serveurs et relais
DHCP, voir Systme DHCP la page 99.
PPTP et L2TP sont supports en mode HA. Vous pouvez configurer les
paramtres PPTP et L2TP et ajouter des rgles pare-feu pour permettre le
passage de PPTP et L2TP. Cependant, lors dune rplication HA, toutes les
sessions actives PPTP et L2TP sont perdues et doivent tre redmarres aprs la
rplication.
Aperu sur le clustering virtuel

Si des domaines virtuels sont activs dans le cadre dun cluster, la HA FortiGate
opre via un clustering virtuel. Le clustering virtuel est une extension du FGCP
pour les membres FortiGate oprant avec des domaines virtuels. Un clustering
virtuel fonctionne en mode actif-passif pour fournir une protection sous la forme
dune redondance entre deux instances dun domaine virtuel oprant sur deux
membres diffrents du cluster. Distribuer le traitement de domaines virtuels entre
deux membres du cluster permet galement de configurer le clustering virtuel pour
fournir un quilibrage de charge entre les membres du cluster.
Clustering virtuel et relais

Le clustering virtuel opre sur deux (et seulement deux) FortiGate avec des
domaines virtuels activs. Chaque domaine virtuel cre son propre cluster. Tout le
trafic envoy et reu par le domaine virtuel reste dans le domaine virtuel et est
trait par lui. Un membre du cluster est le membre primaire de chaque domaine
virtuel et lautre membre du cluster est le membre subordonn de chaque domaine
virtuel. Le membre primaire traite tout le trafic du domaine virtuel. Le membre
subordonn ne traite pas le trafic sauf dans le cas o le membre primaire tombe en
panne. Le membre subordonn prend alors le relais, traitant le trafic passant
prcdemment par le membre primaire.
Le heartbeat HA fournit les mmes services HA dans une configuration de

clustering virtuel que dans une configuration HA standard. Un groupement
dinterfaces heartbeat de HA fournit ses services heartbeat HA pour tous les
domaines virtuels du cluster.

01-30001-0203-20060424
Clustering virtuel et quilibrage de charge
Bien que le clustering virtuel opre en mode actif-passif, vous pouvez configurer
une forme dquilibrage de charge en configurant le clustering virtuel pour quil
distribue le trafic entre les deux membres du cluster. Pour configurer cet
quilibrage de charge un membre du cluster doit tre dfini comme membre
primaire pour quelques domaines virtuels et lautre membre du cluster doit tre
dfini comme membre primaire des domaines virtuels restants. Une distribution
gale des domaines virtuels entre les deux membres du cluster permet la charge
que reprsente le traitement du rseau dtre partag, de manire quilibre, entre
les deux membres du cluster
Dans cette configuration, la rplication reste la mme. Si lun des membres du

cluster tombe en panne, tout le traitement est pris en charge par le membre
restant. Il ny a pas dinterruption du trafic pour les domaines virtuels pour lesquels
le membre restant tait le membre primaire. Le trafic risque dtre interrompu
temporairement pour les domaines virtuels pour lesquels le membre en panne tait
le membre primaire lorsque le traitement passe vers le membre restant.
Aperu sur le maillage intgral HA

Les modles FortiGate 800 et plus peuvent utiliser des interfaces redondantes
pour crer une configuration de cluster appele maillage intgral HA. Le maillage
intgral HA est une mthode de rduction du nombre de points uniques de panne
sur un rseau comprenant un cluster HA.
Lorsque deux ou plusieurs botiers FortiGate sont connects un rseau dans un

cluster HA, la fiabilit de ce rseau est amliore grce au fait que le cluster HA
substitue un quipement FortiGate un point unique de panne. Dans un cluster,
un botier FortiGate est remplac par un cluster de deux ou plusieurs quipements
FortiGate.
Cependant, mme dans le cas dun cluster, des points uniques de panne potentiels
restent. Les interfaces de chaque membre du cluster se connectent un seul
commutateur offrant une seule connexion au rseau. Si le commutateur tombe en
panne ou si la connexion entre le commutateur et le rseau choue, le service vers
le rseau est interrompu.

01-30001-0203-20060424
Illustration 46 : Points uniques de panne dans une configuration stand alone et une
configuration de rseau HA
Le cluster HA amliore la fiabilit du rseau car un commutateur ntant pas un

composant aussi complexe quun botier FortiGate, il est moins enclin tomber en
panne. Cependant, une meilleure fiabilit est possible, si la configuration inclut des
connexions redondantes entre le cluster et les rseaux auxquels il est connect.
Cette configuration redondante est ralisable grce des interfaces redondantes

et une configuration en maillage intgral HA. Dans ce type de configuration un
cluster HA compos de deux ou plusieurs membres FortiGate est connect au
rseau laide dinterfaces et de commutateurs redondants. Chaque interface
redondante est connecte deux commutateurs, tout deux connects au rseau.
La configuration en maillage intgral qui en rsulte assure des connexions

redondantes entre tous les composants du rseau. Un exemple est donn dans
lillustration 47. Si un seul composant ou une seule connexion tombe en panne, le
trafic est aiguill vers le composant et la connexion redondants.

01-30001-0203-20060424
Illustration 47 : Configuration en Maillage intgral HA
Maillage intgral HA et quipements hearbeat redondants

Une configuration en maillage intgral HA comprend galement des interfaces de
heartbeat HA redondantes. Au moins deux interfaces heartbeat devraient tre
slectionnes dans la configuration HA et deux groupes dinterfaces de heartbeat
HA devraient tre connectes. Les quipements de heartbeat HA nont pas tre
configurs comme interfaces redondantes parce que le FGCP traite la rplication
entre interfaces de heartbeat.
Maillage intgral HA, interfaces redondantes et interfaces

agrges 802.3ad
Le maillage intgral HA est support aussi bien par les interfaces redondantes que
par les interfaces agrges 802.3ad. Dans la plupart des cas, on utilise des
interfaces redondantes. Cependant, si votre commutateur supporte les interfaces
agrges 802.3ad et sparent les tronons multiples, vous pouvez utiliser des
interfaces agrges la place dinterfaces redondantes pour un maillage intgral
HA. Un des avantages des interfaces agrges consiste dans le fait que toutes les
interfaces physiques de linterface agrge peuvent recevoir et envoyer des
paquets. Il en rsulte une plus grande capacit de la bande passante du cluster.
En gnral les interfaces redondantes et agrges se composent de deux

interfaces physiques. Toutefois, vous pouvez ajouter plus de deux interfaces
physiques une interface redondante ou agrge. Lajout de plusieurs interfaces

01-30001-0203-20060424
peut augmenter la protection et la capacit de la bande passante dans le cas dune
utilisation dinterfaces agrges 802.3ad.
Configuration doptions HA (clustering virtuel inactiv)

Pour configurer les options HA, et joindre un botier FortiGate un cluster HA,
slectionnez Systme > Configuration > HA.
Pour modifier les paramtres de configuration du membre primaire dun cluster en

fonction, slectionnez Systme > Configuration > HA pour afficher la liste des
membres du cluster. Cliquez sur licne Editer pour le membre matre (primaire)
dans la liste des membres du cluster. Voir Liste des membres dun cluster la
page 120 pour plus dinformations sur cette liste.
Illustration 48 : Configuration HA dun FortiGate-5002FB2
Pour modifier le nom dhte et la priorit des membres subordonns dans un

cluster en fonction, slectionnez Systme > Configuration > HA pour afficher la
liste des membres du cluster. Cliquez sur licne Editer dun membre subordonn
pour le configurer. Voir Modification du nom dhte et de la priorit dun membre
subordonn la page 123 pour plus dinformations sur la configuration de
membres subordonns.
Configuration doptions HA pour clustering virtuel
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des
clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mmes que les
options classiques HA. Toutefois, les clusters virtuels comprennent les options de
partitionnement de domaines virtuels. Les diffrences entre les options de configuration pour
un HA rgulier et pour un clustering virtuel HA sont parcourues ci-dessous.

01-30001-0203-20060424
Pour configurer les options HA dun quipement FortiGate avec des domaines
virtuels activs, connectez-vous en tant quadministrateur admin, slectionnez
Configuration Globale et allez dans Systme > Configuration > HA.
Pour modifier les paramtres de configuration du membre primaire dans un cluster

en fonction avec des domaines virtuels activs, connectez-vous en tant
quadministrateur admin, slectionnez Configuration Globale et allez dans
Systme > Configuration > HA pour visualiser la liste des membres du cluster.
Cliquez sur licne Editer du membre matre (ou primaire). Voir Liste des
membres dun cluster la page 120.
Illustration 49 : Configuration dun cluster virtuel HA dun FortiGate 5001
Pour modifier le nom dhte et la priorit des membres subordonns dun cluster
en fonction avec des domaines virtuels activs, connectez-vous en tant
quadministrateur admin, slectionnez Configuration Globale et allez dans
Systme > Configuration > HA pour visualiser la liste des membres du cluster.
Cliquez sur licne Editer dun membre subordonn (ou redondant) pour le
configurer. Voir Modification du nom dhte et de la priorit dun membre
subordonn la page 123.

01-30001-0203-20060424
Illustration 50 : Modification du nom dhte et de la priorit dun membre subordonn
Options HA
La configuration doptions HA permet dadjoindre un botier FortiGate un cluster
ou de modifier la configuration dun cluster oprationnel et dun de ses membres.
Les options HA suivantes peuvent tre configures :

Mode
Priorit du membre
Nom du Groupe
Mot de Passe
Activer le maintien de la session
Surveillance des ports
Interface de Heartbeat
Partitionnement de domaines virtuels
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilit FortiGate reprend des procdures de configuration globales HA et
donne des exemples dtaills de configuration.
Mode
Slectionnez un mode HA pour le cluster ou repasser les quipements FortiGate
du cluster au mode stand alone. Lors de la configuration dun cluster, il est
ncessaire de dfinir le mme mode HA pour tous les membres du cluster HA.
Mode Stand alone Le mode de fonctionnement par dfaut. Dans ce mode, le

botier FortiGate nopre pas en mode HA. Slectionnez le
mode Standalone si vous dsirez que ce membre du cluster
ne fonctionne plus en mode HA.
Actif-actif Slectionnez ce mode pour configurer lquilibrage de charge
ou la rplication HA sur un cluster. En mode actif-actif chaque
cluster traite le trafic activement et contrle le statut des autres
membres du cluster. Le membre primaire contrle lquilibrage
de charge parmi tous les membres du cluster. Vous ne pouvez
pas slectionner actif-actif si vous configurez un cluster virtuel.
Actif-passif Slectionnez ce mode pour configurer une rplication HA sur
un cluster. En mode actif-passif le membre primaire traite
toutes les connexions. Les autres membres du cluster
contrlent passivement le statut du cluster et reste
synchroniss avec le membre primaire. Les clusters virtuels
doivent oprer en mode actif-passif.

01-30001-0203-20060424
La modification du mode HA dun cluster en fonction entrane la rengociation de
lopration dans un nouveau mode et la probabilit de devoir slectionner un
nouveau membre primaire.
Priorit de lquipement
Facultativement, il est possible de donner chaque membre du cluster un ordre de
priorit. De cette manire chaque membre peut tre dot dune priorit diffrente.
Pendant la ngociation HA, le membre avec la plus haute priorit devient le
membre primaire.
La priorit nest pas synchronise parmi les membres du cluster. Dans un cluster
en fonction vous modifiez la priorit de lquipement pour modifier la priorit de
chaque membre du cluster. A chaque modification de la priorit dun membre du
cluster, le cluster rengocie et le membre avec la priorit la plus leve devient le
membre primaire.
La plage de priorit stend de 0 255. La priorit par dfaut est de 128.
Lors de la configuration dun cluster virtuel et dans le cas o vous avez ajout des
domaines virtuels aux deux clusters virtuels, vous pouvez dfinir la priorit dun
membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet un
membre dtre par exemple le membre primaire du cluster virtuel 1 et le membre
subordonn du cluster virtuel 2. Pour plus dinformations, voir Exemple de
configuration dun clustering virtuel la page 139 et Administration de clusters
virtuels la page 141.
Nom du groupe
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le mme
nom de groupe.
Mot de passe
Entrez un mot de passe pour le cluster. Le mot de passe doit tre le mme pour
tous les membres du cluster. La longueur maximum du mot de passe est de 15
caractres.
Dans le cas dun rseau avec plusieurs clusters HA FortiGate, chaque cluster doit
avoir un mot de passe diffrent.
Activer le maintien de session

Lactivation du maintien de session permet, en cas de dfaillance du membre
primaire, que toutes les sessions soient reprises par le nouveau membre primaire.
Dans le cas o cette option est active, les membres subordonns maintiennent
des tables de session identiques celle du membre primaire. Cela permet au
nouveau membre primaire de maintenir toutes les sessions de communication
actives en cas de panne du membre primaire original.
En cas dinactivation du maintien de session, les membres subordonns ne

maintiennent pas les tableaux de session. Ds lors, en cas de panne du membre
primaire, toutes les sessions sont interrompues et doivent tre redmarres par le
nouveau membre primaire.

01-30001-0203-20060424
Pour assurer une rplication, et donc une protection, performante, il est conseill
dactiver le maintien de session. Si une telle protection nest pas ncessaire,
linactivation de cette option peut rduire dune part lusage CPU HA et dautre part
rduire lusage de la bande passante du rseau heartbeat HA.
Surveillance des ports

Lactivation de la surveillance des interfaces FortiGate permet de vrifier que les
interfaces sous contrle fonctionnent correctement et sont bien connectes leurs
rseaux. Si lune de ces interfaces tombe en panne ou se dconnecte de son
rseau, linterface quitte le cluster et une rplication de lien senclenche. Cette
rplication entrane une re-direction du trafic trait par linterface en panne vers la
mme interface dun autre membre du cluster qui possde toujours une connexion
au rseau. Ce membre devient le nouveau membre primaire.
Si vous arrivez rtablir le flot du trafic travers linterface (par exemple si vous
reconnectez un cble dconnect du rseau) linterface rejoint alors le cluster.
Il est conseill de mettre sous surveillance les seules interfaces connectes aux
rseaux. Une rplication pourrait avoir lieu si une interface non connecte est sous
surveillance.
Les interfaces qui sont susceptibles dtre mises sous surveillance apparaissent
dans la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent
tre mises sous surveillance, y compris les interfaces redondantes et les interfaces
agrges 802.3ad.
Pour toute information sur les interfaces redondantes, voir Cration dune
interface redondante la page 67 et HA et interfaces redondantes la page
149.
Pour toute information sur les interfaces agrges 802.3ad, voir Cration dune
interface agrge 802.3ad la page 66 et HA et interfaces redondantes la
page 149.
Les interfaces suivantes ne peuvent pas tre mises sous surveillance (elles
napparaissent dailleurs pas dans la liste Port Monitor) :
Les interfaces FortiGate qui comprennent un commutateur interne. Cela

concerne les interfaces internes de tous les modles FortiGate-60 et FortiWiFi-
60, ainsi que les interfaces internes des FortiGate-100A et 200A. Cela
concerne galement linterface LAN du FortiGate-500A.
Les sous-interfaces VLAN (voir Aperu sur les VLAN la page 84).
Les interfaces VPN IPSec (voir Aperu du mode interface IPSec la page
294).
Les interfaces physiques individuelles qui ont t ajoutes une interface
redondante ou agrge.
Si vous configurez un cluster virtuel, il est ncessaire de crer une configuration

diffrente de la surveillance des interfaces pour chaque cluster virtuel.
Gnralement pour chaque cluster virtuel, seules sont places sous surveillance
les interfaces ajoutes aux domaines virtuels de chaque cluster virtuel.

01-30001-0203-20060424
Interface de Heartbeat
Il est possible dactiver ou de dsactiver la communication heartbeat HA pour
chaque interface du cluster. Vous devez slectionner au moins une interface de
heartbeat. Si la communication heartbeat est interrompue, le cluster arrte le
traitement du trafic.
La communication heartbeat est dfinie par dfaut sur deux interfaces (voir tableau
6). Vous pouvez dsactiver le heartbeat HA pour chacune de ces interfaces ou
activer le heartbeat HA pour dautres interfaces. Dans la plupart des cas, vous
pouvez maintenir la configuration de linterface de heartbeat par dfaut tant que
vous pouvez connecter les interfaces de heartbeat ensemble.
Linterface dadministration web FortiGate rpertorie les interfaces de heartbeat par

ordre alphabtique. La premire interface heartbeat slectionne dans la liste traite
tout le trafic heartbeat HA. Si cette interface tombe en panne ou se dconnecte,
linterface suivante dans la liste prend le relais.
Le heartbeat HA communique des informations sur les sessions du cluster,

synchronise la configuration et la table de routage du cluster et engendre des
rapports individuels sur les statuts des membres du cluster. Le heartbeat HA
communique constamment des informations sur le statut HA pour assurer un bon
fonctionnement du cluster.
Vous pouvez activer des communications heartbeat pour des interfaces physiques,
mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des
interfaces redondantes ou des interfaces agrges 802.3ad. Ces types dinterfaces
napparaissent pas dans la liste des interfaces de heartbeat.
Activer le heartbeat HA pour plusieurs interfaces augmente la fiabilit. Si une

interface tombe en panne, le heartbeat HA est repris par une autre interface.
Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans
la mesure du possible, il est conseill dactiver le trafic heartbeat HA sur les
interfaces utilises uniquement pour le trafic heartbeat HA ou sur des interfaces
connectes des rseaux moins occups.
Les interfaces FortiGate qui comprennent un commutateur interne supportent la

configuration heartbeat HA. Cependant cette configuration est dconseille pour
deux raisons :
Pour des raisons de scurit et pour conomiser de la bande passante du

rseau, il est conseill de maintenir le trafic heartbeat HA en dehors de votre
rseau interne.
Des paquets heartbeat risquent dtre perdus si linterface commutateur traite
de gros volumes de trafic. La perte de paquets heartbeat risquent dentraner
des rplications rptes inutiles.
Les modles FortiGate avec des interfaces commutateur comprennent :
Linterface interne de tous les modles FortiGate-60 et FortiWiFi-60

Linterface interne des FortiGate-100A et 200A
Linterface LAN du FortiGate-500A

01-30001-0203-20060424
Tableau 6 : Configuration par dfaut des interfaces de heartbeat pour tous les
modles FortiGate
Modle FortiGate Interfaces de heartbeat par dfaut
Modles FortiGate-60 et DMZ
FortiWiFi-60 WAN1
FortiGate-100 DMZ
External
FortiGate-100A DMZ 2
External
FortiGate-200 DMZ
External
FortiGate-200A DMZ 2
External
FortiGate-300 DMZ/HA
External
FortiGate-300A Port 3
Port 4
FortiGate-400 Port 3
Port 4/HA
Port 4
FortiGate-500 HA
Port 1
Port 4
FortiGate-800 et HA
FortiGate-800F Port 1
FortiGate-1000A et Port 3
FortiGate-1000AFA2 Port 4
Port 4/HA
Port 5/HA
FortiGate-4000 External
oobm
FortiGate-5001 et Port 9
FortiGate-5001FA2 Port 10
FortiGate-5002FB2 Port 5
Port 6
Les ports 9 et 10 connectent les quipements FortiGate-5001 et FortiGate-

5001FA2 via le fond de panier du chssis FortiGate srie 5000. Ces interfaces sont
uniquement utilises pour le trafic heartbeat HA.

01-30001-0203-20060424
Adresses IP des interfaces de heartbeat
Il nest pas ncessaire daffecter des adresses IP aux interfaces de heartbeat pour
que celles-ci soient en mesure de traiter les paquets heartbeat. Le cluster affecte
des adresses IP virtuelles aux interfaces de heartbeat traitant le trafic. Ladresse IP
affecte linterface de heartbeat du membre primaire est 10.0.0.1 et ladresse IP
affecte linterface de heartbeat du membre subordonn est 10.0.0.2. Un
troisime membre du cluster aura comme adresse IP 10.0.0.3 etc.
Pour garantir de meilleurs rsultats, il est conseill disoler chaque interface de

heartbeat sur son propre rseau. Les paquets heartbeat contiennent des
informations importantes sur la configuration du cluster. Par ailleurs, ils peuvent
utiliser un montant considrable de la bande passante et il est ds lors prfrable
disoler ce trafic des rseaux destins vos utilisateurs. Lutilisation de la bande
passante par les paquets heartbeat pourrait galement rduire la capacit de
linterface traiter le trafic du rseau.
Dans la plupart des modles FortiGate, si vous ne modifiez pas la configuration de

linterface de heartbeat, vous isoleriez les interfaces heartbeat de tous les
membres du cluster en les connectant au mme commutateur. Si le cluster est
compos de deux membres, vous pouvez connecter les interfaces de heartbeat
directement laide dun cble crois.
Le heartbeat HA et le trafic de donnes sont supports par la mme interface du

cluster. Si vous dcidez dutiliser les interfaces de heartbeat pour traiter le trafic du
rseau ou pour une connexion administrative, vous pouvez, en mode NAT/Route,
affecter nimporte quelle adresse linterface. Ladresse IP naltre en rien le trafic
heartbeat.
En mode Transparent, vous pouvez connecter linterface votre rseau et activer

laccs administratif. Vous pourriez alors tablir une connexion administrative
linterface via ladresse IP dadministration du mode Transparent. Cette
configuration naltre en rien le trafic heartbeat.
Partitionnement de domaines virtuels

Lors de la configuration dun clustering virtuel, vous pouvez slectionner les
domaines virtuels qui feront partie du cluster virtuel 1 et ceux qui feront partie du
cluster virtuel 2. Le domaine virtuel root doit toujours se trouver dans le cluster
virtuel 1.
Gnralement, les domaines virtuels sont distribus de manire gale entre les
deux clusters virtuels et les priorits configures de manire distribuer le trafic
identiquement entre les membres du cluster. Pour plus dinformations, voir
Exemple de configuration dun clustering virtuel la page 139 et
Administration de clusters virtuels la page 141.

01-30001-0203-20060424
Liste des membres dun cluster
Les statuts des membres FortiGate dun cluster en opration sont visibles dans la
liste des membres du cluster. Cette liste permet galement de :
visualiser et modifier la configuration HA du cluster
visualiser et modifier la priorit des membres individuels du cluster ( voir
Modification du nom dhte et de la priorit dun membre subordonn la
page 123)
dconnecter un membre de son cluster (voir Dconnecter un membre de
son cluster la page 136 et Administration de clusters virtuels la
page 141)
Voir le botier FortiGate High Availability Guide - Guide des fonctions de haute
disponibilit FortiGate pour obtenir des exemples de procdures HA et de
configurations dtailles.
Pour afficher la liste des membres du cluster, slectionnez Systme >

Configuration > HA.
Illustration 51 : Exemple dune liste des membres dun cluster pour un FortiGate-5001
Liste des membres dun cluster virtuel

Dans le cas o les domaines virtuels sont activs, le statut des clusters virtuels en
opration est visible dans la liste des membres du cluster. La liste des membres du
cluster virtuel reprend le statut des deux clusters virtuels y compris les domaines
virtuels ajouts chaque cluster virtuel.
Pour afficher la liste des membres du cluster virtuel dun cluster oprationnel,
connectez-vous en tant quadministrateur admin et slectionnez Configuration
Globale, ensuite Systme > Configuration > HA.

01-30001-0203-20060424
Illustration 52 : Exemple dune liste de membres dun cluster virtuel pour un
FortiGate-5001
Les flches haut et bas Permettent de modifier lordre dans lequel apparaissent les
membres du cluster. Cela naffecte pas le fonctionnement du
cluster et de ses membres. Seul lordre dapparition est
modifi.
Membre du cluster Illustrations des panneaux avant des membres du cluster. Si le
port rseau dune interface apparat en vert, cela signifie que
linterface est connecte. Maintenez le curseur de la souris sur
chaque illustration pour visualiser le nom dhte, le numro de
srie et le temps depuis lequel le membre est en fonction (up
time). La liste des interfaces sous surveillance est galement
affiche.
Nom dhte Le nom dhte du FortiGate.
Pour modifier le nom dhte du membre primaire,
slectionnez Systme > Statut et cliquez sur Changer cte
du nom dhte actuel.
Pour modifier le nom dhte dun membre
subordonn, cliquez sur licne Editer du membre subordonn.
Rle Le statut ou le rle du membre dans le cluster.
Le rle est MASTER pour le membre primaire (ou
matre)
Le rle est SLAVE pour tous les membres
subordonns (ou redondants) du cluster
Priorit de lquipement La priorit du membre du cluster. Chaque membre peut avoir
une priorit diffrente. Durant la ngociation HA, le membre
avec la priorit la plus haute devient le membre primaire.
Lintervalle de la priorit est de 0 255. La priorit par dfaut
est 128.
Dconnexion du cluster Dconnecte le membre du cluster. Voir Dconnexion dun
membre du cluster la page 136.

01-30001-0203-20060424
Editer Slectionnez Editer pour modifier la configuration dun membre
du cluster HA.
Pour le membre primaire, cliquez sur licne Editer
pour modifier la configuration du membre primaire et du cluster
HA. Voir Options HA la page 114.
Pour un membre primaire dun cluster virtuel, cliquez
sur licne Editer pour modifier la configuration du cluster
virtuel HA et pour modifier la priorit du membre dans les
cluster virtuel 1 et cluster virtuel 2.
Pour un membre subordonn, cliquez sur licne
Editer pour modifier le nom dhte et la priorit. Voir
Modification du nom dhte et de la priorit dun membre
subordonn la page 123.
Pour un membre subordonn dun cluster virtuel,
cliquez sur licne Editer pour modifier son nom dhte. Vous
pouvez galement modifier la priorit du membre subordonn
dans le cluster virtuel slectionn. Dfinir une priorit plus
haute peut avoir pour effet de faire passer le rle du membre
de subordonn primaire dans le cluster virtuel.
Tlcharger un journal Tlcharger un journal de dboguage crypt dans un fichier.
de dboguage Vous pouvez ensuite lenvoyer au Service Technique de
Fortinet qui vous aidera diagnostiquer les problmes
ventuels rencontrs sur votre FortiGate.
Visualisation des statistiques HA

Slectionnez Visualiser les statistiques HA dans la liste des membres du cluster
pour afficher le numro de srie, le statut et les informations sur la surveillance
pour chaque membre du cluster.
Pour visualiser les statistiques HA, slectionnez Systme > Configuration > HA
et cliquez sur Visualiser les Statistiques HA.
Illustration 53 : Exemple de statistiques HA (pour un cluster actif-passif)
Rafrachir toutes les Entrez lintervalle de temps souhait entre deux mises jour
des statistiques par linterface graphique du FortiGate.
Back to HA monitor Ferme la liste des statistiques HA et retourne la liste des
membres du cluster.

01-30001-0203-20060424
N de srie Le numro de srie vous permet didentifier chaque FortiGate
dans le cluster. LID du cluster correspond au numro de srie
du FortiGate.
Statut Indique le statut de chaque membre du cluster. Une marque
en V verte indique un fonctionnement normal du cluster. Une
croix rouge signifie que le membre du cluster narrive pas
communiquer avec le membre primaire.
Actif depuis Le temps en jours, heures, minutes et secondes depuis le
dernier redmarrage du systme.
Monitor Affiche les informations sur les statuts du systme pour
chaque membre du cluster.
Taux CPU Le statut CPU en cours de chaque membre du cluster.
Linterface dadministration web affiche le taux CPU des
processus majeurs uniquement. Le taux CPU des processus
dadministration (tels que les connexions HTTPS linterface
dadministration web) est exclu.
Taux Mmoire Le statut du taux mmoire en cours de chaque membre du
cluster. Linterface dadministration web affiche le taux
mmoire des processus majeurs uniquement. Le taux
mmoire des processus dadministration (tels que les
connexions HTTPS linterface dadministration web) est
exclu.
Sessions actives Le nombre de sessions de communication en cours de
traitement par le membre du cluster.
Paquets totaux Le nombre de paquets traits par le membre du cluster depuis
son dernier redmarrage.
Virus dtects Le nombre de virus dtects par le membre du cluster.
Utilisation rseau Le total de la bande passante du rseau utilise par toutes les
interfaces du membre du cluster.
Total doctets Le nombre doctets traits par le membre du cluster depuis
son dernier redmarrage.
Intrusion dtectes Le nombre dintrusions ou dattaques dtectes par lIPS en
fonction sur le membre du cluster.
Modification du nom dhte et de la priorit dun membre subordonn

Vous pouvez modifier le nom dhte et la priorit de nimporte quel membre
subordonn dun cluster en fonction partir de la liste des membres du cluster. La
modification de la priorit dun des membres du cluster entrane une rengociation
au sein du cluster.
Pour modifier un nom dhte ou une priorit dun membre subordonn,

slectionnez Systme > Configuration > HA et cliquez sur licne Editer dun
membre subordonn dans la liste des membres du cluster.

01-30001-0203-20060424
Illustration 54 : Modification du nom dhte ou de la priorit dun membre subordonn
Paire Affiche et permet de modifier le nom dhte du membre

subordonn.
Priorit Affiche et permet de modifier la priorit du membre subordonn.
La priorit nest pas synchronise parmi les membres du cluster.
Dans un cluster en fonction vous modifiez la priorit dun
quipement pour modifier la priorit de chaque membre du
cluster. A chaque modification de la priorit dun membre du
cluster, le cluster rengocie et le membre avec la priorit la plus
leve devient le membre primaire.
La plage de priorit stend de 0 255. La priorit par dfaut est
de 128.
Configuration dun cluster HA

Les procdures suivantes portent sur la configuration dun cluster haute
disponibilit de deux ou plusieurs botiers FortiGate. La configuration doprations
HA y est dtaille pour chacun des quipements FortiGate. On y explique
galement comment connecter les FortiGate entre eux pour former un cluster. Une
fois le cluster connect, il se configure de la mme faon quun quipement
FortiGate autonome.
Pour la configuration de clusters virtuels, voir Configuration dun clustering

virtuel la page 127. Pour la configuration en maillage intgral HA, voir Aperu
sur le maillage intgral HA la page 109.
Les procdures reprises dans cette section reprsentent une squence de

dmarches possible parmi plusieurs pour configurer un clustering HA. Une fois que
vous serez plus expriment avec FortiOS HA, rien ne vous empche dutiliser une
squence de dmarches diffrente.
Par commodit, les procdures suivantes partent du principe que le botier

FortiGate est configur avec les paramtres par dfaut. Cependant, ceci nest pas
une ncessit pour un dploiement HA russi. La HA FortiGate est suffisamment
flexible pour supporter une configuration partir de paramtres de dpart varis.
Le mode par dfaut tant le mode NAT/Route, les procdures dcrivent la

configuration dun cluster oprant en mode rout. Toutefois, les procdures sont
identiques pour un cluster oprant en mode Transparent. Vous pouvez passer en
mode Transparent, soit avant de commencer les procdures, soit aprs la
configuration HA et la connexion du cluster (le cluster tant alors oprationnel).
Configurer un botier FortiGate pour oprer en HA
Connecter un cluster HA FortiGate
Ajouter un nouveau membre un cluster oprationnel

01-30001-0203-20060424
Configurer un botier FortiGate pour oprer en haute
disponibilit
Chaque membre FortiGate du cluster doit fonctionner avec la mme configuration
HA. La procdure suivante parcourt la configuration de chaque membre FortiGate
pour oprer en HA. Voir Options HA la page 114 pour plus dinformations sur
les options HA reprises dans cette procdure.
1 Mettre le botier FortiGate sous tension pour le configurer.

3 Eventuellement vous pouvez donner au botier FortiGate un nom dhte. Voir
Modification du nom dhte dun botier FortiGate la page 52. Lutilisation dun
nom dhte permet didentifier les FortiGate individuellement.
4 Slectionnez Systme > Configuration > HA.
5 Dfinissez le mode actif-passif ou actif-actif.
6 Entrez un mot de passe pour le cluster. Ce mot de passe doit tre le mme pour
tous les membres FortiGate du cluster HA.
7 Cliquez sur OK.
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par
dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK,
la connexion du FortiGate risque dtre perdue pendant un moment car le cluster
HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir
Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC
dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou
simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire arp d.
8 Mettre le botier FortiGate hors tension.
9 Rptez cette procdure pour tous les membres FortiGate du cluster.
Une fois tous les membres configurs, rendez-vous la section Connecter un

cluster HA FortiGate .
Connecter un cluster HA FortiGate

Les procdures suivantes parcourent la connexion dun cluster, quil opre en
mode rout ou Transparent. Il est ncessaire de connecter les membres du cluster
entre eux et votre rseau. Les interfaces correspondantes du cluster doivent tre
connectes au mme concentrateur ou commutateur. Il est ensuite ncessaire de
connecter ces interfaces leurs rseaux en utilisant le mme concentrateur ou le
mme commutateur.
Pour une meilleure performance, Fortinet recommande lutilisation de

commutateurs pour toutes les connexions du cluster.

01-30001-0203-20060424
Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire
des communications rseau puisque de nouvelles connexions physiques sont
cres pour diriger le trafic travers le cluster. Le dmarrage du cluster
occasionne galement une interruption du trafic rseau jusqu ce que tous les
membres du cluster fonctionnent et que le cluster termine la ngociation. La
ngociation du cluster est automatique et ne dure normalement que quelques
secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau
est arrt.
1 Connectez les interfaces internes de chaque membre du cluster un commutateur

ou concentrateur connect votre rseau interne.
2 Connectez les interfaces externes de chaque membre du cluster un
commutateur ou concentrateur connect votre rseau externe.
3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un
autre concentrateur ou commutateur.
4 Facultativement, connectez les autres interfaces de heartbeat des membres du
cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond
de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire
nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le
cluster puisse oprer. Vous pouvez galement connecter les interfaces de
heartbeat un rseau. Si le cluster ne comporte que deux membres FortiGate,
vous pouvez connecter les interfaces de heartbeat directement laide du cble
crois. Pour davantage dinformations sur les interfaces de heartbeat, voir
Interface de Heartbeat la page 117, ainsi que le FortiGate High Availability
User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate
5 Facultativement, connectez les autres interfaces de chaque membre du cluster
un concentrateur ou commutateur connect aux rseaux.
Lillustration 55 reprend lexemple dune configuration rseau pour un cluster HA
comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et
externes sont connectes aux rseaux. Les interfaces HA sont connectes pour
une communication heartbeat HA.
Illustration 55 : Configuration rseau HA

01-30001-0203-20060424
6 Mettez sous tension tous les membres du cluster.
Lors du dmarrage des membres du cluster, ceux-ci ngocient pour slectionner
parmi eux un membre primaire et les membres subordonns. Cette ngociation a
lieu sans intervention de lutilisateur et ne dure que quelques secondes.
Vous pouvez maintenant configurer le cluster comme sil sagissait dun seul
quipement FortiGate.
Ajouter un nouveau membre un cluster oprationnel

1 Configurez le nouveau membre du cluster pour oprer en HA avec les mmes
paramtres de configuration que les autres membres du cluster.
2 Si le cluster fonctionne en mode Transparent, faites passer le mode de
fonctionnement du nouveau membre vers le mode Transparent.
3 Connectez le nouveau membre au cluster.
4 Mettez le nouveau membre sous tension.
Lors du dmarrage du membre, celui-ci ngocie son intgration dans le cluster.
Aprs avoir rejoint le cluster, celui-ci synchronise la configuration du nouveau
membre avec la configuration du membre primaire.
Configuration dun clustering virtuel

Les procdures suivantes portent sur la configuration dun clustering virtuel de
deux membres FortiGate. Ces procdures expliquent comment configurer deux
nouveaux membres FortiGate pour un clustering virtuel, y compris la configuration
pour oprer en HA, la connexion des membres, lactivation de la configuration de
domaines virtuels et lajout de domaines virtuels un cluster. Les procdures
dcrivent galement comment configurer un clustering virtuel. Une fois le cluster
virtuel oprationnel, vous pouvez configurer le cluster de la mme faon quun
FortiGate autonome avec des multiples domaines virtuels.
Pour la configuration dun clustering normal sans domaines virtuels, voir

Configuration dun cluster HA la page 124. Pour la configuration en maillage
intgral HA, voir Aperu sur le maillage intgral HA la page 109.
Les procdures reprises dans cette section reprsentent une squence de

dmarches possible parmi plusieurs pour configurer un clustering virtuel. Une fois
que vous serez plus expriment avec FortiOS HA, rien ne vous empche dutiliser
une squence de dmarches diffrente.

Configurer deux nouveaux membres FortiGate pour un clustering virtuel

Connecter un cluster virtuel HA FortiGate
Activer la configuration de domaines virtuels pour un cluster HA
Ajouter des domaines virtuels un cluster HA
Activer le clustering virtuel

01-30001-0203-20060424
Configurer deux nouveaux membres FortiGate pour un
clustering virtuel
Cette procdure dcrit comment configurer un clustering virtuel commenant avec
deux membres FortiGate dont le paramtrage est celui par dfaut et qui ne sont
pas connects un rseau.
Les deux membres du cluster doivent avoir une configuration HA identique. La

procdure suivante permet de configurer chaque membre FortiGate pour oprer en
HA. Voir Options HA la page 114 pour plus dinformations sur les options HA
reprises dans cette procdure.
1 Mettez le botier FortiGate sous tension pour le configurer.

3 Facultativement vous pouvez donner au FortiGate un nom dhte. Voir
Modification du nom dhte dun botier FortiGate la page 52. Lutilisation dun
nom dhte permet didentifier les FortiGate individuellement.
5 Dfinissez le mode actif-passif. Le mode HA actif-actif nest pas support par un
clustering virtuel.
6 Entrez un mot de passe pour le cluster virtuel . Ce mot de passe doit tre le mme
pour tous les membres FortiGate du cluster virtuel HA.
7 Cliquez sur OK.
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par
dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
plus rapidement, vous pouvez mettre jour la table ARP de votre PC
dadministration en effaant lentre ARP de votre FortiGate (ou simplement en
effaant toutes les entres de la table ARP). Pour ce faire, utilisez la commande
CLI similaire arp d.
8 Rptez cette procdure pour tous les membres FortiGate du cluster virtuel.
Une fois les deux membres configurs, procdez avec la section Connecter un
cluster virtuel HA FortiGate .
Connecter un cluster virtuel HA FortiGate

Les procdures suivantes parcourent la connexion de deux membres FortiGate
pour oprer via un clustering virtuel. Il est ncessaire de connecter les membres du
cluster entre eux et votre rseau. Les interfaces correspondantes du cluster
doivent tre connectes au mme concentrateur ou commutateur. Il est ensuite
ncessaire de connecter ces interfaces leurs rseaux en utilisant le mme
concentrateur ou le mme commutateur.

01-30001-0203-20060424
Pour une meilleure performance, Fortinet recommande lutilisation de
commutateurs pour toutes les connexions du cluster.
Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire
des communications rseau puisque de nouvelles connexions physiques sont
cres pour diriger le trafic travers le cluster. Le dmarrage du cluster
occasionne galement une interruption du trafic rseau jusqu ce que tous les
membres du cluster fonctionnent et que le cluster termine la ngociation. La
ngociation du cluster est automatique et ne dure normalement que quelques
secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau
est arrt.
1 Connectez les interfaces internes de chaque membre du cluster un commutateur

ou concentrateur connect votre rseau interne.
2 Connectez les interfaces externes de chaque membre du cluster un
commutateur ou concentrateur connect votre rseau externe.
3 Connectez une des interfaces de heartbeat des membres du cluster en utilisant un
autre concentrateur ou commutateur.
4 Facultativement, connectez les autres interfaces de heartbeat des membres du
cluster en utilisant un autre concentrateur ou commutateur.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond
de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire
nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le
cluster puisse oprer. Vous pouvez galement connecter les interfaces de
heartbeat un rseau. Vous pouvez connecter les interfaces de heartbeat
directement laide du cble crois. Pour davantage dinformations sur les
interfaces de heartbeat, voir Interface de Heartbeat la page 117, ainsi que le
FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilit FortiGate.
5 Facultativement, connectez les autres interfaces de chaque membre du cluster
un concentrateur ou commutateur connect aux rseaux.
Lillustration 56 reprend lexemple dune configuration rseau pour un cluster virtuel
comprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtuel
possde deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le
domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel
appel vdom_1. Le Site 1 est connect au domaine virtuel root et Site 2 est
connect au domaine virtuel vdom_2. Lexemple comprend les connexions
rseaux suivantes :
Les interfaces du port 5 sont connectes ensemble et au rseau Site 1.
Les interfaces du port 6 sont connectes ensemble et au routeur externe.
Les interfaces du port 7 sont connectes ensemble et au rseau Site 2.
Les interfaces du port 8 sont connectes ensemble et au routeur externe.
Les communications heartbeat HA travers le fond de panier du chssis

FortiGate-5000 ne sont pas illustres.

01-30001-0203-20060424
Illustration 56 : Configuration rseau HA
6 Mettez sous tension tous les membres du cluster.

Lors du dmarrage des membres du cluster, ceux-ci ngocient pour slectionner
parmi eux un membre primaire et les membres subordonns. Cette ngociation a
lieu sans intervention de lutilisateur et ne dure que quelques secondes.
Vous pouvez maintenant configurer le cluster virtuel comme sil sagissait dun seul
quipement FortiGate.
Activer la configuration de domaines virtuels pour un cluster HA

Les procdures suivantes dcrivent comment activer la configuration de domaines
virtuels pour un cluster virtuel HA. La procdure dactivation de la configuration de
domaines virtuels est la mme que celle dun quipement FortiGate autonome.
1 Connectez-vous linterface dadministration web en tant quadministrateur admin.

2 Cliquez sur Configuration Globale.
3 Slectionnez Systme > Admin > Settings (Paramtres).
4 Activer Virtual Domain Configuration.
Le cluster vous dconnecte. Vous pouvez maintenant vous reconnectez en tant

quadministrateur admin, ajouter des domaines virtuels et configurer le clustering
virtuel.
Voir Activation du mode multiple VDOM la page 43 pour plus dinformations

sur lactivation de domaines virtuels et les changements de linterface
dadministration web aprs lactivation des domaines virtuels.

01-30001-0203-20060424
Ajouter des domaines virtuels un cluster HA
Ajouter des domaines virtuels un cluster HA se fait de la mme faon que lajout
de domaines virtuels un quipement FortiGate autonome.
1 Connectez-vous en tant quadministrateur admin linterface dadministration web

du cluster.
Si la configuration de domaines virtuels est active, la page Virtual Domain
Configuration souvre.
2 Cliquez sur Crer Nouveau pour ajouter un domaine virtuel.
3 Entrez un nom pour ce nouveau domaine virtuel et cliquez sur OK.
Vous pouvez ajouter autant de domaines virtuels que ncessaire.
Activer le clustering virtuel

Pour activer un clustering virtuel, il faut prcdemment avoir configur le cluster,
activ la configuration de domaines virtuels et ajout des domaines virtuels. Avant
davoir activ un clustering virtuel, un cluster de membres FortiGate avec des
domaines virtuels activs fonctionne de la mme faon quun cluster HA standard.
Un membre FortiGate du cluster opre comme membre primaire pour tous les
domaines virtuels activs. Le cluster opre en mode actif-passif. Ds lors, seul le
membre primaire traite le trafic.
Lactivation du clustering se fait en modifiant la configuration HA de manire

distribuer les domaines virtuels entre les deux clusters virtuels. Ensuite, il faut
ajuster les priorits de chaque membre de chaque cluster virtuel. Un des membres
peut oprer en tant que membre primaire pour une partie des domaines virtuels,
tandis que lautre membre opre en tant que membre primaire pour lautre partie. Il
en rsulte un traitement du trafic distribu entre deux membres du cluster,
semblable une solution en mode actif-actif.
Remarque : Les tapes suivantes ne sont pas requises si vous utilisez le clustering virtuel
uniquement comme systme de rplication. De cette procdure rsulte une distribution du
trafic entre les deux membres du cluster dans le cluster virtuel.
1 Connectez-vous en tant quadministrateur admin linterface dadministration web

du cluster. La page de Configuration des Domaines Virtuels saffiche.
2 Cliquez sur Configuration Globale.
La liste des membres du cluster saffiche reprenant uniquement le Cluster Virtuel 1.
Tous les domaines virtuels ainsi que les deux membres du cluster sont repris dans
le Cluster Virtuel 1.

01-30001-0203-20060424
Illustration 57 : Exemple dune liste des membres dun cluster avec deux domaines
virtuels dans le Cluster Virtuel 1
4 Cliquez sur licne Editer du membre primaire (matre) du Cluster Virtuel 1.

5 Sous le partitionnement VDOM, distribuez les domaines virtuels entre les cluster
virtuel 1 et cluster virtuel 2.
Au dpart, tous les domaines virtuels sont ajouts au cluster virtuel 1. En gnral,
la distribution des domaines virtuels entre les deux membres du cluster virtuel se
fait de manire ce que chacun des membres traite la mme quantit de trafic
rseau. Cela permet dassurer que le trafic est distribu de manire quivalente
entre les membres du cluster. Cependant, vous pouvez distribuez les domaines
virtuels comme vous le dsirez. La distribution peut par ailleurs tre modifie tout
moment.
6 Cliquez sur OK.
Le cluster rengocie. Aprs quelques secondes, la liste des membres du cluster
reprend les deux clusters virtuels. Si vous navez modifi aucun paramtre de
priorit, cest le mme membre qui devient membre primaire (matre) pour les deux
domaines virtuels.
Illustration 58 : Exemple dune liste des membres dun cluster avec domaines virtuels
distribus entre les deux clusters virtuels.
7 Cliquez sur licne Editer du membre primaire du cluster virtuel 1 et cluster virtuel
2.

01-30001-0203-20060424
Les options HA du clustering virtuel sont affiches. Vous pouvez modifier la priorit
du membre primaire dans les deux clusters virtuels.
8 Affectez la priorit 200 pour ce membre du cluster dans le cluster virtuel 1 et la
priorit 50 dans le cluster virtuel 2. Cliquez ensuite sur OK.
Vous pouvez slectionner diffrentes valeurs de priorit. Si aucune autre valeur de
priorit na t modifie, le membre du cluster slectionn devient le membre
primaire dans le cluster virtuel 1 et le membre subordonn dans le cluster virtuel 2.
Illustration 59 : Exemple dune liste des membres dun cluster avec domaines virtuels
distribus entre les deux clusters virtuels et les priorits modifies.
Dautres paramtres HA des clusters virtuels peuvent tre configurs. Voir

Exemple de configuration dun clustering virtuel la page 139 et
Administration de clusters virtuels la page 141 pour plus dinformations sur la
configuration et ladministration de clusters virtuels.
Administration dun cluster

Les configurations de tous les membres FortiGate du cluster sont synchronises
afin de permettre aux membres de fonctionner comme un cluster. Grce la
synchronisation vous administrez le cluster HA au lieu dadministrer les membres
individuellement. Ladministration se fait en se connectant linterface
dadministration web en utilisant nimporte quelle adresse dinterface du cluster
configure pour un accs administratif HTTPS. Une autre faon dadministrer le
cluster est de se connecter en CLI en utilisant nimporte quelle adresse dinterface
du cluster configure pour un accs administratif SSH.
Vous pouvez galement administrer le cluster en configurant une des ses

interfaces pour un accs administratif SNMP. Lutilisation dun superviseur SNMP
vous permet dobtenir des informations sur la configuration du cluster, ainsi que de
recevoir des traps. Pour toute information sur les listes des champs MIB HA, voir
MIB FortiGate la page 156 et Traps FortiGate la page 156.
Pour apporter une modification la configuration du cluster, connectez-vous au

cluster et apportez les changements souhaits la configuration du membre
primaire. Le cluster synchronise automatiquement tous les changements de
configuration et les intgrent aux membres subordonns.

01-30001-0203-20060424
Les seuls changements qui ne sont pas synchroniss sont le nom dhte et la
priorit du HA. Chaque membre du cluster peut avoir un nom dhte qui lui est
propre de manire pouvoir distinguer les membres dans le cluster. Il est aussi
possible de les distinguer partir de leur numro de srie. La priorit peut tre
modifie individuellement pour contrler quel membre du cluster devient le
membre primaire.
Le rle du membre dans le cluster saffiche sur lcran LCD (pour les FortiGate qui
en possdent). La mention primary saffiche sur lcran LCD du membre
primaire. Les membres subordonns affichent sur leur cran LCD la mention
slave <priority_id> o <priority_id> est la place prioritaire du membre
subordonn dans le cluster. Dans lexemple dun cluster compos de trois
membres et en mode actif-actif, les crans afficheront :
primary (a-a)
slave 1 (a-a)
slave 2 (a-a)
Linterface dadministration web permet de contrler les statuts et les journaux de

chaque membre du cluster individuellement. Voir Liste des membres dun
cluster la page 120 et Visualiser et administrer les journaux pour les
membres individuels dun cluster la page 134
Les membres du cluster peuvent tre administrs individuellement laide dune

connexion SSH en CLI au cluster. La commande CLI execute ha manage
permet de vous connecter en CLI chaque membre du cluster. Ladministration
individuelle des membres peut aussi se faire via un cble null-modem connect au
membre primaire. A partir de l, la commande CLI execute ha manage vous
permet de vous connecter en CLI chaque membre du cluster. Voir Administrer
individuellement les membres dun cluster la page 135 pour plus
dinformations. En cas dutilisation dun cble null-modem pour vous connecter
un membre subordonn, seule une connexion en CLI ce membre subordonn est
possible.
Visualiser et administrer les journaux pour les membres individuels dun

cluster
Contrler les membres pour la rplication
Administrer individuellement les membres dun cluster
Visualiser et administrer les journaux pour les membres

individuels dun cluster
1 Connectez-vous au cluster et linterface dadministration web.
2 Slectionnez Journaux/Alertes > Journal.
La liste du Cluster HA reprend le numro de srie du FortiGate dont les journaux
sont affichs.
3 Slectionnez le numro de srie dun des membres du cluster dont vous voulez
voir les journaux.
Vous pouvez voir, chercher et administrer les journaux sauvegards sur la
mmoire, dpendant de la configuration du membre du cluster.

01-30001-0203-20060424
Contrler les membres pour la rplication
Dans le cas dune dfaillance du membre primaire, les membres du cluster
rengocient pour slectionner un nouveau membre primaire. Une panne du
membre primaire enclenche les tapes suivantes :
Si SNMP est activ, le nouveau membre primaire envoie un message trap

HA switch . Ce message signifie que le membre primaire du cluster HA est
en panne et a t remplac par le nouveau membre primaire.
Le cluster fonctionne avec un nombre rduit de membres. Le membre primaire
dfaillant napparat plus sur la Liste des Membres du Cluster.
Le nom dhte et la priorit du membre primaire changent.
Le nouveau membre primaire enregistre les messages des journaux
dvnements suivants :
HA slave became master
Detected HA member dead
Dans le cas o lun des membres subordonns tombe en panne, le cluster

continue de fonctionner normalement. Une panne dun membre subordonn
enclenche les tapes suivantes :
Le cluster fonctionne avec un nombre rduit de membres. Le membre

dfaillant napparat plus sur la Liste des Membres du Cluster.
Le membre primaire enregistre le message du journal dvnement suivant :
Detected HA member dead
Administrer individuellement les membres dun cluster

Cette procdure dcrit comment se connecter en CLI au membre primaire et de l,
se connecter en CLI aux membres subordonns. La connexion un membre
subordonn se fait partir du compte administrateur ha_admin. Ce compte intgr
vous accorde les droits en lecture et en criture sur les membres subordonns.
1 Via SSH, connectez-vous au cluster et linterface de ligne de commande.

Connectez-vous nimporte quelle interface du cluster configure pour un accs
administratif SSH.
Vous pouvez galement utiliser un cble null-modem connect au port console du
membre primaire. Pour ce faire, vous devez dj avoir slectionn un membre
primaire.
2 Entrez la commande suivante suivie dun espace et dun point dinterrogation ( ?) :
execute ha manage
Le CLI affiche alors une liste de tous les membres subordonns du cluster. Tous
les membres sont numrots en commenant par 1. Les informations reprises pour
chaque membre comprennent le numro de srie et le nom dhte du membre.
3 Ajoutez la fin de la commande CLI le numro du membre subordonn pour vous
y connecter. Par exemple, pour vous connecter au membre subordonn 1, entrez
la commande suivante : execute ha manage 1

01-30001-0203-20060424
Appuyez sur la touche Enter pour vous connecter en CLI au membre subordonn
choisi. Lcran du CLI affiche le nom dhte du membre. Les commandes CLI vous
permettent dadministrer ce membre subordonn.
4 Pour retourner au CLI du membre primaire, entrez : exit
Vous pouvez utiliser la commande execute ha manage pour vous connecter en
CLI nimporte quel membre subordonn du cluster.
Dconnexion dun membre du cluster

Les procdures suivantes dcrivent comment dconnecter un membre dun cluster
oprationnel sans interruption des oprations. Vous pouvez dconnecter un
quipement FortiGate dans le cas o vous en auriez besoin pour un autre usage,
tel que par exemple un pare-feu autonome.
Les procdures suivantes sappliquent aussi bien pour les clusters standard que
pour les clusters virtuels. Pour ces derniers, vous devez nanmoins tre connect
en tant quadministrateur admin et avoir slectionn Configuration Globale.
Lors de la dconnexion dun membre, vous devez affecter une des interfaces de
ce membre une adresse IP et un masque de rseau. Le membre primaire peut lui
aussi tre dconnect. Dans ce cas, le cluster ragit de la mme manire que si le
membre primaire tait tomb en panne. Il rengocie et slectionne un nouveau
membre primaire.
Une fois le membre dconnect, celui-ci passe du mode HA stand alone

(autonome). De plus, toutes les adresses IP des interfaces sont remises 0.0.0.0
lexception de linterface que vous avez configure.
Les autres paramtres de la configuration restent inchangs, y compris la

configuration HA.
Dconnecter un membre de son cluster

1 Slectionnez Systme > Configuration > HA pour visualiser la liste des membres
du cluster.
2 Cliquez sur licne Dconnecter du cluster ct du membre du cluster
dconnecter.
Illustration 60 : Dconnecter un membre de son cluster
Numro de Srie Le numro de srie du membre du cluster dconnecter.

Interface Slectionnez linterface que vous voulez configurer. Vous
devez en spcifier ladresse IP et le masque de rseau. Une

01-30001-0203-20060424
fois le membre dconnect, toutes les options daccs
administratifs sont actives sur cette interface.
IP/Masque de rseau Spcifiez ladresse IP et le masque de rseau de linterface.
Vous pouvez utiliser cette adresse IP pour vous connecter
cette interface et configurer le membre dconnect.
3 Cliquez sur OK.
Le membre FortiGate est dconnect du cluster et celui-ci peut rengocier et
slectionner un nouveau membre primaire. Linterface slectionne est configure
avec ladresse IP et le masque de rseau spcifis.
R-adjoindre un membre FortiGate dconnect un cluster

Il est possible de reconnecter un membre FortiGate prcdemment dconnect au
cluster en dfinissant le mode HA de ce membre pour quil corresponde au mode
HA du cluster. En gnral le membre dconnect est r-adjoint en tant que
membre subordonn et le cluster synchronise automatiquement sa configuration.
Remarque : Il nest pas ncessaire de modifier le mot de passe HA du membre dconnect

moins que la HA ait t modifi aprs la dconnexion. Dconnecter un membre dun
cluster naffecte pas le mot de passe HA.
Attention : Assurez-vous que la priorit du membre dconnect est bien infrieure la

priorit du membre primaire. Si tel nest pas le cas, lors de la reconnexion du membre au
cluster, celui-ci va rengocier et le membre r-adjoint deviendra le membre primaire. Ceci
entrane une synchronisation de la configuration de ce membre tous les autres membres
du cluster et pourrait causer une perturbation au sein du cluster.
La procdure suivante part des principes suivants :

Le botier FortiGate dconnect du cluster est physiquement et correctement
connect votre rseau et au hardware du cluster.
Il nest pas en train doprer en mode HA.
Il ne fait pas partie du cluster.
Avant de commencer cette procdure, il est conseill de prendre connaissance de

la priorit du membre primaire.
1 Connectez-vous au membre FortiGate dconnect. Si les domaines virtuels sont

activs, connectez-vous en tant quadministrateur admin et cliquez sur
Configuration Globale.
3 Modifiez le mode pour quil corresponde celui du cluster.
4 Si ncessaire, modifiez le mot de passe HA pour quil corresponde celui du
cluster.
5 Affectez une priorit plus basse que la priorit du membre primaire.
6 Cliquez sur OK.
Le membre FortiGate dconnect r-adjoint le cluster.

01-30001-0203-20060424
Adresses MAC virtuelles dun cluster
Le FGCP affecte une adresse MAC virtuelle diffrente toutes les interfaces des
membres primaires. Les sous-interfaces VLAN se voient affectes de la mme
adresse MAC virtuelle que linterface laquelle elles ont t ajoutes.
Le membre primaire envoie des paquets ARP libres pour mettre jour les
commutateurs connects aux interfaces du cluster avec ladresse MAC virtuelle.
Les commutateurs mettent jour leurs tables de relayage MAC avec cette adresse
MAC. Les commutateurs dirigent alors tout le trafic rseau vers le membre
primaire. En fonction de la configuration du cluster, le membre primaire soit traite le
trafic rseau lui-mme, soit quilibre la charge du trafic rseau entre tous les
membres du cluster.
Modification de lID de groupe HA

Dans la plupart des cas, le cluster opre avec lID de groupe zro. Cependant,
dans le cas o il y aurait plus dun cluster FortiGate sur le mme rseau, chaque
cluster devrait avoir un ID de groupe diffrent. Si deux clusters dun mme rseau
ont un ID de groupe identique, des adresses MAC en double pourraient causer des
conflits dadressage sur le rseau. Vous pouvez modifier lID groupe partir du CLI
FortiGate. Pour plus dinformations ce sujet, voir FortiGate High Availability User
Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate.
Mthode de calcul dune adresse MAC virtuelle

Une adresse MAC virtuelle est dtermine partir de la formule suivante :
00-09-0f-06-<group-id>-<idx>
o
<group-id> est lID groupe HA du cluster
<idx> est une combinaison de lID du cluster virtuel auquel a t ajoute
linterface et lindex de cette interface.
Lavant-dernire partie dune adresse MAC virtuelle dpend de lID groupe HA et

est identique pour chaque interface du cluster. La dernire partie dune adresse
MAC virtuelle est diffrente pour chaque interface du cluster et est dtermine par
lindex de linterface et par le cluster virtuel auquel a t ajout le domaine virtuel
contenant linterface. Chaque interface des membres FortiGate a un index
dinterface diffrent.
Exemple dadresses MAC virtuelles

Un FortiGate-500, oprant en mode HA, dont lID groupe HA na pas t modifi
(par dfaut = 0) et dont les domaines virtuels nont pas t activs, aurait les
adresses MAC virtuelles suivantes :
MAC virtuelle de linterface dmz : 00-09-0f-06-00-00

MAC virtuelle de linterface externe: 00-09-0f-06-00-01
MAC virtuelle de linterface ha: 00-09-0f-06-00-02
MAC virtuelle de linterface interne: 00-09-0f-06-00-03
MAC virtuelle de linterface port1: 00-09-0f-06-00-04

01-30001-0203-20060424
MAC virtuelle de linterface port7: 00-09-0f-06-00-0a
MAC virtuelle de linterface port8: 00-09-0f-06-00-0b
Un FortiGate-5001, oprant en mode HA, avec domaines virtuels activs, dont lID
groupe HA a t dfini sur 23, les ports 5 et 6 tant dans le vdom root (qui se
trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se
trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes :

Exemple de configuration dun clustering virtuel

Il nest pas ncessaire de configurer la haute disponibilit sparment pour chaque
domaine virtuel pour simplifier la configuration dun clustering virtuel. Au lieu de
cela, il suffit de crer une configuration globale HA similaire la configuration
standard HA sans domaines virtuels.
La configuration HA dun clustering virtuel comprend la configuration de

partitionnement des domaines virtuels entre les deux clusters virtuels (appels
Cluster Virtuel 1 et Cluster Virtuel 2). La configuration de partitionnement de
domaines virtuels se fait en distribuant les domaines virtuels entre les deux
clusters virtuels. La priorit de chaque membre du cluster doit tre dfinie pour
chaque cluster virtuel. Par dfaut les deux membres ont la mme priorit dans
chacun des clusters virtuels et cest le FGCP qui slectionne automatiquement le
membre primaire pour chaque cluster virtuel.
Une fois le cluster oprationnel, vous pouvez diviser les domaines virtuels entre les
cluster virtuel 1 et 2 pour quils distribuent le trafic entre eux. Affectez ensuite la
priorit de manire ce quun membre du cluster devienne le membre primaire du
cluster virtuel 1 et que lautre membre devienne le membre primaire du cluster
virtuel 2. Etant donn que cest le membre primaire qui traite tout le trafic pour un
domaine virtuel, il en rsulte que les deux membres FortiGate du cluster traitent en
dfinitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour
les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2
traite tout le trafic pour les domaines virtuels du cluster virtuel 2.
A tout moment il est possible de dplacer les domaines virtuels du cluster virtuel 1
au cluster virtuel 2, et ce, pour ajuster lquilibrage de charge entre les membres
du cluster.
Cette section dcrit une configuration simple de domaine virtuel et son

implmentation dans un cluster virtuel, de manire ce que le trafic reu soit trait

01-30001-0203-20060424
par les deux membres du cluster. La configuration du domaine virtuel est dcrite
dans le tableau 7.
Tableau 7 : Exemple dune configuration dun domaine virtuel

Domaine Virtuel Description
root Comprend les interfaces port5 et port6. port5 est connect

un rseau interne appel Site 1. port6 est connect un
routeur externe et Internet. Tout le trafic du Site 1 est reu
par le port5 et tout le trafic autoris est envoy vers Internet
travers le port6.
vdom_1 Comprend les interfaces port 7 et port8. port7 est connect

un rseau interne appel Site 2. port8 est connect un
routeur externe et Internet. Tout le trafic du Site 2 est reu
par le port7 et tout le trafic autoris est envoy vers Internet
travers le port8.
Ce cluster virtuel comprend deux FortiGate-5001 avec les noms dhte

FortiGate_A et FortiGate_B. Le clustering virtuel est configur de manire ce que
tout le trafic reu par le domaine virtuel root est trait par le botier FortiGate_A et
tout le trafic reu par le domaine virtuel vdom_1 est trait par le botier
FortiGate_B. La configuration du clustering est illustre dans les tableaux 8 et 9. Le
cluster virtuel et la circulation du trafic travers le cluster est reprsent dans
lillustration 61.
Tableau 8 : Configuration du Cluster Virtuel 1

Domaines Virtuels Nom dhte
FortiGate_A FortiGate_B
root Priorit Priorit
200 100
Rle Rle
Primaire Subordonn
Tableau 9 : Configuration du Cluster Virtuel 2

Domaines Virtuels Nom dhte
FortiGate_A FortiGate_B
vdom_1 Priorit Priorit
100 200
Rle Rle
Subordonn Primaire

01-30001-0203-20060424
Illustration 61 : Partie dune configuration dun clustering virtuel avec deux membres
FortiGate-5001
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres
du cluster sont connectes un commutateur qui est aussi connect au rseau du
Site 1. Les interfaces port6 des deux membres du cluster sont connectes un
commutateur qui est aussi connect au routeur externe et Internet.
Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres
du cluster sont connectes un commutateur qui est aussi connect au rseau du
Site 2. Les interfaces port8 des deux membres du cluster sont connectes un
commutateur qui est aussi connect au routeur externe et Internet.
Les clusters virtuels ont t configurs de manire ce que FortiGate_A soit le

membre primaire du domaine virtuel root. Ds lors, tout le trafic destin au
domaine virtuel root est reu et trait par le botier FortiGate_A.
FortiGate_B est le membre primaire de vdom_1. Ds lors, tout le trafic destin

vdom_1 est reu et trait par le botier FortiGate_B.
Un des avantages dune telle configuration est lquilibrage de charge entre les
membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de
vdom_1. De cette manire la charge de tout le trafic est partage entre les
membres du cluster.
Dans le cas o FortiGate_A tombe en panne, FortiGate_B devient le membre

primaire des deux clusters virtuels.
Administration de clusters virtuels

Les options de configuration et de maintenance disponibles lors dune connexion
linterface graphique ou CLI dun cluster virtuel dpendent du domaine virtuel
auquel vous vous connectez et du compte administrateur utilis.
Si vous vous connectez un cluster en tant quadministrateur dun domaine virtuel,

vous vous connectez directement ce domaine virtuel. Le clustering virtuel HA
tant une configuration globale, les administrateurs des domaines virtuels nont
pas accs aux options de configuration HA. Cependant, ils peuvent voir le nom
dhte du membre du cluster auquel ils se connectent. Il sagit du nom dhte du
membre primaire du domaine virtuel. Ces administrateurs peuvent galement
slectionner de visualiser les messages journaliss pour chaque membre du
cluster dans Journaux/Alertes > Journal.

01-30001-0203-20060424
Illustration 62 : Visualisation de messages journaliss dun domaine virtuel dans un
cluster virtuel
Si vous vous connectez un cluster en tant quadministrateur admin, vous vous

connectez la page de linterface graphique Configuration des Domaines Virtuels
ou au CLI gnral. Vous vous connectez galement une interface et au domaine
virtuel auquel cette interface a t ajoute. Le domaine virtuel auquel vous vous
connectez ne diffre pas beaucoup quant ses oprations de configuration et de
maintenance. Il existe cependant certaines exceptions. Vous vous connectez au
FortiGate qui opre en tant que membre primaire pour le domaine virtuel. Ds lors
le nom dhte affich est le nom dhte du membre primaire.
La liste des membres du cluster diffre selon le membre du cluster. Dans lexemple
dcrit la page 139 Exemple de configuration dun clustering virtuel , si vous
connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A saffiche
dans la barre de titres de linterface graphique). Slectionnez Configuration
Globale et ensuite Systme > Configuration > HA. A partir de chaque liste de
membres, vous pouvez slectionner Editer pour le botier FortiGate_A pour
modifier la configuration HA du cluster virtuel et dfinir les priorits du FortiGate_A
dans le cluster virtuel 1 et dans le cluster virtuel 2. En slectionnant Editer pour le
botier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom dhte du
FortiGate_B, ainsi que la priorit de FortiGate_B dans le cluster virtuel 1. En
slectionnant Editer pour le botier FortiGate_B dans le cluster virtuel 2, vous
pouvez modifier le nom dhte du FortiGate_B, ainsi que la priorit de FortiGate_B
dans le cluster virtuel 2.
Illustration 63 : Exemple dun cluster virtuel affichant la liste des membres du cluster
FortiGate_A
Connectez-vous au port7 pour vous connecter au FortiGate_B (FortiGate_B

saffiche dans la barre de titre de linterface graphique).
Slectionnez Configuration Globale et ensuite Systme > Configuration > HA. A
partir de chaque liste de membres, vous pouvez slectionner Editer pour le botier
FortiGate_B pour modifier la configuration HA du cluster virtuel et dfinir les

01-30001-0203-20060424
priorits du FortiGate_B dans le cluster virtuel 1 et dans le cluster virtuel 2. En
slectionnant Editer pour le botier FortiGate_A dans le cluster virtuel 1, vous
pouvez modifier le nom dhte du FortiGate_A, ainsi que la priorit de FortiGate_A
dans le cluster virtuel 1. En slectionnant Editer pour le botier FortiGate_A dans le
cluster virtuel 2, vous pouvez modifier le nom dhte du FortiGate_A, ainsi que la
priorit de FortiGate_A dans le cluster virtuel 2.
Illustration 64 : Exemple dun cluster virtuel affichant la liste des membres du cluster
FortiGate_B
Exemple de configuration en maillage intgral HA

Lillustration 65 reprsente une configuration en maillage intgral HA avec un
cluster de deux membres FortiGate-5001. Cette section dcrit les paramtres de
configuration FortiGate et les composants requis pour ce type de configuration.
Cette section parcourt galement des exemples de dmarches pour linstallation

dune configuration en maillage intgral HA. Les procdures reprises dans cette
section reprsentent une squences de dmarches possible parmi plusieurs pour
configurer une configuration en maillage intgral HA. Une fois que vous serez plus
expriment avec FortiOS, HA et le maillage intgral HA, rien ne vous empche
dutiliser une squence de dmarches diffrente.

Les procdures dcrivent comment configurer un cluster oprant en mode

NAT/Route, puisquil sagit du mode de fonctionnement par dfaut. Cependant les
dmarches sont les mmes pour un cluster oprant en mode Transparent. Vous
pouvez passer en mode Transparent, soit avec le commencement des procdures,
soit aprs la configuration HA, alors que le cluster dj connect est oprationnel.
Configuration en maillage intgral HA FortiGate-5001

Configuration de commutateurs en maillage intgral
Connexions rseau en maillage intgral

01-30001-0203-20060424
Circulation des paquets du rseau interne travers le cluster en maillage
intgral et vers lInternet
Configurer les FortiGate-5001 pour oprer en HA
Ajouter des interfaces redondantes au cluster
Connecter le cluster votre rseau
Illustration 65 : Exemple de configuration en maillage intgral HA
Configuration en maillage intgral HA FortiGate-5001

Les deux membres FortiGate-5001 (1 et 2) peuvent oprer en mode NAT/Route ou
Transparent. En plus des paramtres HA standard, la configuration des FortiGate-
5001 comprend les paramtres suivants :
Les interfaces port9 et port10 sont configures comme interfaces de heartbeat

HA (dans la configuration par dfaut).
Les interfaces port1 et port2 sont ajoutes une interface redondante. Port1
est linterface physique active de cette interface redondante.
Les interfaces port3 et port4 sont ajoutes une interface redondante. Port3
est linterface physique active de cette interface redondante.
Une configuration en maillage intgral HA comprend galement des interfaces de

heartbeat HA. Lorsque les FortiGate-5001 sont installs dans un chssis

01-30001-0203-20060424
FortiGate-5020, les interfaces redondantes port9 et port10 de heartbeat HA sont
connectes via le fond de panier du chssis. Par contre, dans le cas o les
FortiGate-5001 sont installs dans un chssis FortiGate-5050 ou FortiGate-5140, il
est ncessaire dinstaller des cartes de commutation FortiSwitch redondantes (par
exemple deux FortiGate-5003).
Configuration de commutateurs en maillage intgral

Repris dans lexemple, deux commutateurs (ou concentrateurs optiques
quivalents), appels commutateur 1 et commutateur 2, et connects au rseau
interne. Un lien ISL (interswitch-link) relie les commutateurs 1 et 2.
Egalement, deux autres commutateurs (ou concentrateurs optiques quivalents),

appels commutateur 3 et commutateur 4, et connects au rseau externe. Un lien
ISL (interswitch-link) relie les commutateurs 3 et 4.
Connexions rseau en maillage intgral

Crez les connexions rseau physiques suivantes pour le botier FortiGate 1 :
Port1 au commutateur 1 (actif)
Port2 au commutateur 2 (inactif)
Crez les connexions rseau physiques suivantes pour le botier FortiGate 2 :

Circulation des paquets du rseau interne travers le cluster en

maillage intgral et vers lInternet
Dans le cas o le cluster opre en mode actif-passif et que le botier FortiGate 2
est le membre primaire, tous les paquets prennent le chemin suivant, du rseau
interne vers Internet :
1 Du rseau interne au commutateur 2. (Le commutateur 2 est la connexion active

au FortiGate 2, le membre primaire dans notre exemple. Cest donc le membre
primaire qui reoit tous les paquets).
2 Du commutateur 2 linterface port1 du FortiGate 2. (Connexion active entre le
commutateur 2 et le botier FortiGate 2. Port1 est le membre actif de linterface
redondante).
3 Du port1 du FortiGate 2 au port3 du FortiGate 2 (Connexion active entre le
commutateur 4 et le botier FortiGate 2. Port1 est le membre actif de linterface
redondante).
4 Du commutateur 4 au routeur externe et vers Internet.

01-30001-0203-20060424
Configurer les FortiGate-5001 pour oprer en HA
Tous les membres FortiGate-5001 du cluster doivent tre configurs identiquement
quant leurs paramtres HA. La procdure suivante parcourt la configuration des
membres FortiGate-5001 pour oprer en HA. Voir Options HA la page 114
pour plus dinformations sur les options HA reprises dans cette procdure.
1 Installez les FortiGate-5001, ainsi que les cartes de commutations FortiSwitch

dans le chssis et mettez ensuite le chssis sous tension.
2 Connectez-vous linterface dadministration web dun des FortiGate-5001.
3 Facultativement, vous pouvez donner un nom dhte au FortiGate. Voir
Modification du nom dhte du FortiGate la page 52 . Les noms dhte
servent identifier les membres du cluster individuellement.
5 Dfinissez le mode Actif-Passif ou Actif-Actif.
6 Entrez un mot de passe pour le cluster. Celui-ci doit tre identique pour tous les
membres FortiGate du cluster.
7 Cliquez sur OK.
Remarque : Vous pouvez maintenir la configuration par dfaut des options HA restantes et
les modifier plus tard, une fois le cluster oprationnel.
plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC
dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou
simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire arp d.
8 Rptez cette procdure pour lautre membre FortiGate-5001 du cluster.
Les membres FortiGate-5001 ngocient pour former un cluster.
Ajouter des interfaces redondantes au cluster

Une fois le cluster oprationnel, vous pouvez lui ajouter des interfaces redondantes
avant dintgrer dadditionnelles modifications de configuration. Vous ne pouvez
pas ajouter des interfaces physiques une interface redondante si les interfaces
physiques ont t configures avec une adresse IP (ou dautres options de
configuration dinterface) ou encore si celles-ci sont comprises dans dautres
paramtres de configuration.
Les procdures suivantes dcrivent comment ajouter port1 et port2 une interface
redondante et port3 et port4 une autre. A partir de la configuration par dfaut, il
est ncessaire de supprimer les adresses IP de port1 et port2, ainsi que port2 de la
route par dfaut. La procdure suivante ne rentre pas dans les dtails et nexplique
pas comment maintenir une connexion linterface graphique pendant la
dmarche ci-dessous. Il y a plusieurs faons daccomplir les tapes de la
procdure et cela dpend de votre configuration. Par exemple, vous pouvez utiliser
une connexion console linterface de ligne de commande pour configurer une

01-30001-0203-20060424
interface diffrente (par exemple port5) avec une adresse IP et un accs
administratif.
1 Connectez-vous linterface dadministration web du cluster.

3 Editer le port1 et affectez lui lIP/Masque de rseau 0.0.0.0/0.0.0.0
4 Editer le port2 et affectez lui lIP/Masque de rseau 0.0.0.0/0.0.0.0
5 Slectionnez Routeur > Static > Route Statique.
6 Supprimez la route par dfaut, ainsi que toutes les routes ventuellement ajoutes
aux port1, port2, port3 et port4. Vous pouvez galement diter des routes statiques
pour configurer le dispositif sur un nom dinterface diffrent.
8 Cliquez sur Crer Nouveau et ajoutez la premire interface redondante.
Nom R_Int_1_2
Type Interface Redondante
Membres de linterface physique Ajouter port1 et port2 la liste des Interfaces
Slectionnes.
Mode dAdressage Slectionnez le mode dadressage requis pour
votre rseau et ajoutez un IP/Masque de rseau
si ncessaire.
9 Cliquez sur Crer Nouveau et ajoutez la deuxime interface redondante.
Nom R_Int_3_4
Type Interface Redondante
Membres de linterface physique Ajouter port3 et port4 la liste des Interfaces
Slectionnes.
Mode dAdressage Slectionnez le mode dadressage requis pour
votre rseau et ajoutez un IP/Masque de rseau
si ncessaire.
Connecter le cluster votre rseau

La procdure suivante permet de connecter le cluster de deux membres FortiGate-
5001 une configuration en maillage intgral HA. Elle dcrit les connexions des
interfaces des FortiGate 1 et 2 tels que reprsentes dans lillustration 65 la page
144.
1 Etablissez les connexions rseau physiques suivantes pour le botier FortiGate 1 :

Connectez le port1 du FortiGate-5001 au commutateur 1.
2 Etablissez les connexions rseau physiques suivantes pour le botier FortiGate 2 :

01-30001-0203-20060424
3 Connectez les commutateurs 1 et 2 au rseau interne.
4 Connectez les commutateurs 3 et 4 au routeur externe.
5 Activez la communication ESL entre les commutateurs 1 et 2 et entre les
commutateurs 3 et 4.
La configuration en maillage intgral HA de base est prsent termine. Vous
pouvez configurer le cluster de la mme manire quun quipement FortiGate
autonome. Vous pouvez mettre le cluster en service et modifier les paramtres HA
de la mme manire quun cluster HA standard.
Maillage intgral HA pour clustering virtuel

Les FortiGate-800 et plus supportent la configuration en maillage intgral HA pour
les clusters FortiGate oprant en tant que cluster virtuel. La configuration en
maillage intgral HA dun clustering virtuel consiste en une expansion du maillage
intgral HA chaque domaine virtuel du cluster.
Par exemple, un cluster de deux FortiGate-5001 peut oprer comme un cluster HA

dont les domaines virtuels et le clustering virtuel sont activs. Le cluster peut tre
configur avec deux domaines virtuels : le domaine virtuel root et vous pouvez
ajouter un domaine virtuel appel vdom_1.
Le domaine virtuel root peut comprendre les interfaces suivantes :

Interface redondante R_Int_1_2 comprenant les interfaces physiques port1 et
port2. R_Int_1_2 peut tre connecte des commutateurs redondants eux-
mmes connects un rseau interne.
mmes connects Internet.
Le domaine virtuel vdom_1 peut comprendre les interfaces suivantes :

mmes connects un rseau interne.
mmes connects Internet.
Les domaines virtuels supportent des configurations mixtes maillage intgral et HA
classique. Par exemple, vous pouvez configurer en maillage intgral HA le
domaine virtuel root et procder une configuration HA classique pour le domaine
virtuel vdom_1.
Remarque : Les interfaces physiques ajoutes une interface redondante doivent tre
ajoutes au mme domaine virtuel que linterface redondante avant mme dtre ajoutes
linterface redondante.

01-30001-0203-20060424
HA et interfaces redondantes
Sur les modles FortiGate-800 et plus, vous pouvez utiliser des interfaces
redondantes pour combiner deux ou plusieurs interfaces en une seule interface
redondante. Pour plus dinformations sur lajout dinterfaces redondantes, voir
Ladresse MAC de linterface redondante est celle de la premire interface

rpertorie dans la liste des interfaces ajoutes la configuration de linterface
redondante. La liste de ces interfaces apparat dans lordre alphabtique. Ds lors,
dans lexemple o linterface redondante comprend les port1 et port2, linterface
redondante apparat seule sur le rseau avec ladresse MAC du port1.
Un cluster HA avec une interface redondante peut par exemple comprendre deux
botiers FortiGate-800 oprant en mode HA et installs entre un serveur rseau et
Internet.
La connexion entre le cluster et le serveur rseau consiste en une connexion de

linterface redondante vers port1 et port2 des botiers FortiGate-800 dans le
cluster. Linterface redondante est configure comme une interface HA contrle.
Le commutateur est galement connect au serveur rseau.
Le cluster est connect Internet via une connexion gigabyte un commutateur.

Le commutateur se connecte aux ports4 des deux membres FortiGate-800 dans le
cluster.
Illustration 66 : Exemple dun cluster avec une interface redondante
Surveillance de linterface HA, rplication de lien et interfaces

redondantes
La surveillance de linterface HA contrle linterface redondante comme une
interface unique et ne contrle donc pas les interfaces physiques individuelles
dans linterface redondante. Cette surveillance enregistre une dfaillance de
linterface redondante uniquement si toutes les interfaces physiques de cette
interface redondante sont en panne. Si seules certaines de ces interfaces
physiques sont en panne ou dconnectes, la haute disponibilit considre
linterface redondante comme oprant normalement.

01-30001-0203-20060424
Adresses MAC HA et interfaces redondantes
Dans le cas dun botier FortiGate autonome, une interface redondante possde
ladresse MAC de la premire interface physique dans la configuration de
linterface redondante. Une interface redondante comprenant port1 et port2 aurait
ladresse MAC de port1.
Dans un cluster HA, la haute disponibilit modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface redondante dans un cluster
obtient ladresse MAC virtuelle quaurait d obtenir la premire interface physique
qui apparat dans la configuration de linterface redondante.
Connexion de multiples interfaces redondantes un

commutateur en mode HA actif-passif
LHA affecte les mmes adresses MAC virtuelles aux interfaces du membre
subordonn quaux interfaces correspondantes du membre primaire. Prenons
lexemple dun cluster compos de deux FortiGate oprant en mode actif-passif
avec une interface redondante comprenant des port1 et port2. Vous pouvez
connecter de multiples interfaces redondantes au mme commutateur si vous le
configurez de manire ce quil dfinisse de multiples interfaces redondantes
spares et mettent les interfaces redondantes de chaque membre du cluster dans
des interfaces redondantes spares. Avec une telle configuration, chaque
membre du cluster forme une interface redondante spare avec le commutateur.
Cependant, si le commutateur est configur avec une configuration dinterface

redondante unique 4-ports (parce que les mmes adresses MAC sont utilises par
les deux membres du cluster), le commutateur ajoute les quatre interfaces (port1 et
port2 du membre primaire et port1 et port2 du membre subordonn) la mme
interface redondante.
Pour viter des rsultats imprvisibles, lors de la connexion du commutateur des

interfaces redondantes dans un cluster actif-passif, il est conseill de configurer
des interfaces redondantes spares sur le commutateur, une pour chaque
membre du cluster.
Connexion de multiples interfaces redondantes un

commutateur en mode HA actif-actif
Dans un cluster actif-actif, tous les membres du cluster reoivent et envoient des
paquets. Pour crer un cluster avec interfaces redondantes en mode actif-actif,
avec de multiples interfaces redondantes connectes au mme commutateur, vous
devez sparer les interfaces redondantes de chaque membre du cluster en
interfaces redondantes diffrentes sur le commutateur connect.
HA et interfaces agrges 802.3ad

Sur les modles FortiGate-800 et plus, vous pouvez utiliser une agrgation
802.3ad pour combiner deux ou plusieurs interfaces en une interface agrge
unique. A propos des agrgations 802.3ad, voir Cration dune interface agrge
802.3ad la page 66.
Une interface agrge acquiert son adresse MAC de la premire interface de la

liste des interfaces ajoutes lagrgation. Les interfaces sont rpertories dans la
configuration agrge par ordre alphabtique. Ainsi, par exemple, si une

01-30001-0203-20060424
agrgation comprend les port1 et port2, linterface agrge apparat sur le rseau
comme une interface unique avec ladresse MAC du port1.
Un cluster HA avec une interface agrge peut comprendre deux FortiGate-800

oprant en mode HA. Ces deux membres FortiGate-800 sont connects Internet
via une connexion gigabyte un commutateur. Le commutateur se connecte au
port4 des deux membres FortiGate-800 du cluster. Les domaines virtuels ne sont
pas configurs.
Un serveur rseau est connect un commutateur via deux connexions 100

Mbit/s. Le commutateur utilise des connexions dagrgation de liens (2 x
100Mbit/s) pour se connecter aux port1 et port2 des membres FortiGate-800 du
cluster. Linterface agrge est configure comme une interface HA sous contrle.
Illustration 67 : Exemple dun cluster avec interfaces agrges
Surveillance dinterface HA, rplication de lien et agrgation

802.3ad
La surveillance de linterface HA contrle linterface agrge comme une interface
unique et ne contrle pas les interfaces physiques individuelles dans lagrgation.
Cette surveillance enregistre une dfaillance de linterface agrge uniquement si
toutes les interfaces physiques de cette interface agrge sont en panne. Si seules
certaines de ces interfaces physiques sont en panne ou dconnectes, la haute
disponibilit considre linterface agrge comme oprant normalement.
Adresses MAC HA et agrgation 802.3ad

Si une configuration agrge lien utilise le Link Aggregate Control Protocol (LACP),
soit passif ou actif, ce protocole est ngoci par del toutes les interfaces de toute
agrgation. Dans le cas dun botier FortiGate autonome, limplmentation du
LACP FortiGate utilise ladresse MAC de la premire interface physique dans la
configuration de lagrgation pour identifier uniquement cette agrgation. Une
interface agrge comprenant port1 et port2 aurait ladresse MAC de port1.
Dans un cluster HA, la haute disponibilit modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface agrge dans un cluster
obtient ladresse MAC virtuelle quaurait d obtenir la premire interface de
lagrgation.

01-30001-0203-20060424
Mode HA actif-passif et LACP
La haute disponibilit affecte les mmes adresses MAC virtuelles aux interfaces du
membre subordonn que celles affectes aux interfaces correspondantes du
membre primaire. Prenons lexemple dun cluster de deux FortiGate oprant en
mode actif-passif avec une interface agrge comportant les port1 et port2. Vous
pouvez connecter de multiples interfaces agrges au mme commutateur si vous
le configurez de manire ce quil dfinisse des agrgations spares. Le
commutateur place ensuite les interfaces de chaque membre du cluster dans des
agrgations spares. Avec une telle configuration, chaque membre du cluster
forme une agrgation spare avec le commutateur. Cependant si le commutateur
est configur avec un agrgation unique de quatre ports et puisque les mmes
adresses MAC sont utilises par les deux membres du cluster, le commutateur
ajoute les quatre interfaces (port1 et port2 du membre primaire et port1 et port2 du
membre subordonn) la mme agrgation.
Cela engendre des problmes puisque le commutateur distribue le trafic travers

les quatre interfaces de lagrgation. Ainsi, le trafic pourrait tre reu par une
interface du membre primaire et renvoy par une interface connecte au membre
subordonn.
Pour empcher ce problme, lors de la connexion du commutateur aux interfaces

agrges dun cluster en mode actif-passif, vous devriez configurer des
agrgations spares sur le commutateur ; un pour chaque membre du cluster.
Si vous devez malgr tout ajouter les deux membres FortiGate la mme
agrgation, vous pouvez empcher le membre subordonn denvoyer ou
daccepter des paquets LACP en dfinissant le mot-cl CLI config system
interface lacp-ha-slave sur disable. De cette manire, le membre
subordonn ne participe pas lagrgation. En cas de rplication, lorsque le
membre subordonn devient le nouveau membre primaire, ce dernier commence
envoyer et recevoir des paquets LACP et rejoint lagrgation. La commande lacp-
ha-slave est active par dfaut. Voir le FortiGate CLI Reference pour plus
dinformations sur le mot-cl lacp-ha-slave.
SNMP
Vous pouvez configurer lagent SNMP FortiGate pour transmettre des rapports sur
les informations du systme et envoyer des traps (alarmes et messages sur les
vnements) aux superviseurs SNMP. A laide de lun de ces superviseurs, vous
pouvez accder aux traps et donnes SNMP partir de nimporte quelle interface
FortiGate ou sous-interface VLAN configure pour un accs administratif SNMP.
Limplmentation FortiGate SNMP est autorise en lecture uniquement. Les

superviseurs compatibles SNMP v1 et v2c ne possdent que les droits en lecture
des informations sur le systme FortiGate et reoivent des traps FortiGate. Pour
contrler les informations sur le systme FortiGate et recevoir les traps FortiGate,
vous devez compiler les MIB prives Fortinet ainsi que les MIB standard
supportes par votre superviseur SNMP.
Le support des RFC intgre le support de la majorit des informations de la RFC

2665 (MIB type Ethernet) ainsi que de celle de la RFC 1213 (MIB II) (Pour plus
dinformations, voir MIB FortiGate la page 156).

01-30001-0203-20060424
Configuration SNMP
Pour configurer lagent SNMP, slectionnez Systme > Configuration > SNMP
v1/v2c.
Illustration 68 : Configuration SNMP
Activer SNMP Active lagent SNMP FortiGate.

Description Entrez une information descriptive propos du
FortiGate. Cette information ne doit pas dpasser 35
caractres.
Localisation Entrez la localisation physique du botier FortiGate.
Cette information ne doit pas dpasser 35 caractres.
Contact Entrez les informations de contact de la personne
responsable de ce botier FortiGate. Cette information
ne doit pas dpasser 35 caractres.
Appliquer Enregistre les modifications apportes la description,
la localisation et au contact.
Crer Nouveau Cliquez sur Crer Nouveau pour ajouter une nouvelle
communaut SNMP. Voir Configuration dune
communaut SNMP la page 154.
Communauts La liste des communauts SNMP ajoutes la
configuration FortiGate. Vous pouvez ajouter jusqu
trois communauts.
Nom Le nom de la communaut.
Requtes Le statut des requtes SNMP de chaque communaut
SNMP. Ce statut peut tre activ ou dsactiv.
Traps Le statut des traps SNMP de chaque communaut
SNMP. Ce statut peut tre activ ou dsactiv.
Activer Active une communaut.
Icne Supprimer Supprime une communaut SNMP.
Icne Editer/Visualiser Permet de modifier ou visualiser une communaut
SNMP.

01-30001-0203-20060424
Configuration dune communaut SNMP
Une communaut SNMP est un regroupement dquipements dans un objectif
dadministration de rseaux. La cration de communauts permet aux
superviseurs SNMP de se connecter lquipement FortiGate pour prendre
connaissance des informations sur le systme et pour recevoir des traps SNMP.
Vous pouvez crer jusqu trois communauts. Chacune dentre elles peut tre
configure diffremment pour les requtes et traps SNMP. Chaque communaut
peut tre configure pour contrler diffrents types dvnements du botier
FortiGate. Vous pouvez galement ajouter jusqu 8 adresses IP de superviseurs
SNMP chaque communaut.
Illustration 69 : Options pour les communauts SNMP (partie 1)
Illustration 70 : Options pour les communauts SNMP (partie 2)
Communaut Entrez un nom didentification de la communaut.

Serveur SNMP Entrez ladresse IP et identifiez les superviseurs
SNMP qui peuvent utiliser les paramtres de cette
communaut SNMP pour surveiller lquipement
FortiGate.

01-30001-0203-20060424
Adresse IP Entrez ladresse IP dun superviseur SNMP qui peut
utiliser les paramtres de la communaut pour
surveiller lquipement FortiGate. Vous pouvez
galement dfinir ladresse IP sur 0.0.0.0 pour que
tout superviseur SNMP puisse utiliser cette
communaut.
Interface Facultativement, slectionnez le nom de linterface
que ce superviseur SNMP utilise pour se connecter
lquipement FortiGate. Cette dmarche est
ncessaire que si le superviseur SNMP nest pas sur
le mme sous-rseau que lquipement FortiGate.
Cest le cas par exemple dun superviseur passant
par Internet ou plac derrire un routeur.
Supprimer Cliquez sur licne supprimer du superviseur que
vous dsirez supprimer.
Ajouter Crer une nouvelle ligne dans la liste Serveur SNMP.
Il est possible dajouter jusqu 8 superviseurs SNMP
une communaut.
Requtes Entrez le numro du port (161 par dfaut) utilis par
les superviseurs de cette communaut pour les
requtes SNMP v1 et SNMP v2c pour recevoir des
informations sur la configuration de la part du botier
FortiGate. Cochez les cases Activer pour activer les
requtes de chaque version SNMP.
Traps Entrez les numros de ports local et distant (port 162
par dfaut pour chacun) que le botier FortiGate utilise
pour envoyer des traps SNMP v1 et SNMP v2c vers
les superviseurs SNMP de cette communaut.
Cochez les cases Activer pour activer les traps pour
chaque version SNMP.
Evnements SNMP Cochez les cases Activer des vnements SNMP
dont les traps doivent tre envoys aux superviseurs
SNMP de cette communaut par le botier
FortiGate.
Configurer une interface pour un accs SNMP

Afin de permettre les connexions dun superviseur SNMP distance un agent
FortiGate, il est ncessaire de configurer une ou plusieurs interfaces SNMP pour
accepter les connexions SNMP.

2 Cliquez sur licne Editer dune interface laquelle se connecte un superviseur
SNMP.
3 Dans la section Administration, cochez la case SNMP.
4 Cliquez sur OK.
Configurer un accs SNMP en mode Transparent

1 Slectionnez Systme > Configuration > Operation Mode.
2 Entrez ladresse IP utilise pour laccs administratif et le masque de rseau dans
le champ IP/Masque de rseau de gestion.

01-30001-0203-20060424
Vous devez configurer une ou plusieurs interfaces dans votre VDOM pour accepter
laccs SNMP.
MIB FortiGate
Lagent SNMP FortiGate supporte les MIB prives FortiGate, ainsi que les MIB
standard des RFC 1213 et RFC 2665. Le support RFC comprend un support pour
les parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB
II) qui sappliquent la configuration du FortiGate.
Les MIB FortiGate, ainsi que les deux MIB RFC sont rpertories dans le tableau
10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir
communiquer avec lagent SNMP, vous devez compiler toutes ces MIB dans votre
superviseur SNMP.
Il est probable que votre superviseur SNMP contiennent dj des MIB standard et
prives dans une base de donnes prte lemploi. Il est cependant ncessaire
dajouter les MIB prives Fortinet cette base de donnes. Dans le cas o les MIB
standard utilises par lagent SNMP Fortinet sont dj compiles dans votre
superviseur SNMP, il nest pas ncessaire de les recompiler.
Tableau 10 : MIB FortiGate

Nom de ficher MIB ou RFC Description
fortinet.3.00.mib La MIB prive Fortinet comprend des informations dtailles
sur la configuration du systme et sur les traps. Votre
superviseur SNMP requiert ces informations pour surveiller
les paramtres de configuration FortiGate et recevoir les
traps de lagent SNMP FortiGate. Voir Traps FortiGate
ci-dessous et Champs MIB Fortinet la page 158.
RFC-1213 (MIB II) Lagent SNMP FortiGate supporte les groupes MIB II avec
les exceptions suivantes :
Pas de support pour le groupe EGP de MIB II (RFC
1213, section 3.11 et .10).
Les statistiques sur le protocole renvoyes pour les
groupes MIB II (IP/ICMP/TCP/UDP/etc.) ne capturent
pas prcisment toute lactivit du trafic FortiGate. Des
informations plus prcises peuvent tre obtenue par
les informations reportes par la MIB Fortinet.
RFC-2665 (MIB type Lagent SNMP FortiGate supporte les informations MIB type
Ethernet) Ethernet lexception de :
Pas de support pour les groupes dot3Tests et
dot3Errors.
Traps FortiGate
Lagent FortiGate peut envoyer des traps aux superviseurs SNMP des
communauts SNMP. La rception des traps ne peut se faire quaprs avoir
charg et compil la MIB Fortinet 3.0 sur le superviseur SNMP.
Tous les traps comprennent le message trap ainsi que le numro de srie du
botier FortiGate.

01-30001-0203-20060424
Tableau 11 : Traps FortiGate gnriques
Message trap Description
ColdStart Traps standard tels que dcrits dans la RFC 1215.
WarmStart
LinkUp
LinkDown
Tableau 12 : Traps Systme FortiGate

CPU usage high Le taux CPU dpasse 90%.
(fnTrapCpuHigh)
Memory low Le taux mmoire dpasse 90%
(fnTrapMemLow)
Interface IP change Modification dune adresse IP sur une interface FortiGate.
(fnTrapIfChange) Le message trap comprend le nom de linterface, la
nouvelle adresse IP et le numro de srie du botier
FortiGate. Vous pouvez utiliser ce trap pour trouver les
modifications dadresse IP des interfaces dont les adresses
IP dynamiques sont dfinies via DHCP ou PPPoE.
(fnFMTrapIfChange) Pas de message. Linterface change dIP. Envoy
uniquement pour contrler le FortiManager.
(fnFMTrapConfChange) Tout changement apport au FortiGate, lexception des
changements apports par un FortiManager connect.
Tableau 13 : Traps VPN FortiGate

VPN tunnel is up Un tunnel VPN IPSec commence.
(fnTrapVpnTunUp)
VPN tunnel down Un tunnel VPN IPSec se ferme.
(fnTrapVpnTunDown)
Tableau 14 : Traps IPS FortiGate

IPS Anomaly Anomalie IPS dtecte.
(fnTrapIpsAnomaly)
IPS Signature Signature IPS dtecte.
(fnTrapIpsSignature)
Tableau 15 : Traps antivirus FortiGate

Virus detected Le botier FortiGate dtecte un virus et le supprime du
(fnTrapAvEvent) fichier infect du tlchargement HTTP ou FTP ou du
message email.
Tableau 16 : Traps logging FortiGate

Log full Sur un quipement FortiGate muni dun disque dur,
(fnTrapLogFull) lutilisation du disque dpasse 90%. Sur un quipement
FortiGate non muni dun disque dur, lutilisation de la
journalisation en mmoire dpasse 90%.

01-30001-0203-20060424
Tableau 17 : Traps HA FortiGate
HA switch Le membre primaire dun cluster tombe en panne et est
(fnTrapHaSwitch) remplac par un nouveau membre primaire.
Tableau 18 : Traps FortiBridge

FortiBridge detects fail Un quipement FortiBridge dtecte une panne dun
(fnTrapBridge) quipement FortiGate.
Champs MIB Fortinet

Les MIB Fortinet comprennent des champs concernant les statuts courants du
systme FortiGate. Les tableaux ci-dessous rpertorient les noms des champs MIB
et leur description. Des informations plus dtailles sur les champs MIB Fortinet
sont disponibles en compilant le fichier fortinet.3.00.mib sur votre superviseur
SNMP et en parcourant les champs MIB Fortinet.
Tableau 19 : Champs MIB du systme

Champ MIB Description
fnSysModel Le numro du modle botier FortiGate, par exemple 400 pour un
FortiGate-400.
fnSysSerial Le numro de srie de lquipement FortiGate.
fnSysVersion La version du microcode install sur lquipement FortiGate.
fnSysVersionAv La version de la base de connaissance antivirus installe sur
lquipement FortiGate.
fnSysVersionNids La version de la base de connaissance des attaques installe sur
fnSysHaMode Le mode HA en cours (stand alone, A-A, A-P).
fnSysOpMode Le mode de fonctionnement en cours (NAT ou Transparent).
fnSysCpuUsage Le taux CPU (en pourcentage).
fnSysMemUsage Le taux dutilisation de la mmoire (en Mbit).
fnSysSesCount Le compteur de sessions IP en cours.
fnSysDiskCapacity La capacit du disque dur (Mbit).
fnSysDiskUsage Lusage en cours du disque dur (Mbit).
Tableau 20 : Champs MIB HA

fnHaSchedule Horaire pour lquilibrage de charge en mode A-A.
fnHaStatsTable Statistiques pour les membres individuels FortiGate dun cluster
HA.
fnHaStatsIndex Le numro de lindex du membre dans le
cluster.
fnHaStatsSerial Le numro de srie du membre FortiGate.
fnHaStatsCpuUsage Le taux CPU du membre FortiGate (%).
fnHaStatsMemUsage Le taux usage de la mmoire du membre
FortiGate.
fnHaStatsNetUsage Lutilisation rseau en cours (Kbit/s).
fnHaStatsSesCount Le nombre de sessions actives.
fnHaStatsPktCount Le nombre de paquets traits.

01-30001-0203-20060424
fnHaStatsByteCount Le nombre doctets traits par le membre
FortiGate.
fnHaStatsIdsCount Le nombre dattaques dtectes par lIPS
les dernires 20 heures.
fnHaStatsAvCount Le nombre de virus dtects par lantivirus
les dernires 20 heures.
Tableau 21 : Comptes Administrateurs

fnAdminNumber Le nombre dadministrateurs sur lquipement FortiGate.
fnAdminTable Le tableau des administrateurs.
fnAdminIndex Le numro de lindex du compte
administrateur.
fnAdminName Le nom du compte administrateur.
fnAdminAddr Une adresse dun hte ou sous-rseau de
confiance partir duquel ce compte
administrateur peut tre utilis.
fnAdminMask Le masque de rseau de fnAdminAddr.
Tableau 22 : Utilisateurs locaux

fnUserNumber Le nombre de comptes utilisateurs locaux sur lquipement
FortiGate.
fnUserTable Le tableau des utilisateurs locaux.
fnUserIndex Le numro de lindex du compte de
lutilisateur local.
fnUserName Le nom du compte de lutilisateur local.
fnUserAuth Le type dauthentification pour lutilisateur
local :
local un mot de passe sauvegard sur
radius-single un mot de passe
sauvegard sur un serveur RADIUS.
radius-multiple tous les utilisateurs qui
peuvent sauthentifier sur un serveur
RADIUS peuvent se connecter.
ldap un mot de passe sauvegard sur un
serveur LDAP.
fnUserState Etat de lutilisateur local : activ ou
dsactiv.
Tableau 23 : Options
fnOptIdleTimeout La priode dinactivit en minutes aprs laquelle un
administrateur doit se rauthentifier.
fnOptAuthTimeout La priode dinactivit en minutes aprs laquelle un utilisateur
doit se rauthentifier avec un pare-feu.
fnOptLanguage La langue de linterface dadministration web.
fnOptLcdProtection Dans le cas o un PIN LCD a t envoy.

01-30001-0203-20060424
Tableau 24 : Journalisation
fnLogOption Les prfrences en matire de journalisation.
Tableau 25 : Messages personnaliss

fnMessages Le nombre de messages personnaliss sur lquipement
FortiGate.
Tableau 26 : Domaines virtuels

fnVdNumber Le nombre de domaines virtuels sur lquipement FortiGate.
fnVdTable Tableau des domaines virtuels
fnVdIndex Le numro de lindex du domaine virtuel
interne sur lquipement FortiGate.
fnVdName Le nom du domaine virtuel.
Tableau 27 : Sessions IP actives

fnIpSessIndex Le numro de lindex de la session IP active.
fnIpSessProto Le protocole IP (TCP, UDP, ICMP, etc.) de la session.
fnIpSessFromAddr Ladresse IP source de la session IP active.
fnIpSessFromPort Le port source de la session IP active.
fnIpSessToPort Ladresse IP de destination de la session IP active.
fnIpSessToAddr Le port de destination de la session IP active.
fnIpSessExp Le temps dexpiration en secondes pour la session.
Tableau 28 : VPN dialup

fnVpnDialupIndex Lindex du dialup VPN paire.
fnVpnDialupGateway Ladresse IP distante de la passerelle.
fnVpnDialupLifetime La dure de fonctionnement en secondes du tunnel VPN.
fnVpnDialupTimeout Le temps restant jusquau prochain change de cl (en
secondes).
fnVpnDialupSrcBegin Ladresse du sous-rseau distant.
fnVpnDialupSrcEnd Le masque du sous-rseau distant.
fnVpnDialupDstAddr Ladresse du sous-rseau local.

01-30001-0203-20060424
Slectionnez Systme > Configuration > Messages de Remplacement pour
modifier les messages de remplacement et personnaliser les emails et
informations sur les alertes que le botier FortiGate ajoute aux flux de contenu tels
que messages emails, pages Internet et sessions FTP.
Lquipement FortiGate adjoint des messages de remplacement plusieurs types

de flux de contenu. Par exemple, si un virus est trouv dans un email, le fichier
contamin est supprim de lemail et remplac par un message de remplacement.
Cette procdure sapplique galement aux pages Internet bloques par un filtrage
web et aux emails bloqus par un filtrage antispam.
Liste des messages de remplacement

Illustration 71 : Liste des messages de remplacement
Nom Le type de message de remplacement. Cliquez sur le triangle

bleu pour afficher la catgorie. Vous pouvez modifier les
messages adjoints aux
emails dont les pices jointes sont infectes par un virus
pages web (http)
sessions ftp
messages de mails dalertes
email smtp bloqus comme spam
pages web bloques par une des catgories du filtrage
web
sessions de messagerie instantane et peer-to-peer
Vous pouvez galement modifier

la page douverture de la session pour une authentification
de lutilisateur
les messages dinformations dauthentification de
lutilisateur (certains modles)
la page dignorance du filtrage web FortiGuard
la page douverture de session pour VPN SSL

01-30001-0203-20060424
Description Description du type de message de remplacement. Linterface
dadministration web dcrit lendroit o chaque message de
remplacement est utilis par le botier FortiGate.
Icne Visualiser/Editer Slectionnez pour diter ou visualiser un message de
remplacement.
Modification des messages de remplacement

Illustration 72 : Exemple dun message de remplacement dun virus HTTP
Les messages de remplacement scrivent sous forme de texte ou de messages

HTML. Vous pouvez ajouter un code HTML des messages HTML. De plus, les
messages de remplacement peuvent comprendre des balises de message de
remplacement. Ainsi, lorsque les utilisateurs reoivent le message de
remplacement, la balise est remplace par un contenu en rapport avec le
message.
Le tableau 29 rpertorie les balises des messages de remplacement qui peuvent

tre adjointes.
Tableau 29 : Balises de messages de remplacement

Balise Description
%%CATEGORY%% Le nom de la catgorie de contenu du site web.
%%CRITICAL_EVENT%% Ajout aux messages email dvnement critique dalerte.
%%CRITICAL_EVENT%% est remplace par le message
dvnement critique qui a enclench lemail dalerte.
%%DEST_IP%% Ladresse IP de la destination partir de laquelle un virus a
t reu. Dans le cas demail, il sagit de ladresse IP du
serveur email qui a envoy lemail contamin. Dans le cas
de HTTP, il sagit de ladresse IP de la page web qui a
envoy le virus.
%%EMAIL_FROM%% Ladresse email de lexpditeur du message duquel le
fichier a t supprim.
%%EMAIL_TO% Ladresse email du destinataire lattention duquel le
message du fichier a t supprim.
%%FILE%% Le nom du fichier ayant t supprim dun flux de contenu.
Il peut sagir dun fichier qui contenait un virus ou qui a t
bloqu par un antivirus. %%FILE%% peut tre utilis dans les
messages de blocage de virus et fichiers.

01-30001-0203-20060424
%%FORTIGUARD_WF%% Le logo FortiGuard Filtrage Web.
%%FORTINET%% Le logo Fortinet.
%%HTTP_ERR_CODE%% Le code erreur HTTP. Par exemple 404 .
%%HTTP_ERR_DESC%% La description de lerreur HTTP.
%%NIDSVEVENT%% Le message de lattaque IPS. %%NIDSEVENT%% est ajout
%%NIDS_EVENT%% aux messages email dintrusions dalerte.
%%OVERRIDE%% Le lien vers le formulaire dignorance du filtrage web
FortiGuard. Visible uniquement par les utilisateurs qui
appartiennent un groupe qui a la permission de crer des
ignorances de filtrage web FortiGuard.
%%OVRD_FORM%% Le formulaire dignorance du filtrage web FortiGuard. Cette
balise doit tre prsente dans le formulaire dignorance du
filtrage web FortiGuard et ne doit pas tre utilise dans les
autres messages de remplacement.
%%PROTOCOL%% Le protocole (http, ftp, pop3, imap ou smtp) dans lequel le
virus a t dtect. %%PROTOCOL%% est ajout aux
messages des virus des emails dalertes.
%%QUARFILENAME%% Le nom dun fichier qui a t supprim dun flux de contenu
et plac en quarantaine. Il peut sagir dun fichier qui
contient un virus ou a t bloqu par un antivirus.
%%QUARFILENAME%% peut tre utilis dans les messages
de blocage de virus et fichier. La mise en quarantaine nest
possible que sur les quipements FortiGate quip dun
disque local.
%%SERVICE%% Le nom du service de filtrage web.
%%SOURCE_IP%% Ladresse IP du destinataire qui aurait d recevoir le fichier
bloqu. Dans le cas demail, il sagit de ladresse IP de
lordinateur de lutilisateur qui a tent de tlcharger le
message partir duquel le fichier a t retir.
%%URL%% LURL dune page web. Il peut sagir dune page web
bloque par un filtre de contenu web ou un blocage dURL.
%%URL%% peut aussi tre utilis dans les messages des
virus http et de blocage de fichier pour tre lURL de la
page partir de laquelle un utilisateur a tent de
tlcharger un fichier qui a t bloqu.
%%VIRUS%% Le nom du virus trouv dans un fichier par le systme
antivirus. %%VIRUS%% peut tre utilis dans les messages
virus.
Modification de la page de connexion et dauthentification

Les utilisateurs voient safficher une page dauthentification lorsquils utilisent un
VPN ou une rgle pare-feu qui ncessitent une authentification. Vous pouvez
personnaliser cette page de la mme manire que vous avez modifi dautres
messages de remplacement. Cependant il existe quelques exigences
particulires :
La page de connexion doit tre une page HTLM contenant un formulaire

avec ACTION= / et METHOD= POST
Le formulaire doit contenir les contrles cachs suivants :
<INPUT TYPE="hidden" NAME="%%MAGICID%%"
VALUE="%%MAGICVAL%%">

01-30001-0203-20060424
<INPUT TYPE="hidden" NAME="%%STATEID%%"
VALUE="%%STATEVAL%%">
<INPUT TYPE="hidden" NAME="%%REDIRID%%"
VALUE="%%PROTURI%%">
Le formulaire doit contenir les contrles visibles suivants :
<INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25>
<INPUT TYPE="password" NAME="%%PASSWORDID%%"
size=25>
Exemple
Ci-dessous un exemple dune page dauthentification simple qui rpond aux
exigences nonces ci-dessus.
<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD>
<BODY><H4>You must authenticate to use this service.</H4>
<FORM ACTION="/" method="post">

<INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%"
TYPE="hidden">
<TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0"

CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY>
<TR><TH>Username:</TH>
<TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text">
</TD></TR>
<TR><TH>Password:</TH>
<TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password">
</TD></TR>
<TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc">

<INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%"
TYPE="hidden">
<INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden">
<INPUT VALUE="Continue" TYPE="submit"> </TD></TR>
</TBODY></TABLE></FORM></BODY></HTML>
Modification de la page dignorance du filtrage web FortiGuard

La balise %%OVRD_FORM%% fournit le formulaire utilis pour initier une ignorance
dans le cas o le filtrage web FortiGuard bloque laccs une page web. Ne pas
retirer cette balise du message de remplacement.

01-30001-0203-20060424
Modification du message de connexion VPN SSL
Le message de connexion VPN SSL prsente une page web partir de laquelle
les utilisateurs se connectent au portail web VPN SSL. La page est relie au botier
FortiGate et vous devez lditer en respectant les exigences suivantes.
La page de connexion doit tre une page HTML contenant un formulaire

avec
ACTION="%%SSL_ACT%%" et METHOD="%%SSL_METHOD%%"
Le formulaire doit contenir la balise %%SSL_LOGIN%% pour fournir le
formulaire de connexion.
Le formulaire doit contenir la balise %%SSL_HIDDEN%%.
Modification de la page dinformation dauthentification

La page dinformation dauthentification, disponible sur certains modles, souvre
par un texte sur lusage de rgles que lutilisateur doit accepter avant que laccs
au FortiGate ne lui soit permis. Lautorisation sactive dans une rgle pare-feu. Voir
Autorisation de lauthentification de lutilisateur dans Options des rgles pare-
feu la page 234. Il est conseill de ne modifier que le texte de lautorisation et
non pas le code HTML du formulaire.

01-30001-0203-20060424
Mode de fonctionnement des VDOM et accs administratif
Vous pouvez configurer un accs administratif pour chaque interface de votre
VDOM. Voir Contrler laccs administratif dune interface la page 74 . En
mode NAT/Route, ladresse IP de linterface est utilise pour laccs administratif.
En mode Transparent, vous devez configurer une seule adresse IP
dadministration qui sapplique toutes les interfaces du VDOM qui permettent un
accs administratif. Lquipement FortiGate utilise galement cette adresse IP pour
se connecter au FDN pour la mise jour de virus et dattaques (voir Centre
FortiGuard la page 183.)
Un administrateur rgulier peut uniquement accder au VDOM auquel il appartient.

Lordinateur dadministration doit tre connect une des interfaces de ce VDOM.
Ladministrateur admin peut accder tous les VDOM, peu importe le VDOM
auquel appartient linterface. Dans les deux cas, lordinateur dadministration doit
se connecter une interface qui permette laccs administratif et dont ladresse IP
doit se trouver sur le mme rseau.
Vous pouvez autoriser ladministration distance de lquipement FortiGate.

Cependant, permettre une administration distance via lInternet pourrait
compromettre la scurit de lquipement FortiGate. Ceci est donc viter moins
que la configuration lexige. Pour amliorer la scurit de lquipement FortiGate
lors dune administration distance, il est fortement conseill de :
utiliser des mots de passe utilisateurs administratifs scuriss.
modifier rgulirement ces mots de passe.
activer un accs administratif scuris cette interface via HTTPS ou SSH.
maintenir la valeur par dfaut (5 minutes) du timeout dinactivit du systme
(voir Paramtres la page 178 ).
Modification du mode de fonctionnement

Vous pouvez dfinir un mode de fonctionnement (aussi appel mode dopration)
pour votre domaine virtuel et accomplir des configurations rseau suffisantes pour
assurer une connexion linterface dadministration web dans ce nouveau mode.
Passer du mode NAT/ Route au mode Transparent

1 Slectionnez Systme > Configuration > Operation Mode ou cliquez sur
Changer ct de Mode de Fonctionnement sur la page des Statuts du Systme
pour le domaine virtuel.
2 Slectionnez Transparent dans la liste Mode dOpration.
3 Entrez les informations suivantes et cliquez ensuite sur Appliquer.

01-30001-0203-20060424
IP/Netmask de gestion Entrez ladresse IP et le masque de rseau dadministration. Il
doit sagir dune adresse IP valide pour le rseau partir
duquel vous voulez administrer lquipement FortiGate.
Passerelle par dfaut Entrez la passerelle par dfaut requise pour atteindre dautres
rseaux partir du botier FortiGate.
Passer du mode Transparent au mode NAT/Route

1 Slectionnez Systme > Configuration > Operation Mode ou cliquez sur
Changer ct de Mode de Fonctionnement sur la page des Statuts du Systme
pour le domaine virtuel.
2 Slectionnez NAT dans la liste Mode dOpration.
3 Entrez les informations suivantes et cliquez ensuite sur Appliquer.
IP/Netmask de linterface Entrez une adresse IP et un masque de rseau valides pour le

rseau partir duquel vous voulez administrer lquipement
FortiGate.
Interface (ou Device) Slectionnez dans la liste linterface pour laquelle les
paramtres IP/masque de rseau sappliquent.
Passerelle par dfaut Entrez la passerelle par dfaut requise pour atteindre dautres
rseaux partir du botier FortiGate.
Interface de la passerelle Slectionnez dans la liste linterface laquelle la passerelle
(ou Gateway Device) par dfaut est connecte.

01-30001-0203-20060424
Administration du Systme
Cette section dcrit comment configurer des comptes administrateurs sur votre
quipement FortiGate. Les administrateurs accdent au botier FortiGate pour
configurer son fonctionnement. Lquipement possde, par dfaut, un
administrateur : admin. A partir de linterface dadministration web ou de linterface
de ligne de commande, vous pouvez configurer des administrateurs
supplmentaires avec des niveaux varis daccs aux diffrentes parties de la
configuration de lquipement FortiGate.

Administrateurs
Profils dadministration
FortiManager
Paramtres
Contrle des administrateurs
Administrateurs
Il existe deux types de comptes administrateurs :
Un administrateur rgulier
Un compte par dfaut, admin
Un compte administrateur rgulier a accs aux options de configuration

dtermines par son profil dadministration. Dans le cas o des domaines virtuels
sont activs, ladministrateur rgulier est affect lun de ces VDOM et ne peut
pas accder aux options de la configuration globale ni la configuration dun autre
VDOM. Pour plus dinformations propos des options globales et spcifiques aux
VDOM, voir Paramtres de configuration dun domaine virtuel la page 41 et
Paramtres de la configuration globale la page 42.
Le compte administrateur par dfaut, ladmin, a accs la totalit de la

configuration du botier FortiGate. De plus, il peut:
activer la configuration VDOM
crer des VDOM
configurer des VDOM
affecter des administrateurs rguliers aux VDOM
configurer des options globales
Le compte admin nayant pas de profil dadministration, on ne sait pas en limiter

ses droits. Il est par ailleurs impossible de supprimer le compte admin, mais il est
possible de le renommer, de lui dfinir des htes de confiance et den modifier le
mot de passe. Par dfaut, ladmin na pas de mot de passe.
Vous pouvez authentifier un administrateur par un mot de passe sauvegard sur

un botier FortiGate ou sur un serveur RADIUS. Facultativement, vous pouvez
sauvegarder tous les comptes administrateurs sur un serveur RADIUS,

01-30001-0203-20060424
lexception du compte admin par dfaut. Les comptes RADIUS tant sur le mme
serveur RADIUS partagent le mme profil dadministration.
Configuration de lauthentification RADIUS des administrateurs

Si vous prvoyez dutiliser un serveur RADIUS pour authentifier les administrateurs
dans votre VDOM, vous devez configurer lauthentification avant de crer des
comptes administrateurs. Pour ce faire, vous avez besoin de :
configurer laccs au serveur RADIUS sur le botier FortiGate
crer un groupe dutilisateurs dont le serveur RADIUS est le seul membre
Les procdures suivantes prvoient que vous ayez dj configur un serveur

RADIUS sur votre rseau avec les noms et mots de passe de vos administrateurs.
Pour plus dinformations sur la configuration dun serveur RADIUS, reportez-vous
la documentation de votre serveur RADIUS.
Configurer un botier FortiGate pour accder au serveur RADIUS

1 Slectionnez Utilisateur > RADIUS.
Nom Entrez un nom pour le serveur RADIUS. Vous utilisez ce nom
lorsque vous crez le groupe utilisateur.
Nom / adresse IP Le nom de domaine ou ladresse IP du serveur RADIUS.
Secret Le secret du serveur RADIUS. Ladministrateur du serveur
RADIUS peut vous fournir cette information.
4 Cliquez sur OK.
Crer le groupe dutilisateurs dadministration

1 Slectionnez Utilisateur > Groupe utilisateur.
3 Dans le champ Nom, tapez un nom pour le groupe dadministrateurs.
4 Dans la liste Utilisateurs Disponibles, slectionnez le nom du serveur RADIUS.
5 Cliquez sur la flche verte droite pour dplacer le nom vers la liste Membres.
6 Slectionnez un profil de protection dans la liste.
7 Cliquez sur OK.
Visualisation de la liste des administrateurs

A partir du compte admin ou dun compte qui possde les droits en lecture et en
criture des utilisateurs admin, vous pouvez crer de nouveaux comptes
administrateurs et contrler leurs niveaux de permission. Slectionnez Systme >
Admin > Administrateurs.
A moins que vous soyez ladministrateur admin, la liste des administrateurs

naffiche que les administrateurs pour le domaine virtuel en cours.

01-30001-0203-20060424
Illustration 73 : Liste des Administrateurs
Crer Nouveau Permet dajouter un compte administrateur.

Nom Le nom du compte administrateur.
Poste IP Ladresse IP et le masque de rseau dhtes de
confiance partir desquels ladministrateur peut se
connecter. Pour plus dinformations, voir Utilisation
dhtes de confiance la page 173.
Profil Le profil dadministration pour ladministrateur.
Ladministrateur admin par dfaut na pas de profil.
Type Le type dauthentification pour cet administrateur.
Cela peut tre :
Local un mot de passe local
RADIUS authentification dun compte spcifique via
un serveur RADIUS
RADIUS+Wildcard authentification de nimporte
quel compte via un serveur RADIUS.
Icne Suppression Permet de supprimer le compte administrateur. Le
compte administrateur admin ne peut pas tre
supprim.
Icne Editer ou Visualiser Permet dditer ou de visualiser le compte
administrateur.
Icne Changer le mot de passe Permet de modifier le mot de passe du compte
administrateur.
Modifier le mot de passe dun administrateur

2 Cliquez sur licne Changer le mot de passe ct du compte administrateur dont
vous voulez modifier le mot de passe.
3 Entrez et confirmez le nouveau mot de passe.
4 Cliquez sur OK.
Configuration dun compte administrateur

La cration dun nouvel administrateur ncessite une connexion partir du compte
admin ou partir dun compte administrateur possdant les droits en lecture et
criture dutilisateur Admin. Slectionnez Systme > Admin > Administrateurs et
cliquez sur Crer Nouveau.

01-30001-0203-20060424
Illustration 74 : Configuration dun compte administrateur authentification locale.
Illustration 75 : Configuration dun compte administrateur authentification RADIUS
Nom de compte Entrez le nom du compte administrateur.

RADIUS Cochez cette case pour authentifier ladministrateur via un
serveur RADIUS. Lauthentification RADIUS pour
administrateurs doit tre configure dabord. Voir
Configuration RADIUS pour une authentification des
administrateurs la page 169.
Wildcard Cochez cette case pour faire de tous les comptes du serveur
RADIUS des administrateurs. Cette fonction est uniquement
disponible si RADIUS a t slectionn.
Groupe utilisateur Dans le cas dune utilisation dune authentification RADIUS,
slectionnez dans la liste le groupe dutilisateurs
dadministrateurs qui compte comme membre le serveur
RADIUS appropri.
Mot de Passe Entrez un mot de passe pour le compte administrateur. Pour
plus de scurit, le mot de passe doit tre compos dau
moins 6 caractres. Si RADIUS est activ, lquipement
FortiGate tente une premire authentification RADIUS. En cas
dchec, il tente une authentification via mot de passe. Ceci
nest pas disponible si la fonction Wildcard a t active.

01-30001-0203-20060424
Confirmer le Mot de Passe Entrez le mot de passe une seconde fois pour confirmer la
premire entre. Ceci nest pas disponible si la fonction
Wildcard a t active.
Poste IP # 1 Facultativement, entrez ladresse IP et le masque de rseau
Poste IP # 2 dun hte de confiance auquel ladministrateur est restreint sur
Poste IP # 3 le botier FortiGate. Vous pouvez spcifier jusqu trois htes
de confiance. Les adresses par dfaut sont respectivement
0.0.0.0/0, 0.0.0.0/0 et 127.0.0/32.
La mise en place dhtes de confiance pour vos
administrateurs permet daugmenter la scurit du systme.
Pour plus dinformations, voir Utilisation dhtes de
confiance la page 173.
Profil dadministration Slectionnez le profil dadministration de ladministrateur. Le
profil prconfigur prof_admin fournit un accs total au botier
FortiGate. Vous pouvez galement cliquer sur Crer Nouveau
pour crer un nouveau profil dadministration. Pour plus
dinformations sur les profils dadministration, voir
Configuration dun profil dadministration la page 176 .
Domaine Virtuel Slectionnez le domaine virtuel que cet administrateur peut
configurer. Ce champ est uniquement disponible si vous tes
ladministrateur admin et que la configuration des domaines
virtuels est active.
Configurer un compte administrateur

2 Cliquez sur Crer Nouveau pour ajouter un compte administrateur ou cliquez sur
licne Editer pour apporter des modifications un compte administrateur existant.
3 Dans le champ Nom de compte, entrez un nom pour le compte administrateur.
Si vous utilisez une authentification RADIUS pour cet administrateur mais nutilisez
pas la fonction wildcard, le nom de ladministrateur doit correspondre un des
comptes du serveur RADIUS.
4 Si vous utilisez une authentification RADIUS pour cet administrateur :
Slectionnez RADIUS.
Slectionnez Wildcard si vous dsirez que tous les comptes du serveur
RADIUS soient des administrateurs de lquipement FortiGate.
Slectionnez le groupe dutilisateurs des administrateurs dans la liste Groupe
Utilisateur.
5 Entrez et confirmez votre mot de passe pour ce compte administrateur. Cette
tape nest pas ncessaire dans le cas dune authentification RADIUS Wildcard.
6 Facultativement, entrez ladresse IP et le masque de rseau dun hte de
confiance partir duquel ladministrateur puisse se connecter linterface
7 Slectionnez le profil dadministration pour cet administrateur.
8 Cliquez sur OK.

01-30001-0203-20060424
Utilisation dhtes de confiance
La mise en place dhtes de confiance pour tous les administrateurs augmente la
scurit de votre rseau car en restreint laccs administratif. En plus de devoir
connatre le mot de passe, ladministrateur doit se connecter uniquement partir
du ou des sous-rseau(x) spcifi(s). Vous pouvez aller jusqu restreindre un
administrateur une seule adresse IP si vous ne dfinissez quune adresse IP
dhte de confiance avec un masque de rseau 255.255.255.255.
Si vous dfinissez des htes de confiance pour tous les administrateurs,

lquipement FortiGate ne rpond pas aux tentatives daccs administratif de tout
autre hte. Cela fournit la meilleure scurit. Si vous laissez, ne ft-ce quun seul
administrateur sans restriction, lquipement accepte les tentatives daccs
administratif de nimporte quelle interface dont laccs administratif est activ,
exposant ainsi le botier des tentatives daccs non autorises.
Par dfaut les adresses dhtes de confiance sont respectivement 0.0.0.0/0,

0.0.0.0/0 et 127.0.0.1/32. Si une des adresses 0.0.0.0/0 est modifie par une
adresse non nulle, lautre adresse 0.0.0.0/0 sera ignore. La seule faon dutiliser
une entre mtacaractre (wildcard) est de maintenir les deux adresses dhtes de
confiance sur 0.0.0.0/0. Toutefois, ceci ne constitue pas une configuration sans
risque.

01-30001-0203-20060424
Profils dadministration
Chaque compte administrateur appartient un profil dadministration. Le profil
dadministration spare les caractristiques FortiGate en catgories de droits
daccs pour lesquels vous pouvez activer des droits en lecture et/ou criture. Le
tableau suivant rpertorie les pages de linterface dadministration web auxquelles
chaque catgorie fournit un accs :
Tableau 30 : Droits daccs des profils dadministration aux pages de linterface

dadministration web
Contrle daccs Pages de linterface dadministration web affectes
Utilisateurs dadministration Systme > Admin
Configuration Antivirus Antivirus
Utilisateurs authentifis Utilisateur
Configuration firewall Pare-feu
Mise jour FortiGuard Systme > Maintenance > FortiGuard Center
Configuration IPS Intrusion Protection
Journaux et rapports Journaux/Alertes
Maintenance Systme > Maintenance
Configuration rseau Systme > Rseau > Interface
Systme > Rseau > Zone
Systme > DHCP
Configuration routeur Routeur
Configuration Spamfilter Anti-Spam
Configuration systme Systme > Statut, y compris les informations sur la session
Systme > Configuration
Systme > Maintenance > Sauvegarde et Restauration
Systme > Maintenance > Support
Configuration VPN VPN
Configuration Webfilter Filtrage Web
Les droits en lecture autorisent ladministrateur visualiser la page de linterface

dadministration web. Ladministrateur ncessite les droits en criture pour apporter
des modifications aux paramtres de la page.
Remarque : Lorsque la configuration de domaines virtuels est active (voir Paramtres

la page 178), seul ladministrateur admin a accs aux paramtres gnraux. Mme si les
paramtres gnraux sont activs dans le profil dadministration, un administrateur rgulier
ne peut accder quaux paramtres spcifiques VDOM. Pour plus dinformations propos
des paramtres gnraux, voir Paramtres de configuration dun domaine virtuel la
page 41.
Le profil dadministration affecte similairement laccs des administrateurs aux

commandes CLI. Le tableau suivant dcrit les types de commande disponibles
pour chaque catgorie de droits daccs. Les droits en lecture donnent accs aux
commandes get et show , tandis que les droits en criture permettent
daccder la commande config .

01-30001-0203-20060424
Tableau 31 : Droits daccs des profils dadministration aux commandes CLI
Contrle daccs Commandes CLI disponibles
Utilisateurs dadministration system admin
(admingrp) system accprofile
Configuration Antivirus (avgrp) antivirus
Utilisateurs authentifis (authgrp) user
Configuration Pare-feu (fwgrp) firewall
Mise jour FortiGuard (updategrp) system autoupdate
execute backup
execute update_now
Configuration IPS (ipsgrp) ips
Journaux et rapports (loggrp) alertemail
log
Maintenance (mntgrp) execute factoryreset
execute formatlogdisk
execute reboot
execute restore
execute shutdown
Configuration rseau (netgrp) system arp
system dhcp reserved-address
system dhcp server
system interface
system status
system zone
execute dhcp lease-clear
execute dhcp lease-list
Configuration routeur (routegrp) router
execute router
Configuration Filtrage Antispam spamfilter
(spamgrp)
Configuration systme (sysgrp) system lexception de accprofile,
admin et autoupdate
execute date
execute dhcpclear
execute enter
execute ha
execute ping
execute ping-options
execute ping6
execute restore
execute time
execute traceroute
Configuration VPN (vpngrp) vpn
execute vpn
Configuration Filtrage web (webgrp) webfilter
Slectionnez Systme > Admin > Droits dAccs pour ajouter des profils
dadministration aux administrateurs FortiGate. Chaque compte administrateur
appartient un profil dadministration. Vous pouvez crer des profils
dadministration qui empchent ou permettent les droits en lecture uniquement,
droits en criture uniquement ou les deux : droits en lecture et criture des
fonctionnalits FortiGate.

01-30001-0203-20060424
Un administrateur qui possde les droits en lecture dune fonction peut accder
la page dadministration web de cette fonction mais ne peut pas apporter de
modifications la configuration. Les boutons Crer ou Appliquer napparaissent
pas sur la page. Les listes affichent licne Visualiser ( ) la place des icnes
Editer, Supprimer ou toute autre commande de modification.
Visualisation de la liste des profils dadministration
Pour crer ou diter des profils dadministration, utilisez un compte admin ou un

compte qui possdent les droits en lecture et en criture des utilisateurs admin.
Slectionnez Systme > Admin > Droits dAccs.
Illustration 76 : Liste des profils dadministration
Crer Nouveau Ajoute un nouveau profil dadministration.

Nom du profil Le nom du profil dadministration.
Icne Suppression Slectionnez cette icne pour supprimer un profil
dadministration. Il est impossible de supprimer un profil
dadministration tant quun ou plusieurs administrateur(s) y est
(sont) encore affect(s).
Icne Editer Slectionnez cette icne pour modifier le profil
dadministration.
Configuration dun profil dadministration
Pour diter des profils dadministration, utilisez un compte admin ou un compte qui
possdent les droits en lecture et en criture des utilisateurs admin. Slectionnez
Systme > Admin > Droits dAccs et cliquez sur Crer Nouveau.

01-30001-0203-20060424
Illustration 77 : Options des profils dadministration
Nom de profil Entrez le nom du profil dadministration.

Droits daccs Les droits daccs rpertorient les catgories dont le
profil dadministration contrle laccs.
Lecture Cochez la case Lecture pour cocher les droits en
lecture de toutes les catgories.
Ecriture Cochez la case Ecriture pour cocher les droits en
criture de toutes les catgories.
Les catgories des droits daccs Slectionnez les cases none/lecture et/ou criture
pour les diffrentes catgories en fonction de vos
besoins. Pour plus de dtails propos des catgories
des droits daccs, voir Profils dadministration
la page 174.

01-30001-0203-20060424
FortiManager
Pour permettre votre FortiGate dtre administr par un serveur FortiManager,
slectionnez Systme > Admin > FortiManager pour configurer votre quipement
FortiGate. La communication entre votre quipement FortiGate et le serveur
FortiManager se fait via un VPN IPSec pr-configur et invisible sur votre
FortiGate.
Illustration 78 : Configuration FortiManager
Paramtres FortiManager
Activer Cochez la case Activer pour permettre une communication
scurise entre le botier FortiGate et le Serveur FortiManager.
Sans quoi, la communication nest pas scurise.
ID Entrez le numro de srie du Serveur FortiManager.
Adresse IP Entrez ladresse IP du Serveur FortiManager.
Paramtres
Slectionnez Systme > Admin > Settings (Paramtres) pour dfinir les options
suivantes :
Les ports pour les accs administratifs HTTP et HTTPS
Les paramtres des timeouts, y compris le timeout de ladministrateur et le
timeout de lutilisateur
La langue de linterface dadministration web
Une protection laide dun PIN pour lcran LCD et les boutons de
commandes (pour les modles quips de ces fonctions uniquement)

01-30001-0203-20060424
Illustration 79 : Paramtres des administrateurs
Web Administration Ports

HTTP Entrez le port TCP utilis pour laccs administratif HTTP.
La valeur par dfaut est 80.
HTTPS Entrez le port TCP utilis pour laccs administratif
HTTPS. La valeur par dfaut est 443.
Paramtres de timeout
Administrateurs Entrez le nombre de minute pendant lesquelles la
connexion peut rester inactive avant que ladministrateur
ne doive se reconnecter. Le temps maximum est de 480
minutes (8 heures). Pour une meilleure scurit, il est
conseill de maintenir la valeur par dfaut de 5 minutes.
Utilisateur (authentification Entrez le nombre de minute pendant lesquelles une
pare-feu) connexion authentifie peut rester inactive avant que
lutilisateur ne doive se rauthentifier. Le temps maximum
est de 480 minutes (8 heures). La valeur par dfaut est 15
minutes. Pour plus dinformations, voir Paramtrage du
timeout dauthentification la page 324.
Langage
Interface dadministration Slectionnez la langue dsire de linterface
dadministration web. Vous avez le choix entre langlais, le
chinois simplifi ou traditionnel, le japonais, le coren ou
le franais. Remarque : Il est conseill de choisir la langue
dans laquelle opre le systme dexploitation de
lordinateur dadministration.
Panneau LCD (pour les quipements quips de cette fonction)
Protection PIN Cochez la case Protection PIN et tapez un pin de 6
caractres dans le champ prvu cet effet.
Les administrateurs doivent alors entrer le PIN pour
accder aux commandes de lcran LCD et des boutons.
Virtual Domain Configuration Cochez cette case si vous dsirez oprer de multiples
VDOM. Cela active les droits de cration et de
configuration des VDOM du compte administrateur admin

01-30001-0203-20060424
par dfaut. Pour plus dinformations sur la cration et
ladministration de VDOM, voir Domaines Virtuels la
page 40.
Contrle des administrateurs

Le nombre dadministrateurs connects apparat dans la barre des statuts des
pages de linterface dadministration web.
Illustration 80 : Les administrateurs connects dans la barre des statuts
Cliquez sur licne Administrateurs Connects pour visualiser les informations sur
les administrateurs connects linterface dadministration web en cours. Une
nouvelle fentre souvre affichant la liste des administrateurs connects ce
moment-l.
Illustration 81 : Fentre de contrle des administrateurs connects
Dconnecter Dconnecte les administrateurs slectionns. Cette fonction

nest disponible quaux administrateurs qui possdent les
droits en criture de la Configuration du Systme.
Rafrachir Met la liste jour.
Fermer Ferme la fentre.
Les cases cocher Cochez les cases des administrateurs dconnecter et cliquez
ensuite sur Dconnecter. Cette fonction nest disponible quaux
administrateurs qui possdent les droits en criture de la
Configuration du Systme.
Nom dutilisateur Le nom du compte administrateur.
Type Le type daccs : WEB ou CLI.
De Dans le cas dun Type WEB, apparat dans ce champ
ladresse IP de ladministrateur. Dans le cas dun Type CLI,
apparat dans ce champ, soit ssh ou telnet , soit
ladresse IP de ladministrateur ou console .
Heure La date et lheure auxquelles sest connect ladministrateur.

01-30001-0203-20060424
Maintenance du Systme
Cette section dcrit comment sauvegarder et restaurer la configuration de votre
systme et comment configurer des mises jour automatiques partir du FDN
(FortiGuard Distribution Network).

Sauvegarde et Restauration
FortiGuard Center
Licence
Sauvegarde et Restauration
Pour sauvegarder et restaurer la configuration de votre systme, et pour grer le
microcode, slectionnez Systme > Maintenance > Sauvegarde et
Restauration.
Vous pouvez sauvegarder la configuration du systme, y compris les fichiers de

contenu web et les fichiers de filtrage antispam sur lordinateur dadministration ou
sur un disque USB (pour les modles qui le supportent). Vous pouvez galement
restaurer la configuration du systme partir de fichiers de sauvegarde dj
tlchargs.
Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez
permettre le cryptage du fichier de sauvegarde.
Lorsque la configuration des domaines virtuels est active, le contenu du fichier de

sauvegarde dpend du compte administrateur qui la cr. Une sauvegarde de la
configuration du systme faite partir dun compte administrateur admin comprend
les paramtres gnraux et les paramtres de chaque VDOM. Seul
ladministrateur admin peut restaurer la configuration de ce fichier. Une
sauvegarde faite partir dun compte administrateur rgulier comprend les
paramtres gnraux et les paramtres du VDOM gr par cet administrateur.
Seul un compte administrateur rgulier peut restaurer la configuration sauve sur
ce fichier.

01-30001-0203-20060424
Illustration 82 : Options de sauvegarde et de restauration
Dernire Sauvegarde Le jour et lheure de la dernire sauvegarde vers le PC local.

Sauvegarde Sauvegarde la configuration actuelle.
Sauvegarde de la Slectionnez le support sur lequel vous dsirez sauvegarder
configuration vers : le fichier de configuration : local PC ou cl USB. La slection
de Cl USB nest possible que si la cl est connecte
Nom du fichier : Si vous slectionnez Cl USB, nommez le fichier de
sauvegarde.
Chiffrer le fichier de Cochez cette case pour crypter le fichier de sauvegarde.
configuration Entrez ensuite un mot de passe dans le champ Mot de Passe
et entrez le une seconde fois dans le champ Confirmer. Ce
mot de passe est exig pour la restitution du fichier.
Pour sauvegarder des certificats VPN, le cryptage doit tre
permis sur le fichier de sauvegarde.
Sauvegarde Cliquez sur ce bouton pour sauvegarder la configuration.
Restaurer Restaure la configuration partir dun fichier.
Restaurer la Slectionnez le support sur lequel vous avez sauvegard la
configuration depuis : configuration : local PC ou Cl USB. La slection de Cl USB
nest possible que si la cl est connecte lquipement
FortiGate.
Nom du fichier : Dans le cas o vous restaurez la configuration partir de la cl
USB, slectionnez le nom du fichier de configuration dans la
liste. Dans le cas o vous restaurez la configuration partir du
PC dadministration, entrez le nom du fichier de configuration
ou utilisez le bouton Parcourir (Browse).
Mot de Passe Dans le cas o le fichier de sauvegarde est crypt, entrez le
mot de passe.

01-30001-0203-20060424
Restaurer Cliquez sur le bouton Restaurer pour restaurer la configuration
partir du fichier slectionn.
Firmware
Partition Une partition peut contenir une version du logiciel et de la
configuration du systme. Les modles FortiGate 100 et plus
possdent deux partitions. Une des partitions est active, tandis
que lautre est une sauvegarde.
Active Une marque V verte indique la partition comprenant le logiciel
et la configuration en cours.
Dernire Mise jour Le jour et lheure de la dernire mise jour de cette partition.
Version du Firmware La version du microcode FortiGate. La partition de sauvegarde
permet de :
Slectionner Charger pour remplacer le microcode par
celui qui se trouve sur le PC dadministration ou sur la cl
USB.
Slectionnez Charger et Redmarrer pour remplacer le
microcode et en faire la partition active.
Dmarrer sur firmware Cliquez sur ce bouton pour redmarrer le botier FortiGate
alternatif en utilisant le microcode sauvegard. Cette fonction nest
disponible que sur les FortiGate 100 et plus.
Avancs (USB Auto-Install, Import CLI Commands, Download Debug Log)
Cette section nest disponible que dans le cas o une cl USB
est connecte lquipement FortiGate. Slectionnez les
options requises et redmarrez le botier FortiGate.
Si vous slectionnez les mises jour de configuration et de
microcode, les deux senclenchent lors du redmarrage. Un
microcode ou un fichier de configuration dj tlcharg ne
seront pas re-tlchargs.
Quand le systme redmarre, mettre jour la configuration de la FortiGate
par celle de la cl USB si le Fichier de Configuration par dfaut est prsent
sur celle-ci.
Met la configuration jour automatiquement lors du
redmarrage. Assurez-vous que le nom du fichier de
configuration par dfaut corresponde au nom de ce fichier sur
la cl USB.
Quand le systme redmarre, mettre jour le FirmWare de la FortiGate par

celle de la cl USB si lImage par dfaut est prsente sur celle-ci.
Met le microcode jour automatiquement lors du redmarrage.
Assurez-vous que le nom de lImage par dfaut corresponde
au nom du fichier de limage sur la cl USB.
Import Bilk CLI Commands Importe sur lquipement FortiGate des dfinitions de filtres
URL et de filtres antispam partir dun fichier texte prsent sur
lordinateur dadministration. Entrez le chemin daccs et le
nom de fichier ou cliquez sur Parcourir (Browse) pour localiser
le fichier.
Vous pouvez crer le fichier texte en extrayant la section
approprie dun fichier de sauvegarde de configuration
FortiGate ou en tapant les commandes CLI appropries.
Download Debug Log Tlcharger un journal de dboguage crypt dans un fichier.
Vous pouvez ensuite lenvoyer au Service Technique de
Fortinet qui vous aidera diagnostiquer les problmes
ventuels rencontrs sur votre FortiGate.

01-30001-0203-20060424
Centre FortiGuard
Le Centre FortiGuard configure votre FortiGate pour le FortiGuard Distribution
Network (FDN - Rseau de Distribution FortiGuard) et les Services FortiGuard. Le
FDN fournit des mises jour des bases de connaissance antivirus et IPS. Les
Services FortiGuard procurent quant eux des listes noires dadresses IP, dURL
et autres outils de filtrage antispam.
Rseau de Distribution FortiGuard

Ce rseau, appel FDN, est un rseau mondial de FortiGuard Distribution Servers
(FDS). Le FDN fournit des mises jour des bases de donnes antivirus (y compris
grayware) et IPS (contre les attaques). Lorsque le botier FortiGate se connecte au
FDN, il se connecte au FDS le plus proche, considrant le fuseau horaire dfini.
Lquipement FortiGate supporte les mises jour des fonctionnalits suivantes :

Mises jour inities par lutilisateur partir du FDN,
Mises jour mensuelles, hebdomadaires voire toutes les heures, des bases de
donnes antivirus et IPS, partir du FDN,
Mises jour forces partir du FDN,
Statuts des mises jour, y compris les numros des versions, les dates
dexpiration, ainsi que les dates et heures des mises jour,
Mises jour forces partir dun serveur NAT.
Vous devez dabord enregistrer votre FortiGate sur la page web du support de
Fortinet. Voir Enregistrement dun quipement FortiGate la page 37.
Pour recevoir des mises jour programmes, lquipement FortiGate doit pouvoir
se connecter au FDN via HTTPS sur le port 443. Pour plus dinformations sur la
configuration de programmation de mises jour, voir Activer la programmation
de mise jour la page 190.
Vous pouvez galement configurer votre FortiGate pour quil accepte des mises
jour forces. Pour ce faire, le FDN doit tre capable dacheminer des paquets vers
le botier FortiGate via UDP port 9443. Pour plus dinformations ce sujet, voir
Activer les mises jour forces la page 191.
Services FortiGuard
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une
couverture mondiale. Fortinet cre des nouveaux Points de Service chaque fois
que ncessaire.
Le botier FortiGate communique par dfaut avec le Point de Service le plus

proche. Si celui-ci devient, pour quelque raison que ce soit, injoignable,
lquipement FortiGate contacte un autre Point de Service dont les informations
saffichent aprs quelques secondes. Par dfaut le botier FortiGate communique
avec le Point de Service via UDP sur le port 53. Comme alternative, vous pouvez
utiliser UDP port 8888 en slectionnant Systme > Maintenance > FortiGuard
Center.
Pour modifier, si ncessaire, le nom dhte du Point de Service FortiGuard par

dfaut, entrez le mot-cl hostname dans la commande CLI system

01-30001-0203-20060424
fortiguard. Il nest pas possible de modifier ce nom dhte partir de linterface
Pour plus dinformations sur les services FortiGuard, rendez-vous sur la page web
FortiGuard Center.
Service Antispam FortiGuard

FortiGuard-Antispam est un systme antispam de Fortinet qui comprend des listes
noires dadresses IP, dURL et des outils de filtrage antispam. La liste noire
dadresses IP contient des adresses IP de serveurs mails connus pour gnrer des
spams. La liste noire dURL contient des URL de sites web trouvs dans ces
spams.
Les procds FortiGuard-Antispam sont compltement automatiss et configurs

par Fortinet. Grce un contrle constant et des mises jour dynamiques,
FortiGuard-Antispam est toujours actualis. Vous pouvez activer ou dsactiver
FortiGuard-Antispam dans les profils de protection pare-feu. Pour plus
dinformations, voir Options du filtrage antispam la page 286.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard Antispam est
offerte lachat dun quipement FortiGate. La gestion de ces licences est suivie
par les serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence.
Lors de lactivation de FortiGuard-Antispam, le botier FortiGate contacte
automatiquement un Point de Service FortiGuard-Antispam. Pour renouveler la
licence aprs la priode dessai de 30 jours, contactez le Support Technique de
Fortinet.
Pour activer FortiGuard-Antispam, slectionnez Systme > Maintenance >

FortiGuard Center et configurez ensuite les options du Filtrage Antispam pour
chaque profil de protection pare-feu. Voir Options du filtrage antispam la
page 286.
Service FortiGuard-Web
Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce
service trie des centaines de millions de pages web en diverses catgories que les
utilisateurs peuvent accepter, bloquer ou contrler. Le botier FortiGate accde au
Point de Service FortiGuard-Web le plus proche pour dterminer la catgorie de la
page web souhaite et applique ensuite la rgle pare-feu configure pour cet
utilisateur ou cette interface.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard-Web est offerte
lachat dun quipement FortiGate. La gestion de ces licences est suivie par les
serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence. Lors de
lactivation du service de blocage des catgories FortiGuard, lquipement
FortiGate contacte automatiquement un Point de Service FortiGuard. Pour
renouveler la licence FortiGuard aprs la priode dessai de 30 jours, contactez le
Support Technique de Fortinet.
Pour activer FortiGuard-Web, slectionnez Systme > Maintenance > FortiGuard

Center et configurez ensuite les options du filtrage FortiGuard-Web pour chaque
profil de protection pare-feu. Voir Options du filtrage FortiGuard-Web la page
285.

01-30001-0203-20060424
Configuration du botier FortiGate pour les services FDN et FortiGuard
Pour configurer laccs aux mises jour FDN et aux services FortiGuard,
slectionnez Systme > Maintenance > FortiGuard Center.
Illustration 83 : Centre de Mise jour
Rseau de distribution FortiGuard

Etat FDN Ltat de la connexion au FortiGuard Distribution Network
(FDN) :
vert Le botier FortiGate arrive se connecter au FDN.
Vous pouvez le configurer pour des mises jour
programmes. Voir Activer la programmation de mises
jour la page 190.
rouge-jaune clignotant Le botier FortiGate narrive pas
se connecter au FDN. Voir Rsolution de problmes de
connexion FDN la page 188.
Mise jour force Le statut de rception des mises jour forces provenant du
FDN :
vert Le FDN arrive se connecter lquipement
FortiGate pour envoyer des mises jour forces. Vous pouvez
configurer lquipement FortiGate pour des mises jour
forces. Voir Activer les mises jour forces la page
191.

01-30001-0203-20060424
rouge-jaune clignotant Le botier FortiGate narrive pas
se connecter au FDN pour envoyer des mises jour forces.
Voir Rsolution de problmes de connexion FDN la page
188.
Ractualiser Cliquez sur Ractualiser pour que le botier FortiGate teste sa

connexion au FDN. Les rsultats saffichent en haut de la page
FortiGuard Center.
Utiliser ladresse de Configurez un serveur override si vous narrivez pas vous
remplacement connecter au FDN ou si votre entreprise fournit des mises
jour via son propre serveur FortiGuard.
Cochez cette case et entrez une adresse IP ou un nom de
domaine dun serveur FortiGuard. Cliquez ensuite sur
Appliquer. Si ltat FDN indique toujours un problme de
connexion, voir Rsolution de problmes de connexion
FDN la page 188.
Mise jour Ce tableau reprend les statuts des mises jour des bases de
donnes antivirus et IPS FortiGuard.
Version Le numro de la version du fichier de la base de donnes
courante sur le botier FortiGate.
Date dexpiration La date dexpiration de votre licence pour ce service
FortiGuard.
Dernire tentative de Le jour et lheure de la dernire tentative par le botier
mise jour FortiGate de tlcharger les mises jour des bases de
donnes.
Statut de la dernire Le rsultat de la dernire tentative de mise jour :

mise jour
Pas de mise jour ; No Updates la dernire tentative a
t installe avec succs, pas de nouvelle mise jour
disponible.
Mises jour installes ; Installed Updates - la dernire
tentative a t installe avec succs, de nouvelles mises
jour ont t installes.
Dautres messages peuvent indiquer que lquipement
FortiGate na pas russi se connecter au FDN ou autre
message derreur.
Permettre les mises Cochez cette case pour permettre des mises jour
jour forces automatiques de votre FortiGate.
Utiliser ladresse IP Spcifiez une adresse IP et un port de remplacement lors de la

de remplacement prsence dun serveur NAT entre le botier FortiGate et le
FDN.
Cochez la case, entrez ladresse IP et le numro du port

auxquels le FDN doit envoyer les mises jour. Cliquez ensuite
sur Appliquer.
Pour plus dinformations, voir Activation des mises jour

forces via un serveur NAT la page 192.
Programmation des Cochez cette case pour activer les mises

mises jour rgulires jour programmes.
Chaque Tente une mise jour toutes les 1 23 heures. Slectionnez

le nombre dheure dsir entre chaque requte de mise jour.

01-30001-0203-20060424
Journalire Tente une mise jour une fois par jour. Vous pouvez en
spcifier lheure. La tentative de mise jour senclenche un
moment dtermin arbitrairement pendant lheure
slectionne.
Hebdomadaire Tente une mise jour une fois par semaine. Vous pouvez en
spcifier le jour et lheure. La tentative de mise jour
senclenche un moment dtermin arbitrairement pendant
lheure slectionne.
Mettre jour Slectionnez cette fonction pour initier manuellement une mise
jour FDN.
FortiGuard Service
Activer Active le service.
Service Un des services FortiGuard : Anti Spam, Filtrage Web ou AV
Query (future).
Licence Etat de votre licence pour ce service.
Expire Date dexpiration de votre licence pour ce service.
Utiliser le cache Permet le cache des informations des Services FortiGuard.
Cela amliore les performances grce la rduction des
requtes de lquipement FortiGate au serveur FortiGuard. Le
cache est configur pour utiliser 6% de la mmoire du
FortiGate. Lorsque le cache est plein, ladresse IP ou lURL
utilise le moins rcemment est supprime.
Cache TTL Time to live . Le nombre de secondes pour stocker les
adresses IP et URL bloques dans le cache avant de
recontacter le serveur.
Etat Etat de la connexion vers le serveur FortiGuard-Antispam :
Rouge/jaune clignotant chec de la connexion avec le
serveur
Vert permanent succs de la connexion avec le serveur
Use Default Port (53) Slectionnez cette fonction pour utiliser le port 53 pour
communiquer avec les serveurs FortiGuard-Antispam.
Use Alternate Port (8888) Slectionnez cette fonction pour utiliser le port 8888 pour
communiquer avec les serveurs FortiGuard-Antispam.
Test Availability Slectionnez cette fonction pour tester la connexion au serveur
FortiGate-Antispam. Les rsultats saffichent en dessous du
bouton et sur les indicateurs des Statuts.
Rsolution de problmes de connexion FDN

Dans le cas o votre quipement FortiGate narrive pas se connecter au FDN, il
est ncessaire de vrifier votre configuration. Par exemple, vous devrez
probablement ajouter des routes la table de routage FortiGate ou encore
configurer votre rseau afin de permettre lquipement FortiGate lutilisation
HTTPS sur le port 443 pour se connecter Internet.
Vous devrez galement peut-tre vous connecter un serveur override FortiGuard

pour recevoir des mises jour. Voir Ajouter un serveur override la page 190.
Si cela ne fonctionne toujours pas, vrifiez votre configuration pour vous assurer
de la connexion entre le serveur override FortiGuard et lquipement FortiGate.

01-30001-0203-20060424
Les mises jour forces risquent de ne pas tre disponibles si :
Vous navez pas enregistr votre quipement FortiGate (voir Enregistrement
dun quipement FortiGate la page 37.)
Un serveur NAT est install entre votre FortiGate et le FDN (voir Activation
de mises jour forces via un serveur NAT la page 192.)
Votre FortiGate se connecte Internet via un serveur proxy (voir Activer la
programmation de mises jour via un serveur proxy la page 190.)
Mise jour des signatures antivirus et IPS

Les procdures suivantes vous guident dans la configuration de votre FortiGate
pour une connexion au Rseau de Distribution FortiGuard (FDN) afin de mettre
jour les bases de connaissance antivirus et IPS (contre les attaques).
Sassurer que lquipement FortiGate se connecte au FDN
1 Slectionnez Systme > Statut et cliquez sur Changer ct de Heure Systme

dans la section des Informations sur le systme.
2 Assurez-vous que le bon fuseau horaire est slectionn, dpendant de la
localisation de votre FortiGate.
3 Slectionnez Systme > Maintenance > FortiGuard Center.
4 Cliquez sur Ractualiser. Le botier FortiGate tente alors une connexion avec le
FDN. Les rsultat du test saffichent en haut de la page des Mises jour du
systme.
Mettre jour les signatures antivirus et IPS

2 Cliquez sur Mettre jour pour mettre jour les bases de connaissance antivirus et
IPS.
En cas de succs de la connexion au FDN ou au serveur override, linterface
dadministration web affiche un message du type :
Your update request has been sent. Your database will
be updated in a few minutes. Please check your update
page for the status of the update.
A savoir:
Votre demande de mise jour a t envoye. Votre base de

donnes sera mise jour dans quelques minutes. Merci de
vrifier ltat de la mise jour sur votre page de mise
jour.
Lorsquune mise jour est disponible, la page du Centre FortiGuard affichera,

aprs quelques minutes, les nouvelles versions dantivirus, en fonction de leurs
dates de cration et numros de version. Le journal Evnement enregistre les
messages tmoignant du succs ou de lchec des mises jour.
Remarque : La mise jour des dfinitions dantivirus, par lajout de nouvelles signatures par
FortiGate dans la base de donnes, peut entraner une brve rupture du trafic analys. Il est

01-30001-0203-20060424
ds lors prfrable de programmer les mises jour lorsque le trafic est faible, par exemple
pendant la nuit.
Activer la programmation de mise jour

2 Cochez la case Programmation des mises jour rgulires.
3 Slectionnez une des frquences suivantes pour la vrification et le
tlchargement des mises jour :
Chaque Toutes les 1 23 heures. Slectionnez le temps
souhait (en heures et minutes) entre chaque demande
de mise jour.
Journalire La mise jour a lieu quotidiennement. Vous pouvez en
spcifier lheure prcise dans la journe.
Hebdomadaire La mise jour a lieu une fois par semaine. Vous pouvez
en spcifier le jour et lheure.
La nouvelle programmation de frquence entre en vigueur immdiatement.
A chaque fois que le botier FortiGate procde une mise jour, laction est
enregistre dans le journal Evnement.
Ajouter un serveur override

Dans le cas o vous ne parvenez pas vous connecter au FDN, ou encore si votre
entreprise vous fournit les mises jour de leur propre serveur FortiGuard, les
procdures suivantes vous permettront dajouter une adresse IP dun serveur
override FortiGuard.

2 Cochez la case Utiliser ladresse de remplacement.
3 Entrez le nom de domaine entier ou ladresse IP dun serveur FortiGuard.
Le botier FortiGate teste la connexion vers le serveur override.

En cas de succs, le paramtre du FDN affiche un statut disponible.
Dans le cas contraire o le FDN affiche un statut de service indisponible, le botier
FortiGate narrivant pas se connecter au serveur override, vrifiez les
configurations du FortiGate et du rseau et tentez de dceler les paramtres
empchant la connexion au serveur override FortiGuard.
Activer la programmation de mise jour via un serveur proxy

Si votre FortiGate doit se connecter Internet via un serveur proxy, vous pouvez
utiliser la commande config system autoupdate tunneling pour permettre
au FortiGate de se connecter (via un tunnel) au FDN via le serveur proxy. Pour
plus dinformations, voir le FortiGate CLI Reference.

01-30001-0203-20060424
Activation des mises jour forces
Le FDN peut forcer les mises jour sur le botier FortiGate en vue de fournir une
rponse la plus rapide possible aux situations critiques. Votre quipement
FortiGate doit dabord avoir t enregistr pour recevoir ces mises jour forces.
Voir Enregistrement dun quipement FortiGate la page 37.
Les quipements FortiGate configurs pour recevoir les mises jour forces
envoient un message SETUP au FDN. De cette manire, lorsque les nouvelles
bases de connaissance antivirus et IPS sont cres, le FDN informe tous les
FortiGate configurs pour la mise jour force dune nouvelle mise jour
disponible. Dans les 60 secondes aprs la rception de ce message, les
FortiGates demandent la mise jour au FDN.
Remarque : Les mises jour forces ne sont pas supportes dans le cas de lutilisation
dun serveur proxy pour se connecter au FDN. Pour plus dinformations, voir Activer la
programmation de mises jour via un serveur proxy la page 190.
Lorsque la configuration du rseau le permet, il est recommand dactiver les

mises jour forces en plus de la configuration des mises jour programmes.
Cela permet au FortiGate de recevoir plus rapidement les mises jour. Cependant,
la programmation de mises jour assurent au FortiGate une meilleure garantie de
rception des dernires mises jour.
Lactivation des mises jour forces comme seul moyen dobtention des mises
jour nest pas recommande. Il existe toujours un risque que le botier FortiGate ne
reoive pas linformation de la disponibilit de nouvelles mises jour. De plus une
telle information nactive quune seule tentative de connexion au FDN et de
tlchargement des mises jour.
Activer les mises jour forces

2 Slectionnez Permettre les mises jour forces.
Mises jour forces en cas de modification des adresses IP

FortiGate
Le message SETUP envoy par le botier FortiGate lors de lactivation de mises
jour forces comprend ladresse IP de linterface laquelle vient se connecter le
FDN. En mode Transparent, le message SETUP comprend ladresse IP
dadministration FortiGate. En mode NAT/Route, ce message comprend ladresse
IP dune interface, dpendant du modle botier FortiGate.
Tableau 32 : Interface pour les mises jour forces FDN

Modle Interface pour les mises jour forces FDN
50A, 50AM, 100, 200, 300, 500, 800, Externe
2000, 3000, 3600, 4000
60, 60M, 60Wi-Fi WAN1
100A, 200A, 300A, 400, 400A, 500A Port 2

01-30001-0203-20060424
Dans le cas dun changement manuel dune adresse IP de linterface ou de
changement dynamique via DHCP ou PPPoE, lquipement FortiGate envoie un
message SETUP.
Le FDN doit pouvoir se connecter cette adresse IP pour permettre votre

FortiGate de recevoir les messages de mises jour forces. Si votre FortiGate se
trouve derrire un serveur NAT, voir Activation de mises jour forces via un
serveur NAT la page 192.
Dans le cas de connexions Internet redondantes, le botier FortiGate envoie

galement un message SETUP lorsque lune des connexions choue et quune
autre prend le relais.
Si un changement dadresse IP dadministration a lieu, en mode Transparent,

lquipement FortiGate envoie galement un message SETUP pour en informer le
FDN.
Activation de mises jour forces via un serveur NAT

Dans le cas o le FDN ne se connecte au FortiGate qu travers un serveur NAT, il
est ncessaire de configurer le relayage de port sur le serveur NAT et dajouter ces
informations dans la configuration des mises jour forces. Lors de lutilisation
dun relayage de port, le FDN se connecte au FortiGate via UDP soit sur le port
9443 soit sur un port de remplacement spcifi.
Remarque : Vous ne pouvez pas recevoir de mise jour force via un serveur NAT si son
adresse IP externe est dynamique (par exemple, via lutilisation de PPPoE ou DHCP).
Procdure gnrale
Les procdures suivantes vous guident dans la configuration du serveur NAT
FortiGate et du botier FortiGate sur le rseau interne pour la rception des mises
jour forces.
1 Ajoutez une IP virtuelle de relayage de port sur le serveur NAT FortiGate.

2 Ajoutez une rgle pare-feu sur le serveur NAT FortiGate qui comprenne lIP
virtuelle du relayage de port.
3 Configurez lquipement FortiGate sur le rseau interne avec une IP et un port de
remplacement.
Remarque : Avant de clturer cette procdure, assurez-vous davoir enregistr votre rseau
interne du FortiGate de manire ce quil puisse recevoir les mises jour forces.

01-30001-0203-20060424
Licence
Pour les modles FortiGate-3000 et plus, des cls de licence sont en vente auprs
de Fortinet pour augmenter le nombre maximum de VDOM jusqu 25, 50, 100 ou
250. Le botier FortiGate supporte par dfaut un maximum de 10 VDOM.
La cl de licence est un code de 32 caractres fournit par Fortinet. Votre numro

de srie est exig pour gnrer cette cl de licence.
Slectionnez Systme > Maintenance > Licence pour entrer la cl de licence.
Illustration 84 : Cl de licence pour ajout de VDOM supplmentaires
Current License Le nombre actuel maximum de domaines virtuels.

Input License Key Entrez la cl de licence fournie par Fortinet et cliquez ensuite
sur Appliquer.

01-30001-0203-20060424
Routeur Statique
Vous trouverez dans cette section la faon de dfinir des routes statiques et de
crer des rgles de route. Une route fournit au FortiGate linformation ncessaire
pour transfrer un paquet vers une destination particulire. Une route statique
entrane le transfert de paquets vers une destination autre que celle de la
passerelle par dfaut configure lorigine.
La route statique par dfaut configure lorigine vous fournit un point de dpart
pour configurer la passerelle par dfaut. Vous pouvez diter cette route statique
par dfaut et spcifier une passerelle par dfaut diffrente pour le botier FortiGate,
ou vous pouvez la supprimer et spcifier votre propre route statique par dfaut qui
dirige vers la passerelle par dfaut (voir Route par dfaut et passerelle par
dfaut la page 198).
Les routes statiques sont dfinies manuellement. Elles contrlent le trafic sortant
du FortiGate vous pouvez spcifier linterface travers laquelle les paquets
sortent et linterface vers laquelle ces paquets sont dirigs.
Facultativement, il est possible de dfinir des rgles de route (route policies).

Celles-ci ajoutent des critres supplmentaires pour lexamin des proprits des
paquets entrants. Ces rgles permettent galement de configurer le botier
FortiGate pour diriger les paquets en fonction de leurs adresses IP source et/ou de
destination et autres critres tels que linterface qui a reu le paquet ou le protocole
(service) et/ou port utilis pour le transport du paquet.

Route Statique
Rgle de Routage
Route Statique
Les routes statiques se configurent en dfinissant ladresse IP et le masque de
rseau de destination des paquets que le botier FortiGate sapprte intercepter
et en spcifiant une adresse IP (de passerelle) pour ces paquets. Ladresse de la
passerelle indique le routeur du prochain saut vers lequel le trafic va tre dirig.
Remarque : La commande CLI config router static6 permet dajouter, diter ou

supprimer les routes statiques du trafic IPv6. Pour plus dinformations, voir le chapitre sur
les routeurs dans le FortiGate CLI Reference.
Concepts de routage
Le routage tant un sujet complexe, certains le considrent comme trop difficile
matriser. Cependant, le botier FortiGate tant un appareil ddi la scurit sur
le rseau, ce guide dveloppe un certain nombre de concepts de base sur le
routage de manire ce que la configuration du FortiGate puisse tre ralise
avec efficacit.
Que le rseau administrer soit grand ou petit, ce module vous aide comprendre
les fonctions de routage excutes par un quipement FortiGate.

01-30001-0203-20060424
Comment se construit une table de routage ?
La table de routage FortiGate comprend, par dfaut, une seule route statique par
dfaut. Vous pouvez ajouter des informations la table de routage en dfinissant
des routes statiques supplmentaires. La table peut comprendre plusieurs routes
diffrentes vers une mme destination. Les adresses IP du routeur du prochain
saut spcifi dans ces routes peuvent varier, de mme que les interfaces FortiGate
associes ces routes.
Lquipement FortiGate slectionne la meilleure route pour un paquet en

valuant les informations de la table de routage. La meilleure route est
typiquement associe la distance la plus courte entre lquipement FortiGate et
le routeur le plus proche du prochain saut. Dans le cas o la meilleure route est
indisponible, cest la meilleure route suivante qui est slectionne. Les meilleures
routes sont reprises dans la table de relayage FortiGate, qui reprsente un sous-
ensemble de la table de routage FortiGate. Les paquets sont donc transfrs en
fonction des informations contenues dans la table de relayage.
Comment les dcisions de routage sont-elles prises ?

A chaque fois quun paquet arrive sur lune des interfaces du FortiGate, ce dernier
dtermine si le paquet a t reu par une interface lgitime en lanant une
recherche inverse utilisant ladresse IP source de len-tte du paquet. Dans le cas
o le botier FortiGate narrive pas communiquer avec lordinateur de cette
adresse IP source, le botier FortiGate annule le paquet.
Dans le cas o ladresse de destination correspond une adresse locale (et que la
configuration locale permet la livraison), lquipement FortiGate livre le paquet au
rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate
transfre le paquet vers le routeur du prochain saut daprs la rgle de route
correspondante (voir Rgle de routage la page 201) et/ou daprs les
informations disponibles dans la table de relayage FortiGate.
Comment la distance administrative affecte-t-elle la prfrence

des routes ?
Lorsque plusieurs entres vers une mme destination sont prsentes dans le table
de routage, il est possible de forcer lquipement FortiGate slectionner une
route primaire (prfre) parmi les diffrentes routes, en diminuant sa distance
administrative. La distance administrative se situe entre 1 et 255.
Toutes les entres de la table de routage sont associes une distance

administrative. Si la table de routage contient plusieurs entres vers une mme
destination (les entres pouvant avoir des associations de passerelles ou
dinterfaces diffrentes), lquipement FortiGate compare et slectionne les entres
ayant les distances les plus basses et les installe comme routes dans la table de
relayage. De cette manire la table de relayage FortiGate ne contient que des
routes ayant les distances les plus basses vers toutes les destinations possibles.
Pour toutes informations sur la modification de ces distances administratives, voir
Ajout dune route statique la table de routage la page 200.
Comment le numro de squence dune route affecte-t-elle la

priorit de cette route ?
Une fois la slection des routes statiques dans la table de relayage dfinie, la
priorit de routage sappuie sur le numro de la route dans la liste. Lorsquil existe

01-30001-0203-20060424
deux routes pour une mme destination dans la table de relayage, cest la route
qui possde le numro le plus bas dans la succession qui est considre comme
la route avec la plus grande priorit.
Dans la version 3.0 de FortiOS, il est possible de dfinir un champ de priorits pour
les routes partir des commandes CLI. Ce champ ne tient pas compte du numro
de squence dans le cas o deux routes ont la mme distance administrative la
route ayant la priorit la plus leve est le route primaire. Si deux routes ont la
mme priorit, il est possible de dfinir le champ de priorits via la commande CLI
set priority <integer> dans la commande config route static. Pour
plus dinformations, voir le FortiGate CLI Reference. DH New 3.0, partial fix for
bug.
Lorsquune route statique est cre dans la liste de Routes Statiques partir de
linterface dadministration web, lquipement FortiGate lui affecte
automatiquement le prochain numro de squence. Par exemple, dans lillustration
85, deux routes statiques vers une mme destination (1.1.1.0/24) ont t cres
pour montrer comment les numros dentre et les numros de squence sont
affects par linterface graphique. Les deux routes spcifient la mme passerelle,
mais dans un cas, le paquet quitte lquipement FortiGate via linterface port1
et dans le deuxime cas, via linterface port2 .
Illustration 85 : Routes statiques cres partir de linterface dadministration web
Le numro de squence dans la table de routage dpend de lordre de cration

des entres. Ainsi lentre 2 a t cre avant lentre 3. Lorsque lquipement
FortiGate value ces deux routes pour une mme destination, celles-ci seront
toutes les deux ajoutes dans la table de relayage car leur distance administrative
est basse. Une fois dans la table de relayage, le numro de squence dtermine la
priorit de la route, moins que celle-ci ait t dfinie partir de la commande CLI
set priority. Lentre 2 ayant le numro de squence le plus bas, elle devient
la route prfre.
Remarque : Il est possible dafficher les numros des routes statiques dans la table de
routage partir de la commande CLI config router static, et tapez ensuite get. Le
numro dune route est quivalente la valeur edit <ID_integer> entre
prcdemment par une commande CLI. Pour plus dinformations, voir config router
static dans le FortiGate CLI Reference.
Lorsque toutes les routes statiques sont configures partir de linterface

graphique, lordre des entres dans la liste de Routes Statiques quivaut la
squence des routes statiques dans la table de routage. Cependant, le numro de
squence dune route ne correspond pas toujours son numro dentre dans la
liste de Routes Statiques. Cest le cas lorsque les numros de squence ont t
dfinis lors de leur cration partir de linterface de commande en ligne. Les
numros de squence peuvent tre spcifis partir de commandes CLI
uniquement.
En rsum, si une route de la table de routage possde un numro de squence

plus bas quune autre route pour la mme destination, lquipement FortiGate

01-30001-0203-20060424
choisit la route avec le numro de squence le plus bas. Etant donn que vous
pouvez, lors de la configuration de routes statiques, partir de linterface de ligne
de commande, spcifier les numros de squence ou la priorit affecter, les
routes vers une mme destination peuvent tre dfinies comme prioritaires ou non
en fonction de leurs numro de squence et priorit. Pour mettre la priorit sur une
route statique, vous devez crer cette route partir de la commande CLI config
router static et spcifier un numro de squence bas ou une priorit haute
pour cette route.
Visualisation, cration et dition de routes statiques

La liste des Routes Statiques affiche les informations que lquipement FortiGate
compare aux en-ttes des paquets dans le but de les diriger. Au dpart, la liste
comprend les routes statiques configures par dfaut (voir Route par dfaut et
passerelle par dfaut la page 198). Des entres supplmentaires peuvent tre
cres manuellement.
Lorsque vous ajoutez une route la liste des Routes Statiques, lquipement
FortiGate value les nouvelles informations pour dterminer si celles reprsentent
une route diffrente compare toutes les autres routes prsentes dans la table
de routage. Si aucune de ces routes ne possdent la mme destination,
lquipement FortiGate ajoute cette nouvelle route la table de routage.
Pour visualiser la liste des routes statiques, slectionnez Routeur > Static >
Route Statique. Pour diter une entre de route statique existante, cliquez sur son
icne Editer.
Lillustration 86 prsente un exemple de liste de routes statiques appartenant un

quipement FortiGate. Les noms des interfaces varient dun modle FortiGate un
autre.
Illustration 86 : Liste des Routes Statiques
Crer Nouveau Permet dajouter une route statique la liste des Routes
Statiques. Voir Ajout dune route statique la table de
routage la page 200.
IP Les adresses IP de destination des paquets intercepts par
Masque Le masque de rseau associ aux adresses IP.
Passerelle Les adresses IP des routeurs du prochain saut vers lequel les
paquets intercepts sont envoys.
Interface Le nom de linterface FortiGate travers laquelle les paquets
intercepts sont reus et envoys.
Distance Les distances administratives associes chaque route. La
valeur reprsente la distance vers les routeurs du prochain
saut.
Icnes Supprimer et Editer Permet de supprimer ou dditer lentre dans la liste.

01-30001-0203-20060424
Route par dfaut et passerelle par dfaut
Dans la configuration dorigine, lentre numro 1 dans la liste des Routes
Statiques est associe ladresse de destination 0.0.0.0/0.0.0.0, ce qui signifie
toutes destinations. Cette route est appele la route statique par dfaut . Si
aucune autre route nest prsente dans la table de routage et quun paquet doit
tre envoy au-del de lquipement FortiGate, la route par dfaut dorigine permet
lquipement FortiGate denvoyer le paquet vers la passerelle par dfaut.
Pour empcher cela vous pouvez soit diter la route statique par dfaut et spcifier
une passerelle par dfaut diffrente, soit supprimer cette route statique par dfaut
et en spcifier une nouvelle qui dirige vers la passerelle par dfaut.
Lillustration 87 offre lexemple dun quipement FortiGate connect un routeur.

Pour sassurer que tous les paquets destins tout rseau au-del du routeur sont
commuts vers la bonne destination, il vous faut diter la configuration par dfaut
et faire du routeur la passerelle par dfaut de lquipement FortiGate.
Illustration 87 : Faire dun routeur une passerelle par dfaut
Dans cet exemple, pour diriger les paquets sortants du rseau interne vers des
destinations qui ne sont pas sur le rseau 192.168.20.0/24, vous pouvez diter la
route par dfaut et inclure les paramtres suivants :
IP/Masque de destination : 0.0.0.0/0.0.0.0
Passerelle : 192.168.10.1
Interface : Nom de linterface connecte au rseau 192.168.10.0/24 (par
exemple, external).
Distance : 10

01-30001-0203-20060424
Le paramtre Passerelle spcifie, pour linterface external du FortiGate,
ladresse IP de linterface du routeur du prochain saut. Linterface derrire le
routeur (192.168.10.1) est la passerelle par dfaut pour FortiGate_1.
Dans certains cas, il peut y avoir des routeurs derrire lquipement FortiGate. Si la
destination dune adresse IP dun paquet nest pas sur le rseau local mais sur un
rseau derrire lun de ces routeurs, la table de routage de lquipement FortiGate
doit comprendre une route statique vers ce rseau. Dans lexemple de lillustration
88, lquipement FortiGate doit tre configur avec des route statiques vers les
interfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets
respectivement vers Network_1 et Network_2.
Illustration 88 : Destinations vers des rseaux derrire les routeurs internes
Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit tre
configur pour utiliser linterface internal de lquipement FortiGate comme sa
passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement
FortiGate une nouvelle route statique avec les paramtres suivants :
IP/Masque de destination : 192.168.30.0/24
Interface : dmz
Distance : 10
Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit tre
configur pour utiliser linterface dmz de lquipement FortiGate comme sa
passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement
FortiGate une nouvelle route statique avec les paramtres suivants :
IP/Masque de destination : 192.168.20.0/24
Interface : internal
Distance : 10

01-30001-0203-20060424
Spcifier une passerelle diffrente pour la route par dfaut
La passerelle par dfaut dtermine vers quelle destination les paquets
correspondants la route par dfaut seront envoys.
Spcifier une passerelle diffrente pour la route par dfaut

1 Slectionnez Routeur > Static > Route statique.
2 Cliquez sur licne Editer de la ligne 1.
3 Dans le champ Passerelle, tapez ladresse IP du routeur du prochain saut vers
lequel le trafic sortant doit tre dirig.
4 Si lquipement FortiGate atteint le routeur du prochain saut via une interface
diffrente (compar linterface en cours slectionne dans le champ Interface),
slectionnez le nom de linterface dans le champ Interface.
5 Dans le champ Distance, ajoutez, facultativement, la valeur de la distance
administrative.
6 Cliquez sur OK.
Ajout dune route statique la table de routage

Une route fournit au FortiGate les informations ncessaires pour envoyer un
paquet vers une destination particulire. Une route statique permet aux paquets
dtre envoys vers une destination autre que la passerelle par dfaut.
Les routes statiques se dfinissent manuellement. Les routes statiques contrlent

le trafic sortant de lquipement FortiGate vous pouvez spcifier partir de quelle
interface le paquet sort et vers quelle interface le paquet doit tre dirig.
Pour ajouter une entre de route statique, slectionnez Routeur > Static > Route
statique et cliquez sur Crer Nouveau.
Lorsque vous ajoutez une route statique partir de linterface dadministration web,
lquipement FortiGate affecte automatiquement le prochain numro de squence
la route et ajoute lentre la liste de Routes Statiques.
Lillustration 89 reprsente la bote de dialogue ddition dune route statique

appartenant un quipement FortiGate ayant une interface appele internal .
Les noms des interfaces varient en fonction des modles FortiGate.
Illustration 89 : Nouvelle route statique
Adresse IP destination / Masque Entrez ladresse IP de destination et le masque de

rseau des paquets devant tre intercepts par
lquipement FortiGate. La valeur 0.0.0.0/0.0.0.0 est
rserve la route par dfaut.

01-30001-0203-20060424
Passerelle Entrez ladresse IP du routeur du prochain saut vers
lequel lquipement FortiGate enverra les paquets
intercepts.
Interface Slectionnez le nom de linterface FortiGate travers
laquelle les paquets intercepts passeront pour se
diriger vers le routeur du prochain saut.
Distance Entrez une distance administrative pour la route. La
valeur de la distance est arbitraire et devrait reflter la
distance vers le routeur du prochain saut. Une valeur
plus basse indique une route prfre. La valeur se
situe entre 1 et 255.
Rgle de Routage
A chaque fois quun paquet arrive sur lune des interfaces du FortiGate, ce dernier
dtermine si le paquet a t reu par une interface lgitime en lanant une
recherche inverse utilisant ladresse IP source de len-tte du paquet. Dans le cas
o le botier FortiGate narrive pas communiquer avec lordinateur de cette
adresse IP source, le botier FortiGate annule le paquet.
Dans le cas o ladresse de destination correspond une adresse locale (et que la
configuration locale permet la livraison), lquipement FortiGate livre le paquet au
rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate
transfre le paquet vers le routeur du prochain saut daprs la rgle de route
correspondante et/ou daprs les informations disponibles dans la table de
relayage FortiGate (voir Concepts de routage la page 194).
Lorsque des rgles de route existent et quun paquet arrive sur lquipement
FortiGate, ce dernier se rfre la liste des Rgles de Routage et tente de faire
correspondre le paquet avec lune dentre elles. Si une correspondance est trouve
et que la rgle contient assez dinformations pour diriger le paquet (ladresse IP du
routeur du prochain saut doit tre spcifie, ainsi que linterface FortiGate pour
lenvoi de paquets vers le routeur du prochain saut), lquipement FortiGate dirige
le paquet en fonction des informations contenues dans la rgle de routage. Si
aucune rgle de routage correspond au paquet, lquipement FortiGate dirige le
paquet utilisant la table de routage.
Remarque : Etant donn que la plupart des paramtres des rgles sont optionnels, une
rgle seule risque de ne pas fournir toute linformation ncessaire au FortiGate pour envoyer
le paquet. Lquipement FortiGate peut se rfrer la table de routage dans une tentative
de faire correspondre les informations contenues dans len-tte du paquet avec une route
dans la table de routage.
Par exemple, si linterface sortante est le seul lment repris dans la rgle, lquipement
FortiGate vrifie ladresse IP du routeur du prochain saut dans la table de routage. Cette
situation pourrait se prsenter lorsque les interfaces FortiGate sont dynamiques (linterface
reoit son adresse IP via DHCP ou PPPoE) et vous ne dsirez pas ou narrivez pas
spcifier une adresse IP du routeur du prochain saut car ladresse IP change
dynamiquement.
Pour voir la liste des rgles de routage, slectionnez Routeur > Static > Policy
Route. Pour diter une rgle de routage existante, cliquez sur licne Editer ct
de la rgle que vous voulez diter.
Lillustration 90 reprsente une liste de rgles de routage appartenant un

quipement FortiGate qui possdent des interfaces appeles external et
internal . Les noms des interfaces varient selon les modles FortiGate.

01-30001-0203-20060424
Illustration 90 : Liste de Rgle de Routage
Crer Nouveau Permet dajouter une rgle de routage. Voir Ajout dune rgle
de routage la page 202.
# Les numros ID des rgles de routage configures. Ces
numros sont squentiels, moins que des rgles aient t
modifies dans la table.
Interface source Les interfaces sur lesquelles les paquets sujets des rgles
de routage ont t reus.
Interface destination Les interfaces travers lesquelles les paquets routs par
rgles sont dirigs.
Source Les adresses IP source et masques de rseau responsables
de lapplication de rgles de routage.
Destination Les adresses IP de destination et les masques de rseau
responsables de lapplication de rgles de routage.
Icne Supprimer Permet de supprimer une rgle de routage.
Icne Editer Permet dditer une rgle de routage.
Icne Dplacer Permet de dplacer une rgle de routage vers le haut ou le
bas dans la table de routage. En slectionnant cette icne, une
nouvelle fentre saffiche dans laquelle vous pouvez spcifier
la nouvelle localisation dans la table de Rgles de Routage.
Voir Dplacer une rgles de routage la page 203.
Ajout dune rgle de routage

Les options des rgles de routage dfinissent les proprits dun paquet entrant
responsable de lapplication dune rgle de routage. Si les proprits dun paquet
correspondent toutes les conditions spcifies, lquipement FortiGate commute
le paquet travers linterface spcifie vers la passerelle dsigne.
Pour ajouter une rgle de routage, slectionnez Routeur > Static > Rgle de
routage et cliquez sur Crer Nouveau.
Lillustration 91 reprsente la bote de dialogue dune nouvelle rgle de routage

appartenant un quipement FortiGate qui possdent des interfaces appeles
external et internal . Les noms des interfaces varient selon les modles
FortiGate.

01-30001-0203-20060424
Illustration 91 : Nouvelle Rgle de Routage
Protocole Pour excuter des rgles de routage en fonction de la

valeur dans le champ protocole du paquet, entrez le
numro de protocole correspondant. Cette valeur se
situe entre 0 et 255. La valeur 0 dsactive la
fonctionnalit.
Interface source Slectionne le nom de linterface travers laquelle les
paquets entrants sujets la rgle sont reus.
Adresse source et masque Pour excuter des rgles de routage en fonction de
ladresse IP source du paquet, entrez ladresse source
et le masque de rseau correspondants. La valeur
0.0.0.0/0.0.0.0 dsactive la fonctionnalit.
Adresse destination et masque Pour excuter des rgles de routage en fonction de
ladresse IP de destination du paquet, entrez ladresse
de destination et le masque de rseau correspondants.
La valeur 0.0.0.0/0.0.0.0 dsactive la
fonctionnalit.
Ports destination Pour excuter des rgles de routage en fonction du port
sur lequel est reu, entrez le mme numro de port
dans les champs Dbut et Fin. Si vous voulez que cette
rgle sapplique un intervalle de ports, entrez le
premier port de la plage dans le champ Dbut et le
dernier dans le champ Fin. Les valeurs 0 dsactivent
cette fonctionnalit.
Interface destination Slectionnez le nom de linterface travers laquelle les
paquets concerns pas la rgle passeront.
Passerelle Entrez ladresse IP du routeur du prochain saut que
lquipement FortiGate peut accder travers linterface
spcifie. La valeur 0.0.0.0 nest pas valide.
Dplacement dune rgle de routage

Une nouvelle rgle de routage est ajoute au bas de la table de routage. Si vous
dsirez quune rgle en prcde une autre, vous aurez peut-tre la dplacer plus
haut dans la table de routage.
Le choix entre deux routes se prsente lorsque celles-ci sont identiques. Prenons
lexemple suivant de deux routes prsentes dans la table de routage :
172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux
correspondre 172.20.120.112 mais la deuxime est prfrable. Elle devrait donc
tre positionne avant lautre dans la table de routage.
A partir de linterface de ligne de commande, vous pouvez affecter des priorits

aux routes. Ainsi dans le cas de deux routes identiques dans la table de routage, la

01-30001-0203-20060424
priorit dterminera la route utiliser. Cette fonctionnalit nest disponible qu
partir de linterface de ligne de commande.
Illustration 92 : Dplacement dune rgle de routage
Avant / Aprs Slectionnez Avant pour placer la rgle de routage

slectionne avant la route indique. Slectionnez Aprs pour
placer la rgle de routage slectionne aprs la route
indique.
Policy route ID Entrez lID de la rgle de routage avant ou aprs laquelle doit
venir se positionner la rgle de routage slectionne.

01-30001-0203-20060424
Routeur dynamique
Cette section explique comment configurer des protocoles dynamiques pour diriger
le trafic travers de larges et complexes rseaux. Les protocoles de routage
dynamiques permettent lquipement FortiGate de partager automatiquement les
informations sur les routes et rseaux avec les routeurs voisins. Le botier
FortiGate supporte les protocoles de routage dynamiques suivants :
Routing Information Protocol (RIP)

Open Shortest First (OSPF)
Border Gateway Protocol (BGP)
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent tre configures
partir de linterface dadministration web. De nombreuses options supplmentaires peuvent
tre configures partir de linterface de ligne de commande uniquement. Des descriptions
et exemples complets sur lutilisation de commandes CLI pour configurer les paramtres
RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Le botier FortiGate slectionne des routes et met jour sa table de routage

dynamiquement en fonction de rgles spcifies. A partir dun ensemble de rgles,
lquipement FortiGate peut dterminer la meilleure route pour lenvoi de paquets
vers une destination. Des rgles peuvent galement tre dfinies pour supprimer la
publicit des routes vers les routeurs voisins et/ou modifier les informations de
routage FortiGate avant de les publier.
Remarque : Le botier FortiGate peut oprer comme un routeur PIM (Protocol Independant
Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM
clairsem et dense et peuvent servir de serveurs ou receveurs multicast sur le segment
rseau auquel linterface FortiGate est connecte. PIM peut utiliser des routes statiques,
RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.

RIP
OSPF
BGP
Multicast
RIP
Le RIP est un protocole de routage vecteur de distance prvu pour de petits
rseaux relativement homognes. Limplmentation FortiGate du RIP supporte les
versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
Remarque : Les options de base de routage peuvent tre configures partir de linterface
dadministration web. De nombreuses options supplmentaires peuvent tre configures
partir de linterface de ligne de commande uniquement. Des descriptions et exemples
complets sur lutilisation de commandes CLI pour configurer les paramtres RIP sont
disponibles dans la chapitre Routeur du FortiGate CLI Reference.

01-30001-0203-20060424
Fonctionnement RIP
Lorsque le routage RIP est activ, lquipement FortiGate met des requtes pour
des annonces RIP partir de chacune de ses interfaces pour lesquelles le RIP est
activ. Les routeurs voisins rpondent en se basant sur leur table de routage.
Lquipement FortiGate ajoute les routes de ses voisins, absentes de sa table de
routage, sa propre table de routage. Si une route existe dj dans sa table de
routage, lquipement FortiGate compare la route diffuse la route enregistre et
en choisit une.
La mtrique utilise par RIP utilise le nombre de sauts (hop count) pour choisir la
meilleure route. Un nombre de sauts de 1 reprsente un rseau connect
directement lquipement FortiGate. Un nombre de sauts de 16 reprsente un
rseau que lquipement FortiGate ne peut pas atteindre. Chaque rseau travers
par un paquet pour atteindre sa destination compte en gnral pour un saut.
Lorsque lquipement FortiGate compare deux routes pour une mme destination,
la route ayant le nombre de sauts le plus bas est ajoute la table de routage.
Par ailleurs, lorsquun routage RIP est activ sur une interface, le botier FortiGate
envoie rgulirement des rponses RIP aux routeurs voisins. Les annonces
fournissent des informations propos des routes prsentes dans la table de
routage FortiGate en fonction des rgles de diffusion spcifies. Il est possible de
prciser la frquence laquelle lquipement FortiGate envoie ces annonces, le
temps pendant lequel une route est sauvegarde dans la table de routage sans
subir de mise jour, et encore, pour les routes non mises jour rgulirement,
combien de temps lquipement FortiGate diffuse la route comme inatteignable
avant quelle soit supprime de la table de routage.
Visualisation et dition des paramtres de base RIP

Lors de la configuration de paramtres RIP, vous devez spcifier les rseaux
fonctionnant avec RIP, ainsi que tous les paramtres supplmentaires ncessaires
pour ajuster le fonctionnement RIP sur les interfaces FortiGate connectes au
rseau RIP.
Pour configurer les paramtres de base dun quipement FortiGate connect un

rseau RIP, slectionnez Routeur > Dynamic > RIP. Pour diter les paramtres
de fonctionnement dune interface, cliquez sur licne Editer dans la ligne
correspondante linterface (sur laquelle le routage RIP est activ).
Lillustration 93 reprsente les paramtres de base RIP dun quipement FortiGate

qui possdent des interfaces appeles external et internal . Les noms des
interfaces varient dun modle FortiGate un autre.

01-30001-0203-20060424
Illustration 93 : Paramtres de base RIP
Version RIP Slectionnez le niveau de compatibilit. Vous pouvez activer

les paramtres globaux RIP sur toutes les interfaces FortiGate
connectes aux rseaux RIP :
Slectionnez 1 pour envoyer et recevoir les paquets RIP
version 1.
Slectionnez 2 pour envoyer et recevoir les paquets RIP
version 2.
Slectionnez Les deux pour envoyer et recevoir les
paquets RIP versions 1 et 2.
Vous pouvez ignorer les paramtres globaux pour une
interface FortiGate spcifique si ncessaire (voir Ignorer les
paramtres de fonctionnement sur une interface la page
209).
Options Avances Slectionnez Options Avances RIP. Voir Slection doptions
RIP avances la page 208.
Rseaux Les adresses IP et masques de rseau des rseaux principaux
(connects lquipement FortiGate) muni de RIP. Lorsque
vous ajoutez un rseau la liste des Rseaux, les interfaces
FortiGate faisant partie de ce rseau sont diffuses dans les
annonces RIP. Vous pouvez activer RIP sur toutes les
interfaces FortiGate dont les adresses IP correspondent
lespace adressage du rseau RIP.
IP/Masque Entrez ladresse IP et le masque de rseau qui dfinissent le
rseau RIP.
Add Permet dajouter les informations sur le rseau la liste des
Rseaux.
Interfaces Tous les paramtres supplmentaires ncessaires pour ajuster
le fonctionnement RIP sur une interface FortiGate.
Crer Nouveau Permet de configurer les paramtres de fonctionnement RIP
dune interface. Ces paramtres ignoreront les paramtres
globaux RIP pour cette interface. Voir Ignorer les paramtres
de fonctionnement RIP sur une interface la page 209.
Interfaces Slectionnez linterface pour laquelle configurer les paramtres
de fonctionnement RIP.
Version - Envoys Slectionnez la version RIP utilise pour lenvoi dannonces
partir de chaque interface : 1, 2 ou les deux.

01-30001-0203-20060424
Version - Reus Slectionnez la version RIP utilise pour la rception
dannonces partir de chaque interface : 1, 2 ou les deux.
Authentification Slectionnez le type dauthentification utilis sur cette
interface : None, Text ou MD5.
Passive Slectionnez pour bloquer lmission RIP sur cette interface.
Icnes Supprimer et Editer Permet de supprimer ou dditer une entre rseau RIP ou
une dfinition dinterface RIP.
Slection doptions RIP avances

Les options RIP avances vous permettent de spcifier les paramtres des
compteurs RIP et de dfinir les mtriques pour la redistribution de routes dont
lquipement FortiGate a pris connaissance autrement que par les annonces RIP.
Cest le cas par exemple, si le botier FortiGate est connect un rseau OSPF ou
BGP ou encore si vous ajoutez manuellement une route statique la table de
routage FortiGate. Dans ces cas-l, vous pouvez configurer la diffusion par
lquipement FortiGate de ces routes sur les interfaces RIP.
Pour slectionnez les options RIP avances, slectionnez Routeur > Dynamic >
RIP et drouler les Options Avances. Aprs avoir slectionn les options, cliquez
sur Appliquer.
Remarque : Des options avances supplmentaires peuvent tre configures partir de

linterface de ligne de commande. Par exemple, vous pouvez filtrer les annonces entrantes
et sortantes grce lutilisation dune carte de route, dune liste daccs ou encore dune
liste de prfixes. Lquipement FortiGate supporte galement des listes offset, qui ajoutent
un dcalage aux mtriques dune route. Pour plus dinformations, voir le chapitre
Routeur dans le FortiGate CLI Reference.
Illustration 94 : Options avances (RIP)
Mtrique par dfaut Entrez le nombre de sauts par dfaut que lquipement
FortiGate devrait affecter aux routes ajoutes la table de
routage. Ce nombre varie entre 1 et 16.
Cette valeur sapplique galement la Redistribution des
routes moins que spcifi diffremment.
Annoncer la route par Slectionnez pour gnrer et annoncer sans restriction une
dfaut dans RIP route par dfaut vers les rseaux RIP FortiGate. La route
gnre peut tre base sur des routes annonces partir
dun protocole de routage dynamique, des routes de la table
de routage ou les deux.

01-30001-0203-20060424
Compteurs RIP Ignore les paramtres par dfaut du compteur RIP. Ces
paramtres sont en vigueur dans la plupart des configurations
en cas de modifications de ces paramtres, veillez ce que
les nouveaux paramtres soient compatibles avec les routeurs
locaux et les serveurs daccs.
Annonces Entrez le laps de temps (en secondes) entre chaque envoi par
le botier FortiGate des annonces RIP.
Route invalide Entrez le temps maximum (en secondes) pendant lequel une
route reste considre comme atteignable bien quaucune
annonce nest reue pour cette route. Cest le temps maximum
pendant lequel lquipement FortiGate gardera une route
atteignable dans la table de routage alors quaucune annonce
nest reue pour cette route. Si lquipement FortiGate reoit
une annonce pour cette route avant que le laps de temps soit
coul, le compteur redmarre.
Cette priode devrait tre au moins trois fois plus longue que
la priode Annonces ci-dessus.
Route supprime Entrez le temps (en secondes) pendant lequel lquipement
FortiGate annoncera une route dont le statut est inatteignable
avant de la supprimer de la table de routage. Cette valeur
dtermine le temps pendant lequel une route inatteignable
reste dans la table de routage.
Redistribution des routes Activez ou dsactivez les annonces RIP concernant les routes
qui nont pas t diffuses via annonces RIP. Lquipement
FortiGate peut utiliser le RIP pour redistribuer les routes
diffuses partir de rseaux connects directement, de routes
statiques, OSPF et/ou BGP.
Connectes Slectionnez cette option pour redistribuer les routes diffuses
via des rseaux connects directement. Si vous dsirez
spcifier un nombre de saut pour ces routes, cochez la case
Mtrique et entrez dans son champ le nombre de sauts. Ce
nombre varie entre 1 et 16.
Statiques Slectionnez cette option pour redistribuer les routes diffuses
via des routes statiques. Si vous dsirez spcifier un nombre
de saut pour ces routes, cochez la case Mtrique et entrez
dans son champ le nombre de sauts. Ce nombre varie entre 1
et 16.
OSPF Slectionnez cette option pour redistribuer les routes diffuses
via OSPF. Si vous dsirez spcifier un nombre de saut pour
ces routes, cochez la case Mtrique et entrez dans son champ
le nombre de sauts. Ce nombre varie entre 1 et 16.
BGP Slectionnez cette option pour redistribuer les routes diffuses
via BGP. Si vous dsirez spcifier un nombre de saut pour ces
routes, cochez la case Mtrique et entrez dans son champ le
nombre de sauts. Ce nombre varie entre 1 et 16.
Ignorer les paramtres de fonctionnement RIP dune interface

Les options des interfaces RIP vous permettent dignorer les paramtres globaux
RIP qui sappliquent toutes les interfaces connectes des rseaux RIP. Par
exemple, si vous voulez supprimer lenvoi dannonces RIP sur une interface
connecte un sous-rseau ou rseau RIP, vous pouvez configurer linterface
pour quelle fonctionne passivement. Les interfaces passives reoivent les
annonces RIP mais ne rpondent pas aux requtes.
La version 2 du RIP permet de choisir un mot de passe dauthentification afin que

lquipement FortiGate authentifie un routeur voisin avant daccepter ses

01-30001-0203-20060424
annonces. Lquipement FortiGate et les routeurs voisins doivent tre configurs
avec le mme mot de passe. Le procd dauthentification garantit lauthenticit du
paquet dannonces mais ne garantit pas la confidentialit des informations sur le
routage contenus dans le paquet.
Pour dfinir les paramtres RIP des interfaces RIP, slectionnez Routeur >
Dynamic > RIP et cliquez sur Crer Nouveau.
Remarque : Certaines options supplmentaires telles que split-horizon et key-chain

peuvent tre configures sur chaque interface partir de linterface de ligne de commande.
Pour plus dinformations, voir le chapitre Routeur dans le FortiGate CLI Reference.
Lillustration 95 reprsente la bote de dialogue Nouvelle/Editer Interface RIP

appartenant un FortiGate qui possde une interface appele internal . Les
noms des interfaces varient selon les modles FortiGate.
Illustration 95 : Nouvelle/Editer Interface RIP
Interface Slectionnez le nom de linterface pour laquelle les

paramtres ci-dessous sappliquent. Linterface doit
tre connecte un rseau RIP. Linterface peut tre
une interface virtuelle IPSec ou GRE.
Version des annonces envoyes, Slectionnez pour ignorer le paramtre par dfaut
Version des annonces reues de compatibilit RIP pour lenvoi ou la rception des
annonces travers linterface : RIP version 1, version
2 ou les deux.
Authentification Slectionnez une mthode dauthentification pour les
changes RIP sur linterface spcifie :
Slectionnez None pour dsactiver
lauthentification.
Pour une interface connecte un rseau muni
de RIP version 2, vous pouvez facultativement
slectionner Texte et entrez un mot de passe
(jusqu 35 caractres). Lquipement FortiGate
et le routeur des annonces RIP doivent tre
configurs avec le mme mot de passe. Le mot
de passe est envoy sous forme de texte
travers le rseau.
Slectionnez MD5 pour authentifier un change
via MD5.
Passive Interface Permet de supprimer lannonce des informations de
routage FortiGate travers linterface spcifie. Pour
activer les rponses de linterface aux requtes RIP,
ne pas slectionner cette case.

01-30001-0203-20060424
OSPF
OSPF est un protocole de routage IP de type tat de lien utilis gnralement sur
de larges rseaux htrognes pour partager les informations de routage entre les
routeurs dun mme Systme Autonome (AS). Lquipement FortiGate supporte
OSPF version 2 (voir RFC 2328).
Remarque : Les options de base de routage OSPF peuvent tre configure partir de
linterface dadministration web. De nombreuses options supplmentaires peuvent tre
configures uniquement partir de linterface de ligne de commande. Pour des descriptions
et exemples complets sur la configuration de paramtres OSPF via lutilisation des
commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference.
Systmes autonomes OSPF

Un systme autonome OSPF est divis en aires (ou zones) logiques relies par
des routeurs de bordure de zones. Une aire comprend un groupe de rseaux
environnants. Un routeur de bordure de zones relie une ou plusieurs aires au
backbone du rseau OSPF (Aire ID 0). Pour spcifier les caractristiques dun
systme autonome OSPF, voir Dfinition dun systme autonome OSPF la
page 212 .
Lorsquun quipement FortiGate possde une de ses interfaces dans une aire
OSPF, il peut alors participer aux changes de communications OSPF. Le botier
FortiGate utilise le protocole OSPF Hello pour acqurir des voisins dans une aire.
Tout routeur qui possde une interface dans la mme aire que le botier FortiGate
est un voisin. Aprs un contact initial, lquipement FortiGate change
rgulirement des paquets Hello avec ses voisins OSPF pour confirmer que ceux-
ci peuvent tre joints.
Les routeurs OSPF gnrent des LSA (link-state advertisements) et les envoient
leurs voisins chaque changement de statut dun voisin ou lorsquun nouveau
voisin apparat dans laire. Tant que le rseau OSPF est stable, il ny a pas de LSA
entre les voisins OSPF. Un LSA identifie des interfaces de tous les routeurs dune
aire et procure des informations qui permettent aux routeurs de slectionner le
chemin le plus court vers une destination. Tous les changes LSA entre routeurs
OSPF sont authentifis.
Lquipement FortiGate maintient une base de donnes des informations dtats

de lien base sur les LSA reus des autres routeurs OSPF. Pour calculer la
meilleure route (chemin le plus court) vers une destination, lquipement FortiGate
applique lalgorithme SPF (Shortest Path First) aux informations dtats de lien. Le
protocole OSPF utilise le cot relatif comme mtrique de base pour le choix de la
meilleure route. Le cot impose une pnalit en sortie chaque interface dun
FortiGate. Le cot dune route est calcul en additionnant tous les cots associs
aux interfaces de sorties sur le chemin vers la destination. Cest la route au
moindre cot qui sera considre comme la meilleure route.
Lquipement FortiGate met jour sa table de routage dynamiquement, en fonction

des rsultats des calculs SPF pour assurer quun paquet OSPF sera commut vers
sa destination via le chemin le plus court. Selon la topologie du rseau, les entres
dans la table de routage FortiGate peuvent inclure :
les adresses rseaux de laire locale OSPF (vers lesquels les paquets sont
envoys directement).

01-30001-0203-20060424
des routes vers les routeurs de bordure daires OSPF (vers lesquels les
paquets destins dautres aires sont envoys).
si le rseau contient des aires OSPF et des domaines non-OSPF, des routes
vers les routeurs frontires AS, qui rsident dans le rseau backbone OSPF et
sont configurs pour lenvoi de paquets vers des destinations en dehors du
systme autonome OSPF.
Le nombre de routes portes la connaissance de lquipement FortiGate

dpendent de la topologie du rseau. Un seul quipement FortiGate peut supporter
des dizaines de milliers de routes si le rseau OSPF est configur correctement.
Dfinition dun systme autonome (AS) OSPF

Dfinir un AS OSPF comprend :
la dfinition de caractristiques dune ou plusieurs aires OSPF.
la cration dassociations entre aires OSPF que vous dfinissez et les rseaux
locaux inclure dans lAS OSPF.
si ncessaire, ajuster les paramtres des interfaces OSPF.
Les procdures suivantes dcrivent la configuration de ces tches partir de

linterface dadministration web.
Dfinir un AS OSPF
1 Slectionnez Routeur > Dynamic > OSPF.

2 Cliquez sur Crer Nouveau dans la section Aires.
3 Dfinissez les caractristiques dune ou plusieurs aires OSPF. Voir Dfinition
daires OSPF la page 216.
4 Cliquez sur Crer Nouveau dans la section Rseaux.
5 Crez des associations entre les aires OSPF que vous dfinissez et les rseaux
locaux inclure dans lAS OSPF. Voir Spcification des rseaux OSPF la
page 217.
6 Sil est ncessaire dajuster les paramtres par dfaut dune interface OSPF,
cliquez sur Crer Nouveau dans la section Interfaces.
7 Slectionnez les paramtres de fonctionnement pour linterface. Voir Slection
de paramtres de fonctionnement dune interface OSPF la page 218.
8 Rptez les tapes 6 et 7 si ncessaire pour dautres interfaces OSPF.
9 Facultativement, slectionnez les options OSPF avances pour lAS OSPF. Voir
Slection doptions OSPF avances la page 214.
Visualisation et dition de paramtres de base OSPF

Lors de la configuration de paramtres OSPF, il vous faut dfinir lAS dans lequel
OSPF est activ et spcifier les interfaces de lquipement FortiGate qui en font
partie. Pour cela il faut galement spcifier les aires AS et les rseaux inclure
dans ces aires. Vous pouvez facultativement ajuster les paramtres associs aux
oprations OSPF sur les interfaces FortiGate.

01-30001-0203-20060424
Pour visualiser et diter les paramtres OSPF, slectionnez Routeur > Dynamic >
OSPF.
Lillustration 96 reprsente les paramtres de base OSPF dun quipement

FortiGate qui possde une interface appele port1 . Les noms des interfaces
varient en fonction des modles FortiGate.
Illustration 96 : Paramtres de base OSPF
Routeur ID Entrez un ID de routeur unique en vue didentifier lquipement

FortiGate vis--vis des autres routeurs OSPF. Par convention,
lID du routeur est ladresse IP la plus haute (numriquement
parlant) de toutes les interfaces FortiGate dans lAS OSPF. Ne
pas modifier lID du routeur pendant le fonctionnement
dOSPF.
Options Avances Voir Slection doptions OSPF avances la page 214.
Aires Informations propos des aires (zones) qui forment lAS
OSPF. Len-tte dun paquet OSPF contient lID de laire, ce
qui permet didentifier lorigine dun paquet au sein dun AS.
Crer Nouveau Permet de dfinir une aire OSPF et dajouter cette nouvelle
aire la liste des Aires. Voir Dfinition daires OSPF la
page 216.
Aire Chaque ligne comprend lidentificateur (ID) 32 bits unique,
exprim sous forme de notation dcimale point, dune aire
dans lAS. Laire portant lID 0.0.0.0 est laire backbone de lAS
et ne peut tre chang ou supprim.
Type Les diffrents types des aires dans lAS :
Dans le cas o laire est une aire normale OSPF, le type
affich est Regular .
Si laire est une not-so-stubby area , le type affich est
NSSA .
Si laire est une stub area , le type affich est Stub .
Pour plus dinformations, voir Dfinition daires OSPF la
page 216.

01-30001-0203-20060424
Authentification Les mthodes dauthentification de paquets OSPF envoys et
reus travers les interfaces FortiGate lies chaque aire.
Lorsque lauthentification est dsactive, la mention None
saffiche.
Lorsquune authentification avec mot de passe en texte
est active, la mention Texte saffiche.
Lorsque lauthentification MD5 est active, la mention
MD5 saffiche.
Des paramtres dauthentification diffrents peuvent

sappliquer certaines interfaces dune aire, tel quaffich dans
la section Interfaces. Par exemple, si une aire utilise des mots
de passe simples, vous pouvez configurer un mot de passe
diffrent pour un ou plusieurs rseaux de cette aire.
Rseaux Les rseaux de lAS OSPF et leur ID aire. Lorsquun rseau
est ajout dans la liste des Rseaux, toutes les interfaces
FortiGate faisant partie du rseau sont annonces via les LSA
OSPF. Vous pouvez activer OSPF sur toutes les interfaces
dont les adresses IP correspondent lespace adressage
rseau OSPF.
Crer Nouveau Slectionnez pour ajouter un rseau lAS, spcifier son ID
aire et ajouter une dfinition la liste Rseaux. Voir
Spcification des rseaux OSPF la page 217.
Rseaux Les adresses IP et masques de rseau des rseaux de lAS
sur lesquels OSPF est activ. Lquipement FortiGate peut
avoir des interfaces physiques ou VLAN connectes au
rseau.
Aire LID de laire affecte lespace adressage rseau OSPF.
Interfaces Tout paramtre supplmentaire ncessaire lajustement du
fonctionnement OSPF sur une interface FortiGate.
Crer Nouveau Slectionnez pour ajouter des paramtres de fonctionnement
OSPF supplmentaires ou diffrents pour une interface
FortiGate et ajouter la configuration la liste des Interfaces.
Voir Slection de paramtres de fonctionnement dune
interface OSPF la page 218.
Nom Les noms des dfinitions des interfaces OSPF.
Interface Les noms des interfaces physiques ou VLAN ayant des
paramtres diffrents des valeurs par dfaut affectes toutes
les autres interfaces dune mme aire.
IP Les adresses IP des interfaces OSPF ayant des paramtres
supplmentaires ou diffrents.
Authentification Les mthodes dauthentification des changes LSA envoys
ou reus sur des interfaces OSPF spcifies. Ces paramtres
ignorent les paramtres de lauthentification de laire.
Icnes Supprimer Slectionnez pour supprimer ou diter une aire OSPF, un
et Editer rseau ou une dfinition dinterface.
Slection doptions avances OSPF

Les options OSPF avances vous permettent de prciser les mtriques pour la
redistribution de routes dont le botier FortiGate a pris connaissance par dautres
moyens que les LSA OSPF. Cest le cas par exemple, si lquipement FortiGate
est connect un rseau RIP ou BGP ou encore si vous ajoutez manuellement

01-30001-0203-20060424
une route statique la table de routage FortiGate. Dans ces cas-l, vous pouvez
configurer la diffusion par le FortiGate de ces routes sur les interfaces OSPF.
Pour slectionnez les options OSPF avances, slectionnez Routeur > Dynamic
OSPF et drouler les Options Avances. Aprs avoir slectionn les options,
cliquez sur Appliquer.
Illustration 97 : Options OSPF avances
Information par dfaut Gnre ou diffuse une route par dfaut (external) vers lAS
OSPF. La route gnre peut tre base sur des routes dont
lquipement FortiGate a eu connaissance via un protocole de
routage dynamique ou des routes dans la table de routage, ou
les deux.
Aucun Dsactive la gnration dune route par dfaut.
Regular Gnre une route par dfaut dans lAS OSPF et diffuse la
route aux systmes autonomes voisins seulement si la route
est prsente dans la table de routage.
Toujours Gnre une route par dfaut dans lAS OSPF et diffuse la
route aux systmes autonomes voisins inconditionnellement
mme si la route est absente de la table de routage.
Redistribution Active ou dsactive les LSA OSPF propos des routes non
diffuses via OSPF. Lquipement FortiGate peut utiliser OSPF
pour redistribuer les routes diffuses partir de rseaux
connects directement, de routes statiques, RIP et/ou BGP.
Connect Slectionnez cette option pour redistribuer les routes diffuses
partir de rseaux connects directement. Si vous dsirez
prciser un cot pour ces routes, entrez le cot dans le champ
Mtrique. Ce cot peut varier entre 1 et 16 777 214.
Statiques Slectionnez cette option pour redistribuer les routes diffuses
partir de routes statiques. Si vous dsirez spcifier un cot
pour ces routes, entrez le cot dans le champ Mtrique. Ce
cot peut varier entre 1 et 16 777 214.
RIP Slectionnez cette option pour redistribuer les routes diffuses
partir de RIP. Si vous dsirez spcifier un cot pour ces
routes, entrez le cot dans le champ Mtrique. Ce cot peut
varier entre 1 et 16 777 214.
BGP Slectionnez cette option pour redistribuer les routes diffuses
partir de BGP. Si vous dsirez spcifier un cot pour ces
routes, entrez le cot dans le champ Mtrique. Ce cot peut
varier entre 1 et 16 777 214.
Remarque : Des options avances supplmentaires peuvent tre configures partir de

linterface de ligne de commande. Pour plus dinformations, voir le chapitre Routeur dans
le FortiGate CLI Reference.

01-30001-0203-20060424
Dfinitions daires OSPF
Une aire dfinit logiquement une partie de lAS OSPF. Chaque aire est identifie
par un ID aire de 32 bits exprim sous forme de notation dcimale point. Laire
portant lID 0.0.0.0 est laire backbone du rseau OSPF. Il existe trois
classifications pour les aires dune AS :
Regular
Stub
NSSA
Une aire Regular comprend plus dun routeur, chacun ayant au moins une
interface OSPF dans cette aire.
Pour atteindre le backbone OSPF, les routeurs dune aire stub doivent envoyer les
paquets vers un routeur de bordure de zones. Les routes qui mnent vers des
domaines non-OSPF ne sont pas diffuses aux routeurs des aires stub. Le routeur
de bordure de zones diffuse lAS OSPF une seule route par dfaut (destination
0.0.0.0) dans laire stub, qui assure que tous les paquets OSPF ne correspondant
pas une route spcifique correspondront la route par dfaut. Tous les routeurs
connects une aire stub est considre comme faisant partie de cette aire.
Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de laire vers un
domaine non-OSPF sont diffuses lAS OSPF. Cependant, laire elle-mme
continue dtre traite comme une aire stub par le reste de lAS.
Les aires Regular et stub (y compris NSSA) sont connectes au backbone OSPF
par lintermdiaire de routeurs de bordure de zones.
Pour dfinir une aire OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez
sur Crer Nouveau dans la section Aires. Pour diter les proprits dune aire
OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans
la ligne correspondante laire concerne.
Remarque : Si ncessaire, vous pouvez dfinir un lien virtuel vers une aire qui a perdu sa
connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement tre
dfinis entre deux quipements FortiGate qui agissent en tant que routeurs de bordure de
zones. Pour plus dinformations, voir config virtual-link sous la sous-commande OSPF
config area dans le FortiGate CLI Reference.
Illustration 98 : Nouvelle/Editer Aire OSPF
Aire Entrez un identificateur de 32 bits pour cette aire. La valeur

doit tre similaire une adresse IP sous forme de notation
dcimale point. Une fois laire OSPF cre, la valeur IP de
cette aire ne peut plus tre modifie.
Type Slectionnez un type daire pour catgoriser les
caractristiques du rseau qui seront affectes laire :

01-30001-0203-20060424
Slectionnez Regular si laire comprend plus dun routeur,
chacun ayant au moins une interface OSPF dans laire.
Slectionnez NSSA si vous dsirez des routes vers des
domaines non-OSPF diffuss sur lAS OSPF et dsirez
que laire soit traite comme une aire stub par le reste de
lAS.
Slectionnez STUB si les routeurs de laire doivent
envoyer des paquets vers un routeur en bordure de zones
pour atteindre le backbone et que vous ne dsirez pas
que les routes vers des domaines non-OSPF soit
diffuses vers les routeurs dans laire.
Authentification Slectionnez la mthode dauthentification OSPF des paquets
envoys et reus par lintermdiaire de toutes les interfaces
dans cette aire :
Slectionnez None pour dsactiver lauthentification.
Slectionnez Texte pour activer un mot de passe
dauthentification sous forme de texte pour authentifier les
changes LSA. Le mot de passe est envoy sous forme
de texte travers le rseau.
Slectionnez MD5 pour authentifier un change via MD5.
Si ncessaire, vous pouvez ignorer ce paramtres pour une ou
plusieurs interfaces de laire (voir Slection des paramtres
de fonctionnement dune interface OSPF la page 218.
Remarque : Pour affecter un rseau une aire, voir Spcification des rseaux OSPF
la page 217.
Spcification de rseaux OSPF

Les aires OSPF regroupent plusieurs rseaux environnants. Lorsque vous affectez
un ID un espace adressage du rseau, les proprits de cette aire sont
associes au rseau.
Pour affecter un ID aire OSPF un rseau, slectionnez Routeur > Dynamic >
OSPF et cliquez sur Crer Nouveau dans la section Rseaux. Pour diter cet ID,
slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans la
ligne correspondant au rseau concern.
Illustration 99 : Nouveau/Editer Rseau OSPF
IP/Masque Entrez ladresse IP et le masque de rseau du rseau local

que vous dsirez affecter une aire OSPF.
Aire Slectionnez un ID aire pour le rseau. Les proprits de laire
doivent correspondre aux caractristiques et la topologie du
rseau spcifi. Vous devez dfinir laire avant de pouvoir
slectionnez lID aire. Voir Dfinition daires OSPF la
page 216.

01-30001-0203-20060424
Slection de paramtres de fonctionnement dune interface OSPF
La dfinition dune interface OSPF contient des paramtres de fonctionnement
spcifiques une interface OSPF FortiGate. La dfinition comprend le nom de
linterface (par exemple, external ou VLAN_1), ladresse IP affecte linterface, la
mthode dauthentification des changes LSA et les paramtres de temps pour
lenvoi et la rception des paquets OSPF Hello et dead-interval.
Le protocole OSPF peut tre activ sur toutes les interfaces FortiGate dont les
adresses IP correspondent lespace rseau OSPF. Par exemple, dfinissez une
aire 0.0.0.0 et un rseau OSPF dfini 10.0.0.0/16. Dfinissez ensuite vlan1
10.0.1.1.24, vlan2 10.0.2.1/24 et vlan3 10.0.3.1/24. Ces trois vlans seront
munis dOSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous
devriez crer un rseau OSPF 0.0.0.0/0 ayant une aire qui corresponde une
adresse IP spcifique.
Vous pouvez configurer des paramtres OSPF diffrents pour une mme interface
FortiGate lorsque plus dune adresse IP ont t assignes linterface. Par
exemple, une mme interface FortiGate pourrait tre connecte deux voisins
partir de sous-rseaux diffrents. Vous pourriez alors configurer une dfinition de
linterface OSPF comprenant un ensemble de paramtres Hello et dead-interval
pour la compatibilit avec les paramtres dun voisin, et configurer une deuxime
dfinition de cette mme interface pour assurer la compatibilit avec les
paramtres du deuxime voisin.
Pour slectionnez les paramtres de fonctionnement dune interface FortiGate,

slectionnez Routeur > Dynamic > OSPF et cliquez sur Crer Nouveau dans la
section Interfaces. Pour diter ces paramtres, cliquez sur licne Editer dans la
ligne correspondant linterface OSPF diter.
Lillustration 100 reprsente la bote de dialogue Nouvelle/Editer Interface OSPF

appartenant un quipement FortiGate qui possde une interface appele
port1 . Les noms des interfaces varient selon les modles FortiGate.
Illustration 100 : Nouvelle/Editer Interface OSPF
Nom Entrez un nom pour identifier la dfinition de linterface OSPF.

Par exemple, le nom pourrait indiquer laire OSPF laquelle
sera relie linterface.
Interface Slectionnez le nom de linterface associer cette dfinition
dinterface OSPF (par exemple, port1, external ou VLAN_1).
Lquipement FortiGate peut avoir des interfaces physiques,
VLAN, virtuelles IPSec ou GRE connectes au rseau OSPF.

01-30001-0203-20060424
IP Entrez ladresse IP affecte linterface OSPF. Linterface
devient une interface OSPF lorsque son adresse IP
correspond lespace adresse rseau OSPF. Par exemple, si
vous dfinissez un rseau OSPF 172.20.120.0/24 et affectez
ladresse IP 172.20.120.140 au port1, entrez
172.20.120.140.
Authentification Slectionnez une mthode dauthentification pour les
changes LSA pour linterface spcifie :
Slectionnez None pour dsactiver lauthentification.
Slectionnez Texte pour une authentification partir dun
mot de passe textuel. Ce mot de passe se compose de 35
caractres maximum et est envoy sous forme de texte
travers le rseau.
Slectionnez MD5 pour lutilisation dune ou plusieurs
cl(s) pour gnrer un hash MD5.
Ces paramtres ignorent les paramtres dAuthentification
pour laire.
Mot de passe Entrez le mot de passe textuel. Entrez une valeur
alphanumrique jusqu 15 caractres. Les voisins OSPF qui
envoient des LSA aux interfaces FortiGate doivent tre
configurs avec le mme mot de passe. Ce champ nest
disponible que si vous avez choisi la mthode
dauthentification Texte.
Cls MD5 Entrez lidentificateur cl pour le (premier) mot de passe dans
le champ ID (dans un intervalle de 1 255) et tapez ensuite le
mot de passe associ dans le champ Cl (Key). Le mot de
passe est une suite alphanumrique de maximum 16
caractres. Les voisins OSPF qui envoient des LSA cette
interface FortiGate doivent tre configurs avec une cl MD5
identique. Si le voisin OSPF utilise plus dun mot de passe
pour gnrer un hash MD5, cliquez sur licne Ajouter pour
ajouter des cls MD5 supplmentaires dans la liste. Ce champ
est disponible seulement si vous avez slectionn la mthode
dauthentification MD5.
Hello Interval Vous pouvez, facultativement, dfinir un Hello Interval
compatible avec les paramtres Hello Interval sur tous les
voisins OSPF. Ce paramtre dfinit la priode de temps
dattente (en secondes) de lquipement FortiGate entre
chaque envoi de paquets Hello par ses interfaces.
Dead Interval Facultativement, dfinissez le Dead Interval compatible avec
les paramtres Dead Interval de tous les voisins OSPF. Ce
paramtre dfinit la priode de temps dattente (en secondes)
de lquipement FortiGate entre chaque rception de paquets
Hello provenant de ses voisins sur ses interfaces. Si le
FortiGate ne reoit pas de paquet Hello endans le temps
spcifi, il dclare le voisin inaccessible.
Par convention, la valeur du Dead Interval est quatre fois plus
grande que la valeur du Hello Interval.
BGP
BGP est un protocole de routage Internet gnralement utilis par les Fournisseurs
dAccs Internet (FAI) pour changer des informations de routage entre diffrents
rseaux FAI. Par exemple, BGP permet le partage de chemins de rseaux entre le
rseau DAI et un systme autonome (AS) qui utilise RIP et/ou OSPF pour
acheminer les paquets dans lAS. Limplmentation FortiGate du BGP supporte
BGP-4 et est conforme la RFC 1771.

01-30001-0203-20060424
Remarque : Les options de base de routage BGP peuvent tre configures partir de
linterface dadministration web. De nombreuses options supplmentaires peuvent tre
configures uniquement partir de linterface de ligne de commande. Pour des descriptions
et exemples complets sur lutilisation de commande CLI pour la configuration de paramtres
BGP, voir le chapitre Routeur du FortiGate CLI Reference.
Fonctionnement de BGP
Lorsque BGP est activ, lquipement FortiGate envoie des mises jour de la table
de routage aux systmes autonomes voisins chaque modification de la table de
routage. Chaque AS, y compris celui dont lquipement FortiGate est membre, est
associ un numro AS. Ce numro fait rfrence une destination particulire
sur le rseau.
Les mises jour BGP diffusent le meilleur chemin vers une destination du rseau.
Lors de la rception de mises jour, le botier FortiGate examine les proprits du
discriminant multi-sorties (MED Multi-Exit Discriminator) des routes potentielles
pour dterminer le meilleur chemin vers une destination du rseau avant
denregistrer ce chemin dans sa table de routage.
Visualisation et dition des paramtres BGP

Lors de la configuration des paramtres BGP, il est ncessaire de spcifier lAS
dont le botier FortiGate est membre et dentrer un ID routeur permettant aux
autres routeurs BGP didentifier lquipement FortiGate. Vous devez galement
identifier les voisins BGP du FortiGate et spcifier lequel des rseaux du FortiGate
devrait tre diffus aux voisins BGP.
Pour visualiser et diter les paramtres BGP, slectionnez Routeur > Dynamic >
BGP. Linterface dadministration web offre une interface simplifie pour configurer
les options de base BGP. De nombreuses options avances BGP peuvent tre
configures partir de linterface de ligne de commande. Pour plus dinformations,
voir le chapitre Routeur du FortiGate CLI Reference.
Illustration 101 : Options de base BGP
Local AS Entrez le numro de lAS local dont le botier FortiGate est

membre.
Router ID Entrez un ID de routeur unique pour permettre lidentification
de lquipement FortiGate aux autres routeurs BGP. LID du
routeur est une adresse IP en format notation dcimale
points. Si vous modifiez lID du routeur pendant le

01-30001-0203-20060424
fonctionnement BGP, toutes les connexions aux paires BGP
seront momentanment interrompues jusqu leurs
rtablissement.
Voisins Les adresses IP et les numros AS de paires BGP dans les
systmes autonomes voisins.
IP Entrez ladresse IP de linterface du voisin du rseau BGP.
AS distant Entrez le numro de lAS auquel le voisin appartient.
Boutons Add/Edit Slectionnez Add pour ajouter les informations sur le voisin
la liste Voisins. Slectionnez Edit pour diter une entre de la
liste.
Voisin Les adresses IP des paires BGP.
AS distant Les numros des AS associs aux paires BGP.
Rseaux Les adresses IP et masques de rseaux des rseaux
diffuser aux paires BGP. Lquipement FortiGate peut avoir
une interface physique ou VLAN connecte ces rseaux.
IP/Masque Entrez ladresse IP et le masque de rseau du rseau
diffuser.
Bouton Add Slectionnez pour ajouter des informations sur le rseau la
liste Rseaux.
Rseau Les adresses IP et masques de rseaux des rseaux majeurs
diffuss aux paires BGP.
Icne Supprimer Permet de supprimer un voisin BGP ou une dfinition rseau
BGP.
Multicast
Un quipement FortiGate peut oprer comme routeur Multicast PIM (Protocol
Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les
modes clairsem (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et
rcepteurs multicast sur le segment rseau auquel est connecte une interface
FortiGate.
Les applications serveurs multicast utilisent une adresse multicast (Class D) pour
envoyer une copie du paquet un groupe de receveurs. Les routeurs PIM
travers le rseau assurent que seule une copie du paquet est envoye travers le
rseau jusqu ce quelle atteigne sa destination finale. A destination, des copies
du paquet sont cres seulement sil est ncessaire de livrer les informations aux
applications clients multicast qui ncessitent le trafic destin ladresse multicast.
Remarque : Toutes les applications envoi/rception et tous les routeurs PIM connects
entre doivent valider le protocole PIM version 2 en vue de supporter les communications
PIM. PIM utilise des routes statiques, RIP, OSPF ou BGP pour transfrer des paquets
multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source
leur point de destination, soit le mode clairsem (ou pars), soit le mode dense doit tre
activ sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsem ne peuvent
pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un
quipement FortiGate est localis entre une source et un routeur PIM, ou entre deux
routeurs PIM ou encore est connect directement un receveur, vous devez crer une rgle
pare-feu manuellement pour passer les paquets (multicast) encapsuls ou les donnes
dcapsules (trafic IP) entre la source et la destination.
Un domaine PIM est une aire logique comprenant un nombre de rseaux contigus.
Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsem
est activ le domaine comprend galement plusieurs Points de Rendez-vous (RP)

01-30001-0203-20060424
et de Designated Routers (DR). Si PIM est activ sur un botier FortiGate, ce
dernier peut excuter chacune de ses fonctions nimporte quel moment tel que
configur. Si ncessaire en mode clairsem, vous pouvez dfinir des RP statiques.
Remarque : Les options de base peuvent tre configures partir de linterface

dadministration web. De nombreuses options supplmentaires peuvent tre configures
uniquement partir de linterface de ligne de commande. Pour des descriptions et exemples
complets sur lutilisation de commandes CLI pour la configuration de paramtres PIM, voir
multicast dans le chapitre Routeur du FortiGate CLI Reference.
Visualisation et dition de paramtres multicast

Lorsque le routage multicast (PIM) est activ, vous pouvez configurer le mode
clairsem ou dense sur chacune des interfaces FortiGate.
Pour visualiser ou diter les paramtres PIM, slectionnez Routeur > Dynamic >
Multicast. Linterface dadministration web offre une interface simplifie pour
configurer les options de base PIM. Les options PIM avances peuvent tre
configures partir de linterface de ligne de commande. Pour plus dinformations,
voir le chapitre Routeur du FortiGate CLI Reference.
Illustration 102 : Options de base multicast
Activer le Routage Multicast Slectionnez pour activer le routage PIM version 2. Une
rgle pare-feu doit tre cre sur les interfaces PIM
pour laisser passer les paquets encapsuls et les
donnes dcapsules entre leur source et leur
destination.
Add Static RP (+) Ajouter une adresse RP. Si ncessaire en mode
clairsem, entrez ladresse IP dun Point de Rendez-
vous (RP) qui peut tre utilis comme racine de larbre
de distribution dun paquet pour un groupe multicast.
Les join messages du groupe multicast et les donnes
de la source sont envoys au RP.
Si un RP du groupe multicast de lIP spcifi est dj
connu par le Boot Strap Router, ce RP est utilis et
ladresse RP statique spcifie ignore.
Appliquer Permet de sauvegarder les adresses RP statiques
entres.
Crer Nouveau Slectionnez pour crer une nouvelle entre multicast
pour une interface. Cela vous permettra de rgler

01-30001-0203-20060424
prcisment des oprations PIM sur une interface
spcifique FortiGate ou ignorer les paramtres globaux
PIM sur une interface particulire. Voir Ignorer les
paramtres multicast sur une interface la page 223.
Interface Les noms des interfaces FortiGate ayant des
paramtres spcifiques PIM.
Mode Le mode de fonctionnement PIM (Clairsem ou Dense)
valide sur cette interface.
Statut Le statut de la candidature RP en mode clairsem sur
linterface. Pour activer ou dsactiver la candidature sur
une interface, slectionnez licne Editer dans la ligne
correspondant linterface.
Priorit Le numro de priorit affect la candidature RP sur
cette interface. Uniquement disponible lorsque la
candidature RP est active.
Priorit DR Le numro de priorit affect la candidature DR
(Designated Router) sur linterface. Uniquement
disponible lorsque le mode clairsem est activ.
Icnes Supprimer et Editer Permet de supprimer ou dditer les paramtres PIM de
linterface.
Ignorer les paramtres multicast dune interface

Les options des interfaces multicast (PIM) permettent de dfinir des paramtres de
fonctionnement pour les interfaces FortiGate connectes des domaines PIM. Par
exemple vous pouvez activer le mode dense sur une interface connecte un
segment rseau PIM. Lorsque le mode clairsem est activ, vous pouvez ajuster le
numro de priorit utilis pour diffuser les candidatures RP (Rendezvous Point)
et/ou DR (Designated Router) sur linterface.
Illustration 103 : Paramtres multicast de linterface
Interface Slectionnez le nom de linterface FortiGate du VDOM root

laquelle ces paramtres sappliquent. Linterface doit tre
connecte un segment rseau PIM version 2.
Mode PIM Slectionnez le mode de fonctionnement : Mode clairsem ou
Mode dense. Tous les routeurs PIM connects au mme
segment rseau doivent fonctionner dans le mme mode. Si
vous slectionnez le mode clairsem, ajuster les options tel
que dcrit ci-dessous.
Priorit DR Entrez le numro de priorit pour la diffusion de candidatures
DR sur linterface FortiGate. Lintervalle va de 1 4 294 967
295.
Cette valeur est compare aux interfaces DR de tous les
autres routeurs PIM du mme segment rseau. Le routeur
ayant la priorit DR la plus haute est slectionne pour tre le
DR.

01-30001-0203-20060424
Candidat RP Slectionnez pour activer ou dsactiver la candidature RP sur
linterface.
Priorit du candidat RP Entrez le numro de priorit de la diffusion de la candidature
RP sur linterface FortiGate. Lintervalle va de 1 255.

01-30001-0203-20060424
Table de Routage
Cette section vous aide interprter la table de routage.
Les sujets suivants y sont parcourus :
Affichage des informations sur le routage

Recherche dans la table de routage FortiGate
Affichage des informations sur le routage

Par dfaut, toutes les routes sont affiches dans la table de routage. La route
statique par dfaut est dfinie 0.0.0.0/0, ce qui correspond ladresse IP de
destination de chaque/tout paquet.
Pour afficher les routes de la table de routage, slectionnez Routeur > Table de
routage.
Lillustration 104 reprsente une table de routage appartenant un quipement

FortiGate qui possdent des interfaces appeles port1 , port4 et lan . Les
noms des interfaces varient en fonction des modles FortiGate.
Illustration 104 : Table de routage
Type Slectionnez un des types suivants pour lancer une recherche

dans la table de routage et afficher toutes les routes du type
slectionn :
Tout : affiche toutes les routes enregistres dans la table
de routage.
Connect : affiche toutes les routes associes des
connexions directes aux interfaces FortiGate.
Statique : affiche les routes statiques ajoutes
manuellement la table de routage.
RIP : affiche toutes les routes diffuses par RIP.
OSPF : affiche toutes les routes diffuses par OSPF.
BGP : affiche toutes les routes diffuses par BGP.
HA : affiche toutes les routes RIP, OSPF et BGP
synchronises entre le membre primaire et les membres

01-30001-0203-20060424
subordonns dun cluster haute disponibilit (HA). Les
routes HA tant maintenues au niveau des membres
subordonns, elles ne sont visibles qu partir dune table
de routage dun domaine virtuel configur comme
domaine virtuel subordonn dans un cluster virtuel. Pour
plus de dtails propos de la synchronisation de routage,
voir le FortiGate High Availability User Guide Guide
Utilisateur Haute Disponibilit FortiGate.
Rseau Entrez ladresse IP et le masque de rseau (par exemple,
172.16.14.0/24) pour rechercher une table de routage et
afficher les routes correspondantes au rseau spcifi.
Passerelle Entrez ladresse IP et le masque de rseau (par exemple,
192.168.12.1/32) pour rechercher une table de routage et
afficher les routes correspondantes la passerelle spcifie.
Appliquer le filtre Permet de rechercher les entres dune table de routage sur
base dun critre de recherche spcifi et dafficher toutes les
routes correspondantes.
Type La valeur type affecte aux routes FortiGate (Statique,
Connect, RIP, OSPF ou BGP).
Sous-type Si dapplication, reprend la classification du sous-type affect
aux routes OSPF.
Pas de mention implique une route intra-aire. La
destination est dans une aire laquelle le botier FortiGate
est connect.
OSPF inter area : la destination est dans lAS OSPF,
mais le botier FortiGate nest pas connect cette aire.
External 1 : la destination est en dehors de lAS OSPF.
La mtrique dune route redistribue est calcule en
additionnant le cot externe et le cot OSPF.
External 2 : la destination est en dehors de lAS OSPF.
Dans ce cas, la mtrique de la route redistribue est
quivalente au cot externe uniquement, exprim en cot
OSPF.
OSPF NSSA 1 : quivalent la mention External 1, si
ce nest que la route a t reue par une aire NSSA (not-
so-stubby area).
OSPF NSSA 2 : quivalent la mention External 2, si
ce nest que la route a t reue par une aire NSSA (not-
so-stubby area).
Rseau Les adresses IP et masques de rseau de rseaux de
destination atteignables par le botier FortiGate.
Distance La distance administrative associe la route. La valeur 0
signifie que la route est prfrable toutes les autres routes
pour la mme destination. Pour modifier la distance
administrative affecte aux routes statiques, voir Ajout dune
route statique la table de routage la page 200.Rfrez-
vous au FortiGate CLI Reference pour les routes dynamiques.
Mtrique La mtrique associe au type de la route. La mtrique dune
route influence la faon dont le botier FortiGate lajoute
dynamiquement dans la table de routage :
Le comptage de sauts est utilis pour les routes diffuses
par RIP.
Le cot relatif est utilis pour les routes diffuses par
OSPF.

01-30001-0203-20060424
Le discriminant multi-sorties (MED) est utilis pour les
routes diffuses par BGP. Cependant, plusieurs
proprits, en plus du MED, dterminent le meilleur
chemin vers un rseau de destination.
Passerelle Les adresses IP des passerelles vers les rseaux de
destination.
Interface Linterface travers laquelle les paquets sont transfrs vers
la passerelle du rseau de destination.
Valide depuis Le temps total accumul pour quune route diffuse par RIP,
OSPF ou BGP soit atteignable.
Recherche dans la table de routage FortiGate

Des filtres peuvent tre utiliss pour faire des recherches dans la table de routage
et afficher certaines routes uniquement.
Par exemple, vous pouvez afficher des routes statiques, des routes connectes,
des routes diffuses par RIP, OSPF ou BGP, et/ou des routes associes au rseau
ou la passerelle que vous spcifiez.
Si vous dsirez lancer une recherche dans la table de routage en fonction des
types et limiter un peu plus laffichage en fonction de rseau ou passerelle, toutes
les valeurs des critres de recherche doivent correspondre aux valeurs de la
mme entre de la table de routage pour que cette entre soit affiche (la
condition implicite ET est applique tous les paramtres de recherches
spcifis).
Par exemple, si lquipement FortiGate est connect au rseau 172.16.14.0/24 et

vous dsirez afficher toutes les routes directement connectes au rseau
172.16.14.0/24, vous devez slectionner Connect dans la liste Type, taper
172.16.14.0/24 dans le champ Rseau et ensuite cliquer sur Appliquer le Filtre
pour afficher la ou les entre(s) associe(s) de la table de routage.
Chaque entre qui contient le mot Connect dans le champ Type et la valeur
spcifie dans le champ Passerelle seront affiches.
Lancer une recherche dans la table de routage FortiGate
1 Slectionnez Routeur > Table de routage > Table de routage.

2 Slectionnez dans la liste Type, le type afficher. Par exemple, slectionnez
Connect pour afficher toutes les routes connectes ou slectionnez RIP pour
afficher toutes les routes diffuses par RIP.
3 Si vous dsirez afficher les routes pour un rseau spcifique, tapez ladresse IP et
le masque de rseau du rseau dans le champ Rseau.
4 Si vous dsirez afficher les routes pour une passerelle spcifique, tapez ladresse
IP de la passerelle dans le champ Passerelle.
5 Cliquez sur Appliquer le Filtre.
Remarque : Toutes les valeurs des critres de recherche doivent correspondre aux valeurs
de la mme entre de la table de routage pour que cette entre soit affiche.

01-30001-0203-20060424
Rgle Pare-feu
Les rgles pare-feu contrlent tout le trafic passant par le botier FortiGate. Lajout
de rgles pare-feu permet de contrler les connexions et le trafic entre les
interfaces FortiGate, les zones et les sous-interfaces VLAN.

A propos des rgles pare-feu
Visualisation de la liste des rgles pare-feu
Configuration des rgles pare-feu
A propos des rgles pare-feu

Les rgles pare-feu sont des instructions utilises par le botier FortiGate pour
dcider de la rponse donner une requte de connexion. Lorsque le botier
FortiGate reoit une requte de connexion sous la forme dun paquet, il analyse ce
paquet pour en extraire ladresse source, ladresse de destination et le service (via
le numro du port).
Ladresse source, ladresse de destination et le service dun paquet qui veut se

connecter travers un FortiGate doivent correspondre une rgle pare-feu. La
rgle rgit laction du pare-feu sur le paquet. Les actions possibles sont
lautorisation de la connexion, le blocage de la connexion, la requte dune
authentification avant que la connexion soit autorise ou le traitement du paquet
comme un paquet IPSec VPN.
Chaque rgle peut tre configure pour diriger les connexions ou appliquer le
service de translation dadresse rseau (NAT network address translation) pour
translater les adresses IP et ports source et de destination. Vous pouvez ajouter
des pools IP pour une utilisation NAT dynamique lorsque le pare-feu translate les
adresses sources. Vous pouvez utiliser des rgles pour configurer la translation
dadresse port (PAT port address translation) travers le botier FortiGate.
Lajout de profils de protection des rgles de pare-feu permet dappliquer des

paramtres de protection diffrents pour le trafic contrl par des rgles pare-feu.
Vous pouvez utiliser des profils de protection pour :
appliquer un contrle antivirus aux rgles HTTP, FTP, IMAP, POP3, IM et

SMTP
activer du filtrage Web statique sur les rgles HTTP
appliquer du filtrage web dynamique, par catgorie, sur ces mmes rgles
HTTP
activer les services antispam sur les rgles IMAP, POP3 et SMTP
activer les services de prvention d'intrusion sur tous les flux
activer la journalisation de contenu pour les flux HTTP, FTP, IMAP, POP3, IM
et SMTP
configurer le filtrage IM et le contrle daccs pour AIM, ICQ, MSN et la
messagerie instantane Yahoo

01-30001-0203-20060424
configurer laccs P2P et le contrle de la largeur de bande pour les clients
peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa et Skype
dcider des actions des profils de protection journaliser
Lactivation de la journalisation du trafic pour une rgle pare-feu entrane la

journalisation par le botier FortiGate de toutes les connexions utilisant cette rgle.
Le pare-feu lance une recherche sur des rgles en partant du haut de la liste et
descendant jusqu ce quil trouve la premire correspondance. Il est donc
essentiel de hirarchiser les rgles dans la liste de la plus spcifique la plus
gnrale. Par exemple, la rgle par dfaut est une rgle trs gnrale car elle
correspond toutes les tentatives de connexion. Les exceptions cette rgle sont
ajoutes la liste de rgles au-dessus de la rgle par dfaut. Une rgle qui devrait
tre place en dessous de la rgle par dfaut ne reprsentera jamais une
correspondance.
Les options de la rgle sont configurables lors de la cration ou de ldition dune

rgle pare-feu.
Un ensemble diffrent doptions est prsent en fonction du type daction
slectionn.
Comment fonctionne la correspondance de rgles ?

Lorsque le botier FortiGate reoit une tentative de connexion sur une interface, il
slectionne une liste de rgles dans laquelle il va chercher une rgle qui
corresponde la tentative de connexion. Le botier FortiGate choisit la liste de
rgles en fonction des adresses source et de destination de la tentative de
connexion.
Le botier FortiGate commence alors sa recherche par le haut de la liste et

descend jusqu la premire rgle qui corresponde aux adresses source et de
destination, au port service et au jour et heure de la tentative de connexion reue.
La premire rgle correspondante sapplique la tentative de connexion. Si
aucune rgle ne correspond, la connexion est abandonne. En rgle gnrale,
toujours organiser les rgles pare-feu de la plus spcifique la plus gnrale.
Les rgles gnrales sont des rgles qui peuvent accepter des connexions avec
de multiples adresses sources et de destination, ainsi quavec des intervalles
dadresses. Elles peuvent galement accepter des connexions de multiples ports
service ou avoir des horaires trs ouverts. Si vous dsirez ajouter des rgles qui
sont des exceptions aux rgles gnrales, ces exceptions doivent tre ajoutes au-
dessus des rgles gnrales. dans la liste de rgles
Par exemple, vous pouvez avoir une rgle gnrale permettant tous les
utilisateurs de votre rseau interne daccder tous les services Internet. Si vous
dsirez bloquer laccs aux serveurs FTP sur Internet, vous devriez ajouter au-
dessus de la rgle gnrale une rgle qui bloque les connexions FTP. La rgle de
dni bloque les connexions FTP mais les tentatives de connexion de tous les
autres types de services ne correspondent pas la rgle FTP mais correspondent
la rgle gnrale. De ce fait, la pare-feu accepte toutes les connexions du rseau
interne vers Internet, lexception des connexions FTP.

01-30001-0203-20060424
Concernant les correspondances de rgles, il faut galement savoir que :
Les rgles qui ncessitent une authentification doivent tre ajoutes la liste
de rgles au-dessus des rgles correspondantes qui nen ncessitent pas.
Sinon, la rgle qui ne ncessite pas dauthentification est slectionne en
premier.
Les rgles sur le mode tunnel VPN IPSec doivent tre ajoutes la liste de
rgles au-dessus des rgles daccs ou de blocage correspondantes.
Les rgles sur le VPN SSL doivent tre ajoutes la liste de rgles au-dessus
des rgles daccs ou de blocage correspondantes.
Visualisation de la liste des rgles pare-feu

Dans le cas o des domaines virtuels sont activs sur le botier FortiGate, les
rgles pare-feu sont configures sparment pour chaque domaine virtuel. Pour
accder aux rgles, slectionnez un domaine virtuel partir du menu principal.
Ajouter, supprimer, diter, rorganiser, activer ou dsactiver des rgles dans la

liste des rgles.
Pour visualiser la liste des rgles, slectionnez Pare-feu > Rgle.
Illustration 105 : Echantillon dune liste de rgles
La liste des rgles possdent les icnes et fonctionnalits suivants :

Crer Nouveau Permet dajouter une rgle pare-feu. Voir Ajout dune
rgle pare-feu la page .
Icne Commentaire Cette icne napparat que dans le cas o la rgle
possde un commentaire. Le commentaire apparat
lorsque le curseur de la souris vient se placer sur licne.
ID Lidentificateur de la rgle. Les rgles sont numrotes
selon lordre dans lequel elles sont ajoutes la liste.
Source Ladresse source ou le groupe dadresses auquel la rgle
sapplique. Voir Adresse Pare-feu la page 245. Les
informations sur les adresses peuvent galement tre
dites partir de la liste. En cliquant sur ladresse, la
bote de dialogue ddition dune adresse souvre.
Destination Ladresse de destination ou le groupe dadresses auquel
la rgle sapplique. Voir Adresse Pare-feu la page
245 . Les informations sur les adresses peuvent
galement tre dites partir de la liste. En cliquant sur
ladresse, la bote de dialogue ddition dune adresse
souvre.

01-30001-0203-20060424
Schedule Dtermine la priode dactivit de la rgle.
Service Dtermine le service auquel sapplique la rgle.
Action Dfinit laction apporter lorsque la rgle correspond
une tentative de connexion.
Statut Permet dactiver ou de dsactiver la rgle. Activer la rgle
la rend disponible pour le pare-feu pour les connexions
entrantes.
Source -> destination (n) Les titres de la liste des rgles indiquant le trafic auquel
sapplique la rgle. Le titre de la liste est en format Source
-> Destination (n) o n est le nombre de rgles dans la
liste.
Icne Supprimer Slectionnez pour supprimer la rgle de la liste.
Icne Editer Slectionnez pour diter la rgle.
Icne Insrer la rgle avant Slectionnez pour ajouter une nouvelle rgle au-dessus
de la rgle correspondante (la fentre de la nouvelle rgle
apparat).
Icne Dplacer Slectionnez pour dplacer la rgle correspondante avant
ou aprs une autre rgle dans la liste. Voir Dplacement
dune rgle vers une position diffrente dans la liste la
page 231.
Ajout dune rgle pare-feu

La procdure suivante dcrit comment ajouter une rgle pare-feu dans la liste des
rgles pare-feu.
1 Slectionnez Pare-feu > Rgle.
2 Cliquez sur Crer Nouveau ou slectionnez licne Insrer la rgle avant ct
dune rgle pour que la nouvelle rgle sajoute au-dessus de celle-ci.
3 Slectionnez les interfaces source et de destination.
4 Slectionnez les adresses source et de destination.
5 Configurez la rgle. Pour toute information sur la configuration de rgles, voir
Configuration des rgles pare-feu la page 232.
6 Cliquez sur OK.
7 Hirarchisez les rgles dans la liste de manire obtenir les rsultats attendus.
Pour plus dinformations sur larrangement des rgles dans une liste, voir
Comment fonctionne la correspondance de rgles ? la page 229 et
Dplacement dune rgle vers une position diffrente dans la liste la page
231.
Dplacement dune rgle dans la liste

Vous pouvez dplacer une rgle dans la liste pour influencer les valuations des
rgles. Dans le cas o plus dune rgle ont t dfinies pour une mme paire
dinterfaces, la rgle qui se trouve en premier dans la liste est value en premier.
La disposition des rgles de cryptage pare-feu est importante pour assurer quelles
prennent effet comme prvu les rgles de cryptage pare-feu doivent tre
values avant des rgles pare-feu rgulires.
Dplacer une rgle dans la liste ne modifie pas son numro ID.

01-30001-0203-20060424
Illustration 106 : Dplacer une rgle

2 Cliquez sur licne Dplacer de la rgle que vous voulez dplacer.
3 Entrez une position pour la rgle.
4 Cliquez sur OK.
Configuration des rgles pare-feu

Lutilisation de rgles pare-feu permet de dfinir la faon dont une rgle pare-feu
est slectionne pour tre applique une session de communication et de dfinir
comment le botier FortiGate traite les paquets pour cette session.
Pour ajouter ou diter une rgle pare-feu, slectionnez Pare-feu > Rgle.
Vous pouvez ajouter des rgles ACCEPT pour accepter des sessions de
communication. Une telle rgle permet dappliquer des fonctionnalits FortiGate
telles quune analyse des virus et une authentification de la session de
communication accepte par cette rgle. Une rgle ACCEPT peut galement
permettre le trafic VPN IPSec en mode interface si la source ou la destination est
une interface virtuelle IPSec. Pour plus dinformations, voir Aperu sur le mode
interface IPSec la page 294.
Vous pouvez ajouter des rgles DENY pour interdire des sessions de
communication.
Vous pouvez galement ajouter des rgles de cryptage IPSec pour permettre le
trafic VPN en mode tunnel IPSec et des rgles de cryptage VPN SSL pour
permettre le trafic VPN SSL. Des rgles de cryptage pare-feu dterminent quels
types de trafic IP seront permis pendant une session IPSec ou VPN SSL. Si permis
par une rgles de cryptage pare-feu, un tunnel peut tre initi automatiquement
chaque fois quun paquet IP du type slectionn arrive linterface FortiGate vers
le rseau priv local. Pour plus dinformations, voir Options des rgles pare-feu
IPSec la page 242 et Options des rgles pare-feu VPN SSL la page 243.

01-30001-0203-20060424
Illustration 107 : Options des rgles rgle ACCEPT en mode NAT/Route
Illustration 108 : Options des rgles rgle ACCEPT en mode Transparent

01-30001-0203-20060424
Illustration 109 : Options des rgles rgle DENY
Les champs Interface/Zone Source et Destination correspondent la rgle pare-

feu avec la source et destination dune session de communication.
Les champs Adresse correspondent aux adresses sources et de destination de la

session de communication.
Le champ Horaire permet de dfinir la plage horaire dactivit de la rgle pare-feu.
Le champ Service correspond la rgle pare-feu avec le service utilis par une
session de communication.
Le champ Action dfinit le traitement du trafic par le botier FortiGate. Spcifiez une
action pour accepter ou bloquer le trafic ou configurez une rgle de cryptage pare-
feu.
Les options des rgles pare-feu peuvent tre slectionnes pour dfinir des
fonctionnalits additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log
Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut tre
appliqu aux rgles qui bloquent le trafic. Des services supplmentaires diffrents
sont configurables partir de linterface de ligne de commande (voir le chapitre
firewall du FortiGate CLI Reference).
Options des rgles pare-feu

Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau pour ajouter une
rgle pare-feu. Les options suivantes des rgles pare-feu sont configurables :
Source Spcifiez les caractristiques de la source des paquets IP

qui seront sujets la rgle.
Interface/Zone Slectionnez le nom de linterface ou de la zone FortiGate
sur laquelle les paquets IP sont reus. Les interfaces et
zones sont configures sur la page Systme > Rseau.
Voir Interface la page 61 et Zone la page 75
pour plus dinformations sur les interfaces et les zones.
Si le champ ACTION est positionn sur IPSEC, linterface
est associe un rseau priv local. Si le champ ACTION
est positionn sur SSL-VPN, linterface est associe des
connexions des clients VPN SSL distants.

01-30001-0203-20060424
Adresse Slectionnez le nom dune adresse IP prcdemment
dfinie associer linterface ou zone source ; ou
slectionnez Crer Nouveau pour dfinir une nouvelle
adresse IP. Len-tte du paquet doit contenir ladresse IP
associe pour tre confront la rgle. Les adresses
peuvent tre cres lavance. Voir Configuration des
adresses la page 247.
Si le champ ACTION est positionn sur IPSEC, ladresse
correspond ladresse prive de lhte, serveur ou rseau
derrire le botier FortiGate.
Si le champ ACTION est positionn sur SSL-VPN et que
la rgle sapplique aux clients en mode web, slectionnez
all (tout).
Si le champ ACTION est positionn sur SSL-VPN et que
la rgle sapplique aux clients en mode tunnel,
slectionnez le nom de ladresse que vous rservez pour
ces clients.
Destination Spcifiez les caractristiques de la destination des
paquets IP qui seront sujets la rgle.
Interface/Zone Slectionnez le nom de linterface ou de la zone FortiGate
vers laquelle les paquets IP sont envoys. Les interfaces
et zones sont configures sur la page Systme > Rseau.
Voir Interface la page 61 et Zone la page 75
pour plus dinformations sur les interfaces et les zones.
Si le champ ACTION est positionn sur IPSEC, linterface
est associe lentre du tunnel VPN. Si le champ
ACTION est positionn sur SSL-VPN, linterface est
associe un rseau priv local.
Adresse Slectionnez le nom dune adresse IP prcdemment
dfinie associer linterface ou zone de destination ; ou
slectionnez Crer Nouveau pour dfinir une nouvelle
adresse IP. Len-tte du paquet doit contenir ladresse IP
associe pour tre confront la rgle. Les adresses
peuvent tre cres lavance. Configuration des
adresses la page 247.
Si le champ ACTION est positionn sur IPSEC, ladresse
correspond ladresse IP prive vers laquelle les paquets
peuvent tre envoys la fin du tunnel VPN.
Si le champ ACTION est positionn sur SSL-VPN,
slectionnez le nom de ladresse IP qui correspond
lhte, au serveur ou au rseau dont les clients
distances ont besoin pour accder derrire lquipement
FortiGate.
Horaire Slectionnez une plage horaire ponctuelle ou rcurrente
qui contrle la priode de disponibilit de la rgle. Les
horaires peuvent tre cres lavance dans Pare-feu >
Plage horaire. Voir Plage horaire des pare-feu la
page 257.
Vous pouvez crer une plage horaire, ponctuelle ou
rcurrente, pendant la configuration de la rgle en cliquant
sur Crer Nouveau. Ajoutez les informations requises pour
la configuration de la plage horaire et cliquez sur OK.
Cette nouvelle plage horaire est alors ajoute la liste des
plages horaires.
Service Slectionnez le nom du service ou du groupe de services
qui correspond au service ou protocole des paquets
auquel sapplique cette rgle. Vous pouvez slectionner

01-30001-0203-20060424
les services partir dune longue liste de services
prdfinis. Des services personnaliss peuvent tre cres
lavance dans Pare-feu > Service > Personnalis. Des
groupes de services peuvent galement tre cres
lavance dans Pare-feu > Service > Groupe. Voir
Configuration de services personnaliss la page 253
et Configuration de groupes de services la page 255.
Vous pouvez crer un service personnalis ou un groupe
de services pendant la configuration de la rgle en
cliquant sur Crer Nouveau. Ajoutez les informations
requises pour la configuration des services personnaliss
ou des groupes de services et cliquez sur OK. Ces
services sont alors ajouts la liste des Services.
Action Slectionnez la rponse du pare-feu appliquer lorsquun
paquet correspond aux conditions de la rgle.
ACCEPT Accepte le trafic correspondant la rgle. Vous pouvez
alors configurer les options NAT, profils de protection, log
traffic, shape traffic, authentification ou ajouter un
commentaire la rgle.
DENY Rejette le trafic correspondant la rgle. La seule option
configurable est la journalisation (journaliser les
connexions refuses par la rgle). Vous pouvez
galement ajouter un commentaire.
IPSEC Configure une rgle de cryptage pare-feu IPSEC, qui
entrane le traitement des paquets VPN IPSec par le
botier FortiGate. Voir Options des rgles pare-feu
IPSec la page 242.
SSL-VPN Configure une rgle de cryptage pare-feu VPN SSL, qui
entrane lacceptation du trafic VPN SSL par le botier
FortiGate. Cette option nest disponible quaprs avoir
ajout un groupe dutilisateurs VPN SSL. Voir Options
des rgles pare-feu VPN SSL la page 243.
NAT Activer loption NAT (Network Address Translation) pour la
rgle. NAT translate ladresse source et le port de paquets
accepts par la rgle. Lorsque NAT est activ, les
fonctions Pool dAdresses et Port Fixe peuvent tre
configurs. NAT nest pas disponible en mode
Transparent.
Pool dAdresses Slectionnez pour translater ladresse source en une
adresse slectionne arbitrairement dans un pool
dadresses. Un pool dadresses peut se composer dune
seule adresse IP ou dune plage dadresses IP. Une liste
de pools dadresses apparat si ces pools ont t ajouts
linterface de destination. Slectionnez ANY IP Pool
pour que le botier FortiGate slectionne nimporte quelle
adresse IP de nimporte quel pool dadresses ajout
linterface de destination.
Slectionnez le nom dun pool dadresses ajout
linterface de destination pour que le botier FortiGate
translate ladresse source en une des adresses dfinies
dans ce pool.
Il nest pas possible de slectionner Pool dAdresses si
linterface de destination, la sous-interface VLAN ou lune
des interfaces ou des sous-interfaces VLAN dans la zone
de destination est configure avec DHCP ou PPPoE.
Vous ne pouvez pas utiliser des pools dadresses lors de
lutilisation de zones. Un pool dadresses peut seulement
tre associ une interface.

01-30001-0203-20060424
Pour plus dinformations sur lajout de pools dadresses,
voir Plages IP la page 277.
Port fixe Slectionnez un port fixe pour empcher NAT de
translater le port source. Certaines applications ne
fonctionnent pas correctement si le port source est
modifi. Dans la plupart des cas, si Port fixe est
slectionn, Pool dAdresses est galement slectionn.
Si Pool dAdresses nest pas slectionn, une rgle qui a
loption Port Fixe slectionne ne peut permettre quune
connexion la fois.
Profil de protection Slectionnez un profil de protection pour configurer la
faon dont les antivirus, filtrage web, filtrage par catgorie
web, filtrage antispam, IPS, archives et journaux sont
appliqus la rgle pare-feu. Les profils de protection
peuvent tre cres lavance ou pendant la configuration
dun profil. Les profils cres ici apparaissent dans la liste
des profils de protection. Pour plus dinformations sur
lajout et la configuration de profils de protection, voir
Profil de protection pare-feu la page 279.
Pour une authentification dans les paramtres avancs,
loption de profil de protection est dsactive car le groupe
dutilisateurs choisi pour lauthentification est dj li un
profil de protection. Pour plus dinformations propos de
lajout dune authentification aux rgles pare-feu, voir
Ajout dune authentification aux rgles pare-feu la
page 238.
Log Allowed Traffic Slectionnez cette option pour les rgles ACCEPT, IPSEC
ou VPN SSL pour enregistrer les messages dans les
journaux chaque fois que la rgle traite une connexion.
Activez la journalisation du trafic vers une destination
(syslog, WebTrends, un disque local si disponible,
mmoire ou FortiAnalyzer) et fixez le niveau de svrit
de la journalisation Notification ou plus bas. Pour plus
dinformations sur la journalisation, voir Journaux et
Alertes la page 409.
Log Violation Traffic Slectionnez cette option pour les rgles DENY pour
enregistrer les messages dans les journaux chaque fois
que la rgle traite une connexion. Activez la journalisation
du trafic vers une destination (syslog, WebTrends, un
disque local si disponible, mmoire ou FortiAnalyzer) et
fixez le niveau de svrit de la journalisation
Notification ou plus bas. Pour plus dinformations sur la
journalisation, voir Journaux et Alertes la page 409.
Authentification Ajoutez des utilisateurs et un profil de protection pare-feu
un groupe dutilisateurs avant de slectionner
Authentification. Pour toute information propos de lajout
et de la configuration de groupes utilisateurs, voir
Groupe dutilisateurs la page 330. Lauthentification
est possible si laction est positionne sur ACCEPT. Pour
plus dinformations sur lajout dune authentification aux
rgles pare-feu, voir Ajout dune authentification aux
rgles pare-feu la page 238.
Traffic Shaping Cette option permet de contrler la bande passante
disponible et de dfinir les niveaux de priorit du trafic
trait par la rgle.
Remarque :
Veillez activer cette option sur toutes les rgles
pare-feu. Si vous nappliquez aucune consigne de

01-30001-0203-20060424
priorit de trafic une rgle, cette dernire est dfinie
comme hautement prioritaire par dfaut.
Affectez chaque rgle pare-feu une des trois
priorits (high, medium ou low).
Assurez-vous que la somme de toutes les bandes
passantes garanties de toutes les rgles pare-feu est
considrablement moindre que la capacit de la
bande passante de linterface.
Pour toute information sur la configuration des priorits du
trafic, voir Ajout dune priorit de trafic aux rgles pare-
feu la page 239.
User Authentication Affiche la page dinformation dauthentification (un
Disclaimer message de remplacement). Lutilisateur doit accepter ce
message pour se connecter la destination. Ce message
peut tre utilis lors dune authentification ou dun profil de
protection. Cette option est disponible sur certains
modles uniquement.
Redirect URL Si vous entrez un URL dans ce champ, lutilisateur est
redirig vers cette URL aprs authentification et/ou
acceptation de la page dinformation dauthentification de
lutilisateur. Cette option est disponible sur certains
modles uniquement.
Commentaires Ajoutez une description ou dautres informations sur cette
rgle. Le commentaire peut tre long de 63 caractres,
espaces compris.
Ajout dune authentification aux rgles pare-feu

Ajoutez des utilisateurs et un profil de protection pare-feu un groupe dutilisateurs
avant de slectionner une Authentification. Lauthentification est disponible si
lAction est positionne sur ACCEPT. Pour plus dinformations sur lajout et la
configuration de groupes utilisateurs, voir Groupe dutilisateurs la page 330.
Slectionnez Authentification, ensuite un ou plusieurs groupes dutilisateurs pour

obliger les utilisateurs entrer un nom dutilisateur et un mot de passe avant que le
pare-feu naccepte la connexion.
Illustration 110 : Slection de groupes utilisateurs pour authentification
Slectionnez Authentification pour tous les services. Les utilisateurs peuvent

sauthentifier avec le pare-feu en utilisant HTTP, Telnet ou FTP. Pour que les
utilisateurs puissent sauthentifier, ajoutez une rgle HTTP, Telnet ou FTP
configure pour authentification. Lorsque les utilisateurs tentent de se connecter
travers le pare-feu via cette rgle, il leurs est demand dentrer un nom dutilisateur
et un mot de passe pare-feu.

01-30001-0203-20060424
La mthode dauthentification pare-feu comprend des groupes dutilisateurs dfinis
locaux, de mme que des utilisateurs LDAP ou Radius. Slectionnez Active
Directory dans le menu droulant pour choisir des groupes Active Directory dfinis
dans Utilisateur > Groupe utilisateur. Lauthentification avec des groupes Active
Directory et dautres groupes ne peut pas tre combine dans une mme rgle.
Remarque : Pour permettre au botier FortiGate dauthentifier partir dun serveur Active
Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active
Directory Domain Controller. Le FSAE est disponible auprs du Support Technique Fortinet.
Pour que les utilisateurs puissent sauthentifier partir dautres services (par
exemple POP3 ou IMAP), crez un groupe de services qui comprend les services
pour lesquels une authentification est requise, de mme que HTTP, Telnet et FTP.
Ainsi, les utilisateurs peuvent sauthentifier avec la rgle via HTTP, Telnet ou FTP
avant dutiliser un autre service.
Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS
travers le pare-feu sans authentification. Si DNS nest pas disponible, les
utilisateurs ne peuvent pas se connecter un serveur web, FTP ou Telnet avec un
nom de domaine.
Remarque : Les rgles qui ncessitent une authentification doivent tre places, dans la
liste, au-dessus des rgles correspondantes qui nen ncessitent pas. Sinon, la rgle qui ne
ncessite pas dauthentification est choisie en premier.
Ajout dune priorit de trafic aux rgles pare-feu

Le Traffic Shaping contrle la bande passante disponible pour la rgle et dfinit le
niveau de priorit du trafic trait par cette rgle. Le Traffic Shaping permet de
contrler quelles rgles ont la priorit la plus haute lorsquun grand montant de
donnes passent par un botier FortiGate. Par exemple, on pourrait attribuer la
rgle du serveur web de lorganisation une priorit plus haute que celle des rgles
destines aux ordinateurs des autres employs. Un employ qui ncessiterait
exceptionnellement un accs Internet haut dbit pourrait bnficier dune rgle
spciale offrant une bande passante plus grande.
Loption de priorit de trafic est disponible pour les rgles ACCEPT, IPSEC et VPN
SSL, ainsi que pour tous les services supports, y compris H.323, TCP, UDP,
ICMP et ESP. Elle sera disponible pour SIP dans les versions futures.
Les bandes passantes garantie et maximum, combine loption dattente dans la

queue, assurent quun minimum et maximum de bande passante soit disponible
pour le trafic.
Loption de priorit de trafic ne permet pas daugmenter la quantit totale de bande

passante disponible, mais elle peut amliorer la qualit pour le trafic utilisant la
bande passante de manire intensive ou sensible aux variations de performances.
Bande passante garantie et bande passante maximum

Lorsque vous entrez une valeur dans le champ de la bande passante garantie
dune rgle pare-feu, vous garantissez la disponibilit dune quantit de bande
passante pour un trafic rseau slectionn (en Koctets/sec). Par exemple, vous
pourriez donner une bande passante garantie plus grande votre trafic e-
commerce.

01-30001-0203-20060424
Lorsque vous entrez une valeur dans le champ de la bande passante maximum
dune rgle pare-feu, vous limitez la disponibilit dune quantit de bande passante
pour un trafic rseau slectionn (en Koctets/sec). Par exemple, vous pourriez
limiter la bande passante du trafic IM, de manire avoir plus de bande passante
pour le trafic e-commerce plus important.
La bande passante utilise pour le trafic contrl par une rgle sert au contrle et
aux sessions de donnes du trafic dans les deux directions. Par exemple, si la
bande passante garantie est applique une rgle FTP interne et externe,
lorsquun utilisateur dun rseau interne utilise FTP pour placer et recevoir des
fichiers, les sessions de rception et denvoi partagent la bande passante
disponible au trafic contrler par cette rgle.
La bande passante garantie et maximum disponible pour une rgle est la bande
passante totale disponible pour tout le trafic contrl par cette rgle. Si diffrents
utilisateurs commencent plusieurs sessions de communication avec la mme
rgle, toutes ces sessions de communication doivent se partager la bande
passante disponible pour cette rgle.
Cependant, la disponibilit de la bande passante nest pas partage entre les

instances multiples qui utilisent le mme service si ces instances sont contrles
par des rgles diffrentes. Par exemple, vous pouvez crer une rgle FTP pour
limiter la quantit de bande passante disponible pour le service FTP pour une
adresse rseau et crer une autre rgle FTP avec une disponibilit diffrente pour
une autre adresse rseau.
Priorit du trafic
Fixer une priorit permet de grer les priorits relatives des diffrents types de
trafic. Les trafics importants devraient avoir un haut niveau de priorit. Les trafics
moins importants devraient se voir attribuer un niveau plus bas de priorit.
Le pare-feu antivirus FortiGate procure de la bande passante des connexions

moins prioritaires seulement si la bande passante nest pas utilise pour des
connexions hautement prioritaires.
Par exemple, vous pouvez ajouter des rgles qui garantissent de la bande
passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une
haute priorit la rgle qui contrle le trafic voix et une priorit medium la
rgle qui contrle le trafic e-commerce. Aux heures de pointe, lorsque les deux
trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic
voice sera transmis avant le trafic e-commerce puisquil a la plus haute priorit.
Remarques sur la priorit de trafic

Loption de priorit de trafic tente de normaliser les piques de trafic en donnant la
priorit certains flux. Il y a cependant une limite physique la quantit de
donnes mise en rserve (dans le buffer) et son dlai. Une fois les seuils
dpasss, les trames et paquets seront abandonns affectant alors le bon
droulement des sessions. Une priorit mal configure pourrait dgrader un peu
plus les flux rseaux tant donn que la quantit de paquets non pris en compte
pourrait crer un surplus aux couches suprieures.
Un exemple de priorit de trafic de base serait de dfinir une priorit pour certains
flux de trafic au dtriment dautres trafics qui ne seront alors pas pris en compte.

01-30001-0203-20060424
Ce qui signifie que vous acceptez de sacrifier certaines performances du trafic X
dans le but daugmenter ou de garantir la performance et la stabilit du trafic Y.
Si, par exemple, vous appliquez une limitation de la bande passante certains
flux, vous devez accepter le fait que ces sessions peuvent tre limites.
La priorit de trafic applique une rgle pare-feu est renforce pour le trafic qui
peut circuler dans chaque direction. Ds lors une session mise en place par un
hte interne vers un hte externe, via une rgle Interne -> Externe, subira la
priorit de trafic applique mme si le flot de donnes provient alors dExterne ->
Interne. Ce sera par exemple le cas pour un fichier FTP reu ou un serveur
SMTP se connectant un serveur externe dans le but de rcuprer des emails.
La priorit de trafic est efficace pour un trafic IP normal des taux rguliers. Elle
nest pas efficace durant des situations extrmes de trafic dense alors que le trafic
dpasse la capacit du botier FortiGate. Les paquets doivent tre reus par le
botier FortiGate avant quils soient sujets la priorit de trafic. Si le botier
FortiGate narrive pas traiter tout le trafic reu, le risque de paquets abandonns,
retards ou latents augmente.
Pour assurer un fonctionnement optimal de la priorit de trafic, veillez ce que les

statistiques de linterface Ethernet soient dpourvues derreurs, de tlescopage ou
de dpassement du buffer. Si ce nest pas le cas, les paramtres du botier
FortiGate et du commutateur ncessiteront probablement quelques ajustements.
Pour un fonctionnement optimal de la priorit de trafic, veillez respecter les

rgles suivantes :
Activer la priorit de trafic sur toutes les rgles pare-feu. Si vous nappliquez
une priorit de trafic qu une seule rgle, cette dernire est dfinie par dfaut
comme hautement prioritaire.
Affectez chaque rgle pare-feu une des trois priorits (low, medium et high).
Assurez-vous galement que la somme des bandes passantes garanties de toutes

les rgles pare-feu est considrablement moindre que la capacit de la bande
passante de linterface.
Configuration de la priorit de trafic FortiGate

La priorit de trafic sactive et ses paramtres se dfinissent lors de la
configuration de rgles pare-feu.
Configurer la priorit de trafic

2 Lorsque vous crez une nouvelle rgle ou diter une rgle existante, slectionnez
loption Traffic Shaping (Priorit de Trafic).
3 Configurez les trois options suivantes :
Bande Passante Garantie Permet de garantir une quantit disponible de bande passante
pour une rgle travers le pare-feu. Garantir de la bande
passante (en Koctets) assure une disponibilit suffisante de
bande passante pour les services hautement prioritaires.
Assurez-vous que la somme des bandes passantes garanties
de toutes les rgles pare-feu est considrablement moindre
que la capacit de la bande passante de linterface.

01-30001-0203-20060424
Bande Passante Maximum Permet de limiter la quantit disponible de bande passante
pour une rgle travers le pare-feu. Limiter la bande passante
permet dempcher lutilisation de la bande pour des services
mineurs au bnfice de services plus importants.
Niveau de Priorit Slectionnez High, Medium ou Low. Cela permet de grer les
priorits relatives des diffrents types de trafic. Par exemple,
une rgle permettant de se connecter un serveur web
scuris et supportant le trafic e-commerce devrait tre
affecte dune priorit de trafic haute (High). Les services
moins importants devraient tre affects dune priorit de trafic
basse (low). Le pare-feu fournit de la bande passante aux
connexions moins prioritaires seulement lorsque celle-ci nest
pas requise pour des connexions hautement prioritaires.
Assurez-vous dactiver la priorit de trafic sur toutes les rgles
pare-feu. Si vous nappliquez une priorit de trafic qu une
seule rgle, cette dernire est dfinie par dfaut comme
hautement prioritaire.
Affectez chaque rgle pare-feu une des trois priorits.
Remarque : Si vous affectez la valeur 0 (zro) la bande passante garantie et la

bande passante maximum, la rgle naccepte aucun trafic.
Options des rgles pare-feu IPSec

Lorsque laction est positionne sur IPSEC, les options suivantes sont disponibles :
Illustration 111 : Rgle de cryptage IPSEC
VPN Tunnel Slectionnez le nom du tunnel VPN dfini dans la configuration

phase 1. Le tunnel spcifi sera sujet cette rgle de cryptage
pare-feu.
Allow Inbound Activez cette option pour permettre au trafic dun client ou
dordinateurs dialup dun rseau priv distant de dmarrer
le tunnel.
Allow Outbound Activez cette option pour permettre au trafic partir
dordinateurs du rseau priv local de dmarrer le tunnel.
Inbound NAT Activez cette option pour translater les adresses IP source de
paquets entrants dcrypts en adresse IP de linterface
FortiGate au rseau priv local.
Outbound NAT Activez cette option en combinaison avec une valeur CLI
natip pour translater les adresses sources des paquets
sortants en clair en une adresse IP que vous spcifiez. Ne pas
slectionnez cette option moins que vous nayez spcifi une
valeur natip partir du CLI. Dans ce cas, les adresses
source de paquets IP sortants sont remplacs avant que les
paquets ne soient envoys travers le tunnel. Pour plus
dinformations, voir le chapitre Firewall du FortiGate CLI
Reference.
Remarque : Les tunnels IPSec en mode route (mode interface) ne sont pas configurs de la
mme manire que les tunnels IPSec en mode tunnel : au lieu de dfinir une rgle de
cryptage pare-feu (en mode tunnel IPSEC ) qui permet les connexions VPN et le contrle
du trafic IP travers le tunnel, celui-ci lie un tunnel VPN en mode route une interface

01-30001-0203-20060424
virtuelle IPSec et spcifie ensuite cette interface comme interface source ou de destination
dans une rgle pare-feu (ACCEPT ou DENY) rgulire.
Pour plus dinformations, voir le chapitre Dfinition dune rgle de cryptage pare-
feu du Guide Utilisateur VPN IPSec FortiGate FortiGate IPSec VPN User
Guide.
Options des rgles pare-feu VPN SSL

Lorsque lAction est positionne sur SSL-VPN, les options suivantes sont
disponibles :
Remarque : Loption VPN SSL est disponible partir de la liste Action aprs quun ou
plusieurs groupes dutilisateurs aient t crs. Pour crer des comptes utilisateurs et des
groupes dutilisateurs VPN SSL, voir Configuration des options des groupes dutilisateurs
VPN SSL la page 335.
Illustration 112 : Rgle de cryptage VPN SSL
Certificat Client SSL Autorise le trafic gnr par des titulaires dun certificat de
Restrictive groupe (partag). Ces titulaires doivent tre des membres dun
groupe dutilisateurs VPN SSL, et le nom de ce groupe doit
tre prsent dans le champ Allowed , Autoris .
Algorithme de la cl Slectionnez une des options suivantes pour dterminer le

de cryptage niveau de cryptage SSL utiliser. Le navigateur web du client
distant doit pouvoir correspondre au niveau slectionn :
Pour utiliser une suite de chiffres, slectionnez Any.
Pour utiliser une suite de chiffres 164 bits ou plus,
slectionnez High>=164.
Pour utiliser une suite de chiffres 128 bits ou plus,
slectionnez Medium>=128.
Authentification Utilisateur Slectionnez lune des options suivantes :
Mthode
Si le groupe dutilisateurs li cette rgle de pare-feu est
un groupe dutilisateurs local, slectionnez Local.
Si les clients distance seront authentifis par un serveur
RADIUS externe, slectionnez Radius.
Si les clients distance seront authentifis par un serveur
LDAP externe, slectionnez LDAP.
Slectionnez Any pour activer toutes les mthodes
dauthentification ci-dessus. Lauthentification Local est
tente en premier, suivit de Radius et ensuite LDAP.
Groupes Disponibles Slectionnez le nom du groupe dutilisateurs ncessitant un

accs VPN SSL, et cliquez ensuite sur la flche droite. Ne
slectionnez pas plus dun groupe dutilisateurs moins que

01-30001-0203-20060424
tous les membres des groupes dutilisateurs slectionns aient
des exigences daccs identiques.
Pour plus dinformations sur comment crer une rgle de cryptage pare-feu pour
les utilisateurs VPN SSL, voir le chapitre SSL VPN administration tasks du
FortiGate SSL VPN User Guide.

01-30001-0203-20060424
Adresse Pare-Feu
A partir de cette page, vous pouvez ajouter, diter ou supprimer des adresses
pare-feu. Les adresses pare-feu sont ajoutes aux rgles pare-feu pour
correspondre aux adresses IP source ou de destination de paquets reus par le
botier FortiGate.

A propos des adresses pare-feu
Visualisation de la liste des adresses pare-feu
Configuration des adresses
Visualisation de la liste des groupes dadresses
Configuration des groupes dadresses
A propos des adresses pare-feu

Une adresse pare-feu peut tre :
Ladresse IP dun ordinateur unique (par exemple, 192.45.46.45).
Ladresse IP dun sous-rseau (par exemple, 192.168.1.0 pour un sous-rseau
classe C).
0.0.0.0 pour reprsenter toutes les adresses IP possibles.
Le masque de rseau correspond au type dadresses ajoutes. Par exemple :
Le masque de rseau dune adresse IP dun ordinateur unique devrait tre
255.255.255.255.
Le masque de rseau dun sous-rseau classe A devrait tre 255.0.0.0.
Le masque de rseau dun sous-rseau classe B devrait tre 255.255.0.0.
Le masque de rseau dun sous-rseau classe C devrait tre 255.255.255.0.
Le masque de rseau pour toutes les adresses devrait tre 0.0.0.0.
Une plage dadresses IP reprsente :
Une plage dadresses IP dans un sous-rseau (par exemple, 192.168.20.1
192.168.20.10).
Remarque : Ladresse IP 0.0.0.0 et le masque de rseau 255.255.255.255 ne correspond

pas une adresse de pare-feu valide.
Pour simplifier la cration de rgles, il est conseill dorganiser les adresses ayant
un lien entre elles en groupes dadresses.
Une adresse pare-feu peut tre configure avec un nom, une adresse IP et un
masque de rseau ou un nom et une plage dadresses. Il peut galement sagir
dun FQDN (Fully Qualified Domain Name).
Entrez une adresse IP et un masque de rseau en utilisant les formats suivants :

01-30001-0203-20060424
x.x.x.x/x.x.x.x., par exemple 192.168.1.0/255.255.255.0
x.x.x.x/x, par exemple 192.168.1.0/24
Entrez une plage dadresses IP en utilisant les formats suivants :
x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
x.x.x.[x-x], par exemple 192.168.110.[100-120]
x.x.x.*, par exemple 192.168.110.* pour reprsenter toutes les adresses sur le
sous-rseau
Une adresse IP/Masque peut reprsenter :
Ladresse dun sous-rseau (par exemple, un sous-rseau classe C, adresse
IP : 192.168.20.0 et un masque de rseau : 255.255.255.0)
Une adresse IP unique (par exemple, une adresse IP : 192.168.20.1 et un
masque de rseau : 255.255.255.255)
Toutes les adresses IP possibles (reprsentes par ladresse IP : 0.0.0.0 et le
masque de rseau : 0.0.0.0)
Entrez un FQDN en utilisant le format suivant :
<host_name>.<second_level_domain_name>.<top_level_domain_name>
<host_name>.<top_level_domain_name>
Un FQDN peut tre
www.fortinet.com
exemple.com
Visualisation de la liste des adresses pare-feu

Si des domaines virtuels sont activs sur le botier FortiGate, les adresses sont
configures sparment pour chaque domaine virtuel. Pour accder aux adresses,
slectionnez un domaine virtuel de la liste dans le menu principal.
Vous pouvez ajouter des adresses la liste et diter des adresses existantes. Le
botier FortiGate est configur avec ladresse par dfaut All qui reprsente
nimporte quelle adresse IP sur le rseau. Les adresses dans la liste sont tries par
type : IP/Masque, Plage IP et FQDN.
Pour visualiser la liste dadresses, slectionnez Pare-feu > Adresse.
Illustration 113 : Echantillon dune liste dadresses
Crer Nouveau Permet dajouter une adresse pare-feu.

Nom Le nom de ladresse pare-feu.
Adresse / FQDN Ladresse IP et le masque, la plage dadresses IP ou le FQDN.

01-30001-0203-20060424
Icne Supprimer Permet de supprimer une adresse de la liste. Cette icne
saffiche uniquement si ladresse nest pas reprise dans une
rgle pare-feu.
Icne Editer Permet dditer les informations suivantes : Nom, Type, Sous-
rseau/Plage IP.
Configuration des adresses

Les adresses peuvent galement tre cres ou dites pendant la configuration
de rgles pare-feu partir de la fentre de la rgle pare-feu.
Vous pouvez lier un FQDN de multiples machines pour un quilibrage de charge

et de la haute disponibilit. Une rgle pare-feu FQDN unique peut tre cre pour
laquelle le botier FortiGate correspond automatiquement et maintient un
enregistrement de toutes les adresses auxquelles le FQDN correspond.
Attention : Lutilisation dun FQDN dans une rgle pare-feu peut, malgr sa
commodit, prsenter des risques de scurit. Soyez trs prudents lors de
lutilisation de cette fonction.
Slectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage
dadresses ou un FQDN.
Illustration 114 : Options de nouvelles adresses ou de plage IP.
Nom Entrez un nom pour identifier ladresse pare-feu. Les adresses,

groupes dadresses et IP virtuelles doivent avoir des noms
uniques afin dviter la confusion parmi les rgles pare-feu.
Type Slectionnez le type dadresse : Subnet/IP Range ou FQDN.
Subnet/IP Range Entrez ladresse IP du pare-feu / le masque du sous-rseau ou
entrez la plage IP spare par un tiret.
Visualisation de la liste des groupes dadresses

Si des domaines virtuels sont activs sur le botier FortiGate, les groupes
dadresses sont configurs sparment pour chaque domaine virtuel. Pour accder
aux groupes dadresses, slectionnez un domaine virtuel de la liste dans le menu
principal.
Pour simplifier la configuration de rgles, il est conseill dorganiser les adresses

apparentes en groupes dadresses. Par exemple, aprs avoir ajout trois
adresses et les avoir configur en un groupe dadresses, configurez une seule
rgle qui reprend les trois adresses.
Pour visualiser la liste des groupes dadresses, slectionnez Pare-feu > Adresse
> Groupe.
Remarque : Si un groupe dadresses est compris dans une rgle, il ne peut pas tre
supprimer moins quil soit dabord retirer de la rgle.

01-30001-0203-20060424
Illustration 115 : Echantillon dune liste de groupes dadresses
Crer Nouveau Permet dajouter un groupe dadresses.

Nom des groupes Le nom du groupe dadresses.
Membres Les adresses faisant partie du groupe dadresses.
Icne Supprimer Permet de supprimer le groupe de la liste. Cette icne saffiche
uniquement si le groupe dadresses nest pas repris dans une
rgle pare-feu.
Icne Editer Permet dditer les informations suivantes : Nom du groupe et
Membres
Configuration des groupes dadresses

Des groupes dadresses peuvent tre crs pendant la configuration de pare-feu
en cliquant sur Crer Nouveau de la liste droulante Adresse.
Pour organiser les adresses en groupes dadresses, slectionnez Pare-feu >

Adresse > Groupe.
Illustration 116 : Options des groupes dadresses
Nom du groupe Entrez un nom pour identifier le groupe dadresses. Les

adresses, groupes dadresses et IP virtuelles doivent avoir des
noms uniques pour viter la confusion parmi les rgles pare-
feu.
Adresses disponibles La liste des adresses pare-feu configures et par dfaut.
Utilisez les flches pour dplacer les adresses dune liste
lautre.
Membres La liste des adresses dans le groupe. Utilisez les flches pour
dplacer les adresses dune liste lautre.

01-30001-0203-20060424
Service Pare-feu
La fonctionnalit Service permet de dterminer les types de communication qui
seront accepts ou refuss par le pare-feu. Vous pouvez ajouter un ou plusieurs
service(s) prdfini(s) au choix une rgle. Vous pouvez galement crer des
services personnaliss pour chaque domaine virtuel et ajouter des services des
groupes de services.

Visualisation de la liste des services prdfinis
Visualisation de la liste des services personnaliss
Configuration des services personnaliss
Visualisation de la liste des groupes de services
Configuration des groupes de services
Visualisation de la liste des services prdfinis

Lorsque des domaines virtuels sont activs sur le botier FortiGate, les services
prdfinis sont disponibles globalement.
Dans le menu principal, slectionnez Configuration Globale et ensuite Pare-feu >

Service pour visualiser la liste des services prdfinis.
Illustration 117 : Liste des services prdfinis
Nom Le nom du service prdfini.

Dtail Le protocole de chaque service prdfini.
Le tableau 33 rpertorie les services pare-feu FortiGate prdfinis. Vous pouvez

ajouter ces services nimporte quelle rgle.

01-30001-0203-20060424
Tableau 33 : Services FortiGate prdfinis
Nom du service Description Protocole Port
AH Authentication Header. AH fournit une 51
authentification de lhte source et
lintgrit des donnes, mais pas de
secret. Ce protocole est utilis pour
lauthentification par les passerelles
IPSec distantes dfinies en mode
agressif.
ANY Convient aux connexions nimporte all all
quel port. Une connexion utilisant
nimporte lequel des services
prdfinis est autoris travers le
pare-feu.
AOL Protocole de messagerie instantane TCP 5190-5194
AOL.
BGP Protocole de routage Border Gateway TCP 179
Protocol. BGP est un protocole de
routage intrieur/extrieur.
DHCP Dynamic Host Configuration Protocol UDP 67
alloue des adresses rseau et livre
des paramtres de configuration
partir de serveurs DHCP vers les
htes.
DNS Domain Name Service pour la TCP 53
traduction de noms de domaines en
UDP 53
adresses IP.
ESP Encapsulating Security Payload. Ce 50
service est utilis par les tunnels VPN
en cl manuelle et AutoIKE pour
communiquer des donnes cryptes.
Les tunnels VPN AutoIKE utilisent
ESP aprs avoir tabli le tunnel en
utilisant IKE.
FINGER Un service rseau fournissant des TCP 79
informations sur les utilisateurs.
FTP Service FTP pour le transfert de TCP 21
fichiers.
FTP_GET Service FTP pour le tlchargement TCP 21
de fichiers reus .
FTP_PUT Service FTP pour le tlchargement TCP 21
de fichiers envoyer .
GOPHER Service de communications TCP 70
GOPHER. Il organise et affiche les
contenus dun serveur Internet sous
forme de liste de fichiers structurs
hirarchiquement.
GRE Generic Routing Encapsulation. Un 47
protocole permettant un protocole
rseau arbitraire dtre transmis sur
tout autre protocole rseau arbitraire,
en encapsulant les paquets du
protocole dans des paquets GRE.
H323 Protocole multimdia H.323. Il sagit TCP 1720, 1503
dun standard approuv par ITU
(International Telecommunication
Union) dfinissant comment les
donnes de confrences
audiovisuelles sont transmises
travers les rseaux.
HTTP HTTP est le protocole utilis par la TCP 80
toile web mondiale pour le transfert de
donnes pour les pages web.

01-30001-0203-20060424
HTTPS HTTPS est un service SSL (Secure TCP 443
socket layer) pour des
communications scurises des
serveurs web.
ICMP_ANY Internet Control Message Protocol est ICMP
une console de messages et un
protocole de rapport derreurs entre
un hte et une passerelle (Internet).
IKE IKE est le protocole pour obtenir UDP 500
lchange de cls authentifies
utilises avec ISAKMP pour IPSEC
IMAP Internet Message Access Protocol est TCP 143
un protocole utilis pour la rception
de courriers lectroniques.
INFO_ADDRESS Messages de requtes dinformations ICMP 17
ICMP.
INFO_REQUEST Messages de requtes de masque ICMP 15
dadresses ICMP.
IRC Internet Relay Chat permet aux TCP 6660-6669
personnes connectes Internet de
rejoindre des discussions en ligne.
Internet Internet Locator Service comprend TCP 389
Locator - LDAP, User Locator Service, et LDAP
Service sur TLS/SSL.
L2TP L2TP est un protocole tunnel en mode TCP 1701
PPP pour laccs distance.
LDAP Lightweight Directory Access Protocol TCP 389
est un ensemble de protocoles utiliss
pour accder aux informations des
services dannuaires.
NFS Network File System autorise les TCP 111, 2049
utilisateurs du rseau daccder des
fichiers partags stocks sur des
ordinateurs de diffrents types.
NNTP Network News Transport Protocol est TCP 119
un protocole utilis pour envoyer,
distribuer et recevoir des messages
USENET.
NTP Network Time Protocol pour la TCP 123
synchronisation de la date et lheure
avec un serveur NTP.
NetMeeting NetMeeting autorise les utilisateurs de TCP 1720
participer des tlconfrences via
Internet comme moyen de
transmission.
OSPF Open Shortest Path First est un 89
protocole de routage commun dtat
de lien.
PC-Anywhere PC-Anywhere est un protocole de UDP 5632
contrle distance et de transfert de
fichiers.
PING ICMP echo request/reply pour tester ICMP 8
des connexions vers dautres
machines.
POP3 Post Office Protocol est un protocole TCP 110
email pour le tlchargement de
courriers lectroniques partir dun
serveur POP3.
PPTP Point-to-Point Tunneling Protocol est TCP 1723
un protocole permettant aux
organisations dtendre leur propre
rseau organisationnel travers des
tunnels privs sur lInternet public.

01-30001-0203-20060424
QUAKE Pour les connexions utilises par le UDP 26000,
jeu dordinateur multi-joueurs Quake. 27000,
27910,
27960
RAUDIO Pour fluer le trafic multimedia audio UDP 7070
rel.
RIP Routing Information Protocol est un UDP 520
protocole commun de routage
vecteur de distance.
RLOGIN Service RLOGIN pour la connexion TCP 513
distance un serveur.
SAMBA Samba autorise les clients Microsoft TCP 139
Windows utiliser les services de
fichier et dimpression partir dhtes
TCP/IP.
SIP Session Initiation Protocol dfinit UDP 5060
comment les donnes de confrence
audiovisuelle sont transmises
travers les rseaux.
SIP- Session Initiation Protocol est utilis TCP 1863
MSNmessenger par Microsoft Messenger pour initier
une session mulimedia interactive.
SMTP Simple Mail Transfer Protocol est TCP 25
utilis pour lenvoi de mail entre
serveurs emails sur Internet.
SNMP Simple Network Management Protocol TCP 161-162
est un ensemble de protocoles pour la
UDP 161-162
gestion de rseaux complexes.
SSH Secure Shell est un service pour TCP 22
connexions scurises dordinateurs
UDP 22
lors dadministrations distantes.
SYSLOG Service syslog pour connexion UDP 514
distance.
TALK Un protocole supportant des UDP 517-518
conversations entre deux ou plusieurs
utilisateurs.
TCP Tous les ports TCP. TCP 0-65535
TELNET Service Telnet pour des connexions TCP 23
vers un ordinateur dadministration
pour en prendre les commandes.
TFTP Trivial File Transfert Protocol est un UDP 69
protocole de transfert simple de
fichiers similaire FTP mais sans
fonctionnalits de scurit.
TIMESTAMP Messages de requtes ICMP ICMP 13
timestamp.
UDP Tous les ports UDP UDP 0-65535
UUCP Unix to Unix copy utility, un protocole UDP 540
simple de copiage de fichiers.
VDOLIVE Pour fluer le trafic multimedia VDO TCP 7000-7010
live.
WAIS Wide Area Information Server est un TCP 210
protocole de recherche Internet.
WINFRAME Pour des communications WinFrame TCP 1494
entre des ordinateurs munis de
Windows NT.
X-WINDOWS Pour des communications distance TCP 6000-6063
entre un serveur X-Window et des
clients X-Window.

01-30001-0203-20060424
Visualisation de la liste des services personnaliss
Si les domaines virtuels sont activs sur le botier FortiGate, les services
personnaliss sont configurs sparment pour chaque domaine virtuel. Pour
accder aux services personnaliss, slectionnez un domaine virtuel de la liste
dans le menu principal.
Vous pouvez ajouter un service personnalis pour crer une rgle pour un service
qui ne se trouve pas dans la liste des services prdfinis.
Pour visualiser la liste des services personnaliss, slectionnez Pare-feu >

Service > Personnalis.
Illustration 118 : Liste de services personnaliss
Crer Nouveau Slectionnez un protocole et cliquez ensuite sur Crer

Nouveau pour ajouter un service personnalis.
Nom du Service Le nom du service personnalis.
Dtail Les numros des protocole et ports pour chaque service
personnalis.
Icne Supprimer Permet de supprimer une entre de la liste. Cette icne
saffiche uniquement si le service nest pas repris dans une
rgle pare-feu.
Icne Editer Permet dditer les informations suivantes : Nom, Type de
Protocole, Type, Numro de Protocole, Code, Port Source et
Port de Destination.
Configuration des services personnaliss

Des services personnaliss peuvent tre crs lors de la configuration dune rgle
pare-feu en slectionnant Crer Nouveau de la liste Service droulante.
Ajouter un service personnalis TCP ou UDP
1 Slectionnez Pare-feu > Service > Personnalis.

2 Positionnez le Type de Protocole sur TCP/UDP.
3 Configurez les paramtres suivants :
Illustration 119 : Nouveau service personnalis TCP/UDP

01-30001-0203-20060424
Nom Entrez un nom au service personnalis.
Type de protocole Slectionnez le type de protocole du service personnalis :
TCP/UDP.
Protocole Slectionnez TCP ou UDP comme protocole de la plage des
ports ajoute.
Port source Spcifiez la plage des numros de Port Source pour le service
en entrant les numros de ports les plus bas et plus haut. Si le
service nutilise quun numro de port, entrez celui-ci dans les
champs Dbut et Fin. Les valeurs par dfaut permettent
lutilisation de nimporte quel port source.
Port destination Spcifiez la plage des numros de Port de Destination pour le
service en entrant les numros de ports les plus bas et plus
haut. Si le service nutilise quun numro de port, entrez celui-
ci dans les champs Dbut et Fin.
Bouton ADD Si le service personnalis ncessite plus dune plage de ports,
cliquez sur le bouton Add pour permettre plusieurs plages
source et de destination.
Icne Supprimer Permet de supprimer une entre de la liste.
Ajouter un service personnalis ICMP

2 Positionnez le Type de Protocole sur ICMP.
Illustration 120 : Nouveau service personnalis - ICMP
Nom Entrez un nom au service personnalis ICMP.

Type de protocole Slectionnez le type de protocole du service : ICMP.
Type Entrez le numro du type ICMP pour ce service.
Code Entrez le numro du code ICMP pour ce service si requis.
Ajouter un service personnalis IP

2 Positionnez le Type de Protocole sur IP.

01-30001-0203-20060424
Illustration 121 : Nouveau service personnalis - IP
Nom Entrez un nom au service personnalis IP.

Type de protocole Slectionnez le type de protocole du service : IP.
Numro de protocole Le numro de protocole IP pour ce service.
Visualisation de la liste des groupes de services

Si les domaines virtuels sont activs sur le botier FortiGate, les groupes de
services sont crs sparment pour chaque domaine virtuel. Pour accder aux
groupes de services, slectionnez un domaine virtuel de la liste dans le menu
principal.
Pour faciliter lajout de rgles, vous pouvez crer des groupes de services et
ensuite ajouter une rgle qui autorise ou bloque laccs tous les services dun
groupe. Un groupe de service peut comprendre des services prdfinis et
personnaliss. Un groupe de services ne peut pas tre ajout un autre groupe de
services.
Pour visualiser la liste des groupes de services, slectionnez Pare-feu > Service >
Groupe.
Illustration 122 : Echantillon dune liste de groupes de services
Crer Nouveau Permet dajouter un groupe de services.

Nom des groupes Le nom didentification du groupe de services.
Membres Les services ajouts ce groupe de services.
Icne Supprimer Permet de supprimer lentre de la liste. Cette icne saffiche
uniquement si le groupe de services nest pas repris dans une
rgle pare-feu.
Icne Editer Permet dditer les informations suivantes : Nom des groupes
et Membres.
Configuration des groupes de services

Des groupes de services peuvent tre crs lors de la configuration dune rgle
pare-feu en cliquant sur Crer Nouveau dans la liste droulante.
Pour organiser les services en un groupe de services, slectionnez Pare-feu >

Service > Groupe.

01-30001-0203-20060424
Illustration 123 : Options des groupes de services
Nom du groupe Entrez un nom pour identifier le groupe de services.

Services disponibles La liste des services configurs et prdfinis. Utilisez les
flches pour dplacer les services dune liste lautre.
Membres La liste des services dans le groupe. Utilisez les flches pour
dplacer les services dune liste lautre.

01-30001-0203-20060424
Plage horaire dun Pare-feu
Cette section dcrit lutilisation de plages horaires pour contrler les priodes
dactivit et dinactivit des rgles. Des plages horaires ponctuelles et rcurrentes
peuvent tre cres. Les plages horaires ponctuelles oprent une seule fois
pendant la priode de temps spcifi dans lhoraire. Les plages horaires
rcurrentes se ritrent chaque semaine. Elles oprent uniquement lors de
priodes de temps spcifis de la journe ou lors de jours spcifis dans la
semaine.

Visualisation de la liste des plages horaires ponctuelles
Configuration des plages horaires ponctuelles
Visualisation de la liste des plages horaires rcurrentes
Configuration des plages horaires rcurrentes
Visualisation de la liste des plages horaires ponctuelles

Si des domaines virtuels sont activs sur le botier FortiGate, les plages horaires
ponctuelles sont configures sparment pour chaque domaine virtuel. Pour
accder aux plages horaires ponctuelles, slectionnez un domaine virtuel de la
liste dans le menu principal.
Vous pouvez crer une plage horaire ponctuelle qui active ou dsactive une rgle
pour une priode de temps spcifie. Par exemple, un pare-feu peut tre configur
avec une rgle par dfaut qui permet laccs tous les services Internet tout
moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet
accs Internet pendant une priode de cong.
Pour visualiser la liste des plages horaires ponctuelles, slectionnez Pare-feu >
Plage horaire > Ponctuelle.
Illustration 124 : Listes des plages horaires ponctuelles
Crer Nouveau Permet dajouter une plage horaire ponctuelle.

Nom Le nom de la plage horaire ponctuelle.
Dbut La date et lheure de dbut de la plage horaire ponctuelle.
Fin La date et lheure de la fin de la plage horaire ponctuelle.
Icne Supprimer Permet de supprimer la plage horaire de la liste. Cette icne
apparat seulement si la plage horaire nest pas reprise dans
une rgle pare-feu.
Icne Editer Permet dditer la plage horaire.

01-30001-0203-20060424
Configuration des plages horaires ponctuelles
Les plages horaires ponctuelles peuvent tre cres lors de la configuration dune
rgle pare-feu en slectionnant Crer Nouveau dans la liste Plage Horaire
(Schedule) droulante.
Pour ajouter une plage horaire ponctuelle, slectionnez Pare-feu > Plage horaire
> Ponctuelle.
Illustration 125 : Nouvelle plage horaire ponctuelle
Nom Entrez un nom pour identifier la plage horaire ponctuelle.

Dbut Entrez les date et heure de dpart de la plage horaire
ponctuelle.
Fin Entrez les date et heure de fin de la plage horaire ponctuelle.
Pour une plage horaire active tout au long de la journe, affectez 00 aux dates et
heures de dpart et de fin. Les plages horaires ponctuelles utilisent une horloge de
24 heures (et non pas 12).
Visualisation de la liste des plages horaires rcurrentes

Si des domaines virtuels sont activs sur le botier FortiGate, les plages horaires
rcurrentes sont configures sparment pour chaque domaine virtuel. Pour
accder aux plages horaires rcurrentes, slectionnez un domaine virtuel de la
liste dans le menu principal.
Vous pouvez crer une plage horaire rcurrente qui active ou dsactive une rgle
des moments de la journe ou lors de certains jours de la semaine spcifis. Par
exemple, empcher les jeux pendant les heures de travail en crant une plage
horaire rcurrente.
Remarque : Une plage horaire rcurrente avec une heure de fin qui a lieu avant lheure de
dbut commence lheure de dbut et finit lheure de fin de la journe suivante. Cette
technique permet de crer des plages horaires qui passent du jour au lendemain. Pour crer
une plage horaire qui fonctionne 24 heures, affectez la mme heure aux heures de dbut et
de fin.
Pour visualiser la liste des plages horaires rcurrentes, slectionnez Pare-feu >
Plage horaire > Rcurrente.

01-30001-0203-20060424
Illustration 126 : Listes des plages horaires rcurrentes
Crer Nouveau Permet dajouter une plage horaire rcurrente.

Nom Le nom de la plage horaire rcurrente.
Jour Les initiales des jours de la semaine pendant lesquelles la
plage horaire rcurrente est active.
Dbut Lheure de dbut de la plage horaire rcurrente.
Fin Lheure de fin de la plage horaire rcurrente.
Icne Supprimer Permet de supprimer la plage horaire de la liste. Cette icne
apparat seulement si la plage horaire nest pas reprise dans
une rgle pare-feu.
Icne Editer Permet dditer la plage horaire.
Configuration des plages horaires rcurrentes

Les plages horaires rcurrentes peuvent tre cres lors de la configuration dune
rgle pare-feu en slectionnant Crer Nouveau dans la liste Plage Horaire
(Schedule) droulante.
Pour ajouter une plage horaire rcurrente, slectionnez Pare-feu > Plage horaire
> Rcurrente.
Illustration 127 : Nouvelle plage horaire rcurrente
Nom Entrez un nom pour identifier la plage horaire rcurrente.

Select Cochez les jours de la semaine pendant lesquelles la plage
horaire rcurrente doit tre active.
Dbut Slectionnez lheure de dpart de la plage horaire rcurrente.
Fin Slectionnez lheure de fin de la plage horaire rcurrente.
Les plages horaires rcurrentes utilisent une horloge de 24 heures (et non pas 12).

01-30001-0203-20060424
IP virtuelles
Cette section explique comment configurer et utiliser dans les rgles pare-feu les
IP virtuelles et les plages IP FortiGate.

IP virtuelles
Visualisation de la liste dIP virtuelles
Configuration des IP virtuelles
Plages IP
Visualisation des Plages IP
Configuration des Plages IP
IP virtuelles
Les adresses IP virtuelles sont utilises pour permettre des connexions travers le
botier FortiGate en utilisant des rgles pare-feu NAT (Network Address
Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au botier
FortiGate de rpondre aux requtes ARP sur le rseau pour un serveur install sur
un autre rseau. Proxy ARP est dfini par la RFC 1027.
Par exemple, vous pouvez ajouter une adresse IP virtuelle une interface externe
FortiGate de manire ce que cette interface puisse rpondre aux requtes de
connexion des utilisateurs en ralit connects un serveur du rseau DMZ ou du
rseau interne.
Comment les adresses IP virtuelles grent-elles leurs connexions travers le

botier FortiGate ?
Un exemple dutilisation dune adresse IP virtuelle de translation est de permettre
un accs public facile un serveur web dun rseau priv protg par un botier
FortiGate. De la manire la plus simplifie, cette situation implique seulement trois
parties, tel quexemplifi dans lillustration 128 : Le serveur web du rseau priv, la
machine cliente et le botier FortiGate connect aux deux rseaux.
Un ordinateur client tentant de se connecter au serveur envoie des paquets de

donnes reus par le botier FortiGate. Les adresses reprises dans les paquets
sont rcrites et transfres au serveur du rseau priv.
Illustration 128 : Exemple dune adresse IP virtuelle de translation simple
Les paquets envoys par lordinateur client ont une adresse IP source
192.168.37.55 et une adresse IP de destination 192.168.37.4. Le botier FortiGate
reoit ces paquets sur son interface externe. Les paramtres de ladresse IP

01-30001-0203-20060424
virtuelle indiquent une redirection de 192.168.37.4 10.10.10.42, les adresses des
paquets ayant t modifies. Ladresse source est devenue 10.10.10.2 et celle de
destination 10.10.10.42. Le botier FortiGate enregistre cette translation dans sa
table de session du pare-feu. Les paquets sont ensuite envoys et arrivent
finalement sur le serveur.
Illustration 129 : Exemple de translation dadresse dun paquet pendant une

translation client - serveur
Vous remarquerez que ladresse de lordinateur client napparat pas dans les
paquets reus par le serveur. En effet, aprs que le botier FortiGate ait translat
les adresses rseaux, il ny a plus de rfrence faite au rseau de lordinateur
client. Le serveur na pas dindication sur lexistence dun autre rseau. Pour lui,
toutes les communications viennent directement du botier FortiGate.
Lorsque le serveur rpond lordinateur client, la procdure fonctionne de la mme

manire mais dans la direction oppose. Le serveur envoie ses paquets rponses
ayant une adresse IP source 10.10.10.42 et une adresse IP de destination
10.10.10.2. Le botier FortiGate reoit ces paquets sur son interface interne.
Cependant, cette fois-ci, lentre dans la table de session pare-feu va servir
dterminer ladresse de destination translate.
Dans cet exemple, ladresse source est rcrite et devient 192.168.37.4 et la

destination 192.168.37.55. Les paquets sont ensuite envoys et arrivent finalement
sur lordinateur client.
Ladresse du serveur napparat pas dans les paquets que le client reoit. En effet,
aprs que le botier FortiGate ait translat les adresses rseaux, il ny a plus de
rfrence faite au rseau du serveur. Le client na pas dindication sur lexistence
du rseau priv du serveur. Pour lui, le botier FortiGate est le serveur web.
Illustration 130 : Exemple de translation dadresse dun paquet pendant une

translation serveur - client
Remarque : Les adresses IP virtuelles ne sont pas disponibles ou requises en mode

Transparent.
Une adresse IP virtuelle peut tre une seule adresse IP ou une plage dadresses
IP limite une interface FortiGate. Lorsque vous faites correspondre une adresse
IP ou une plage dadresses IP une interface FortiGate fonctionnant avec une
adresse IP virtuelle, linterface rpond aux requtes ARP pour ladresse IP ou pour
la plage dadresses IP correspondante.

01-30001-0203-20060424
Dans le cas o la case NAT na pas t slectionne lors de la configuration dune
rgle pare-feu, cette rgle effectuera la DNAT (destination network address
translation). La DNAT accepte les paquets dun rseau externe lattention dune
adresse IP de destination spcifique, translate ladresse de destination des
paquets en une adresse IP de correspondance dun autre rseau cach et
transfre ensuite les paquets travers le botier FortiGate vers ce rseau de
destination cach. A linverse des exemples prcdents, ladresse source nest pas
translate. Une fois sur le rseau de destination cach, les paquets peuvent arriver
leur destination finale.
Les adresses IP virtuelles translatent galement ladresse IP source des paquets

de retour de ladresse source du rseau cach pour quelle soit identique
ladresse de destination des paquets originaux.
Les plages dadresses IP virtuelles peuvent tre de presque nimporte quelle taille
et peuvent translater les adresses vers diffrents sous-rseaux. Les plages
dadresses IP virtuelles ont les restrictions suivantes :
Ladresse IP de correspondance ne peut pas inclure 0.0.0.0 ou

255.255.255.255.
Ladresse IP externe ne peut pas tre 0.0.0.0. si le type de cette adresse est
NAT statique et est translate en une plage dadresses IP. Seuls lquilibrage
de charge des adresses IP virtuelles, et les adresses IP virtuelles translates
vers une seule adresse IP, supportent une adresse IP externe 0.0.0.0.
La translation de Port translate une plage de ports externes vers une plage de
ports internes. Le nombre de ces ports doit tre le mme. Pour cela, le port
externe doit tre dfini de manire ce que sa plage ne dpasse pas 65535.
Par exemple, une plage interne de 20 ports translates du port externe 65530
nest pas valide puisque le dernier port de la plage serait 65550.
Lors du relayage de port, la plage dadresses IP externes ne peut pas inclure
dadresses IP dinterfaces.
La plage dadresses IP de correspondance ne doit pas inclure dadresses IP
dinterfaces.
Le nom dune adresse IP virtuelle ne peut pas tre identique celui dune
adresse ou dun groupe dadresses.
Les entres dupliques ou de plages qui se chevauchent ne sont pas
permises.
En plus de lier ladresse IP ou la plage dadresses IP linterface, ladresse IP

virtuelle contient galement toutes les informations requises pour translater
ladresse IP ou la plage dadresses IP de linterface qui reoit les paquets vers
linterface connecte au mme rseau que ladresse IP ou la plage dadresses IP
actuelle.
Vous pouvez crer cinq diffrents types dadresses IP virtuelles, chacun pouvant
tre utilis pour une variation de DNAT.
Static NAT Les adresses IP virtuelles de translation translate une adresse

IP externe ou une plage dadresses IP dun rseau source vers
une adresse IP translate ou une plage dadresses IP dun
rseau de destination.

01-30001-0203-20060424
Les adresses IP virtuelles de translation utilisent une
translation un--un. Une seule adresse IP externe est
translate vers une seule adresse IP. Une plage dadresses IP
externes est translate vers une plage correspondante
dadresses IP. Une adresse IP donne dans la plage
dadresses sources est toujours translate vers la mme
adresse IP dans la plage dadresses de destination.
Static NAT Port Le relayage de port NAT statique translate une seule adresse
Forwarding IP ou une plage dadresses et un seul numro de port ou de
plage de ports sur un rseau vers une seule adresse IP ou une
plage dadresses diffrente et un seul numro de port ou de
plage de ports diffrente sur un autre rseau.
Le relayage de port NAT statique est galement appel
relayage de port. Les adresses IP virtuelles du relayage de
port NAT statique utilisent une translation un un. Une plage
dadresses IP externes est translate vers une plage
correspondante dadresses IP et une plage de ports externes
est translate vers une plage correspondante de ports.
Les adresses IP virtuelles de relayage de port peuvent tre
utilises pour configurer le botier FortiGate pour le PAT (port
address translation).
Equilibrage de charge Egalement appel relayage de port dynamique. Une adresse
IP virtuelle dquilibrage de charge translate une seule adresse
IP sur un rseau vers une plage dadresses IP sur un autre
rseau.
Lquilibrage de charge utilise une translation un--plusieurs et
un algorithme dquilibrage de charge pour affecter une
adresse IP de destination de la plage dadresses IP pour
assurer une distribution du trafic plus quilibre.
Load Balancing Un quilibrage de charge avec une adresse IP virtuelle de
Port Forwarding relayage de port translate une seule adresse IP et un seul
numro de port sur un rseau vers une plage dadresses IP et
une plage de numros de ports sur un autre rseau.
Un quilibrage de charge relayage de port utilise un algorithme
dquilibrage de charge un--plusieurs pour affecter ladresse
IP de destination dune plage dadresses IP pour assurer une
distribution plus quilibre du trafic et galement pour affecter
le port de destination de la plage de ports de destination.
Dynamic virtual IPs Si vous dfinissez ladresse IP externe dune adresse IP
virtuelle 0.0.0.0 vous crez une adresse IP virtuelle
dynamique pour laquelle toute adresse IP externe est
translate vers ladresse IP ou la plage dadresses IP
translate.
Vous devez ajouter ladresse IP virtuelle une rgle pare-feu NAT pour rellement
implmenter la translation configure dans ladresse IP virtuelle. Pour ajouter une
rgle pare-feu qui translate des adresses sur un rseau externe vers un rseau
interne, vous ajoutez une rgle pare-feu de lexterne vers linterne et ajoutez
ladresse IP virtuelle dans le champ de ladresse de destination de la rgle.
Par exemple, si lordinateur muni dun serveur web est localis sur le rseau
interne, il pourrait avoir une adresse IP prive telle que 10.10.10.42. Pour recevoir
des paquets dInternet vers le serveur web, il doit y avoir une adresse externe du
serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate
ladresse externe IP du serveur web sur Internet vers ladresse actuelle du serveur
web du rseau interne. Pour autoriser des connexions dInternet vers le serveur

01-30001-0203-20060424
web, ajoutez une rgle pare-feu de lexterne vers linterne et affectez ladresse IP
virtuelle lAdresse de Destination.
Visualisation de la liste dIP virtuelles

Pour visualiser la liste des adresses IP virtuelles, slectionnez Pare-feu > IP
virtuelle > IP virtuelle.
Illustration 131 : Liste dadresses IP virtuelles
Crer Nouveau Permet dajouter une adresse IP virtuelle.

Nom Le nom de ladresse IP virtuelle.
IP Ladresse IP ou la plage dadresses externe.
Port Le numro du port externe ou la plage de ports. Le port de
service est compris dans le relayage de port dadresses IP
virtuelles.
Adresse IP relle La translation vers ladresse IP ou la plage dadresses sur le
rseau de destination.
Port rel La translation vers le numro du port ou la plage de ports. Le
port rel est compris dans le relayage de port dadresses IP
virtuelles.
Icne Supprimer Permet de supprimer ladresse IP virtuelle de la liste. Cette
icne apparat seulement si cette adresse nest pas reprise
dans une rgle pare-feu.
Icne Editer Permet de modifier toute option dune adresse IP virtuelle
notamment son nom.
Configuration des adresses IP virtuelles

Pour ajouter une liste dadresses IP virtuelles, slectionnez Pare-feu > IP virtuelle
> IP virtuelle et cliquez sur Crer Nouveau. Pour diter une adresse IP virtuelle,
cliquez sur licne Editer de ladresse diter.
Une adresse IP virtuelle de translation pour une seule adresse IP est la

configuration la plus simple dune adresse IP virtuelle. Une seule adresse IP sur un
rseau est translate vers une autre adresse IP sur un second rseau. Le botier
FortiGate connecte les deux rseaux et autorise la communication entre eux.
Pour ajouter ou diter une adresse IP virtuelle, slectionnez Pare-feu > IP

virtuelle > IP virtuelle.
Nom Entrez ou modifiez le nom didentification de ladresse IP

virtuelle. Pour viter toute confusion, les rgles pare-feu, les
adresses, les groupes dadresses et les adresses IP virtuelles
ne peuvent pas avoir des noms en commun.
Interface externe Slectionnez linterface externe de ladresse IP virtuelle dans
la liste. Linterface externe est connecte au rseau source et
reoit les paquets transfrer au rseau de destination. Vous
pouvez slectionner nimporte quelle interface FortiGate, sous-
interface VLAN ou interface VPN.
Type Slectionnez NAT statique ou Load Balance.

01-30001-0203-20060424
External IP Entrez ladresse IP externe que vous voulez translater vers
Address/Range une adresse sur le rseau de destination. Pour configurer une
adresse IP virtuelle dynamique qui accepte les connexions
pour nimporte quelle adresse IP, affectez 0.0.0.0 ladresse
IP externe. Pour une adresse IP virtuelle dynamique de
translation vous ne pouvez ajouter quune adresse IP
translate. Pour une adresse IP virtuelle dynamique
dquilibrage de charge vous pouvez spcifier une seule
adresse ou une seule plage dadresses translate.
Mapped IP Entrez ladresse IP relle sur le rseau de destination de

Address/Range ladresse IP externe translate. Vous pouvez galement entrer
une plage dadresses pour transfrer les paquets vers de
multiples adresses IP sur le rseau de destination.
Pour une adresse IP virtuelle de translation, si vous ajoutez
une plage dadresses IP translates, le botier FortiGate
calcule la plage dadresses IP externe et ajoute cette plage
dans le champ External IP Adresse/Range.
Port forwarding Permet dajouter une adresse IP virtuelle de relayage de port.
Protocole Slectionnez le protocole (TCP ou UDP) que les paquets
transfrs utiliseront.
Port externe Entrez le numro du port service externe pour lequel vous
dsirez configurer le relayage de port.
Port rel Entrez le numro du port sur le rseau de destination dont le
numro du port externe est translat.
Vous pouvez galement entrer une plage de ports pour
transfrer les paquets vers de multiples ports sur le rseau de
destination.
Pour une adresse IP virtuelle de translation, si vous ajoutez
une translation une plage de ports, le botier FortiGate
calcule la plage de ports externes et ajoute cette plage dans le
champ Port Externe.
Ajout dune adresse IP virtuelle de translation une seule adresse IP

Ladresse IP 192.168.37.4 sur Internet est translate 10.10.10.42 sur un rseau
priv. Les tentatives pour communiquer avec 192.168.37.4 sur Internet sont
translates et envoyes 10.10.10.42 par le botier FortiGate. Les ordinateurs sur
Internet nont pas connaissance de cette translation et ne voient quun ordinateur
avec une adresse IP 192.168.37.4 au lieu dun botier FortiGate avec un rseau
priv derrire.
Illustration 132 : Exemple dadresse IP virtuelle de translation une seule adresse IP

01-30001-0203-20060424
Ajouter une adresse IP virtuelle de translation une seule adresse IP
1 Slectionnez Pare-feu > IP virtuelle > IP virtuelle.

3 Utilisez la procdure suivante pour ajouter une adresse IP virtuelle qui permette
aux utilisateurs dInternet de se connecter un serveur web sur le rseau DMZ.
Dans notre exemple, linterface wan1 du botier FortiGate est connecte Internet
et linterface dmz1 est connecte au rseau DMZ.
Nom simple_static_NAT
Interface externe wan1
Type NAT statique
External IP Ladresse IP Internet du serveur web.
Address/Range Ladresse IP externe doit tre une adresse IP statique obtenue
par votre FAI pour votre serveur web. Cette adresse doit
galement tre une adresse IP unique qui nest pas utilise
par un autre hte et ne peut pas tre la mme que ladresse IP
de linterface externe que lIP virtuelle va utiliser. Cependant,
ladresse IP externe doit tre route vers linterface
slectionne. Ladresse IP virtuelle et ladresse IP externe
peuvent tre sur des sous-rseaux diffrents. Lorsque vous
ajoutez ladresse IP virtuelle, linterface externe rpond aux
requtes ARP pour ladresse IP externe.
Map to IP/IP Range Ladresse IP du serveur sur le rseau interne. Puisquil ny a
quune adresse IP, laissez le deuxime champ vide.
Illustration 133 : Options des adresses IP virtuelles : IP virtuelles de translation une

seule adresse IP
4 Cliquez sur OK.
Ajouter une adresse IP virtuelle de translation une seule adresse IP dans

une rgle pare-feu
Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de
manire ce que lorsque des utilisateurs sur Internet tentent de se connecter
ladresse IP du serveur web, les paquets passent travers le botier FortiGate de
linterface wan1 linterface dmz1. Ladresse IP virtuelle translate ladresse de
destination de ces paquets de lIP externe vers ladresse IP du rseau DMZ du
serveur web.
1 Slectionnez Pare-feu > Rgle et cliquez sur Crer Nouveau.

2 Configurez la rgle pare-feu :
Source Interface/Zone wan1
Source Adresse All (ou une adresse spcifique prcise)

01-30001-0203-20060424
Destination Interface/Zone dmz1
Destination Adresse simple_static_NAT
Horaire always
Service HTTP
Action ACCEPT
3 Cochez la case NAT.
4 Cliquez sur OK.
Ajout dune adresse IP virtuelle de translation une plage dadresses IP

La plage dadresses IP 192.168.37.4-192.168.37.6 sur Internet est translate vers
10.10.10.42-10.10.123.44 sur un rseau priv. Les paquets des ordinateurs
Internet communiquant avec 192.168.37.4 sont translates et envoyes
10.10.10.42 par le botier FortiGate. Similairement, les paquets destins
192.168.37.5 sont translats et envoys 10.10.10.43 et les paquets destins
192.168.37.6 sont translats et envoys 10.10.10.44. Les ordinateurs sur
Internet nayant pas connaissance de la translation ne voient que trois ordinateurs
avec des adresses IP individuelles au lieu dun botier FortiGate avec un rseau
priv derrire.
Illustration 134 : Exemple dadresse IP virtuelle de translation une plage dadresses

IP
Ajouter une adresse IP virtuelle de translation une plage dadresses IP

aux utilisateurs dInternet de se connecter trois serveurs web individuels sur le
rseau DMZ. Dans notre exemple, linterface wan1 du botier FortiGate est
connecte Internet et linterface dmz1 est connecte au rseau DMZ.
Nom static_NAT_range
Type NAT statique
External IP Address/Range La plage dadresses IP Internet des serveurs web. Les
adresses IP externes doivent tre des adresses IP

01-30001-0203-20060424
statiques obtenues par votre FAI pour votre serveur web.
Ces adresses doivent galement tre des adresses IP
uniques qui ne sont pas utilises par un autre hte et ne
peuvent pas tre les mmes que les adresses IP de
linterface externe que lIP virtuelle va utiliser. Cependant,
les adresses IP externes doivent tre routes vers
linterface slectionne. Les adresses IP virtuelles et
ladresse IP externe peuvent tre sur des sous-rseaux
diffrents. Lorsque vous ajoutez ladresse IP virtuelle,
linterface externe rpond aux requtes ARP pour les
adresses IP externes.
Map to IP/IP Range La plage dadresses IP des serveurs du rseau interne.
Dfinissez la plage en entrant la premire adresse de la
plage dans le premier champ et la dernire adresse de la
plage dans le deuxime champ.
Illustration 135 : Options des adresses IP virtuelles : IP virtuelles de translation avec

une plage dadresses IP
4 Cliquez sur OK.
Ajouter une adresse IP virtuelle de translation avec une plage dadresses IP

une rgle pare-feu
manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux
adresses IP du serveur, les paquets passent travers le botier FortiGate de
linterface wan1 linterface dmz1. Ladresse IP virtuelle translate les adresses de
destination de ces paquets de ladresse IP externe vers les adresses IP du rseau
DMZ des serveurs web.

Destination Adresse static_NAT_range
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.

01-30001-0203-20060424
Ajout dun relayage de port de translation une seule adresse IP et un seul port
Ladresse IP 192.168.37.4, port 80 sur Internet est translate vers 10.10.10.42,
port 8000 sur un rseau priv. Les tentatives de communication avec
192.168.37.4, port 80 dInternet sont translates et envoyes vers 10.10.10.42,
port 8000 par le botier FortiGate. Les ordinateurs sur Internet nayant pas
connaissance de cette translation ne voient quun seul ordinateur au 192.168.37.4,
port 80 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 136 : Exemple de relayage de port de ladresse IP virtuelle de translation

pour une seule adresse IP et un seul port
Ajouter un relayage de port de ladresse IP virtuelle de translation une

seule adresse IP et un seul port
aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ.
Nom Port_fwd_NAT_VIP
Type NAT statique
de linterface externe que ladresse IP virtuelle va utiliser.
Cependant, ladresse IP externe doit tre route vers
linterface slectionne. Ladresse IP virtuelle et ladresse IP
externe peuvent tre sur des sous-rseaux diffrents. Lorsque
vous ajoutez ladresse IP virtuelle, linterface externe rpond
aux requtes ARP pour ladresse IP externe.
Map to IP/IP Range Ladresse IP du serveur sur le rseau interne. Puisquil ny a
quune adresse IP, laissez le deuxime champ vide.
Port forwarding Slectionn
Protocole TCP
Port externe Le port utilis par le trafic provenant dInternet. Pour un
serveur web, il sagit gnralement du port 80.

01-30001-0203-20060424
Port rel Le port sur lequel le serveur reoit le trafic. Puisquil ny a
quun port, laissez le deuxime champ vide.
Illustration 137 : Options des adresses IP virtuelles : Relayage de port dune adresse
IP virtuelle de translation une seule adresse IP et un seul port
4 Cliquez sur OK.
Ajouter un relayage de port dune adresse IP virtuelle de translation une

seule adresse IP et un seul port une rgle pare-feu
manire ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux
adresses IP du serveur, les paquets passent travers le botier FortiGate de
linterface wan1 linterface dmz1. Ladresse IP virtuelle translate les adresses et
ports de destination de ces paquets de ladresse IP externe vers les adresses IP
du rseau DMZ des serveurs web.

Destination Adresse Port_fwd_NAT_VIP
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout dun relayage de port de translation une plage dadresses IP et une plage
de ports
Les ports 80 83 des adresses 192.168.37.4 192.168.37.7 sur Internet sont
translates aux ports 8000 8003 des adresses 10.10.10.42 10.10.10.44 sur un
rseau priv. Les tentatives de communication vers 192.168.37.5, port 82
dInternet par exemple, sont translates et envoyes vers 10.10.10.43, port 8002
par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de
cette translation ne voient quun seul ordinateur au 192.168.37.5 au lieu dun
botier FortiGate avec un rseau priv derrire.

01-30001-0203-20060424
Illustration 138 : Exemple de relayage de port dune adresse IP virtuelle de translation
une plage dadresses IP et une plage de ports
Ajouter un relayage de port de ladresse IP virtuelle de translation une

plage dadresses IP et une plage de ports
aux utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ.
Nom Port_fwd_NAT_VIP_port_range
Type NAT statique
Address/Range Les adresses IP externes doivent tre des adresses IP
statiques obtenues par votre FAI. Ces adresses doivent
galement tre uniques et inutilises par un autre hte et ne
peuvent pas tre identiques ladresse IP de linterface
externe que ladresse IP virtuelle va utiliser. Cependant, les
adresses IP externes doivent tre routes vers linterface
slectionne. Les adresses IP virtuelles et ladresse IP externe
ajoutez ladresse IP virtuelle, linterface externe rpond aux
requtes ARP pour les adresses IP externes.
Map to IP/IP Range Les adresses IP du serveur sur le rseau interne. Dfinissez la
plage en entrant la premire adresse de cette plage dans le
premier champ et la dernire adresse dans le deuxime
champ.
Port forwarding Slectionn
Protocole TCP
Port externe Les ports utiliss par le trafic provenant dInternet. Pour un
Port rel Les ports sur lesquels le serveur attend le trafic. Dfinissez la
plage en entrant le premier port de cette plage dans le premier
champ et le dernier port dans le deuxime champ. Sil ny a
quun seul port, laissez le deuxime champ vide.
Illustration 139 : Options de ladresse IP virtuelle : relayage de port de ladresse IP

virtuelle de translation une plage dadresses IP et une plage de ports

01-30001-0203-20060424
4 Cliquez sur OK.
Ajouter un relayage de port dune adresse IP virtuelle de translation une

plage dadresses IP et une plage de ports une rgle pare-feu
Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise lIP virtuelle de manire
ce que, lorsque des utilisateurs sur Internet tentent de se connecter aux adresses
IP du serveur, les paquets passent travers le botier FortiGate de linterface wan1
linterface dmz1. LIP virtuelle translate les adresses et ports de destination de
ces paquets de lIP externe vers les adresses IP du rseau DMZ des serveurs
web.

Destination Adresse Port_fwd_NAT_VIP_port_range
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout dune IP virtuelle dquilibrage de charge une plage dadresses IP

Ladresse IP 192.168.37.4 sur Internet est translate vers 10.10.123.42
10.10.123.44 sur un rseau priv. La translation dadresse IP est dtermine par
lalgorithme de lquilibrage de charge du botier FortiGate. Les tentatives de
communication avec 192.168.37.4 dInternet sont translates et envoyes vers
10.10.10.42, 10.10.10.43 ou 10.10.10.44 par le botier FortiGate. Les ordinateurs
sur Internet nayant pas connaissance de cette translation ne voient quun seul
ordinateur 192.168.37.4 au lieu dun botier FortiGate avec un rseau priv
derrire.

01-30001-0203-20060424
Illustration 140 : Exemple dIP virtuelle dquilibrage de charge dune plage
dadresses IP
Ajouter une IP virtuelle dquilibrage de charge une plage dadresses IP

3 Utilisez la procdure suivante pour ajouter une IP virtuelle qui permette aux
utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans
notre exemple, linterface wan1 du botier FortiGate est connecte Internet et
linterface dmz1 est connecte au rseau DMZ.
Nom Load_Bal_VIP
Type Load Balance
ajoutez lIP virtuelle, linterface externe rpond aux requtes
ARP pour ladresse IP externe.
Map to IP/IP Range Ladresse IP des serveurs sur le rseau interne. Dfinissez la
champ.
Illustration 141 : Options de lIP virtuelle : IP virtuelle dquilibrage de charge
4 Cliquez sur OK.

01-30001-0203-20060424
une rgle pare-feu
Ajoutez une rgle pare-feu wan1 vers dmz1 qui utilise lIP virtuelle de manire ce
que, lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du
serveur, les paquets passent travers le botier FortiGate de linterface wan1
linterface dmz1. LIP virtuelle translate ladresse de destination de ces paquets de
lIP externe vers les adresses IP du rseau DMZ des serveurs web.

Destination Adresse Load_Bal_VIP
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout dune IP virtuelle relayage de port quilibrage de charge une plage

dadresses IP et une plage de ports
Les connexions vers 192.168.37.4 sur Internet sont translates vers 10.10.10.42
10.10.10.44 sur un rseau priv. La translation dadresse IP est dtermine par
lalgorithme de lquilibrage de charge du botier FortiGate. Les ports 80 83 sur
192.168.37.4 sont translats vers 8000 8003. Les ordinateurs sur Internet
nayant pas connaissance de cette translation ne voient quun seul ordinateur
192.168.37.4 au lieu dun botier FortiGate avec un rseau priv derrire.
Illustration 142 : Exemple dIP virtuelle relayage de ports quilibrage de charge une
plage dadresses IP et une plage de ports

3 Utilisez la procdure suivante pour ajouter une IP virtuelle qui permette aux
utilisateurs sur Internet de se connecter un serveur web sur le rseau DMZ. Dans

01-30001-0203-20060424
notre exemple, linterface wan1 du botier FortiGate est connecte Internet et
linterface dmz1 est connecte au rseau DMZ.
Nom Load_Bal_VIP_port_forward
Type Load Balance
ajoutez lIP virtuelle, linterface externe rpond aux requtes
ARP pour ladresse IP externe.
Map to IP/IP Range Ladresse IP des serveurs sur le rseau interne. Dfinissez la
champ.
Port Forwarding Slectionn.
Protocole TCP
Port externe Les ports que le trafic provenant dInternet utiliseront. Pour un
Port rel Les ports sur lesquels le serveur attend le trafic. Dfinissez la
champ. Sil ny a quun port, laissez le deuxime champ vide.
Illustration 143 : Options de lIP virtuelle : IP virtuelle dquilibrage de charge
4 Cliquez sur OK.
Ajouter une IP virtuelle dquilibrage de charge pour une plage dadresses IP

une rgle pare-feu
Ajoutez une rgle pare-feu wan1 vers dmz1 qui utilise lIP virtuelle de manire ce
que, lorsque des utilisateurs sur Internet tentent de se connecter ladresse IP du
serveur, les paquets passent travers le botier FortiGate de linterface wan1
linterface dmz1. LIP virtuelle translate ladresse de destination de ces paquets de
lIP externe vers les adresses IP du rseau DMZ des serveurs web.

01-30001-0203-20060424
Destination Adresse Load_Bal_VIP_port_forward
Horaire always
Service HTTP
Action ACCEPT
4 Cliquez sur OK.
Ajout dIP virtuelles dynamiques

Ajouter une IP virtuelle dynamique est similaire lajout dune IP virtuelle. La
diffrence est que ladresse IP Externe doit tre dfinie sur 0.0.0.0 de manire ce
quelle corresponde nimporte quelle adresse IP.
Illustration 144 : Ajout dune nouvelle translation dIP virtuelle le relayage de port
dynamique
Ajouter une IP virtuelle dynamique

3 Entrez un nom pour lIP virtuelle dynamique.
4 Slectionnez lInterface Externe de lIP virtuelle dans la liste.
Linterface externe est connecte au rseau source et reoit les paquets
transfrer au rseau de destination.
Slectionnez nimporte quelle interface pare-feu ou sous-interface VLAN.
5 Dfinissez lAdresse IP Externe sur 0.0.0.0. Cela correspond toute adresse IP.
6 Entrez le numro du Port Externe pour lequel configurer le relayage de port
dynamique.
Le numro de port externe doit correspondre au port de destination des paquets
transfrer. Par exemple, si lIP virtuelle fournit un accs PPTP au serveur PPTP
travers lInternet, le numro du port externe devrait tre 1723 (le port PPTP).
7 Entrez ladresse Map to IP (ou Mapped IP Address) vers laquelle translater
ladresse IP externe. Par exemple, ladresse IP dun serveur PPTP sur un rseau
interne.

01-30001-0203-20060424
8 Entrez le numro du Port Rel ajouter aux paquets lors de leur transfert.
Entrez le mme numro que le Port Externe si le port nest pas destin tre
translat.
9 Cliquez sur OK.
Plages IP
Vous pouvez utiliser des plages IP pour ajouter des rgles NAT qui translatent les
adresses sources en adresses slectionnes arbitrairement dans la plage IP au
lieu dtre limit ladresse IP de linterface de destination.
Une plage IP dfinit une adresse ou une plage dadresses IP dont chacune rpond
aux requtes ARP sur linterface laquelle la plage IP est ajoute.
Lors de la configuration dune rgle pare-feu, cochez la case Pool dadresses pour
translater ladresse source de paquets sortants en une adresse slectionne
arbitrairement dans la plage IP. Une liste de plages IP apparat lorsque linterface
de destination de la rgle est la mme que linterface de plage IP.
Avec une plage IP ajoute linterface interne, vous pouvez slectionner une
plage IP dynamique pour les rgles avec linterface interne comme destination.
Vous pouvez ajouter des plages IP nimporte quelle interface et slectionn la

plage IP utiliser lors de la configuration dune rgle pare-feu.
Une seule adresse IP est entre normalement. Par exemple, 192.168.110.100 est
une adresse de plage IP valide. Si une plage dadresses IP est ncessaire, entrez
lun des formats suivants :
x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
x.x.x.[x-x], par exemple 192.168.110.[100-120]
Plages IP et NAT dynamique

Vous pouvez utiliser des plages IP pour une NAT dynamique. Par exemple, une
entreprise peut avoir achet une plage dadresses Internet mais na quune
connexion Internet sur linterface externe de son botier FortiGate.
Affectez une des adresses IP Internet de lentreprise linterface externe du botier

FortiGate. Si le botier FortiGate fonctionne en mode NAT/Route, toutes les
connexions du rseau vers Internet semblent venir de cette adresse IP.
Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette
plage dadresses une plage IP pour linterface externe. Slectionnez ensuite Pool
dadresses pour toutes les rgles qui ont linterface externe comme destination.
Pour chaque connexion, le pare-feu slectionne dynamiquement une adresse IP
de la plage dadresses qui servira dadresse source la connexion. Les
connexions vers Internet semblent alors provenir de nimporte quelle adresse IP de
la plage IP.
Plages IP pour les rgles pare-feu utilisant des ports fixes

Certaines configurations rseaux ne fonctionnent pas correctement si une rgle
NAT translate le port source des paquets utiliss par la connexion. La NAT
translate les ports sources pour garder une trace des connexions pour un service
particulier. Slectionnez Port Fixe pour les rgles NAT dans le but dempcher la

01-30001-0203-20060424
translation de port source. Cependant, la slection de Port Fixe signifie quune
seule connexion peut tre supporte travers le pare-feu pour ce service. Pour
tre capable de supporter des connexions multiples, ajoutez une plage IP
linterface de destination, et slectionnez ensuite Pool dadresses dans la rgle. Le
pare-feu slectionne arbitrairement une adresse IP de la plage IP et laffecte
chaque connexion. Dans ce cas, le nombre de connexions que le pare-feu peut
supporter est limit par le nombre dadresses IP dans la plage IP.
Visualisation des plages IP

Si les domaines virtuels sont activs sur le botier FortiGate, les plages IP sont
cres sparment pour chaque domaine virtuel. Pour accder aux plages IP,
slectionnez un domaine virtuel de la liste dans le menu principal. Les plages IP ne
sont pas disponibles en mode Transparent.
Pour visualiser la liste des plages IP, slectionnez Pare-feu > IP virtuelle > Plage
IP.
Illustration 145 : Liste de plages IP
Crer Nouveau Permet dajouter une plage IP.

Nom Le nom de la plage IP.
Dbut de la plage Dfinit la premire adresse de la plage IP.
Fin de la plage Dfinit la dernire adresse de la plage IP.
Icne Supprimer Permet de retirer une entre de la liste. Cette icne napparat
que si la plage IP nest pas reprise dans une rgle pare-feu.
Icne Editer Permet dditer les informations suivantes : Nom, Interface,
Plage IP/Rseau.
Configuration des plages IP

Pour ajouter une plage IP, slectionnez Pare-feu > IP virtuelle > Plage IP.
Illustration 146 : Nouvelle Plage IP dynamique
Nom Entrez ou modifiez le nom de la plage IP.

Interface Slectionnez linterface laquelle ajouter une plage IP.
Plage IP/Rseau Entrez la plage dadresses IP pour cette plage IP. La plage
dadresses IP dfinit le dbut et la fin de la plage IP. Le dbut
de la plage doit tre infrieur la fin. La plage IP ne doit pas
forcment se trouver sur le mme sous-rseau que ladresse
IP de linterface laquelle la plage IP est ajoute.

01-30001-0203-20060424
Profil de Protection
Cette section dcrit comment ajouter des profils de protection aux rgles en mode
NAT/Route et mode Transparent.
Quest-ce quun profil de protection ?

Profil de protection par dfaut
Visualisation de la liste des profils de protection
Configuration dun profil de protection
Ajout dun profil de protection une rgle
Configuration CLI dun profil de protection
Quest-ce quun profil de protection?

Un profil de protection est un groupe de paramtres ajustables pour parvenir un
but particulier. Les profils de protection appliquant diffrents paramtres de
protection aux trafics contrls par les rgles pare-feu, vous pouvez adapter les
paramtres au type de trafic que chaque rgle contrle. Lutilisation de profils de
protection permet de :
configurer une protection antivirus aux rgles HTTP, FTP, IMAP, POP3, SMTP
et IM.
configurer un filtrage de contenu web pour les rgles HTTP.
configurer un filtrage par catgorie du contenu web pour les rgles HTTP.
configurer un filtrage anti-spam pour les rgles IMAP, POP3 et SMTP.
activer lIPS pour tous les services.
configurer un archivage de contenu pour les rgles HTTP, FTP, IMAP, POP3,
SMTP et IM.
configurer un filtrage IM et un contrle daccs pour les messageries
instantanes AIM, ICQ, MSN et Yahoo.
configurer un contrle daccs et de la bande passante P2P pour les clients
peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa, Skype et WinNY.
configurer les profils de protection journaliser.
Grce lutilisation de profils de protection, vous pouvez personnaliser les types et

niveaux de protection pour les diffrentes rgles pare-feu.
Par exemple, alors que le trafic entre les adresses interne et externe ncessitent
probablement une protection stricte, le trafic entre des adresses internes de
confiance ncessitent quant lui une protection modre. Il est conseill de
configurer des rgles pour des services de trafics diffrents qui utiliseront des
profils de protection identiques ou diffrents.

01-30001-0203-20060424
Si les domaines virtuels sont activs sur le botier FortiGate, les profils de
protection sont configurs globalement et sont disponibles pour tous les domaines
virtuels. Pour accder aux profils de protection, slectionnez Configuration
Globale > Pare-feu > Profil de protection.
Profils de protection par dfaut
Quatre profils de protection sont pr-configurs:
Strict Applique une protection maximum pour le trafic HTTP, FTP,

IMAP, POP3 et SMTP. Vous nutiliserez probablement pas ce
profil rigoureux de protection en circonstances normales mais il
est disponible en cas de problme de virus ncessitant une
analyse maximum.
Scan Applique une analyse antivirus et une mise en quarantaine de

fichiers du contenu du trafic HTTP, FTP, IMAP, POP3 et
SMTP. Sur les modles FortiGate muni dun disque dur,
lorsque lanalyse antivirus dtecte un virus dans un fichier, ce
dernier est mis en quarantaine sur le disque dur du botier
FortiGate. Si ncessaire, les fichiers placs en quarantaine
peuvent tre rcuprs.
Web Applique une analyse antivirus et un blocage du contenu web.

Vous pouvez ajouter ce profil de protection aux rgles pare-feu
qui contrlent le trafic HTTP.
Unfiltered (Non-filtr) Napplique ni analyse, ni blocage, ni IPS. A utiliser dans le cas

o aucune protection du contenu du trafic nest souhaite.
Vous pouvez ajouter ce profil de protection aux rgles pare-feu
pour les connexions entre des rseaux hautement fiables et
scuriss dont le contenu ne ncessite pas dtre protg.
Visualisation de la liste des profils de protection

Pour visualiser la liste des profils de protection, slectionnez Pare-feu > Profil de
protection.
Illustration 147 : Profils de protection par dfaut
Crer Nouveau Permet dajouter un profil de protection.

Nom Le nom du profil de protection.
Icne Supprimer Permet de retirer un profil de protection de la liste. Cette icne
apparat uniquement si le profil nest pas repris dans une rgle
pare-feu.
Icne Editer Permet de modifier un profil de protection.
Remarque : Un profil de protection ne peut pas tre supprim sil est repris dans une rgle
pare-feu ou compris dans un groupe dutilisateurs.

01-30001-0203-20060424
Configuration dun profil de protection
Dans le cas o les profils de protection par dfaut ne fournissent pas les
paramtres requis, vous pouvez crer des profils de protection personnaliss.
Pour ajouter un profil de protection, slectionnez Pare-feu > Profil de protection

et cliquez sur Crer Nouveau.
Illustration 148 : Nouveau profil de protection
Nom du profil Entrez un nom au profil de protection.

Comments Si ncessaire, entrez une description au profil.
Antivirus Voir Options Antivirus la page 282.
Filtrage Web Voir Options du filtrage Web la page 283.
FortiGuard-Web Filtering Voir Options du filtrage Web FortiGuard la page 285.
Filtrage antispam Voir Options du filtrage anti-spam la page 286.
IPS Voir Options IPS la page 289.
Archiver le contenu Voir Options des archives de contenu la page 289.
IM & P2P Voir Options IM et P2P la page 290.
Logging Voir Options de la journalisation la page 291.
Remarque : Si les fonctionnalits Virus Scan et File Block sont toutes deux actives, le
botier FortiGate bloque les fichiers correspondant aux types de fichiers activs avant de
procder une analyse antivirus.

01-30001-0203-20060424
Options Antivirus
Illustration 149 : Options antivirus du profil de protection
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Le support sera ajout
dans une version ultrieure.
Les options antivirus suivantes sont disponibles dans les profils de protection.
Dtection de virus Activez ou dsactivez lanalyse de virus pour chaque protocole

(HTTP, FTP, IMAP, POP3, SMTP, IM). Loption Grayware, si
active dans Antivirus > Config > Grayware, est comprise
avec lAnalyse de virus. Notez que le mode continu est activ
automatiquement lorsque vous activez lanalyse de virus.
File Pattern Activez ou dsactivez loption file pattern pour chaque
protocole. Les fichiers peuvent tre bloqus ou autoriss en
fonction de leur nom, leur extension ou tout autre critre. Ce
processus offre la flexibilit de bloquer des fichiers qui
contiendraient des lments nuisibles.
Liste droulante de File Pattern : Slectionnez la liste File
Pattern utiliser avec ce profil de protection. La liste par dfaut
est appele built-in-patterns . Seuls les modles FortiGate-
800 et plus sont munis de cette liste.
Quarantaine Activez ou dsactivez loption de mise en quarantaine pour
(log disk requis) chaque protocole. Vous pouvez visualiser les fichiers suspects
placs en quarantaine ou les soumettre Fortinet pour
analyse. Cette option nest pas affiche si le botier FortiGate
ne possde pas de disque dur ou un quipement FortiAnalyzer
configur.
Transmettre les mails Activez ou dsactivez les emails fragments pour les
fragments protocoles de mail (IMAP, POP3, SMTP). Les mails
fragments ne peuvent pas subir une analyse virus.
Comfort Clients Activez ou dsactivez cette option pour les trafics HTTP et
FTP. Cette option fournit le statut des fichiers mis en rserve
(buffer) pour tlchargement via HTTP ou FTP. Les utilisateurs
peuvent observer les pages web ou fichiers en cours de
tlchargement. Si dsactive, les utilisateurs nont aucune
indication quant la mise en rserve du tlchargement et
peuvent annuler le transfert pensant quil a chou.
Interval Le temps en secondes avant que loption
Comfort Client dmarre aprs que le
tlchargement ait commenc. Il sagit

01-30001-0203-20060424
galement du temps entre des intervalles
prochains.
Amount Le nombre doctets envoys chaque
intervalle.
Fichier/Mail dpassant Slectionnez Transmettre ou Bloquer pour les fichiers

la taille limite et les messages mails excdant les seuils configurs pour
chaque protocole.
Threshold Si le fichier est plus grand que la valeur du
seuil (en mgaoctets), le fichier est transmis
ou bloqu, selon ce qui a t dfini dans
loption Fichier/Mail dpassant la taille limite.
Le seuil maximum pour lanalyse en
mmoire est 10% de la RAM du botier
FortiGate.
Remarque : Pour lanalyse de mails, le
seuil de taille limite fait rfrence la taille
finale du mail aprs encodage du mail client,
y compris les pices jointes. Les mails
clients peuvent utiliser une varit de types
dencodage dont certains translatent en taille
plus grande que la taille de la pice jointe
originale. Lencodage le plus commun,
base64, translate 3 octets de donnes
binaires en 4 octets de donnes en base64.
Ds lors un fichier peut tre bloqu ou
journalis comme trop grand mme si la
pice jointe est de quelques mgaoctets plus
petite que la taille limite configure dans le
seuil.
Ajout dune signature Permet de crer et dajouter une signature
aux mails sortants aux mails sortants (SMTP uniquement).
Voir Antivirus la page 337 pour des options antivirus supplmentaires.
Options du filtrage Web

Illustration 150 : Options de filtrage Web du profil de protection
Les options de filtrage Web suivantes sont disponibles dans les profils de
protection.
Filtrage Web par Activez ou dsactivez le blocage de pages web pour le trafic
mots clefs HTTP bas sur les critres de blocage de contenu dans la liste
de blocage de contenu.
Liste droulante de blocage de contenu : Permet de
slectionner une liste de blocage de contenu utiliser avec ce

01-30001-0203-20060424
profil de protection. Seuls les modles FortiGate-800 et plus
offrent cette slection.
Threshold : Si les rsultats combins des critres de blocage
de contenu apparaissant sur une page web excdent la valeur
du seuil, la page sera bloque. Voir Visualisation de la liste
de blocage de contenu web la page 369.
Web Content Exempt Activez ou dsactivez loverride (lignorance) du blocage de
contenu web bas sur des critres de dispense de contenu
dans la liste de contenu dispens.
Liste droulante de contenu web dispens : Slectionnez
une liste de contenu dispens utiliser avec ce profil de
protection. Seuls les modles FortiGate-800 et plus offrent
cette slection.
Web URL Filter Activez ou dsactivez un filtrage de page web pour le trafic
HTTP bas sur une liste dURL.
Liste droulante de filtre dURL web : Permet de
slectionner une liste de filtre dURL web utiliser avec ce
profil de protection. Seuls les modles FortiGate-800 et plus
offrent cette slection.
ActiveX Filter Permet dactiver le blocage de contrle ActiveX.
Cookie Filter Permet dactiver le blocage de cookies.
Java Applet Filter Permet dactiver le blocage des Applets Java.
Ne pas reprendre les Permet de bloquer les transferts de partie dun fichier
transferts Web en cours dj partiellement tlcharg. Cette option empche le
tlchargement involontaire de virus cachs dans des fichiers
fragments. Notez que certains types de fichiers, comme PDF,
sont fragments pour augmenter la vitesse de tlchargement.
Lactivation de cette option pourrait donc entraner des
interruptions dans le tlchargement de ces types de fichier.
Voir Filtrage Web la page 366 pour des options supplmentaires de

configuration de filtrage web.

01-30001-0203-20060424
Options du filtrage FortiGuard-Web
Illustration 151 : Options de filtrage FortiGuard-Web du profil de protection
Activer FortiGuard-Web Filtering Active le blocage par catgorie

(HTTP seulement) FortiGuard-WebTM.
Activer FortiGuard-Web Filtering Active loverride (lignorance) de catgories. Une fois

Overrides (HTTP uniquement) slectionne, une liste de groupes est affiche. Si
aucun groupe nest disponible, loption est grise.
Pour plus dinformations sur les overrides, voir
Visualisation de la liste override la page 379 et
Configuration de rgles dignorance la page
380. Pour plus dinformations sur les groupes, voir
Groupe dutilisateurs la page 330.
Fournir les dtails pour les Affiche un message de remplacement pour les
erreurs bloques HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si lerreur est
(HTTP uniquement) autorise, des sites malintentionns peuvent utiliser
ces pages derreurs pour passer outre le blocage par
catgorie web.
Evaluer les images par URL Bloque les images qui ont t values par
(les images bloques seront FortiGuard. Les images bloques sont remplaces
remplaces par des blancs) sur les pages web par des blancs.
(HTTP uniquement) Les types dimage qui sont valus sont GIF, JPEG,
PNG, BMP et TIFF.
Autoriser les sites web lors Autorise les pages web qui renvoient une erreur
dune erreur dvaluation dvaluation du service de filtrage web.
(HTTP uniquement)
Blocage strict Lorsque cette option est active, laccs au site web

01-30001-0203-20060424
(HTTP uniquement) est rejet si lune des classifications ou catgories
correspond lvaluation du site. Lorsque cette
option est dsactive, laccs au site web est accept
si lune des classifications ou catgories correspond
la liste autorise. Ceci est dfinit par dfaut.
Evaluer les URL par Lorsque cette option est active, elle envoie lURL et
domaines et adresses IP ladresse IP du site requis pour contrle, fournissant
ainsi une scurit additionnelle contre les tentatives
de contournements du systme FortiGuard.
Catgorie Le service de filtrage de contenu FortiGuard-Web

offre de nombreuses catgories de filtrages du trafic
web. Dfinissez les actions prendre pour les pages
web de chaque catgorie : autorise, bloque,
journalise ou autorise loverride.
Classification Les classifications bloquent des classes entires de

sites web. Des sites qui fournissent des contenus
cachs, comme Google par exemple, peuvent tre
bloqus. Des sites web qui autorisent des recherches
dimages, daudio ou de vidos peuvent galement
tre bloqus. Des sites web qui sont classifis sont
galement valus dans lune des catgories ou ne
sont pas valus. Choisissez entre autorise, bloque,
journalise ou autorise loverride.
Voir Filtrage Web FortiGuard la page 378 pour plus doptions de configuration
du blocage de catgories.
Options du filtrage antispam

Illustration 152 : Options du filtrage antispam du profil de protection
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout
dans une version ultrieure.
Les options de filtrage antispam suivantes sont disponibles dans les profils de
protection.
FortiGuard Anti-spam Vrification de Activez ou dsactivez la liste noire

ladresse IP dadresses IP du filtrage FortiGuard-
AntispamTM. Le FortiGuard-Antispam extrait

01-30001-0203-20060424
ladresse source du serveur mail SMTP et
envoie ladresse IP vers un serveur
FortiGuard-Antispam pour la comparer la
liste des spammers connus. Si ladresse IP
est trouve FortiGuard-Antispam met fin la
session. Si ladresse IP nest pas trouve le
serveur mail envoie le mail son
destinataire. Voir Service FortiGuard-
Antispam la page 185 pour plus
dinformations sur ce service.
URL check Activez ou dsactivez la liste noire URL du

TM
filtrage FortiGuard-Antispam . Le corps de
messages mails sont filtrs pour en extraire
tout lien URL. Ces liens URL sont envoys
vers un serveur FortiGuard-Antispam pour
comparaison avec ses listes. Des messages
spam contiennent souvent des liens URL
vers des sites publicitaires. Sil y a une
correspondance dURL, le FortiGuard-
Antispam met fin la session. Sil ny a pas
de correspondance, le serveur mail envoie le
mail son destinataire. Voir Service
FortiGuard-Antispam la page 185 pour
plus dinformations sur ce service.
Vrification Email Activez ou dsactivez la liste noire de

Checksum somme de vrification (checksum) de
messages mails FortiGuard-Antispam.
Lorsque cette option est active, ce filtre
calcule la somme de vrification dun
message mail et lenvoie aux serveurs
FortiGuard afin de dterminer si cette
somme de vrification fait partie de la liste.
Le botier FortiGate transfre ensuite ou
marque/bloque le message mail en fonction
de la rponse du serveur.
Spam submission Lorsque cette option est active, tous les

messages mails dfinis comme spam se
voient ajouter un lien dans le corps du
message. Si le message mail nest pas un
spam, cliquez simplement sur le lien dans le
message pour en informer FortiGuard.
Filtrage par liste dadresses IP Activez ou dsactivez le contrle des adresses IP

entrantes en fonction de la liste dadresses IP du filtre
antispam configur (SMTP uniquement).
Liste droulante de filtrage par liste dadresses
IP : Permet de slectionner une liste blanche/noire
dadresses IP utiliser avec ce profil de protection.
Seuls les modles FortiGate-800 et plus offrent cette
slection.
HELO DNS lookup Activez ou dsactivez la recherche du nom du

domaine source (commande SMTP HELO) dans le
Domain Name Server.
Filtrage par liste dadresses mail :Activez ou
dsactivez le filtrage dadresses mail entrants avec la
liste dadresses mail du filtre antispam configur.
Liste droulante de filtrage par liste dadresses
mail : Permet de slectionner une liste blanche/noire
dadresses mail utiliser avec ce profil de protection.

01-30001-0203-20060424
Seuls les modles FortiGate-800 et plus offrent cette
slection.
Return e-mail DNS check Activez ou dsactivez cette option qui contrle si le
domaine spcifi dans les champs Reply to
(Rpondre ) et From Address (A partir de ladresse)
possde un enregistrement DNS A ou MX.
Filtrage par mots clefs Activez ou dsactivez le filtrage de mail source en

fonction dune liste de mots-cls du filtre antispam
configur.
Liste droulante de filtrage par mots clefs : Permet
de slectionner une liste de mots-cls utiliser avec
ce profil de protection. Seuls les modles FortiGate-
800 et plus offrent cette slection.
Threshold Si les rsultats combins des
critres de mots-cls apparaissant dans un message
mail excdent la valeur du seuil, le message sera
trait selon les paramtres dfinis dans Spam Action.
Voir Visualisation de la liste des mots bannis
antispam la page 390.
Action antispam Dfinit les actions mises en vigueur par le filtre

antispam. Laction Tag vous permet dajouter une
balise personnalise un sujet ou un en-tte de mail
identifi comme spam. Pour le trafic SMTP, si
lanalyse de virus ou le mode continu est activ, vous
ne pourrez que rejeter les mails spams, ces
connexions tant alors abandonnes. (Notez que le
mode continu est activ automatiquement lorsque
lanalyse de virus est active). Sans mode continu ou
analyse de virus activ, vous pouvez choisir entre
baliser ou rejeter les spams SMTP.
Vous pouvez baliser les mails en insrant un mot ou
une phrase dans le sujet ou en ajoutant un en-tte
MIME et une valeur dans len-tte du mail. Vous
pouvez choisir de journaliser toute action spam dans
le Journal dvnements.
Insertion Permet dinsrer une balise au sujet ou en-tte MIME

du mail identifi comme spam.
Tag Entrez un mot ou une phrase (tag/balise) insrer au

mail identifi comme spam. La longueur maximum
tant de 63 caractres.
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en
fonction de leur en-tte MIME. Contrlez les paramtres de votre mail client avant de dfinir
comment baliser les spams.
Voir Antispam la page 386 pour plus doptions de configuration de filtre

antispam. Pour configurer le service FortiGuard-Antispam, voir Configuration du
botier FortiGate pour les services FDN et FortiGuard la page 186.

01-30001-0203-20060424
Options IPS
Illustration 153 : Options IPS du profil de protection
Les options suivantes sont disponibles pour lIPS travers le profil de protection.
IPS Signature Slectionnez un ou plusieurs niveaux de svrit des

signatures IPS pour ce profil : Critical, High, Medium, Low et
Information. Les signatures avec niveau de svrit qui nont
pas t slectionns ne sont pas enclenches.
IPS Anomaly Slectionnez un ou plusieurs niveaux de svrit danomalie
pour ce profil : Critical, High, Medium, Low et Information. Les
anomalies avec niveau de svrit qui nont pas t
slectionnes ne sont pas enclenches.
Voir Protection contre les intrusions la page 352 pour des options de
configuration IPS supplmentaires.
Options des archives de contenu

Pour accder toutes les options des archives de contenu, un quipement
FortiAnalyzer doit tre configur et une connexion active. Pour plus
dinformations, voir Journalisation sur un botier FortiAnalyzer la page 411.
Illustration 154 : Options des archives de contenu du profil de protection
Remarque : Les options NNTP et darchivage de fichiers ne peuvent pas tre slectionns.
Un support sera ajout dans une version ultrieure.
Les options suivantes sont disponibles pour larchivage de contenu travers le

profil de protection.
Afficher les meta-informations Permet davoir des meta-informations pour chaque

dans le tableau de bord Systme types de trafic qui saffichent dans la section Content
Summary de la page Statut du botier FortiGate.
Visualiser les statistiques pour les trafics HTTP, FTP et
messages mails (IMAP, POP3 et SMTP combins).
Archive to FortiAnalyzer Activez ou dsactivez larchivage sur un quipement
FortiAnalyzer de meta-informations sur le contenu pour
chaque protocole. Les meta-informations sur le contenu

01-30001-0203-20060424
peuvent comprendre la date et lheure, la source et le
rsultat de lanalyse. Larchivage de contenu nest
disponible que si un quipement FortiAnalyzer est
activ dans Journaux/Alertes > Configuration >
Configuration du Journal.
Archive a copy of all files Activez ou dsactivez larchivage de copies
transferred de fichiers tlchargs.
Log emails to FortiAnalyzer Permet de sauvegarder une copie de tous les
messages mails sur un quipement FortiAnalyzer.
Archive IM to FortiAnalyzer Activez ou dsactivez des informations condenses de
journalisation pour les protocoles IM: AIM, ICQ, MSN et
Yahoo. Des informations condenses peuvent
comprendre la date et lheure, les informations sur la
source et la destination, la taille de la requte et de la
rponse et le rsultat de lanalyse.
Remarque : Vous devez activer les options IM dans la
section IM & P2P du profil de protection pour un
archivage de contenu oprationnel.
Archive full IM chat information to FortiAnalyzer Activez ou dsactivez larchivage
de lentiret des chats pour le protocole IM sur un
quipement FortiAnalyzer. Larchivage de contenu nest
disponible que si le FortiAnalyzer est activ dans
Journaux/Alertes > Configuration > Configuration
du Journal.
section IM et P2P du profil de protection pour un
Archive a copy of all files Activez ou dsactivez larchivage de copies
transferred de fichiers transfrs.
section IM & P2P du profil de protection pour un
Options IM et P2P
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes darchivage de contenu sont disponibles dans les profils de
protection.
Bloquer la connexion Empche les utilisateurs de messageries

instantanes de se connecter aux services AIM, ICQ,
MSN et Yahoo.
Bloquer le transfert de fichiers Bloque les transferts de fichiers pour les protocoles
AIM, ICQ, MSN et Yahoo.

01-30001-0203-20060424
Bloquer laudio Bloque laudio pour les protocoles AIM, ICQ, MSN et
Yahoo.
Inspecter les ports non standard Active linspection de ports non standard pour le trafic
IM.
Action Transfre, bloque ou value une limite des transferts
P2P pour les protocoles BitTorrent, eDonkey,
Gnutella, Kazaa et WinNY. Les transferts Skype
peuvent tre transfrs ou bloqus, mais pas limits.
Limite (Koctets/sec) Spcifiez une limite de bande passante pour les
protocoles BitTorrent, eDonkey, Gnutella, Kazaa et
WinNY si laction est dfinie sur Limitation de Bande
Passante.
Les changements apports aux options des profils de protection IM, alors que des
utilisateurs sont connects, ne prendront effet qu leur prochaine connexion.
Activer le blocage de connexion, par exemple, ne peut pas tre utilis pour
dconnecter les utilisateurs qui ont une connexion en cours.
Voir IM/P2P la page 403 pour des options de configuration IM

supplmentaires.
Options de la journalisation
Illustration 156 : Options de connexion du profil de protection
Les options de journalisation suivantes sont disponibles dans les profils de

protection.
Antivirus Virus Active la journalisation de virus

scanns.
Fichiers bloqus Active la journalisation de
fichiers bloqus.
Fichiers/Emails Active la journalisation de
surdimensionns fichiers et messages mails
surdimensionns.
Filtrage Web Blocage de contenu Active la journalisation du
blocage de contenu.

01-30001-0203-20060424
Filtrage dURL Active la journalisation dURL
bloques et exemptes.
Filtrer les ActiveX Active la journalisation des
ActiveX bloqus.
Filtrer les Cookies Active la journalisation des
cookies bloqus.
Filtrer les Applets Active la journalisation des
Java Applets Java bloqus.
FortiGuard Web Filtering Erreurs dvaluation Active la

(HTTP uniquement) journalisation des erreurs
dvaluation.
Filtrage Antispam Log Spam Active la journalisation des
spams dtects.
IPS Journaliser les intrusions Active la journalisation des
intrusions de signatures et
anomalies.
IM / P2P Journaliser lactivit IM Active la journalisation de
lactivit IM.
Journaliser lactivit p2p Active la journalisation de
lactivit P2P.
Pour plus dinformations propos de la journalisation, voir Journaux/Alertes

la page 409.
Ajout dun profil de protection une rgle

Vous pouvez activer un profil de protection pour les rgles pare-feu dont laction
est dfinie sur Allow ou IPSec et dont le service est dfini sur ANY, HTTP, FTP,
IMAP, POP3, SMTP ou un groupe de services comprenant ces services.
Si les domaines virtuels sont activs sur le botier FortiGate, les profils de
protection doivent tre ajouts aux rgles dans chaque domaine virtuel. Pour
accder une rgle, slectionnez un domaine virtuel dans le menu principal.

2 Slectionnez une liste de rgles laquelle ajouter un profil de protection. Par
exemple, pour activer une protection rseau sur les fichiers tlchargs dInternet
par les utilisateurs internes du rseau, slectionnez une liste de rgles Interne >
Externe.
3 Cliquez sur Crer Nouveau pour ajouter une rgle ou cliquez sur licne Editer
dune rgle modifier.
4 Slectionnez Profil de protection.
5 Slectionnez un des profils de protection de la liste.
6 Configurez les autres paramtres de la rgle si ncessaire.
7 Cliquez sur OK.
8 Rptez cette procdure pour toutes les rgles pour lesquelles il faut activer une
protection rseau.

01-30001-0203-20060424
Configuration CLI dun profil de protection
Remarque : Pour des descriptions et exemples complets sur lutilisation de commandes

CLI, rfrez-vous au FortiGate CLI Reference.
Config firewall profile

La commande CLI config firewall profile vous permet dajouter, dditer
ou de supprimer des profils de protection. Les profils de protection appliquent des
paramtres de protection diffrents pour le trafic contrl par les rgles pare-feu.

01-30001-0203-20060424
VPN IPSEC
Cette section couvre les informations sur les options des modes tunnel et route
(mode interface) VPN IPSec disponibles partir de linterface dadministration web.
Les botiers FortiGate implmentent le protocole ESP (Encapsulated Security
Pauload) en mode tunnel. Les paquets crypts ressemblent des paquets
ordinaires qui peuvent tre routs travers nimporte quel rseau IP. IKE (Internet
Key Exchange) seffectue automatiquement en fonction des cls partages ou de
certificats digitaux X.509. Facultativement, vous pouvez spcifier des cls
manuelles. Le mode interface est uniquement support en mode NAT/Route. Cela
cre une interface virtuelle pour la fin locale dun tunnel VPN.
Cette section parcourt les sujets suivants :

Aperu du mode interface IPSec
Auto Key
Cl Manuelle
Tunnels actifs
Aperu du mode interface IPSec

Lors de la dfinition dun tunnel IPSec en mode route (mode interface), une
interface virtuelle IPSec est cre automatiquement. Peu importe davoir des cls
IKE gnres automatiquement ou des cls manuelles, linterface virtuelle IPSec
est cre comme une sous-interface dune interface physique FortiGate locale,
agrge ou VLAN slectionne lors de la dfinition des paramtres de la phase 1
IPSec. Ladresse IP de linterface physique locale, agrge ou VLAN est obtenue
sur Systme > Rseau > Interface.
Remarque : Il est possible de lier une interface IPSec une zone.
Une interface virtuelle IPSec est considre comme active (up) lorsquelle peut
tablir une connexion phase 1 avec un client ou paire VPN. Cependant, linterface
virtuelle IPSec ne peut pas tre utilise pour envoyer du trafic tant quelle nest pas
lie une dfinition de tunnel phase 2.
Les liens des interfaces virtuelles IPSec sont affichs sur la page Systme >
Rseau > Interface. Les noms de tous les tunnels lis aux interfaces physiques
sont affichs sous linterface physique associe dans la colonne Nom. Pour plus
dinformations sur la page Interface, voir Interface la page 61.
Aprs quune interface virtuelle IPSec ait t lie un tunnel, le trafic peut tre
rout vers linterface utilisant des mtriques spcifiques pour les routes statiques et
de rgles. De plus, vous pouvez crer une rgle pare-feu ayant linterface virtuelle
IPSec comme interface source ou de destination.
Lorsque le trafic IP provenant de derrire le botier FortiGate local arrive une

interface FortiGate de sortie agissant comme sortie locale du tunnel IPSec (si le
mode interface IPSec est activ sur linterface), le trafic est encapsul par le tunnel
et transfr travers linterface physique laquelle linterface virtuelle IPSec est
lie. Lorsque le trafic encapsul dun client distant atteint une interface physique
FortiGate locale, le botier FortiGate dtermine si une interface virtuelle IPSec est

01-30001-0203-20060424
associe linterface physique travers des slecteurs dans le trafic. Si le trafic
correspond aux slecteurs prdfinis, il est encapsul et transfr vers linterface
virtuelle IPSec.
Pour les flux en sortie, le botier FortiGate excute une recherche de route pour
trouver linterface travers laquelle il doit transfrer le trafic en vue datteindre le
routeur du prochain saut. Si la route trouve passe par une interface virtuelle lie
un tunnel VPN spcifique, le trafic est crypt et envoy travers le tunnel VPN.
Pour les flux en entre, le botier FortiGate identifie un tunnel VPN en utilisant
ladresse IP de destination et le SPI (Security Parameter Index) du datagramme
ESP pour identifier la SA (security association) de la phase 2 correspondante. Si
une SA correspondante est trouve, le datagramme est dcrypt et le trafic IP
associ est redirig travers linterface virtuelle IPSec.
La rgle pare-feu associe un chemin spcifique est responsable du contrle de

tout le trafic passant entre les adresses source et de destination. Si ncessaire,
vous pouvez configurer plusieurs rgles pare-feu pour rguler le flux du trafic
entrant et/ou sortant du tunnel VPN en mode route. Deux rgles pare-feu sont
ncessaires pour supporter le trafic bidirectionnel travers un tunnel IPSec en
mode route : lun pour contrler le trafic vers lextrieur et lautre pour le trafic vers
lintrieur.
Les VPN en mode route simplifient limplmentation de la redondance de tunnel

VPN. Vous pouvez configurer une route pour le mme trafic IP utilisant des
mtriques de routes diffrentes. Vous pouvez galement configurer lchange
dinformations de routage dynamique (RIP, ISPF ou BGP) travers des tunnels
VPN. Si la connexion primaire VPN choue ou la priorit dune route est modifie
par un routage dynamique, une route alternative sera slectionne pour envoyer le
trafic en utilisant une connexion redondante.
Auto Key
Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent tre
configurs pour gnrer des cls uniques IKE (Internet Key Exchange)
automatiquement durant les changes IPSec en phases 1 et 2.
Pour configurer le botier FortiGate pour quil gnre des cls uniques
automatiquement en phases 1 et 2, slectionnez VPN > IPSEC > Auto Key (IKE).
Lors de la dfinition des paramtres de cration du tunnel en phase 2, vous

pouvez choisir nimporte quel ensemble de paramtres de la phase 1 pour mettre
en place une connexion scurise pour le tunnel et authentifier le paire distance.
La configuration Auto Key sapplique aux VPN en modes tunnel et interface.

01-30001-0203-20060424
Illustration 157 : Liste Auto Key
Crer Phase 1 Crer une nouvelle configuration phase 1. Voir Cration

dune nouvelle configuration phase 1 la page 296.
Crer Phase 2 Crer une nouvelle configuration phase 2. Voir Cration
dune nouvelle configuration phase 2 la page 302.
Phase 1 Les noms des configurations phase 1 existantes.
Phase 2 Les noms des configurations tunnel phase 2 existantes.
Interface Binding Les noms des interfaces physiques locales, agrges ou
VLAN auxquelles les tunnels IPSec sont lis.
Icnes Supprimer et Editer Supprime ou dite une configuration phase 1.
Cration dune nouvelle configuration phase 1

En phase 1, deux paires VPN (ou un serveur dialup FortiGate et un client VPN)
sauthentifient lun lautre et changent des cls pour tablir un canal de
communication scuris entre eux. Les paramtres de base de la phase 1
associent les paramtres de la phase 1 avec une passerelle distance et
dterminent :
si les paramtres varis de la phase 1 seront changs en tapes multiples

avec des informations dauthentification cryptes ou en un message unique
avec des informations dauthentification qui ne sont pas cryptes (mode
agressif).
si une cl partage ou des certificats digitaux seront utiliss pour authentifier
les identits des deux paires VPN (ou un serveur VPN et ses clients).
si un identificateur spcial, un certificat distinguished name , ou un nom de
groupe seront utiliss pour identifier le paire ou client VPN distance lors
dune tentative de connexion.
Pour dfinir les paramtres de base de la phase 1 IPSec, slectionnez VPN >
IPSEC > Auto Key (IKE) et cliquez sur Crer Phase 1.

01-30001-0203-20060424
Illustration 158 : Nouvelle Phase 1
Nom Entrez un nom qui reprsente la dfinition de la phase 1. La

longueur maximum du nom est de 15 caractres pour un VPN en
mode interface, 35 caractres pour un VPN bas sur une rgle.
Le nom des VPN en mode tunnel devrait faire rfrence
lorigine de la connexion distance. Dans le cas dun tunnel en
mode route (mode interface), le botier FortiGate utilise ce mme
nom pour linterface virtuelle IPSec quil cre automatiquement.
Passerelle Slectionnez la nature de la connexion distance :
Si cest un paire distance avec une adresse IP statique qui
se connectera au botier FortiGate, slectionnez Adresse IP
Statique.
Si ce sont un ou plusieurs utilisateurs dialup
TM
FortiClient /FortiGate avec des adresses IP dynamiques
qui se connecteront au botier FortiGate, slectionnez
Utilisateur Dialup.
Si cest un paire distance qui possde un nom de domaine
et souscrit un service dynamique DNS qui se connectera
au botier FortiGate, slectionnez Dynamique DNS.
Adresse IP Si vous avez slectionn Adresse IP Statique, entrez ladresse IP
du paire distance.
Dynamique DNS Si vous avez slectionn Dynamique DNS, entrez le nom de
domaine du paire distance.
Interface locale Cette option est disponible en mode NAT/Route uniquement.
Slectionnez linterface physique, agrge ou VLAN laquelle le
tunnel IPSec sera li. Le botier FortiGate obtient ladresse IP de
linterface sur Systme > Rseau > Interface (voir Interface
la page 61) moins que vous spcifiez une adresse IP diffrente
dans le champ Passerelle IP locale dans les options avances
de la Phase 1 (voir Passerelle IP locale la page 300).
Mode Slectionnez Aggressive ou Main, en fonction des paramtres
des Options de Connexion ci-dessous.
En mode Main, les paramtres de la phase 1 sont changs
en tapes multiples avec des informations dauthentification
cryptes.
En mode Agressif, les paramtres de la phase 1 sont
changs via un message unique avec des informations
dauthentification non cryptes.
Lorsque le client ou paire VPN distance possde une adresse
IP dynamique, ou quil sera authentifi via un identifiant (ID

01-30001-0203-20060424
local), vous devez slectionner le mode Agressif sil y a plus
dune configuration phase 1 dialup pour ladresse IP de
linterface.
Mthode Slectionnez Clef partage ou Signature RSA.
dauthentification
Clef partage Si vous avez slectionn Clef partage, entrez la clef partage
que le botier FortiGate utilisera pour sauthentifier auprs du
paire distance ou du client dialup pendant les ngociations de
la phase 1. Vous devez dfinir la mme valeur au client ou paire
distant. La cl doit contenir au moins 6 caractres imprimables et
ne doit tre connue que des administrateurs rseau. Pour une
protection optimum contre les attaques connues, la cl devrait se
constituer dun minimum de 16 caractres alphanumriques
choisis arbitrairement.
Nom du certificat Dans le cas o vous avez slectionn Signature RSA, choisissez
le nom du certificat du serveur que le botier FortiGate utilisera
pour sauthentifier auprs du paire distance ou client dialup
pendant les ngociations de la phase 1. Pour obtenir et charger
le certificat du serveur, voir le FortiGate Certificate Management
User Guide.
Options de connexion Une ou plusieurs des options suivantes sont disponibles pour
lauthentification des paires ou clients VPN, en fonction de la
Passerelle et des paramtres de la Mthode dauthentification.
Lorsque la Mthode dauthentification est dfinie sur Clef
partage, vous pouvez slectionner loption Accepter tout
identifiant de connexion . Dans ce cas, le botier FortiGate
ne contrlent pas les identifiants (ID locaux). Le mode peut
tre dfini sur Aggressive ou Main.
partage, vous pouvez authentifier un paire distance qui a
une adresse IP dynamique, ou plusieurs clients dialup
FortiGate/FortiClient en fonction dun identifiant particulier.
Slectionnez Accepter cet identifiant et entrez lidentifiant.
Pour un paire DDNS ou un client dialup FortiGate qui se
connecte via un tunnel ddi, cette valeur doit tre identique
la valeur dans le champ ID local de la configuration de la
passerelle en phase 1 sur le pair distant ou le client dialup.
Si vous configurez des paramtres dauthentification pour
des clients dialup FortiClient, rfrez-vous au document
Authenticating FortiClient Dialup Clients Technical Note. Si
plusieurs clients dialup FortiGate/FortiClient se connecteront
travers le mme tunnel VPN et utilisant le mme identifiant
(partag), le Mode doit tre dfini sur Aggressive.
partage, slectionnez Accepter les identifiants du groupe
dialup pour authentifier de multiples clients dialup
FortiGate/FortiClient qui utilisent des identifiants uniques et
des cls partages pour se connecter au VPN travers le
mme tunnel VPN. Dans ce cas, vous devez crer un
groupe dialup dans un but dauthentification. Voir Groupe
dutilisateurs la page 330. Lorsque cette option est
slectionne, vous pouvez slectionner le nom du groupe
dans la liste. Pour configurer des clients dialup FortiGate,
rfrez-vous au FortiGate IPSec VPN User Guide. Pour
configurer, des clients dialup FortiClient, rfrez-vous la
note Authenticating FortiClient Dialup Clients Technical
Note. Le Mode doit tre dfini sur Aggressive lorsque les
clients dialup utilisent des identifiants et cls partages
uniques. Sils utilisent seulement des cls partages

01-30001-0203-20060424
uniques, vous pouvez dfinir le Mode sur Main sil ny a
quune seule configuration dialup de la phase 1 pour cette
adresse IP dinterface.
Lorsque la Mthode dauthentification est dfinie sur
Signature RSA, vous pouvez authentifier un (ou plusieurs)
paire distance ou client dialup sur base dun certificat de
scurit particulier (ou partag). Slectionnez le nom du
certificat dans la liste. Le certificat doit tre ajout la
configuration FortiGate via la commande CLI config user
paire avant quil ne puisse tre slectionn. Pour plus
dinformations, voir le chapitre User dans le FortiGate
CLI Reference. Si le paire ou client VPN distance possde
une adresse IP dynamique, dfinissez le Mode sur
Aggressive.
Lorsque la Mthode dauthentification est dfinie sur
Signature RSA, vous pouvez utiliser un groupe de certificats
pour authentifier les paires distance et les clients dialup qui
ont des adresses IP dynamiques et utilisent des certificats
uniques. Slectionnez le nom du groupe de la liste. Le
groupe doit tre ajout la configuration FortiGate via les
commandes CLI config user paire et config user
peergrp avant quil ne puisse tre slectionn. Pour plus
dinformations, voir le chapitre User dans le FortiGate
CLI Reference. Si le paire ou client VPN distance possde
une adresse IP dynamique, dfinissez le Mode sur
Aggressive.
Avanc ... Permet de dfinir les paramtres avancs de la phase 1. Voir
Dfinition des paramtres avancs de la phase 1 ci-dessous.
Dfinition des paramtres avancs de la phase 1

Les paramtres avancs de la Proposition Phase 1 permettent de slectionner les
algorithmes de cryptage et dauthentification que le botier FortiGate utilise pour
gnrer des cls pour lchange IKE. Des paramtres avancs supplmentaires de
la phase 1 peuvent tre slectionns pour assurer une bonne opration des
ngociations de la phase 1.
Pour modifier les paramtres avancs de la phase 1 IPSec, slectionnez VPN >
IPSEC > Auto Key (IKE), cliquez sur Crer Phase 1 et ensuite sur Avanc.
Illustration 159 : Paramtres avancs de la Phase 1

01-30001-0203-20060424
Activer le mode Crer une interface virtuelle pour le fin locale du
interface IPSec tunnel VPN. Ceci nest pas disponible en mode Transparent.
Passerelle IP locale Dans le cas o le mode Interface IPSec est activ, il faut
spcifier une adresse IP pour la fin locale du tunnel VPN.
Slectionnez lune des options suivantes :
Interface IP principale Le botier FortiGate obtient
ladresse IP de linterface partir des paramtres dans
Systme > Rseau > Interface (voir Interface la page
61).
Spcifier Spcifier une adresse IP. Cette adresse IP
sera assigne linterface physique, agrge ou VLAN
qui est slectionne ce moment dans le champ Interface
locale de la phase 1 (voir Interface locale la page
297).
Vous ne pouvez pas configurer le mode Interface dans un
VDOM en mode Transparent.
Proposition Phase 1 Slectionnez les algorithmes de cryptage et dauthentification
qui seront utiliss pour gnrer des cls pour la protection des
ngociations.
Ajouter ou supprimer des algorithmes de cryptage et
dauthentification tel que ncessaire.
Slectionnez un minimum de 1 et un maximum de trois
combinaisons. Le paire ou client distant doit tre configur
pour utiliser au moins une des propositions que vous
dfinissez.
Vous pouvez slectionner chacun des algorithmes cls
symtriques suivants :
DES Digital Encryption Standard, un algorithme de 64
bits qui utilise une cl de 56 bits.
3DES Triple- DES, avec lequel le texte clair est crypt
trois fois par trois cls.
AES128 un algorithme de 128 bits qui utilise une cl de
128 bits.
192 bits.
256 bits.
Vous pouvez slectionner chacun des messages rcapitulatifs
pour vrifier lauthenticit des messages pendant les
ngociations de la phase 1 :
MD5 Message Digest 5, lalgorithme de hachage
dvelopp par RSA Data Security.
SHA1 Secure Hash Algorithm 1, qui produit un message
rsum de 160 bits.
Pour ajouter une troisime combinaison, cliquez sur le bouton
+ ct des champs de la seconde combinaison.
Groupe DH Slectionnez un ou plusieurs groupes Diffie-Hellman des
groupes DH 1, 2 et 5. Lors de lutilisation du mode agressif, les
groupes DH ne peuvent pas tre ngocis.
Si les deux paires VPN (ou un serveur daccs distant
VPN et son client) ont des adresses IP statiques et
utilisent un mode agressif, slectionnez un seul groupe
DH.

01-30001-0203-20060424
Le paramtrage du botier FortiGate doit tre identique au
paramtrage du paire distant ou du client dialup.
Lorsque le paire VPN distant ou le client possde une
adresse IP dynamique et utilise un mode agressif,
slectionnez jusqu trois groupes DH sur le botier
FortiGate et un groupe DH sur le paire distance ou client
dialup. Le paramtrage du paire ou client distant doit tre
identique lune des slections du botier FortiGate.
Si lun des paire ou client VPN emploie le mode main,
vous pouvez slectionner de multiples groupes DH. Au
moins, lun des paramtres du paire ou client distance
doit tre identique aux slections du botier FortiGate.
Dure de vie de la clef Entrez la priode de temps (en secondes) avant que la cl de
cryptage IKE expire. Lors de lexpiration dune cl, une autre
cl est gnre sans interruption de service. La dure de vie
de la cl peut varier entre 120 et 172800 secondes.
ID local Si le botier FortiGate agit comme client VPN et que vous
utilisez des ID paire pour authentification, entrez lidentifiant
que le botier FortiGate fournira au serveur daccs distant
VPN pendant lchange de la phase 1.
Si le botier FortiGate agit comme client VPN et que vous
utilisez des certificats de scurit pour authentification,
slectionnez le nom DN (distinguished name) du certificat du
serveur local que le botier FortiGate utilisera pour
lauthentification.
Si le botier FortiGate est un client dialup et ne partagera pas
un tunnel avec dautres clients dialup (ce qui signifie que le
tunnel sera ddi ce client dialup FortiGate), dfinissez le
Mode sur Aggressive.
XAuth Cette option est fournie pour supporter lauthentification de
clients dialup. Si le botier FortiGate est un client dialup et que
vous slectionnez Activer en tant que client , entrez le nom
dutilisateur et le mot de passe dont le botier FortiGate aura
besoin pour sauthentifier auprs du serveur distance XAuth.
Si la passerelle est dfinie sur Utilisateur dialup et que les
clients dialup sauthentifieront comme membres dun groupe
dialup, le botier FortiGate peut agir comme un serveur XAuth.
Pour pouvoir slectionner Activer en tant que serveur , vous
devez dabord crer des groupes dutilisateurs pour identifier
les clients dialup qui ncessitent un accs au rseau derrire
le botier FortiGate. Voir Configuration dun groupe
dutilisateurs la page 333.
Vous devez galement configurer le botier FortiGate pour
envoyer les requtes dauthentification un serveur
dauthentification externe RADIUS ou LDAP. Pour plus
dinformations ce propos, voir Configuration dun serveur
RADIUS la page 326 et Configuration dun serveur
LDAP la page 328.
Slectionnez un paramtre de Type de Serveur pour
dterminer le type de mthode de cryptage utiliser entre un
botier FortiGate, un client XAuth et le serveur
dauthentification externe. Slectionnez ensuite le groupe
dutilisateurs dans la liste des Groupes Utilisateur.
Nat-traversal Activez cette option si un serveur NAT existe entre le botier
FortiGate local et le paire ou client VPN. Le botier FortiGate
local et le paire ou client VPN doivent avoir les mmes
paramtres de NAT traversal (tous deux slectionns ou
dsactivs).

01-30001-0203-20060424
Frquence des keepalive Si vous activez NAT-traversal, entrez un paramtre de
frquence des keepalive. Cette valeur reprsente un intervalle
entre 0 et 900 secondes.
DPD Dead Paire Detection Activez cette option pour rtablir des
tunnels VPN sur des connexions inactives et se dbarrasser
des paires IKE morts si ncessaire. Vous pouvez utiliser cette
option pour recevoir une notification chaque fois quun tunnel
devient actif ou inactif. Vous pouvez aussi activer loption pour
garder les connexions tunnel ouvertes lorsque aucun trafic
nest gnr lintrieur du tunnel (par exemple, dans les
scnarios o un client dialup ou paire DNS dynamique se
connecte dune adresse IP qui change rgulirement le trafic
peut tre suspendu pendant que ladresse IP change).
Lorsque loption de DPD est active, vous pouvez utiliser les
commandes CLI config vpn ipsec phase1 (mode tunnel)
ou config vpn ipsec phase1-interface (mode
interface) pour spcifier optionnellement un temps dinactivit
court et long, un nombre dessais et un intervalle entre chaque
tentative. Pour plus dinformations, voir le FortiGate CLI
Reference.
Cration dune nouvelle configuration phase 2

Aprs que les ngociations de la phase 1 IPSec se terminent avec succs, la
phase 2 commence. Les paramtres de la phase 2 dfinissent les algorithmes que
le botier FortiGate pourrait utiliser pour crypter et transfrer des donnes pour le
reste de la session. Pendant la phase 2, les associations spcifiques de scurit
IPSec ncessaires limplmentation de services de scurit sont slectionnes et
un tunnel est tabli.
Les paramtres de base de la phase 2 associent les paramtres IPSec de la phase

2 avec la configuration de la phase 1 et spcifient le point final distance du tunnel
VPN. Dans la plupart des cas, vous navez besoin de configurer que les
paramtres de base de la phase 2.
Pour configurer les paramtres de la phase 2, slectionnez VPN > IPSEC > Auto
Key (IKE) et cliquez sur Crer Phase 2.
Illustration 160 : Nouvelle Phase 2
Nom Entrez un nom pour identifier la configuration du tunnel.

Phase 1 Slectionnez la configuration de la phase 1 affecter ce
tunnel. Voir Cration dune nouvelle configuration phase 1
la page 296. La configuration phase 1 dcrit comment des
paires ou clients VPN distance seront authentifis sur ce
tunnel, et comment la connexion sera scurise.
Avanc Permet de dfinir les paramtres avancs de la phase 2. Voir
Dfinition des paramtres avancs de la phase 2 ci-
dessous.

01-30001-0203-20060424
Dfinition des paramtres avancs de la phase 2
Pendant la phase 2, le botier FortiGate et le paire ou client VPN schangent
encore des cls pour tablir un canal de communication scuris entre eux. Les
paramtres de la proposition Phase 2 slectionnent les algorithmes de cryptage et
dauthentification ncessaires la gnration de cls pour la protection des dtails
dimplmentation de SA (Securtity Associations). Les cls sont gnres
automatiquement via un algorithme Diffie-Hellman.
Un nombre de paramtres supplmentaires avancs de la phase 2 sont

disponibles pour amliorer lopration du tunnel. Pour modifier les paramtres
avancs de la phase 2 IPSec, slectionnez VPN > IPSEC > Auto Key (IKE),
cliquez sur Crer Phase 2 et ensuite sur Avanc.
Illustration 161 : Paramtres avancs de la Phase 2
Proposition Phase 2 Slectionnez les algorithmes de cryptage et dauthentification

qui seront utiliss pour modifier les donnes en code crypt.
Ajoutez ou supprimez les algorithmes de cryptage et
dauthentification tel que requis.
Slectionnez un minimum de 1 et un maximum de 3
combinaisons. Le paire distance doit tre configur pour
utiliser au moins une des propositions que vous avez dfinies.
Vous pouvez slectionner un des algorithmes cls
symtriques suivants :
NULL Ne pas utiliser dalgorithme de cryptage.
3DES Triple-DES, dans lequel le texte clair est crypt
trois fois par trois cls.
AES128 Un algorithme de 128 bits qui utilise une cl de
128 bits.
192 bits.
256 bits.

01-30001-0203-20060424
Vous pouvez slectionner chacun des messages rcapitulatifs
pour vrifier lauthenticit des messages pendant les
ngociations de la phase 2 :
NULL Ne pas utiliser de message rcapitulatif.
MD5 Message Digest 5, lalgorithme de hachage
dvelopp par RSA Data Security.
rsum de 160 bits.
Pour spcifier une seule combinaison, affectez la seconde
combinaison, la mention NULL. Pour ajouter une troisime
combinaison, cliquez sur le bouton + ct des champs de la
seconde combinaison.
Activer loption Facultativement, vous pouvez activer ou dsactiver
Replay detection loption Replay Detection. Les attaques rejoues ont lieu
lorsquune partie non autorise intercepte une srie de
paquets IPSec et les rejoue dans le tunnel.
Activer loption Perfect Activer ou dsactiver PFS. Cette option amliore la scurit
forward secrecy (PFS) en forant un nouvel change Diffie-Hellman chaque fois
quune dure de vie dune cl expire.
Groupe DH Slectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire
distant ou client dialup doit tre configur pour utiliser le mme
groupe.
Dure de vie Slectionnez la mthode pour dterminer quand la cl
Tunnel toujours actif de la phase 2 expire : Secondes, Koctets ou les deux. Si vous
slectionnez les deux, la cl expire soit quand la priode de
temps sest coule, soit lorsque le nombre de Ko a t trait.
Les intervalles stendent de 120 172800 secondes ou de
5120 2147483648 Ko. Activez loption tunnel toujours actif si
vous dsirez que le tunnel reste actif lorsque aucune donne
nest traite.
DHCP-IPSec Activez cette option si le botier FortiGate agit comme serveur
dialup et quun relais DHCP FortiGate sera utilis pour affecter
des adresses VIP aux clients dialup FortiClient. Nactivez pas
cette option sur les botiers FortiGate qui agissent comme
clients dialup. Les paramtres du relais DHCP doivent tre
configurs sparment. Pour plus dinformations, voir
Systme > DHCP la page 99.
Si le botier FortiGate agit comme serveur dialup et vous
affectez manuellement les adresses VIP des clients dialup
FortiClient qui correspondent au rseau derrire le serveur
dialup, slectionnez Activer pour que le botier FortiGate
agisse comme proxy pour ses clients dialup.
Ceci nest disponible que pour les configurations phase 2 en
mode tunnel associes une configuration phase 1 dialup.
Quick Mode Selector Facultativement, vous pouvez spcifier les adresses IP source
et de destination utiliser comme slecteurs pour des
ngociations IKE. Si le botier FortiGate est un serveur dialup,
la valeur par dfaut 0.0.0.0/0 devrait tre maintenue moins
quil soit ncessaire de contourner des problmes causs par
des adresses IP ambigus entre un ou plusieurs rseaux
privs constituant le VPN. Vous pouvez spcifier une seule
adresse IP hte, une plage dadresses IP ou une adresse
rseau. Vous pouvez en option spcifier les numros de ports
source et de destination et/ou un numro de protocole.
Si vous ditez une configuration de tunnel phase 2
existante, les champs Adresse Source et Adresse

01-30001-0203-20060424
Destination sont indisponibles si le tunnel a t
configur pour utiliser des adresses pare-feu comme
slecteurs. Cette option nexiste que sur linterface de
ligne de commande. Voir les mots-cls dst-addr-
type, dst-name, src-addr-type et src-name
de la commande vpn ipsec phase2 dans le
FortiGate CLI Reference.
Adresse source Si le botier FortiGate est un serveur dialup, entrez
ladresse IP source qui corresponde /aux
expditeur(s) local/locaux ou au rseau derrire le
paire VPN local. Par exemple, 172.16.5.0/24 ou
172.16.5.0/255.255.255.0 pour un sous-
rseau, ou 172.16.5.1/32 ou
172.16.5.1/255.255.255.255 pour un serveur
ou un hte, ou 192.168.10.[80-100] ou
192.168.10.80-192.168.10.100 pour une
plage dadresses.
Une valeur de 0.0.0.0/0 reprsente toutes les
adresses IP derrire le paire VPN local. Si le botier
FortiGate est un client dialup, ladresse source doit
rfrer au rseau priv derrire le client dialup
FortiGate.
Port source Entrez le numro du port que le paire VPN local utilise pour
transporter le trafic li au service spcifi (numro du
protocole). Lintervalle varie entre 0 et 65535. Pour spcifier
tous les ports, entrez 0.
Adresse destination Entrez ladresse IP de destination qui corresponde
aux destinataires ou rseau derrire le paire VPN
distant. Par exemple 192.168.20.0/24 pour un
sous-rseau, ou 172.16.5.1/32 pour un serveur
ou un hte, ou 192.168.10.[80-100] pour une
plage dadresses. Une valeur de 0.0.0.0/0
reprsente toutes les adresses IP derrire le paire
VPN distance.
Port destination Entrez le numro du port que le paire VPN distance utilise
pour transporter le trafic li au service spcifi (numro de
protocole). Lintervalle varie entre 0 et 65535. Pour spcifier
tous les ports, entrez 0.
Protocole Entrez le numro du protocole IP du service. Lintervalle varie
entre 1 et 255. Pour spcifier tous les ports, entrez 0.
Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet travers
le botier FortiGate. Pour ce faire, configurez une rgle pare-feu IPSec supplmentaire avec
comme interface source et de destination linterface publique FortiGate, ladresse source all,
ladresse de destination le rseau distance et la translation en entre active. Pour plus
dinformations sur les rgles pare-feu, voir Configuration de rgles pare-feu la page
232.
Cl Manuelle
Si ncessaire, vous pouvez dfinir manuellement des cls de cryptographie pour
ltablissement dun tunnel VPN IPSec. Des cls manuelles peuvent tre dfinies
dans les cas suivants :
Une connaissance antrieure de la cl de cryptage et/ou dauthentification est
ncessaire (cest--dire lorsque lun des paires VPN requiert une cl spcifique
de cryptage et/ou dauthentification).

01-30001-0203-20060424
Le cryptage et lauthentification doivent tre dsactivs.
Dans les deux cas, vous ne spcifiez pas les paramtres des phases 1 et 2 IPSec ;
au lieu de cela, vous dfinissez des cls manuelles sur la page VPN > IPSEC >
Clef Manuelle.
Remarque : Il y a toujours un risque dans la dfinition de cls manuelles car il faut compter
sur les administrateurs rseaux pour garder les cls confidentielles et la propagation
scurise de changements aux paires VPN distance risque dtre difficile.
Illustration 162 : Liste des cls manuelles
Crer Nouveau Crer une nouvelle configuration de cl manuelle. Voir

Cration dune nouvelle configuration cl manuelle
ci-dessous.
Nom du tunnel Les noms des configuration de cls manuelles existantes.
Passerelle Les adresses IP des paires distants ou des clients dialup.
Algorithme de chiffrement Les noms des algorithmes de chiffrement spcifis dans
les configurations de cls manuelles.
Algorithme dauthentification Les noms des algorithmes dauthentification spcifis
dans les configurations de cls manuelles.
Icnes Supprimer et Editer Permet de supprimer ou dditer une configuration de cl
manuelle.
Cration dune nouvelle configuration cl manuelle

Si lun des quipements VPN utilise des cls dauthentification et/ou de cryptage
pour tablir un tunnel, les deux quipements VPN doivent tre configurs pour
utiliser des cls dauthentification et/ou de cryptage identiques. De plus, il est
essentiel que ces deux quipements VPN soient configurs avec les paramtres
complmentaires SPI (Security Parameter Index).
Chaque SPI identifie un SA (Security Association). La valeur est place dans des
datagrammes ESP pour lier les datagrammes au SA. Lorsquun datagramme est
reu, le destinataire se rfre au SPI pour dterminer quel SA sapplique au
datagramme. Un SPI doit tre spcifi manuellement pour chaque SA. Etant donn
quun SA sapplique la communication dans une seule direction, vous devez
spcifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les
communications bidirectionnelles entre deux quipements VPN.
Attention : Si vous ntes pas familier avec les rgles de scurit, SA, slecteurs et bases
de donnes SA, ne tentez pas la procdure suivante sans assistance qualifie.
Pour spcifier des cls manuelles pour la cration dun tunnel, slectionnez VPN >
IPSEC > Clef Manuelle et cliquez sur Crer Nouveau.

01-30001-0203-20060424
Illustration 163 : Nouvelle Cl Manuelle
Nom Entrez un nom pour le tunnel VPN. La longueur du nom ne doit

pas dpasser 15 caractres pour un VPN en mode interface,
35 caractres pour un VPN bas sur une rgle.
SPI Local Entrez un nombre hexadcimal (jusqu 8 caractres, 0-9, a-f)
qui reprsente le SA qui traite le trafic sortant sur le botier
FortiGate local. Lintervalle stend de 0x100 0xffffffff. Cette
valeur doit correspondre la valeur SPI Distant dans la
configuration de la cl manuelle du paire distant.
SPI Distant Entrez un nombre hexadcimal (jusqu 8 caractres, 0-9, a-f)
qui reprsente le SA qui traite le trafic entrant sur le botier
FortiGate local. Lintervalle stend de 0x100 0xffffffff. Cette
valeur doit correspondre la valeur SPI Local dans la
configuration de la cl manuelle du paire distant.
Passerelle Entrez ladresse IP de linterface publique vers le paire distant.
Ladresse identifie le destinataire des datagrammes ESP.
Local Interface Cette option nest disponible quen mode NAT/Route.
Slectionnez le nom de linterface physique, agrge ou VLAN
laquelle le tunnel IPSec sera li. Le botier FortiGate obtient
ladresse IP de linterface dans les paramtres de Systme >
Rseau > Interface (voir Interface la page 61).
Algorithme de chiffrement Vous pouvez slectionner un des algorithmes cl symtrique
suivants :
NULL Ne pas utiliser dalgorithme de chiffrement.
3DES Triple-DES, dans lequel le texte est crypt trois
fois par trois cls.
128 bits.
192 bits.
256 bits.
Clef de chiffrement Si vous avez slectionn :

DES, entrez un numro hexadcimal de 16 symboles (0-9,
a-f).

01-30001-0203-20060424
3DES, entrez un nombre hexadcimal de 48 symboles (0-
9, a-f), spar en trois segments de 16 symboles.
AES128, entrez un nombre hexadcimal de 32 symboles
(0-9, a-f) , spar en deux segments de 16 symboles.
(0-9, a-f) , spar en trois segments de 16 symboles.
(0-9, a-f) , spar en quatre segments de 16 symboles.
Algorithme Vous pouvez slectionner un des messages
dauthentification rcapitulatifs suivants:
NULL Ne pas utiliser de message rcapitulatif.
MD5 Message Digest 5, algorithme qui produit un
message rcapitulatif de 128 bits.
rcapitulatif de 160 bits.
Clef dauthentification Si vous slectionnez :
MD5, entrez un nombre hexadcimal de 32 symboles (0-
9, a-f) spar en deux segments de 16 symboles.
SHA1, entrez un nombre hexadcimal de 40 symboles (0-
9, a-f) , spar en un segment de 16 symboles et un
second de 24 symboles.
IPSec Interface Mode Crez une interface virtuelle pour la fin locale du tunnel VPN.
Cette commande nest disponible quen mode NAT/Route.
Concentrateur
Dans une configuration hub-and-spoke , les connexions plusieurs paires
distants partent dun seul botier FortiGate central. Les connexions site site entre
les paires distance nexistent pas ; cependant, des tunnels VPN entre deux des
paires distance peuvent tre tablis travers un hub FortiGate.
Dans un rseau hub-and-spoke , tous les tunnels VPN se terminent au hub. Les
paires qui se connectent au hub sont connus sous le nom de spokes . Le hub
fonctionne comme un concentrateur sur le rseau, grant toutes les connexions
VPN entre les spokes . Le trafic VPN passe dun tunnel un autre travers le
hub.
Vous dfinissez un concentrateur pour inclure des spokes dans la configuration

hub-and-spoke .
Pour dfinir un concentrateur, slectionnez VPN > IPSEC > Concentrateur.

01-30001-0203-20060424
Illustration 164 : Liste des concentrateurs
Crer Nouveau Dfinissez un nouveau concentrateur pour une configuration

IPSec hub-and-spoke. Voir Dfinition des options dun
concentrateur ci-dessous.
Nom du concentrateur Les noms des concentrateurs VPN IPSec existants.
Membres Les tunnels qui sont associs aux concentrateurs.
Icnes Supprimer et Permet de supprimer ou dditer un concentrateur.
Editer
Dfinition des options dun concentrateur

Une configuration de concentrateur spcifie quels spokes inclure dans une
configuration hub-and-spoke IPSec.
Pour spcifier les spokes dune configuration hub-and-spoke IPSec, slectionnez

VPN > IPSEC > Concentrateur et cliquez sur Crer Nouveau.
Illustration 165 : Nouveau Concentrateur VPN
Nom du concentrateur Entrez un nom pour le concentrateur.

Tunnels Disponibles Une liste de tunnels VPN IPSec dfinis. Slectionnez un tunnel
de la liste et cliquez ensuite sur la flche droite. Rptez cette
tape jusqu ce que tous les tunnels associs aux spokes
soient inclus dans le concentrateur.
Membres Une liste de tunnels membres du concentrateur. Pour enlever
un tunnel du concentrateur, slectionnez le tunnel et cliquez
sur la flche gauche.

01-30001-0203-20060424
Tunnels actifs
Cette page vous permet de visualiser lactivit des tunnels VPN IPSec, et
galement de les dmarrer ou de les arrter. Saffichent lcran une liste
dadresses, dID proxy et dinformations timeout pour tous les tunnels actifs, y
compris les tunnels en mode tunnel et en mode route (mode interface).
Pour visualiser les tunnels actifs, slectionnez VPN > IPSEC > Tunnels actifs.
Illustration 166 : Liste des tunnels actifs
La liste des tunnels dialup fournit des informations sur le statut des tunnels tablis
pour les clients dialup. La liste reprend les adresses IP de clients dialup et les
noms de tous les tunnels actifs. Le nombre de tunnels affichs dans la liste se
modifie quand un client dialup se connecte ou se dconnecte.
Icne Flush dialup tunnels Permet darrter tous les tunnels dialup et le trafic passant
travers tous les tunnels dialup. Les utilisateurs dialup auront
peut-tre se reconnecter pour tablir des nouvelles sessions
VPN.
Icne Page suivante et Affiche la page suivante et prcdente de la liste des
Page prcdente statuts des tunnels dialup.
Nom Les noms de tunnels configurs.
Passerelle distante Lorsquun client dialup FortiClient tablit un tunnel, le champ
Passerelle Distante affiche soit ladresse IP publique et le port
UDP de la machine de lhte distant (sur lequel lapplication
FortiClient Host Security est installe), soit, dans le cas o un
serveur NAT existe lavant de lhte distant, ladresse IP
publique et le port UDP de lhte distant.
Lorsquun client dialup FortiGate tablit un tunnel, le champ
Passerelle Distante affiche ladresse IP publique et le port UDP
du client dialup FortiGate.
Compte utilisateur LID du paire, le nom du certificat ou le nom utilisateur XAuth
du client dialup ( dans le cas o ces lments ont t affects
au client dialup dans le but dune authentification).
Timeout La priode de temps avant le prochain change de cls de la
phase 2. Ce temps est calcul en soustrayant le temps pass
depuis le dernier change de cls de la dure de vie de la cl.
Lorsque la cl de la phase 2 expire, une nouvelle cl est
gnre sans interruption de service.
ID Proxy Source Les adresses IP des htes, serveurs ou rseaux privs situs
derrire le botier FortiGate. Une plage de rseau saffiche si
ladresse source de la rgle pare-feu de chiffrement a t
exprime sous forme de plage dadresses IP.

01-30001-0203-20060424
ID Proxy Destination Lorsquun client dialup FortiClient tablit un tunnel :
Si les adresses VIP ne sont pas utilises et que lhte
distant se connecte Internet directement, le champ
Proxy ID Destination affiche ladresse IP publique de la
NIC (Network Interface Card) dans lhte distant.
Si les adresses VIP ne sont pas utilises et lhte distant
est derrire un serveur NAT, le champ Proxy ID
Destination affiche ladresse IP prive de la NIC dans
lhte distant.
Si les adresses VIP ont t configures (manuellement ou
travers un relais FortiGate DHCP), le champ Proxy ID
Destination affiche soit ladresse VIP appartenant un
client dialup FortiClient, soit ladresse dun sous-rseau
partir duquel les adresses VIP ont t affectes.
Lorsquun client dialup FortiGate tablit un tunnel, le champ
Proxy ID Destination affiche ladresse IP du rseau priv
distant.
Icne Tunnel up et tunnel Une flche verte pointant vers le haut signifie que le
down tunnel est en train de traiter du trafic. Une flche rouge
pointant vers le bas signifie que le tunnel nest pas en train de
traiter du trafic.
La liste de tunnels IP statiques et de tunnels DNS dynamiques fournit des
informations propos des tunnels VPN aux paires distance qui ont des adresses
IP statiques ou des noms de domaine. Cette liste permet de visualiser les statuts et
informations sur les adressages IP pour chaque configuration de tunnel. Vous
pouvez galement commencer ou arrter des tunnels individuels partir de cette
liste.
Icne Page suivante et Affiche la page prcdente ou suivante de la liste des

Page prcdente statuts des tunnels VPN.
Nom Les noms des tunnels configurs.
Passerelle distante Les adresses IP et les ports UDP des passerelles. Pour les
tunnels DNS dynamiques, les adresses IP sont mises jour
dynamiquement.
Timeout La priode de temps avant le prochain change de cls de la
phase 2. Ce temps est calcul en soustrayant le temps pass
depuis le dernier change de cls de la dure de vie de la cl.
Lorsque la cl de la phase 2 expire, une nouvelle cl est
gnre sans interruption de service.
ID Proxy Source Les adresses IP des htes, serveurs ou rseaux privs
derrire le botier FortiGate. Une plage de rseaux saffiche si
ladresse source de la rgle pare-feu de chiffrement a t
exprime sous forme de plage dadresses IP.
ID Proxy Destination Les adresses IP des htes, serveurs et rseaux privs derrire
le botier FortiGate distant.
Icne Tunnel up et tunnel Une flche verte pointant vers le haut signifie que le
down tunnel est en train de traiter du trafic. Une flche rouge
pointant vers le bas signifie quaucun traitement de trafic par le
tunnel nest en cours.

01-30001-0203-20060424
VPN PPTP
Le botier FortiGate supporte PPTP pour crer un tunnel pour le trafic PPP entre
deux paires VPN. Les clients Windows et Linux peuvent tablir un tunnel PPTP
avec un botier FortiGate configur comme serveur PPTP. Comme alternative,
vous pouvez configurer le botier FortiGate pour envoyer des paquets PPTP vers
un serveur PPTP sur le rseau derrire le botier FortiGate.
Le VPN PPTP est uniquement disponible en mode NAT/Route.
Cette section explique comment utiliser linterface dadministration web pour

spcifier une plage dadresses IP pour les clients PPTP. Pour toute information sur
la mise en place du VPN PPTP, voir le FortiGate PPTP VPN User Guide.
Cette section parcourt la plage PPTP.
Plage PPTP
Vous pouvez spcifier une plage dadresses PPTP sur la page Plage PPTP. La
plage dadresses PPTP est une plage dadresses rserve aux clients PPTP
distants. Lorsquun client PPTP distant se connecte, le botier FortiGate affecte une
adresse IP dune plage dadresses IP rserves linterface PPTP du client. Le
client PPTP utilise ladresse IP affecte comme adresse source pendant la dure
de la connexion.
Pour activer PPTP et spcifier la plage dadresses PPTP, slectionnez VPN >
PPTP > Plage PPTP, slectionnez les options requises et cliquez ensuite sur
Appliquer.
Illustration 167 : Editer la plage PPTP
Activer PPTP Avant de pouvoir slectionner cette option, vous devez ajouter
un groupe dutilisateurs. Voir Groupe dutilisateurs la
page 330.
IP dbut de plage Entrez ladresse de dpart de la plage dadresses IP
rserves.
IP fin de plage Entrez ladresse de fin de la plage dadresses IP rserves.
Groupe Utilisateur Slectionnez le nom du groupe dutilisateurs PPTP que vous
avez dfini.
Dsactiver PPTP Dsactive le support PPTP.

01-30001-0203-20060424
VPN SSL
Cette section fournit les informations sur les fonctionnalits de la page VPN > SSL
dans linterface dadministration web. Le botier FortiGate supporte ces
fonctionnalits en mode NAT/Route uniquement.
Remarque : Pour davantage dinstructions dtailles sur la configuration des oprations en

mode web et mode tunnel, voir le FortiGate SSL VPN User Guide.

Configuration
Monitor
Configuration
La page Config comporte les paramtres de base VPN SSL y compris des valeurs
timeout et des prfrences de cryptage SSL. Si ncessaire, vous pouvez
galement activer lutilisation de certificats digitaux pour lauthentification des
clients distants.
Remarque : Si ncessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec
des navigateurs plus anciens) partir de linterface de ligne de commande. Pour plus
dinformations, voir SSL Settings dans le chapitre VPN du FortiGate CLI Reference.
Slectionnez VPN > SSL > Config pour un affichage des paramtres de
configuration SSL en cours.
Illustration 168 : Paramtres VPN SSL
Activer SSL-VPN Active les connexions VPN SSL.

01-30001-0203-20060424
Port de Login Facultativement, entrez un numro de port HTTPS
diffrent pour les navigateurs web des clients distants
pour se connecter au botier FortiGate. Le numro de port
par dfaut est 10443.
Plage IP du tunnel Spcifiez la plage dadresses IP rserves pour les clients
VPN SSL en mode tunnel. Entrez les adresses de dpart
et de fin qui dfinissent la plage dadresses IP rserves.
Certificat Serveur Slectionnez le certificat serveur sign utiliser pour le
processus dauthentification. Si vous maintenez le
paramtrage par dfaut (Self-Signed), le botier FortiGate
propose son certificat install par dfaut par Fortinet aux
clients distants lors de leurs connexions.
Ncessite un certificat client Slectionnez cette option si vous dsirez permettre
lutilisation de certificats de groupes pour lauthentification
de clients distants. Par aprs, lorsque le client distant initie
une connexion, le botier FortiGate gnre un message
chez lui concernant sa partie du certificat, ceci faisant
partie du processus dauthentification.
Algorithme de la cl de Slectionnez lalgorithme pour la cration dune
cryptage connexion scurise SSL entre le navigateur web du
client distant et le botier FortiGate.
Ncessite une longueur Slectionnez cette option pour le navigateur web dun
de cl>=128bit(dfaut) client distant capable de correspondre une suite de
chiffres de 128 bits et plus.
Ncessite une longueur Si le navigateur web dun client distant est capable
de cl>128bit(haute) de correspondre un haut niveau de cryptage SSL,
slectionnez cette option pour activer des suites de
chiffres utilisant plus de 128 bits pour crypter les donnes.
Ncessite une longueur Si vous ntes pas certain du niveau de cryptage SSL
de cl>=64bit(basse) que supporte le navigateur web du client distant,
slectionnez cette option pour activer une suite de chiffres
de 64 bits et plus.
Idle Timeout Timeout dinactivit : Entrez la priode de temps (en
secondes) pendant laquelle la connexion peut rester
inactive avant de forcer lutilisateur se reconnecter.
Lintervalle varie entre 10 et 28800 secondes. Ce
paramtre sapplique la session VPN SSL. La connexion
ne se coupe pas tant que des sessions dapplication web
ou des tunnels sont activs.
Message du portail Facultativement, entrez le message personnalis que
vous dsirez voir apparatre sur le portail.
Avanc (Serveurs DNS et WINS)
Serveur DNS #1 Entrez jusqu deux Serveurs DNS fournis pour une
Serveur DNS #2 utilisation clients.
Serveur WINS #1 Entrez jusqu deux Serveurs WINS fournis pour une
Serveur WINS #2 utilisation clients.

01-30001-0203-20060424
Monitor
Vous pouvez afficher une liste de toutes les sessions actives VPN SSL. La liste
affiche le nom utilisateur de lutilisateur distant, son adresse IP et lheure laquelle
la connexion a t initie. La liste rpertorie galement quels services sont fournis.
Pour visualiser la liste des sessions actives VPN SSL, slectionnez VPN > SSL >
Monitor.
Illustration 169 : Liste Monitor
No. Lidentificateur de la connexion.

Utilisateur Les noms utilisateurs de tous les utilisateurs distants connects.
IP Source Les adresses IP des htes connects au botier FortiGate.
Heure de dbut Lheure de dbut de chaque connexion.
Description Des informations sur les services fournis. Lorsquun utilisateur en
mode tunnel est connect, le champ Description affiche ladresse IP
que le botier FortiGate affecte au client distant.
Icne Supprimer Supprime un tunnel.

01-30001-0203-20060424
Certificats VPN
Cette section explique comment grer les certificats de scurit X.509 partir de
linterface dadministration web FortiGate. Ce module vous apprend gnrer des
requtes de certificat, installer des certificats signs, importer le certificat de
lautorit de certification et des listes de rvocation, sauvegarder et restaurer des
certificats et leurs cls prives associes. Pour plus dinformations, voir le
FortiGate Certificate Management User Guide.

Certificats locaux
Certificats CA
CRL
Certificat locaux
Les requtes de certificat et les certificats serveurs installs sont affichs dans la
liste des Certificats Locaux. Aprs avoir soumis une requte une autorit de
certification (AC), cette dernire vrifie les informations et enregistre les
informations de contact sur un certificat digital qui contient un numro de srie, une
date dexpiration et la cl publique de lautorit de certification. LAC va ensuite
signer et vous envoyer le certificat installer sur votre botier FortiGate.
Pour visualiser des requtes de certificat et/ou importer des certificats de serveur
signs, slectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les
dtails du certificat, slectionnez licne Voir les Dtails du Certificat du certificat
concern.
A la premire ligne de lillustration 170 saffiche une requte de certificat et la

deuxime ligne, un certificat serveur sign.
Illustration 170 : Liste des Certificats Locaux
Gnrer Gnre une requte de certificat local. Voir Gnrer une

requte de certificat la page 317.
Importer Importer un certificat local sign. Voir Importation dun
certificat serveur sign la page 319.
Nom Les noms des certificats locaux existants et des requtes de
certificat en suspens.
Sujet Les DS (Distinguished Names) des certificats signs locaux.
Etat Le statut du certificat local. PENDING dsigne une requte de
certificat ncessitant un tlchargement et une signature.

01-30001-0203-20060424
Icne Voir les Dtails Affiche les dtails du certificat tels que le nom du
du Certificat certificat, lmetteur, le sujet et les dates de validit. Voir
Illustration 171.
Icne Supprimer Supprime la requte de certificat slectionne ou le certificat
serveur install lors de la configuration FortiGate.
Icne Sauvegarder Sauvegarde une copie de la requte du certificat sur un
ordinateur local. Envoyez la requte votre autorit de
certification pour obtenir un certificat serveur sign pour le
botier FortiGate.
Illustration 171 : Informations dtailles sur le certificat
Pour des informations dtailles et des procdures pas pas pour lobtention et
linstallation des certificats digitaux, voir le FortiGate Certificate Management User
Guide.
Gnrer une requte de certificat

Le botier FortiGate gnre une requte de certificat base sur les informations
entres pour identifier le botier FortiGate. Les requtes gnres sont affiches
dans la liste des Certificats Locaux avec le statut PENDING. Aprs avoir gnr
une requte de certificat, vous pouvez tlcharger la requte sur un ordinateur qui
possde un accs administratif au botier FortiGate et transfrer ensuite la requte
une autorit de certification (AC).
Pour complter une requte de certificat, slectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Gnrer. Pour tlcharger et transfrer une
requte de certificat, voir Tlchargement et soumission dune requte de
certificat la page 318.
Illustration 172 : Gnrer des Requtes de Signature de Certificat

01-30001-0203-20060424
Nom du certificat Entrez un nom au certificat. En gnral, il sagit du nom du
botier FortiGate. Pour activer lexportation dun certificat sign
sous forme dun fichier PKCS12 si ncessaire, mme plus
tard, ne pas inclure despace dans le nom.
Information sur le sujet Entrez les informations requises pour identifier le botier
FortiGate :
Si le botier FortiGate possde une adresse IP statique,
slectionnez Adresse IP de lhte et entrez ladresse IP
publique du botier FortiGate. Si celui-ci ne possde pas
dadresse IP publique, utilisez la place une adresse mail
(ou un nom de domaine si disponible).
Si le botier FortiGate possde une adresse IP
statique et souscrit un service DNS dynamique,
utilisez un nom de domaine si disponible pour
identifier le botier FortiGate. Si vous
slectionnez Nom de Domaine, entrez le FQDN
du botier FortiGate. Ne pas inclure le protocole
de spcification (http://) ni numro de port ni
noms de chemin. Si un nom de domaine nest
pas disponible et que le botier FortiGate souscrit
un service dynamique DNS, un message de
type Unable to verify certificate
( Impossibilit de vrifier le certificat ) peut
safficher dans une fentre du navigateur
chaque changement dadresse IP publique du
botier FortiGate.
Si vous slectionnez Mail, entrez ladresse mail
du propritaire du botier FortiGate.
Unit organisationnelle Facultativement, entrez le nom de votre dpartement.
Organisation Facultativement, entrez le nom lgal de votre
entreprise ou organisation.
Localit (Ville) Facultativement, entrez le nom de la ville o est situ
le botier FortiGate.
Etat/Province Facultativement, entrez le nom de ltat, de la
province ou du dpartement o est situ le botier
FortiGate.
Pays Facultativement, entrez le nom du pays o est situ le
botier FortiGate.
Mail Facultativement, entrez ladresse mail de contact.
Type de clef Seul RSA est support.
Longueur de la clef Choisissez entre 1024bit, 1536bit et 2048bit. Les plus
grandes cls sont plus lentes gnrer mais
procurent une scurit plus accrue.
Tlchargement et soumission dune requte de certificat

Vous devez complter une requte de certificat et gnrer la requte avant
de pouvoir soumettre les rsultats lautorit de certification. Pour plus
dinformations, voir Gnrer une requte de certificat la page 317.
Tlcharger et soumettre une requte de certificat
1 Slectionnez VPN > Certificats > Certificats Locaux.

2 Dans la liste des Certificats locaux, slectionnez licne Sauvegarder de la requte
de certificat gnre.

01-30001-0203-20060424
3 Dans la bote de dialogue de Sauvegarde du Fichier, slectionnez Sauvegarder.
4 Nommez le fichier et sauvegardez-le dans le systme de fichiers locaux.
5 Soumettez votre requte votre autorit de certification de la manire suivante :
A partir du navigateur web sur lordinateur dadministration, allez sur le site
web de lautorit de certification.
Suivez les instructions de lautorit de certification pour effectuer une requte
de certificat au format PKCS#10 encod en base64 et tlchargez votre
requte de certificat.
Suivez les instructions de lautorit de certification pour tlcharger leur
certificat et leur liste de rvocation (Certificate Revocation List), et installez-les
ensuite sur chaque client distance (rfrez-vous la documentation du
navigateur).
6 Lors de la rception du certificat sign de lAC, installez-le sur le botier FortiGate.
Voir Importation dun certificat serveur sign ci-dessous.
Importation dun certificat serveur sign

Votre autorit de certification va vous fournir un certificat serveur sign installer
sur le botier FortiGate. Lors de la rception de ce certificat, sauvegardez-le sur un
ordinateur qui possde un accs administratif au botier FortiGate.
Pour installer le certificat serveur sign, slectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Importer. Installez le certificat partir de la bote
de dialogue de tlchargement du certificat local en haut de la page. Le fichier du
certificat peut se trouver sous le format PEM ou DER. Les autres botes de
dialogue servent importer des certificats exports prcdemment et leurs cls
prives.
Illustration 173 : Tlcharger le certificat local
Tlcharger le fichier Entrez le chemin complet et le nom du fichier du certificat

serveur sign.
Browse Alternativement, accdez au certificat sauvegard sur
lordinateur dadministration, slectionnez alors le certificat et
cliquez sur OK.
Importation dun certificat serveur export et de sa cl prive

Le certificat serveur et sa cl prive importer doivent avoir t export
prcdemment sous forme dun fichier unique PKCS12 partir de la commande
CLI execute vpn certificate key export. Ce fichier est associ un mot
de passe ncessaire son importation. Avant de commencer, sauvegardez une
copie du fichier sur un ordinateur qui possde un accs administratif au botier
FortiGate. Pour plus dinformations, se rfrer au FortiGate Certificate
Management User Guide.

01-30001-0203-20060424
Pour importer le fichier PKCS12 ; slectionnez VPN > Certificats > Certificats
Locaux et cliquez sur Importer.
Illustration 174 : Tlcharger le certificat PKCS12
Certifier avec un fichier cl Entrez le chemin complet et le nom du fichier du fichier

PKCS12 export prcdemment.
Browse Alternativement, accdez au fichier PKCS12 sauvegard sur
lordinateur dadministration, slectionnez-le et cliquez sur OK.
Mot de passe Entrez le mot de passe requis pour tlcharger le fichier
PKCS12.
Importation de fichiers spars de certificat serveur et leur cl prive

A partir de la bote de dialogue de tlchargement de certificat, importez les
fichiers du certificat serveur et de sa cl prive associe lorsque la requte de
certificat et la cl prive nont pas t gnres par le botier FortiGate. Les deux
fichiers importer doivent tre disponibles sur lordinateur dadministration.
Illustration 175 : Tlcharger le certificat
fichier certificat Entrez le chemin complet et le nom du fichier du certificat

export prcdemment.
Fichier cl Entrez le chemin complet et le nom du fichier de la cl export
prcdemment
Mot de passe Entrez, si requis, le mot de passe pour tlcharger et ouvrir les
fichiers.
Certificats CA
Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe
installer sur des clients distants, vous devez obtenir le certificat racine
correspondant et la liste de rvocation (CRL) de votre autorit de certification.
A la rception du certificat personnel ou de groupe, installez-le sur les clients

distants en respectant les procdures dcrites dans la documentation du
navigateur. Installez le certificat racine et le CRL de votre autorit de certification
sur votre botier FortiGate.
Les certificats CA installs sont affichs dans la liste de Certificats CA. Pour
visualiser des certificats racines AC installs ou pour en importer,slectionnez VPN

01-30001-0203-20060424
> Certificats > Certificats CA. Pour visualiser les dtails du certificat racine,
slectionnez licne Voir les dtails du certificat du certificat concern.
Illustration 176 : Liste des certificats CA
Importer Importez un certificat racine CA. Voir Importation de

certificats de lautorit de certification ci-dessous.
Nom Les noms des certificats racines CA existants. Le
botier FortiGate affecte des noms uniques
(CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.) aux
certificats AC lors de leur importation.
Sujet Informations sur l autorit de certification
mettrice.
Icne Supprimer Supprime un certificat racine CA de la configuration
FortiGate.
Icne Voir les Dtails du Certificat Affiche les dtails du certificat.
Icne Sauvegarder Sauvegardez une copie du certificat racine CA sur un
ordinateur local.
Pour des informations dtailles et des procdures pas pas pour lobtention et
linstallation de certificats digitaux, se rfrer au FortiGate Certificate Management
User Guide.
Importation de certificats de lautorit de certification

Aprs avoir tlcharg le certificat racine de l autorit de certification, sauvegardez
le certificat sur un ordinateur qui possde un accs administratif au botier
FortiGate.
Pour importer un certificat racine CA, slectionnez VPN > Certificats > Certificats
CA et cliquez sur Importer.
Illustration 177 : Tlcharger un certificat CA
Tlcharger le fichier Entrez le chemin complet et le nom de fichier du certificat

racine CA.
Browse Alternativement, accdez au certificat sauvegard sur
lordinateur dadministration, slectionnez-le et cliquez sur OK.

01-30001-0203-20060424
Le systme affecte un nom unique chaque certificat. Les noms sont numrots
conscutivement (CA_Cert_1, CA_Cert_2, CA_Cert_3, etc.).
CRL
Une liste de Rvocation de Certificat (CRL) est une liste de souscripteurs de
certificat CA et des informations sur le statut du certificat. Les CRL installs sont
affichs dans la liste CRL. Le botier FortiGate utilise des CRL pour sassurer de la
validit des certificats appartenant des AC et des clients distants.
Pour visualiser des CRL installs ou un CRL import/mis jour, slectionnez VPN
> Certificats > CRL.
Illustration 178 : Liste de rvocation de certificat
Importer Importe un CRL. Voir Importation dune liste de rvocation de

certificat ci-dessous.
Nom Les noms des listes de rvocation de certificat existantes. Le
botier FortiGate affecte des noms uniques (CRL_1, CRL_2,
CRL_3, etc.) aux listes lors de leur importation.
Sujet Informations sur les listes de rvocation de certificat.
Icne Supprimer Supprime le CRL slectionn de la configuration FortiGate.
Illustration 179 : Dtails dun certificat CA
Importation dune liste de rvocation de certificat

Il est conseill daccder rgulirement des listes de rvocation de certificat sur
les sites web des AC et de mettre jour les informations correspondantes sur le
botier FortiGate pour sassurer que les clients dont les certificats ont t rvoqus
ne puissent plus tablir de connexions avec le botier FortiGate. Aprs avoir
tlcharger un CRL dun site web dune AC, sauvegardez-le sur un ordinateur qui
possde un accs administratif vers le botier FortiGate.
Pour importer une liste de rvocation de certificat, slectionnez VPN > Certificats
> CRL et cliquez sur Importer.

01-30001-0203-20060424
Illustration 180 : Tlcharger CRL
Tlcharger le fichier Entrez le chemin complet et le nom de fichier du CRL.

Browse Alternativement, accdez au CRL sauvegard sur lordinateur
dadministration, slectionnez-le et cliquez sur OK.
Le systme affecte un nom unique chaque CRL. Les noms sont numrots
conscutivement (CRL_1, CRL_2, CRL_3, etc.).

01-30001-0203-20060424
Utilisateur
Cette section explique comment installer des comptes utilisateurs, des groupes
dutilisateurs et des serveurs dauthentification externes. Certains composants de
lauthentification de lutilisateur permettent de contrler laccs aux ressources du
rseau.

Configuration de lauthentification dun utilisateur
Comptes utilisateurs locaux
Serveurs RADIUS
Serveurs LDAP
Serveurs Windows AD
Groupe dutilisateurs
Configuration de paires et de groupes paires
Configuration de lauthentification dun utilisateur

Lauthentification FortiGate contrle laccs par les groupes utilisateurs. La cration
de groupes dutilisateurs nest pas la premire tape de la configuration de
lauthentification. Vous devez configurer lauthentification dun utilisateur en
respectant lordre suivant :
1 Si une authentification externe utilisant des serveurs RADIUS ou LDAP est

requise, configurez laccs ces serveurs. Voir Serveurs RADIUS la page
326 et Serveurs LDAP la page 327.
2 Configurez des comptes utilisateurs locaux dans Utilisateur > Local. Pour chaque
utilisateur, le mot de passe peut tre authentifi par le botier FortiGate, un serveur
RADIUS ou un serveur LDAP. Voir Comptes utilisateurs locaux la page 325.
3 En cas dutilisation dun serveur Microsoft Windows Active Directory pour
lauthentification, configurez-en laccs. Voir Configuration dun serveur Windows
AD la page 329. Les utilisateurs authentifis par un serveur Active Directory
nont pas besoin de comptes utilisateurs locaux sur le botier FortiGate. Vous
devez installer les Fortinet Server Authentication Extensions (FSAE) sur votre
rseau Windows.
4 Crez des groupes dutilisateurs dans Utilisateur > Groupe utilisateur et ajoutez-
y des membres. Il y a trois types de groupes dutilisateurs : Pare-feu, Active
Directory et VPN SSL.
Paramtrage du timeout dauthentification

Les timeouts dauthentification contrlent combien de temps une connexion pare-
feu authentifie peut rester inactive avant que lutilisateur ne doive sauthentifier
nouveau.

01-30001-0203-20060424
Dfinir un timeout dauthentification
1 Slectionnez Systme > Admin > Settings.

2 Dans Paramtres de Timeout Utilisateur, entrez une priode de temps en minutes.
Le timeout dauthentification par dfaut est de 15 minutes.
Comptes utilisateurs locaux

Slectionnez Utilisateur > Local pour ajouter des comptes utilisateurs locaux et
configurer une authentification.
Illustration 181 : Liste des utilisateurs locaux
Crer Nouveau Permet dajouter un nouveau compte utilisateur local.

Nom des utilisateurs Le nom de lutilisateur local.
Type Le type dauthentification mettre en place pour cet utilisateur.
Icne Supprimer Supprimer lutilisateur. Cette icne napparat pas si lutilisateur
appartient un groupe dutilisateurs.
Icne Editer Permet dditer le compte utilisateur.
Remarque : Supprimer le nom utilisateur supprime galement lauthentification configure

pour lutilisateur.
Edition dun compte utilisateur

Slectionnez Utilisateur > Local et cliquez sur Crer Nouveau pour crer un
nouveau compte utilisateur. Vous pouvez galement slectionner licne Editer
dun compte utilisateur existant pour visualiser ou modifier ses paramtres.
Illustration 182 : Options des utilisateurs locaux
Nom de compte Entrez ou modifiez le nom du compte.

Dsactiver Cochez cette case si vous voulez empcher cet utilisateur de
sauthentifier.
Mot de passe Slectionnez un mot de passe pour authentifier cet utilisateur
partir dun mot de passe stock sur le botier FortiGate. Entrez
un mot de passe dau moins 6 caractres de long.
LDAP Cochez LDAP pour authentifier cet utilisateur partir dun mot
de passe stock sur un serveur LDAP. Slectionnez le serveur
LDAP. Vous pouvez seulement slectionner un serveur LDAP

01-30001-0203-20060424
qui a t ajout la configuration LDAP FortiGate. Voir
Serveurs LDAP la page 327.
RADIUS Cochez RADIUS pour authentifier cet utilisateur partir dun
mot de passe stock sur un serveur RADIUS. Slectionnez le
serveur RADIUS. Vous pouvez seulement slectionner un
serveur RADIUS qui a t ajout la configuration RADIUS
FortiGate. Voir Serveurs RADIUS ci-dessous.
Serveurs RADIUS
Si vous avez configur un support RADIUS et quun utilisateur doit sauthentifier
laide dun serveur RADIUS, le botier FortiGate contacte ce serveur pour
authentification. Slectionnez Utilisateur > RADIUS pour configurer les serveurs
RADIUS.
Le port par dfaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS
utilise le port 1645, vous pouvez modifier le port RADIUS par dfaut partir de
linterface de ligne de commande. Pour plus dinformations,voir la commande
config system global dans le FortiGate CLI Reference.
Illustration 183 : Liste des serveurs RADIUS
Crer Nouveau Permet dajouter un nouveau serveur RADIUS.

Nom Le nom du serveur RADIUS.
Nom/Adresse IP Le nom de domaine ou ladresse IP du serveur RADIUS.
Icne Supprimer Supprime une configuration de serveur RADIUS. Vous ne
pouvez pas supprimer un serveur RADIUS qui a t ajout
un groupe dutilisateurs.
Icne Editer Editer une configuration de serveur RADIUS.
Configuration dun serveur RADIUS

Slectionnez Utilisateur > RADIUS et cliquez sur Crer Nouveau pour crer une
nouvelle configuration de serveur RADIUS. Vous pouvez galement cliquer sur
licne Editer dun serveur RADIUS existant pour le modifier.
Illustration 184 : Configuration RADIUS
Nom Entrez un nom pour identifier le serveur RADIUS.

Nom/Adresse IP Entrez un nom de domaine ou une adresse IP dun serveur
RADIUS.
Secret Entrez le secret du serveur RADIUS.

01-30001-0203-20060424
Serveurs LDAP
Si vous avez configur un support LDAP et quun utilisateur doit sauthentifier
laide dun serveur LDAP, le botier FortiGate contacte ce serveur pour
authentification. Pour authentifier avec le botier FortiGate, lutilisateur entre un
nom dutilisateur et un mot de passe. Le botier FortiGate envoie ces informations
au serveur LDAP. Si ce serveur peut authentifier lutilisateur, celui-ci est connect
avec succs au botier FortiGate. Si le serveur LDAP ne peut pas authentifier
lutilisateur, la connexion au botier FortiGate lui est refuse.
Le botier FortiGate supporte la fonctionnalit du protocole LDAP dfinie dans la

RFC2251 pour la recherche et la validation des noms dutilisateurs et mots de
passe. FortiGate LDAP supporte tous les serveurs LDAP compatibles avec LDAP
v3.
Le support FortiGate LDAP ne couvre pas les fonctionnalits prives , telle que
la notification de la date dexpiration dun mot de passe, qui est parfois disponible
sur certains serveurs LDAP.
Le support FortiGate LDAP ne fournit pas dinformations lutilisateur sur les
raisons de lchec de lauthentification.
Slectionnez Utilisateur > LDAP pour configurer les serveurs LDAP.
Illustration 185 : Liste des serveurs LDAP
Crer Nouveau Ajoute un nouveau serveur LDAP.

Nom Le nom didentification du serveur LDAP sur le botier
FortiGate.
Nom/Adresse IP Le nom de domaine ou ladresse IP du serveur LDAP.
Port Le port utilis pour communiquer avec le serveur LDAP.
Identifiant Nom Commun Lidentifiant nom commun pour le serveur LDAP. Pour la
plupart des serveurs LDAP cet identifiant est cn. Cependant
certains serveurs utilisent un autre lidentifiant tel que uid.
Distinguished Name Le distinguished name utilis pour rechercher des entres
dans le serveur LDAP. Le distinguished name reflte la
hirarchie des classes dobjets des bases de donnes LDAP
au-dessus de lIdentifiant Nom Commun.
Icne Supprimer Supprime une configuration de serveur LDAP.
Icne Editer Edite une configuration de serveur LDAP.

01-30001-0203-20060424
Configuration dun serveur LDAP
Slectionnez Utilisateur > LDAP et cliquez sur Crer Nouveau pour crer une
nouvelle configuration de serveur LDAP. Vous pouvez galement cliquez sur
licne Editer dune configuration dun serveur LDAP existante.
Illustration 186 : Configuration dun serveur LDAP
Nom Entrez ou modifiez un nom didentification de ce serveur

LDAP.
Nom/Adresse IP Entrez un nom de domaine ou une adresse IP du serveur
LDAP.
Port Entrez le port utilis pour communiquer avec le serveur LDAP.
Par dfaut, LDAP utilise port 389.
Identifiant Nom Commun Entrez lIdentifiant Nom Commun pour le serveur LDAP. Ce
champ est limit 20 caractres. Pour la plupart des serveurs
LDAP cet identifiant est cn. Cependant certains serveurs
utilisent un autre lidentifiant tel que uid.
Distinguished Name Entrez le distinguished name utilis pour rechercher des
entres sur le serveur LDAP.
Entrez le distinguished name de base pour le serveur utilisant
le X.500 correct ou le format LDAP. Le botier FortiGate
transfre ce distinguished name inchang au serveur.
Par exemple, vous pouvez utiliser le distinguished name de
base suivant : ou=marketing,dc=fortinet,dc=com o ou est le
dpartement dans lorganisation et dc, le composant du
domaine. Vous pouvez galement spcifier des instances
multiples du mme champ dans le distinguished name, par
exemple, pour spcifier de multiples units organisationnelles :
ou=account,ou=marketing,dc=fortinet,dc=com.
Serveurs Windows AD
Sur les rseaux utilisant des serveurs Windows Active Directory (AD) pour
lauthentification, les botiers FortiGate peuvent authentifier les utilisateurs de
manire transparente, sans avoir leur demander leur compte utilisateur et mot de
passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions
(FSAE) sur le rseau et configurer le botier FortiGate pour retrouver les
informations du serveur Windows AD. Pour plus dinformations sur le FSAE, voir la
FSAE Technical Note.
Slectionnez Utilisateur > Windows AD pour configurer les serveurs Windows

AD.

01-30001-0203-20060424
Illustration 187 : Liste de serveurs Windows AD
Crer Nouveau Permet dajouter un nouveau serveur Windows AD.

FortiClient AD Le nom du serveur Windows AD avec FSAE. Vous pouvez
tendre le nom du serveur pour afficher les informations du
groupe et domaine Windows AD.
Adresse IP Les adresses IP et les ports TCP dagents collecteurs (jusqu
maximum 5) qui envoient des informations sur la connexion au
serveur Windows AD au botier FortiGate.
Icne Supprimer Supprime ce serveur Windows AD.
Icne Editer Edite ce serveur Windows AD.
Icne Rafrachir Fournit des informations sur les groupes et domaines partir
du serveur Windows AD.
Configuration dun serveur Windows AD

Slectionnez Utilisateur > Windows AD et cliquez sur Crer Nouveau pour crer
une nouvelle configuration de serveur Windows AD. Pour plus dinformations
propos de FSAE, voir la FSAE Technical Note.
Illustration 188 : Configuration du serveur Windows AD
FortiClient AD Entrez un nom pour le serveur Windows AD. Ce nom apparat

dans la liste des serveurs Windows AD lorsque vous crez des
groupes dutilisateurs.
Server # 1 - # 5 Entrez les informations suivantes des agents collecteurs
(maximum 5 agents collecteurs).
Adresse IP Entrez ladresse IP du serveur Windows AD o cet agent
collecteur est install.
Port Entrez le port TCP utilis pour Windows AD. Ce doit tre le
mme que le port FortiGate spcifi dans la configuration de
lagent collecteur FSAE.
Mot de passe Entrez le mot de passe pour lagent collecteur. Ceci est requis
uniquement si vous avez configur votre agent collecteur
FSAE pour quil requiert un accs authentifi.

01-30001-0203-20060424
Groupe dutilisateurs
Un groupe dutilisateurs est une liste didentits dutilisateurs. Une identit peut
tre :
un compte utilisateur local (compte utilisateur et mot de passe) stock sur le
botier FortiGate
un compte utilisateur local avec mot de passe stock sur un serveur RADIUS
ou LDAP
un serveur RADIUS ou LDAP (toutes les identits sur le serveur peuvent
sauthentifier)
un groupe dutilisateurs dfini sur un serveur Microsoft Active Directory (AD)
Dans la plupart des cas, le botier FortiGate authentifie les utilisateurs en requrant
leur compte utilisateur et mot de passe. Le botier FortiGate vrifie dabord les
comptes utilisateurs locaux. En absence de correspondance, le botier FortiGate
vrifie les serveurs RADIUS et LDAP qui appartiennent au groupe dutilisateurs.
Lauthentification russit lorsque la correspondance du compte utilisateur et du mot
de passe a lieu.
Pour un groupe dutilisateurs Active Directory, le serveur Active Directory

authentifie les utilisateurs lorsquils se connectent au rseau. Le botier FortiGate
reoit les noms et adresse IP des utilisateurs de lagent collecteur FSAE. Pour plus
dinformations sur le FSAE, voir FSAE Technical Note.
Vous pouvez configurer les groupes dutilisateurs pour fournir un accs authentifi
:
des rgles pare-feu qui requirent une authentification
Voir Ajout dune authentification aux rgles pare-feu la page 238.
des VPN SSL sur le botier FortiGate
Voir Options des rgles pare-feu VPN SSL la page 243.
des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup.
Voir Cration dune nouvelle configuration phase 1 la page 296.
de XAuth pour les configurations Phase 1 VNP IPSec
Voir XAUTH dans Dfinition des paramtres avancs de la phase 1 la
page 299.
de la configuration PPTP FortiGate
Voir Plage PPTP la page 312.
de la configuration L2TP FortiGate
Configurable uniquement partir de la commande CLI config vpn 12tp.
Voir le FortiGate CLI Reference.
dune connexion administrateur via une authentification RADIUS
Voir Configuration dune authentification RADIUS des administrateurs la
page 169.
des groupes override du Filtrage Web FortiGuard
Voir Filtrage Web FortiGuard la page 378.

01-30001-0203-20060424
Pour chaque ressource qui ncessite une authentification, vous devez spcifier
quels groupes utilisateurs ont une permission daccs. Vous devez galement
dterminer le nombre et ladhsion des groupes dutilisateurs membres concerns
pour vos besoins dauthentification.
Types de groupe dutilisateurs

Il existe trois types de groupes dutilisateurs :
Groupe dutilisateurs pare-feu

Un groupe dutilisateurs pare-feu fournit un accs une rgle pare-feu qui requiert
une authentification de type pare-feu et comprend le groupe dutilisateurs parmi les
groupes autoriss. Le botier FortiGate requiert le compte utilisateur et mot de
passe des membres du groupes lorsque lutilisateur tente daccder aux
ressources protges par la rgle pare-feu. Pour plus dinformations, voir Ajout
dune authentification aux rgles pare-feu la page 238.
Un groupe dutilisateurs pare-feu peut galement fournir un accs un VPN IPSec

aux utilisateurs dialup. Dans ce cas, la configuration de la phase 1 VPN IPSec
utilise lID paire Accept dans loption paire groupe dialup. Le client VPN de
lutilisateur est configur avec comme compte utilisateur lID du paire et comme
mot de passe la cl partage. Lutilisateur arrive se connecter au VPN IPSec
uniquement si son compte utilisateur est membre dun groupe dutilisateurs
autoris et que le mot de passe corresponde celui stock sur le botier FortiGate.
Un groupe dutilisateurs ne peut pas tre un groupe dialup si lun des membres est
authentifi partir dun serveur RADIUS ou LDAP. Pour plus dinformations, voir
Cration dune nouvelle configuration phase 1 la page 296.
Un groupe dutilisateurs pare-feu peut tre utilis pour fournir des privilges
doverride pour le filtrage web FortiGuard. Voir Configuration des options override
FortiGuard pour un groupe dutilisateurs la page 334. Pour des informations
dtailles sur FortiGuard Web Filter, voir Filtrage Web FortiGuard la page
378.
Groupe dutilisateurs Active Directory

Sur un rseau Microsoft Windows, le botier FortiGate peut permettre laccs aux
membres de groupes utilisateurs dun serveur Active Directory qui ont t
authentifis sur le rseau Windows. Le FSAE (Fortinet Server Authentication
Extensions) doit tre install sur les contrleurs du domaine du rseau.
Un groupe dutilisateurs Active Directory fournit un accs une rgle pare-feu qui
requiert une authentification de type Active Directory et comprend le groupe
dutilisateurs parmi les groupes autoriss. Les membres du groupe dutilisateurs
sont des groupes Active Directory que vous slectionnez dans une liste que le
botier FortiGate reoit des serveurs Windows AD que vous avez configurs. Voir
Serveurs Windows AD la page 328.
Un groupe dutilisateurs Active Directory ne peut pas bnficier des privilges

override FortiGuard ou dun accs VPN SSL.

01-30001-0203-20060424
Groupe dutilisateurs VPN SSL
Un groupe dutilisateurs VPN SSL fournit un accs une rgle pare-feu qui
requiert une authentification de type VPN SSL et comprend le groupe dutilisateurs
parmi les groupes autoriss. Les comptes utilisateurs locaux, ainsi que les
serveurs RADIUS et LDAP peuvent tre membres dun groupe dutilisateurs VPN
SSL. Le botier FortiGate requiert le nom du compte utilisateur et son mot de passe
lorsque lutilisateur accde au portail web VPN SSL. Les paramtres du groupe
dutilisateurs comprennent des options pour les fonctionnalits VPN SSL. Voir
Configuration des options dun groupe dutilisateurs VPN SSL la page 335.
Un groupe dutilisateurs VPN SSL peut galement fournir un accs aux utilisateurs
dialup VPN IPSec. Dans ce cas, la configuration phase 1 VPN IPSec utilise
lidentifiant du paire accepter configur dans loption du groupe de paires. Le
client VPN de lutilisateur est configur avec comme compte utilisateur lIP du paire
et comme mot de passe, la cl partage. Lutilisateur arrive se connecter au VPN
IPSec uniquement si le compte utilisateur est membre dun groupe dutilisateurs
autoris et que le mot de passe corresponde un mot de passe stock sur le
botier FortiGate. Un groupe dutilisateurs ne peut pas tre un groupe dialup si lun
des membres est authentifi partir dun serveur RADIUS ou LDAP. Pour plus
dinformations, voir Cration dune nouvelle configuration phase 1 la page
296.
Liste de groupes dutilisateurs

Slectionnez Utilisateur > Groupe utilisateur pour configurer des groupes
dutilisateurs.
Illustration 189 : Liste des groupes dutilisateurs
Crer Nouveau Permet dajouter un nouveau groupe dutilisateurs.

Nom des groupes Le nom du groupe dutilisateurs. Les noms sont rpertoris par
type de groupe dutilisateurs : Pare-feu, Active Directory et
VPN SSL.
Membres Les utilisateurs et serveurs RADIUS ou LDAP du groupe
dutilisateurs.
Profil de protection Le profil de protection associ ce groupe dutilisateurs.
Icne Supprimer Supprime le groupe dutilisateurs. Vous ne pouvez pas
supprimer un groupe dutilisateurs repris dans une rgle pare-
feu, une configuration phase 1 dun utilisateur dialup ou une
configuration PPTP ou L2TP.
Icne Editer Edite ladhsion dun membre et les options du groupe.

01-30001-0203-20060424
Configuration dun groupe dutilisateurs
Slectionnez Utilisateur > Groupe utilisateur et cliquez sur Crer Nouveau ou
sur licne Editer dun groupe existant pour configurer ses membres et autres
options.
Illustration 190 : Configuration dun groupe dutilisateurs
Nom Entrez le nom du groupe dutilisateurs.

Type Slectionnez le type du groupe dutilisateurs : Voir Types de
groupe dutilisateurs la page 331.
Firewall Vous pouvez slectionner ce groupe pour
chaque rgle pare-feu requrant une
authentification pare-feu. Voir Ajout
dune authentification aux rgles pare-
feu la page 238.
Active Directory Vous pouvez slectionner ce groupe pour
chaque rgle pare-feu requrant une
authentification Active Directory. Voir
Ajout dune authentification aux rgles
pare-feu la page 238.
SSL-VPN Vous pouvez slectionner ce groupe pour
chaque rgle pare-feu dont lAction est
dfinie sur SSL-VPN. Voir Options des
rgles pare-feu VPN SSL la page 243.
Profil de protection Disponible uniquement si le type est Firewall ou Active
Directory. Slectionnez un profil de protection pour ce groupe
dutilisateurs. Vous pouvez slectionner Crer Nouveau pour
crer un nouveau profil de protection.
Utilisateurs disponibles La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP
qui peuvent tre ajouts un groupe dutilisateurs.
Membres La liste des utilisateurs, serveurs RADIUS ou serveurs LDAP
qui appartiennent un groupe dutilisateurs.
Bouton Flche Droite Permet dajouter un utilisateur ou un serveur la liste des
Membres. Slectionnez le nom dun utilisateur ou dun serveur
dans la liste Utilisateurs Disponibles et cliquez sur la flche
droite pour le transfrer dans la liste des Membres.
Bouton Flche Gauche Permet de supprimer un utilisateur ou un serveur de la liste
des Membres. Slectionnez le nom dun utilisateur ou dun
serveur dans la liste des Membres et cliquez sur la flche

01-30001-0203-20060424
gauche pour le transfrer dans la liste des Utilisateurs
Disponibles.
Override du filtrage web Ceci est uniquement disponible si le Type est dfini sur
FortiGuard Firewall. Permet de configurer les options override du filtrage
web FortiGuard pour ce groupe. Voir Configuration des
options override FortiGuard pour un groupe dutilisateurs ci-
dessous.
Options de groupe Ceci est uniquement disponible si le Type est dfini sur
dutilisateurs SSL-VPN VPN SSL. Pour des instructions dtailles propos de la
configuration du mode web ou du mode tunnel, voir le
FortiGate SSL VPN User Guide.
Remarque : Si vous tentez dajouter des serveurs LDAP ou des utilisateurs locaux un
groupe configur pour une authentification dadministrateurs, un message derreur saffiche.
Configuration des options override FortiGuard pour un groupe dutilisateurs

Slectionnez Utilisateur > Groupe Utilisateur et cliquez sur licne Editer dun
groupe dutilisateurs pare-feu. Afficher la section Override du filtrage Web
FortiGuard.
Illustration 191 : Configuration de loverride du filtrage web FortiGuard
Permettre loverride du Les membres de ce groupe peuvent solliciter loverride

filtrage Web FortiGuard (lignorance) de la page de blocage du filtrage Web FortiGuard.
Le profil de protection pare-feu grant la connexion doit avoir
activ loverride de FortiGuard.
Le profil de protection dsigne un groupe dutilisateurs comme
groupe Override. Les membres de ce groupe Override peuvent
authentifier sur la page FortiGuard Web Filter Block Override
pour accder au site bloqu.
Pour plus dinformations dtailles, voir Filtrage
Web FortiGuard la page 378.
Override Scope Loverride peut sappliquer au seul utilisateur qui sollicite
loverride ou en comprendre dautres. Choisissez entre :
Utilisateur Lutilisateur seul
Groupe Le groupe dutilisateurs auquel appartient lutilisateur
dutilisateurs
IP Nimporte quel utilisateur ladresse IP de lutilisateur
Profil Nimporte quel utilisateur sur le sous-rseau de lutilisateur
Demander Lutilisateur en cours dauthentification choisit loverride
Type dOverride Choisissez pour permettre laccs :
Directory uniquement au niveau le plus bas du directory dans lURL
Domaine lintgralit du domaine du site web
Catgories la catgorie FortiGuard

01-30001-0203-20060424
Demander Lutilisateur en cours dauthentification choisit le type doverride
Off-site URLs Choisissez si lutilisateur peut accder aux liens des sites
extrieurs du site bloqu :
Autoris Lutilisateur peut suivre les liens des autres sites.
Interdit Lutilisateur peut uniquement suivre les liens vers les
destinations dfinies par le type dOverride.
Demander Lutilisateur en cours dauthentification choisit de permettre
laccs aux liens de sites extrieurs.
Override Time Etablissez la dure de loverride.
Constant Dfinissez la dure de loverride en jours, heures, minutes.
Demander Lutilisateur en cours dauthentification dtermine la dure de
loverride. La dure que vous dfinissez est la dure
maximum.
Configuration des options des groupes dutilisateurs VPN SSL

Slectionnez Utilisateur > Groupe Utilisateur et cliquez sur licne Editer dun
groupe dutilisateurs VPN SSL. Affichez la section Options de groupe dutilisateurs
VPN SSL.
Pour des instructions dtailles sur la configuration en mode web et mode tunnel,
voir le FortiGate SSL VPN User Guide.
Illustration 192 : Options de groupe dutilisateurs VPN SSL
Activer le service Activer pour permettre aux utilisateurs de ce groupe de se

tunnel SSL-VPN connecter au rseau derrire le botier FortiGate utilisant le
tunnel VPN SSL. Ceci nest pas disponible en mode
Transparent.
Vrifier si le FortiClient Permettre au client de se connecter seulement sil

est install et fonctionne fonctionne avec le FortiClient Host Security Software. Pour
plus dinformations propos de ce software, visitez le site de
Documentation Technique Fortinet.
Vrifier la prsence Permettre au client de se connecter seulement si un logiciel

dun antivirus tiers antivirus Norton (Symantec) ou McAfee est install. Cette
option nest pas disponible si vous slectionnez Vrifier si le
FortiClient est install et fonctionne.

01-30001-0203-20060424
Vrifier la prsence Permettre au client de se connecter seulement si un logiciel
dun firewall logiciel tiers pare-feu Norton (Symantec) ou McAfee est install. Cette
option nest pas disponible si vous slectionnez Vrifier si le
FortiClient est install et fonctionne.
Restreindre la plage IP Entrez les adresses IP de dbut et de fin de la plage

du tunnel pour ce groupe intervalle pour ce groupe si vous dsirez un override de la
plage Tunnel IP dfinie dans VPN > SSL > Config.
Activer Web Application Activez le portail web pour fournir un accs aux application
web. Ceci nest pas disponible en mode Transparent.
Proxy HTTP/HTTPS Si vous activez Web Application, activez chaque applications

FTP dont laccs est permis aux utilisateurs de ce groupe.
Telnet (applet)
Samba
Activer Cache Clean Enlve tous les fichiers temporaires Internet crs sur
lordinateur client entre la connexion et la dconnexion. Ceci
seffectue grce un contrle ActiveX tlcharg et fonctionne
uniquement avec Internet Explorer sur Windows 2000 et
Windows XP.
Redirect URL Facultativement, ouvrez une deuxime fentre de navigation

vers cette URL lorsque la page du portail VPN SSL souvre. Le
serveur web de cette URL doit se trouver sur le rseau priv
derrire le botier FortiGate.
Vous pouvez galement modifier la page de connexion du
portail web VPN SSL. Pour plus dinformations, voir
Modification du message de connexion VPN SSL la page
165.
Personnaliser le Entrez le message personnalis afficher sur la page de

message du portail garde du portail pour ce groupe.
pour ce groupe
Configuration de paires et de groupes de paires

Vous pouvez dfinir des paires et des groupes de paires utiliss pour
lauthentification dans certaines configurations VPN. Pour ce faire, utilisez les
commande CLI config user paire et config user peergrp.
Pour davantage dinformations, voir le chapitre User du FortiGate CLI
Reference.

01-30001-0203-20060424
Antivirus
Cette section dcrit comment configurer les options antivirus associes aux profils
de protection pare-feu.
Antivirus
Modles de Fichier
Mise en Quarantaine
Configuration
Configuration de lAntivirus partir de linterface de ligne de commande
Antivirus
Le traitement Antivirus comprend des modules et des appliances varis excutant
des tches spares. Le botier FortiGate procde aux traitements antivirus dans
lordre dapparition des fonctionnalits dans le menu de linterface dadministration
web : modle de fichier, analyse antivirus, et grayware, suivis par heuristique,
configurable uniquement partir de linterface de ligne de commande.
Les services FortiGuard-AntivirusTM constituent dexcellentes ressources offrant

des mises jour automatiques des bases de donnes antivirus et IPS, de mme
que de lantispam local DNSBL, et ce, partir du FortiGuard Distribution Network
(FDN). Par ailleurs, le Centre FortiGuard fournit une encyclopdie FortiGuard-
Antivirus des virus et attaques, et publie le bulletin FortiGuard. Pour plus de dtails,
visitez le site de la Base de Connaissance Fortinet o vous trouverez galement
un lien vers le Centre FortiGuard.
La connexion entre le botier FortiGate et le Centre FortiGuard se configure dans

Systme > Maintenance > FortiGuard Center. Voir Configuration du botier
FortiGate pour les services FDN et FortiGuard la page 186.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Alors que des paramtres antivirus sont configurs pour une utilisation globale, des
paramtres spcifiques peuvent tre implments pour chaque profil. Le tableau
34 compare les options antivirus des profils de protection et les paramtres du
menu antivirus.

01-30001-0203-20060424
Tableau 34 : Configuration antivirus des profils de protection et du menu Antivirus
Options antivirus des Profils de Paramtres Antivirus
Protection
Analyse antivirus Antivirus > Config > Liste de Virus
Activer ou dsactiver lanalyse antivirus pour Visualiser une liste (en lecture
chaque protocole (http, FTP, IMAP, POP3, uniquement) des virus actuels.
SMTP, IM).
Modle de fichier Antivirus > File Pattern
Activer ou dsactiver le traitement de Configurer des modles de fichier pour
modle de Fichier (File Pattern) pour bloquer ou autoriser ces fichiers. Des
chaque protocole. modles peuvent aussi tre activs ou
dsactivs individuellement.
Mise en Quarantaine Antivirus > Mise en Quarantaine
Activer ou dsactiver la mise en quarantaine Visualiser et trier la liste des fichiers en
pour chaque protocole. Cette option est quarantaine, configurer des modles de
disponible sur les botiers avec un disque fichier pour tlchargement automatique
local ou un FortiAnalyzer configur. vers Fortinet pour analyse et configurer
les options de quarantaine dans Antivirus.
Passer les emails fragments
Activer ou dsactiver le passage demails
fragments. Les emails fragments ne
peuvent pas tre analyss contre les virus.
Option Comfort Client
Activer ou dsactiver cette option pour le
trafic HTTP et FTP. Etablir un intervalle et
un volume en octets pour dclencher
loption de comfort client.
Fichier/Mail surdimensionn
Configurer le botier FortiGate pour bloquer
ou autoriser les fichiers et mails
surdimensionns pour chaque protocole.
Etablir des seuils de taille pour les fichiers et
mails pour chaque protocole dans Antivirus.
Antivirus > Config > Grayware
Activer ou dsactiver le blocage de
grayware par catgorie.
Ajouter une signature aux mails sortants.
Crer et activer une signature ajouter aux
mails sortants (SMTP seulement).
Modles de Fichier
La configuration de modles de fichier (File Pattern) permet de bloquer tous les
fichiers potentiellement menaants et empcher les attaques et virus. Les fichiers
peuvent tre bloqus sur base du nom, de lextension ou tout autre caractristique.
Le blocage de modles de nom de fichier offre la flexibilit de bloquer des
contenus potentiellement dangereux.
Remarque : Les entres de modles de fichier ne sont pas sensibles la casse des
caractres (lettre majuscule/minuscule). Par exemple, ajouter *.exe une liste de modles
de fichier entrane un blocage de tous les fichiers se terminant par .EXE.

01-30001-0203-20060424
En cas dopration standard, vous pouvez choisir de dsactiver File Pattern dans
le Profil de Protection et de lactiver temporairement pour bloquer les menaces
spcifiques quand elles apparaissent.
Le botier FortiGate bloque les fichiers qui correspondent un modle de fichier

spcifique et affiche un message de remplacement la place. Le botier FortiGate
enregistre un message dans le Journal Virus et peut tre configur pour envoyer
un message dalerte.
Si File Pattern et Virus Scan sont tout deux activs, le botier FortiGate bloque les
fichiers correspondants aux modles de fichier activs et ne procde pas une
analyse des virus.
Visualisation du catalogue de la liste des modles de fichier (FortiGate-800 et

plus uniquement)
Les modles FortiGate-800 et plus prvoient la possibilit dajouter des listes de
modles de fichier et de slectionner ensuite la liste la plus approprie pour
chaque profil de protection. Pour visualiser le catalogue des listes de modles de
fichier, slectionnez Antivirus > File Pattern. Pour visualiser une liste de modles
de fichier, cliquez sur licne Editer de la liste.
Illustration 193 : Echantillon dun catalogue de listes de modles de fichier
Remarque : Le catalogue des listes de Modles de Fichier par dfaut sappelle builtin-
patterns.
Crer Nouveau Permet dajouter une nouvelle liste de modles de fichier au

catalogue.
Nom Les listes de modles de fichier disponibles.
# entres Le nombre de modles de fichier dans chaque liste.
Profils Les profils de protection auxquels la liste a t applique.
Commentaire Description facultative de chaque liste.
Icne Supprimer Permet de retirer la liste du catalogue. Cette icne nest pas
disponible lorsque la liste est reprise dans un profil de
protection.
Icne Editer Permet dditer des informations de la liste de modles de
fichier telles que le nom de la liste ou le commentaire.
Slectionnez les listes de modles de fichier dans les profils de protection. Pour
plus dinformations, voir Options Antivirus la page 282.

01-30001-0203-20060424
Cration dune nouvelle liste de modles de fichier ( FortiGate-800 et plus
uniquement)
Pour ajouter une liste de modles de fichier dans le catalogue, slectionnez
Antivirus > File Pattern et cliquez sur Crer Nouveau.
Illustration 194 : Nouvelle liste de modles de fichier
Nom Entrez un nom pour cette nouvelle liste.

Commentaire Entrez un commentaire pour dcrire cette liste si ncessaire.
Visualisation de la liste de modles de fichier

Pour visualiser la liste de modles de fichier sur les modles FortiGate-500 et
moins, slectionnez Antivirus > File Pattern.
Illustration 195 : Liste des modles de fichier par dfaut pour les modles FortiGate-
500 et moins
Pour visualiser la liste des modles de fichier sur les modles FortiGate-800 et
plus, slectionnez Antivirus > File Pattern et cliquez sur licne Editer de la liste
visualiser.

01-30001-0203-20060424
Illustration 196 : Echantillon dune liste de modles de fichier pour les modles-
FortiGate-800 et plus
Nom Le nom de la liste. Pour modifier le nom, ditez le texte dans

ce champ et cliquez sur OK. Le champ Nom apparat sur les
modles FortiGate-800 et plus.
Commentaire Commentaire facultatif. Pour ajouter ou diter un commentaire,
entrez le texte dans le champ commentaire et cliquez sur OK.
Le champ commentaire apparat sur les modles FortiGate-
800 et plus.
Crer Nouveau Permet dajouter un nouveau modle la liste.
Filtre La liste actuelle des modles de fichier.
Action Les fichiers correspondants aux modles de fichier peuvent
tre dfinis sur Bloquer ou Autoriser.
Activer Dcochez la case pour dsactiver le modle de fichier.
Icne Supprimer Permet de retirer le modle de fichier de la liste.
Icne Editer Permet dditer le modle de fichier et son action.
Icne Dplacer Permet de modifier la position du modle de fichier dans la
liste.
Les fichiers sont compars aux modles de fichier activs, et ce dans leur ordre
dapparition dans la liste, de haut en bas. Dans le cas o un fichier ne correspond
pas lun de modles de fichier spcifis, il subit une analyse virale (si active).
Les fichiers passent sils ne sont pas explicitement bloqus.
Laction Autoriser permet de renverser la procdure, en bloquant tous les fichiers

sauf ceux prciss explicitement. Entrez tous les modles de fichier que vous
voulez laisser passer associs lattribut Autoriser. A la fin de la liste, ajoutez le
mta-caractre (*.*) associ laction Autoriser. Les fichiers autoriss passent
travers lanalyseur de virus (si activ) alors que les fichiers ne correspondant
aucun modle de fichier sont bloqus grce au mta-caractre ajout la fin de la
liste.
Sur les modles FortiGate-500 et moins, la liste des modles de fichier est
prconfigure avec les modles par dfaut suivants :
Les fichiers excutables (*.bat, *.com, *.exe)

Les fichiers compresss ou archivs (*.gz, *.rar, *.tar, *.tgz, *.zip)
Les librairies dynamiques (*.dll)
Les applications HTML (*.hta)

01-30001-0203-20060424
Les fichiers Microsoft Office (*.doc, *.ppt, *.xl)
Les fichiers Microsoft Works (*.wps)
Les fichiers Visual Basic (*.vb)
Les fichiers Screen Saver (*.scr)
Les fichiers dinformations de programmes (*.pif)
Les modles de fichier sont activs dans les profils de protection. Pour plus
dinformation, voir Options Antivirus la page 282.
Configuration de la liste de modles de fichier

Les modles de fichier peuvent faire 80 caractres de long. Une liste peut contenir
un maximum de 5000 modles de fichier.
Pour ajouter un nouveau modle de fichier, cliquez sur Crer Nouveau. Pour diter
un modle de fichier existant, cliquez sur licne Editer associe au modle.
Illustration 197 : Nouveau modle de fichier
Pattern Entrez le modle de fichier. Celui-ci peut correspondre au nom

exacte dun fichier ou inclure des mta-caractres.
Action Slectionnez un type de modle de la liste droulante :
Wildcard ou Expression rgulire.
Activer Cochez pour activer le modle.
Mise en Quarantaine
Les botiers FortiGate munis dun disque local peuvent placer en quarantaine des
fichiers bloqus ou infects. Vous pouvez visualiser le nom du fichier et ses statuts
dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des
fichiers spcifiques et dajouter des modles de fichier la liste de soumission
automatique pour un tlchargement automatique vers Fortinet pour analyse.
Les botiers FortiGate non munis dun disque local peuvent placer en quarantaine
des fichiers bloqus ou infects sur un botier FortiAnalyzer. Les fichiers stocks
sur un FortiAnalyzer peuvent tres rcuprs pour visualisation. Pour configurer un
botier FortiAnalyzer, slectionnez Journaux/Alertes > Configuration >
Configuration du Journal.

01-30001-0203-20060424
Visualisation de la liste des Fichiers mis en Quarantaine
La liste des fichiers mis en quarantaine affiche des informations propos de
chaque fichier mis en quarantaine pour cause dinfection par virus ou de blocage
de fichiers. Vous pouvez trier les fichiers par nom de fichier, date, service, tat,
dcompte (DC) ou time to live (TTL). Il est galement possible de filtrer la liste
selon ltat ou le service du fichier en quarantaine.
Pour visualiser la liste des Fichiers mis en quarantaine, slectionnez Antivirus >
Mise en Quarantaine > Fichiers en quarantaine.
Illustration 198 : Liste des fichiers mis en quarantaine
Cette liste comporte les fonctionnalits suivantes et affiche les informations

suivantes pour chaque fichier mis en quarantaine :
Appliquer Permet dappliquer les slections de tri et de filtrage la liste.
Classer par Trie la liste. Choisissez entre Etat, Service, Nom du Fichier,
Date, TTL ou dcompte. Cliquez sur Appliquer pour lancer le
tri.
Filtre Filtre la liste. Choisissez entre Etat (contamins, heuristiques,
filtrs) ou service (IMAP, POP3, SMTP, FTP ou HTTP).
Cliquez sur Appliquer pour lancer le filtrage. Le mode
heuristique est configurable partir de linterface de ligne de
commande seulement. Voir Configuration de lAntivirus
partir de linterface de ligne de commande la page 350.
Nom du Fichier Le nom du fichier en quarantaine. Lorsquun fichier est mis en
quarantaine, tous les espaces sont enlevs du nom du fichier
et une somme de vrification de 32-bit est excut sur le
fichier. La somme de vrification apparat dans le message de
remplacement mais pas dans le fichier en quarantaine. Le
fichier est stock sur le disque dur du FortiGate avec la
convention suivante :
<32bit_CRC>.<processed_filename>
Par exemple, un fichier du nom de Over Size.exe est stock
sous
3fc155d2.oversize.exe
Date La date et lheure de la mise en quarantaine du fichier, sous le
format jj/mm/aaaa hh:mm. Cette valeur indique le moment
auquel le premier fichier a t mis en quarantaine si le
dcompte augmente.
Service Le service partir duquel le fichier a t mis en quarantaine
(HTTP, FTP, IMAP, POP3, SMTP, IM).
Etat La raison pour laquelle le fichier a t mis en quarantaine :
contamins, heuristiques ou filtrs.
Description du statut Informations spcifiques relatives ltat, par exemple File is
infected with W32/Klez.h ou File was stopped by file
block pattern .

01-30001-0203-20060424
DC Duplicate count - Dcompte. Le nombre de duplicata du mme
fichier mis en quarantaine. Un nombre augmentant rapidement
peut tre un signal de la prsence dun virus.
TTL Time to live sous le format hh:mm. Une fois le TTL coul, le
botier FortiGate nomme le fichier EXP sous len-tte TTL.
Dans le cas de duplicata de fichiers, chaque duplicata trouv
rafrachit le TTL.
Statut du tlchargement Un Y indique que le fichier a t tlcharg vers Fortinet pour
analyse. Un N signifie que ce fichier na pas t tlcharg.
Icne Supprimer Permet de retirer un fichier de la liste.
Icne Tlcharger Permet de tlcharger le fichier correspondant dans son
format original.
Icne Soumettre Permet de soumettre un fichier suspect Fortinet pour
analyse.
Remarque : Les duplicatas de fichiers (bass sur la somme de vrification) ne sont pas
stocks, seulement compts. La valeur TTL et le comptage de duplicata sont mis jour
chaque fois quun fichier est trouv.
Visualisation de la liste de soumission automatique

Vous pouvez configurer le botier FortiGate pour tlcharger les fichiers suspects
automatiquement vers Fortinet pour analyse. Vous pouvez galement ajouter des
modles de fichier la liste de soumission automatique en utilisant les mta-
caractres (* ou ?). Les modles de fichier sont appliqus lAutoSubmit, sans
tenir compte des paramtres de blocage de fichier.
Tlchargez les fichiers vers Fortinet selon ltat (filtr ou heuristique) ou

soumettez des fichiers individuels directement partir de la liste des fichiers mis en
quarantaine. Le botier FortiGate utilise des mails crypts pour soumettre les
fichiers un serveur SMTP partir du port 25.
Cette option est disponible uniquement sur les botiers FortiGate munis dun disque
local.
Pour visualiser la liste de soumission automatique, slectionnez Antivirus > Mise

en Quarantaine > Soumission automatique.
Illustration 199 : Echantillon dune liste de soumission automatique
Crer Nouveau Permet dajouter un nouveau modle de fichier la liste de

soumission automatique.
Nom de fichier La liste en cours de modles de fichier qui sera tlcharge
automatiquement. Crez un modle en utilisant les mta-
caractres ? ou *. Cochez la case pour activer tous les
modles de fichier de la liste.
Icne Supprimer Permet de retirer une entre de la liste.

01-30001-0203-20060424
Icne Editer Permet dditer les informations suivantes : Modle de Fichier
et Activer.
Configuration de la liste de soumission automatique

Pour ajouter un modle de fichier une liste de soumission automatique,
slectionnez Antivirus > Mise en Quarantaine > Soumission automatique.
Illustration 200 : Nouveau modle de fichier
Filtre Entrez le modle de fichier ou le nom de fichier tlcharger

automatiquement vers Fortinet.
Activer Slectionnez pour activer le modle de fichier.
Remarque : Pour activer un tlchargement automatique des modles de fichier configurs,

slectionnez Antivirus > Mise en Quarantaine > Config et cochez Activer le
tlchargement automatique et slectionnez Utiliser les filtres de nom.
Configuration des options de mise en quarantaine

Slectionnez Antivirus > Mise en Quarantaine > Config pour dfinir des options
de configuration de mise en quarantaine, notamment le choix de mettre en
quarantaine ou pas les fichiers contamins ou filtrs et partir de quel service.
Configurez le TTL et les valeurs de taille de fichiers et activez les paramtres
AutoSubmit.
Illustration 201 : Configuration de la mise en Quarantaine (FortiGate avec disque

local)

01-30001-0203-20060424
Illustration 202 : Configuration de la mise en Quarantaine (FortiAnalyzer dun
FortiGate avec disque local)
Illustration 203 : Configuration de la mise en Quarantaine (FortiAnalyzer dun

FortiGate sans disque local)
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout
dans lavenir.
La configuration de la mise en quarantaine offre les options suivantes :
Options Mise en quarantaine des fichiers contamins: Slectionnez les

protocoles partir desquels mettre en quarantaine les fichiers
contamins identifis par lanalyseur antivirus.
Mise en quarantaine des fichiers suspects: Slectionnez les
suspects identifis par heuristique.
Mise en quarantaine des fichiers bloqus: Slectionnez les
bloqus identifis par un blocage de fichiers antivirus. Cette
option nest pas disponible pour les protocoles HTTP, FTP et
IM parce quun nom de fichier est bloqu avant
tlchargement et ne peut pas tre mis en quarantaine.
ge limite Le temps limite en heures pendant lequel les fichiers sont

maintenus en quarantaine. Cette limite est utilise pour
formuler la valeur dans le colonne TTL de la liste des fichiers
mis en quarantaine. Lorsque la limite est atteinte, la colonne
TTL affiche EXP. et le fichier est supprim (bien quun
enregistrement est maintenu dans la liste des fichiers mis en

01-30001-0203-20060424
quarantaine). La valeur 0 (zro) permet un stockage indfini,
dpendant de lespace libre sur le disque.
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une
quarantaine taille maximum trop haute pourrait impacter la performance.
Espace disque faible Slectionnez laction prendre lorsque le disque local est
complet : Ecraser les plus vieux fichiers ou Ne pas mettre en
quarantaine les nouveaux fichiers.
FortiAnalyzer Slectionnez pour activer le stockage des fichiers bloqus ou
en quarantaine sur un botier FortiAnalyzer. Voir
Journaux/Alertes la page 409 pour plus dinformations
sur la configuration dun botier FortiAnalyzer.
Activer le tlchargement Active la fonctionnalit de soumission automatique.
automatique Slectionnez une ou les deux options ci-dessous :
Utiliser les filtres de nom : Active le tlchargement
automatique des fichiers correspondants aux modles de
fichier dans la liste de soumission automatique.
Utiliser le statut des fichiers : Active le tlchargement
automatique de fichiers en quarantaine selon leur statut.
Slectionnez soit Heuristique, soit Nom filtr.
Heuristique est configurable partir de linterface de ligne de
commande uniquement. Voir Configuration de lAntivirus
partir de linterface de ligne de commande la page 350.
Appliquer Enregistre la configuration.
Configuration
La page Config affiche une liste des virus actuels bloqus par le botier FortiGate. Il
est galement possible de configurer des limites de tailles de fichiers et de mails,
et de bloquer des graywares.
Visualisation de la liste des virus

La liste des virus affiche une liste alphabtique FortiGuard des dfinitions actuelles
des virus (appeles galement dfinitions AV) installe sur le botier FortiGate.
Celui-ci utilise les dfinitions de virus pour dtecter ou enlever les virus, vers,
troyens et autres menaces lorsquils passent travers le botier FortiGate.
Visualiser la liste complte ou des parties de cette liste en slectionnant un
intervalle numrique ou alphabtique.
Pour visualiser la liste des virus, slectionnez Antivirus > Config.
La liste FortiGuard des dfinitions de virus est mise jour chaque rception
dune nouvelle version FortiGuard des dfinitions AV par le botier FortiGate.
LEncyclopdie des Virus du Centre FortiGuard comprend des descriptions

dtailles de virus, vers, troyens et autres menaces pouvant tre dtects et retirs
par votre botier FortiGate grce aux informations des dfinitions des virus
FortiGuard.

01-30001-0203-20060424
Illustration 204 : Liste (partielle) des virus
Les dfinitions AV FortiGuard sont gnralement mises jour automatiquement

partir du rseau de distribution FortiGuard (FDN FortiGuard Distribution
Network). Slectionnez Systme > Maintenance > FortiGuard Center pour
configurer automatiquement les mises jour automatiques des dfinitions AV
partir du FDN.
Vous pouvez galement mettre jour manuellement les dfinitions AV partir du

tableau de bord (slectionnez Systme > Statut).
Visualisation de la liste des Graywares

Les programmes Grayware sont des logiciels commerciaux non dsirs qui
sinstallent sur les ordinateurs, en gnral sans lautorisation ni connaissance de
lutilisateur. Ces programmes sont considrs comme dsagrments pouvant
entraner des problmes de performance, voir tre utiliss des fins malveillantes.
Le botier FortiGate procde une analyse en vue des programmes excutables

grayware pour chaque catgorie active. La liste et les contenus des catgories
sont ajouts ou mis jour chaque rception de mise jour de lantivirus par le
botier FortiGate. De nouvelles catgories peuvent tre cres tout moment et
seront tlcharges lors de la mise jour antivirus. Par dfaut, toutes les nouvelles
catgories sont dsactives. Loption de recherche de Grayware est active dans
un profil de protection lorsque Virus Scan est activ.
Les catgories Grayware sont composes de fichiers excutables connus. A

chaque rception des mises jour des dfinitions antivirus et IPS par le botier
FortiGate, les catgories grayware sont mises jour.
Pour visualiser la liste Grayware, slectionnez Antivirus > Config > Grayware.

01-30001-0203-20060424
Illustration 205 : Echantillons des options grayware
Lactivation dune catgorie grayware entrane le blocage de tous les fichiers

rpertoris dans cette catgorie. Les catgories peuvent tre modifies ou
compltes lors des mises jour. Choisissez parmi les catgories suivantes, celles
que vous voulez bloquer :
Adware Blocage des programmes adware. Les adwares sont gnralement

ancrs dans des logiciels gratuits qui entranent lapparition de
publicits chaque ouverture ou utilisation du programme.
BHO Blocage des Browser Helper Object. Les BHO sont des fichiers DDL
souvent installs dans des logiciels de manire ce que ce logiciel
puisse contrler le comportement de lInternet Explorer 4.x et plus.
Certains BHO sont bienveillants, mais il y a toujours un risque potentiel
de rassembler des informations sur les habitudes de navigation.
Dial Blocage des programmes dialer. Les dialers sont des petits
programmes qui peuvent se crer une nouvelle connexion Internet
des numros surtaxs ou longues distances via les modems dautres
PC.
Download Blocage des programmes de tlchargement. Les tlchargements ont
gnralement lieu lors du dmarrage Windows et sont destins
installer des logiciels, en particulier des publicits.
Game Blocage de games. Les games sont en gnral des blagues ou jeux
que vous voudrez probablement interdire aux utilisateurs du rseau.
HackerTool Blocage des outils des attaquants.
Hijacker Blocage des programmes des substitueurs de navigateur. Les
substitueurs de navigateur entranent des modifications des paramtres
du navigateur Internet, notamment dans les favoris, signets, page
daccueil et options des menus.
Joke Blocage des programmes joke. Ces programmes peuvent comprendre
des curseurs clients qui apparaissent pour affecter le systme.
Keylog Blocage des programmes Enregistreurs de frappe. Ces programmes
enregistrent la frappe des touches sur le clavier notamment les mots de
passe, les messages instantans et les discussions sur forum.
Misc Blocage de nimporte quel programme compris dans la catgorie
grayware miscellaneous .
NMT Blocage des Network Management Tools. Ces outils de gestion des
rseaux peuvent tre installs et utiliss avec malveillance pour
modifier les paramtres et perturber la scurit du rseau.

01-30001-0203-20060424
P2P Blocage des programmes de communication peer to peer. P2P, bien
qutant un protocole lgitime, est souvent synonyme de programme de
partage de fichiers utiliss pour changer de la musique, des films et
autres fichiers, souvent en toute illgalit.
Plugin Blocage des modules dextension. Ces modules dextension viennent
se greffer un logiciel principal afin de lui apporter de nouvelles
fonctionnalits. Ils sont souvent sans risque. Cependant, certaines
barres doutils ou de modules dextensions peuvent tenter de contrler
ou enregistrer et envoyer les prfrences de navigation de lutilisateur.
RAT Blocage de Remote Administration Tools. Ces outils de gestion
distance permettent des utilisateurs extrieurs de modifier et contrler
distance un ordinateur du rseau.
Spy Blocage des logiciels espions. Les logiciels espions tels que les
adware, sont souvent compris dans les logiciels gratuits. Ils permettent
de faire des rapports des activits de lutilisateur telles que les
habitudes de navigation Internet et de les envoyer un site web de
publicit qui les analysera.
Toolbar Blocage des barres doutils clients. Bien que certaines barres doutils
sont sans risque, les dveloppeurs de logiciels espions utilisent des
barres doutils pour contrler les habitudes de navigation et envoient
ces informations au dveloppeur.
Configuration de lAntivirus partir de linterface de ligne de

commande
Cette section parcourt les commandes CLI offrant des fonctionnalits
supplmentaires que celles de linterface dadministration web. Pour des
descriptions et exemples complets sur lajout de fonctionnalits partir de
linterface de ligne de commande, reportez-vous au FortiGate CLI Reference.
system global optimize

Cette fonctionnalit configure les paramtres CPU pour assurer un fonctionnement
efficace de lanalyseur antivirus ou de passage direct du trafic travers le botier
FortiGate. Lorsque cette fonction est dfinie sur antivirus, le botier FortiGate utilise
un procd de traitement multiple symtrique pour tendre les tches antivirus
divers CPU, rendant ainsi lanalyse plus rapide.
Cette fonction est disponible sur les modles FortiGate-1000 et plus.
Pour plus dinformations, voir larticle Antivirus failopen and optimization sur le site
de la Base de Connaissance Fortinet.
config antivirus heuristic

Lengin antivirus heuristique FortiGate excute des tests sur les fichiers pour
dtecter des comportements susceptibles dtre effectus par des virus ou des
indicateurs de virus connus. Une analyse heuristique est lance en dernier, aprs
que le filtrage des fichiers et lanalyse antivirus naient donn aucun rsultat.
Lanalyseur heuristique peut donc trouver de nouveaux virus mais risquent
galement de produire des rsultats errons.
Lengin heuristique est activ par dfaut pour laisser passer les fichiers suspects
vers le destinataire et envoyer une copie en quarantaine. Une fois configure dans
linterface de ligne de commande, lanalyse heuristique est active dans un profil
de protection lorsque le Virus Scan est activ.

01-30001-0203-20060424
Utilisez la commande heuristique pour modifier le mode danalyse heuristique.
config antivirus quarantine

La commande quarantaine donne galement lieu une configuration des
paramtres lis lanalyse heuristique. Cette fonction est disponible sur les
modles FortiGate-200 et plus.
config antivirus service <service_name>

Utilisez cette commande pour configurer le traitement de lanalyse antivirus de gros
fichiers dans le trafic HTTP, FTP, IM, POP3, IMAP ou SMTP, ainsi que les ports
que le botier FortiGate analyse pour le service.

01-30001-0203-20060424
Protection contre les Intrusions
Le systme de Prvention dIntrusion FortiGuard (IPS - Intrusion Prevention
System) combine la dtection et la prvention des intrusions danomalies et de
signatures, et ce avec la garantie dune haute fiabilit. Le systme IPS offre un
accs de configuration des options IPS actives lors de la cration des profils de
protection pare-feu.

A propos de la protection contre les intrusions
Signatures prdfinies
Signatures personnalises
Dcodeurs de protocoles
Anomalies
Configuration de lIPS partir de linterface de ligne de commande
A propos de la protection contre les intrusions

Le botier FortiGate peut enregistrer le trafic suspect dans des journaux, envoyer
des mails dalerte aux administrateurs et journaliser, passer, abandonner,
rinitialiser ou supprimer les paquets ou sessions suspects. Il est important
dajuster des seuils danomalies IPS pour un fonctionnement optimal du trafic sur
les rseaux protgs. La cration de signatures personnalises permet de
personnaliser le systme IPS FortiGate pour des environnements rseaux divers.
LIPS FortiGate correspond au trafic rseau contre les modles contenus dans les
signatures IPS. La fiabilit de ces signatures protge votre rseau des attaques
connues. Linfrastructure du FortiGuard de Fortinet assure une identification rapide
des nouvelles menaces et le dveloppement de nouvelles signatures IPS.
Les services FortiGuard forment des ressources prcieuses et comprennent des

mises jour automatiques des engins et dfinitions antivirus et IPS (attaques)
grce au Rseau de Distribution FortiGuard (FDN FortiGuard Distribution
Network). Le Centre FortiGuard offre galement une encyclopdie de virus et
attaques et publie le bulletin de FortiGuard. Visitez le site de la Base de
Connaissance Fortinet pour plus de dtails et un lien vers le Centre FortiGuard.
La connexion entre le botier FortiGate et FortiGuard est configure dans Systme

> Maintenance > FortiGuard Center. Voir Configuration du botier FortiGate
pour les services FDN et FortiGuard la page 186 pour plus dinformations.
Vous pouvez configurer le botier FortiGate pour tlcharger automatiquement les

fichiers de dfinitions des attaques mis jour qui contiennent les signatures les
plus rcentes. Vous pouvez galement les tlcharger manuellement. Une
alternative est de configurer le botier FortiGate de manire ce quil autorise les
mises jour forces des fichiers de dfinitions des attaques ds que ceux-ci sont
disponibles sur le FDN.

01-30001-0203-20060424
Lorsque le botier FortiGate installe un fichier de dfinition des attaques mis jour,
il vrifie que la configuration par dfaut de chaque signature a t modifie. Si cest
le cas, ces modifications seront maintenues.
Vous pouvez crer des signatures IPS personnalises que le botier FortiGate
utilisera en plus de sa vaste liste de signatures IPS prdfinies. A chaque dtection
ou empchement dune attaque, un message dattaque est gnr. Vous pouvez
configurer le botier FortiGate pour quil ajoute le message au Journal des Attaques
et envoie un mail dalerte aux administrateurs. Dfinissez alors quel intervalle le
botier FortiGate doit envoyer un mail dalerte. Vous pouvez rduire le nombre de
messages journaliss et dalertes en dsactivant les signatures pour les attaques
auxquelles le systme nest pas vulnrable, par exemple, les attaques web en
labsence de fonctionnement du serveur web.
La journalisation de paquets fournit aux administrateurs la possibilit danalyser les

paquets pour une dtection de faux positifs.
Pour plus dinformations sur la journalisation et les mails dalertes FortiGate, voir
Journaux/Alertes la page 409.
Configurez lIPS et activez ou dsactivez ensuite toutes les signatures ou toutes

les anomalies dans les profils de protection pare-feu individuels.
fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits,
Le tableau 35 dcrit les paramtres IPS et comment y accder pour les configurer.
Tableau 35 : IPS des profils de protection et configuration IPS

Options IPS des profils de protection Paramtres IPS
Signature IPS Intrusion Protection > Signature
Activer ou dsactiver les signatures IPS par Visualiser et configurer une liste de
niveau de svrit. signatures prdfinies.
Crer des signatures personnalises
bases sur les ncessits du rseau.
Configurer des dcodeurs de protocoles.
Anomalie IPS Intrusion Protection > Anomaly
Activer ou dsactiver les anomalies IPS par Visualiser et configurer une liste
niveau de svrit. danomalies prdfinies.
Journaux des Intrusions Intrusion Protection > Anomaly > [individual
anomaly]
Activer la journalisation de toutes les Activer la journalisation pour chaque
signatures et intrusions danomalies. signature ou groupe de signatures.
Activer la journalisation de paquets pour
chaque signature ou anomalie.
Pour accder aux options IPS des profils de protection, slectionnez Pare-feu >
Profil de protection, cliquez sur Editer ou Crer Nouveau et slectionnez IPS.

01-30001-0203-20060424
Signatures prdfinies
Les signatures prdfinies sont arranges en groupes bass sur le type des
attaques. Par dfaut, toutes les signatures ne sont pas actives mais la
journalisation de toutes les signatures est active. Veillez ce que le paramtrage
par dfaut rpondent aux exigences du trafic du rseau.
La dsactivation de signatures inutiles peut amliorer la performance du systme

et rduire le nombre de messages journaliss et les mails dalertes gnrs par
lIPS. Par exemple, lIPS dtecte un grand nombre dattaques du serveur web. Si
laccs un serveur web derrire le botier FortiGate nest pas prvu, dsactivez
toutes les signatures des attaques du serveur web.
Les groupes de signatures comprennent des paramtres configurables dpendant

du type de signature dans le groupe de signatures. Les paramtres configurs
pour un groupe de signature sappliquent toutes les signatures de ce groupe.
Visualisation de la liste de signatures prdfinies

Vous pouvez activer ou dsactiver et configurer les paramtres pour les signatures
prdfinies individuelles de la liste. Cette liste peut tre visualise par niveau de
svrit de la signature.
Pour visualiser la liste des signatures prdfinies, slectionnez Intrusion

Protection > Signature > Predefined.
Illustration 206 : Liste des signatures prdfinies
Voir les signatures Slectionnez des filtres et cliquez ensuite sur Go

prdfinies avec pour visualiser les signatures rpondant aux critres
la svrit : des filtres. Les critres de tri peuvent tre <=, =, >=, Tout,
Information, Low, Medium, High ou Critical.
Nom des signatures Le nom du groupe de signatures.
Activer Ltat des signatures du groupe. Un cercle vert indique que
chaque signature dans le groupe est active. Un cercle gris

01-30001-0203-20060424
indique quaucune signature dans le groupe nest active. Un
cercle mi-gris, mi-vert indique que certaines signatures sont
actives et dautres pas.
Journaliser Ltat de la journalisation pour les signatures du groupe. Par
dfaut, la journalisation est active pour toutes les signatures.
Lorsque la journalisation est active, laction apparat dans le
champ Etat (Status ou Statut) du message journalis gnr
par la signature.
Action Laction dfinie pour les signatures individuelles. Cliquez sur le
triangle bleu pour faire apparatre les membres du groupe de
signatures. Laction peut tre Laisser passer, Rejeter,
Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur,
Rejeter tous les paquets de la session, Laisser passer la
session, ou Supprimer la session. En cas dactivation de la
journalisation, laction apparat dans le champ Etat du
message journalis gnr par la signature. Voir le Tableau 36
pour une description de ces actions.
Svrit Le niveau de svrit dfini pour chacune de ces signatures.
Ce niveau peut tre Information, Low, Medium, High ou
Critical. Le niveau de svrit est dfini pour les signatures
individuelles.
Rvision Le nombre de rvision pour les signatures individuelles. Pour
afficher les membres du groupe de signatures, cliquez sur le
triangle bleu.
Icne Configurer Configurez les paramtres pour les signatures individuelles ou
un groupe entier. Les modifications apportes aux paramtres
dun groupe sappliquent tous les membres de ce groupe. De
cette manire, cela permet dactiver ou de dsactiver tous les
membres dun groupe en une seule opration.
Icne Rinitialiser (Reset) Cette icne apparat uniquement lorsque le paramtrage par
dfaut dune signature ou dun groupe a t modifi. Cliquez
sur la flche bleue pour drouler le groupe de signatures pour
visualiser les signatures qui ont t modifies. Slectionner
cette icne pour une signature rtablit son paramtrage par
dfaut. Slectionner cette icne pour un groupe rtablit le
paramtrage par dfaut du groupe et de toutes les signatures
membres du groupe.

01-30001-0203-20060424
Le tableau 36 dcrit chaque action possible pour les signatures prdfinies,
personnalises ou les anomalies.
Tableau 36 : Actions slectionner pour chaque signature prdfinie

Action Description
Laisser passer Lorsquun paquet active une signature, le botier
FortiGate gnre une alerte et autorise le paquet
travers le pare-feu sans action supplmentaire.
Si la journalisation est dsactive et laction tablie
sur Laisser passer, la signature est effectivement
dsactive.
Rejeter Lorsquun paquet active une signature, le botier
FortiGate gnre une alerte et rejette le paquet. La
session pare-feu est intouche. Fortinet
recommande lutilisation dune autre action que
Rejeter pour les attaques bases sur des
connexions TCP.
Rinitialiser Lorsquun paquet active une signature, le botier
FortiGate gnre une alerte et rejette le paquet. Le
botier FortiGate envoie une rinitialisation au client
et au serveur et rejette la session pare-feu de la
table de session pare-feu.
Ceci ne sapplique quaux connexions TCP. Les
attaques non TCP dfinies avec ce paramtre
verront leur session supprime. Dans le cas o
laction Rinitialiser est enclenche avant que la
connexion TCP soit entirement tablie, la session
est supprime.
Rinitialiser ct client Lorsquun paquet active une signature, le botier
botier FortiGate envoie une rinitialisation au client
et rejette la session pare-feu de la table de session
pare-feu.
laction Rinitialiser ct client est enclenche avant
que la connexion TCP soit entirement tablie, la
session est supprime.
Rinitialiser ct serveur Lorsquun paquet active une signature, le botier
botier FortiGate envoie une rinitialisation au
serveur et rejette la session pare-feu de la table de
session pare-feu.
laction Rinitialiser ct serveur est enclenche
avant que la connexion TCP soit entirement
tablie, la session est supprime.
Rejeter tous les paquets Lorsquun paquet active une signature, le botier
de la session FortiGate gnre une alerte et rejette le paquet. Les
paquets suivants de cette session pare-feu sont
galement rejets.
Laisser passer la session Lorsquun paquet active une signature, le botier
FortiGate gnre une alerte et autorise le paquet
travers le pare-feu. Les paquets suivants de cette
session contournent lIPS.
Supprimer la session Lorsquun paquet active une signature, le botier
FortiGate gnre une alerte et la session laquelle
appartient ce paquet est immdiatement retire de

01-30001-0203-20060424
la table de session. Aucun rinitialisation nest
envoye.
Pour TCP, tous les paquets suivants sont rejets.
Pour UDP, tous les paquets suivants peuvent
enclencher une nouvelle session cre par le pare-
feu.
Configuration de groupes de signatures prdfinies

Pour modifier rapidement et facilement les attributs de toutes les signatures dun
groupe, cliquez sur licne Configurer du groupe de signatures associ. Seuls les
attributs modifis dans une fentre de configuration dun groupe sont appliques
aux signatures de ce groupe.
Illustration 207 : Configuration de groupes de signatures IPS prdfinies
Signature Le groupe de signatures auquel les changements seront

appliqus.
Activer Active toutes les signatures du groupe.
Journaliser Active la journalisation pour toutes les signatures du groupe.
Action Slectionnez une action de la liste appliquer toutes les
signatures du groupe. Les diffrentes action sont : Laisser
passer, Rejeter, Rinitialiser, Rinitialiser ct client,
Rinitialiser ct serveur, Rejeter tous les paquets de la
session, Laisser passer la session et Supprimer la session.
Voir le tableau 36 pour une description des actions.
Packet Log Active la journalisation des paquets.
Severity Slectionnez un niveau de svrit de la liste droulante. Les
diffrents niveaux de svrit sont : Information, Low, Medium,
High, Critical. Le niveau de svrit est dfini pour les
signatures individuelles.
Configuration des signatures prdfinies

Pour chaque signature, configurez laction que lIPS FortiGate doit prendre lors de
la dtection dune attaque. LIPS FortiGate peut laisser passer, rejeter, rinitialiser
ou supprimer les paquets ou les sessions. Activez ou dsactivez la journalisation
de paquets. Slectionnez un niveau de svrit appliquer la signature.
Pour configurer des groupes de signatures, slectionnez Intrusion Protection >

Signature > Predefined.

01-30001-0203-20060424
Illustration 208 : Configuration des signatures IPS prdfinies.
Action Slectionnez une des actions de la liste : Laisser passer,

Rejeter, Rinitialiser, Rinitialiser ct client, Rinitialiser ct
serveur, Rejeter tous les paquets de la session, Laisser passer
la session et Supprimer la session. Voir le tableau 36 pour une
description des actions.
Svrit Slectionnez un niveau de svrit de la liste droulante. Les
Signatures personnalises
Les signatures personnalise offrent le pouvoir et la flexibilit de personnaliser
lIPS FortiGate pour des environnements rseaux divers. Les signatures
prdfinies FortiGate couvrent les attaques les plus courantes. Si une application
inhabituelle ou spcialise ou encore une plateforme peu commune est utilise,
vous pouvez ajouter des signatures personnalises en fonction des alertes de
scurit publies par les vendeurs de lapplication ou de la plateforme.
Visualisation de la liste des signatures personnalises

Pour visualiser la liste des signatures personnalises, slectionnez Intrusion
Protection > Signature > Custom.
Illustration 209 : Liste des signatures personnalises
Voir les signatures Slectionnez les filtres et cliquez ensuite sur Go pour
personnalises avec la svrit visualiser les signatures personnalises qui
correspondent ces critres. Les diffrents critres sont
<+, =, >= pour Tout, Information, Low, Medium, High ou
Critical.
Activer les signatures Activez ou dsactivez le groupe de signatures

personnalises personnalises
Crer nouveau Permet de crer un nouvelle signature personnalise.
Icne Supprimer toutes les Supprime toutes les signatures personnalises du
groupe.

01-30001-0203-20060424
signatures personnalises
Icne Rinitialiser aux valeurs Rinitialise les paramtres par dfaut toutes les
par dfaut ? signatures personnalises.
Nom des signatures Le nom des signatures.
Activer Ltat de chaque signature personnalise. Une case
coche signifie que la signature est active.
Journaliser Le statut de la journalisation pour chaque signature
personnalise. Une case coche signifie que la
journalisation est active pour cette signature.
Action Laction tablie pour chacune des signatures
personnalises. Les diffrentes actions sont : Laisser
session, Laisser passer la session et Supprimer la
session. Si la journalisation est active, laction apparat
dans le champ Etat du message journalis gnr par
la signature. Voir le tableau 36 pour une description des
actions.
Svrit Le niveau de svrit pour chaque signature
personnalise. Les diffrents niveaux de svrit sont :
Information, Low, Medium, High, Critical. Le niveau de
svrit est dfini pour les signatures individuelles.
Icne Supprimer Permet de supprimer une signature personnalise.
Icne Editer Permet dditer les informations suivantes : Nom,
Signature, Action, Packet Log et Svrit.
Cration de signatures personnalises

Lutilisation de signatures personnalises sert bloquer ou permettre des trafics
spcifiques. Par exemple, pour bloquer le trafic comprenant un contenu
pornographique, ajoutez des signatures personnalises similaires au modle
suivant :
F-SBID (--protocol tcp ; --flow established ; --content nude cheerleader ; --
no_case)
Lors de lajout de la signature, dfinissez laction sur Rejeter tous les paquets de la
session.
Pour plus dinformations sur la syntaxe des signatures personnalises, voir le

FortiGate Intrusion Protection System (IPS) Guide.
Remarque : Les signatures personnalises consistent en une fonction avance. Ce

document prsume que lutilisateur a lexprience ncessaire pour crer des signatures de
dtection dintrusions.
Pour crer une signature personnalise, slectionnez Intrusion Protection >

Signature > Custom.

01-30001-0203-20060424
Illustration 210 : Configurer une signature personnalise
Nom des signatures Le nom de la signature personnalise.

Signature Entrez la signature personnalise. Pour plus dinformations sur
la syntaxe des signatures personnalises, voir le FortiGate
Intrusion Protection System (IPS) Guide.
Action Slectionnez une action de la liste : Laisser passer, Rejeter,
Rinitialiser, Rinitialiser ct client, Rinitialiser ct serveur,
Rejeter tous les paquets de la session, Laisser passer la
session et Supprimer la session. Voir le tableau 36 pour une
Svrit Slectionnez un niveau de svrit de la liste droulante. Les
Dcodeurs de protocoles
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau qui
tente dexploiter des failles connues.
Activez ou dsactivez la journalisation pour chaque anomalie de protocole, et

configurez laction IPS prendre en cas de dtection danomalie. Utilisez les
commandes CLI pour configurer le contrle de la session en fonction des adresses
rseaux source et de destination.
La liste de dtection des anomalies des protocoles peut uniquement tre mise
jour lors de la mise jour de limage logicielle botier FortiGate.

01-30001-0203-20060424
Visualisation de la liste de dcodeurs de protocoles
Pour visualiser la liste de dcodeurs, slectionnez Intrusion Protection >
Signature > Protocol Decoder.
Illustration 211 : Un chantillon de la liste des dcodeurs de protocoles
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas tre dsactivs. Les
fonctions IM et P2P ont besoin de ces dcodeurs pour fonctionner. Cependant, le dcodeur
individuel peut tre dsactiv.
Voir les protocol decoders Slectionnez les filtres et cliquez ensuite sur OK pour
avec la svrit visualiser les seuls dcodeurs qui correspondent aux critres
des filtres. Les diffrents filtres sont <=, =, >= pour Tous,
Information, Low, Medium, High ou Critical.
Nom Le nom du dcodeur de protocole.
Activer Ltat du dcodeur de protocole. Une case coche signifie que
la signature du dcodeur est active.
Journaliser Le statut de la journalisation pour chaque dcodeur de
protocole. Une case coche signifie que la journalisation est
active pour le dcodeur.
Les groupes de dcodeurs utilisent un indicateur graphique
pour le statut de la signature dans le groupe. Un cercle vert
signifie que toutes les signatures du groupe sont actives. Un
cercle gris indique quaucune signature du groupe na t
active. Un cercle mi-vert, mi-gris signifie que certaines
signatures sont actives et dautres pas.
Action Laction dfinie pour chaque dcodeur de protocoles : Laisser
session, Laisser passer la session et Supprimer la session. Si
la journalisation est active, laction apparat dans le champ
statut du message journalis gnr par le dcodeur. Voir le
tableau 36 pour une description des actions.
Svrit Le niveau de svrit pour chaque anomalie de protocole. Les
dcodeurs individuels.
Icne Configurer Permet dditer les attributs du groupe de dcodeurs de
protocoles.
Icne Rinitialiser Cette icne saffiche uniquement lorsquun dcodeur a t
modifi. Utilisez cette icne pour restaurer les valeurs initiales
des paramtres recommands.

01-30001-0203-20060424
Configuration des groupes de dcodeurs de protocoles IPS
De nombreux groupes danomalies de protocole ont des proprits spares des
signatures du groupe. Slectionnez licne Configurer du groupe de dcodeurs de
protocoles afin dditer les proprits de ce groupe. Ldition de la configuration du
groupe ne modifiera pas les paramtres des anomalies individuelles du groupe.
Chaque groupe danomalies de protocole possde ses proprits spcifiques.

Modifier lune de ces proprits impacte le fonctionnement du groupe. La manire
dont les changements affectent le groupe peuvent varier pour chaque groupe.
Illustration 212 : Editer un Groupe dAnomalies de Protocole : HTTP
Configuration des dcodeurs de protocoles IPS

Chaque anomalie de trafic IPS est prdfinie par une configuration recommande.
Vous pouvez utiliser ces configurations recommandes ou les modifier pour
rpondre aux besoins de votre rseau.
Pour configurer les anomalies de trafic IPS, slectionnez Intrusion Protection >
Signature > Protocol Decoder.
Illustration 213 : Editer une anomalie de protocole IPS : tcp_reassembler, stealth

activity
Action Slectionnez une action de la liste droulante : Laisser passer,

la session et Supprimer la session. Voir le tableau 36 pour une
Packet Log Activer la journalisation des paquets.
Svrit Slectionnez un niveau de svrit de la liste droulante :
Information, Low, Medium, High, Critical.
Anomalies
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau ne
correspondant pas aux modles de trafic connu ou prdfini.
LIPS FortiGate identifie quatre types danomalies statistiques pour les protocoles
TCP, UDP et ICMP.
Flooding Si le nombre de sessions ciblant une seule destination en une

seconde dpasse un seuil spcifi, la destination est
submerge (flooding).

01-30001-0203-20060424
Scan Si le nombre de sessions provenant dune seule source en une
seconde dpasse un seuil spcifi, la source est analyse.
Limite de la session Si le nombre de sessions en cours partir dune
de la source seule source dpasse un seuil spcifi, la limite de la session
de la source est atteinte.
Limite de la session de Si le nombre de sessions en cours vers une seule

la destination destination dpasse un seuil spcifi, la limite de la session de
la destination est atteinte.
Il vous faut activer ou dsactiver la journalisation pour chaque anomalie de trafic,

et configurer laction IPS enclencher en rponse la dtection dune anomalie.
Dans de nombreux cas, les seuils utiliss par lanomalie pour dtecter des
modles de trafic qui pourraient reprsenter une attaque sont configurables.
Remarque : Il est important de connatre le trafic rseau normal et attendu avant de modifier
les seuils danomalie par dfaut. Etablir un seuil trop bas pourrait causer des faux positifs, et
linverse, tablir un seuil trop lev pourrait laisser passer des attaques.
Pour configurer un contrle de la session bas sur les adresses rseau source et
de destination, utilisez les commandes CLI.
La mise jour de la liste de dtection des anomalies de trafic a lieu lors de la mise
jour de limage logicielle sur le botier FortiGate.
Visualisation de la liste des anomalies de trafic

Pour visualiser la liste des anomalies, slectionnez Intrusion Protection >
Anomaly.
Illustration 214 : Un chantillon de la liste des anomalies de trafic
Voir les anomalies de Slectionnez les filtres et cliquez ensuite sur Go pour afficher
trafic avec la svrit les anomalies qui correspondent aux critres des filtres : Les
critres sont <=, =, >= pour Tous, Information, Low, Medium,
High, Critical.
Nom Le nom de lanomalie de trafic.
Activer Ltat de lanomalie de trafic. Une case coche signifie que la
signature de lanomalie est active.
Journaliser Ltat de la journalisation pour chaque anomalie de trafic. Une
case coche signifie que la journalisation de lanomalie est
active.

01-30001-0203-20060424
Action Laction dfinie pour chaque anomalie de trafic : Laisser
session, Laisser passer la session et Supprimer la session. Si
la journalisation est active, laction apparat dans le champ
statut du message journalis gnr par lAnomalie. Voir le
tableau 36 pour une description des actions.
Svrit Le niveau de svrit dfini pour chaque anomalie de trafic. Il
existe diffrents niveaux de svrit : Information, Low,
Medium, High, Critical. Le niveau de svrit est dfini pour
les anomalies individuelles.
Icne Editer Permet dditer les informations suivantes : Action, Svrit et
Seuil.
Icne Rinitialiser Cette icne saffiche uniquement si lanomalie a t modifie.
Elle permet de restaurer les valeurs par dfaut des paramtres
modifis.
Configuration des anomalies de trafic IPS

Chaque anomalie de trafic IPS est prdfinie par une configuration recommande.
Vous pouvez utiliser les configurations recommandes ou les modifier pour
rpondre aux besoins de votre rseau.
Pour configurer les anomalies de trafic IPS, slectionnez Intrusion Protection >
Anomaly.
Illustration 215 : Editer lAnomalie de Trafic IPS : icmp_dst_session
Action Slectionnez une action de la liste droulante : Laisser passer,

la session et Supprimer la session. Voir le tableau 36 pour
une description des actions.
Svrit Slectionnez un niveau de svrit de la liste droulante :
Information, Low, Medium, High, Critical.
Seuil Dans le cas des anomalies IPS comprenant le paramtre seuil,
le trafic dpassant le seuil spcifi enclenche lanomalie.

01-30001-0203-20060424
Configuration de lIPS partir de linterface de ligne de
commande
Cette section reprend les commandes CLI qui largissent lventail des
fonctionnalits disponibles partir de linterface dadministration web. Pour plus de
descriptions et exemples complets sur lactivation des fonctionnalits
supplmentaires partir de linterface de ligne de commande, voir le FortiGate CLI
Reference.
system autoupdate ips

Lorsque lIPS est mis jour, les paramtres modifis par lutilisateur sont
conservs. Dans le cas o les paramtres recommands des signatures IPS nont
pas t modifis, et que les paramtres de mise jour sont diffrents, les
paramtres de la signature seront dfinis en fonction de la commande accept-
recommended-settings.
ips global fail-open

Si, pour quelque raison que ce soit, lIPS devait arrter de fonctionner, par dfaut il
laisse passer le trafic. Ce qui signifie que le trafic rseau crucial ne sera pas
bloqu, et que les pare-feu continueront doprer jusqu ce que le problme soit
rsolu.
ips global ip_protocol

Sauve les ressources du systme en restreignant le traitement IPS aux seuls
services autoriss par les rgles pare-feu.
ips global socket-size

Dfinit la taille de la rserve IPS.
(config ips anomaly) config limit

Accdez la sous-commande config limit partir de la commande config
ips anomaly <name_str>. Utilisez cette commande pour un contrle de la
session bas sur les adresses rseau source et de destination. Cette commande
est disponible pour
tcp_src_session, tcp_dst_session, icmp_src_session,
icmp_dst_session, udp_src_session, udp_dst_session.

01-30001-0203-20060424
Filtrage Web
Cette section dcrit comment configurer les options du Filtrage Web. Les fonctions
du filtrage web doivent tre actives dans le profil de protection actif pour les
paramtres correspondants.

Filtrage Web
Filtrage par mots-cls
Filtre URL
Filtrage Web FortiGuard
Filtrage Web
Le filtrage web comprend des modules varis qui excutent des tches spares.
Le botier FortiGate effectue le filtrage web dans lordre dapparition des filtres dans
le menu de linterface dadministration web : filtrage par mots-cls, filtre URL et
filtrage par catgorie (FortiGuard-Web). Le filtrage des scripts est effectu en
dernier.
Le Filtrage Web FortiGuard est dcrit en dtails dans la section Options du

Filtrage Web FortiGuard la page 285. Les corrections dvaluation, ainsi que
des suggestions dvaluation pour de nouvelles pages peuvent tre soumises via
la page web du Centre FortiGuard. Visitez le site de la Base de Connaissance
Fortinet : Fortinet Knowledge Center, pour plus de dtails et un lien vers le Centre
FortiGuard.
Les tableaux suivants comparent les options de filtrage web dans les profils de
protection et le menu du filtrage web.
Tableau 37 : Filtrage Web et configuration du filtrage par mots-cls partir des profils
de protection
Options de filtrage web des profils de Paramtres du Filtrage
protection Web
Filtrage par mots-cls Filtrage Web > Filtrage par mots-cls
Activer ou dsactiver le blocage de page Ajouter des mots et caractristiques pour
web en fonction de mots-cls ou bloquer les pages web contenant ces mots
caractristiques interdits dans la liste de ou caractristiques.
filtrage par mots-cls pour le trafic HTTP.
Tableau 38 : Filtrage Web et configuration du filtrage dURL dans les profils de

protection
Options de filtrage web des Paramtres du Filtrage
profils de protection Web
Filtrage dURL Filtrage Web > URL Filter
Activer ou dsactiver le filtrage Ajouter les URL et caractristiques dURL pour
de page web pour le trafic HTTP dispenser ou bloquer les pages web provenant de
en fonction de la liste du filtre sources spcifiques.
URL.

01-30001-0203-20060424
Tableau 39 : Filtrage Web et filtrage de script Web dans les profils de protection et
configuration de tlchargement
Options de filtrage web des profils de Paramtres du Filtrage Web
protection
Filtrage des ActiveX, Filtrage des cookies, n/a
Filtrage des Applets Java
Activer ou dsactiver le blocage scripts de
page web pour le trafic HTTP.
Blocage Web resume Download n/a
Activez pour bloquer le tlchargement du
reste dun fichier dj partiellement tlcharg.
Cette option empche le tlchargement
involontaire des virus, mais peut par contre
entraner des interruptions dans le
tlchargement.
Tableau 40 : Filtrage Web et configuration du filtrage de catgories web dans les

profils de protection
Options de filtrage web des profils de Paramtres du Filtrage Web
protection
Activer le Filtrage Web FortiGuard (HTTP FortiGuard Web Filter > Configuration
uniquement).
Activer lOverride du Filtrage Web FortiGuard FortiGuard Web Filter > Override
(HTTP uniquement).
Fournit le dtail des erreurs HTTP 4xx et 5xx
bloques (HTTP uniquement).
Evalue les images par URL (les images
bloques sont remplaces par des blancs)
(HTTP uniquement).
Autorise les sites web lorsquune erreur
dvaluation a lieu (HTTP uniquement).
Blocage strict (HTTP uniquement).
Catgorie / Action
Le service de Filtrage Web FortiGuard fournit
de nombreuses catgories partir desquelles
le trafic web peut tre filtr. Choisissez laction
prendre pour chaque catgorie : autorise,
bloque, journalise ou autorise loverride.
Les catgories locales peuvent tre FortiGuard Web Filter > Catgories locales/Local
configures pour convenir aux besoins locaux. Ratings
Classification / Action
Si slectionns, les utilisateurs peuvent
accder aux sites web fournissant des
contenus sauvegards et des moteurs de
recherche de fichiers image, son et vido.
Choisissez entre autorise, bloque, journalise
ou autorise loverride.
Pour accder aux options de filtrage web des profils de protection, slectionnez
Pare-feu > Profil de protection, cliquez sur Editer ou Crer Nouveau et
slectionnez Filtrage Web ou Filtrage par Catgorie Web.
fonctionnalits de filtrage web sont configures globalement. Pour accder ces
fonctionnalits, slectionnez Configuration Globale dans le menu principal.

01-30001-0203-20060424
Filtrage par mots-cls
Vous pouvez contrler le contenu du web en bloquant des mots ou caractristiques
spcifis. Si cette option est active dans le profil de protection, le botier FortiGate
recherche ces mots et caractristiques sur les pages web demandes. Dans le cas
o des correspondances sont trouves, les valeurs affectes ces mots sont
additionnes. La page web est bloque lorsque la valeur seuil pour cet utilisateur
est dpasse.
Utilisez des expressions rgulires en Perl ou des mta-caractres (wildcard) pour

ajouter des modles de mots interdits la liste.
Remarque : Les expressions rgulires en Perl sont sensibles la casse des caractres
pour le filtrage par mots-cls. Pour modifier cela et rendre le mot ou la phrase insensible la
casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque
tous les cas de bad language sans tenir compte de la casse. Les mta-caractres
(wildcards) ne sont pas sensibles la casse des caractres.
Visualisation du catalogue des listes de blocage de contenu Web (FortiGate-800

et plus)
Vous pouvez ajouter de multiples listes de blocage de contenu Web pour les
modles FortiGate-800 et plus, et slectionnez ensuite la meilleure liste pour
chaque profil de protection. Pour visualiser le catalogue des listes, slectionnez
Filtrage Web > Filtrage par mots-clefs. Pour visualiser nimporte quelle liste de
blocage de contenu web, cliquez sur licne Editer de la liste correspondante.
Illustration 216 : Echantillon dun catalogue de listes de blocage de contenu web
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
slectionnez Ajouter. Les nouvelles listes sont vides par
dfaut.
Nom Les listes de filtrage par mots-cls disponibles.
# dentres Le nombre de mots-cls dans chaque liste.
Profils Le profil de protection auquel sapplique chacune des listes.
Commentaire Description facultative de chaque liste de filtrage par mots-
cls.
Icne Supprimer Slectionnez pour retirer la liste du catalogue. Cette icne est
disponible si la liste nest pas reprise dans un profil de
protection.
Icne Editer Slectionnez pour diter une liste, un nom de liste ou un
commentaire.
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour
plus dinformations, voir Options du Filtrage Web la page 283.

01-30001-0203-20060424
Cration dune nouvelle liste de blocage de contenu Web (Modle botier
FortiGate-800 et plus)
Pour ajouter une liste de blocage de contenu Web au catalogue, slectionnez
Filtrage Web > Filtrage par mots-cls et cliquez sur Crer Nouveau.
Illustration 217 : Nouvelle liste de blocage de contenu web
Nom Entrez un nom la liste.

Commentaire Entrez un commentaire pour dcrire la liste, si ncessaire.
Visualisation de la liste de blocage de contenu Web

Grce lactivation de blocage de contenu Web, chaque page web demande est
compare la liste de blocage de contenu. La valeur du score de chaque modle
apparaissant sur la page est additionne. Si le total dpasse la valeur seuil dfinie
dans le profil de protection, la page est bloque. Le score dun modle est calcul
une seule fois mme sil apparat plusieurs reprises sur la page.
Pour visualiser la liste de blocage du contenu Web sur les modles 500 et moins,
slectionnez Filtrage Web > Filtrage par mots-clefs.
Illustration 218 : Echantillon dune liste de blocage de contenu Web pour les
FortiGate-500 et moins
Pour visualiser la liste de blocage du contenu Web sur les modles 800 et plus,
slectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur licne Editer
dune liste que vous voulez visualiser.

01-30001-0203-20060424
Illustration 219 : Echantillon dune liste de blocage de contenu Web pour les
FortiGate-800 et plus
Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu
pour activer les paramtres de blocage de contenu.
Nom Nom de la liste de blocage de contenu. Pour modifier le nom,

diter le texte dans le champ et cliquez sur OK. Le champ
Nom saffiche sur les modles FortiGate 800 et plus.
Commentaire Commentaire facultatif. Pour ajouter ou diter un commentaire,
entrez un texte dans le champ Commentaire et cliquez sur OK.
Le champ Commentaire saffiche sur les modles FortiGate-
800 et plus.
Crer Nouveau Permet dajouter un modle la liste.
Total Le nombre de modles dans la liste.
Icne Haut de page Permet dafficher la page prcdente.
Icne Bas de page Permet dafficher la page suivante.
Icne Supprimer toutes Permet de supprimer les entres de la table.
les entres
Modles La liste en cours des modles. Cochez la case pour activer
tous les modles de la liste.
Type de modles Le type de modle utilis dans lentre de la liste de modles.
Choisissez entre Wildcard (mta-caractre) ou Expression
rgulire. Voir Utilisation des expressions rgulires en
Perl la page 400.
Langage Le caractre du modle. Choisissez entre Chinois Simplifi,
Chinois Traditionnel, Franais, Japonais, Coren, Tha ou
Occidental.
Score Une valeur numrique affecte au modle. Les valeurs des
scores de tous les modles correspondants apparaissant sur
la page sont additionnes. Si le total dpasse la valeur seuil
dfinie dans le profil de protection, la page est bloque.
Icne Editer Permet dditer les informations suivantes : Modles, Type de
modles, Langage, Activer.

01-30001-0203-20060424
Configuration de la liste de blocage de contenu web
Les modles de contenu web peuvent tre entrs sous forme de mot ou de texte
jusqu 80 caractres de long. Le nombre maximum de mots-cls dans la liste est
de 5000.
Pour ajouter ou diter un modle de blocage de contenu, slectionnez Filtrage

Web > Content Block.
Illustration 220 : Nouveau modle banni
Modle Entrez un modle de blocage de contenu. Si vous entrez un

mot, le botier FortiGate recherche ce mot sur toutes les pages
web. Si vous entrez une phrase, il recherche tous les mots de
la phrase sur toutes les pages web. Si vous entrez une phrase
entre guillemets, il recherche la phrase entire sur toutes les
pages web.
Type de format Slectionnez un type de format de la liste droulante :
Wildcard ou Expression Rgulire.
Langage Slectionnez une langue de la liste droulante.
Score Entrez un score pour le modle.
Activer Cochez cette case pour activer le modle.
Visualisation du contenu de la liste dexemption des contenus Web (modles

FortiGate-800 et plus)
Vous pouvez ajouter de multiples listes dexemption des contenus Web pour les
modles FortiGate-800 et plus, et slectionner ensuite la meilleure liste pour
chaque profil de protection. Pour visualiser le contenu de ces listes, slectionnez
Filtrage Web > Filtrage par mots-cls > Web Content Exempt. Pour visualiser
chaque liste dexemption des contenus Web individuellement, cliquez sur licne
Editer de la liste correspondante.
Illustration 221 : Echantillon dun catalogue de liste dexemption des contenus Web
slectionnez Ajouter. Les nouvelles listes sont vides par
dfaut.
Nom Les listes dexemption des contenus Web disponibles.
# dentres Le nombre de modles de contenu dans chaque liste de
blocage de contenu web.

01-30001-0203-20060424
Profils Le profil de protection appliqu chaque liste.
Icne Supprimer Permet de retirer une liste du catalogue. Cette icne est
protection.
Icne Editer Permet dditer une liste, le nom de la liste ou le commentaire.
Slectionnez les listes dexemption des contenus Web dans les profils de
protection. Pour plus dinformations, voir Options de filtrage web la page 283.
Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate-
800 et plus)
Pour ajouter une liste dexemption des contenus Web au catalogue, slectionnez
Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur
Crer Nouveau.
Illustration 222 : Nouvelle liste dexemption des contenus Web
Nom Entrez un nom cette nouvelle liste.

Commentaire Entrez, si ncessaire, un commentaire qui dcrive cette liste.
Visualisation de la liste dexemption des contenus Web

Les exemptions autorisent loverriding de la fonction de blocage de contenu web.
Si lun des modles dexemption dfini dans la liste dexemption des contenus Web
(web content exempt list) apparat sur une page web, celle-ci ne sera pas bloque
mme si elle aurait d ltre par la fonction de blocage de contenu web.
Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate-
500 et moins, slectionnez Filtrage Web > Blocage par mots-clefs > Web
Content Exempt.
Illustration 223 : Echantillon dune liste dexemption des contenus Web pour les
modles FortiGate-500 et moins
Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate-
800 et plus, slectionnez Filtrage Web > Filtrage par mots-clefs > Web Content
Exempt et cliquez sur licne Editer de la liste visualiser.

01-30001-0203-20060424
Illustration 224 : Echantillon dune liste dexemption des contenus Web pour les
modles FortiGate-800 et plus
Remarque : Pour activer les paramtres des contenus exempts, activez Filtrage Web >
Web Content Exempt dans un profil de protection pare-feu.
La liste dexemption des contenus Web offre les icnes et fonctionnalits

suivantes :
Nom Le nom de la liste. Pour le modifier, entrez un nouveau nom
dans le champ Nom et cliquez sur OK. Ce champ apparat sur
les modles FortiGate-800 et plus.
Commentaire Un commentaire facultatif. Pour ajouter ou diter un
commentaire, entrez le texte dans le champ Commentaire et
cliquez ensuite sur OK. Ce champ apparat sur les modles
FortiGate-800 et plus.
Crer Nouveau Permet dajouter un modle la liste.
Total Le nombre de modles dans la liste.
Icne Haut de page Permet de visualiser la page prcdente.
Icne Bas de page Permet de visualiser la page suivante.
Icne Supprimer Permet de supprimer la table.
toutes les entres
Modle La liste des modles en cours. Cochez la case pour activer
tous les modles de la liste.
Type de modle Le type de modle utilis par cette entre. Choisissez entre
Wildcard ou Expression Rgulire. Voir Utilisation des
expressions rgulires en Perl la page 400.
Langage Les caractres utiliss par le modle : Chinois simplifi,
Chinois traditionnel, Franais, Japonais, Coren, Tha ou
Occidental.
Icne Supprimer Permet de supprimer lentre de la liste.
Icne Editer Permet dditer les informations suivantes : Modle, Type de
modle, Langage et lactivation.
Configuration de la liste dexemption des contenus Web

Les modles de contenu web exempt se trouve sous la forme dun mot ou dune
phrase longue de maximum 80 caractres. La liste peut contenir jusqu 5000
mots.

01-30001-0203-20060424
Pour ajouter ou diter un modle dexemption, slectionnez Filtrage Web >
Filtrage par mots-clefs > Web Content Exempt.
Illustration 225 : Nouveau modle dexemption
Modle Entrez le modle dexemption. Dans le cas dun mot unique, le

botier FortiGate recherche le mot dans toutes les pages web.
Dans le cas dune phrase, le botier FortiGate recherche
chaque mot de la phrase dans toutes les pages web. Dans le
cas dune phrase entre guillemets, le botier FortiGate
recherche la phrase entire dans toutes les pages web.
Type de modle Slectionnez un type de modle dans la liste droulante :
Wildcard ou Expression Rgulire.
Langage Slectionnez un type de caractres dans la liste droulante.
Activer Cochez pour activer le modle.
Filtre URL
Vous pouvez autoriser ou bloquer laccs certaines URL en les ajoutant la liste
de filtre URL. Cela se fait par lajout de modles utilisant du texte et des
expressions rgulires (ou des mta-caractres). Le botier FortiGate autorise ou
bloque les pages web correspondantes aux URL ou modles spcifis et affiche
un message de remplacement la place de la page.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.
Remarque : Le blocage dURL nempche pas laccs aux autres services que les
utilisateurs ont sur leur navigateur web. Par exemple, le blocage dURL ne bloque pas
laccs ftp://ftp.exemple.com. A la place, utilisez des rgles pare-feu pour bloquer les
connexions FTP.
Visualisation du catalogue des listes de filtres URL (Modles FortiGate-800 et

plus)
Vous pouvez ajouter plusieurs listes de filtres URL pour les modles FortiGate-800
et plus, et slectionner ensuite la liste de filtres URL la plus approprie chaque
profil de protection. Pour visualiser le catalogue de ces listes, slectionnez Filtrage
Web > URL Filter. Pour visualiser une liste de filtres URL individuellement, cliquez
sur licne Editer de la liste visualiser.

01-30001-0203-20060424
Illustration 226 : Echantillon du catalogue des listes de filtres URL
cliquez sur Ajouter. Les nouvelles listes sont par dfaut vide.
Nom Les listes de filtres URL disponibles.
# dentres Le nombre de modles URL dans chaque liste de filtres URL.
Profils Les profils de protection auxquels sapplique la liste.
Commentaire Description facultative pour chaque liste de filtres URL.
Icne Supprimer Permet de supprimer une liste de filtres URL dun catalogue.
Cette icne saffiche si la liste nest pas reprise dans un profil
de protection.
Icne Editer Permet dditer une liste de filtres URL, le nom de la liste ou le
commentaire.
Slectionnez Listes de filtres URL (URL filter lists) dans les profils de protection.
Pour plus dinformations, voir Options de filtrage web la page 283.
Cration dune nouvelle liste de filtres URL (Modles FortiGate-800 et plus)

Pour ajouter une liste de filtres URL au catalogue, slectionnez Filtrage Web >
URL Filter et cliquez sur Crer Nouveau.
Illustration 227 : Nouvelle liste de filtres URL
Nom Entrez un nom la nouvelle liste.

Commentaire Entrez, si ncessaire, une description de la liste.
Visualisation de la liste des filtres URL

Il est possible dajouter des URL spcifiques bloquer ou exempter et dajouter
les lments suivants la liste de filtres URL :
URL compltes
Adresses IP
URL partielles qui permettent de bloquer ou dautoriser tous les sous-
domaines.

01-30001-0203-20060424
Pour visualiser la liste des filtres URL sur les FortiGate-500 et moins, slectionnez
Filtrage Web > URL Filter.
Illustration 228 : Liste de filtres URL sur les FortiGate-500 et moins
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, slectionnez
Filtrage Web > URL Filter et cliquez sur licne Editer de la liste visualiser.
Illustration 229 : Liste de filtres URL sur les FortiGate-800 et plus
La liste de filtres URL possde les icnes et fonctionnalits suivantes :
Nom Le nom de la liste de filtres URL. Pour le modifier, entrez un

nouveau nom dans le champ Nom et cliquez sur OK. Ce
champ saffiche sur les modles FortiGate-800 et plus.
Commentaire Un commentaire facultatif. Pour lajouter ou le modifier, entrez
un commentaire dans ce champ et cliquez sur OK. Ce champ
saffiche sur les modles FortiGate-800 et plus.
Crer Nouveau Slectionnez pour ajouter une URL la liste de blocage des
URL.
Icne Page prcdente Permet de visualiser la page prcdente.
Icne Page suivante Permet de visualiser la page suivante.
Icne Supprimer toutes Permet de supprimer toutes les entres de la table.
les entres
URL La liste en cours des URL bloques ou exemptes. Cochez la
case pour slectionner toutes les URL de la liste.
Type Le type dURL : Simple ou Regex (expression rgulire).
Action Laction prendre lors dune correspondance avec lURL :
Bloquer, Autoriser ou Exempter.
Icne Editer Permet dditer les informations suivantes : URL, Type, Action
et lactivation.
Icne Dplacer Ouvre la bote de dialogue de dplacement dun filtre URL.

01-30001-0203-20060424
Configuration dune liste de filtres URL
Une liste de filtres URL peut compter jusqu 5000 entres.
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, com )
pour bloquer laccs toutes les URL comprenant ce suffixe.
Pour ajouter une URL la liste de filtres URL, slectionnez Filtrage URL > URL
Filter.
Illustration 230 : Nouveau filtre URL
URL Entrez une URL sans inclure http://

Type Slectionnez un type dans la liste droulante : Simple ou Regex
(Expression Rgulire).
Action Slectionnez une action dans la liste droulante : Autoriser,
Bloquer, Exempter.
Activer Cochez cette case pour activer lURL.
Entrez une URL ou une adresse IP de haut niveau pour contrler laccs toutes
les pages dun site web. Par exemple, www.exemple.com ou 192.168.144.155
contrle laccs toutes les pages de ce site web.
Entrez une URL de haut niveau suivie dun chemin et dun nom de fichier pour
contrler laccs une seule page dun site web. Par exemple,
www.exemple.com/news.html ou 192.168.144.155/news.html contrle
laccs la page News de ce site.
Pour contrler laccs toutes les pages dont lURL se termine par exemple.com,
ajoutez exemple.com la liste de filtres. Par exemple, lajout de exemple.com
contrle laccs www.exemple.com, mail.exemple.com,
www.finance.exemple.com, etc.
Les filtres web FortiGate supportent les expressions rgulires standard.
Remarque : Les URL dont laction est dfinie sur Exempter ne sont pas soumises
lanalyse de virus. Si les utilisateurs du rseau tlchargent des fichiers
provenant de sites web de confiance, ajoutez lURL de ce site la liste de filtres
URL avec laction dfinie sur Exempter pour que le botier FortiGate ne procde
pas lanalyse de virus de ces fichiers.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.

01-30001-0203-20060424
Dplacement dURL au sein de la liste de filtres URL
Pour simplifier lutilisation de la liste de filtres URL, les entres peuvent tre
dplaces diffrents endroits de la liste.
Pour dplacer une URL dans la liste, slectionnez licne Dplacer droite de
lURL dplacer.
Illustration 231 : Dplacer un filtre URL
Dplacer vers Choisissez une localisation dans la liste.

(URL) Entrez lURL avant ou aprs laquelle la nouvelle URL doit tre
place.
Filtrage Web FortiGuard

Le service FortiGuard-Web est une solution de filtrage Web gre par Fortinet.
FortiGuard-Web trie des centaines de millions de pages web en une grande
gamme de catgories que les utilisateurs peuvent autoriser, bloquer ou surveiller.
Le botier FortiGate se connecte au Point de Service FortiGuard-Web le plus
proche pour dterminer la catgorie dune page web sollicite et suit ensuite les
directives de la rgle pare-feu configure pour cet utilisateur ou cette interface.
FortiGuard-Web comprend plus de 60 millions dvaluation de sites web couvrant

ainsi des centaines de millions de pages. Les pages sont tries et values en
fonction de 56 catgories que les utilisateurs peuvent bloquer, autoriser ou
surveiller. Les catgories peuvent tre ajoutes ou mises jour en fonction de
lvolution dInternet. Pour simplifier une configuration, lutilisateur peut galement
choisir de bloquer, autoriser ou surveiller des groupes entiers de catgories. Les
pages bloques sont alors remplaces par un message indiquant que la page nest
pas accessible tant donn le rglement en vigueur sur lutilisation de lInternet.
Les valuations de FortiGuard-Web sont le rsultat dune combinaison de

mthodes propres danalyse de texte, dexploitation de la structure du Web et
dvaluations entreprises par une quipe de personnes analyseurs du web. Les
utilisateurs peuvent faire part aux Points de Service FortiGuard-Web dune page
qui est, leur avis, mal catgorise. Les nouveaux sites web sont rapidement
valus si ncessaire.
La procdure pour configurer le blocage de catgories FortiGuard dans un profil de

protection est dcrite dans Options du filtrage FortiGuard-Web la page 285.
Pour configurer le service FortiGuard-Web, voir Configuration du botier
Configuration du filtrage FortiGuard-Web

Pour configurer un service FortiGuard-Web, slectionnez Systme > Maintenance
> Centre FortiGuard. Pour plus dinformations, voir Configuration du botier

01-30001-0203-20060424
Visualisation de la liste override
Les utilisateurs voudront probablement accder des sites web bloqus par une
rgle. Dans ce cas, un administrateur peut donner cet utilisateur la possibilit
dignorer le blocage pour un temps dtermin.
Lorsquun utilisateur tente daccder un site bloqu alors que loverride est
activ, un lien vers une page dauthentification apparat sur la page bloque.
Lutilisateur doit fournir un nom dutilisateur et un mot de passe corrects sans quoi
le site web reste bloqu. Lauthentification est base sur des groupes utilisateurs et
peut tre effectue pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus
dinformations sur lauthentification et la configuration de groupes utilisateurs, voir
Groupe dutilisateurs la page 330.
Pour visualiser la liste doverride, aussi appele liste des rgles dignorance,
slectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 232 : Liste Override
Crer Nouveau Permet dajouter une nouvelle rgle dignorance la liste.

# Le nombre de rgles dignorance dans la liste.
Icne Supprimer tout Supprime toutes les entres de la table.
URL/Catgorie LURL ou la catgorie laquelle sapplique la rgle
dignorance.
Porte Lutilisateur ou le groupe dutilisateurs qui bnficient de la
rgle dignorance.
Off-site URLs Lutilisateur se voit autoriser ou interdit daccder aux liens de
la catgorie ou de lURL ignore. Une marque verte signifie un
accs off-site permis. Une croix grise signifie une interdiction
daccs.
Initiateur Le crateur de la rgle dignorance.
Date dexpiration La date dexpiration de la rgle dignorance.
Icne Editer Permet dditer les informations suivantes : Type, URL,
Porte, Utilisateur, Off-site URLs et Dure de la rgle
dignorance.

01-30001-0203-20060424
Configuration de rgles dignorance
Les rgles dignorance peuvent tre configures pour permettre laccs aux sites
web bloqus en fonction du rpertoire, nom de domaine ou de la catgorie.
Pour crer une rgle dignorance pour un rpertoire ou un domaine, slectionnez

Filtrage Web > FortiGuard-Web Filter > Override.
Illustration 233 : Nouvelle rgle dignorance Rpertoire ou Domaine
Type Slectionnez Rpertoire ou Domaine.

URL Entrez lURL ou le nom de domaine du site web.
Porte Choisissez entre : Utilisateur, Groupe dutilisateurs, IP, Profil.
En fonction de loption choisie, le champ qui suit varie.
Utilisateur Entrez le nom de lutilisateur slectionn dans Porte.
Groupe Slectionnez un groupe dutilisateurs dans la liste
dutilisateurs droulante. Ces groupes doivent tre configurs avant de
commencer la configuration du FortiGuard-Web. Pour plus
dinformations, voir Groupe dutilisateurs la page 330.
IP Entrez ladresse IP de lordinateur initiant la rgle.
Profil Slectionnez un profil de protection dans la liste droulante.
Off-site URLs Choisissez entre Autorises ou Bloques. Cette fonction va
permettre lutilisateur daccder ou non aux liens du site web
ignor.
Dure dignorance Entrez la dure en jours, heures et minutes. La date
dexpiration alors calcule saffiche dans la liste des rgles
dignorance.

01-30001-0203-20060424
Pour crer une rgle dignorance pour des catgories, slectionnez Filtrage Web >
FortiGuard-Web Filter > Override.
Illustration 234 : Nouvelle rgle dignorance Catgories
Type Slectionnez Catgories.

Catgories Choisissez les catgories auxquelles sapplique la rgle
dignorance. Un groupe ou un sous-groupe de catgories peut
tre slectionn. Les catgories locales sont galement
affiches.
Classifications Choisissez les classifications auxquelles sapplique la rgle
dignorance. Si prvu, les utilisateurs peuvent accder aux
sites web qui fournissent des contenus sauvegards et des
moteurs de recherche de fichiers image, audio et vido.
Porte Choisissez entre : Utilisateur, Groupe dutilisateurs, IP, Profil.
En fonction de loption choisie, le champ qui suit varie.
Utilisateur Entrez le nom de lutilisateur slectionn dans Porte.
Groupe dutilisateurs Slectionnez un groupe dutilisateurs de la liste droulante.
IP Entrez ladresse IP de lordinateur initiant la rgle.
Profil Slectionnez un profil de protection de la liste droulante.
Off-site URLs Choisissez entre Autorises ou Bloques. Cette fonction va
permettre lutilisateur daccder ou non aux liens du site web
ignor.

01-30001-0203-20060424
Dure dignorance Entrez la dure en jours, heures et minutes. La date
dexpiration alors calcule saffiche dans la liste des rgles
dignorance.
Cration de catgories locales

Des catgories dfinies par des utilisateurs peuvent tre cres afin dautoriser
aux utilisateurs de bloquer des groupes dURL sur base dun profil. Les catgories
dfinies ici saffichent dans la liste des catgories URL globale lors de la
configuration dun profil de protection. Les utilisateurs peuvent valuer les URL en
fonction des catgories locales.
Illustration 235 : Liste des catgories locales
Add/Ajouter Entrez le nom dune catgorie et cliquez ensuite sur le bouton

Add.
Visualisation de la liste des valuations locales

Pour visualiser la liste des valuations locales, slectionnez Filtrage Web >
FortiGuard-Web Filter > Local Ratings.
Illustration 236 : Liste des valuations locales
Crer Nouveau Permet dajouter une valuation la liste.

Rechercher Entrez un critre de recherche pour filtrer la liste.
1 3 of 3 Le nombre total dvaluations locales dans la liste.
Icne Page suivante Permet de passer la page suivante.
Icne Supprimer tout Permet de supprimer toutes les entres de la table.
URL LURL value. Cliquez sur la flche verte pour trier la liste en
fonction des URL.
Catgorie La catgorie ou classification dans laquelle lURL a t place.
Si lURL a t classe dans plusieurs catgories ou
classifications, des points de suspension (...) suivent la
premire catgorie. En cliquant sur lentonnoir gris, la bote de
dialogue Filtre de catgorie souvre. Une fois la liste filtre,
lentonnoir apparat en vert.

01-30001-0203-20060424
Icne Editer Permet dditer les informations suivantes : URL, Evaluation
de la catgorie et Evaluation de la Classification.
Illustration 237 : Filtre de catgorie
Clear Filter Supprime tous les filtres.

Nom de la catgorie Cliquez sur la flche bleue pour afficher le contenu de la
catgorie.
Activer le filtre Permet dactiver le filtre pour la catgorie ou la sous-catgorie
individuelle.
Nom de la classification Les classifications qui peuvent tre filtres.
(ou classe)
Activer le filtre Permet dactiver le filtre de classification.
Configuration dvaluations locales

Les utilisateurs peuvent crer des catgories et spcifier les URL qui entrent dans
ces catgories. Cela permet aux utilisateurs de bloquer des groupes de sites web
sur base dun profil. Les valuations sont comprises dans la liste dURL globale
avec les catgories associes et elles sont compares de la mme faon que la
liste dURL bloques.
Lutilisateur peut galement spcifier si lvaluation locale est utilise en

conjonction avec lvaluation FortiGuard ou utilise comme rgle dignorance.
Pour crer une valuation locale, slectionnez Filtrage Web > FortiGuard-Web
Filter > Local Ratings.

01-30001-0203-20060424
Illustration 238 : Nouvelle valuation locale
URL Entrez lURL valuer.

Nom de la catgorie Cliquez sur la flche bleue pour afficher la catgorie.
Activer le filtre Cochez la case pour activer le filtre pour la catgorie ou sous-
catgorie individuelle.
Nom de la classification Les classifications pouvant tre filtres.
Activer le filtre Cochez la case pour activer le filtre de classification.
Configuration dun blocage de catgorie partir de linterface de ligne de

commande
Utilisez le mot-cl hostname pour la commande webfilter fortiguard pour
modifier le nom dhte par dfaut (URL) du Point de Service FortiGuard-Web. Ce
nom ne peut tre modifi partir de linterface dadministration web. Configurez
tous les paramtres FortiGuard-Web partir des commandes CLI. Pour plus
dinformations, voir le FortiGate CLI Reference.
Rapports du Filtrage FortiGuard-Web
Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les
FortiGate munis dun disque dur.
Cette fonction permet de gnrer un tableau textuel et sous forme de diagramme

du rapport du Filtrage FortiGuard-Web pour tous les profils de protection. Le botier
FortiGate enregistre les statistiques pour les pages web de toutes les catgories,
bloques, autorises ou sous surveillance. Les rapports portent sur des tranches
dheures ou de jours. Vous pouvez aussi visualiser un rapport complet de toutes
les activits.

01-30001-0203-20060424
Pour crer un rapport de filtrage web, slectionnez Filtrage Web > FortiGuard-
Web Filter > Rapports.
Illustration 239 : Echantillon dun rapport de Filtrage FortiGuard-Web
Profil Slectionnez le profil de protection pour lequel un rapport doit

tre gnr.
Type de rapport Slectionnez un type de temps pour le rapport. Choisissez
entre heure, jour ou tout.
Plage Slectionnez la plage horaire (24 heures) ou la plage de jour
(des 6 derniers jours aujourdhui) pour le rapport. Par
exemple, un rapport de type heure avec une plage 13 16, le
rapport affiche les rsultats de la tranche horaire 13 16
heures aujourdhui (1 pm 4 pm). Pour un rapport de type jour
avec une plage de 0 3, le rapport affiche les rsultats des
trois derniers jours aujourdhui.
Obtenir le rapport Gnre un rapport.
Un rapport gnr comprend un diagramme et les informations suivantes :
Catgorie La catgorie pour laquelle les statistiques sont gnres.

Autorises Le nombre dadresses web autorises accdes dans la
tranche de temps dfini.
Bloques La nombre dadresses web bloques sollicites dans la
Contrles Le nombre dadresses web contrles accdes dans la

01-30001-0203-20060424
Antispam
Cette section explique comment configurer les options du filtrage antispam associ
un profil de protection.

Antispam
Mots bannis
Liste Noire et liste Blanche
Configuration antispam avance
Utilisation des expressions rgulires Perl
Antispam
LAntispam gre les mails commerciaux non sollicits en dtectant les messages
mails spam et identifiant les transmissions spam provenant de serveurs spam
connus ou suspects. Les filtres spams sont configurs pour une utilisation au
niveau du systme, mais sont activs sur base des profils.
FortiGuard-Antispam est une des fonctionnalits de la gestion des spams.

FortiGuard est un systme antispam de Fortinet qui comprend une liste noire
dadresses IP, une liste noire dURL et des outils de filtrage antispam. Le Centre
FortiGuard reoit les soumissions de messages mails spams ainsi que les faux
positifs. Visitez le site de la Base de Connaissance Fortinet, Fortinet Knowledge
Center, pour plus de dtails et un lien vers le Centre FortiGuard.
Ordre du filtrage antispam

Lordre dans lequel les mails entrants passe travers les filtres Antispam FortiGate
est dtermin par le protocole utilis pour le transfert des mails.
Pour le trafic SMTP

1 Vrification des adresses en listes blanches ou noires (prochain saut IP)
2 Vrification RBL & ORDBL, vrification des adresses par FortiGuard,
HELO DNS lookup
3 Vrification des adresses Email en listes blanches ou noires
4 Vrification des en-ttes MIME
5 Vrification des adresses IP en listes blanches ou noires ( partir des
adresses extraites des champs den-tte Received )
6 Vrification DNS de ladresse de retour, vrification antispam par
Fortiguard ( partir des adresses extraites des champs den-tte
Received et des URL extraites du contenu du message)
7 Vrification des mots bannis
Pour le trafic POP3 et IMAP

1 Vrification des adresses Email en listes blanches ou noires

01-30001-0203-20060424
2 Vrification des en-ttes MIME et vrification des IP en listes blanches ou
noires
3 Vrification DNS de ladresse de retour, vrification antispam par
FortiGuard, vrification RBL & ORDBL
4 Vrification des mots bannis
Pour le trafic SMTP, POP3 et IMAP

Les filtres ncessitant une demande un serveur et une rponse (FortiGuard
Antispam Service et DNSBL/ORDBL) fonctionnent simultanment. Pour viter les
retards, les requtes sont envoyes pendant que dautres filtres fonctionnent. La
premire rponse enclenchant une action spam prend effet ds la rception de
cette rponse.
Chaque filtre spam passe le mail au prochain filtre si aucune correspondance ou

aucun problme nest trouv. Si laction du filtre Mark as spam (Marquer comme
spam) senclenche, le botier FortiGate balisera (tag) ou rejettera le mail (SMTP
seulement) suivant les paramtres configurs dans le profil de protection. Si
laction enclenche est Mark as clear (Marquer comme non spam), le mail est
dispens des autres filtres. Si laction est Mark as Reject (Rejeter), la session mail
est abandonne. Les messages mails SMTP rejets sont substitus par un
message de remplacement configurable.
Tableau 41 : Antispam et configuration du filtrage antispam dans les profils de

protection
Options du filtrage antispam des profils Paramtres Antispam
de protection
Vrification FortiGuard-Antispam de Systme > Maintenance > FortiGuard
ladresse IP Center
Activation ou dsactivation du service Activation FortiGuard-Antispam,
antispam Fortinet appel FortiGuard- vrification de ltat du serveur
Antispam. FortiGuard-Antispam est le FortiGuard-Antispam, visualisation du
serveur DNSBL propre Fortinet qui fournit type de licence et de la date dexpiration
les listes noires des adresses IP et URL et configuration du cache. Pour plus de
spams. Fortinet maintient ces listes jour. dtails, voir Configuration du botier
FortiGate pour les services FDN et
FortiGuard la page 186.
Vrification des adresses IP en listes Anti-spam > Black/White List > Adresse IP
blanche ou noire
Vrification des listes noire et blanche. Ajout et dition dadresses IP la liste.
Activation ou dsactivation de la Vous pouvez configurer laction prendre
comparaison des adresses IP entrantes la pour chaque adresse IP : spam, non-
liste dadresses IP du filtre spam configur spam ou rejeter. Les adresses IP peuvent
(SMTP uniquement). tre places un endroit prcis de la liste.
Le filtre contrle chaque adresse IP
successivement (SMTP uniquement).
Contrle DNSBL & ORDBL A partir de linterface de ligne de
commande uniquement
Activation ou dsactivation de la Ajout ou suppression des serveurs
comparaison du trafic mail au serveur des DNSBL et ORDBL de la liste. Vous
listes Blackhole DNS configure (DNSBL) et pouvez configurer laction prendre pour
Open Relay Database (ORDBL). les mails identifis comme spam pour
chaque serveur : spam ou rejeter (SMTP
uniquement).
La configuration DNSBL et ORDBL ne
peut tre modifie qu partir de linterface
de ligne de commande. Pour plus
dinformations, voir le FortiGate CLI
Reference.

01-30001-0203-20060424
Recherche HELO DNS n/a
Activation ou dsactivation de la
comparaison du nom de domaine source
ladresse IP enregistre dans le Serveur des
Noms de Domaine. Si le nom de domaine
source ne correspond pas ladresse IP, le
mail est marqu comme spam et laction
slectionne dans le profil de protection est
enclenche.
Contrle des adresses mails en listes Anti-spam > Black/White List > Adresse
blanche ou noire Mail
Activation ou dsactivation de la Ajout et dition dadresses mails la liste,
comparaison des mails entrants la liste avec loption dutilisation de wildcards et
des adresses mails du filtre spam configur. dexpressions rgulires. Vous pouvez
configurer pour chaque adresse mail
laction prendre : spam ou rejeter. Les
adresses IP peuvent tre places un
endroit prcis de la liste. Le filtre contrle
chaque adresse IP successivement.
Vrification DNS de ladresse de retour n/a
Activation ou dsactivation de la
comparaison du nom de domaine de
ladresse de retour des mails entrants
ladresse IP enregistre dans le Serveur des
Noms de Domaine. Si le nom de domaine
de ladresse de retour ne correspond pas
ladresse IP, le mail est marqu comme
spam et laction slectionne dans le profil
de protection est enclenche.
Vrification des en-ttes MIME A partir de linterface de ligne de
commande uniquement
Activation ou dsactivation de la Ajout et dition den-ttes MIME, avec
comparaison de len-tte MIME de la source loption dutiliser des wildcards ou des
la liste den-ttes MIME du filtre spam expressions rgulires. Vous pouvez
configur. configurer laction prendre pour chaque
en-tte MIME: spam ou rejeter.
La configuration DNSBL et ORDBL ne
peut tre modifie qu partir de linterface
de ligne de commande. Pour plus
dinformations, voir le FortiGate CLI
Reference.
Filtrage par mots-clefs Anti-spam > Mots Clefs
Activation ou dsactivation de la Ajout et dition des mots bannis de la
comparaison du mail source avec la liste liste, avec loption dutiliser des wildcards
des mots bannis du filtre antispam. ou expressions rgulires. Vous pouvez
configurer la langue et dcider de lancer
la recherche dans le sujet ou le corps du
mail, ou les deux. Vous pouvez configurer
laction prendre pour chaque mot : spam
ou rejeter.
Action antispam n/a
Laction prendre pour un mail identifi
comme spam. Les messages POP3 et IMAP
sont baliss (tag). Choisissez entre Tag ou
Rejeter pour les messages SMTP. Vous
pouvez ajouter un mot ou phrase
personnalis au sujet des en-tte MIME des
mails baliss. Vous pouvez choisir de
journaliser chaque action antispam dans le
journal des vnements.
Insertion : Choisissez dajouter la balise au
sujet ou len-tte MIME du mail identifi
comme spam.

01-30001-0203-20060424
Insertion de : Entrez un mot ou une phrase
(tag) ajouter au mail identifi comme
spam. Longueur maximum du tag : 63
caractres.
Ajouter lvnement dans le journal du
systme.
Activer ou dsactiver la journalisation des
actions antispam dans la journal des
vnements.
Pour accder aux options du profil de protection Antispam, slectionnez Pare-feu

> Profil de protection, diter ou Crer Nouveau, Filtrage antispam.
fonctionnalits de filtrage antispam sont configures globalement. Pour accder ces
fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Mots bannis
Il vous est possible de contrler les mails spam contenant des mots ou
expressions spcifiques. Lorsque cette option est active dans le profil de
protection, le botier FortiGate recherche ces mots et expressions dans les mails.
Si des correspondances sont trouves, les valeurs affectes aux mots sont
totalises. Si une valeur de seuil dfinie pour un utilisateur est dpasse, le mail
est marqu comme spam. Si aucune correspondance nest trouve, le mail passe
jusquau prochain filtre.
Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions
rgulires en Perl ou des mta-caractres.
Remarque : Les expressions rgulires en Perl sont sensibles la casse des

caractres pour le filtrage antispam par mots-cls. Pour modifier cela et rendre le mot ou la
phrase insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad
language/i bloque tous les cas de bad language sans tenir compte de la casse. Les
mta-caractres (wildcards) ne sont pas sensibles la casse des caractres.
Visualisation du catalogue de listes de mots bannis antispam (Modles FortiGate-

800 et plus)
Vous pouvez ajouter de multiples listes de mots bannis antispam sur les modles
FortiGate-800 et plus, et slectionner ensuite la meilleure liste pour chaque profil
de protection. Pour visualiser la catalogue des listes de mots bannis antispam,
slectionnez Anti-spam > Mots clefs. Pour visualiser chaque liste
individuellement, slectionnez licne Editer de la liste dsire.
Illustration 240 : Echantillon du catalogue de listes de filtrage par mots-cls
cliquez sur Ajouter. Les nouvelles listes sont vides par dfaut.

01-30001-0203-20060424
Nom Les listes de mots bannis antispam disponibles.
# dentres Le nombre dentres dans chaque liste.
Profils Les profils de protection appliqus chaque liste.
Icne Supprimer Permet de supprimer une liste du catalogue. Cette icne est
protection.
Icne Editer Permet dditer les informations suivantes : la liste, le nom de
la liste ou le commentaire.
plus dinformations, voir Options du filtrage antispam la page 286.
Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et

plus)
Pour ajouter une liste de mots bannis antispam au catalogue, slectionnez Anti-
spam > Mots clefs et cliquez sur Crer Nouveau.
Illustration 241 : Bote de dialogue dune nouvelle liste de mots bannis antispam

Commentaire Entrez une description de la liste, si ncessaire.
Visualisation de la liste de mots bannis antispam

Chaque mail est contrl par comparaison la liste des mots bannis antispam.
Vous pouvez ajouter un ou plusieurs mots bannis pour filtrer les mails contenant
ces mots dans leur sujet, corps du message ou les deux. La valeur accorde
chaque mot apparaissant dans le message est ajoute au total des valeurs. Si
celui-ci dpasse la valeur seuil dfinie dans le profil de protection, le message est
trait selon lAction antispam configure dans le profil de protection. La valeur dun
mot banni nest comptabilise quune seule fois mme si ce mot apparat
plusieurs reprises dans le message.
Pour visualiser la liste des mots bannis sur les modles FortiGate-500 et moins,
slectionnez Anti-spam > Mots Clefs.
Illustration 242 : Echantillon dune liste de mots bannis pour les modles FortiGate-
500 et moins

01-30001-0203-20060424
Pour visualiser la liste de mots bannis sur les modles FortiGate-800 et plus,
slectionnez Anti-spam > Mots clefs et cliquez sur licne Editer de la liste
visualiser.
Illustration 243 : Echantillon dune liste de mots bannis pour les modles FortiGate-
800 et plus
Nom Nom de la liste de mots bannis. Pour le modifier, entrez un

nom dans le champ Nom et cliquez sur OK. Ce champ
apparat sur les modles FortiGate-800 et plus.
Commentaire Commentaire optionnel. Pour ajouter ou diter un
cliquez sur OK. Ce champ apparat sur les modles FortiGate-
800 et plus.
Crer Nouveau Permet dajouter un mot ou une phrase la liste des mots
bannis.
Total Le nombre dlments dans la liste.
les entres
Expression rgulire La liste des mots bannis. Cochez la case pour activer tous les
mots de la liste.
Type dexpression Le type dexpression utilis par lentre de la liste. Choisissez
entre Wildcard et Expression. Pour plus dinformations, voir
Utilisation dexpressions rgulires en Perl la page 400.
Langage Les caractres du mot banni : Chinois simplifi, Chinois
traditionnel, Franais, Japonais, Coren, Tha ou Occidental.
O La localisation du message dans laquelle le botier FortiGate
va chercher le mot banni : sujet, corps ou tout.
Score La valeur numrique affecte au mot banni. Les valeurs Score
de tous les mots correspondants apparaissant dans un mail
sont additionnes. Si le total dpasse la valeur dfinie dans
spamwordthreshold du profil de protection, la page est
traite selon laction antispam dfinie pour ce type de trafic
dans le profil de protection (ex. smtp3-spamaction) : pass
ou tag. Le Score dun mot banni est comptabilis une seule
fois mme dans les cas o le mot apparat plusieurs reprises
sur la page web.
Icne Supprimer Permet de supprimer un mot de la liste.
Icne Editer Permet dditer les informations suivantes : Expression
Rgulire, Type dExpression, Langage, O, Action antispam
et lactivation.

01-30001-0203-20060424
Configuration de la liste des mots bannis antispam
Les mots peuvent tre marqus comme spam ou rejeter. Les mots bannis
peuvent tre un mot ou une phrase dune longueur maximum de 127 caractres.
Dans le cas dun mot simple, le botier FortiGate bloque tous les mails contenant
ce mot. Dans le cas dune phrase, le botier FortiGate bloque tous les mails
contenant la phrase exacte. Pour entraner le blocage chaque apparition dun
mot de la phrase, utilisez les expressions rgulires en Perl.
Pour ajouter ou diter un mot banni, slectionnez Anti-spam > Mots Clefs.
Illustration 244 : Ajouter un mot-cl
Expression Entrez le mot ou la phrase inclure dans la liste des mots

bannis.
Type dexpression Slectionnez le type dexpression du mot banni : Wilcard ou
Expression rgulire. Voir Utilisation dexpressions
rgulires en Perl la page 400.
Langage Les caractres du mot banni : Chinois simplifi, Chinois
traditionnel, Franais, Japonais, Coren, Tha ou Occidental.
O La localisation du message dans laquelle le botier FortiGate
va chercher le mot banni : sujet, corps ou tout.
Activer Cochez cette case pour activer le filtrage de ce mot banni.
Liste noire et liste blanche

Le botier FortiGate utilise aussi bien une liste dadresses IP quune liste
dadresses mails pour filtrer les mails entrants condition que cette option ait t
active dans le profil de protection.
Lors dune vrification partir de la liste dadresses IP, le botier FortiGate

compare successivement ladresse IP de lmetteur du message sa liste
dadresses IP. Lorsquune correspondance est trouve, laction associe
ladresse IP est enclenche. Dans le cas o aucun correspondance na t
trouve, le mail est envoy vers le prochain filtre antispam activ.
Lors dune vrification partir dune liste dadresses mails, le botier FortiGate
compare successivement ladresse mail de lmetteur du message sa liste
dadresses mails. Lorsquune correspondance est trouve, laction associe avec
ladresse mail est enclenche. Dans le cas o aucun correspondance na t
trouve, le mail est envoy vers le prochain filtre antispam activ.

01-30001-0203-20060424
Visualisation du catalogue de listes dadresses IP antispam (modles FortiGate-
800 et plus).
Vous pouvez ajouter plusieurs listes dadresses IP antispam pour les modles
FortiGate-800 et plus et slectionner la meilleure liste pour chaque profil de
protection. Pour visualiser le catalogue de listes dadresses IP antispam,
slectionnez Anti-spam > Black/White List > Adresse IP. Pour visualiser une
liste individuellement, cliquez sur licne Editer de la liste dsire.
Illustration 245 : Echantillon dun catalogue de listes dadresses IP antispam
cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides.
Nom Les listes dadresses IP antispam disponibles.
protection.
Cration dune nouvelle liste dadresses IP antispam (modles FortiGate-800 et

plus)
Pour ajouter une liste dadresses IP antispam au catalogue, slectionnez Anti-
spam > Black/White List > Adresse IP et cliquez sur Crer Nouveau.
Illustration 246 : Bote de dialogue dune nouvelle liste dadresses IP antispam
Nom Donnez un nom la liste.


01-30001-0203-20060424
Visualisation de la liste dadresses IP antispam
Il est possible de configurer le botier FortiGate pour quil filtre les mails provenant
dadresses IP spcifiques. Le botier compare ladresse IP de lmetteur sa liste
dadresses IP antispam, et ce successivement. Vous pouvez marquer chaque
adresse IP de laction : non spam, spam ou rejeter. Les adresses IP simples ou
des plages dadresses au niveau du rseau peuvent tre filtres en configurant
ladresse et le masque.
Pour visualiser la liste dadresses IP sur les modles FortiGate-500 et moins,

slectionnez Anti-spam > Black/White List > Adresse IP
Illustration 247 : Echantillon dune liste dadresses IP pour les modles FortiGate-500
et moins
Pour visualiser la liste dadresses IP sur les modles FortiGate-800 et plus,

slectionnez Anti-spam > Black/WhiteList > Adresses IP et cliquez sur licne
Editer de la liste visualiser.
Illustration 248 : Echantillon dune liste dadresses IP pour les modles FortiGate-800
et plus
Nom Nom de la liste dadresses IP antispam. Pour le modifier,

entrez un nom dans le champ Nom et cliquez sur OK. Ce
champ apparat sur les modles FortiGate-800 et plus.
800 et plus.
Crer Nouveau Permet dajouter une adresse IP la liste dadresses IP
antispam.
les entres

01-30001-0203-20060424
Adresse IP/Masque La liste actuelle des adresses IP.
Action Laction prendre pour un mail provenant dune adresse IP
configure. Les actions sont : Marquer comme spam pour
appliquer laction antispam configure, Marquer comme non-
spam pour ignorer ce filtre, ainsi que les filtres antispam
suivants, ou Marquer Rejeter (SMTP uniquement) pour
supprimer la session. Si une adresse IP est dfinie sur Rejeter,
mais que le mail provient dune adresse IP partir de POP3
ou IMAP, les messages mails seront marqus comme spam.
Icne Supprimer Permet de supprimer une adresse de la liste.
Icne Editer Permet dditer les informations suivantes :Ladresse
IP/Masque, Insertion, Action antispam et lactivation.
Configuration de la liste des adresses IP antispam

Pour ajouter une adresse IP la liste dadresses IP, slectionnez Anti-spam >
Black/White List > Adresse IP et cliquez sur Crer Nouveau. Entrez une adresse
IP et un masque dans un de ces deux formats :
x.x.x.x/x.x.x.x, par exemple, 62.128.69.100/255.255.255.0

x.x.x.x/x, par exemple, 62.128.69.100/24
Illustration 249 : Ajouter une adresse IP
Adresse IP/Masque Entrez ladresse IP et le masque.

Insrer Avant/Aprs Slectionnez une position dans la liste pour cette adresse IP.
Action Slectionnez une action. Les actions sont : Marquer comme
spam pour appliquer laction antispam configure dans le profil
de protection, Marquer comme non-spam pour ignorer ce filtre,
ainsi que les filtres antispam suivants, ou Marquer rejeter
(SMTP uniquement) pour supprimer la session.
Activer Cochez cette case pour activer ladresse.
Visualisation du catalogue de listes dadresses mail antispam (modles

FortiGate-800 et plus).
Vous pouvez ajouter plusieurs listes dadresses mail antispam pour les modles
FortiGate-800 et plus et slectionner la meilleure liste pour chaque profil de
protection. Pour visualiser le catalogue de listes dadresses mail antispam,
slectionnez Anti-spam > Black/White List > Adresse Mail. Pour visualiser une
liste individuellement, cliquez sur licne Editer de la liste dsire.

01-30001-0203-20060424
Illustration 250 : Echantillon dun catalogue de listes dadresses mail antispam
cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides.
Nom Les listes dadresses mail antispam disponibles.
protection.
Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et

plus)
Pour ajouter une liste dadresses mail antispam au catalogue, slectionnez Anti-
spam > Black/White List> Adresse Mail et cliquez sur Crer Nouveau.
Illustration 251 : Bote de dialogue dune nouvelle liste dadresses mail antispam

Visualisation de la liste dadresses IP mail antispam

Le botier FortiGate peut filtrer les mails provenant dmetteurs spcifiques, ainsi
que tous les mails provenant dun domaine (tel que exemple.net). Vous pouvez
marquer chaque adresse mail de laction non spam ou spam.
Pour visualiser la liste dadresses mail sur les modles FortiGate-500 et moins,
slectionnez Anti-spam > Black/White List > Adresse Mail

01-30001-0203-20060424
Illustration 252 : Echantillon dune liste dadresses mail pour les modles FortiGate-
500 et moins
Pour visualiser la liste dadresses IP sur les modles FortiGate-800 et plus,

slectionnez Anti-spam > Black/WhiteList > Adresse Mail et cliquez sur licne
Editer de la liste visualiser.
Illustration 253 : Echantillon dune liste dadresses mail pour les modles FortiGate-
800 et plus
Nom Nom de la liste dadresses mail antispam. Pour le modifier,

entrez un nom dans le champ Nom et cliquez sur OK. Ce
champ apparat sur les modles FortiGate-800 et plus.
800 et plus.
Crer Nouveau Permet dajouter une adresse mail la liste dadresses mail
antispam.
les entres
Adresse Mail La liste actuelle des adresses mail.
Type dexpression Le type dexpression utilis dans lentre de ladresse mail.
Choisissez entre Wildcard et Expression Rgulire. Pour plus
dinformations, voir Utilisation dexpressions rgulires en
Perl la page 400.
Action Laction prendre pour un mail provenant dune adresse mail
configure. Les actions sont : Marquer comme spam pour
appliquer laction antispam configure dans le profil de
protection, Marquer comme non-spam pour ignorer ce filtre,
ainsi que les filtres antispam suivants,
Icne Supprimer Permet de supprimer une adresse de la liste.

01-30001-0203-20060424
Icne Editer Permet dditer les informations suivantes :adresse mail, Type
dExpression, Action antispam et lactivation.
Configuration de la liste des adresses mail antispam

Pour ajouter une adresse mail ou un domaine la liste, slectionnez Anti-spam >
Black/White List > Adresse Mail.
Illustration 254: Ajouter une adresse mail
Adresse Mail Entrez ladresse mail.

Type dexpression Slectionnez un type dexpression : Wildcard ou Expression
Rgulire.
Insrer Avant/Aprs Slectionnez une position dans la liste pour cette adresse mail.
Action Slectionnez une action. Les actions sont :
Marquer comme spam pour appliquer laction antispam
configure dans le profil de protection
Marquer comme non-spam pour ignorer ce filtre, ainsi que
les filtres antispam suivants
Activer Cochez cette case pour activer ladresse.
1 Entrez une adresse mail ou une expression.

2 Slectionnez un type dexpression pour lentre de la liste.
3 Si ncessaire, choisissez dinsrer ladresse mail avant ou aprs une autre
adresse dans la liste.
4 Slectionnez laction prendre pour les mails provenant dadresses mail ou de
domaines configurs.
5 Cochez la case Activer.
6 Cliquez sur OK.
Configuration antispam avance

La configuration antispam avance couvre uniquement des commandes CLI non
reprsentes dans linterface dadministration web. Pour des descriptions et
exemples complets sur lutilisation de commandes CLI, reportez-vous au FortiGate
CLI Reference.
config spamfilter mheader

Cette commande permet de configurer le filtrage mail en fonction de len-tte
MIME. Ce filtrage sactive dans les profils de protection.

01-30001-0203-20060424
Le botier FortiGate compare successivement la paire cl-valeur de len-tte MIME
des mails entrants avec sa liste de paires. Lorsquune correspondance est trouve,
laction spcifie est enclenche. Lorsque aucune correspondance nest trouve, le
mail est envoy vers le prochain filtre antispam.
Les en-ttes MIME (Multipurpose Internet Mail Extensions) sont ajouts aux mails
pour dcrire le type et le codage de contenu, tels que le type de texte dans le corps
du mail ou le programme qui a gnr le mail. Quelques exemples den-ttes
MIME comprennent :
X-mailer : outgluck
X-Distribution : bulk
Content_Type : text/html
Content_Type : image/jpg
La premire partie de len-tte MIME sappelle la cl de len-tte, ou juste en-tte.

La deuxime partie est appele valeur. Les spammeurs insrent souvent des
commentaires dans les valeurs de len-tte ou les laissent vides. Ces en-ttes
malforms peuvent duper certains filtres antispam et antivirus.
Lutilisation de la liste den-ttes MIME permet de marquer les mails provenant de

certains programmes mails les plus rpandus ou comprenant certains types de
contenu communs des messages mails. Il est conseill de marquer le mail comme
spam ou non-spam pour chaque en-tte configur.
config spamfilter rbl

Cette commande sutilise pour configurer le filtrage mail partir des serveurs de la
liste DNS-based Blackhole List (DNSBL), appele galement Realtime Blackhole
List et de la liste Open Relay Database List (ORDBL). Ces deux filtres sactivent
pour chaque profil de protection.
Le botier FortiGate compare ladresse IP et le nom de domaine de lmetteur

toutes les listes de base de donnes configures, et ce, successivement.
Lorsquune correspondance est trouve, laction spcifie est enclenche. Lorsque
aucune correspondance nest trouve, le mail est envoy vers le prochain filtre
antispam.
Certains spammeurs utilisent des serveurs SMTP tiers inscuriss pour envoyer
des mails non sollicits. Lutilisation de DNSBL et ORDBL est un moyen efficace
de baliser (tag) ou rejeter les spams lors de leur entre sur le rseau. Ces listes
agissent comme des serveurs de nom de domaine identique au domaine dun mail
entrant dune liste dadresses IP connues pour envoyer des spams ou autoriser
des spams passer au travers.
Il existe plusieurs serveurs, dont la souscription est gratuite, qui fournissent un

accs fiable pour des mises jour continues des DNSBL et ORDBL. Vrifiez avec
le service utilis pour confirmer le nom de domaine correct pour une connexion au
serveur.
Remarque : Etant donn que le botier FortiGate utilise le nom de domaine du serveur pour
se connecter au serveur DNSBL ou ORDBL, il doit tre capable de chercher ce nom sur le

01-30001-0203-20060424
serveur DNS. Pour plus dinformations sur le configuration DNS, voir Options la page
76.
Utilisation des expressions rgulires en Perl

Les entres des listes dadresses mail, den-ttes MIME et de mots bannis peuvent
comprendre des mta-caractres ou expressions rgulires en Perl.
Expression Rgulire vs Modle mta-caractre
Dans les expressions rgulires en Perl, le caractre . remplace nimporte quel

caractre unique. Cest similaire au caractre ? des modles mta-caractre.
Par exemple :
fortinet.com correspond fortinet.com mais aussi fortinetacom,
fortinetbcom, fortinetccom, etc.
Pour que les caractres . et * ne rfrent aucun autre caractre, utilisez le

caractre \ . Par exemple :
Pour rfrer fortinet.com, lexpression rgulire utiliser est :
fortinet\.com
Dans les expressions rgulires, * est utilis pour correspondre au caractre

situ avant lastrisque, et ce 0 ou plusieurs fois. Il ne remplace par contre pas
nimporte quel caractre. Par exemple :
forti*.com correspond fortiiii.com mais ne correspond pas fortinet.com
Pour correspondre nimporte quel caractre, 0 ou plusieurs fois, utilisez .* o

le . signifie nimporte quel caractre et * signifie 0 ou plusieurs fois. Par
exemple :
forti*.com doit scrire fort.*\.com.
Limite des mots

Dans les expressions Perl, lexpression na pas de limites implicites. Par exemple,
lexpression rgulire test correspond aux mots test bien sr mais aussi
tous les mots contenant test comme attester , mytest , atestb .
Pour spcifier une limite au mot, utilisez la notation \b . Pour faire correspondre
au mot exact test , lexpression doit tre \btest\b.
Sensibilit la casse des caractres

Certaines expressions rgulires sont sensibles la casse des caractres pour les
filtrage par mots-cls et antispam. Pour modifier cela et rendre le mot ou la phrase
insensible la casse des caractres, utilisez lexpression /i. Par exemple, /bad
language/i bloque toutes les cas de bad language sans tenir compte de la
casse.
Formats des expressions rgulires en Perl

Le tableau 42 rpertorie et dcrit quelques exemples de formats dexpressions
rgulires en Perl.

01-30001-0203-20060424
Tableau 42 : Formats dexpressions rgulires en Perl
Expression Correspondances
abc abc (la squence exacte de caractres tout endroit de
la succession)
âbc abc au dbut de la succession
abc$ abc la fin de la succession
a|b Soit a , soit b
âbc|abc$ La succession abc au dbut ou la fin de la succession
ab{2,4}c a suivi de deux, trois ou quatre b suivi par un c
ab{2,}c a suivi dau moins deux b suivi dun c
ab*c a suivi dun nombre indfini (0 ou plus) de b suivi
dun c
ab+c a suivi dun ou plusieurs b suivi dun c
ab ?c a suivi dun b optionnel suivi dun c , donc soit
abc , soit ac
a.c a suivi de nimporte quel caractre (sauf retour la
ligne) suivi dun c
a\.c a.c exactement
[abc] nimporte lequel de a , b ou c
[Aa]bc soit Abc , soit abc
[abc]+ Toute succession (sans espace) de a , b et c
(telle que a , abba , acbabcacaa )
[âbc]+ Toute succession (sans espace) qui ne contient pas de
a , b et c (telle que defg )
\d\d Tout chiffre deux dcimales, tel que 42, pareil que \d{2}
/i Rend la casse des caractres insensible. Par exemple,
/bad language/i bloque tous les cas de bad
language sans tenir compte de la casse des caractres.
\w+ Un mot : une squence sans espace de caractres
alphanumriques et de tirets bas ( _ , underscore) telle que
foo et 12bar8 et foo_1
100\s*mk La succession 100 et mk spares optionnellement
par un nombre indfini despace blanc (espaces,
tabulations, retour la ligne)
abc\b abc suivi dune limite au mot ( par exemple, dans
abc ! mais pas dans abcd )
perl\B perl sans tre suivi dune limite du mot (par exemple,
dans perlert mais pas dans perl stuff )
\x Le parser dexpression rgulire ignore les espaces blancs
qui ne sont ni prcds dun \ , ni dans une classe de
caractres. Utilisez cette commande pour scinder une
expression rgulire en plusieurs parties lisibles.
/x Utilis pour ajouter des expressions rgulires dans
dautres textes. Si le premier caractre dune expression
est / , celui-ci est trait comme borne. Lexpression doit
contenir un second / . Lexpression entre les deux /
sera traite comme expression rgulire, et tout ce qui suit
le / sera trait comme liste doptions dexpressions
rgulires (i, x,etc). Une erreur apparat si le second /
est absent. Dans les expressions rgulires, lespace
lavant et lespace larrire sont traits comme sils

01-30001-0203-20060424
faisaient partie de lexpression rgulire.
Exemples
Bloquer chaque mot de la phrase

/block|any|word/
Bloquer expressment les mots mal orthographis

Les spammeurs insrent souvent dautres caractres entre les lettres dun mot
pour duper les logiciels de blocage de spams.
/^.*v.*i.*a.*g.*r.*o.*$/i
/cr[e][\+\-
\*=<>\.\,;!\?%&@\^\$\{\}()\[\]\|\\_01]dit/i
Bloquer les phrases spam communes

Les phrases suivantes sont des exemples de phrases communes trouves dans
les messages spam.
/try it for free/i
/student loans/i
/youre already approved/i
/special[\+\-
\*=<>\.\,;!\?%&~#@\^\$\{\}()\[\]\|\\_1]offer/i

01-30001-0203-20060424
IM/P2P
IM/P2P fournit lutilisateur IM les outils dadministration et les statistiques pour le
rseau IM et lusage P2P. Les protocoles IM et P2P doivent tre activs dans le
profil de protection actif pour que les paramtres de cette section prennent leurs
effets.

Statistiques
Utilisateur
Configuration IM/P2P partir de linterface de ligne de commande
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries
instantanes et les communications point to point afin de connatre lutilisation
de ces deux protocoles sur le rseau. Des statistiques densemble sont fournies
pour tous les protocoles IM et P2P. Des statistiques dtailles et individuelles
existent pour chaque protocole IM.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions
IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale
Visualisation des statistiques densemble

Longlet Overview reprend un rsum des statistiques pour tous les protocoles IM
et P2P. Pour visualiser ces statistiques, slectionnez IM/P2P > Statistics >
Overview.
Illustration 255 : Statistiques Overview IM/P2P
Intervalle de rafrachissement Slectionnez lintervalle dsir entre deux

automatique rafrachissements automatiques. Choisissez entre un
intervalle de 0 (none) 30 secondes.
Rafrachir Cliquez sur ce bouton pour rafrachir la page et faire
apparatre les statistiques mises jour.

01-30001-0203-20060424
Rinitialiser les statistiques Cliquez sur ce bouton pour remettre les statistiques
zro.
Utilisateurs Pour chaque protocole IM, les informations suivantes
sur lutilisateur saffichent : utilisateurs connects,
(utilisateurs) depuis la dernire rinitialisation,
(utilisateurs) bloqus.
Chat Pour chaque protocole IM, les informations suivantes
sur le chat saffichent : sessions de chat totales et total
des messages.
Transferts de fichiers Pour chaque protocole IM, les informations suivantes
sur les transferts de fichiers saffichent : (fichiers
transfrs) depuis la dernire rinitialisation et (fichiers
transfrs) bloqus.
Chats vocaux Pour chaque protocole IM, les informations suivantes
sur les chats vocaux saffichent : (chats vocaux) depuis
la dernire rinitialisation et (chats vocaux) bloqus.
Utilisation P2P Pour chaque protocole P2P, les informations suivantes
sur lutilisation saffichent : octets au total et moyenne
de la bande passante.
Visualisation des statistiques par protocole
Longlet Protocol fournit des statistiques dtailles individuellement pour chaque

protocole IM.
Pour visualiser ces statistiques, slectionnez IM/P2P > Statistics > Protocol.
Illustration 256 : Statistiques IM par protocole
Intervalle de rafrachissement Slectionnez lintervalle dsir entre deux

automatique rafrachissements automatiques. Choisissez entre un
intervalle de 0 (none) 30 secondes.
Protocole Slectionnez le protocole dsir : AIM, ICQ, MSN ou
Yahoo.
Utilisateurs Pour le protocole slectionn, les informations suivantes
sur lutilisateur saffichent : utilisateurs connects,

01-30001-0203-20060424
(utilisateurs) depuis la dernire rinitialisation,
(utilisateurs) bloqus.
Chat Pour le protocole slectionn, les informations suivantes
sur le chat saffichent : Sessions de chat totales, Chats
bass sur un serveur, Groupe de chat et Chat
direct/priv.
Messages Pour le protocole slectionn, les informations suivantes
sur les messages saffichent : Total des messages,
(messages) envoys et (messages) reus.
Transferts de fichiers Pour le protocole slectionn, les informations suivantes
sur les transferts de fichiers saffichent : (fichiers
transfrs) depuis la dernire rinitialisation, (fichiers
transfrs) envoys, (fichiers transfrs) reus et
(fichiers transfrs) bloqus.
Chats vocaux Pour le protocole slectionn, les informations suivantes
sur les chats vocaux saffichent : (chats vocaux) depuis
la dernire rinitialisation et (chats vocaux) bloqus.
Utilisateur
Aprs que les utilisateurs IM se soient connects travers le pare-feu, le botier
FortiGate affiche les utilisateurs connects dans la liste Current Users. Les
administrateurs rseaux peuvent alors analyser la liste et dcider quels utilisateurs
accepter et quels utilisateurs rejeter. Une rgle peut tre configure pour traiter le
cas des utilisateurs inconnus.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions
IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale
Visualisation de la liste des utilisateurs connects

La liste des utilisateurs connects reprend des informations sur les utilisateurs des
messageries instantanes connects. La liste peut tre filtre par protocole.
Pour visualiser les utilisateurs en cours, slectionnez IM/P2P > Users > Current
Users.
Illustration 257 : Liste des utilisateurs connects
Protocole Filtrez la liste en slectionnant le protocole pour lequel vous

voulez avoir les utilisateurs : AIM, ICQ, MSN ou Yahoo. Tous
les utilisateurs connects peuvent galement tre affichs.
Protocole Le protocole en cours.
Nom dutilisateur Le nom slectionn par lutilisateur lors de son enregistrement
un protocole IM. Le mme nom dutilisateur peut tre utilis
pour plusieurs protocoles IM. Chaque nom dutilisateur / paire
de protocole apparat sparment dans la liste.
IP Source Ladresse partir de laquelle lutilisateur initie une session IM.
Dernier Login La dernire fois que lutilisateur connect avait utilis ce
protocole.

01-30001-0203-20060424
Bloque Slectionnez pour dconnecter lutilisateur et ajouter son nom
la liste noire permanente. Chaque nom dutilisateur / paire de
protocole doit faire lobjet dun blocage explicite par
ladministrateur.
Visualisation de la liste des utilisateurs

La liste des utilisateurs reprend des informations propos des utilisateurs
autoriss (liste blanche) et ceux bloqus (liste noire) des services des messageries
instantanes.
Des utilisateurs peuvent tre ajouts en cliquant sur Crer Nouveau ou partir de
la liste temporaire dutilisateurs.
Pour visualiser la liste des utilisateurs, slectionnez IM/P2P > Users > User List.
Illustration 258 : Liste des utilisateurs
Crer Nouveau Slectionnez pour ajouter un nouvel utilisateur la liste.

Protocole Filtrez la liste en slectionnant un protocole : AIM, ICQ, MSN,
Yahoo ou All.
Politique Filtrez la liste en slectionnant une rgle : Autoriser, Bloquer
ou Tout.
Protocole Le protocole associ lutilisateur.
Nom dutilisateur Le nom slectionn par lutilisateur lors de son enregistrement
un protocole IM. Le mme nom dutilisateur peut tre utilis
pour plusieurs protocoles IM. Chaque nom dutilisateur / paire
de protocole apparat sparment dans la liste.
Politique La rgle applique lutilisateur lors dune tentative
dutilisation du protocole : Bloquer ou Autoriser.
Icne Editer Permet de modifier les informations suivantes sur lutilisateur :
Protocole, nom dutilisateur et Politique.
Icne Supprimer Supprime dfinitivement un utilisateur de la liste.
Ajout dun nouvel utilisateur la liste des utilisateurs

Ajouter des utilisateurs la liste des utilisateurs leur permet daccder aux services
de messageries instantanes ou de les bloquer de ces services.
Slectionnez IM/P2P > User > User List et cliquez sur Crer Nouveau.
Illustration 259 : Editer lutilisateur

01-30001-0203-20060424
Protocole Slectionnez un protocole dans la liste droulante : AIM, ICQ,
MSN ou Yahoo.
Nom dutilisateur Entrez un nom pour cet utilisateur.
Politique Slectionnez une politique dans la liste droulante : Autoriser
ou Bloquer.
Configuration dune politique utilisateur globale

La politique utilisateur globale dtermine laction prendre face des utilisateurs
inconnus. Les utilisateurs inconnus peuvent tre soit autoriss utiliser certains ou
tous les protocoles IM et sont alors ajouts la liste blanche, soit ils sont bloqus
de certains ou tous les protocoles et alors ajouts la liste noire. Les
administrateurs peuvent a posteriori visualiser les listes blanche et noire et ajouter
des utilisateurs la liste des utilisateurs.
Pour configurer une politique IM, slectionnez IM/P2P > User > Config.
Illustration 260 : Politique utilisateur IM
Autoriser automatiquement Slectionnez les protocoles que les utilisateurs inconnus

sont autoriss utiliser. Les utilisateurs inconnus sont
ajouts une liste blanche dutilisateurs temporaires.
Bloquer automatiquement Slectionnez les protocoles que les utilisateurs inconnus
ne sont pas autoriss utiliser. Les utilisateurs inconnus
sont ajouts une liste noire dutilisateurs temporaires.
Liste des utilisateurs Reprend les nouveaux utilisateurs ajouts aux listes
temporaires blanche et noire des utilisateurs temporaires. Les
informations sur lutilisateur reprennent le protocole, le
nom dutilisateur et la politique applique cet utilisateur.
Remarque : Le contenu de la liste est effac chaque
rinitialisation du FortiGate.
Protocole Filtrez la liste des utilisateurs temporaires en slectionnant
un protocole.
Nom dutilisateur Le nom slectionn par lutilisateur lors de son
enregistrement un protocole IM. Le mme nom
dutilisateur peut tre utilis pour plusieurs protocoles IM.
Chaque nom dutilisateur / paire de protocole apparat
sparment dans la liste.

01-30001-0203-20060424
Politique La politique applique lutilisateur lors dune tentative
dutilisation du protocole : Bloquer ou Autoriser.
Autoriser dfinitivement Slectionnez pour ajouter lutilisateur la liste blanche
permanente. Lutilisateur reste en ligne et est rpertori
dans IM/P2P > User > User List.
Bloquer dfinitivement Slectionnez pour ajouter lutilisateur la liste noire
permanente. Lutilisateur est dconnect et est rpertori
dans IM/P2P > User > User List.
Appliquer Cliquez pour faire appliquer la politique utilisateur globale.
Configuration IM/P2P partir de linterface de ligne de

commande
Cette section dcrit les commandes CLI qui tendent des fonctions disponibles
partir de linterface dadministration web. Pour des descriptions et exemples
complets sur lactivation des fonctionnalits supplmentaires partir de linterface
de ligne de commande, voir le FortiGate CLI Reference.
config imp2p old-version

Certaines versions plus anciennes des protocoles IM sont capable de passer
travers le filtre car les types de messages ne sont pas reconnus. Cette commande
fournit loption de dsactiver ces anciennes versions de protocole IM.
Les protocoles IM supports comprennent :

MSN 6.0 et plus
ICQ 4.0 et plus
AIM 5.0 et plus
Yahoo 6.0 et plus

01-30001-0203-20060424
Journaux & Alertes
Cette section informe sur lactivation de la journalisation, la visualisation des
fichiers journaux et laffichage des rapports disponibles partir de linterface
dadministration web. Les botiers FortiGate fournissent des possibilits diverses
de journalisation pour les fonctions de protection du trafic, du systme et du
rseau. Des rapports et journaux dtaills offrent une analyse historique et
actualise de lactivit rseau, afin de permettre lidentification de problmes ou
faiblesses de la scurit et rduire les abus rseaux.

Journalisation FortiGate
Niveaux de svrit des journaux
Stockage de Journaux
Journalisation dun cluster Haute Disponibilit
Types de Journaux
Journal
Rapports
Alerte Mail
Journalisation FortiGate
Les botiers FortiGate peuvent journaliser de nombreuses activits rseaux et trafic
y compris :
tout trafic rseau
des vnements lis au systme dont les redmarrages systme, la Haute
Disponibilit et lactivit VPN.
infection et blocage antivirus
filtrage web, blocage de contenu URL et HTTP
signatures et prvention contre les attaques et anomalies
filtrage antispam
trafic de Messageries Instantanes et Peer-to-Peer
Vous pouvez fixer le niveau auquel le botier FortiGate journalise ces vnements
et leur lieu de stockage. Le botier FortiGate peut journaliser des vnements du
systme et des intrusions sur la mmoire du botier. Cependant, tant donn la
nature limite de cette mmoire, les messages les plus anciens ne sont pas
sauvegards et le trafic rseau nest pas journalis sur la mmoire en raison du
gros volume des messages journaliss.
Pour un meilleur stockage et une rcupration efficace, le botier FortiGate peut

envoyer les messages journaliss vers un botier FortiAnalyzerTM. Les botiers
FortiAnalyzer sont des appliances rseau fournissant une collection de journaux
intgrs, des outils danalyse et des stockages de donnes. Des rapports

01-30001-0203-20060424
journaliss dtaills offrent une analyse historique et actualise des activits
rseau et mail afin de permettre lidentification de problmes de scurit et de
rduire les mauvais usages du rseau. Le botier FortiGate peut envoyer tous les
types de messages journaliss, ainsi que des fichiers en quarantaine vers le botier
FortiAnalyzer pour stockage. Le FortiAnalyzer peut tlcharger des journaux vers
un serveur FTP dans le but de les archiver. Pour des informations dtailles sur la
configuration du botier FortiGate pour lenvoi de journaux vers un botier
FortiAnalyzer, voir Journalisation sur un botier FortiAnalyzer la page 411.
Le botier FortiGate peut galement envoyer des journaux vers un serveur Syslog
ou WebTrends dans un but de stockage et darchivage. Le botier FortiAnalyzer
peut galement tre configur pour envoyer les messages journaliss vers son
disque dur si disponible sur le botier.
Afin de vous permettre de revenir sur les activits se produisant sur votre rseau et
travers le botier FortiGate, ce dernier vous permet de visualiser les messages
journaliss disponibles en mmoire, sur un botier FortiAnalyzer muni du
microcode version 3.0 ou plus ou sur un disque dur si disponible sur le botier. Des
filtres personnalisables vous permettent de localiser facilement des informations
spcifiques dans les fichiers de journalisation.
Remarque : Pour plus de dtails sur la sauvegarde de journaux sur le disque dur du
FortiGate, si disponible, voir le FortiGate CLI Reference.
Voir le FortiGate Log Message Reference pour plus de dtails sur les messages et
formats des journaux.
Niveaux de svrit des journaux

Il est ncessaire de dfinir un niveau minimum de scurit des messages
journaliss pour chaque destination utilise par le botier FortiGate pour sauver des
fichiers journaux. Le botier FortiGate journalise tous les messages dpassant le
niveau de scurit minimum dfini. Par exemple, si vous slectionnez Erreur, le
botier journalise les messages des niveaux Erreur, Critique, Alerte et Urgent.
Tableau 43 : Niveaux de svrit de Journalisation

Niveaux Description Gnr par
0 Urgent Le systme est devenu Messages durgence indisponibles.
instable.
1 Alerte Une action immdiate est Messages journaliss dattaques
requise. NIDS.
2 Critique Le fonctionnement est DHCP
affect.
3 Erreur Une erreur est prsente et le Messages derreur indisponibles.
fonctionnement pourrait en
tre affect.
4- Avertissement Le fonctionnement pourrait Messages journaliss des
tre affect. Antivirus, Filtrage Web, Filtrage
Mail et vnements du systme.
5 Notification Informations propos des Messages journaliss des
vnements normaux. Antivirus, Filtrage Web, Filtrage
Mail.
6 - Information Information gnrale sur les Messages journaliss des
oprations systme. Antivirus, Filtrage Web, Filtrage
Mail, des contenus et autres
vnements.

01-30001-0203-20060424
Stockage des Journaux
Il vous faut configurer les destinations de stockage des messages et fichiers
journaux. Le type et la frquence des messages journaliss que vous avec
lintention de sauvegarder dcideront du type de destination de stockage utilis.
Par exemple, stocker des messages journaliss dans la mmoire ne fournit quune
place trs limite. Seul un nombre limit de messages journaliss peut tre sauv
sur la mmoire. Au fur et mesure que la mmoire se remplit, les plus vieux
messages journaliss sont supprims. Par ailleurs, en raison du grand volume
potentiel du Journal du Trafic et de la taille du Journal de Contenu, le botier
FortiGate ne stockera pas les messages journaliss des trafics sur sa mmoire.
Vous pouvez configurer le botier FortiGate pour quil stocke les messages
journaliss sur une ou plusieurs destinations, telle quun botier FortiAnalyzer.
Pour configurer les endroits de stockage, slectionnez Journaux/Alertes >

Configuration > Configuration du Journal.
Journalisation sur un botier FortiAnalyzer

Les botiers FortiAnalyzer sont des appliances rseaux fournissant une collection
intgre de journaux, des outils danalyse et des lieux de stockage de donnes.
Des rapports de journaux dtaills offrent une analyse historique et actualise des
activits du rseau et mail afin de permettre lidentification de problmes de
scurit et de rduire les mauvais usages et abus du rseau.
Illustration 261 : Configuration dune connexion un FortiAnalyzer
Configurer un botier FortiGate pour quil envoie les journaux vers un botier
FortiAnalyzer
1 Slectionnez Journaux/Alertes > Configuration > Configuration du Journal.

2 Slectionnez FortiAnalyzer.
3 Cliquez sur la flche bleue pour faire apparatre les options FortiAnalyzer.
4 Dfinissez le niveau des messages journaliss envoyer au botier FortiAnalyzer.
Le botier FortiGate journalise tous les messages gaux ou suprieurs au niveau
de svrit dfini. Pour plus de dtails sur les niveaux de la journalisation, voir le
Tableau 43 la page 410.
5 Entrez ladresse IP du Serveur du botier FortiAnalyzer.
Remarque : Le botier FortiGate peut se connecter jusqu trois botiers FortiAnalyzer. Il leur
envoie tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une
relle protection de sauvegarde en temps rel dans le cas o lun des trois FortiAnalyzer

01-30001-0203-20060424
devrait tomber en panne. Cette fonctionnalit nest disponible qu partir de linterface de
ligne de commande. Pour plus dinformations, voir le FortiGate CLI Reference.
Remarque : Aprs avoir configur les paramtres de la journalisation sur le botier

FortiGate, le FortiAnalyzer ncessite dtre configur pour recevoir les journaux envoys par
le botier FortiGate. Il vous faut alors contacter ladministrateur FortiAnalyzer pour finaliser la
configuration.
Se connecter un botier FortiAnalyzer au moyen de la dcouverte automatique

La dcouverte automatique est une mthode pour tablir une connexion un
FortiAnalyzer. Une fois la dcouverte automatique slectionne, le botier
FortiGate utilise des paquets HELLO pour localiser tout botier FortiAnalyzer
disponible sur le rseau au sein du mme sous-rseau. Lorsquun FortiAnalyzer
est trouv, le botier FortiGate permet automatiquement la connexion au botier
FortiAnalyzer et commence lui envoyer des donnes journalises, dans le cas o
la journalisation pour le trafic est configure.
Activer la dcouverte automatique

2 Cliquez sur la flche bleue de FortiAnalyzer pour en faire apparatre les options.
3 Cochez Dcouverte Automatique.
Le botier FortiGate cherche dans le mme sous-rseau la rponse dun
FortiAnalyzer disponible.
4 Une fois dcouvert, slectionnez un botier FortiAnalyzer de la liste Connect .
Test de la configuration dun botier FortiAnalyzer

Aprs avoir configur les paramtres FortiAnalyzer, vous pouvez tester la
connexion entre le botier FortiGate et le botier FortiAnalyzer pour vous assurer
que la connexion fonctionne correctement. Ceci vous permet de voir la connexion
entre les deux quipements, y compris les paramtres spcifis pour la
transmission et la rception des journaux, rapports, archives de contenu et fichiers
en quarantaine.
Tester la connexion

3 Cliquez sur la flche bleue pour faire apparatre les options FortiAnalyzer.
4 Cliquez sur Tester la connexion.

01-30001-0203-20060424
Illustration 262 : Test de connectivit avec le FortiAnalyzer
FortiAnalyzer Le nom du botier FortiAnalyzer. Le nom par dfaut dun

(Nom) botier FortiAnalyzer est le nom du produit, par exemple,
FortiAnalyzer-400.
FortiGate Le numro de srie du botier FortiGate.

(Identifiant de lquipement)
Etat denregistrement Ltat de lenregistrement du botier FortiGate.
Etat de la connexion Ltat de la connexion entre les botiers FortiGate et
FortiAnalyzer. Une marque en V indique quil y a
connexion, tandis quune croix signifie labsence de
connexion.
Espace disque Espace allou La quantit despace prvue pour
les journaux.
Espace utilis La quantit despace utilis.
Espace libre total La quantit despace inutilis.
Privilges Affiche les permissions pour lenvoi et la visualisation de
journaux et rapports.
Tx indique que le botier FortiGate est configur pour
transmettre des paquets journaliss au botier
FortiAnalyzer.
Rx indique que le botier FortiGate est autoris
visualiser les rapports et journaux stocks sur le
FortiAnalyzer.
Une marque en V indique que le botier FortiGate possde
les permissions denvoyer ou de visualiser les journaux et
rapports. Une croix signifie que le botier FortiGate ne
possde pas la permission denvoyer ou visualiser ces
informations.
Journalisation sur la mmoire

La mmoire du systme FortiGate possde une capacit limite pour la
journalisation des messages. Le botier FortiGate naffiche que les entres
journalises les plus rcentes. Il ne stocke pas les journaux Trafic et Contenu dans
la mmoire tant donne leur taille et frquence. Lorsque la mmoire est pleine, le
botier FortiGate remplace les messages les plus anciens. Toutes les entres
journalises sont effaces lors dun redmarrage du FortiGate.

01-30001-0203-20060424
Configurer le botier FortiGate pour que les journaux soient sauvegards en
mmoire
2 Cochez Mmoire.
3 Cliquez sur la flche bleue pour faire apparatre les options de la Mmoire.
4 Choisissez un niveau de svrit.
Le botier FortiGate journalise tous les messages du niveaux de svrit

slectionn et au-del. Pour plus de dtails sur les niveaux de la journalisation, voir
le Tableau 43 la page 410.
Journalisation sur un serveur Syslog

Le Syslog est un ordinateur distant muni dun serveur Syslog. Syslog est un
standard industriel utilis pour capturer les donnes journalises fournies par les
quipements du rseau.
Illustration 263 : Journalisation sur un serveur Syslog
Configurer le botier FortiGate pour envoyer des journaux au serveur syslog

2 Cochez Syslog.
3 Cliquez sur la flche bleue pour faire apparatre les options Syslog.
4 Dfinissez les options syslog suivantes et cliquez sur Appliquer :
Nom / Adresse IP Le nom de domaine ou ladresse IP du serveur syslog.

Port Le numro du port pour les communications avec le serveur
syslog, en gnral le port 514.
Niveau (Log Level) Le botier FortiGate journalise tous les messages du niveau de
svrit dfini et des niveaux de svrit suprieurs. Pour plus
de dtails sur les niveaux de la journalisation, voir le Tableau
43 la page 410.
Facilit La facilit indique au serveur syslog la source dun message
journalis. Par dfaut, il sagit du local7. Vous pouvez changer
la valeur par dfaut pour distinguer les messages journaliss
des diffrents botiers FortiGate.
Utiliser le format CSV Si vous cochez cette option, le botier FortiGate produit le
journal dans le format CSV (Comma Separated Value). Dans
le cas o vous nactivez pas cette option, le botier FortiGate
produit des fichiers de texte simples.

01-30001-0203-20060424
Journalisation sur WebTrends
Un ordinateur distant sur lequel le serveur NetIQ Web Trends fonctionne.
Les formats des journaux FortiGate sont conformes WebTrends Enhanced Log
Format (WELF) et compatibles avec NetIQ WebTrends Security Reporting Center
and Firewall Suite 4.1.
Pour configurer le botier FortiGate pour lenvoi de messages journaliss vers

WebTrends, entrez la commande suivante partir de linterface de ligne de
commande :
config log webtrends setting

set server <address_ipv4>
set status {disable | enable}
end
Mots-cls et variables Description Par dfaut

server <address_ipv4> Entrez ladresse IP du serveur n/a
WebTrends qui stocke les
journaux.
status {disable | Entrez enable pour activer la disable
enable} journalisation vers un serveur
WebTrends.
Exemple
Cet exemple montre comment activer la journalisation vers un serveur WebTrends

et comment en dfinir ladresse IP.
config log webtrends setting
set status enable
set server 220.210.200.190
end
Pour plus de dtails sur le paramtrage des options pour les types de journaux
envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI
Reference.
Journalisation dun cluster Haute Disponibilit

Lors de la configuration de la journalisation dans le cadre dun cluster Haute
Disponibilit, il faut configurer le membre primaire pour que celui-ci envoie des
journaux vers le FortiAnalyzer ou un serveur Syslog. Les paramtres
sappliqueront aux membres subordonns. Ceux-ci envoient les messages
journaliss au membre primaire qui lui envoie tous les journaux au FortiAnalyzer
ou serveur Syslog.
Une connexion scurise via un tunnel VPN IPSec entre un botier FortiAnalyzer et
un cluster HA est en ralit une connexion entre ce botier et le membre primaire
du cluster HA.
Pour plus dinformations, voir le High Availability User Guide.

01-30001-0203-20060424
Types de Journaux
Le botier FortiGate offre une large gamme doptions de journalisation pour
surveiller votre rseau. Cette section dcrit chaque type de journal et son
activation.
Remarque : Vous devez avant tout commencer par configurer les destinations de
sauvegarde des fichiers journaux. Pour plus de dtails, voir Stockage de Journaux la
page 411.
Journal Trafic
Le journal Trafic enregistre tout le trafic vers et passant travers les interfaces du
FortiGate. Vous pouvez configurer la journalisation du trafic contrl par des rgles
pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de
destination. Vous pouvez appliquer les filtres suivants :
Trafic autoris Le botier FortiGate journalise tout le trafic autoris par les
paramtres de la rgle pare-feu.
Trafic bloqu Le botier FortiGate journalise tout le trafic violant les

paramtres de la rgle pare-feu.
Remarque : Afin denregistrer les messages journaliss du trafic, vous devez paramtrer le
niveau de svrit sur Notification lors de la configuration de la destination de journalisation.
Activation de la journalisation du trafic

La journalisation du trafic enregistre tout le trafic vers et en provenance de
linterface ou de la sous-interface VLAN. Pour enregistrer des journaux, vous
devez paramtrer le niveau de svrit sur Notification ou un niveau moindre.
Activer la journalisation du trafic pour une interface ou sous-interface VLAN

2 Cliquez sur licne Editer dune interface.
3 Cochez la case Journaliser.
4 Cliquez sur OK.
Activation de la journalisation du trafic dune rgle pare-feu

La journalisation du trafic dune rgle pare-feu enregistre le trafic permis et bloqu
par la rgle pare-feu, en fonction du profil de protection.
Activer la journalisation du trafic dune rgle pare-feu

2 Cliquez sur la flche bleue de la direction du trafic souhait pour afficher la liste de
rgles.
3 Cliquez sur licne Editer dune rgle ou crez une nouvelle rgle pare-feu.

01-30001-0203-20060424
4 Cochez Log Allowed Traffic et cliquez ensuite sur OK.
Journal Evnement
Le journal Evnement enregistre les vnements dadministration et dactivits,
tels que lors dun changement de configuration ou de lapparition dun vnement
VPN ou Haute Disponibilit.
Activer les journaux Evnement
1 Slectionnez Journaux/Alertes > Configuration > Event Log.

2 Slectionnez parmi les journaux suivants :
Evnement systme Le botier FortiGate journalise tous les vnements lis au

systme tels que lchec dun serveur ping et le statut de
la passerelle.
Ngociation IPSec Le botier FortiGate journalise tous les vnements lis
la ngociation tels que les rapports sur les progrs et les
erreurs.
DHCP Le botier FortiGate journalise tous les vnements lis au
DHCP tels que les journaux de requtes et de rponses.
L2TP/PPTP/PPPoE Le botier FortiGate journalise tous les vnements lis
aux protocoles tels que les processus dadministration.
Administration Le botier FortiGate journalise tous les vnements
administratifs tels que les connexions utilisateurs, les
rinitialisations et mises jours de la configuration.
HA Le botier FortiGate journalise tous les vnements lis
la Haute Disponibilit tels que les informations relatives
aux liens, aux membres et ltat du cluster.
Authentification pare-feu Le botier FortiGate journalise tous les vnements lis au
pare-feu tels que lauthentification des utilisateurs.
Mise jour des signatures Le botier FortiGate journalise tous les vnements de
mises jour des signatures tels que les mises jour des
signatures antivirus et IPS et les checs de mises jour.
SSL VPN user authentication Le botier FortiGate journalise tous les vnements
dauthentification des utilisateurs pour les connexions
VPN SSL tels que connexions, dconnexions et timeout
dinactivit.
SSL VPN administration Le botier FortiGate journalise tous les vnements
dadministration des VPN SSL tels que les configurations
SSL et le tlchargement de certificats CA.
SSL VPN session Le botier FortiGate journalise toutes les activits de la
session telles que les lancements et blocage
dapplications, les timeouts, les vrifications etc.

01-30001-0203-20060424
Journal Antivirus
Le Journal Antivirus enregistre les incidents lis aux virus pour les trafics Web,
FTP et mail. Par exemple, lorsque le botier FortiGate dtecte un fichier infect,
bloque un type de fichier ou bloque un fichier ou mail surdimensionn. Vous
pouvez appliquer les filtres suivants :
Virus Le botier FortiGate journalise toutes les infections virales.

Fichiers Bloqus Le botier FortiGate journalise tous les cas de fichiers bloqus.
Fichiers/Mails Le botier FortiGate journalise tous les cas de fichiers
surdimensionns ou mails dpassant un seuil dfini.
AV Monitor Le botier FortiGate journalise tous les cas des virus, fichiers
bloqus et fichiers et mails surdimensionns. Cela sapplique
aux trafics HTTP, FTP, IMAP, POP3, SMTP et IM.
Activer les journaux antivirus
1 Slectionnez Pare-feu > Profil de protection.

2 Cliquez sur licne Editer dun profil de protection.
3 Cliquez sur la flche bleue ct de Logging pour afficher les options de
Journalisation.
4 Cochez les vnements antivirus journaliser et cliquez ensuite sur OK.
Journal Filtrage Web

Le Journal Filtrage Web enregistre les erreurs dvaluation de journalisation
FortiGuard HTTP ainsi que les actions de blocage de contenu web effectues par
le botier FortiGate.
Activer les journaux Filtrage Web

Journalisation.
4 Sous Filtrage Web, cochez les vnements de filtrage web journaliser.
5 Cochez FortiGuard Web Filtering Erreurs dvaluation (HTTP uniquement) pour
journaliser le filtrageFortiGuard.
6 Cliquez ensuite sur OK.
Journal des Attaques

Le Journal Attaques enregistre les intrusions dtectes et bloques par le botier
FortiGate. Le botier FortiGate journalise les vnements suivants :
Signature des attaques Le botier FortiGate journalise toutes les intrusions dtectes
et bloques bases sur la signature de lattaque, ainsi que les
actions prises par le botier FortiGate.

01-30001-0203-20060424
Anomalies Le botier FortiGate journalise toutes les intrusions dtectes
et bloques bases sur des signatures inconnues ou
suspectes, ainsi que les actions prises par le botier FortiGate.
Activer les journaux Attaques

Journalisation.
4 Cochez IPS Journaliser les intrusions et cliquez ensuite sur OK.
Remarque : Vous devez vous assurer de lactivation des paramtres de journalisation des
signatures des attaques et anomalies. Les options de journalisation pour les signatures
prsentes sur le botier FortiGate sont dfinies par dfaut. Veillez ce que toutes les
signatures personnalises aient loption de journalisation active. Pour plus de dtails, voir
Protection contre les intrusions la page 352.
Journal Antispam
Le Journal Antispam enregistre les blocages dadresses mails et de contenu des
trafics SMTP, IMAP et POP3.
Activer les journaux antispam

Journalisation.
4 Cochez Filtrage antispam Log Spam et cliquez ensuite sur OK.
Journal IM / P2P
Le Journal des Messageries Instantanes et Peer-to-Peer enregistre les textes des
messages instantans, les communications audio, les tentatives de transferts de
fichiers par les utilisateurs, le temps dessai de la transmission, le type
dapplication IM utilis et le contenu de la transmission.
Activer les journaux IM / P2P

Journalisation.
4 Cochez les deux journalisations des activits IM et P2P et cliquez ensuite sur OK.

01-30001-0203-20060424
Accs aux Journaux
Le botier FortiGate vous permet de visualiser les journaux stocks en mmoire,
sur le disque dur ou sur un FortiAnalyzer muni du microcode version 3.0.
Au sein de lafficheur de journaux, vous pouvez lancer une recherche et filtrer des
messages journaliss. Pour les journaux stocks sur un FortiAnalyzer, vous
pouvez galement supprimer des fichiers journaux, retirer des messages
journaliss des fichiers et tlcharger le fichier journal soit en format texte, soit en
format CSV.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du
microcode version 3.0 ou plus.
Accs aux messages journaliss stocks en mmoire

Visualiser les messages journaliss stocks dans le FortiAnalyzer

2 Slectionnez Memory.
3 Slectionnez le type de journal dsir. Les journaux trafic ne sont pas stocks en
mmoire, tant donn leur volume.
Les messages journaliss saffichent dans la fentre.
Accs aux journaux stocks sur un botier FortiAnalyzer

Dans la cas o vous avez configur votre botier FortiGate pour quil envoie des
paquets messages journaliss vers un FortiAnalyzer, vous pourrez visualiser,
naviguer et tlcharger des journaux sauvegards sur ce FortiAnalyzer. Pour plus
de dtails sur la configuration du FortiGate pour lenvoi de journaux vers un
FortiAnalyzer, voir Journalisation sur un FortiAnalyzer la page 411.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du
microcode version 3.0 ou plus.
Accder aux fichiers journaux dun FortiAnalyzer

3 Slectionnez le type de journal dsir.

01-30001-0203-20060424
Illustration 264 : Fichiers journaux sur un FortiAnalyzer
Type de journal Slectionnez le type de journal que vous voulez visualiser.

Certains fichiers journaux, tels que le journal Trafic, ne peut
pas tre sauvegard sur la mmoire en raison du volume des
informations journalises.
Nom de fichier Les noms des fichiers du type slectionn stock sur le disque
dur du FortiAnalyzer.
Lorsquun fichier journal atteint sa taille maximum, le
FortiAnalyzer sauve ce fichier avec un numro et commence
un nouveau fichier avec le mme nom. Par exemple, le journal
Attaques en cours est alog.log. Tout journal supplmentaire
sauv aura comme nom alog.n, o n est le nombre de
journaux rpertoris.
Taille La taille du fichier journal en octets.
Date du dernier accs Le jour, le mois, lanne et lheure auxquels le dernier paquet
journalis a t envoy par le botier FortiGate.
Icne Vider Permet de vider le fichier en cours. Vider un fichier en cours
efface tous les messages journaliss du fichier actif. Il est
seulement possible de vider le journal actif.
Icne Supprimer Permet de supprimer le fichier journal entier. Vous ne pouvez
pas supprimer le fichier actif.
Icne Tlcharger Permet de tlcharger le journal sous format texte ou fichier
CSV.
Icne Visualiser Permet dafficher le fichier journal partir de linterface
Visualisation des informations journalises

Lafficheur de journaux reprend les informations des messages journaliss. Les
colonnes reprennent le contenu des fichiers journaux. La partie suprieure de la
page comprend des fonctionnalits de navigation qui vous aideront vous
dplacer parmi les messages et localiser des informations spcifiques.

01-30001-0203-20060424
Illustration 265 : Visualisation des messages journaliss
Type de journal Slectionnez le type de journal visualiser.

Icne Page prcdente Affiche la page prcdente du fichier journal.
Icne Page suivante Affiche la page suivante du fichier journal.
Visualiser lignes par page Choisissez le nombre de messages journaliss affichs
sur chaque page.
Ligne Entrez le numro de la ligne de la premire ligne
afficher. Le nombre suivant le slash ( / ) est le nombre
total de ligne dans le journal.
Formatage des colonnes Slectionnez pour ajouter ou supprimer des colonnes.
Colonnes/Formatage Slectionnez Colonnes pour passer en affichage non
format des messages journaliss. Slectionnez
Formatage pour passer en affichage organis en
colonnes.
Clear All Filters Supprimer tous les filtres. Permet de supprimer les options
de filtrage en cours pour le fichier journal.
Paramtres des colonnes

Le formatage des colonnes permet de personnaliser laffichage des messages
journaliss lors de laffichage Formatage des messages.
Illustration 266 : Paramtres des colonnes pour laffichage des messages journaliss
Personnaliser les colonnes

2 Choisissez le Type de Journal que vous dsirez accder.

01-30001-0203-20060424
3 Choisissez entre Memory ou FortiAnalyzer.
4 Si vous visualisez un fichier journal sur un FortiAnalyzer, slectionnez View pour le
fichier.
5 Cliquez sur Formatage des colonnes.
6 Slectionnez un nom de colonne. Pour modifier laffichage des informations des
journaux, slectionnez soit :
-> la flche droite pour dplacer les champs slectionns de la liste
Champs Disponibles vers la liste Visualiser les champs dans cet
ordre.
<- la flche gauche pour dplacer les champs slectionns de la
liste Visualiser les champs dans cet ordre vers la liste Champs
Disponibles.
Monter Dplace le champ slectionn dune place vers le haut dans la
liste Visualiser les champs dans cet ordre.
Descendre Dplace le champ slectionn dune place vers le bas dans la
liste Visualiser les champs dans cet ordre.
7 Cliquez sur OK.
Filtrage des messages journaliss

Il est possible de filtrer les contenus des journaux pour trouver des informations
spcifiques dans un large fichier ou dans plusieurs fichiers. Le filtrage offre une
forme de recherche avance pour chaque colonne dinformation du journal.
Illustration 267 : Filtrages des journaux
Les paramtres de filtrage appliqus se maintiennent pendant la dure de votre

connexion au botier FortiGate. Les filtres des journaux sont rinitialiss chaque
dconnexion du botier FortiGate.
Remarque : Vous devez tre en affichage Formatage pour accder aux filtres.
Filtrer des messages journaliss

2 Slectionnez le type de journal auquel vous voulez accder.
3 Choisissez entre Memory ou FortiAnalyzer.
4 Si vous visualisez un fichier journal sur un FortiAnalyzer, slectionnez View pour le
fichier.
5 Slectionnez licne Filtre de la colonne trier.
6 Entrez un critre de filtrage dans le champ Texte.
7 Slectionnez si le critre entr est gal ce que vous filtrez ou sil est prsent dans
les donnes.
8 Si vous dsirez exclure les contenus, cochez NOT.

01-30001-0203-20060424
Les icnes Filtres apparaissent en gris dans len-tte de la colonne. Un filtre utilis
apparat en vert.
Pour annuler un filtre, slectionnez licne Filtre et cliquez ensuite sur Rinitialiser
Filtre.
Rapports
Le botier FortiGate offre deux formes de rapports, vous permettant de visualiser
les informations sur le trafic circulant sur votre rseau :
Rapports de base sur le trafic Le botier FortiGate utilise les informations des
journaux stocks en mmoire pour soumettre, sous format graphique, des
informations de base sur le trafic. Les rapports comprennent la bande
passante par service et les protocoles par volume.
Rapports FortiAnalyzer lorsquil est connect un FortiAnalyzer, le botier
FortiGate peut accder tous les rapports gnrs par le FortiAnalyzer partir
de ses journaux. Vous pouvez galement personnaliser un rapport par dfaut
pour le botier FortiGate.
Rapports de base sur le trafic

Le botier FortiGate utilise des informations sur les journaux rassembles et les
prsente sous format graphique pour tablir lusage rseau pour un nombre de
services. Les graphiques montrent le volume doctets utilis par le trafic.
Remarque : Les donnes utilises pour les graphiques sont stockes en mmoire. Lors
dun redmarrage ou dune rinitialisation du botier FortiGate, les donnes sont effaces.
Pour visualiser les rapports des journaux, slectionnez Journaux/Alertes >

Report Access et choisissez Memory.
Illustration 268 : Visualisation de la Bande Passante par service

01-30001-0203-20060424
Source des donnes La localisation partir de laquelle le botier FortiGate obtient
les donnes sur la journalisation pour ses rapports. Choisissez
Memory pour visualiser les journaux de base sur le trafic. Pour
obtenir des rapports plus dtaills, slectionnez FortiAnalyzer.
Pour plus dinformations sur les rapports du FortiAnalyzer, voir
Rapports FortiAnalyzer la page 426.
Time Period Slectionnez un intervalle de temps pour les analyses de
graphiques.
FortiAnalyzer Link Le lien en haut du rapport varie selon que vous ayez configur
le botier FortiGate pour lenvoi de journaux vers un
FortiAnalyzer. Le lien peut tre :
To access a complete set of 1000+ reports, please
configure a FortiAnalyzer appliance cliquez sur ce lien
pour configurer un FortiAnalyzer. Pour plus de dtails, voir
Journalisation sur un FortiAnalyzer la page 411.
Access full set of reports on FortiAnalyzer cliquez sur ce
lien pour lancer une nouvelle fentre de navigation
accdant linterface dadministration web du
FortiAnalyzer.
Le rapport nest pas mis jour en temps rel. Pour rafrachir le rapport,
slectionnez Journaux/Alertes > Report Access.
Configuration de laffichage des graphiques

Les rapports FortiGate comprennent une large gamme de services que vous
pouvez contrler avec le rapport de base graphique. Pour vous aider visualiser
des informations spcifiques, vous pouvez personnaliser ce que vous voyez sur le
graphe Bande Passante par Service ( Bandwidth Per Service).
Modifier les informations des graphiques
1 Slectionnez Journaux/Alertes > Report Access.

2 Choisissez Memory comme Source de donnes.
3 Slectionnez le service que vous dsirez voir apparatre sur le graphe et cliquez
ensuite sur Appliquer.
Le graphe se met jour avec le contenu slectionn. Le Top Protocols Ordered
by Total Volume ne change pas.
Remarque : Il sagit de rapports simplifis. Un botier FortiAnalyzer peut fournir des rapports
plus dtaills ou spcifiques. La fonction dun FortiAnalyzer est de rassembler des
messages journaliss et de gnrer des rapports. Il peut gnrer plus de 140 rapports
diffrents, vous offrant ainsi des informations historiques et mises jour, des tendances sur
votre rseau pour les activits mail, IM et gnrales. Ceci vous aide dans lidentification de
problmes de scurit et dans la rduction des mauvais usages et abus du rseau.

01-30001-0203-20060424
Rapports FortiAnalyzer
Dans le cas o le botier FortiGate est connect un FortiAnalyzer muni du
microcode version 3.0 ou plus, il vous est possible daccder tous les rapports
gnrs pour le botier FortiGate. Vous pouvez galement configurer un profil de
rapport par dfaut configurable pour gnrer des rapports spcifiques pour le
botier FortiGate.
Lorsque le botier FortiGate se connecte pour la premire fois un FortiAnalyzer,

ce dernier cre un profil de rapport par dfaut personnalisable. Seul ce profil peut
tre personnalis partir du botier FortiGate.
Le FortiAnalyzer peut crer plusieurs profils de rapport pour un botier FortiGate

afin de rpondre une gamme dexigences et des options personnalisables
additionnelles.
Pour plus de dtails sur lajout et la configuration de profils de rapport, voir le
FortiAnalyzer Administration Guide.
Remarque : Les rapports FortiAnalyzer napparaissent pas tant que vous ne configurez pas
le botier FortiGate pour quil se connecte un FortiAnalyzer, ou si le FortiAnalyzer nest pas
muni du microcode version 3.0 ou plus.
Visualisation des rapports FortiAnalyzer

Le FortiAnalyzer peut gnrer un nombre de rapports spcifiques pour un botier
FortiGate et faire fonctionner ces rapports selon des horaires prcis, ou sur
demande. Si vous utilisez un FortiAnalyzer, vous pouvez accder tout rapport
gnr pour le botier FortiGate partir de linterface dadministration web
FortiGate.
Visualiser les rapports FortiAnalyzer
1 Slectionnez Journaux/Alertes > Report.

2 Choisissez FortiAnalyzer comme Source de donnes.
3 Cliquez sur la flche bleue pour afficher la slection des rapports visualiser.
4 Slectionnez un nom de rapport pour visualiser une version HTML du rapport.
Si le rapport a t configur pour inclure des formats alterns, vous pouvez
slectionner licne dans la colonne Autres Formats.

01-30001-0203-20060424
Illustration 269 : Visualisation des rapports FortiAnalyzer pour le botier FortiGate
Configuration Slectionnez pour configurer le rapport par dfaut pour le

botier FortiGate. Ce rapport apparaissant en haut de la liste
des rapports FortiAnalyzer, est le seul rapport personnalisable
partir du botier FortiGate. Pour plus de dtails, voir le
FortiAnalyzer Administration Guide.
Fichiers de rapport Les noms des fichiers HTML pour chaque rapport gnr dans
le profil de rapport.
Date La date et lheure auxquelles le FortiAnalyzer a gnr les
rapports.
Taille (octets) La taille des fichiers rapports.
Autres Formats Dans le cas o cela a t configur par ladministrateur
FortiAnalyzer, des formats de fichiers supplmentaires de
rapports apparatront. Ces formats comprennent Adobe PDF,
Microsoft Word RTF ou ASCII Text.
Configuration du rapport par dfaut du FortiAnalyzer

Il est possible de mettre jour ou de modifier un profil de configuration de rapport
pour y inclure les informations paratre sur le rapport. Choisissez le type de
rapport et un intervalle de temps pour fournir des rapports spcialiss.
Configurer le profil de rapport par dfaut du FortiAnalyzer
1 Slectionnez Journaux/Alertes > Report Config.

2 Choisissez FortiAnalyzer comme Source de donnes.
3 Slectionnez Configuration.
4 Entrez un titre pour le rapport et une description de ce quil contient. Ces deux
champs sont facultatifs.
5 Cliquez sur la flche bleue ct des options configurer :
Priode de temps Choisissez un intervalle de temps pour le rapport.
Porte du rapport Choisissez le type de rsultat inclure dans le rapport.
Report Types Slectionnez les rapports inclure.
Filtre Filtrez les donnes des journaux pour crer des rapports sur
des contenus ou informations spcifiques.

01-30001-0203-20060424
Planifi Configurez le moment auquel le FortiAnalyzer gnre ses
rapports, par exemple, chaque semaine ou chaque mois.
Format/Sortie Choisissez un format pour les rapports.
6 Cliquez sur OK.
Configuration des options temporelles

Les rapports reprennent les informations pour un laps de temps donn. Vous
devez spcifier cet intervalle de temps souhait. Lorsque le FortiAnalyzer gnre
un rapport, il utilise les donnes journalises pour cette priode de temps spcifi
uniquement.
Illustration 270 : Configuration des options temporelles des rapports
Priode de temps Slectionnez un intervalle de temps pour le rapport.

Date de dbut : Choisissez la date et lheure de dpart.
Date de fin : Choisissez la date et lheure de fin.
Configuration du contenu des rapports

Slectionnez le type de rsultats que vous voulez inclure dans les rapports.
Illustration 271 : Configuration du contenu des rapports
Rsoudre les noms Permet laffichage des noms dhtes par un nom
dhtes reconnaissable la place des adresses IP. Pour toute
information sur la configuration dadresse IP de noms dhtes,
voir le FortiAnalyzer Administration Guide.
Rsoudre les noms Permet laffichage des noms des services rseaux la place
de services des numros de port. Par exemple, HTTP au lieu de port 80.
Dans les rapports Pour certains types de rapports, vous pouvez dfinir
classs montrer le top les lments suprieurs. Ces rapports ont le mot Top dans
leur nom et afficheront uniquement les n entres suprieures.
Par exemple, le rapport des clients mail les plus actifs dans
lorganisation (au lieu de tous les clients mail).
Les rapports qui ne comprennent pas le mot Top dans leur
nom afficheront quant eux toutes les informations. Les
rapports ne seront pas affects par un changement des
valeurs du champ Top .

01-30001-0203-20060424
Configuration de la slection des rapports
Slectionnez le type dinformations que vous voulez inclure dans les rapports :
Basic offre les types de rapports les plus communs.
All offre tous les types de rapports. Si les donnes pour un type de rapport
sont inexistantes, ce rapport affichera un message prcisant que les donnes
journalises pour ce rapport nont pas t trouves.
Custom permet de slectionner les rapports que vous voulez inclure. Cliquez
sur la flche bleue pour afficher les catgories de rapports et slectionnez des
rapports individuels.
Configuration de filtres pour les journaux

Le filtrage vous permet de visualiser ou retirer des informations dun rapport pour
obtenir un rapport plus concis. Cela sert dans le cas, par exemple, o vous ne
dsirez que des rapports sur des messages derreurs spcifiques ou encore si
vous ne voulez pas inclure certaines adresses IP de destination.
Illustration 272 : Configuration de filtres pour les journaux
Filtres Choisissez None pour ne pas appliquer de filtres aux journaux

dun rapport.
Choisissez Custom pour appliquer des filtres aux journaux dun
rapport.
Include logs that match Slectionnez le critre voulu pour le filtre.
Slectionnez All pour inclure dans le rapport les journaux qui
correspondent tous les paramtres des filtres. Si le contenu
dun journal ne correspond pas tous les critres, le
FortiAnalyzer ne reprendra pas ce journal dans son rapport.
Slectionnez Any pour inclure dans le rapport les journaux qui
correspondent au moins un critre des filtres. Si un contenu
de filtre, mme sil est le seul, correspond au contenu dun
journal, celui-ci sera repris dans le rapport gnr par le
FortiAnalyzer.
Priorit Cochez cette case pour activer les options de filtrage en
fonction du niveau de priorit. Slectionnez ensuite le niveau
de priorit rechercher dans les journaux et prcisez si vous
dsirez que le contenu soit gal, plus grand ou plus petit que
ce niveau de priorit.

01-30001-0203-20060424
Source(s) Entrez ladresse IP source comme critre de correspondance.
Utilisez une virgule pour sparer plusieurs adresses.
Cochez Not pour exclure ladresse IP source du rapport. Dans
le cas par exemple o vous ne voulez pas inclure le contenu
dune adresse IP source prcise dans le rapport.
Destination(s) Entrez ladresse IP de destination comme critre de
correspondance. Utilisez une virgule pour sparer plusieurs
adresses.
Cochez Not pour exclure ladresse IP de destination du
rapport. Dans le cas par exemple o vous ne voulez pas
inclure le contenu dune adresse IP de destination prcise
dans le rapport.
Vous pouvez galement organiser le filtre en fonction de

plages dadresses IP, y compris des sous-rseaux pour crer
des rapports sur des groupes de lorganisation. Par exemple :
172.20.110.0-255 filtre toutes les adresses IP du
sous-rseau 172.20.110.0/255.255.255.0 ou 172.20.110.0/24
172.20.110.0-140.255 filtre toutes les adresses IP de
172.20.110.0 172.20.140.255
172.16.0.0-20.255.255 filtre toutes les adresses IP de
172.16.0.0 172.20.255.255
Interface(s) Entrez linterface que vous voulez inclure dans le rapport.
Sparez plusieurs interfaces par une virgule.
Cochez Not pour exclure les informations de cette interface du
rapport. Dans le cas par exemple o vous ne voulez pas
inclure le contenu dune interface prcise dans le rapport.
Domaine(s) Virtuel(s) Entrez les domaines virtuels inclure dans le rapport. Sparez
plusieurs domaines virtuels par une virgule.
Cochez Not pour exclure le VDOM du rapport. Dans le cas par
exemple o vous ne voulez pas inclure le contenu dun VDOM
prcis dans le rapport.
Service(s) Entrez les services spcifiques inclure dans le rapport.
Sparez plusieurs services par une virgule.
Cochez Not pour exclure le service du rapport. Dans le cas par
exemple o vous ne voulez pas inclure le contenu dun service
URL(s) Entrez les URL spcifiques inclure dans le rapport. Sparez
plusieurs URL par une virgule.
Cochez Not pour exclure lURL du rapport. Dans le cas par
exemple o vous ne voulez pas inclure le contenu dun URL
Priode Slectionnez un intervalle de temps inclure dans le rapport.
Jours de la semaine Choisissez les jours de la semaine pour lesquels les
informations tires des fichiers journaux sont insres dans les
rapports.

01-30001-0203-20060424
Configuration dun planning pour les rapports
Le FortiAnalyzer gnre des rapports selon un planning que vous dfinissez.
Choisissez un horaire rcurrent pour que, par exemple, chaque semaine des
rapports sur le trafic mail soient gnrs.
Illustration 273 : Configuration dun planning pour les rapports
Non planifi Permet de ne pas gnrer de rapport quotidien. Utilisez ce

paramtre lorsque vous voulez obtenir des rapports seulement
lorsque ncessaire. Si vous slectionnez cette option, vous
devez solliciter linitiation du rapport partir de linterface
dadministration web du FortiAnalyzer.
Quotidiennement Permet de gnrer un rapport tous les jours la mme heure.
Ces jours Permet de gnrer un rapport certains jours de la semaine.
Des dates Permet de gnrer un rapport certains jours du mois. Par
exemple, pour gnrer un rapport tous les premiers et
quinzimes jours du mois, entrez 1, 15.
Heure Permet de dfinir lheure laquelle le rapport sera gnr.
Configuration de la sortie des rapports

Vous pouvez choisir la destination et le format des rapports. Configurez pour cela
le botier FortiAnalyzer pour soit sauvegarder les rapports sur son disque dur, soit
les envoyer par mail tous les destinataires prvus, soit encore les deux options.
Lors de la configuration du FortiAnalyzer pour lenvoi par mail des rapports, vous
devez configurer le serveur mail sur le FortiAnalyzer. Pour toute information ce
sujet, voir le FortiAnalyzer Administration Guide.
Remarque : Si vous envoyez par mail des rapports HTML un utilisateur et que son client
email ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du
message.

01-30001-0203-20060424
Illustration 274 : Configuration de la sortie des rapports
Fichier de sortie Slectionnez le format de fichier pour les rapports gnrs

sauvs sur le disque dur du FortiAnalyzer.
Email de sortie Slectionnez le format de fichier pour les rapports gnrs
envoys par le FortiAnalyzer en pice jointe de courriers
lectroniques.
Liste dadresses Email Entrez les adresses mail des destinataires des rapports. Tapez
la touche Enter pour ajouter une adresse mail supplmentaire.
Charger le rapport Slectionnez pour tlcharger des fichiers de rapports
sur un serveur FTP termins sur un serveur FTP.
Adresse IP Entrez ladresse IP du serveur FTP.
Nom dutilisateur Entrez le nom dutilisateur pour vous connecter sur le serveur
FTP.
Mot de passe Entrez le mot de passe pour vous connecter sur le serveur
FTP.
Charger le(s) rapport(s) Permet de compresser les fichiers des rapports en
au format gzip fichiers gzip avant de les tlcharger sur un serveur FTP.
Supprimer le(s) fichier(s) Permet de supprimer les fichiers des rapports du

aprs chargement disque dur du FortiAnalyzer une fois que celui-ci a termin le
tlchargement sur le serveur FTP.
Mail dalerte
La fonctionnalit de mail dalerte permet au botier FortiGate de surveiller les
journaux de messages journaliss ayant un certain niveau de svrit. Si le
message apparat dans les journaux, le botier FortiGate envoie un mail aux
destinataires prdfinis du message journalis en question.
Lenvoi de mails dalerte fournit une notification immdiate de problmes

apparaissant sur le botier FortiGate, tels que des erreurs systme ou des attaques
rseaux.

01-30001-0203-20060424
Illustration 275 : Options des mails dalerte
Configuration des mails dalerte

Lors de la configuration de mails dalerte, vous devez configurer au moins un
serveur DNS. Le botier FortiGate utilise le nom du serveur SMTP pour se
connecter au serveur mail et doit chercher ce nom sur votre serveur DNS.
Configurer les mails dalerte

1 Slectionnez Journaux/Alertes > Configuration > Alerte Mail.
2 Dfinissez les options suivantes et cliquez ensuite sur Appliquer :
Serveur SMTP Le nom/adresse du serveur mail SMTP.
Email from Le nom dutilisateur SMTP.
Destinataire Entrez jusqu trois destinataires des mails dalerte.
Authentification Activer Cochez cette case pour activer lauthentification SMTP.
Compte de messagerie Entrez un nom dutilisateur pour vous connecter au
SMTP serveur SMTP pour lenvoi de mails dalerte. Cette manoeuvre
nest ncessaire que si vous avez activ lauthentification
SMTP.
Mot de passe Entrez un mot de passe pour vous connecter au serveur
SMTP pour lenvoi de mails dalerte. Cette manoeuvre nest
ncessaire que si vous avez activ lauthentification SMTP.
Log Level Le botier FortiGate envoie des mails dalerte pour tous les
messages du niveau de svrit slectionn ainsi que des
niveaux suprieurs.
Urgent Entrez un intervalle de temps dattente avant lenvoi du mail
Alerte dalerte du niveau additionnel des messages journaliss.
Critique
Erreur
Avertissement
Notification
Information

01-30001-0203-20060424
Remarque : Dans le cas o le botier FortiGate runit plus dun message journalis avant
que lintervalle de temps soit atteint, le botier FortiGate combine ces messages et nenvoie
quun mail dalerte.

01-30001-0203-20060424
Index
A C
accs au mode console, 33 Centre FortiGuard, 184
administrateur configuration du botier, 186
authentification RADIUS, 169 problmes de connexion, 188
configuration dun compte, 170 service Antispam, 185
contrle, 180 service de filtrage web, 185
liste, 169 certificats VPN, 316
modifier le mot de passe, 170 certificats CA, 320
administration certificats locaux, 316
comptes administrateurs, 168 gnrer une requte de certificat, 317
FortiManager, 17778 importation dun certificat serveur sign, 319
groupe dutilisateurs, 169 liste de rvocation de certificat, 322
profils dadministration, 174 chssis FortiGate srie 5000, 15
adresse pare-feu, 245 cluster
configuration, 247 administration, 133
configuration des groupes dadresses, 248 administration individuelle des membres, 135
introduction, 245 configuration, 124
liste des adresses pare-feu, 246 connexion au rseau, 147
liste des groupes dadresses, 247 dconnexion dun membre, 136
ajout d'un serveur ping une interface, 7677 liste des membres, 11920
antispam, 386 radjoindre un membre dconnect, 137
configuration cli, 398 rplication, 135
expressions rgulires en Perl, 400 cluster virtuel
liste noire et liste blanche, 392 administration, 141
modle mta-caractre, 400 clustering virtuel
mots bannis, 389 activation, 131
trafic POP3 et IMAP, 386 configuration, 127
trafic SMTP, 386 exemple de configuration, 139
antivirus, 337 configuration
configuration CLI, 350 des paramtres du modem, 79
liste de soumission automatique, 344 configuration de l'interface modem, 79
liste des graywares, 348 configuration du systme
liste des virus, 347 sauvegarde et restauration, 181
mise en quarantaine, 342 Configuration Globale
modles de fichier, 338 paramtres, 42
options de mise en quarantaine, 345 configuration par dfaut
archives de contenu, 58 des profils de protection, 280
authentification console de message d'alerte, 50
RADIUS, 169 conventions du document, 26
authentification
dun utilisateur, 324
authentification D
paramtrage du timeout, 324 date et heure, paramtrage, 51
auto key, 295 dtection de l'chec d'une passerelle, 76
DHCP
B baux dadresses, 103
configuration dun serveur, 101
bande passante garantie, 239 configuration dune interface, 69
bande passante maximum, 239 configuration dune interface comme relais DHCP,
BGP, 219 101
paramtres, 220 configuration des services DHCP, 100
serveurs et relais, 99
DNS
configuration dynamique d'une interface, 72
domaines virtuels

01-30001-0203-20060424
affectation dun administrateur, 46 groupe dutilisateurs, 32930
ajout dinterfaces un vdom, 45 configuration, 333
cration et dition, 44 groupe dutilisateurs Active Directory, 331
introduction, 40 groupe dutilisateurs pare-feu, 331
mode Multiple VDOM, 43 groupe dutilisateurs VPN SSL, 332
paramtres de configuration, 41 liste de groupe, 332
paramtres de la Configuration Globale, 42 options override FortiGuard, 334
domaines virtuels et cluster types de groupe, 331
configuration, 130 groupe dutilisateurs VPN SSL, 335
groupes dadresses
configuration, 248
E
chec d'une passerelle
dtection, 76
H
enregistrement d'un FortiGate, 37 HA, high availability
expressions rgulires en Perl, 400 voir haute disponibilit, 104
haute disponibilit
exemple de configuration en maillage intgral, 143
F haute disponibilit, 104
filtrage web, 366 clustering virtuel, 108
filtre url, 374 interface de Heartbeat, 117
liste dexemption des contenus web, 371 maillage intgral HA, 109
liste de blocage de contenu, 368 modes HA (actif-actif et actif-passif, 107
par mots cls, 368 options HA, 114
filtrage web FortiGuard, 378 priorit de lquipement, 115
liste override, 379 protocole de clustering FortiGate (FGCP), 106
filtre MAC, 96 statistiques, 122
FortiAnalyzer, 411 haute disponibilit
accs aux journaux, 420 interfaces agrges 802.3ad, 150
dcouverte automatique, 412 haute disponibilit
rapports, 42526 journalisation dun cluster, 415
FortiGate heartbeat
documentation, 2627 adresses IP des interfaces, 119
FortiGate IPv6, 91 interface, 117
commande CLI, 91 interfaces par dfaut, 118
FortiGate srie 5000 historique oprationnel, 55
chssis, 15 htes de confiance, 17273
modules, 16
FortiGuard
configuration des options override, 334
I
mise jour manuelle des dfinitions AV et IPS, 55 icnes, description, 36
Fortinet IM, 403
Base de Connaissance, 28 configuration cli, 408
Service clientle et support technique, 28 les utilisateurs, 405
Fortinet, gamme de produits politique utilisateur globale, 407
FortiAnalyser, 22 statistiques densemble, 403
FortiBridge, 23 statistiques par protocole, 404
FortiClient, 22 information sur la licence, 48
FortiGuard, 22 interface
FortiMail, 23 ajout d'un serveur ping, 7677
FortiManager, 23 configuration additionelle, 74
FortiReporter, 23 configuration DHCP, 69
configuration DNS dynamique, 72
configuration PPPoE, 70
G contrler un accs administratif, 74
gamme de produits FortiGate, 15 introduction, 61
gamme de produits Fortinet, 2122 paramtres, 63
groupe dadresses pare-feu, 247 paramtres DHCP, 70
436 Guide dinstallation FortiGate-3000 et FortiGate-3600 Version 3.0

01-30000-0270-20051212
paramtres PPPoE, 71 sur Web Trends, 415
interface agrge 802.3ad, 66 types de journaux, 41516
interface d'administration web, 29
aide en ligne, 30
barre de boutons, 30 L
barre de statuts, 37 licence, 19293
dconnexion, 34 liste des sessions, 57
cran, 29 logiciel FortiGate, 53
icnes, 36 mise jour logicielle, 53
menu, 35 retour une version antrieure, 54
moteur de recherche, 32
pages, 34
interface IPSec virtuelle M
configuration, 72
interface modem MAC
configuration, 79 adresses MAC virtuelles, 138
interface redondante, 67 mail dalerte, 432
interface sans fil, 68 maillage intgral
interfaces exemple de configuration, 143
statuts, 50 message de connexion VPN SSL
IP virtuelles, 260 modification, 16465
ajout dIP virtuelles dynamiques, 276 messages de remplacement, 16061
ajout dun relayage de port, 269 mta-caractre, 400
ajout dune IP virtuelle dquilibrage de charge, MIB
272 champs MIB Fortinet, 158
ajouter une adresse IP virtuelle de translation, 265 MIB FortiGate, 156
66 mise jour
configuration des adresses, 264 des signatures antivirus et IPS, 189
liste, 264 mise jour force, 191
ips, 352 via un serveur proxy, 190
anomalies, 362 mise jour logicielle, 53
configuration cli, 36465 partir de linterface dadministration web, 53
dcodeurs de protocoles, 360 mise en quarantaine, 342
signatures personnalises, 358 configuration des options, 345
signatures prdfinies, 35354 mode Transparent
IPSec virtuelle table de routage, 78
configuration d'une interface, 72 modles de fichier, 338
paramtres, 73 modem
configuration des paramtres, 79
connexion et dconnexion, 83
J statut, 84
modules FortiGate srie 5000, 16
journal des Attaques, 59 Multicast, 221
journalisation, 409 paramtres, 222
accs aux journaux, 41920
botier FortiAnalyzer, 411
dun cluster haute disponibilit, 415 N
filtres et colonnes, 422
journal antispam, 419 nom dhte dun membre, 123
journal antivirus, 41718 nom d'hte du FortiGate, modification, 52
journal des attaques, 418 numro de squence, 195
journal vnement, 417
journal filtrage web, 418 O
journal im/p2p, 419
journal Trafic, 416 options du rseau
niveaux de svrit, 410 configuration, 77
stockage des journaux, 411 OSPF, 211
sur la mmoire, 413 dfinitions daires, 216
sur un serveur Syslog, 414 options avances, 214
Guide dinstallation FortiGate-3000 et FortiGate-3600 Version 3.0 437

01-30000-0270-20051212
paramtres de base, 212 ajout dun profil une rgle, 292
spcification de rseaux, 217 configuration, 281
systme autonome, 211 configuration CLI, 293
introduction, 279
liste, 280
P options antivirus, 28182
P2P, 403 options de filtrage antispam, 286
configuration cli, 408 options de filtrage web, 283
les utilisateurs, 405 options de la journalisation, 291
politique utilisateur globale, 407 options des archives de contenu, 289
statistiques densemble, 403 options du filtrage FortiGuard-Web, 28485
statistiques par protocole, 404 options IM et P2P, 290
page dignorance du filtrage web FortiGuard options IPS, 28889
modification, 164 par dfaut, 280
page dinformation dauthentification profils dadministration, 174
modification, 165 configuration, 176
page de connexion et authentification liste, 176
modification, 163 protection contre les intrusions, 352
paires et groupes de paires, 336 anomalies, 362
par dfaut configuration cli, 36465
route et passerelle, 198 dcodeurs de protocoles, 360
paramtrage, date et heure du systme, 51 signatures personnalises, 358
paramtres signatures prdfinies, 35354
d'une route en mode Transparent, 78
paramtres du modem
mode redondant, 79, 81
R
mode stand alone, 79, 82 RADIUS
pare-feu authentification des administrateurs, 169
groupe de service, 255 rapports, 424
service personnalis ICMP, 254 configuration dun planning, 43031
service personnalis IP, 254 configuration de la sortie des rapports, 431
service personnalis TCP ou UDP, 253 configuration des filtres, 429
pare-feu, 249 configuration des graphiques, 425
configuration des services personnaliss, 253 configuration du contenu, 428
liste des services personnaliss, 253 FortiAnalyzer, 42526
liste des services prdfinis, 249 options temporelles, 428
rgle, 228 sur le trafic, 424
pare-feu rgle de routage, 201
plage horaire ajout, 202
voir plage horaire, 257 dplacement, 203
passerelle rgle pare-feu, 228
dtection de l'chec d'une passerelle, 76 ajout dune authentification, 238
plage horaire dun pare-feu, 257 ajout dune priorit de trafic, 239
configuration des plages ponctuelles, 258 ajout dune rgle, 231
configuration des plages rcurrentes, 259 configuration, 232
liste des plages ponctuelles, 257 corresondance de rgles, 229
liste des plages rcurrentes, 258 dplacement, 231
Plages IP, 277 liste, 230
configuration, 278 options, 234
Plages IP et NAT dynamique, 277 rgle pare-feu IPSec, 242
PPPoE rgle pare-feu VPN SSL, 243
configuration dune interface, 70 rseau
prfrence des routes, 195 options du rseau, 76
priorit dun membre, 123 options, configuration, 77
priorit de lquipement, 115 retour une version logicielle antrieure, 54
priorit du trafic, 240 RIP, 205
produits de la gamme Fortinet, 2122 ignorer les paramtres, 209
profil de protection, 279 options avances, 208
438 Guide dinstallation FortiGate-3000 et FortiGate-3600 Version 3.0

01-30000-0270-20051212
paramtres de base, 206 en mode Transparent, 78
routage recherche, 227
ajout dune route statique, 200 traps FortiGate, 156
concepts, 194
construction dune table de routage, 195
numro de squence, 195 U
prfrence des routes, 195 utilisateur, 324
prendre les dcisions, 195 authentification dun utilisateur, 324
rgle, 201 comptes utilisateurs locaux, 325
route configuration dun groupe dutilisateurs, 333
paramtres, en mode Transparent, 78 groupe dutilisateurs, 32930
route et passerelle par dfaut, 198 groupe dutilisateurs Active Directory, 331
routes statiques groupe dutilisateurs pare-feu, 331
cration et dition, 197 groupe dutilisateurs VPN SSL, 332
routeur dynamique, 205 liste de groupe dutilisateurs, 332
BGP, 219 serveurs LDAP, 327
Multicast, 221 serveurs RADIUS, 326
OSPF, 211 serveurs Windows AD, 328
RIP, 205 types de groupe dutilisateurs, 331
S V
serveur override VLAN
ajout, 190 en mode NAT/Route, 85
serveurs LDAP, 327 en mode Transparent, 88
serveurs RADIUS, 326 introduction, 84
serveurs Windows AD, 328 VPN IPSec, 294
service clientle et support technique, 28 auto key, 295
snmp cl manuelle, 305
configuration, 153 concentrateur, 308
SNMP, 152 cration dune phase 1, 296
configuration dune communaut, 154 cration dune phase 2 \r, 302
statistiques tunnels actifs, 30910
visualisation, 57 VPN PPTP, 312
statuts du systme, 47 plage PPTP, 312
informations, 48 VPN SSL, 313
page des statuts, 47 configuration, 313
ressources, 49 monitor, 31415
statistiques, 50
Syslog
journalisation, 414 W
systme sans fil
domaines rgulatoires, 92 Web Trends
filtrage des MAC, 96 journalisation, 415
interface LAN sans fil FortiWiFi, 92 wireless
numros des canaux IEEE 802.11x, 92 voir Systme sans fil, 92
paramtres du systme, 94
surveillance du module, 97 Z
zone, 75
T liste des zones, 75
table de routage, 225 paramtres d'une zone, 76
affichage des informations, 225
Guide dinstallation FortiGate-3000 et FortiGate-3600 Version 3.0 439

01-30000-0270-20051212

Guide Dadministration FortiGate v30MR1 FR PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Dadministration FortiGate v30MR1 FR PDF

Transféré par

Droits d'auteur :

Formats disponibles

GUIDE DADMINISTRATION

2 Guide dAdministration FortiGate Version 3.0

Interface dadministration web ........................................................................29

Guide dAdministration FortiGate Version 3.0 3

Utilisation de domaines virtuels ......................................................................40

Systme > Rseau ............................................................................................61

4 Guide dAdministration FortiGate Version 3.0

Systme Sans Fil ..............................................................................................92

Systme DHCP ..................................................................................................99

Guide dAdministration FortiGate Version 3.0 5

Administration du Systme ...........................................................................168

6 Guide dAdministration FortiGate Version 3.0

Maintenance du Systme ...............................................................................181

Routeur Statique .............................................................................................194

Routeur dynamique ........................................................................................205

Guide dAdministration FortiGate Version 3.0 7

Adresse Pare-Feu ...........................................................................................245

Plage horaire dun Pare-feu ...........................................................................257

8 Guide dAdministration FortiGate Version 3.0

Guide dAdministration FortiGate Version 3.0 9

VPN PPTP ........................................................................................................312

VPN SSL ..........................................................................................................313

Certificats VPN ................................................................................................316

10 Guide dAdministration FortiGate Version 3.0

Protection contre les Intrusions ....................................................................352

Filtrage Web ....................................................................................................366

Guide dAdministration FortiGate Version 3.0 11

12 Guide dAdministration FortiGate Version 3.0

Journaux & Alertes .........................................................................................409

Guide dAdministration FortiGate Version 3.0 13

14 Guide dAdministration FortiGate Version 3.0

Les botiers FortiGateTM Unified Threat Management System (Systme de Gestion

Lappliance FortiGate est un botier entirement ddi la scurit. Il est convivial

Le systme FortiGate utilise la technologie de Dynamic Threat Prevention System

Ce chapitre parcourt les sections suivantes :

Introduction aux quipements FortiGate

Prsentation des quipements FortiGate

Chssis FortiGate srie 5000

Guide dAdministration FortiGate Version 3.0 15

Cette approche modulaire offre aux entreprises et utilisateurs des FAI

A propos des modules FortiGate srie 5000

16 Guide dAdministration FortiGate Version 3.0

Guide dAdministration FortiGate Version 3.0 17

Grce son rseau de distribution (FortiGuard Distribution Network), les services

18 Guide dAdministration FortiGate Version 3.0

Guide dAdministration FortiGate Version 3.0 19

20 Guide dAdministration FortiGate Version 3.0

Guide dAdministration FortiGate Version 3.0 21

Services de souscription FortiGuard

Les services FortiGuard comprennent:

Le service FortiGuard antivirus

de centraliser les journaux des botiers FortiGate, des serveurs syslog et du

FortiAnalyser peut galement tre configur en sniffer rseau et capturer en temps

22 Guide dAdministration FortiGate Version 3.0

un accs VPN pour se connecter aux rseaux distants

FortiClient peut sinstaller de faon silencieuse et se dployer aisment sur un parc

Guide dAdministration FortiGate Version 3.0 23

Ce Guide dAdministration parcourt les fonctions de linterface graphique dans le

La dernire version de ce document se trouve sur la page FortiGate du site de

De la documentation technique complmentaire sur FortiOS v3.0 est disponible sur

Ce Guide dAdministration contient les chapitres suivants :

Interface dadministration web : fournit une introduction aux fonctionnalits de

24 Guide dAdministration FortiGate Version 3.0