Académique Documents
Professionnel Documents
Culture Documents
Guide Dadministration FortiGate v30MR1 FR PDF
Guide Dadministration FortiGate v30MR1 FR PDF
FortiGate
Version 3.0
www.fortinet.com
Guide dadministration FortiGate
Version 3.0
24 avril 2006
01-30001-0203-20060424
Droit dauteur 2006 Fortinet, Inc. Tous droits rservs. En aucun cas, tout ou
partie de cette publication, y compris les textes, exemples, diagrammes ou
illustrations, ne peuvent tre reproduits, transmis ou traduits, sous aucune forme et
daucune faon, que ce soit lectronique, mcanique, manuelle, optique ou autre,
quelquen soit lobjectif, sans autorisation pralable de Fortinet, Inc.
Marques dposes
Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS,
FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System,
FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion,
FortiGuard-Web, FortiLog, FortiAnalyser, FortiManager, Fortinet, FortiOS,
FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, et
FortiWiFi sont des marques dposes de Fortinet, Inc. aux tats-Unis et/ou dans
dautres pays. Les noms des socits et produits mentionns ici peuvent tre des
marques dposes par leurs propritaires respectifs.
Statuts du Systme...........................................................................................47
Page des statuts...................................................................................................................... 47
Visualisation des statuts du systme.................................................................................... 47
Modification des informations du systme .......................................................................... 51
Paramtrage des date et heure ............................................................................................ 51
Modification du nom dhte du botier FortiGate................................................................... 52
Modification du logiciel FortiGate ......................................................................................... 53
Mise jour logicielle.............................................................................................................. 53
Retour une version logicielle antrieure ............................................................................ 54
Visualisation de lhistorique oprationnel............................................................................ 55
Mise jour manuelle des dfinitions FortiGuard................................................................. 55
Mise jour manuelle des dfinitions AV FortiGuard ............................................................ 56
Mise jour manuelle des dfinitions IPS FortiGuard ........................................................... 56
Visualisation des Statistiques ............................................................................................... 57
Visualisation de la liste des sessions.................................................................................... 57
Visualisation des Archives de Contenu ................................................................................ 58
Visualisation du Journal des Attaques.................................................................................. 59
Rgle Pare-feu.................................................................................................228
A propos des rgles pare-feu .............................................................................................. 228
Comment fonctionne la correspondance de rgles ? ......................................................... 229
Visualisation de la liste des rgles pare-feu ...................................................................... 230
Ajout dune rgle pare-feu................................................................................................... 231
Dplacement dune rgle dans la liste................................................................................ 231
Configuration des rgles pare-feu....................................................................................... 232
Options des rgles pare-feu ............................................................................................... 234
Ajout dune authentification aux rgles pare-feu ................................................................ 238
Ajout dune priorit de trafic aux rgles pare-feu ................................................................ 239
Options des rgles pare-feu IPSec..................................................................................... 242
Options des rgles pare-feu VPN SSL ............................................................................... 243
Service Pare-feu..............................................................................................249
Visualisation de la liste des services prdfinis................................................................ 249
Visualisation de la liste des services personnaliss......................................................... 253
Configuration des services personnaliss......................................................................... 253
Visualisation de la liste des groupes de services ............................................................. 255
Configuration des groupes de services.............................................................................. 255
IP virtuelles......................................................................................................260
IP virtuelles ............................................................................................................................ 260
Comment les adresses IP virtuelles grent-elles leurs connexions travers le botier
FortiGate ? .......................................................................................................................... 260
Profil de Protection.........................................................................................279
Quest-ce quun profil de protection? ................................................................................. 279
Profils de protection par dfaut........................................................................................... 280
Visualisation de la liste des profils de protection ............................................................. 280
Configuration dun profil de protection .............................................................................. 281
Options Antivirus................................................................................................................. 282
Options du filtrage Web ...................................................................................................... 283
Options du filtrage FortiGuard-Web.................................................................................... 285
Options du filtrage antispam ............................................................................................... 286
Options IPS......................................................................................................................... 289
Options des archives de contenu ....................................................................................... 289
Options IM et P2P............................................................................................................... 290
Options de la journalisation ................................................................................................ 291
Ajout dun profil de protection une rgle ........................................................................ 292
Configuration CLI dun profil de protection ....................................................................... 293
Config firewall profile........................................................................................................... 293
VPN IPSEC.......................................................................................................294
Aperu du mode interface IPSec ......................................................................................... 294
Auto Key................................................................................................................................. 295
Cration dune nouvelle configuration phase 1 .................................................................. 296
Dfinition des paramtres avancs de la phase 1.............................................................. 299
Cration dune nouvelle configuration phase 2 .................................................................. 302
Dfinition des paramtres avancs de la phase 2.............................................................. 303
Cl Manuelle .......................................................................................................................... 305
Cration dune nouvelle configuration cl manuelle ........................................................ 306
Concentrateur........................................................................................................................ 308
Dfinition des options dun concentrateur........................................................................... 309
Utilisateur ........................................................................................................324
Configuration de lauthentification dun utilisateur........................................................... 324
Paramtrage du timeout dauthentification ......................................................................... 324
Comptes utilisateurs locaux ................................................................................................ 325
Edition dun compte utilisateur............................................................................................ 325
Serveurs RADIUS .................................................................................................................. 326
Configuration dun serveur RADIUS ................................................................................... 326
Serveurs LDAP ...................................................................................................................... 327
Configuration dun serveur LDAP ....................................................................................... 328
Serveurs Windows AD .......................................................................................................... 328
Configuration dun serveur Windows AD ............................................................................ 329
Groupe dutilisateurs ............................................................................................................ 330
Types de groupe dutilisateurs............................................................................................ 331
Liste de groupes dutilisateurs ............................................................................................ 332
Configuration dun groupe dutilisateurs ............................................................................. 333
Configuration des options override FortiGuard pour un groupe dutilisateurs .................... 334
Configuration des options des groupes dutilisateurs VPN SSL......................................... 335
Configuration de paires et de groupes de paires .............................................................. 336
Antivirus ..........................................................................................................337
Antivirus................................................................................................................................. 337
Antispam .........................................................................................................386
Antispam ................................................................................................................................ 386
Ordre du filtrage antispam .................................................................................................. 386
Mots bannis ........................................................................................................................... 389
Visualisation du catalogue de listes de mots bannis antispam (Modles FortiGate-800 et
plus) .................................................................................................................................... 389
Cration dune nouvelle liste de mots bannis antispam (modles FortiGate-800 et plus) . 390
Visualisation de la liste de mots bannis antispam .............................................................. 390
Configuration de la liste des mots bannis antispam ........................................................... 392
Liste noire et liste blanche ................................................................................................... 392
Visualisation du catalogue de listes dadresses IP antispam (modles FortiGate-800 et
plus). ................................................................................................................................... 393
Cration dune nouvelle liste dadresses IP antispam (modles FortiGate-800 et plus) .... 393
Visualisation de la liste dadresses IP antispam ................................................................. 394
Configuration de la liste des adresses IP antispam............................................................ 395
Visualisation du catalogue de listes dadresses mail antispam (modles FortiGate-800 et
plus). ................................................................................................................................... 395
Cration dune nouvelle liste dadresses mail antispam (modles FortiGate-800 et plus). 396
Visualisation de la liste dadresses IP mail antispam ......................................................... 396
Configuration de la liste des adresses mail antispam ........................................................ 398
Configuration antispam avance......................................................................................... 398
config spamfilter mheader................................................................................................... 398
config spamfilter rbl............................................................................................................. 399
IM/P2P ..............................................................................................................403
Statistiques ............................................................................................................................ 403
Visualisation des statistiques densemble .......................................................................... 403
Visualisation des statistiques par protocole........................................................................ 404
Utilisateur............................................................................................................................... 405
Visualisation de la liste des utilisateurs connects............................................................. 405
Visualisation de la liste des utilisateurs .............................................................................. 406
Ajout dun nouvel utilisateur la liste des utilisateurs ........................................................ 406
Configuration dune politique utilisateur globale ................................................................. 407
Configuration IM/P2P partir de linterface de ligne de commande ............................... 408
Index ................................................................................................................435
Chssis FortiGate-5140
Le chssis FortiGate-5140 comprend quatorze slots (logements) permettant
dinstaller jusqu quatorze modules pare-feu antivirus FortiGate-5000. Il sagit dun
chssis de 12U comprenant deux modules redondants et changeables chaud
dalimentation de courant continu qui se connectent une alimentation -48 VDC
des salles dhbergement. Ce chssis possde galement trois plateaux de
ventilateurs changeables chaud.
Chssis FortiGate-5050
Le chssis FortiGate-5050 comprend cinq slots permettant dinstaller jusqu cinq
modules pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 5U comprenant
deux connexions redondantes dalimentation de courant continu qui se connectent
une alimentation -48 VDC des salles dhbergement. Ce chssis possde
galement un plateau de ventilateurs changeable chaud.
Chssis FortiGate-5020
Le chssis FortiGate-5020 comprend deux slots permettant linstallation dun ou de
deux module(s) pare-feu antivirus FortiGate-5000. Il sagit dun chssis de 4U
comprenant deux entres dalimentation de courant AC vers DC redondantes qui
se connectent une alimentation AC. Ce chssis possde galement un plateau
interne de ventilateurs.
Module FortiGate-5001SX
Le module FortiGate-5001SX est un systme de scurit hautement performant et
autonome possdant huit interfaces Ethernet gigabits. Il supporte les
fonctionnalits de haut niveau notamment les VLAN 802.1Q ainsi que de multiples
domaines virtuels.
Module FortiGate-5001FA2
Le module FortiGate-5001FA2 est un systme de scurit hautement performant
et autonome possdant six interfaces Ethernet gigabits. Il est similaire au module
FortiGate-5001SX lexception de deux interfaces qui, intgrant la technologie
Fortinet, offrent une acclration de la performance du traitement des petits
paquets.
Module FortiGate-5002FB2
Le module FortiGate-5002FB2 est un systme de scurit hautement performant
et autonome possdant un total de six interfaces Ethernet gigabits. Deux de ces
interfaces intgrant la technologie Fortinet offrent une acclration de la
performance du traitement des petits paquets.
FortiGate-3600
La fiabilit et les performances du
FortiGate-3600 sont levs un
niveau de type oprateur et
rpondent aux exigences des
grandes entreprises et fournisseurs
de services.
Son architecture multiprocesseur et Asic fournit un dbit de 4Gbit/s, rpondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3600 comprend
des blocs dalimentation redondants et un partage de charge, avec un secours
assur sans interruption de service. La grande capacit du FortiGate-3600, sa
fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de
services de scurit manags.
FortiGate-3000
La fiabilit et les performances du
FortiGate-3000 sont levs un
niveau de type oprateur et
rpondent aux exigences des
grandes entreprises et fournisseurs
de services.
Son architecture multiprocesseur et Asic fournit un dbit de 3Gbit/s, rpondant
ainsi aux besoins des applications les plus exigeantes. FortiGate-3000 comprend
des blocs dalimentation redondants et un partage de charge, avec un secours
assur sans interruption de service. La grande capacit du FortiGate-3000, sa
fiabilit et sa gestion aise en font un choix naturel pour des oprateurs de
services de scurit manags.
FortiGate-1000AFA2
Le botier FortiGate-1000AFA2 est
une solution hautement performante
rpondant aux exigences des
grandes entreprises et fournisseurs
de services.
Ses deux ports de fibres optiques supplmentaires, bnficiant de la technologie
FortiAccelTM, augmentent la performance de traitement des petits paquets. Ses
fonctions de scurit critique sur une plateforme hautement scurise garantissent
fiabilit, rentabilit, rapidit de dploiement, cots oprationnels bas et un taux
suprieur de dtection des anomalies connues et inconnues.
FortiGate-1000
Le botier FortiGate-1000 est conu
pour les grandes entreprises. Son
architecture multiprocesseur et Asic
fournit un dbit de 2Gbit/s,
rpondant ainsi aux besoins des applications les plus exigeantes. Le botier
FortiGate-1000 comprend des blocs dalimentation redondants minimisant les
points uniques de panne, ainsi que des supports pour un partage de charge et un
secours assur sans interruption de service.
FortiGate-800
Le botier FortiGate-800 fournit en
plus dun haut dbit, un total de huit
connexions rseau (quatre tant
personnalisables), un support des
VLAN et des domaines virtuels.
Lors dune configuration de cluster FortiGate, il fournit une redondance matrielle
stateful en haute disponibilit. Ses fonctionnalits hautement performantes en font
un choix naturel pour les grandes entreprises qui exigent une scurit optimum de
leurs rseaux.
FortiGate-500A
Le botier FortiGate-500A
offre
un niveau de performance
et de fiabilit de classe
oprateur, rpondant
aux exigences des
fournisseurs de services et
des grandes entreprises.
Ses 10 connexions rseaux (dont un commutateur 4 ports LAN) et ses
fonctions haute disponibilit avec rplication automatique sans coupure de
rseau font du FortiGate-500A une solution performante aux applications
les plus critiques. Sa flexibilit, fiabilit et sa gestion aise en font un choix
naturel pour les oprateurs de services de scurit manags.
FortiGate-500
Le botier FortiGate-500 est conu pour
les grandes entreprises. Sa flexibilit, sa
fiabilit et sa gestion aise en font un
choix naturel pour les oprateurs de
services de scurit manags. Le botier FortiGate-500 supporte la haute
disponibilit.
FortiGate-400A
Le botier FortiGate-400A
rpond aux exigences des
grandes entreprises en terme de
performance, disponibilit
et fiabilit. Il supporte la haute
disponibilit et prsente une
rplication automatique
sans coupure de rseau. Ses caractristiques en font le meilleur choix
pour les applications les plus critiques.
FortiGate-400
Le botier FortiGate-400 est conu pour
les grandes entreprises. Il fournit un
dbit jusqu 500Mbit/s et supporte la
haute disponibilit, qui comprend une
rplication automatique sans coupure de rseau.
FortiGate-300
Le botier FortiGate-300 est conu pour
les grandes entreprises. Il supporte la
haute disponibilit, qui comprend une
rplication automatique sans
coupure de rseau. Ses caractristiques en font le meilleur choix pour les
applications les plus critiques.
FortiGate-200A
Le botier FortiGate-200A est
une solution conviviale et facile
grer garantissant un haut
niveau de performance, idal
pour rpondre aux applications
dentreprises domicile ou de petites entreprises ou succursales. Lassistant
dinstallation FortiGate guide les utilisateurs travers des procdures simples
dinstallation qui permettent au botier dtre oprationnel en quelques minutes.
FortiGate-200
Le botier FortiGate-200 est conu pour
rpondre aux applications
dentreprises domicile ou de petites
entreprises ou succursales.
Il offre une solution conviviale, facile grer. Le botier FortiGate-200 supporte la
haute disponibilit.
FortiGate-100A
Le botier FortiGate-100A est une
solution pratique et facile grer qui
rpond parfaitement aux applications
des petites entreprises, bureaux
domicile et succursales. Ce botier
supporte des fonctions avances
telles que VLAN 802.1Q, domaines virtuels et protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL
Le botier FortiGate-60 est conu pour
les bureaux de personnel itinrant et
les magasins. Il comprend un port
modem extrieur qui peut servir de
connexion Internet redondante ou
stand alone.
Le botier FortiGate-60M comprend quant lui un modem interne qui peut
galement servir de connexion Internet redondante ou stand alone. Le botier
FortiGate-60ADSL est pour sa part muni dun modem ADSL interne.
FortiWiFi-60
Le modle FortiWiFi est une solution
intgre qui assure des connexions
sans fil scurises. Il combine
mobilit et flexibilit grce ses
fonctions FortiWiFi Antivirus Firewall.
De plus, il sadapte aux
avances technologiques
radiophoniques. Il peut faire office de
point de connexion entre rseaux
sans fil et rseaux cbls ou tenir
lieu de point central dun
rseau sans fil stand alone.
FortiGate-50A
Le botier FortiGate-50A est conu
pour les tltravailleurs, les
utilisateurs mobiles, les petites
entreprises et les succursales
comptant 10 employs ou moins. Il
comprend un port modem extrieur
qui peut servir de connexion
autonome Internet ou de service de sauvegarde.
Sur notre site web, vous trouverez galement un scanner de virus et une
encyclopdie des virus et attaques.
FortiAnalyser
FortiAnalyserTM fournit aux administrateurs rseaux les informations ncessaires
qui leur permettent dassurer une meilleure protection du rseau, une plus grande
scurit contre attaques et vulnrabilits. FortiAnalyser permet entre autres:
FortiClient
Le logiciel FortiClientTM offre un environnement informatique scuris et fiable aux
utilisateurs dordinateurs de bureau et dordinateurs portables munis des systmes
FortiManager
FortiManagerTM est conu pour rpondre aux besoins des grandes entreprises (y
compris les fournisseurs de services de gestion de scurit) responsables du
dploiement et du maintien de dispositifs de scurit travers un parc
dquipements FortiGate. FortiManager vous permet de configurer et de contrler
les statuts de plusieurs botiers FortiGate. Vous pouvez galement consulter leurs
journaux en temps rel et leurs historiques. FortiManager est facile utiliser et
sintgre aisment des systmes tiers.
FortiBridge
FortiBridgeTM permet dassurer une continuit de connexion rseau mme en cas
de panne lectrique dun systme FortiGate. Le FortiBridge connect en parallle
au FortiGate dvie le flux rseau lorsqu'il dtecte une panne sur le botier et reoit
alors le trafic pour viter toute coupure rseau. FortiBridge est facile utiliser et
dployer. Vous pouvez programmer lavance les actions que FortiBridge mettra
en place en cas de panne de courant ou de panne dans le systme FortiGate.
FortiMail
FortiMailTM fournit une analyse heuristique puissante et flexible, de mme que des
rapports statistiques sur le trafic de mails entrants et sortants. Le FortiMail met en
oeuvre des techniques fiables et hautement performantes pour dtecter et bloquer
les mails non dsirs, tels que les signatures SHASH (Spam Hash) ou les filtres
bayesians. Construit sur base des technologies primes FortiOS et FortiASIC,
FortiMail utilise ses pleines capacits dinspection de contenu afin de dtecter les
menaces les plus avances dans les courriers lectroniques.
FortiReporter
Le logiciel FortiReporterTM Security Analyzer gnre des rapports explicites. Il peut
centraliser des journaux de nimporte quel botier FortiGate, ainsi que de plus de
30 botiers de rseau et de scurit provenant de constructeurs tiers. FortiReporter
offre une visibilit sur les abus rseau, lutilisation de la bande passante et lusage
du web afin de sassurer que le rseau est utilis de faon approprie.
FortiReporter permet aux administrateurs didentifier les attaques et dy rpondre. Il
permet galement de dfinir des actions proactives de protection des rseaux
avant que ceux-ci ne soient confronts une augmentation des menaces.
Dans les exemples, les adresses IP prives sont utilises aussi bien pour les
adresses IP prives que publiques.
Les remarques et attentions fournissent des informations importantes :
Les attentions vous mettent en garde contre des commandes et procdures qui
pourraient avoir des rsultats inattendus ou indsirables tels que perte de donnes ou
dtrioration de lquipement.
Conventions typographiques
La documentation du FortiGate utilise les conventions typographiques suivantes :
Convention Exemple
Commandes de Menus Allez dans VPN > IPSEC et slectionnez Crer Phase 1.
Entre clavier Dans le champ Nom de Passerelle, tapez un nom pour le client
VPN distant (par exemple, Central_Office_1).
Exemple de code config sys global
set ips-open enable
end
Syntaxe CLI (Interface config firewall policy
de ligne de commande) edit id_integer
set http_retry_count <retry_integer>
set natip <address_ipv4mask>
end
Noms des documents Guide dAdministration FortiGate
Les guides suivants y sont disponibles en anglais. Certains guides sont ou seront
aussi disponibles en franais :
FortiGate QuickStartGuide - Guide de dmarrage rapide FortiGate
Fournit les informations de base sur la connexion et linstallation dun FortiGate
FortiGate Install Guide - Guide dInstallation FortiGate
Dcrit comment installer un FortiGate. Il comprend des informations sur le
matriel, des informations sur la configuration par dfaut, ainsi que des
procdures dinstallation, de connexion et de configuration de base. Slectionnez
le guide en fonction du numro du modle du produit.
FortiGate Administration Guide - Guide dAdministration FortiGate
Fournit les informations de base sur la manire de configurer un FortiGate, y
compris la dfinition des profils de protection FortiGate et des rgles pare-feu.
Explique comment appliquer les services de prvention dintrusion, protection
antivirus, filtrage web et filtrage antispam (antipollupostage). Parcourt galement
la manire de configurer un VPN.
FortiGate online help - Aide en ligne FortiGate
Fournit le Guide dAdministration au format HTML avec des outils de recherche.
Vous pouvez accder laide en ligne partir de linterface dadministration web.
FortiGate CLI Reference - Guide de Rfrence CLI
Dcrit comment utiliser linterface de ligne de commande FortiGate et rpertorie
toutes ses commandes.
FortiGate Log Message Reference - Guide de rfrence des messages
journaliss dun FortiGate
Disponible uniquement partir de la base de connaissance (Fortinet Knowledge
Center), ce mode demploi dcrit la structure et le contenu des messages
prsents dans les journaux FortiGate.
FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilit FortiGate
Fournit une description dtaille des fonctions de haute disponibilit et du
protocole de clustering FortiGate.
FortiGate IPS User Guide - Guide utilisateur de lIPS FortiGate (Systme de
Prvention dIntrusion)
Dcrit la configuration des paramtres IPS FortiGate et le traitement des
attaques les plus courantes.
FortiGate IPSec VPN User Guide - Guide utilisateur des VPNs IPSec FortiGate
Fournit des instructions pas pas sur la configuration VPN IPSec via linterface
dadministration web.
FortiGate SSL VPN User Guide - Guide utilisateur du VPN SSL FortiGate
Compare les technologies FortiGate VPN IPSec et VPN SSL et dcrit comment
configurer partir de l'interface graphique les modes VPN SSL web et VPN SSL
tunnel pour les connexions distance des utilisateurs.
Aide en Ligne
Les boutons de laide en ligne (Online Help) activent laffichage de laide en ligne
pour la page ouverte de linterface dadministration web. La page daide en ligne
affiche contient les informations et procdures relatives aux commandes de la
page ouverte. La plupart des pages daide contiennent galement des hyperliens
sur certains sujets dont il est question. Le systme daide en ligne comprend
galement plusieurs commandes offrant de linformation additionnelle.
Le panneau de recherche rpertorie le nom de toutes les pages daide en ligne qui
contiennent le(s) mot(s) entr(s). Slectionnez un des noms de la liste pour afficher
la page daide.
Dconnexion
Le bouton Dconnecter (Logout) vous dconnecte immdiatement de
linterface dadministration web. Noubliez pas de vous dconnecter avant de
fermer la fentre du navigateur. Si vous fermez la fentre ou quittez linterface
dadministration web sans vous dconnecter, vous restez connect jusqu
lexpiration du timeout dinactivit (par dfaut 5 minutes).
Les procdures dcrites dans ce manuel vous dirigent vers la page dsire en
spcifiant llment du menu, llment du sous-menu et longlet. Par exemple :
1 Slectionnez Systme > Rseau > Interface.
La liste offre des informations sur chaque lment. Les icnes de la dernire
colonne permettent de modifier le statut de ces lments. Dans cet exemple, il est
possible de slectionner Delete (Supprimer) pour supprimer llment ou Edit
(Editer) pour lditer.
Pour ajouter un nouvel lment une liste, cliquez sur Crer Nouveau. Une bote
de dialogue souvre pour crer et dfinir le nouvel lment. Cette bote de dialogue
est similaire celle dEdition dun lment existant.
Icnes
Les icnes, galement prsentes dans linterface dadministration web, permettent
dinteragir avec le systme. Des conseils sur les outils sont disponibles pour vous
aider comprendre la fonction de chacune de ces icnes. Placez le curseur de la
souris sur licne pour visualiser le commentaire de loutil. Le tableau suivant
reprend la description des icnes de linterface dadministration web.
Insrer une Cre une nouvelle rgle qui prcde la rgle courante.
rgle avant
Barre de statuts
La barre de statuts se trouve en bas de lcran de linterface dadministration web.
Toutes les informations sur les enregistrements sont sauves dans la base de
donnes du Support aux Clients Fortinet (Fortinet Customer Support). Ces
informations sont utiles pour assurer une mise jour rgulire de vos
quipements. Elles sont strictement confidentielles, Fortinet ne partageant jamais
ces informations avec des organisations tiers.
Si vous avez entr un numro de contrat de support, une validation en temps rel
a lieu pour vrifier que les informations SCN correspondent lquipement
FortiGate. Si ce nest pas le cas, tentez nouveau dentrer le numro de contrat.
Saffiche alors une page web qui contient les informations dtailles sur le service
de support technique de Fortinet disponible pour lquipement enregistr.
Vos compte utilisateur et mot de passe vous sont envoys par email ladresse
entre avec vos coordonnes.
Domaines virtuels
Les domaines virtuels permettent un botier FortiGate de fonctionner comme de
multiples units indpendantes. Il peut fournir des rgles pare-feu, des routages et
des configurations VPN spars pour chaque niveau dorganisation. Lutilisation de
VDOM peut galement simplifier ladministration de configurations complexes.
Lorsquun paquet entre dans un domaine virtuel sur lquipement FortiGate, il reste
limit ce domaine virtuel. Dans un domaine donn, vous pouvez seulement crer
des rgles pare-feu pour les connexions entre les sous-interfaces VLAN ou des
zones de ce domaine virtuel. Les paquets ne passent jamais la frontire dun
domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut
galement tre slectionn sparment sur chaque VDOM.
Les autres fonctions du FortiGate sont gnrales. Elles sappliquent tous les
domaines virtuels. Cela signifie quil existe une seule configuration de prvention
anti-intrusion, une seule configuration antivirus, une seule configuration de filtrage
de contenu web, une seule configuration de profils de protection etc. Dans le
mme ordre dide, les domaines virtuels partagent les mmes versions logicielles
et bases de connaissances antivirus et IPS. Pour une liste complte des
paramtres de configurations partags, voir Paramtres de la configuration
gnrale la page 42.
Pour connatre le nombre maximum de domaines virtuels support par votre botier
FortiGate, veillez ce que la configuration des domaines virtuels vous le
permettent et connectez-vous en tant quadministrateur admin. Allez ensuite dans
Systme > Statut et regarder sous Domaine Virtuel dans les Informations sur la
Licence.
Chaque FortiGate fonctionne par dfaut avec un domaine virtuel appel root. Ce
domaine virtuel comprend toutes les interfaces physiques, sous-interfaces VLAN,
zones, rgles pare-feu, paramtres de routage et paramtres VPN du FortiGate.
Les outils dadministration tels que les SNMP, journalisation, emails dalerte, mises
jour via le FDN ou encore paramtrage du temps via un serveur NTP utilisent
des adresses et routage dans le domaine virtuel root pour communiquer avec le
rseau. Ils ne peuvent se connecter quaux ressources du rseau qui
communiquent avec le domaine virtuel dadministration, qui est configur sur root
par dfaut.
Une fois un nouveau domaine virtuel cr, vous pouvez le configurer en ajoutant
des sous-interfaces VLAN, des zones, des rgles pare-feu, des paramtres de
routage et des paramtres VPN. Vous pouvez galement dplacer des interfaces
physiques du domaine virtuel root vers dautres domaines virtuels et dplacer les
sous-interfaces VLAN dun domaine virtuel vers un autre.
Paramtres du Systme
Zones
Services DHCP
Mode de fonctionnement (NAT/Route ou Transparent)
IP dadministration (en mode Transparent)
Configuration du routeur
Paramtres des pare-feu
Rgles
Adresses
Services prdfinis, personnaliss et groups
Plage horaire
IP Virtuelle
Plages IP
Configuration VPN
Paramtres du systme
Interfaces physiques et sous-interfaces VLAN (Chaque interface physique ou
sous-interface VLAN appartient un seul VDOM. Chaque VDOM ne peut
utiliser ou configurer que ses propres interfaces.)
Paramtres DNS
Nom dhte, heure du systme, version du Microcode (sur la page Statut du
Systme.)
Timeout dinactivit et dauthentification
Langue de linterface dadministration web
PIN du panneau LCD, si applicable.
Dtection de lchec dune passerelle
Configuration HA
Configuration SNMP
Messages de remplacement
Administrateurs (chaque administrateur appartient un seul VDOM. Chaque
VDOM ne peut configurer que ses propres administrateurs.)
Profils daccs
Configuration FortiManager
Sauvegarde et restauration dune configuration
Configuration dune mise jour FDN
Rapport sur les bogues
Pare-Feu
Services prdfinis
Un VDOM nest pas utile sil ne possde pas au moins deux interfaces physiques
ou sous-interfaces VLAN. Seul ladministrateur admin peut attribuer des interfaces
physiques ou des sous-interfaces VLAN aux VDOM. Un compte administrateur
rgulier peut crer une sous-interface VLAN dans son propre VDOM sur une
interface physique de son propre VDOM.
Les sous-interfaces VLAN doivent se trouver dans des VDOM diffrents que leurs
interfaces physiques. Pour ce faire, l administrateur admin doit crer la sous-
interface VLAN et laffecter au VDOM requis. Les interfaces font partie des
paramtres gnraux de configuration. Pour plus dinformations sur la cration de
sous-interfaces VLAN, voir Ajout de sous-interfaces VLAN la page 87.
Pour raffecter une interface existante dun domaine virtuel un autre, appliquez la
procdure ci-dessous. Vous ne pouvez pas retirer une interface dun domaine
virtuel si cette interface est comprise dans lune des configurations suivantes :
routage
proxy arp
serveur DHCP
zone
rgle pare-feu
plage IP
Dans le cas dun cluster HA, la page des statuts affiche les statuts du membre
primaire. Pour visualiser les statuts de tous les membres du cluster, slectionnez
Systme > Configuration > HA. Pour plus dinformations sur ce sujet, voir
Haute Disponibilit la page 104. La fonction HA nest pas disponible sur les
modles FortiGate 50A et 50AM.
Les administrateurs FortiGate dont les profils daccs prvoient les droits en
criture de la configuration du systme peuvent modifier ou mettre jour les
informations du botier FortiGate. Pour plus dinformations sur les profils daccs,
voir Profils dadministration la page 174.
A tout moment, vous pouvez slectionner Systme > Statut pour visualiser la
page Statut du Systme.
Pour visualiser cette page, votre profil daccs doit prvoir les droits en lecture de
la configuration du systme. Si vous avez galement les droits en criture de la
configuration du systme, vous pouvez modifier les informations du systme et
mettre jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus
dinformations sur les profils daccs, voir Profils dadministration la page 174.
Informations du systme
Numro de Srie Le numro de srie de lquipement FortiGate. Ce numro
est unique pour chaque quipement et ne change pas
avec les mises jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier
redmarrage de lquipement FortiGate.
Heure Systme La date et lheure en cours selon lhorloge
prprogramme. Cliquez sur Changer pour modifier
lheure ou configurez le botier FortiGate pour quil se
synchronise avec un serveur NTP. Voir Paramtrage
des date et heure la page 51.
Nom dhte Le nom dhte actuel de lquipement FortiGate. Cliquez
sur Changer pour le modifier. Voir Modification du nom
dhte du botier FortiGate la page 52.
Version de Code La version du microcode install sur votre FortiGate.
Cliquez sur Update (Mettre jour) pour changer le logiciel.
Voir Mise jour logicielle la page 53.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit
NAT, soit Transparent. Cliquez sur Changer pour passer
du mode NAT au mode Transparent et vice-versa. Voir
Modification du mode de fonctionnement la page
166.
Ressources
Les ressources du systme napparaissant pas sur la page Statut sont accessibles
sous forme de graphiques partir de licne Historique.
Pour effacer les messages dalerte, cliquez sur Tout Voir, ensuite sur licne
Supprimer les messages dalerte, en haut de la nouvelle fentre.
Statistiques
Depuis La date et lheure de la relance des compteurs. Les
compteurs sont relancs lors dune rinitialisation du
systme FortiGate.
Icne Remise zro Remet zro les compteurs du Journal des Archives
et des Attaques.
Sessions Le nombre de sessions de communication FortiGate
en cours. Slectionnez Dtails pour visualiser des
Opration Systme
Les oprations suivantes peuvent tre accomplies par les administrateurs dont le
profil daccs comprend les droits en criture de configuration du systme.
Le nom dhte par dfaut est le nom du modle, par exemple botier FortiGate-300.
Les administrateurs dont le profil daccs prvoit les droits en criture peuvent
modifier le nom dhte du FortiGate.
Remarque : Si votre FortiGate fait partie dun cluster HA, il est conseill de lui attribuer un
nom unique pour le distinguer des autres quipements du cluster.
Les modifications du logiciel portent soit sur une mise jour logicielle vers une
version plus rcente ou soit sur une rvision vers une version prcdente. Les
procdures de modifications sont dcrites ci-dessous.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la
nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre
jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces
bases de connaissance sont jour.
Remarque : Les bases de connaissance antivirus et IPS sont remplaces par celles de la
nouvelle version logicielle. Aprs la mise jour logicielle, utilisez la procdure Mettre
jour les bases de connaissances antivirus et IPS la page 189 pour vous assurer que ces
bases de connaissance sont jour.
Remarque : La procdure suivante ncessite que vous vous connectiez partir du compte
administrateur admin ou dun compte administrateur qui possde tous les droits daccs en
lecture et criture de la configuration du systme.
Pour configurer une mise jour automatique des fichiers de dfinitions par le
botier FortiGate, voir Centre FortiGuard la page 183.
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises
jour des dfinitions antivirus, voir Centre FortiGuard la page 183.
1 Tlchargez le fichier de mise jour des dfinitions des derniers antivirus sur le
site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration
web.
2 Dmarrez linterface dadministration web et slectionnez Systme > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Dfinitions AV des
souscriptions FortiGuard, slectionnez Update (Mettre jour).
La bote de dialogue Mettre jour les dfinitions antivirus souvre.
4 Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise
jour des dfinitions antivirus. Vous pouvez galement slectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise jour des dfinitions antivirus sur le
botier FortiGate.
Le botier FortiGate met jour les dfinitions AV. Cela prend environ 1 minute.
6 Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour
de la version du FortiGuard Antivirus.
Remarque : Pour plus dinformations sur la configuration dune automatisation des mises
jour des dfinitions IPS (attaque), voir Centre FortiGuard la page 183.
1 Tlchargez le fichier de mise jour des dfinitions des dernires attaques sur le
site de Fortinet. Copiez-le sur lordinateur connect linterface dadministration
web.
2 Dmarrez linterface dadministration web et slectionnez Systme > Statut >
Statut.
3 Dans la section Information sur la Licence, dans le champ Dfinitions IPS des
souscriptions FortiGuard, slectionnez Update (Mettre jour).
La bote de dialogue Mettre jour les dfinitions dattaque souvre.
4 Dans le champ Fichier de mise jour, tapez le chemin et le nom du fichier de mise
jour des dfinitions des attaques. Vous pouvez galement slectionnez Browse
(Parcourir) et localisez le fichier.
5 Cliquez sur OK pour copier le fichier de mise jour des dfinitions des attaques
sur le botier FortiGate.
Le botier FortiGate met jour les dfinitions IPS. Cela prend environ 1 minute.
6 Slectionnez Systme > Statut > Statut pour vrifier le succs de la mise jour
de la version du FortiGuard IPS.
Interface
En mode NAT/Route, slectionnez Systme > Rseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
agrger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modles 800 et plus).
combiner des interfaces physiques en une interface redondante
ajouter et configurer des sous-interfaces VLAN
modifier la configuration dune interface physique
ajouter des interfaces sans fil (pour les modles WiFi-60 et WiFi-60 AM
uniquement).
Remarque : A moins dune directive contraire, dans cette section, le mot interface rfre
aussi bien une interface FortiGate physique qu une sous-interface FortiGate VLAN.
Pour toute information sur les VLAN en mode NAT/Route, voir VLAN en
mode NAT/Route la page 85.
Pour toute information sur les VLAN en mode Transparent, voir VLAN en
mode Transparent la page 88.
Paramtres de linterface
Pour configurer une interface, slectionnez Systme > Rseau > Interface.
Cliquez sur Crer Nouveau pour crer une nouvelle interface. Pour diter une
interface existante, slectionnez licne Editer de cette interface.
Il est impossible de crer une interface virtuelle IPSec ici. Mais vous pouvez en
spcifier les adresses de terminaison, activer laccs administratif et fournir une
description. Voir Configuration dune interface IPSec virtuelle la page 72.
Lorsquune interface fait partie dune agrgation, elle nest plus reprise dans la liste
de la page Systme > Rseau > Interface. Elle nest plus configurable
individuellement et ne peut plus tre incluse dans les rgles pare-feu, VIP, IP pools
ou de routage.
La diffrence entre un lien redondant et un lien dagrgation rside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface la fois (peu
importe le nombre de liens redondants). Cependant les interfaces redondantes
permettent des configurations plus robustes avec un risque de points de pannes
plus faible. Ceci est important dans une configuration en maillage intgral HA.
Lorsquune interface fait partir dune interface redondante, elle nest plus reprise
dans la liste de la page Systme > Rseau > Interface. Elle nest plus
configurable individuellement et ne peut plus tre incluse dans les rgles pare-feu,
VIP, IP pools ou de routage.
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur
licne Editer dune interface existante. Slectionnez PPPoE dans la section Mode
dAdressage.
Slectionnez Systme > Rseau > Interface. Cliquez sur Crer Nouveau ou sur
licne Editer dune interface existante. Activez DDNS, juste en dessous de la
section Mode dAdressage et configurez le service DDNS en fonction des
informations fournies.
Zone
Les zones permettent de grouper des interfaces et des sous-interfaces VLAN. Ces
zones simplifient la cration de rgles. Dans le cas de regroupement dinterfaces et
de sous-interfaces VLAN en zones, vous pouvez configurer des rgles pour des
connexions de et partir dune zone. Cependant il nest pas possible de configurer
des rgles de et partir de chaque interface de cette zone.
A partir de la liste Zone, il est possible dajouter des zones, de les renommer, les
diter ou encore les supprimer. Pour ajouter une zone, vous devez slectionner les
noms des interfaces et sous-interfaces VLAN ajouter cette zone.
Les zones sont ajoutes aux domaines virtuels. Si de multiples domaines virtuels
ont t ajouts la configuration FortiGate, veillez configurer le domaine virtuel
correct avant dajouter ou dditer des zones.
Options
Les options du rseau comprennent les paramtres du serveur DNS et de la
dtection dchec dune passerelle.
Les modles FortiGate 100 et moins peuvent tre configurs pour obtenir des
adresses de serveur DNS automatiquement. Pour ce faire, au moins une des
interfaces doit utiliser le mode dadressage DHCP ou PPPoE. Voir Configuration
DHCP dune interface la page 69. Voir Configuration PPPoE dune interface
la page 70.
Les modles FortiGate 100 et moins peuvent fournir un relayage DNS sur leurs
interfaces. Les htes du rseau attach utilisent ladresse IP de linterface comme
leur serveur DNS. Les requtes DNS envoyes linterface sont transmises aux
adresses du serveur DNS configures ou fournies automatiquement au botier
FortiGate.
Obtenir dynamiquement Cette option est uniquement disponible sur les modles 100
les adresses et moins.
des serveurs DNS
Lorsque le service DHCP est utilis par une interface, il
permet galement dobtenir ladresse IP dun serveur DNS.
Ceci est uniquement valable en mode NAT/Route. Il est
conseill dactiver Remplacer le serveur DNS pr-
configur dans les paramtres DHCP de linterface. Voir
Configuration DHCP dune interface la page 69.
Les modles FortiGate 50AM et 60M sont conus avec un modem intgr. Il est
ds lors possible de configurer des oprations modem partir de linterface
dadministration web. Voir Configuration des paramtres du modem .
Remarque : Ne pas confondre linterface modem avec le port AUX, utilis pour des
connexions distance vers la console il na pas dinterface associe. Le port AUX est
uniquement disponible sur les modles FortiGate 1000A, 1000AFA2 et 3000A. Pour plus
dinformations, voir la commande config system aux dans le FortiGate CLI
Reference.
Activer le modem USB Cochez cette case pour activer le modem FortiGate.
Etat du modem Les diffrents statuts du modem sont : inactif , en cours
de connexion , connect , en cours de dconnexion ou
dconnect (pour le mode Stand alone uniquement).
Appeler/Raccrocher (Pour le mode Stand alone uniquement.) Slectionnez Appeler
pour vous connecter manuellement un compte tlphonique.
Lorsque le modem est connect, slectionnez Raccrocher
pour dconnecter le modem manuellement.
Mode Slectionnez le mode dsir : Standalone ou Redondant. En
mode stand alone, le modem est une interface autonome. En
mode Redondant, le modem est un outil de sauvegarde, un
actif en secours dune interface Ethernet slectionne.
Remarque : Ne pas ajouter de rgles pour les connexions entre linterface modem et
linterface secourue par le modem.
Il est primordial de configurer des rgles pare-feu pour les connexions entre
linterface modem et les autres interfaces du botier FortiGate.
Vous pouvez configurer des rgles pare-feu pour contrler le flot de paquets
circulant entre linterface modem et les autres interfaces FortiGate. Pour plus
dinformations propos de lajout de rgles pare-feu, voir Ajout dune rgle pare-
feu la page 231.
Dconnecter le modem
Un VLAN distingue les quipements en ajoutant des balises VLAN 802.1Q tous
les paquets reus et envoys par ces quipements. Ces balises sont des
extensions de 4 octets comprenant un identificateur VLAN ainsi que dautres
informations.
Les VLAN offrent une grande flexibilit, une segmentation efficace du rseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir
compte de la localisation physique.
Grce lutilisation dun VLAN, un seul botier FortiGate fournit des services de
scurit et des connexions sous contrle entre de multiples domaines scuriss.
Le trafic provenant de chaque domaine scuris reoit un identificateur VLAN
diffrent. Le botier FortiGate reconnat les identificateurs VLAN et applique les
rgles de scurit pour protger les rseaux et le trafic VPN IPSec entre les
domaines scuriss. Le botier FortiGate appliquent galement les fonctionnalits
dauthentification, de profils de protection et autres rgles pare-feu sur le trafic du
rseau et le trafic VPN autoris circuler entre les domaines scuriss.
Vous pouvez galement dfinir des sous-interfaces VLAN sur toutes les interfaces
du FortiGate. Celui-ci peut ajouter des balises VLAN aux paquets quittant une
sous-interface VLAN ou peut retirer des balises des paquets entrants et ajouter
une balise diffrente aux paquets sortants.
Lorsque le commutateur VLAN reoit des paquets de VLAN 100 et VLAN 200, il
leurs applique des balises VLAN et les transfre vers les ports locaux et travers
le tronon vers le botier FortiGate. Des rgles sont configures dans le botier
FortiGate pour permettre aux trafics de circuler entre les VLAN et partir des
VLAN vers le rseau externe.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de
leur appliquer des rgles pare-feu pour les connexions entre les sous-interfaces
VLAN ou dune sous-interface vers une interface physique.
1 Slectionnez Pare-Feu > Adresse.
2 Cliquez sur Crer Nouveau pour crer des adresses pare-feu qui correspondent
aux adresses IP source et de destination des paquets VLAN. Voir A propos des
adresses pare-feu la page 245.
3 Slectionnez Pare-Feu > Rgle.
4 Crer ou ajouter des rgles pare-feu tel que requis.
Lorsquun botier FortiGate reoit un paquet balis VLAN sur lune de ses
interfaces, ce paquet est dirig vers la sous-interface VLAN possdant
lidentificateur VLAN correspondant. La sous-interface VLAN retire la balise et
affecte une interface de destination au paquet en fonction de son adresse MAC de
destination. Les rgles pare-feu des sous-interfaces VLAN source et de destination
Des domaines virtuels supplmentaires peuvent tre crs si vous dsirez sparer
des groupes de sous-interfaces VLAN en domaines virtuels. Pour plus
dinformations sur lajout et la configuration de domaines virtuels, voir Utilisation
de domaines virtuels la page 40.
Remarque : Le nom dun VLAN doit diffrer des noms de domaines virtuels et de zones.
Une fois que vous avez cr de nouvelles sous-interfaces VLAN, il est possible de
leurs appliquer des rgles pare-feu pour les connexions entre les sous-interfaces
VLAN ou dune sous-interface vers une interface physique.
Le mode Point dAccs est activ par dfaut. Les botiers FortiWiFi-60A et 60AM
peuvent fournir de multiples WLAN.
Les botiers FortiWiFi supportent les standard rseau sans fil suivants :
Domaines rgulatoires
Les tableaux suivants reprennent les canaux et domaines rgulatoires pour les
LAN sans fil.
Une interface ne peut pas fournir en mme temps un serveur et un relais pour des
connexions du mme type (rgulier ou IPSec).
Remarque : Vous pouvez configurer un serveur DHCP rgulier sur une interface seulement
si celle-ci possde une adresse IP statique. Vous pouvez configurer un serveur DHCP
IPSec sur une interface qui possde une adresse IP statique ou dynamique.
Dans le cas o une interface est connecte de multiples rseaux via des
routeurs, vous pouvez ajouter un serveur DHCP pour chaque rseau. La plage
dadresses IP pour chaque serveur DHCP doit correspondre la plage dadresses
du rseau. Les routeurs doivent tre configurs pour les relais DHCP.
Vous pouvez configurer une interface FortiGate comme relais DHCP. Linterface
transfre alors les requtes DHCP des clients DHCP vers un serveur externe
DHCP, et renvoient ensuite les rponses aux clients. Le serveur DHCP doit avoir
un routage appropri de manire ce que ses paquets-rponses aux clients
DHCP arrivent au botier FortiGate.
Pour en savoir plus sur la configuration dun relais DHCP, voir Configuration
dune interface comme relais DHCP la page 101.
Sur les modles FortiGate 50 et 60, un serveur DHCP est configur par dfaut sur
linterface Interne, avec les paramtres suivants :
Serveur WINS 1 Ajoutez les adresses IP dun ou deux serveurs WINS que le
Haute Disponibilit
Cette section fournit une description gnrale de la Haute Disponibilit FortiGate et
du clustering virtuel HA FortiGate. Les options de configuration et quelques
procdures de configuration et de maintenance de base de la Haute Disponibilit
sont galement dtailles dans cette section.
Au sein dun cluster, les quipements individuels FortiGate sont appels membres.
Ces membres partagent les informations sur leur tat et configuration. Dans le cas
dune dfaillance de lun des membres, les autres membres du cluster prennent en
charge lactivit du membre en panne. Aprs la panne, le cluster continue de traiter
le trafic rseau et de fournir les services FortiGate sans interruption du service.
Les membres FortiGate dun cluster utilisent les interfaces Ethernet pour
communiquer des informations sur la session du cluster, synchroniser la
configuration et la table de routage du cluster et crer des rapports sur les statuts
des membres individuels du cluster. On appelle ces interfaces Ethernet du cluster
les interfaces de heartbeat, et les communications entre les membres du cluster le
heartbeat HA. Grce ce dernier, les membres du cluster sont constamment en
train de communiquer sur les statuts du HA pour assurer un bon fonctionnement
du cluster.
1
La Haute Disponibilit ne fournit pas de rplication de sessions pour les services PPPoE, DHCP, PPTP et
P2TP.
Lorsquun cluster opre en mode actif-passif , la mention (a-p) apparat sur les
crans LCD de tous les membres (pour les modles qui en possdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary saffiche sur lcran LCD du membre primaire. Les membres
subordonns affichent sur leur cran LCD la mention slave <priority_id> o
<priority_id> est la place prioritaire du membre subordonn dans le cluster.
Dans lexemple dun cluster compos de trois membres, les crans afficheront :
primary (a-p)
slave 1 (a-p)
slave 2 (a-p)
Le mode HA actif-actif (A-A) quilibre la charge du traitement du trafic vers tous les
membres du cluster. Un cluster HA actif-actif se compose dun membre primaire et
dun ou plusieurs membre(s) subordonn(s) qui traitent ensemble tout le trafic. Le
membre primaire utilise un algorithme dquilibrage de charge pour distribuer le
traitement tous les membres du cluster.
Lorsquun cluster opre en mode actif-actif, la mention (a-a) apparat sur les
crans LCD de tous les membres (pour les modles qui en possdent) en plus de
la mention du mode de fonctionnement (Transparent ou NAT). La mention
primary saffiche sur lcran LCD du membre primaire. Les membres
subordonns affichent sur leur cran LCD la mention slave <priority_id> o
<priority_id> est la place prioritaire du membre subordonn dans le cluster.
Dans lexemple dun cluster compos de trois membres, les crans afficheront :
primary (a-a)
slave 1 (a-a)
La configuration dune interface comme serveur DHCP ou relais DHCP nest pas
affecte par une opration HA. Pour toute information sur les serveurs et relais
DHCP, voir Systme DHCP la page 99.
PPTP et L2TP sont supports en mode HA. Vous pouvez configurer les
paramtres PPTP et L2TP et ajouter des rgles pare-feu pour permettre le
passage de PPTP et L2TP. Cependant, lors dune rplication HA, toutes les
sessions actives PPTP et L2TP sont perdues et doivent tre redmarres aprs la
rplication.
Cependant, mme dans le cas dun cluster, des points uniques de panne potentiels
restent. Les interfaces de chaque membre du cluster se connectent un seul
commutateur offrant une seule connexion au rseau. Si le commutateur tombe en
panne ou si la connexion entre le commutateur et le rseau choue, le service vers
le rseau est interrompu.
Remarque : Si votre cluster FortiGate utilise des domaines virtuels, vous configurez des
clusters virtuels HA. La plupart des options de cluster virtuel HA sont les mmes que les
options classiques HA. Toutefois, les clusters virtuels comprennent les options de
partitionnement de domaines virtuels. Les diffrences entre les options de configuration pour
un HA rgulier et pour un clustering virtuel HA sont parcourues ci-dessous.
Pour modifier le nom dhte et la priorit des membres subordonns dun cluster
en fonction avec des domaines virtuels activs, connectez-vous en tant
quadministrateur admin, slectionnez Configuration Globale et allez dans
Systme > Configuration > HA pour visualiser la liste des membres du cluster.
Cliquez sur licne Editer dun membre subordonn (ou redondant) pour le
configurer. Voir Modification du nom dhte et de la priorit dun membre
subordonn la page 123.
Options HA
La configuration doptions HA permet dadjoindre un botier FortiGate un cluster
ou de modifier la configuration dun cluster oprationnel et dun de ses membres.
Le FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilit FortiGate reprend des procdures de configuration globales HA et
donne des exemples dtaills de configuration.
Mode
Slectionnez un mode HA pour le cluster ou repasser les quipements FortiGate
du cluster au mode stand alone. Lors de la configuration dun cluster, il est
ncessaire de dfinir le mme mode HA pour tous les membres du cluster HA.
Priorit de lquipement
Facultativement, il est possible de donner chaque membre du cluster un ordre de
priorit. De cette manire chaque membre peut tre dot dune priorit diffrente.
Pendant la ngociation HA, le membre avec la plus haute priorit devient le
membre primaire.
La priorit nest pas synchronise parmi les membres du cluster. Dans un cluster
en fonction vous modifiez la priorit de lquipement pour modifier la priorit de
chaque membre du cluster. A chaque modification de la priorit dun membre du
cluster, le cluster rengocie et le membre avec la priorit la plus leve devient le
membre primaire.
Lors de la configuration dun cluster virtuel et dans le cas o vous avez ajout des
domaines virtuels aux deux clusters virtuels, vous pouvez dfinir la priorit dun
membre dans le cluster virtuel 1 et dans le cluster virtuel 2. Cela permet un
membre dtre par exemple le membre primaire du cluster virtuel 1 et le membre
subordonn du cluster virtuel 2. Pour plus dinformations, voir Exemple de
configuration dun clustering virtuel la page 139 et Administration de clusters
virtuels la page 141.
Nom du groupe
Donnez un nom au cluster. Tous les membres du cluster doivent avoir le mme
nom de groupe.
Mot de passe
Entrez un mot de passe pour le cluster. Le mot de passe doit tre le mme pour
tous les membres du cluster. La longueur maximum du mot de passe est de 15
caractres.
Dans le cas dun rseau avec plusieurs clusters HA FortiGate, chaque cluster doit
avoir un mot de passe diffrent.
Dans le cas o cette option est active, les membres subordonns maintiennent
des tables de session identiques celle du membre primaire. Cela permet au
nouveau membre primaire de maintenir toutes les sessions de communication
actives en cas de panne du membre primaire original.
Si vous arrivez rtablir le flot du trafic travers linterface (par exemple si vous
reconnectez un cble dconnect du rseau) linterface rejoint alors le cluster.
Il est conseill de mettre sous surveillance les seules interfaces connectes aux
rseaux. Une rplication pourrait avoir lieu si une interface non connecte est sous
surveillance.
Les interfaces qui sont susceptibles dtre mises sous surveillance apparaissent
dans la liste Surveillance des ports (Port Monitor). Toutes les interfaces peuvent
tre mises sous surveillance, y compris les interfaces redondantes et les interfaces
agrges 802.3ad.
Pour toute information sur les interfaces redondantes, voir Cration dune
interface redondante la page 67 et HA et interfaces redondantes la page
149.
Pour toute information sur les interfaces agrges 802.3ad, voir Cration dune
interface agrge 802.3ad la page 66 et HA et interfaces redondantes la
page 149.
Les interfaces suivantes ne peuvent pas tre mises sous surveillance (elles
napparaissent dailleurs pas dans la liste Port Monitor) :
La communication heartbeat est dfinie par dfaut sur deux interfaces (voir tableau
6). Vous pouvez dsactiver le heartbeat HA pour chacune de ces interfaces ou
activer le heartbeat HA pour dautres interfaces. Dans la plupart des cas, vous
pouvez maintenir la configuration de linterface de heartbeat par dfaut tant que
vous pouvez connecter les interfaces de heartbeat ensemble.
Vous pouvez activer des communications heartbeat pour des interfaces physiques,
mais pas pour des sous-interfaces VLAN, des interfaces VPN IPSec, des
interfaces redondantes ou des interfaces agrges 802.3ad. Ces types dinterfaces
napparaissent pas dans la liste des interfaces de heartbeat.
Le trafic heartbeat HA peut utiliser une grande partie de la bande passante. Dans
la mesure du possible, il est conseill dactiver le trafic heartbeat HA sur les
interfaces utilises uniquement pour le trafic heartbeat HA ou sur des interfaces
connectes des rseaux moins occups.
Gnralement, les domaines virtuels sont distribus de manire gale entre les
deux clusters virtuels et les priorits configures de manire distribuer le trafic
identiquement entre les membres du cluster. Pour plus dinformations, voir
Exemple de configuration dun clustering virtuel la page 139 et
Administration de clusters virtuels la page 141.
Voir le botier FortiGate High Availability Guide - Guide des fonctions de haute
disponibilit FortiGate pour obtenir des exemples de procdures HA et de
configurations dtailles.
Illustration 51 : Exemple dune liste des membres dun cluster pour un FortiGate-5001
Pour afficher la liste des membres du cluster virtuel dun cluster oprationnel,
connectez-vous en tant quadministrateur admin et slectionnez Configuration
Globale, ensuite Systme > Configuration > HA.
Les flches haut et bas Permettent de modifier lordre dans lequel apparaissent les
membres du cluster. Cela naffecte pas le fonctionnement du
cluster et de ses membres. Seul lordre dapparition est
modifi.
Membre du cluster Illustrations des panneaux avant des membres du cluster. Si le
port rseau dune interface apparat en vert, cela signifie que
linterface est connecte. Maintenez le curseur de la souris sur
chaque illustration pour visualiser le nom dhte, le numro de
srie et le temps depuis lequel le membre est en fonction (up
time). La liste des interfaces sous surveillance est galement
affiche.
Nom dhte Le nom dhte du FortiGate.
Pour modifier le nom dhte du membre primaire,
slectionnez Systme > Statut et cliquez sur Changer cte
du nom dhte actuel.
Pour modifier le nom dhte dun membre
subordonn, cliquez sur licne Editer du membre subordonn.
Rle Le statut ou le rle du membre dans le cluster.
Le rle est MASTER pour le membre primaire (ou
matre)
Le rle est SLAVE pour tous les membres
subordonns (ou redondants) du cluster
Priorit de lquipement La priorit du membre du cluster. Chaque membre peut avoir
une priorit diffrente. Durant la ngociation HA, le membre
avec la priorit la plus haute devient le membre primaire.
Lintervalle de la priorit est de 0 255. La priorit par dfaut
est 128.
Dconnexion du cluster Dconnecte le membre du cluster. Voir Dconnexion dun
membre du cluster la page 136.
Pour visualiser les statistiques HA, slectionnez Systme > Configuration > HA
et cliquez sur Visualiser les Statistiques HA.
Rafrachir toutes les Entrez lintervalle de temps souhait entre deux mises jour
des statistiques par linterface graphique du FortiGate.
Back to HA monitor Ferme la liste des statistiques HA et retourne la liste des
membres du cluster.
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par
dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK,
la connexion du FortiGate risque dtre perdue pendant un moment car le cluster
HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir
Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC
dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou
simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire arp d.
8 Mettre le botier FortiGate hors tension.
9 Rptez cette procdure pour tous les membres FortiGate du cluster.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond
de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire
nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le
cluster puisse oprer. Vous pouvez galement connecter les interfaces de
heartbeat un rseau. Si le cluster ne comporte que deux membres FortiGate,
vous pouvez connecter les interfaces de heartbeat directement laide du cble
crois. Pour davantage dinformations sur les interfaces de heartbeat, voir
Interface de Heartbeat la page 117, ainsi que le FortiGate High Availability
User Guide - Guide utilisateur des fonctions de haute disponibilit FortiGate
5 Facultativement, connectez les autres interfaces de chaque membre du cluster
un concentrateur ou commutateur connect aux rseaux.
Lillustration 55 reprend lexemple dune configuration rseau pour un cluster HA
comprenant deux membres FortiGate-800. Ici, seules les interfaces internes et
externes sont connectes aux rseaux. Les interfaces HA sont connectes pour
une communication heartbeat HA.
Illustration 55 : Configuration rseau HA
Vous pouvez maintenant configurer le cluster comme sil sagissait dun seul
quipement FortiGate.
Remarque : Les options HA suivantes peuvent tre configures avec les paramtres par
dfaut. Vous pourrez toujours les modifier par aprs, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK,
la connexion du FortiGate risque dtre perdue pendant un moment car le cluster
HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir
Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre jour la table ARP de votre PC
dadministration en effaant lentre ARP de votre FortiGate (ou simplement en
effaant toutes les entres de la table ARP). Pour ce faire, utilisez la commande
CLI similaire arp d.
8 Rptez cette procdure pour tous les membres FortiGate du cluster virtuel.
Une fois les deux membres configurs, procdez avec la section Connecter un
cluster virtuel HA FortiGate .
Linsertion dun cluster HA dans votre rseau entrane une interruption temporaire
des communications rseau puisque de nouvelles connexions physiques sont
cres pour diriger le trafic travers le cluster. Le dmarrage du cluster
occasionne galement une interruption du trafic rseau jusqu ce que tous les
membres du cluster fonctionnent et que le cluster termine la ngociation. La
ngociation du cluster est automatique et ne dure normalement que quelques
secondes. Pendant le dmarrage et la ngociation du systme, tout le trafic rseau
est arrt.
Remarque : Les communications heartbeat de cluster FortiGate srie 5000 utilisent le fond
de panier dun chssis FortiGate-5000. Aucune connexion heartbeat HA supplmentaire
nest requise.
Les interfaces de heartbeat par dfaut de votre FortiGate sont reprises dans le
tableau 6. Au moins une interface de heartbeat devrait tre connecte pour que le
cluster puisse oprer. Vous pouvez galement connecter les interfaces de
heartbeat un rseau. Vous pouvez connecter les interfaces de heartbeat
directement laide du cble crois. Pour davantage dinformations sur les
interfaces de heartbeat, voir Interface de Heartbeat la page 117, ainsi que le
FortiGate High Availability User Guide - Guide utilisateur des fonctions de haute
disponibilit FortiGate.
5 Facultativement, connectez les autres interfaces de chaque membre du cluster
un concentrateur ou commutateur connect aux rseaux.
Lillustration 56 reprend lexemple dune configuration rseau pour un cluster virtuel
comprenant deux membres FortiGate-5001. Dans cet exemple, le cluster virtuel
possde deux domaines virtuels. Les interfaces des ports 5 et 6 sont dans le
domaine virtuel root et les interfaces des ports 7 et 8 sont dans le domaine virtuel
appel vdom_1. Le Site 1 est connect au domaine virtuel root et Site 2 est
connect au domaine virtuel vdom_2. Lexemple comprend les connexions
rseaux suivantes :
Les interfaces du port 5 sont connectes ensemble et au rseau Site 1.
Les interfaces du port 6 sont connectes ensemble et au routeur externe.
Les interfaces du port 7 sont connectes ensemble et au rseau Site 2.
Les interfaces du port 8 sont connectes ensemble et au routeur externe.
Vous pouvez maintenant configurer le cluster virtuel comme sil sagissait dun seul
quipement FortiGate.
Remarque : Les tapes suivantes ne sont pas requises si vous utilisez le clustering virtuel
uniquement comme systme de rplication. De cette procdure rsulte une distribution du
trafic entre les deux membres du cluster dans le cluster virtuel.
Illustration 58 : Exemple dune liste des membres dun cluster avec domaines virtuels
distribus entre les deux clusters virtuels.
7 Cliquez sur licne Editer du membre primaire du cluster virtuel 1 et cluster virtuel
2.
Le rle du membre dans le cluster saffiche sur lcran LCD (pour les FortiGate qui
en possdent). La mention primary saffiche sur lcran LCD du membre
primaire. Les membres subordonns affichent sur leur cran LCD la mention
slave <priority_id> o <priority_id> est la place prioritaire du membre
subordonn dans le cluster. Dans lexemple dun cluster compos de trois
membres et en mode actif-actif, les crans afficheront :
primary (a-a)
slave 1 (a-a)
slave 2 (a-a)
Les procdures suivantes sappliquent aussi bien pour les clusters standard que
pour les clusters virtuels. Pour ces derniers, vous devez nanmoins tre connect
en tant quadministrateur admin et avoir slectionn Configuration Globale.
Lors de la dconnexion dun membre, vous devez affecter une des interfaces de
ce membre une adresse IP et un masque de rseau. Le membre primaire peut lui
aussi tre dconnect. Dans ce cas, le cluster ragit de la mme manire que si le
membre primaire tait tomb en panne. Il rengocie et slectionne un nouveau
membre primaire.
Le membre primaire envoie des paquets ARP libres pour mettre jour les
commutateurs connects aux interfaces du cluster avec ladresse MAC virtuelle.
Les commutateurs mettent jour leurs tables de relayage MAC avec cette adresse
MAC. Les commutateurs dirigent alors tout le trafic rseau vers le membre
primaire. En fonction de la configuration du cluster, le membre primaire soit traite le
trafic rseau lui-mme, soit quilibre la charge du trafic rseau entre tous les
membres du cluster.
00-09-0f-06-<group-id>-<idx>
o
<group-id> est lID groupe HA du cluster
<idx> est une combinaison de lID du cluster virtuel auquel a t ajoute
linterface et lindex de cette interface.
Un FortiGate-5001, oprant en mode HA, avec domaines virtuels activs, dont lID
groupe HA a t dfini sur 23, les ports 5 et 6 tant dans le vdom root (qui se
trouve dans le cluster virtuel 1) et les ports 7 et 8 sont dans le vdom test (qui se
trouve dans le cluster virtuel 2), aurait les adresses MAC virtuelles suivantes :
Une fois le cluster oprationnel, vous pouvez diviser les domaines virtuels entre les
cluster virtuel 1 et 2 pour quils distribuent le trafic entre eux. Affectez ensuite la
priorit de manire ce quun membre du cluster devienne le membre primaire du
cluster virtuel 1 et que lautre membre devienne le membre primaire du cluster
virtuel 2. Etant donn que cest le membre primaire qui traite tout le trafic pour un
domaine virtuel, il en rsulte que les deux membres FortiGate du cluster traitent en
dfinitive le trafic. Le membre primaire du cluster virtuel 1 traite tout le trafic pour
les domaines virtuels du cluster virtuel 1 et le membre primaire du cluster virtuel 2
traite tout le trafic pour les domaines virtuels du cluster virtuel 2.
A tout moment il est possible de dplacer les domaines virtuels du cluster virtuel 1
au cluster virtuel 2, et ce, pour ajuster lquilibrage de charge entre les membres
du cluster.
Pour connecter le domaine virtuel root, les interfaces des port5 des deux membres
du cluster sont connectes un commutateur qui est aussi connect au rseau du
Site 1. Les interfaces port6 des deux membres du cluster sont connectes un
commutateur qui est aussi connect au routeur externe et Internet.
Pour connecter le domaine virtuel vdom_1, les interfaces port7 des deux membres
du cluster sont connectes un commutateur qui est aussi connect au rseau du
Site 2. Les interfaces port8 des deux membres du cluster sont connectes un
commutateur qui est aussi connect au routeur externe et Internet.
Un des avantages dune telle configuration est lquilibrage de charge entre les
membres du cluster. FortiGate_A traite le trafic de root et FortiGate_B celui de
vdom_1. De cette manire la charge de tout le trafic est partage entre les
membres du cluster.
La liste des membres du cluster diffre selon le membre du cluster. Dans lexemple
dcrit la page 139 Exemple de configuration dun clustering virtuel , si vous
connectez le port5, vous vous connectez au FortiGate_A (FortiGate_A saffiche
dans la barre de titres de linterface graphique). Slectionnez Configuration
Globale et ensuite Systme > Configuration > HA. A partir de chaque liste de
membres, vous pouvez slectionner Editer pour le botier FortiGate_A pour
modifier la configuration HA du cluster virtuel et dfinir les priorits du FortiGate_A
dans le cluster virtuel 1 et dans le cluster virtuel 2. En slectionnant Editer pour le
botier FortiGate_B dans le cluster virtuel 1, vous pouvez modifier le nom dhte du
FortiGate_B, ainsi que la priorit de FortiGate_B dans le cluster virtuel 1. En
slectionnant Editer pour le botier FortiGate_B dans le cluster virtuel 2, vous
pouvez modifier le nom dhte du FortiGate_B, ainsi que la priorit de FortiGate_B
dans le cluster virtuel 2.
Illustration 63 : Exemple dun cluster virtuel affichant la liste des membres du cluster
FortiGate_A
Illustration 64 : Exemple dun cluster virtuel affichant la liste des membres du cluster
FortiGate_B
Remarque : Vous pouvez maintenir la configuration par dfaut des options HA restantes et
les modifier plus tard, une fois le cluster oprationnel.
Le botier FortiGate ngocie pour tablir un cluster HA. Aprs avoir cliqu sur OK,
la connexion du FortiGate risque dtre perdue pendant un moment car le cluster
HA ngocie et le FGCP modifie ladresse MAC des interfaces FortiGate (voir
Adresses MAC dun cluster virtuel la page 138). Pour pouvoir se reconnecter
plus rapidement, vous pouvez mettre jour le tableau ARP de votre PC
dadministration en effaant lentre du tableau ARP pour votre FortiGate (ou
simplement en effaant toutes les entres du tableau ARP). Pour ce faire, utilisez
la commande CLI similaire arp d.
8 Rptez cette procdure pour lautre membre FortiGate-5001 du cluster.
Les membres FortiGate-5001 ngocient pour former un cluster.
Les procdures suivantes dcrivent comment ajouter port1 et port2 une interface
redondante et port3 et port4 une autre. A partir de la configuration par dfaut, il
est ncessaire de supprimer les adresses IP de port1 et port2, ainsi que port2 de la
route par dfaut. La procdure suivante ne rentre pas dans les dtails et nexplique
pas comment maintenir une connexion linterface graphique pendant la
dmarche ci-dessous. Il y a plusieurs faons daccomplir les tapes de la
procdure et cela dpend de votre configuration. Par exemple, vous pouvez utiliser
une connexion console linterface de ligne de commande pour configurer une
Remarque : Les interfaces physiques ajoutes une interface redondante doivent tre
ajoutes au mme domaine virtuel que linterface redondante avant mme dtre ajoutes
linterface redondante.
Un cluster HA avec une interface redondante peut par exemple comprendre deux
botiers FortiGate-800 oprant en mode HA et installs entre un serveur rseau et
Internet.
Dans un cluster HA, la haute disponibilit modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface redondante dans un cluster
obtient ladresse MAC virtuelle quaurait d obtenir la premire interface physique
qui apparat dans la configuration de linterface redondante.
Dans un cluster HA, la haute disponibilit modifie les adresses MAC des interfaces
du cluster en adresses MAC virtuelles. Une interface agrge dans un cluster
obtient ladresse MAC virtuelle quaurait d obtenir la premire interface de
lagrgation.
Si vous devez malgr tout ajouter les deux membres FortiGate la mme
agrgation, vous pouvez empcher le membre subordonn denvoyer ou
daccepter des paquets LACP en dfinissant le mot-cl CLI config system
interface lacp-ha-slave sur disable. De cette manire, le membre
subordonn ne participe pas lagrgation. En cas de rplication, lorsque le
membre subordonn devient le nouveau membre primaire, ce dernier commence
envoyer et recevoir des paquets LACP et rejoint lagrgation. La commande lacp-
ha-slave est active par dfaut. Voir le FortiGate CLI Reference pour plus
dinformations sur le mot-cl lacp-ha-slave.
SNMP
Vous pouvez configurer lagent SNMP FortiGate pour transmettre des rapports sur
les informations du systme et envoyer des traps (alarmes et messages sur les
vnements) aux superviseurs SNMP. A laide de lun de ces superviseurs, vous
pouvez accder aux traps et donnes SNMP partir de nimporte quelle interface
FortiGate ou sous-interface VLAN configure pour un accs administratif SNMP.
MIB FortiGate
Lagent SNMP FortiGate supporte les MIB prives FortiGate, ainsi que les MIB
standard des RFC 1213 et RFC 2665. Le support RFC comprend un support pour
les parties de la RFC 2665 (MIB type Ethernet) et les parties de la RFC 1213 (MIB
II) qui sappliquent la configuration du FortiGate.
Les MIB FortiGate, ainsi que les deux MIB RFC sont rpertories dans le tableau
10. Ces fichiers MIB sont disponibles au Support Technique Fortinet. Pour pouvoir
communiquer avec lagent SNMP, vous devez compiler toutes ces MIB dans votre
superviseur SNMP.
Il est probable que votre superviseur SNMP contiennent dj des MIB standard et
prives dans une base de donnes prte lemploi. Il est cependant ncessaire
dajouter les MIB prives Fortinet cette base de donnes. Dans le cas o les MIB
standard utilises par lagent SNMP Fortinet sont dj compiles dans votre
superviseur SNMP, il nest pas ncessaire de les recompiler.
Traps FortiGate
Lagent FortiGate peut envoyer des traps aux superviseurs SNMP des
communauts SNMP. La rception des traps ne peut se faire quaprs avoir
charg et compil la MIB Fortinet 3.0 sur le superviseur SNMP.
Tous les traps comprennent le message trap ainsi que le numro de srie du
botier FortiGate.
Tableau 23 : Options
Champ MIB Description
fnOptIdleTimeout La priode dinactivit en minutes aprs laquelle un
administrateur doit se rauthentifier.
fnOptAuthTimeout La priode dinactivit en minutes aprs laquelle un utilisateur
doit se rauthentifier avec un pare-feu.
fnOptLanguage La langue de linterface dadministration web.
fnOptLcdProtection Dans le cas o un PIN LCD a t envoy.
Exemple
Ci-dessous un exemple dune page dauthentification simple qui rpond aux
exigences nonces ci-dessus.
<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD>
<BODY><H4>You must authenticate to use this service.</H4>
<TR><TH>Username:</TH>
<TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text">
</TD></TR>
<TR><TH>Password:</TH>
<TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password">
</TD></TR>
</TBODY></TABLE></FORM></BODY></HTML>
Administrateurs
Il existe deux types de comptes administrateurs :
Un administrateur rgulier
Un compte par dfaut, admin
Slectionnez Systme > Admin > Droits dAccs pour ajouter des profils
dadministration aux administrateurs FortiGate. Chaque compte administrateur
appartient un profil dadministration. Vous pouvez crer des profils
dadministration qui empchent ou permettent les droits en lecture uniquement,
droits en criture uniquement ou les deux : droits en lecture et criture des
fonctionnalits FortiGate.
Pour diter des profils dadministration, utilisez un compte admin ou un compte qui
possdent les droits en lecture et en criture des utilisateurs admin. Slectionnez
Systme > Admin > Droits dAccs et cliquez sur Crer Nouveau.
Paramtres FortiManager
Activer Cochez la case Activer pour permettre une communication
scurise entre le botier FortiGate et le Serveur FortiManager.
Sans quoi, la communication nest pas scurise.
ID Entrez le numro de srie du Serveur FortiManager.
Adresse IP Entrez ladresse IP du Serveur FortiManager.
Paramtres
Slectionnez Systme > Admin > Settings (Paramtres) pour dfinir les options
suivantes :
Les ports pour les accs administratifs HTTP et HTTPS
Les paramtres des timeouts, y compris le timeout de ladministrateur et le
timeout de lutilisateur
La langue de linterface dadministration web
Une protection laide dun PIN pour lcran LCD et les boutons de
commandes (pour les modles quips de ces fonctions uniquement)
Cliquez sur licne Administrateurs Connects pour visualiser les informations sur
les administrateurs connects linterface dadministration web en cours. Une
nouvelle fentre souvre affichant la liste des administrateurs connects ce
moment-l.
Sauvegarde et Restauration
Pour sauvegarder et restaurer la configuration de votre systme, et pour grer le
microcode, slectionnez Systme > Maintenance > Sauvegarde et
Restauration.
Pour inclure les certificats VPN dans le fichier de sauvegarde, vous devez
permettre le cryptage du fichier de sauvegarde.
Vous devez dabord enregistrer votre FortiGate sur la page web du support de
Fortinet. Voir Enregistrement dun quipement FortiGate la page 37.
Pour recevoir des mises jour programmes, lquipement FortiGate doit pouvoir
se connecter au FDN via HTTPS sur le port 443. Pour plus dinformations sur la
configuration de programmation de mises jour, voir Activer la programmation
de mise jour la page 190.
Vous pouvez galement configurer votre FortiGate pour quil accepte des mises
jour forces. Pour ce faire, le FDN doit tre capable dacheminer des paquets vers
le botier FortiGate via UDP port 9443. Pour plus dinformations ce sujet, voir
Activer les mises jour forces la page 191.
Services FortiGuard
Les Points de Service FortiGuard (FortiGuard Service Points) offrent une
couverture mondiale. Fortinet cre des nouveaux Points de Service chaque fois
que ncessaire.
Pour plus dinformations sur les services FortiGuard, rendez-vous sur la page web
FortiGuard Center.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard Antispam est
offerte lachat dun quipement FortiGate. La gestion de ces licences est suivie
par les serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence.
Lors de lactivation de FortiGuard-Antispam, le botier FortiGate contacte
automatiquement un Point de Service FortiGuard-Antispam. Pour renouveler la
licence aprs la priode dessai de 30 jours, contactez le Support Technique de
Fortinet.
Service FortiGuard-Web
Le FortiGuard-Web est une solution de filtrage de contenu web de Fortinet. Ce
service trie des centaines de millions de pages web en diverses catgories que les
utilisateurs peuvent accepter, bloquer ou contrler. Le botier FortiGate accde au
Point de Service FortiGuard-Web le plus proche pour dterminer la catgorie de la
page web souhaite et applique ensuite la rgle pare-feu configure pour cet
utilisateur ou cette interface.
Une licence gratuite, valable 30 jours, pour un essai du FortiGuard-Web est offerte
lachat dun quipement FortiGate. La gestion de ces licences est suivie par les
serveurs Fortinet. Il nest pas ncessaire dentrer un numro de licence. Lors de
lactivation du service de blocage des catgories FortiGuard, lquipement
FortiGate contacte automatiquement un Point de Service FortiGuard. Pour
renouveler la licence FortiGuard aprs la priode dessai de 30 jours, contactez le
Support Technique de Fortinet.
A savoir:
Remarque : La mise jour des dfinitions dantivirus, par lajout de nouvelles signatures par
FortiGate dans la base de donnes, peut entraner une brve rupture du trafic analys. Il est
A chaque fois que le botier FortiGate procde une mise jour, laction est
enregistre dans le journal Evnement.
Les quipements FortiGate configurs pour recevoir les mises jour forces
envoient un message SETUP au FDN. De cette manire, lorsque les nouvelles
bases de connaissance antivirus et IPS sont cres, le FDN informe tous les
FortiGate configurs pour la mise jour force dune nouvelle mise jour
disponible. Dans les 60 secondes aprs la rception de ce message, les
FortiGates demandent la mise jour au FDN.
Remarque : Les mises jour forces ne sont pas supportes dans le cas de lutilisation
dun serveur proxy pour se connecter au FDN. Pour plus dinformations, voir Activer la
programmation de mises jour via un serveur proxy la page 190.
Lactivation des mises jour forces comme seul moyen dobtention des mises
jour nest pas recommande. Il existe toujours un risque que le botier FortiGate ne
reoive pas linformation de la disponibilit de nouvelles mises jour. De plus une
telle information nactive quune seule tentative de connexion au FDN et de
tlchargement des mises jour.
Remarque : Vous ne pouvez pas recevoir de mise jour force via un serveur NAT si son
adresse IP externe est dynamique (par exemple, via lutilisation de PPPoE ou DHCP).
Procdure gnrale
Les procdures suivantes vous guident dans la configuration du serveur NAT
FortiGate et du botier FortiGate sur le rseau interne pour la rception des mises
jour forces.
Remarque : Avant de clturer cette procdure, assurez-vous davoir enregistr votre rseau
interne du FortiGate de manire ce quil puisse recevoir les mises jour forces.
La route statique par dfaut configure lorigine vous fournit un point de dpart
pour configurer la passerelle par dfaut. Vous pouvez diter cette route statique
par dfaut et spcifier une passerelle par dfaut diffrente pour le botier FortiGate,
ou vous pouvez la supprimer et spcifier votre propre route statique par dfaut qui
dirige vers la passerelle par dfaut (voir Route par dfaut et passerelle par
dfaut la page 198).
Les routes statiques sont dfinies manuellement. Elles contrlent le trafic sortant
du FortiGate vous pouvez spcifier linterface travers laquelle les paquets
sortent et linterface vers laquelle ces paquets sont dirigs.
Route Statique
Les routes statiques se configurent en dfinissant ladresse IP et le masque de
rseau de destination des paquets que le botier FortiGate sapprte intercepter
et en spcifiant une adresse IP (de passerelle) pour ces paquets. Ladresse de la
passerelle indique le routeur du prochain saut vers lequel le trafic va tre dirig.
Concepts de routage
Le routage tant un sujet complexe, certains le considrent comme trop difficile
matriser. Cependant, le botier FortiGate tant un appareil ddi la scurit sur
le rseau, ce guide dveloppe un certain nombre de concepts de base sur le
routage de manire ce que la configuration du FortiGate puisse tre ralise
avec efficacit.
Que le rseau administrer soit grand ou petit, ce module vous aide comprendre
les fonctions de routage excutes par un quipement FortiGate.
Dans le cas o ladresse de destination correspond une adresse locale (et que la
configuration locale permet la livraison), lquipement FortiGate livre le paquet au
rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate
transfre le paquet vers le routeur du prochain saut daprs la rgle de route
correspondante (voir Rgle de routage la page 201) et/ou daprs les
informations disponibles dans la table de relayage FortiGate.
Dans la version 3.0 de FortiOS, il est possible de dfinir un champ de priorits pour
les routes partir des commandes CLI. Ce champ ne tient pas compte du numro
de squence dans le cas o deux routes ont la mme distance administrative la
route ayant la priorit la plus leve est le route primaire. Si deux routes ont la
mme priorit, il est possible de dfinir le champ de priorits via la commande CLI
set priority <integer> dans la commande config route static. Pour
plus dinformations, voir le FortiGate CLI Reference. DH New 3.0, partial fix for
bug.
Lorsquune route statique est cre dans la liste de Routes Statiques partir de
linterface dadministration web, lquipement FortiGate lui affecte
automatiquement le prochain numro de squence. Par exemple, dans lillustration
85, deux routes statiques vers une mme destination (1.1.1.0/24) ont t cres
pour montrer comment les numros dentre et les numros de squence sont
affects par linterface graphique. Les deux routes spcifient la mme passerelle,
mais dans un cas, le paquet quitte lquipement FortiGate via linterface port1
et dans le deuxime cas, via linterface port2 .
Remarque : Il est possible dafficher les numros des routes statiques dans la table de
routage partir de la commande CLI config router static, et tapez ensuite get. Le
numro dune route est quivalente la valeur edit <ID_integer> entre
prcdemment par une commande CLI. Pour plus dinformations, voir config router
static dans le FortiGate CLI Reference.
Lorsque vous ajoutez une route la liste des Routes Statiques, lquipement
FortiGate value les nouvelles informations pour dterminer si celles reprsentent
une route diffrente compare toutes les autres routes prsentes dans la table
de routage. Si aucune de ces routes ne possdent la mme destination,
lquipement FortiGate ajoute cette nouvelle route la table de routage.
Pour visualiser la liste des routes statiques, slectionnez Routeur > Static >
Route Statique. Pour diter une entre de route statique existante, cliquez sur son
icne Editer.
Crer Nouveau Permet dajouter une route statique la liste des Routes
Statiques. Voir Ajout dune route statique la table de
routage la page 200.
IP Les adresses IP de destination des paquets intercepts par
lquipement FortiGate.
Masque Le masque de rseau associ aux adresses IP.
Passerelle Les adresses IP des routeurs du prochain saut vers lequel les
paquets intercepts sont envoys.
Interface Le nom de linterface FortiGate travers laquelle les paquets
intercepts sont reus et envoys.
Distance Les distances administratives associes chaque route. La
valeur reprsente la distance vers les routeurs du prochain
saut.
Icnes Supprimer et Editer Permet de supprimer ou dditer lentre dans la liste.
Pour empcher cela vous pouvez soit diter la route statique par dfaut et spcifier
une passerelle par dfaut diffrente, soit supprimer cette route statique par dfaut
et en spcifier une nouvelle qui dirige vers la passerelle par dfaut.
Dans cet exemple, pour diriger les paquets sortants du rseau interne vers des
destinations qui ne sont pas sur le rseau 192.168.20.0/24, vous pouvez diter la
route par dfaut et inclure les paramtres suivants :
IP/Masque de destination : 0.0.0.0/0.0.0.0
Passerelle : 192.168.10.1
Interface : Nom de linterface connecte au rseau 192.168.10.0/24 (par
exemple, external).
Distance : 10
Dans certains cas, il peut y avoir des routeurs derrire lquipement FortiGate. Si la
destination dune adresse IP dun paquet nest pas sur le rseau local mais sur un
rseau derrire lun de ces routeurs, la table de routage de lquipement FortiGate
doit comprendre une route statique vers ce rseau. Dans lexemple de lillustration
88, lquipement FortiGate doit tre configur avec des route statiques vers les
interfaces 192.168.10.1 et 192.168.11.1 dans le but de commuter les paquets
respectivement vers Network_1 et Network_2.
Pour diriger les paquets du Network_1 vers le Network_2, Router_1 doit tre
configur pour utiliser linterface internal de lquipement FortiGate comme sa
passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement
FortiGate une nouvelle route statique avec les paramtres suivants :
IP/Masque de destination : 192.168.30.0/24
Passerelle : 192.168.11.1
Interface : dmz
Distance : 10
Pour diriger les paquets du Network_2 vers le Network_1, Router_2 doit tre
configur pour utiliser linterface dmz de lquipement FortiGate comme sa
passerelle par dfaut. Vous pourriez, pour cet exemple, crer sur lquipement
FortiGate une nouvelle route statique avec les paramtres suivants :
IP/Masque de destination : 192.168.20.0/24
Passerelle : 192.168.10.1
Interface : internal
Distance : 10
Pour ajouter une entre de route statique, slectionnez Routeur > Static > Route
statique et cliquez sur Crer Nouveau.
Lorsque vous ajoutez une route statique partir de linterface dadministration web,
lquipement FortiGate affecte automatiquement le prochain numro de squence
la route et ajoute lentre la liste de Routes Statiques.
Rgle de Routage
A chaque fois quun paquet arrive sur lune des interfaces du FortiGate, ce dernier
dtermine si le paquet a t reu par une interface lgitime en lanant une
recherche inverse utilisant ladresse IP source de len-tte du paquet. Dans le cas
o le botier FortiGate narrive pas communiquer avec lordinateur de cette
adresse IP source, le botier FortiGate annule le paquet.
Dans le cas o ladresse de destination correspond une adresse locale (et que la
configuration locale permet la livraison), lquipement FortiGate livre le paquet au
rseau local. Si le paquet est destin un autre rseau, lquipement FortiGate
transfre le paquet vers le routeur du prochain saut daprs la rgle de route
correspondante et/ou daprs les informations disponibles dans la table de
relayage FortiGate (voir Concepts de routage la page 194).
Lorsque des rgles de route existent et quun paquet arrive sur lquipement
FortiGate, ce dernier se rfre la liste des Rgles de Routage et tente de faire
correspondre le paquet avec lune dentre elles. Si une correspondance est trouve
et que la rgle contient assez dinformations pour diriger le paquet (ladresse IP du
routeur du prochain saut doit tre spcifie, ainsi que linterface FortiGate pour
lenvoi de paquets vers le routeur du prochain saut), lquipement FortiGate dirige
le paquet en fonction des informations contenues dans la rgle de routage. Si
aucune rgle de routage correspond au paquet, lquipement FortiGate dirige le
paquet utilisant la table de routage.
Remarque : Etant donn que la plupart des paramtres des rgles sont optionnels, une
rgle seule risque de ne pas fournir toute linformation ncessaire au FortiGate pour envoyer
le paquet. Lquipement FortiGate peut se rfrer la table de routage dans une tentative
de faire correspondre les informations contenues dans len-tte du paquet avec une route
dans la table de routage.
Par exemple, si linterface sortante est le seul lment repris dans la rgle, lquipement
FortiGate vrifie ladresse IP du routeur du prochain saut dans la table de routage. Cette
situation pourrait se prsenter lorsque les interfaces FortiGate sont dynamiques (linterface
reoit son adresse IP via DHCP ou PPPoE) et vous ne dsirez pas ou narrivez pas
spcifier une adresse IP du routeur du prochain saut car ladresse IP change
dynamiquement.
Pour voir la liste des rgles de routage, slectionnez Routeur > Static > Policy
Route. Pour diter une rgle de routage existante, cliquez sur licne Editer ct
de la rgle que vous voulez diter.
Crer Nouveau Permet dajouter une rgle de routage. Voir Ajout dune rgle
de routage la page 202.
# Les numros ID des rgles de routage configures. Ces
numros sont squentiels, moins que des rgles aient t
modifies dans la table.
Interface source Les interfaces sur lesquelles les paquets sujets des rgles
de routage ont t reus.
Interface destination Les interfaces travers lesquelles les paquets routs par
rgles sont dirigs.
Source Les adresses IP source et masques de rseau responsables
de lapplication de rgles de routage.
Destination Les adresses IP de destination et les masques de rseau
responsables de lapplication de rgles de routage.
Icne Supprimer Permet de supprimer une rgle de routage.
Icne Editer Permet dditer une rgle de routage.
Icne Dplacer Permet de dplacer une rgle de routage vers le haut ou le
bas dans la table de routage. En slectionnant cette icne, une
nouvelle fentre saffiche dans laquelle vous pouvez spcifier
la nouvelle localisation dans la table de Rgles de Routage.
Voir Dplacer une rgles de routage la page 203.
Pour ajouter une rgle de routage, slectionnez Routeur > Static > Rgle de
routage et cliquez sur Crer Nouveau.
Le choix entre deux routes se prsente lorsque celles-ci sont identiques. Prenons
lexemple suivant de deux routes prsentes dans la table de routage :
172.20.0.0/255.255.0.0 et 172.20.120.0/255.255.255.0. Elles peuvent toutes deux
correspondre 172.20.120.112 mais la deuxime est prfrable. Elle devrait donc
tre positionne avant lautre dans la table de routage.
Remarque : Les options de base de routage RIP, OSPF et BGP peuvent tre configures
partir de linterface dadministration web. De nombreuses options supplmentaires peuvent
tre configures partir de linterface de ligne de commande uniquement. Des descriptions
et exemples complets sur lutilisation de commandes CLI pour configurer les paramtres
RIP, OSPF et BGP sont disponibles dans la chapitre Routeur du FortiGate CLI Reference.
Remarque : Le botier FortiGate peut oprer comme un routeur PIM (Protocol Independant
Multicast) version 2 dans le domaine virtuel root. Les FortiGates supportent les modes PIM
clairsem et dense et peuvent servir de serveurs ou receveurs multicast sur le segment
rseau auquel linterface FortiGate est connecte. PIM peut utiliser des routes statiques,
RIP, OSPF ou BGP pour envoyer des paquets multicast vers leurs destinations.
RIP
Le RIP est un protocole de routage vecteur de distance prvu pour de petits
rseaux relativement homognes. Limplmentation FortiGate du RIP supporte les
versions 1 (voir RFC 1058) et 2 RIP (voir RFC 2453).
Remarque : Les options de base de routage peuvent tre configures partir de linterface
dadministration web. De nombreuses options supplmentaires peuvent tre configures
partir de linterface de ligne de commande uniquement. Des descriptions et exemples
complets sur lutilisation de commandes CLI pour configurer les paramtres RIP sont
disponibles dans la chapitre Routeur du FortiGate CLI Reference.
La mtrique utilise par RIP utilise le nombre de sauts (hop count) pour choisir la
meilleure route. Un nombre de sauts de 1 reprsente un rseau connect
directement lquipement FortiGate. Un nombre de sauts de 16 reprsente un
rseau que lquipement FortiGate ne peut pas atteindre. Chaque rseau travers
par un paquet pour atteindre sa destination compte en gnral pour un saut.
Lorsque lquipement FortiGate compare deux routes pour une mme destination,
la route ayant le nombre de sauts le plus bas est ajoute la table de routage.
Par ailleurs, lorsquun routage RIP est activ sur une interface, le botier FortiGate
envoie rgulirement des rponses RIP aux routeurs voisins. Les annonces
fournissent des informations propos des routes prsentes dans la table de
routage FortiGate en fonction des rgles de diffusion spcifies. Il est possible de
prciser la frquence laquelle lquipement FortiGate envoie ces annonces, le
temps pendant lequel une route est sauvegarde dans la table de routage sans
subir de mise jour, et encore, pour les routes non mises jour rgulirement,
combien de temps lquipement FortiGate diffuse la route comme inatteignable
avant quelle soit supprime de la table de routage.
Pour slectionnez les options RIP avances, slectionnez Routeur > Dynamic >
RIP et drouler les Options Avances. Aprs avoir slectionn les options, cliquez
sur Appliquer.
Mtrique par dfaut Entrez le nombre de sauts par dfaut que lquipement
FortiGate devrait affecter aux routes ajoutes la table de
routage. Ce nombre varie entre 1 et 16.
Cette valeur sapplique galement la Redistribution des
routes moins que spcifi diffremment.
Annoncer la route par Slectionnez pour gnrer et annoncer sans restriction une
dfaut dans RIP route par dfaut vers les rseaux RIP FortiGate. La route
gnre peut tre base sur des routes annonces partir
dun protocole de routage dynamique, des routes de la table
de routage ou les deux.
Pour dfinir les paramtres RIP des interfaces RIP, slectionnez Routeur >
Dynamic > RIP et cliquez sur Crer Nouveau.
Remarque : Les options de base de routage OSPF peuvent tre configure partir de
linterface dadministration web. De nombreuses options supplmentaires peuvent tre
configures uniquement partir de linterface de ligne de commande. Pour des descriptions
et exemples complets sur la configuration de paramtres OSPF via lutilisation des
commandes CLI, voir le chapitre Routeur du FortiGate CLI Reference.
Lorsquun quipement FortiGate possde une de ses interfaces dans une aire
OSPF, il peut alors participer aux changes de communications OSPF. Le botier
FortiGate utilise le protocole OSPF Hello pour acqurir des voisins dans une aire.
Tout routeur qui possde une interface dans la mme aire que le botier FortiGate
est un voisin. Aprs un contact initial, lquipement FortiGate change
rgulirement des paquets Hello avec ses voisins OSPF pour confirmer que ceux-
ci peuvent tre joints.
Les routeurs OSPF gnrent des LSA (link-state advertisements) et les envoient
leurs voisins chaque changement de statut dun voisin ou lorsquun nouveau
voisin apparat dans laire. Tant que le rseau OSPF est stable, il ny a pas de LSA
entre les voisins OSPF. Un LSA identifie des interfaces de tous les routeurs dune
aire et procure des informations qui permettent aux routeurs de slectionner le
chemin le plus court vers une destination. Tous les changes LSA entre routeurs
OSPF sont authentifis.
les adresses rseaux de laire locale OSPF (vers lesquels les paquets sont
envoys directement).
Dfinir un AS OSPF
Pour slectionnez les options OSPF avances, slectionnez Routeur > Dynamic
OSPF et drouler les Options Avances. Aprs avoir slectionn les options,
cliquez sur Appliquer.
Information par dfaut Gnre ou diffuse une route par dfaut (external) vers lAS
OSPF. La route gnre peut tre base sur des routes dont
lquipement FortiGate a eu connaissance via un protocole de
routage dynamique ou des routes dans la table de routage, ou
les deux.
Aucun Dsactive la gnration dune route par dfaut.
Regular Gnre une route par dfaut dans lAS OSPF et diffuse la
route aux systmes autonomes voisins seulement si la route
est prsente dans la table de routage.
Toujours Gnre une route par dfaut dans lAS OSPF et diffuse la
route aux systmes autonomes voisins inconditionnellement
mme si la route est absente de la table de routage.
Redistribution Active ou dsactive les LSA OSPF propos des routes non
diffuses via OSPF. Lquipement FortiGate peut utiliser OSPF
pour redistribuer les routes diffuses partir de rseaux
connects directement, de routes statiques, RIP et/ou BGP.
Connect Slectionnez cette option pour redistribuer les routes diffuses
partir de rseaux connects directement. Si vous dsirez
prciser un cot pour ces routes, entrez le cot dans le champ
Mtrique. Ce cot peut varier entre 1 et 16 777 214.
Statiques Slectionnez cette option pour redistribuer les routes diffuses
partir de routes statiques. Si vous dsirez spcifier un cot
pour ces routes, entrez le cot dans le champ Mtrique. Ce
cot peut varier entre 1 et 16 777 214.
RIP Slectionnez cette option pour redistribuer les routes diffuses
partir de RIP. Si vous dsirez spcifier un cot pour ces
routes, entrez le cot dans le champ Mtrique. Ce cot peut
varier entre 1 et 16 777 214.
BGP Slectionnez cette option pour redistribuer les routes diffuses
partir de BGP. Si vous dsirez spcifier un cot pour ces
routes, entrez le cot dans le champ Mtrique. Ce cot peut
varier entre 1 et 16 777 214.
Une aire Regular comprend plus dun routeur, chacun ayant au moins une
interface OSPF dans cette aire.
Pour atteindre le backbone OSPF, les routeurs dune aire stub doivent envoyer les
paquets vers un routeur de bordure de zones. Les routes qui mnent vers des
domaines non-OSPF ne sont pas diffuses aux routeurs des aires stub. Le routeur
de bordure de zones diffuse lAS OSPF une seule route par dfaut (destination
0.0.0.0) dans laire stub, qui assure que tous les paquets OSPF ne correspondant
pas une route spcifique correspondront la route par dfaut. Tous les routeurs
connects une aire stub est considre comme faisant partie de cette aire.
Dans une aire NSSA (Not-So-Stubby Area), les routes qui sortent de laire vers un
domaine non-OSPF sont diffuses lAS OSPF. Cependant, laire elle-mme
continue dtre traite comme une aire stub par le reste de lAS.
Les aires Regular et stub (y compris NSSA) sont connectes au backbone OSPF
par lintermdiaire de routeurs de bordure de zones.
Pour dfinir une aire OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez
sur Crer Nouveau dans la section Aires. Pour diter les proprits dune aire
OSPF, slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans
la ligne correspondante laire concerne.
Remarque : Si ncessaire, vous pouvez dfinir un lien virtuel vers une aire qui a perdu sa
connexion physique vers le backbone OSPF. Les liens virtuels peuvent uniquement tre
dfinis entre deux quipements FortiGate qui agissent en tant que routeurs de bordure de
zones. Pour plus dinformations, voir config virtual-link sous la sous-commande OSPF
config area dans le FortiGate CLI Reference.
Remarque : Pour affecter un rseau une aire, voir Spcification des rseaux OSPF
la page 217.
Pour affecter un ID aire OSPF un rseau, slectionnez Routeur > Dynamic >
OSPF et cliquez sur Crer Nouveau dans la section Rseaux. Pour diter cet ID,
slectionnez Routeur > Dynamic > OSPF et cliquez sur licne Editer dans la
ligne correspondant au rseau concern.
Le protocole OSPF peut tre activ sur toutes les interfaces FortiGate dont les
adresses IP correspondent lespace rseau OSPF. Par exemple, dfinissez une
aire 0.0.0.0 et un rseau OSPF dfini 10.0.0.0/16. Dfinissez ensuite vlan1
10.0.1.1.24, vlan2 10.0.2.1/24 et vlan3 10.0.3.1/24. Ces trois vlans seront
munis dOSPF dans une aire 0.0.0.0. Pour activer toutes les interfaces, vous
devriez crer un rseau OSPF 0.0.0.0/0 ayant une aire qui corresponde une
adresse IP spcifique.
Vous pouvez configurer des paramtres OSPF diffrents pour une mme interface
FortiGate lorsque plus dune adresse IP ont t assignes linterface. Par
exemple, une mme interface FortiGate pourrait tre connecte deux voisins
partir de sous-rseaux diffrents. Vous pourriez alors configurer une dfinition de
linterface OSPF comprenant un ensemble de paramtres Hello et dead-interval
pour la compatibilit avec les paramtres dun voisin, et configurer une deuxime
dfinition de cette mme interface pour assurer la compatibilit avec les
paramtres du deuxime voisin.
BGP
BGP est un protocole de routage Internet gnralement utilis par les Fournisseurs
dAccs Internet (FAI) pour changer des informations de routage entre diffrents
rseaux FAI. Par exemple, BGP permet le partage de chemins de rseaux entre le
rseau DAI et un systme autonome (AS) qui utilise RIP et/ou OSPF pour
acheminer les paquets dans lAS. Limplmentation FortiGate du BGP supporte
BGP-4 et est conforme la RFC 1771.
Fonctionnement de BGP
Lorsque BGP est activ, lquipement FortiGate envoie des mises jour de la table
de routage aux systmes autonomes voisins chaque modification de la table de
routage. Chaque AS, y compris celui dont lquipement FortiGate est membre, est
associ un numro AS. Ce numro fait rfrence une destination particulire
sur le rseau.
Les mises jour BGP diffusent le meilleur chemin vers une destination du rseau.
Lors de la rception de mises jour, le botier FortiGate examine les proprits du
discriminant multi-sorties (MED Multi-Exit Discriminator) des routes potentielles
pour dterminer le meilleur chemin vers une destination du rseau avant
denregistrer ce chemin dans sa table de routage.
Pour visualiser et diter les paramtres BGP, slectionnez Routeur > Dynamic >
BGP. Linterface dadministration web offre une interface simplifie pour configurer
les options de base BGP. De nombreuses options avances BGP peuvent tre
configures partir de linterface de ligne de commande. Pour plus dinformations,
voir le chapitre Routeur du FortiGate CLI Reference.
Multicast
Un quipement FortiGate peut oprer comme routeur Multicast PIM (Protocol
Independent Multicast) version 2 dans le domaine virtuel root. Il supporte les
modes clairsem (RFC 2362) et dense (RFC 3973) et peut servir de serveurs et
rcepteurs multicast sur le segment rseau auquel est connecte une interface
FortiGate.
Les applications serveurs multicast utilisent une adresse multicast (Class D) pour
envoyer une copie du paquet un groupe de receveurs. Les routeurs PIM
travers le rseau assurent que seule une copie du paquet est envoye travers le
rseau jusqu ce quelle atteigne sa destination finale. A destination, des copies
du paquet sont cres seulement sil est ncessaire de livrer les informations aux
applications clients multicast qui ncessitent le trafic destin ladresse multicast.
Remarque : Toutes les applications envoi/rception et tous les routeurs PIM connects
entre doivent valider le protocole PIM version 2 en vue de supporter les communications
PIM. PIM utilise des routes statiques, RIP, OSPF ou BGP pour transfrer des paquets
multicast vers leurs destinations. Pour permettre la livraison de paquets de leur source
leur point de destination, soit le mode clairsem (ou pars), soit le mode dense doit tre
activ sur toutes les interfaces du routeur PIM. Les routeurs en mode clairsem ne peuvent
pas envoyer des messages multicast aux routeurs en mode dense. De plus, si un
quipement FortiGate est localis entre une source et un routeur PIM, ou entre deux
routeurs PIM ou encore est connect directement un receveur, vous devez crer une rgle
pare-feu manuellement pour passer les paquets (multicast) encapsuls ou les donnes
dcapsules (trafic IP) entre la source et la destination.
Un domaine PIM est une aire logique comprenant un nombre de rseaux contigus.
Le domaine comprend au moins un Boot Strap Router (BSR). Si le mode clairsem
est activ le domaine comprend galement plusieurs Points de Rendez-vous (RP)
Pour visualiser ou diter les paramtres PIM, slectionnez Routeur > Dynamic >
Multicast. Linterface dadministration web offre une interface simplifie pour
configurer les options de base PIM. Les options PIM avances peuvent tre
configures partir de linterface de ligne de commande. Pour plus dinformations,
voir le chapitre Routeur du FortiGate CLI Reference.
Activer le Routage Multicast Slectionnez pour activer le routage PIM version 2. Une
rgle pare-feu doit tre cre sur les interfaces PIM
pour laisser passer les paquets encapsuls et les
donnes dcapsules entre leur source et leur
destination.
Add Static RP (+) Ajouter une adresse RP. Si ncessaire en mode
clairsem, entrez ladresse IP dun Point de Rendez-
vous (RP) qui peut tre utilis comme racine de larbre
de distribution dun paquet pour un groupe multicast.
Les join messages du groupe multicast et les donnes
de la source sont envoys au RP.
Si un RP du groupe multicast de lIP spcifi est dj
connu par le Boot Strap Router, ce RP est utilis et
ladresse RP statique spcifie ignore.
Appliquer Permet de sauvegarder les adresses RP statiques
entres.
Crer Nouveau Slectionnez pour crer une nouvelle entre multicast
pour une interface. Cela vous permettra de rgler
Pour afficher les routes de la table de routage, slectionnez Routeur > Table de
routage.
Si vous dsirez lancer une recherche dans la table de routage en fonction des
types et limiter un peu plus laffichage en fonction de rseau ou passerelle, toutes
les valeurs des critres de recherche doivent correspondre aux valeurs de la
mme entre de la table de routage pour que cette entre soit affiche (la
condition implicite ET est applique tous les paramtres de recherches
spcifis).
Remarque : Toutes les valeurs des critres de recherche doivent correspondre aux valeurs
de la mme entre de la table de routage pour que cette entre soit affiche.
Chaque rgle peut tre configure pour diriger les connexions ou appliquer le
service de translation dadresse rseau (NAT network address translation) pour
translater les adresses IP et ports source et de destination. Vous pouvez ajouter
des pools IP pour une utilisation NAT dynamique lorsque le pare-feu translate les
adresses sources. Vous pouvez utiliser des rgles pour configurer la translation
dadresse port (PAT port address translation) travers le botier FortiGate.
Le pare-feu lance une recherche sur des rgles en partant du haut de la liste et
descendant jusqu ce quil trouve la premire correspondance. Il est donc
essentiel de hirarchiser les rgles dans la liste de la plus spcifique la plus
gnrale. Par exemple, la rgle par dfaut est une rgle trs gnrale car elle
correspond toutes les tentatives de connexion. Les exceptions cette rgle sont
ajoutes la liste de rgles au-dessus de la rgle par dfaut. Une rgle qui devrait
tre place en dessous de la rgle par dfaut ne reprsentera jamais une
correspondance.
Les rgles gnrales sont des rgles qui peuvent accepter des connexions avec
de multiples adresses sources et de destination, ainsi quavec des intervalles
dadresses. Elles peuvent galement accepter des connexions de multiples ports
service ou avoir des horaires trs ouverts. Si vous dsirez ajouter des rgles qui
sont des exceptions aux rgles gnrales, ces exceptions doivent tre ajoutes au-
dessus des rgles gnrales. dans la liste de rgles
Par exemple, vous pouvez avoir une rgle gnrale permettant tous les
utilisateurs de votre rseau interne daccder tous les services Internet. Si vous
dsirez bloquer laccs aux serveurs FTP sur Internet, vous devriez ajouter au-
dessus de la rgle gnrale une rgle qui bloque les connexions FTP. La rgle de
dni bloque les connexions FTP mais les tentatives de connexion de tous les
autres types de services ne correspondent pas la rgle FTP mais correspondent
la rgle gnrale. De ce fait, la pare-feu accepte toutes les connexions du rseau
interne vers Internet, lexception des connexions FTP.
La disposition des rgles de cryptage pare-feu est importante pour assurer quelles
prennent effet comme prvu les rgles de cryptage pare-feu doivent tre
values avant des rgles pare-feu rgulires.
Dplacer une rgle dans la liste ne modifie pas son numro ID.
Pour ajouter ou diter une rgle pare-feu, slectionnez Pare-feu > Rgle.
Vous pouvez ajouter des rgles ACCEPT pour accepter des sessions de
communication. Une telle rgle permet dappliquer des fonctionnalits FortiGate
telles quune analyse des virus et une authentification de la session de
communication accepte par cette rgle. Une rgle ACCEPT peut galement
permettre le trafic VPN IPSec en mode interface si la source ou la destination est
une interface virtuelle IPSec. Pour plus dinformations, voir Aperu sur le mode
interface IPSec la page 294.
Vous pouvez ajouter des rgles DENY pour interdire des sessions de
communication.
Vous pouvez galement ajouter des rgles de cryptage IPSec pour permettre le
trafic VPN en mode tunnel IPSec et des rgles de cryptage VPN SSL pour
permettre le trafic VPN SSL. Des rgles de cryptage pare-feu dterminent quels
types de trafic IP seront permis pendant une session IPSec ou VPN SSL. Si permis
par une rgles de cryptage pare-feu, un tunnel peut tre initi automatiquement
chaque fois quun paquet IP du type slectionn arrive linterface FortiGate vers
le rseau priv local. Pour plus dinformations, voir Options des rgles pare-feu
IPSec la page 242 et Options des rgles pare-feu VPN SSL la page 243.
Le champ Service correspond la rgle pare-feu avec le service utilis par une
session de communication.
Le champ Action dfinit le traitement du trafic par le botier FortiGate. Spcifiez une
action pour accepter ou bloquer le trafic ou configurez une rgle de cryptage pare-
feu.
Les options des rgles pare-feu peuvent tre slectionnes pour dfinir des
fonctionnalits additionnelles : NAT, Profil de Protection, Log Allowed Traffic, Log
Violation Traffic, Authentification et Traffic Shaping. Log Violation Traffic peut tre
appliqu aux rgles qui bloquent le trafic. Des services supplmentaires diffrents
sont configurables partir de linterface de ligne de commande (voir le chapitre
firewall du FortiGate CLI Reference).
Remarque : Pour permettre au botier FortiGate dauthentifier partir dun serveur Active
Directory, il faut installer le Fortinet Server Authentication Extensions (FSAE) sur le Active
Directory Domain Controller. Le FSAE est disponible auprs du Support Technique Fortinet.
Pour que les utilisateurs puissent sauthentifier partir dautres services (par
exemple POP3 ou IMAP), crez un groupe de services qui comprend les services
pour lesquels une authentification est requise, de mme que HTTP, Telnet et FTP.
Ainsi, les utilisateurs peuvent sauthentifier avec la rgle via HTTP, Telnet ou FTP
avant dutiliser un autre service.
Dans la plupart des cas, assurez-vous que les utilisateurs puissent utiliser DNS
travers le pare-feu sans authentification. Si DNS nest pas disponible, les
utilisateurs ne peuvent pas se connecter un serveur web, FTP ou Telnet avec un
nom de domaine.
Remarque : Les rgles qui ncessitent une authentification doivent tre places, dans la
liste, au-dessus des rgles correspondantes qui nen ncessitent pas. Sinon, la rgle qui ne
ncessite pas dauthentification est choisie en premier.
Loption de priorit de trafic est disponible pour les rgles ACCEPT, IPSEC et VPN
SSL, ainsi que pour tous les services supports, y compris H.323, TCP, UDP,
ICMP et ESP. Elle sera disponible pour SIP dans les versions futures.
La bande passante utilise pour le trafic contrl par une rgle sert au contrle et
aux sessions de donnes du trafic dans les deux directions. Par exemple, si la
bande passante garantie est applique une rgle FTP interne et externe,
lorsquun utilisateur dun rseau interne utilise FTP pour placer et recevoir des
fichiers, les sessions de rception et denvoi partagent la bande passante
disponible au trafic contrler par cette rgle.
La bande passante garantie et maximum disponible pour une rgle est la bande
passante totale disponible pour tout le trafic contrl par cette rgle. Si diffrents
utilisateurs commencent plusieurs sessions de communication avec la mme
rgle, toutes ces sessions de communication doivent se partager la bande
passante disponible pour cette rgle.
Priorit du trafic
Fixer une priorit permet de grer les priorits relatives des diffrents types de
trafic. Les trafics importants devraient avoir un haut niveau de priorit. Les trafics
moins importants devraient se voir attribuer un niveau plus bas de priorit.
Par exemple, vous pouvez ajouter des rgles qui garantissent de la bande
passante pour le trafic voice et e-commerce. Ensuite, vous pouvez affecter une
haute priorit la rgle qui contrle le trafic voix et une priorit medium la
rgle qui contrle le trafic e-commerce. Aux heures de pointe, lorsque les deux
trafics, voice et e-commerce, sont en concurrence pour la bande passante, le trafic
voice sera transmis avant le trafic e-commerce puisquil a la plus haute priorit.
Un exemple de priorit de trafic de base serait de dfinir une priorit pour certains
flux de trafic au dtriment dautres trafics qui ne seront alors pas pris en compte.
Si, par exemple, vous appliquez une limitation de la bande passante certains
flux, vous devez accepter le fait que ces sessions peuvent tre limites.
La priorit de trafic applique une rgle pare-feu est renforce pour le trafic qui
peut circuler dans chaque direction. Ds lors une session mise en place par un
hte interne vers un hte externe, via une rgle Interne -> Externe, subira la
priorit de trafic applique mme si le flot de donnes provient alors dExterne ->
Interne. Ce sera par exemple le cas pour un fichier FTP reu ou un serveur
SMTP se connectant un serveur externe dans le but de rcuprer des emails.
La priorit de trafic est efficace pour un trafic IP normal des taux rguliers. Elle
nest pas efficace durant des situations extrmes de trafic dense alors que le trafic
dpasse la capacit du botier FortiGate. Les paquets doivent tre reus par le
botier FortiGate avant quils soient sujets la priorit de trafic. Si le botier
FortiGate narrive pas traiter tout le trafic reu, le risque de paquets abandonns,
retards ou latents augmente.
Activer la priorit de trafic sur toutes les rgles pare-feu. Si vous nappliquez
une priorit de trafic qu une seule rgle, cette dernire est dfinie par dfaut
comme hautement prioritaire.
Affectez chaque rgle pare-feu une des trois priorits (low, medium et high).
Remarque : Les tunnels IPSec en mode route (mode interface) ne sont pas configurs de la
mme manire que les tunnels IPSec en mode tunnel : au lieu de dfinir une rgle de
cryptage pare-feu (en mode tunnel IPSEC ) qui permet les connexions VPN et le contrle
du trafic IP travers le tunnel, celui-ci lie un tunnel VPN en mode route une interface
Pour plus dinformations, voir le chapitre Dfinition dune rgle de cryptage pare-
feu du Guide Utilisateur VPN IPSec FortiGate FortiGate IPSec VPN User
Guide.
Remarque : Loption VPN SSL est disponible partir de la liste Action aprs quun ou
plusieurs groupes dutilisateurs aient t crs. Pour crer des comptes utilisateurs et des
groupes dutilisateurs VPN SSL, voir Configuration des options des groupes dutilisateurs
VPN SSL la page 335.
Certificat Client SSL Autorise le trafic gnr par des titulaires dun certificat de
Restrictive groupe (partag). Ces titulaires doivent tre des membres dun
groupe dutilisateurs VPN SSL, et le nom de ce groupe doit
tre prsent dans le champ Allowed , Autoris .
Pour plus dinformations sur comment crer une rgle de cryptage pare-feu pour
les utilisateurs VPN SSL, voir le chapitre SSL VPN administration tasks du
FortiGate SSL VPN User Guide.
Pour simplifier la cration de rgles, il est conseill dorganiser les adresses ayant
un lien entre elles en groupes dadresses.
Une adresse pare-feu peut tre configure avec un nom, une adresse IP et un
masque de rseau ou un nom et une plage dadresses. Il peut galement sagir
dun FQDN (Fully Qualified Domain Name).
Entrez une adresse IP et un masque de rseau en utilisant les formats suivants :
Vous pouvez ajouter des adresses la liste et diter des adresses existantes. Le
botier FortiGate est configur avec ladresse par dfaut All qui reprsente
nimporte quelle adresse IP sur le rseau. Les adresses dans la liste sont tries par
type : IP/Masque, Plage IP et FQDN.
Attention : Lutilisation dun FQDN dans une rgle pare-feu peut, malgr sa
commodit, prsenter des risques de scurit. Soyez trs prudents lors de
lutilisation de cette fonction.
Slectionnez Pare-feu > Adresse pour ajouter une adresse IP, une plage
dadresses ou un FQDN.
Pour visualiser la liste des groupes dadresses, slectionnez Pare-feu > Adresse
> Groupe.
Remarque : Si un groupe dadresses est compris dans une rgle, il ne peut pas tre
supprimer moins quil soit dabord retirer de la rgle.
Vous pouvez ajouter un service personnalis pour crer une rgle pour un service
qui ne se trouve pas dans la liste des services prdfinis.
Pour faciliter lajout de rgles, vous pouvez crer des groupes de services et
ensuite ajouter une rgle qui autorise ou bloque laccs tous les services dun
groupe. Un groupe de service peut comprendre des services prdfinis et
personnaliss. Un groupe de services ne peut pas tre ajout un autre groupe de
services.
Pour visualiser la liste des groupes de services, slectionnez Pare-feu > Service >
Groupe.
Vous pouvez crer une plage horaire ponctuelle qui active ou dsactive une rgle
pour une priode de temps spcifie. Par exemple, un pare-feu peut tre configur
avec une rgle par dfaut qui permet laccs tous les services Internet tout
moment. Vous pouvez alors ajouter une plage horaire ponctuelle pour bloquer cet
accs Internet pendant une priode de cong.
Pour visualiser la liste des plages horaires ponctuelles, slectionnez Pare-feu >
Plage horaire > Ponctuelle.
Pour ajouter une plage horaire ponctuelle, slectionnez Pare-feu > Plage horaire
> Ponctuelle.
Pour une plage horaire active tout au long de la journe, affectez 00 aux dates et
heures de dpart et de fin. Les plages horaires ponctuelles utilisent une horloge de
24 heures (et non pas 12).
Vous pouvez crer une plage horaire rcurrente qui active ou dsactive une rgle
des moments de la journe ou lors de certains jours de la semaine spcifis. Par
exemple, empcher les jeux pendant les heures de travail en crant une plage
horaire rcurrente.
Remarque : Une plage horaire rcurrente avec une heure de fin qui a lieu avant lheure de
dbut commence lheure de dbut et finit lheure de fin de la journe suivante. Cette
technique permet de crer des plages horaires qui passent du jour au lendemain. Pour crer
une plage horaire qui fonctionne 24 heures, affectez la mme heure aux heures de dbut et
de fin.
Pour visualiser la liste des plages horaires rcurrentes, slectionnez Pare-feu >
Plage horaire > Rcurrente.
Pour ajouter une plage horaire rcurrente, slectionnez Pare-feu > Plage horaire
> Rcurrente.
Les plages horaires rcurrentes utilisent une horloge de 24 heures (et non pas 12).
IP virtuelles
Les adresses IP virtuelles sont utilises pour permettre des connexions travers le
botier FortiGate en utilisant des rgles pare-feu NAT (Network Address
Translation). Les IP virtuelles utilisent Proxy ARP pour permettre au botier
FortiGate de rpondre aux requtes ARP sur le rseau pour un serveur install sur
un autre rseau. Proxy ARP est dfini par la RFC 1027.
Par exemple, vous pouvez ajouter une adresse IP virtuelle une interface externe
FortiGate de manire ce que cette interface puisse rpondre aux requtes de
connexion des utilisateurs en ralit connects un serveur du rseau DMZ ou du
rseau interne.
Les paquets envoys par lordinateur client ont une adresse IP source
192.168.37.55 et une adresse IP de destination 192.168.37.4. Le botier FortiGate
reoit ces paquets sur son interface externe. Les paramtres de ladresse IP
Vous remarquerez que ladresse de lordinateur client napparat pas dans les
paquets reus par le serveur. En effet, aprs que le botier FortiGate ait translat
les adresses rseaux, il ny a plus de rfrence faite au rseau de lordinateur
client. Le serveur na pas dindication sur lexistence dun autre rseau. Pour lui,
toutes les communications viennent directement du botier FortiGate.
Ladresse du serveur napparat pas dans les paquets que le client reoit. En effet,
aprs que le botier FortiGate ait translat les adresses rseaux, il ny a plus de
rfrence faite au rseau du serveur. Le client na pas dindication sur lexistence
du rseau priv du serveur. Pour lui, le botier FortiGate est le serveur web.
Une adresse IP virtuelle peut tre une seule adresse IP ou une plage dadresses
IP limite une interface FortiGate. Lorsque vous faites correspondre une adresse
IP ou une plage dadresses IP une interface FortiGate fonctionnant avec une
adresse IP virtuelle, linterface rpond aux requtes ARP pour ladresse IP ou pour
la plage dadresses IP correspondante.
Les plages dadresses IP virtuelles peuvent tre de presque nimporte quelle taille
et peuvent translater les adresses vers diffrents sous-rseaux. Les plages
dadresses IP virtuelles ont les restrictions suivantes :
Vous pouvez crer cinq diffrents types dadresses IP virtuelles, chacun pouvant
tre utilis pour une variation de DNAT.
Vous devez ajouter ladresse IP virtuelle une rgle pare-feu NAT pour rellement
implmenter la translation configure dans ladresse IP virtuelle. Pour ajouter une
rgle pare-feu qui translate des adresses sur un rseau externe vers un rseau
interne, vous ajoutez une rgle pare-feu de lexterne vers linterne et ajoutez
ladresse IP virtuelle dans le champ de ladresse de destination de la rgle.
Par exemple, si lordinateur muni dun serveur web est localis sur le rseau
interne, il pourrait avoir une adresse IP prive telle que 10.10.10.42. Pour recevoir
des paquets dInternet vers le serveur web, il doit y avoir une adresse externe du
serveur web sur Internet. Ajoutez une adresse IP virtuelle au pare-feu qui translate
ladresse externe IP du serveur web sur Internet vers ladresse actuelle du serveur
web du rseau interne. Pour autoriser des connexions dInternet vers le serveur
Ajoutez une rgle pare-feu de wan1 vers dmz1 qui utilise ladresse IP virtuelle de
manire ce que lorsque des utilisateurs sur Internet tentent de se connecter
ladresse IP du serveur web, les paquets passent travers le botier FortiGate de
linterface wan1 linterface dmz1. Ladresse IP virtuelle translate ladresse de
destination de ces paquets de lIP externe vers ladresse IP du rseau DMZ du
serveur web.
Nom Port_fwd_NAT_VIP
Interface externe wan1
Type NAT statique
External IP Ladresse IP Internet du serveur web.
Address/Range Ladresse IP externe doit tre une adresse IP statique obtenue
par votre FAI pour votre serveur web. Cette adresse doit
galement tre une adresse IP unique qui nest pas utilise
par un autre hte et ne peut pas tre la mme que ladresse IP
de linterface externe que ladresse IP virtuelle va utiliser.
Cependant, ladresse IP externe doit tre route vers
linterface slectionne. Ladresse IP virtuelle et ladresse IP
externe peuvent tre sur des sous-rseaux diffrents. Lorsque
vous ajoutez ladresse IP virtuelle, linterface externe rpond
aux requtes ARP pour ladresse IP externe.
Map to IP/IP Range Ladresse IP du serveur sur le rseau interne. Puisquil ny a
quune adresse IP, laissez le deuxime champ vide.
Port forwarding Slectionn
Protocole TCP
Port externe Le port utilis par le trafic provenant dInternet. Pour un
serveur web, il sagit gnralement du port 80.
Illustration 137 : Options des adresses IP virtuelles : Relayage de port dune adresse
IP virtuelle de translation une seule adresse IP et un seul port
Ajout dun relayage de port de translation une plage dadresses IP et une plage
de ports
Les ports 80 83 des adresses 192.168.37.4 192.168.37.7 sur Internet sont
translates aux ports 8000 8003 des adresses 10.10.10.42 10.10.10.44 sur un
rseau priv. Les tentatives de communication vers 192.168.37.5, port 82
dInternet par exemple, sont translates et envoyes vers 10.10.10.43, port 8002
par le botier FortiGate. Les ordinateurs sur Internet nayant pas connaissance de
cette translation ne voient quun seul ordinateur au 192.168.37.5 au lieu dun
botier FortiGate avec un rseau priv derrire.
Nom Port_fwd_NAT_VIP_port_range
Interface externe wan1
Type NAT statique
External IP Ladresse IP Internet du serveur web.
Address/Range Les adresses IP externes doivent tre des adresses IP
statiques obtenues par votre FAI. Ces adresses doivent
galement tre uniques et inutilises par un autre hte et ne
peuvent pas tre identiques ladresse IP de linterface
externe que ladresse IP virtuelle va utiliser. Cependant, les
adresses IP externes doivent tre routes vers linterface
slectionne. Les adresses IP virtuelles et ladresse IP externe
peuvent tre sur des sous-rseaux diffrents. Lorsque vous
ajoutez ladresse IP virtuelle, linterface externe rpond aux
requtes ARP pour les adresses IP externes.
Map to IP/IP Range Les adresses IP du serveur sur le rseau interne. Dfinissez la
plage en entrant la premire adresse de cette plage dans le
premier champ et la dernire adresse dans le deuxime
champ.
Port forwarding Slectionn
Protocole TCP
Port externe Les ports utiliss par le trafic provenant dInternet. Pour un
serveur web, il sagit gnralement du port 80.
Port rel Les ports sur lesquels le serveur attend le trafic. Dfinissez la
plage en entrant le premier port de cette plage dans le premier
champ et le dernier port dans le deuxime champ. Sil ny a
quun seul port, laissez le deuxime champ vide.
Illustration 142 : Exemple dIP virtuelle relayage de ports quilibrage de charge une
plage dadresses IP et une plage de ports
Illustration 144 : Ajout dune nouvelle translation dIP virtuelle le relayage de port
dynamique
Plages IP
Vous pouvez utiliser des plages IP pour ajouter des rgles NAT qui translatent les
adresses sources en adresses slectionnes arbitrairement dans la plage IP au
lieu dtre limit ladresse IP de linterface de destination.
Une plage IP dfinit une adresse ou une plage dadresses IP dont chacune rpond
aux requtes ARP sur linterface laquelle la plage IP est ajoute.
Lors de la configuration dune rgle pare-feu, cochez la case Pool dadresses pour
translater ladresse source de paquets sortants en une adresse slectionne
arbitrairement dans la plage IP. Une liste de plages IP apparat lorsque linterface
de destination de la rgle est la mme que linterface de plage IP.
Avec une plage IP ajoute linterface interne, vous pouvez slectionner une
plage IP dynamique pour les rgles avec linterface interne comme destination.
Une seule adresse IP est entre normalement. Par exemple, 192.168.110.100 est
une adresse de plage IP valide. Si une plage dadresses IP est ncessaire, entrez
lun des formats suivants :
x.x.x.x-x.x.x.x, par exemple 192.168.110.100-192.168.110.120
x.x.x.[x-x], par exemple 192.168.110.[100-120]
Pour les connexions originaires de toutes les adresses IP Internet, ajoutez cette
plage dadresses une plage IP pour linterface externe. Slectionnez ensuite Pool
dadresses pour toutes les rgles qui ont linterface externe comme destination.
Pour chaque connexion, le pare-feu slectionne dynamiquement une adresse IP
de la plage dadresses qui servira dadresse source la connexion. Les
connexions vers Internet semblent alors provenir de nimporte quelle adresse IP de
la plage IP.
Pour visualiser la liste des plages IP, slectionnez Pare-feu > IP virtuelle > Plage
IP.
configurer une protection antivirus aux rgles HTTP, FTP, IMAP, POP3, SMTP
et IM.
configurer un filtrage de contenu web pour les rgles HTTP.
configurer un filtrage par catgorie du contenu web pour les rgles HTTP.
configurer un filtrage anti-spam pour les rgles IMAP, POP3 et SMTP.
activer lIPS pour tous les services.
configurer un archivage de contenu pour les rgles HTTP, FTP, IMAP, POP3,
SMTP et IM.
configurer un filtrage IM et un contrle daccs pour les messageries
instantanes AIM, ICQ, MSN et Yahoo.
configurer un contrle daccs et de la bande passante P2P pour les clients
peer-to-peer Bit Torrent, eDonkey, Gnutella, Kazaa, Skype et WinNY.
configurer les profils de protection journaliser.
Par exemple, alors que le trafic entre les adresses interne et externe ncessitent
probablement une protection stricte, le trafic entre des adresses internes de
confiance ncessitent quant lui une protection modre. Il est conseill de
configurer des rgles pour des services de trafics diffrents qui utiliseront des
profils de protection identiques ou diffrents.
Remarque : Un profil de protection ne peut pas tre supprim sil est repris dans une rgle
pare-feu ou compris dans un groupe dutilisateurs.
Remarque : Si les fonctionnalits Virus Scan et File Block sont toutes deux actives, le
botier FortiGate bloque les fichiers correspondant aux types de fichiers activs avant de
procder une analyse antivirus.
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Le support sera ajout
dans une version ultrieure.
Les options antivirus suivantes sont disponibles dans les profils de protection.
Transmettre les mails Activez ou dsactivez les emails fragments pour les
fragments protocoles de mail (IMAP, POP3, SMTP). Les mails
fragments ne peuvent pas subir une analyse virus.
Comfort Clients Activez ou dsactivez cette option pour les trafics HTTP et
FTP. Cette option fournit le statut des fichiers mis en rserve
(buffer) pour tlchargement via HTTP ou FTP. Les utilisateurs
peuvent observer les pages web ou fichiers en cours de
tlchargement. Si dsactive, les utilisateurs nont aucune
indication quant la mise en rserve du tlchargement et
peuvent annuler le transfert pensant quil a chou.
Interval Le temps en secondes avant que loption
Comfort Client dmarre aprs que le
tlchargement ait commenc. Il sagit
Les options de filtrage Web suivantes sont disponibles dans les profils de
protection.
Filtrage Web par Activez ou dsactivez le blocage de pages web pour le trafic
mots clefs HTTP bas sur les critres de blocage de contenu dans la liste
de blocage de contenu.
Liste droulante de blocage de contenu : Permet de
slectionner une liste de blocage de contenu utiliser avec ce
Fournir les dtails pour les Affiche un message de remplacement pour les
erreurs bloques HTTP 4xx et 5xx erreurs HTTP de type 4xx et 5xx. Si lerreur est
(HTTP uniquement) autorise, des sites malintentionns peuvent utiliser
ces pages derreurs pour passer outre le blocage par
catgorie web.
Evaluer les images par URL Bloque les images qui ont t values par
(les images bloques seront FortiGuard. Les images bloques sont remplaces
remplaces par des blancs) sur les pages web par des blancs.
(HTTP uniquement) Les types dimage qui sont valus sont GIF, JPEG,
PNG, BMP et TIFF.
Autoriser les sites web lors Autorise les pages web qui renvoient une erreur
dune erreur dvaluation dvaluation du service de filtrage web.
(HTTP uniquement)
Blocage strict Lorsque cette option est active, laccs au site web
Evaluer les URL par Lorsque cette option est active, elle envoie lURL et
domaines et adresses IP ladresse IP du site requis pour contrle, fournissant
ainsi une scurit additionnelle contre les tentatives
de contournements du systme FortiGuard.
Voir Filtrage Web FortiGuard la page 378 pour plus doptions de configuration
du blocage de catgories.
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout
dans une version ultrieure.
Les options de filtrage antispam suivantes sont disponibles dans les profils de
protection.
Return e-mail DNS check Activez ou dsactivez cette option qui contrle si le
domaine spcifi dans les champs Reply to
(Rpondre ) et From Address (A partir de ladresse)
possde un enregistrement DNS A ou MX.
Remarque : Certains mails clients populaires ne peuvent pas filtrer des messages en
fonction de leur en-tte MIME. Contrlez les paramtres de votre mail client avant de dfinir
comment baliser les spams.
Les options suivantes sont disponibles pour lIPS travers le profil de protection.
Voir Protection contre les intrusions la page 352 pour des options de
configuration IPS supplmentaires.
Remarque : Les options NNTP et darchivage de fichiers ne peuvent pas tre slectionns.
Un support sera ajout dans une version ultrieure.
Options IM et P2P
Illustration 155 : Options IM et P2P pour un profil de protection
Les options suivantes darchivage de contenu sont disponibles dans les profils de
protection.
Les changements apports aux options des profils de protection IM, alors que des
utilisateurs sont connects, ne prendront effet qu leur prochaine connexion.
Activer le blocage de connexion, par exemple, ne peut pas tre utilis pour
dconnecter les utilisateurs qui ont une connexion en cours.
Options de la journalisation
Illustration 156 : Options de connexion du profil de protection
Si les domaines virtuels sont activs sur le botier FortiGate, les profils de
protection doivent tre ajouts aux rgles dans chaque domaine virtuel. Pour
accder une rgle, slectionnez un domaine virtuel dans le menu principal.
Une interface virtuelle IPSec est considre comme active (up) lorsquelle peut
tablir une connexion phase 1 avec un client ou paire VPN. Cependant, linterface
virtuelle IPSec ne peut pas tre utilise pour envoyer du trafic tant quelle nest pas
lie une dfinition de tunnel phase 2.
Les liens des interfaces virtuelles IPSec sont affichs sur la page Systme >
Rseau > Interface. Les noms de tous les tunnels lis aux interfaces physiques
sont affichs sous linterface physique associe dans la colonne Nom. Pour plus
dinformations sur la page Interface, voir Interface la page 61.
Aprs quune interface virtuelle IPSec ait t lie un tunnel, le trafic peut tre
rout vers linterface utilisant des mtriques spcifiques pour les routes statiques et
de rgles. De plus, vous pouvez crer une rgle pare-feu ayant linterface virtuelle
IPSec comme interface source ou de destination.
Pour les flux en sortie, le botier FortiGate excute une recherche de route pour
trouver linterface travers laquelle il doit transfrer le trafic en vue datteindre le
routeur du prochain saut. Si la route trouve passe par une interface virtuelle lie
un tunnel VPN spcifique, le trafic est crypt et envoy travers le tunnel VPN.
Pour les flux en entre, le botier FortiGate identifie un tunnel VPN en utilisant
ladresse IP de destination et le SPI (Security Parameter Index) du datagramme
ESP pour identifier la SA (security association) de la phase 2 correspondante. Si
une SA correspondante est trouve, le datagramme est dcrypt et le trafic IP
associ est redirig travers linterface virtuelle IPSec.
Auto Key
Deux paires VPN (ou un serveur dialup FortiGate et un client VPN) peuvent tre
configurs pour gnrer des cls uniques IKE (Internet Key Exchange)
automatiquement durant les changes IPSec en phases 1 et 2.
Pour configurer le botier FortiGate pour quil gnre des cls uniques
automatiquement en phases 1 et 2, slectionnez VPN > IPSEC > Auto Key (IKE).
Pour dfinir les paramtres de base de la phase 1 IPSec, slectionnez VPN >
IPSEC > Auto Key (IKE) et cliquez sur Crer Phase 1.
Pour modifier les paramtres avancs de la phase 1 IPSec, slectionnez VPN >
IPSEC > Auto Key (IKE), cliquez sur Crer Phase 1 et ensuite sur Avanc.
Pour configurer les paramtres de la phase 2, slectionnez VPN > IPSEC > Auto
Key (IKE) et cliquez sur Crer Phase 2.
Activer loption Perfect Activer ou dsactiver PFS. Cette option amliore la scurit
forward secrecy (PFS) en forant un nouvel change Diffie-Hellman chaque fois
quune dure de vie dune cl expire.
Groupe DH Slectionnez un groupe Diffie-Hellman (1, 2 ou 5). Le paire
distant ou client dialup doit tre configur pour utiliser le mme
groupe.
Dure de vie Slectionnez la mthode pour dterminer quand la cl
Tunnel toujours actif de la phase 2 expire : Secondes, Koctets ou les deux. Si vous
slectionnez les deux, la cl expire soit quand la priode de
temps sest coule, soit lorsque le nombre de Ko a t trait.
Les intervalles stendent de 120 172800 secondes ou de
5120 2147483648 Ko. Activez loption tunnel toujours actif si
vous dsirez que le tunnel reste actif lorsque aucune donne
nest traite.
DHCP-IPSec Activez cette option si le botier FortiGate agit comme serveur
dialup et quun relais DHCP FortiGate sera utilis pour affecter
des adresses VIP aux clients dialup FortiClient. Nactivez pas
cette option sur les botiers FortiGate qui agissent comme
clients dialup. Les paramtres du relais DHCP doivent tre
configurs sparment. Pour plus dinformations, voir
Systme > DHCP la page 99.
Si le botier FortiGate agit comme serveur dialup et vous
affectez manuellement les adresses VIP des clients dialup
FortiClient qui correspondent au rseau derrire le serveur
dialup, slectionnez Activer pour que le botier FortiGate
agisse comme proxy pour ses clients dialup.
Ceci nest disponible que pour les configurations phase 2 en
mode tunnel associes une configuration phase 1 dialup.
Quick Mode Selector Facultativement, vous pouvez spcifier les adresses IP source
et de destination utiliser comme slecteurs pour des
ngociations IKE. Si le botier FortiGate est un serveur dialup,
la valeur par dfaut 0.0.0.0/0 devrait tre maintenue moins
quil soit ncessaire de contourner des problmes causs par
des adresses IP ambigus entre un ou plusieurs rseaux
privs constituant le VPN. Vous pouvez spcifier une seule
adresse IP hte, une plage dadresses IP ou une adresse
rseau. Vous pouvez en option spcifier les numros de ports
source et de destination et/ou un numro de protocole.
Si vous ditez une configuration de tunnel phase 2
existante, les champs Adresse Source et Adresse
Remarque : Vous pouvez permettre aux utilisateurs VPN de naviguer sur Internet travers
le botier FortiGate. Pour ce faire, configurez une rgle pare-feu IPSec supplmentaire avec
comme interface source et de destination linterface publique FortiGate, ladresse source all,
ladresse de destination le rseau distance et la translation en entre active. Pour plus
dinformations sur les rgles pare-feu, voir Configuration de rgles pare-feu la page
232.
Cl Manuelle
Si ncessaire, vous pouvez dfinir manuellement des cls de cryptographie pour
ltablissement dun tunnel VPN IPSec. Des cls manuelles peuvent tre dfinies
dans les cas suivants :
Une connaissance antrieure de la cl de cryptage et/ou dauthentification est
ncessaire (cest--dire lorsque lun des paires VPN requiert une cl spcifique
de cryptage et/ou dauthentification).
Remarque : Il y a toujours un risque dans la dfinition de cls manuelles car il faut compter
sur les administrateurs rseaux pour garder les cls confidentielles et la propagation
scurise de changements aux paires VPN distance risque dtre difficile.
Chaque SPI identifie un SA (Security Association). La valeur est place dans des
datagrammes ESP pour lier les datagrammes au SA. Lorsquun datagramme est
reu, le destinataire se rfre au SPI pour dterminer quel SA sapplique au
datagramme. Un SPI doit tre spcifi manuellement pour chaque SA. Etant donn
quun SA sapplique la communication dans une seule direction, vous devez
spcifier deux SPI par configuration (un SPI local et un SPI distant) pour couvrir les
communications bidirectionnelles entre deux quipements VPN.
Attention : Si vous ntes pas familier avec les rgles de scurit, SA, slecteurs et bases
de donnes SA, ne tentez pas la procdure suivante sans assistance qualifie.
Pour spcifier des cls manuelles pour la cration dun tunnel, slectionnez VPN >
IPSEC > Clef Manuelle et cliquez sur Crer Nouveau.
Concentrateur
Dans une configuration hub-and-spoke , les connexions plusieurs paires
distants partent dun seul botier FortiGate central. Les connexions site site entre
les paires distance nexistent pas ; cependant, des tunnels VPN entre deux des
paires distance peuvent tre tablis travers un hub FortiGate.
Dans un rseau hub-and-spoke , tous les tunnels VPN se terminent au hub. Les
paires qui se connectent au hub sont connus sous le nom de spokes . Le hub
fonctionne comme un concentrateur sur le rseau, grant toutes les connexions
VPN entre les spokes . Le trafic VPN passe dun tunnel un autre travers le
hub.
Pour visualiser les tunnels actifs, slectionnez VPN > IPSEC > Tunnels actifs.
La liste des tunnels dialup fournit des informations sur le statut des tunnels tablis
pour les clients dialup. La liste reprend les adresses IP de clients dialup et les
noms de tous les tunnels actifs. Le nombre de tunnels affichs dans la liste se
modifie quand un client dialup se connecte ou se dconnecte.
Icne Flush dialup tunnels Permet darrter tous les tunnels dialup et le trafic passant
travers tous les tunnels dialup. Les utilisateurs dialup auront
peut-tre se reconnecter pour tablir des nouvelles sessions
VPN.
Icne Page suivante et Affiche la page suivante et prcdente de la liste des
Page prcdente statuts des tunnels dialup.
Nom Les noms de tunnels configurs.
Passerelle distante Lorsquun client dialup FortiClient tablit un tunnel, le champ
Passerelle Distante affiche soit ladresse IP publique et le port
UDP de la machine de lhte distant (sur lequel lapplication
FortiClient Host Security est installe), soit, dans le cas o un
serveur NAT existe lavant de lhte distant, ladresse IP
publique et le port UDP de lhte distant.
Lorsquun client dialup FortiGate tablit un tunnel, le champ
Passerelle Distante affiche ladresse IP publique et le port UDP
du client dialup FortiGate.
Compte utilisateur LID du paire, le nom du certificat ou le nom utilisateur XAuth
du client dialup ( dans le cas o ces lments ont t affects
au client dialup dans le but dune authentification).
Timeout La priode de temps avant le prochain change de cls de la
phase 2. Ce temps est calcul en soustrayant le temps pass
depuis le dernier change de cls de la dure de vie de la cl.
Lorsque la cl de la phase 2 expire, une nouvelle cl est
gnre sans interruption de service.
ID Proxy Source Les adresses IP des htes, serveurs ou rseaux privs situs
derrire le botier FortiGate. Une plage de rseau saffiche si
ladresse source de la rgle pare-feu de chiffrement a t
exprime sous forme de plage dadresses IP.
Plage PPTP
Vous pouvez spcifier une plage dadresses PPTP sur la page Plage PPTP. La
plage dadresses PPTP est une plage dadresses rserve aux clients PPTP
distants. Lorsquun client PPTP distant se connecte, le botier FortiGate affecte une
adresse IP dune plage dadresses IP rserves linterface PPTP du client. Le
client PPTP utilise ladresse IP affecte comme adresse source pendant la dure
de la connexion.
Pour activer PPTP et spcifier la plage dadresses PPTP, slectionnez VPN >
PPTP > Plage PPTP, slectionnez les options requises et cliquez ensuite sur
Appliquer.
Activer PPTP Avant de pouvoir slectionner cette option, vous devez ajouter
un groupe dutilisateurs. Voir Groupe dutilisateurs la
page 330.
IP dbut de plage Entrez ladresse de dpart de la plage dadresses IP
rserves.
IP fin de plage Entrez ladresse de fin de la plage dadresses IP rserves.
Groupe Utilisateur Slectionnez le nom du groupe dutilisateurs PPTP que vous
avez dfini.
Dsactiver PPTP Dsactive le support PPTP.
Configuration
La page Config comporte les paramtres de base VPN SSL y compris des valeurs
timeout et des prfrences de cryptage SSL. Si ncessaire, vous pouvez
galement activer lutilisation de certificats digitaux pour lauthentification des
clients distants.
Remarque : Si ncessaire, vous pouvez activer le cryptage SSL version 2 (compatible avec
des navigateurs plus anciens) partir de linterface de ligne de commande. Pour plus
dinformations, voir SSL Settings dans le chapitre VPN du FortiGate CLI Reference.
Slectionnez VPN > SSL > Config pour un affichage des paramtres de
configuration SSL en cours.
Ncessite une longueur Slectionnez cette option pour le navigateur web dun
de cl>=128bit(dfaut) client distant capable de correspondre une suite de
chiffres de 128 bits et plus.
Ncessite une longueur Si le navigateur web dun client distant est capable
de cl>128bit(haute) de correspondre un haut niveau de cryptage SSL,
slectionnez cette option pour activer des suites de
chiffres utilisant plus de 128 bits pour crypter les donnes.
Ncessite une longueur Si vous ntes pas certain du niveau de cryptage SSL
de cl>=64bit(basse) que supporte le navigateur web du client distant,
slectionnez cette option pour activer une suite de chiffres
de 64 bits et plus.
Idle Timeout Timeout dinactivit : Entrez la priode de temps (en
secondes) pendant laquelle la connexion peut rester
inactive avant de forcer lutilisateur se reconnecter.
Lintervalle varie entre 10 et 28800 secondes. Ce
paramtre sapplique la session VPN SSL. La connexion
ne se coupe pas tant que des sessions dapplication web
ou des tunnels sont activs.
Message du portail Facultativement, entrez le message personnalis que
vous dsirez voir apparatre sur le portail.
Avanc (Serveurs DNS et WINS)
Serveur DNS #1 Entrez jusqu deux Serveurs DNS fournis pour une
Serveur DNS #2 utilisation clients.
Serveur WINS #1 Entrez jusqu deux Serveurs WINS fournis pour une
Serveur WINS #2 utilisation clients.
Pour visualiser la liste des sessions actives VPN SSL, slectionnez VPN > SSL >
Monitor.
Certificat locaux
Les requtes de certificat et les certificats serveurs installs sont affichs dans la
liste des Certificats Locaux. Aprs avoir soumis une requte une autorit de
certification (AC), cette dernire vrifie les informations et enregistre les
informations de contact sur un certificat digital qui contient un numro de srie, une
date dexpiration et la cl publique de lautorit de certification. LAC va ensuite
signer et vous envoyer le certificat installer sur votre botier FortiGate.
Pour visualiser des requtes de certificat et/ou importer des certificats de serveur
signs, slectionnez VPN > Certificats > Certificats Locaux. Pour visualiser les
dtails du certificat, slectionnez licne Voir les Dtails du Certificat du certificat
concern.
Pour des informations dtailles et des procdures pas pas pour lobtention et
linstallation des certificats digitaux, voir le FortiGate Certificate Management User
Guide.
Pour complter une requte de certificat, slectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Gnrer. Pour tlcharger et transfrer une
requte de certificat, voir Tlchargement et soumission dune requte de
certificat la page 318.
Pour installer le certificat serveur sign, slectionnez VPN > Certificats >
Certificats Locaux et cliquez sur Importer. Installez le certificat partir de la bote
de dialogue de tlchargement du certificat local en haut de la page. Le fichier du
certificat peut se trouver sous le format PEM ou DER. Les autres botes de
dialogue servent importer des certificats exports prcdemment et leurs cls
prives.
Certificats CA
Lorsque vous appliquez pour un certificat personnel (administratif) ou de groupe
installer sur des clients distants, vous devez obtenir le certificat racine
correspondant et la liste de rvocation (CRL) de votre autorit de certification.
Les certificats CA installs sont affichs dans la liste de Certificats CA. Pour
visualiser des certificats racines AC installs ou pour en importer,slectionnez VPN
Pour des informations dtailles et des procdures pas pas pour lobtention et
linstallation de certificats digitaux, se rfrer au FortiGate Certificate Management
User Guide.
Pour importer un certificat racine CA, slectionnez VPN > Certificats > Certificats
CA et cliquez sur Importer.
CRL
Une liste de Rvocation de Certificat (CRL) est une liste de souscripteurs de
certificat CA et des informations sur le statut du certificat. Les CRL installs sont
affichs dans la liste CRL. Le botier FortiGate utilise des CRL pour sassurer de la
validit des certificats appartenant des AC et des clients distants.
Pour visualiser des CRL installs ou un CRL import/mis jour, slectionnez VPN
> Certificats > CRL.
Pour importer une liste de rvocation de certificat, slectionnez VPN > Certificats
> CRL et cliquez sur Importer.
Le systme affecte un nom unique chaque CRL. Les noms sont numrots
conscutivement (CRL_1, CRL_2, CRL_3, etc.).
Serveurs RADIUS
Si vous avez configur un support RADIUS et quun utilisateur doit sauthentifier
laide dun serveur RADIUS, le botier FortiGate contacte ce serveur pour
authentification. Slectionnez Utilisateur > RADIUS pour configurer les serveurs
RADIUS.
Le port par dfaut pour le trafic RADIUS est le 1812. Si votre serveur RADIUS
utilise le port 1645, vous pouvez modifier le port RADIUS par dfaut partir de
linterface de ligne de commande. Pour plus dinformations,voir la commande
config system global dans le FortiGate CLI Reference.
Le support FortiGate LDAP ne couvre pas les fonctionnalits prives , telle que
la notification de la date dexpiration dun mot de passe, qui est parfois disponible
sur certains serveurs LDAP.
Le support FortiGate LDAP ne fournit pas dinformations lutilisateur sur les
raisons de lchec de lauthentification.
Serveurs Windows AD
Sur les rseaux utilisant des serveurs Windows Active Directory (AD) pour
lauthentification, les botiers FortiGate peuvent authentifier les utilisateurs de
manire transparente, sans avoir leur demander leur compte utilisateur et mot de
passe. Vous devez pour cela installer le Fortinet Server Authentication Extensions
(FSAE) sur le rseau et configurer le botier FortiGate pour retrouver les
informations du serveur Windows AD. Pour plus dinformations sur le FSAE, voir la
FSAE Technical Note.
Vous pouvez configurer les groupes dutilisateurs pour fournir un accs authentifi
:
des rgles pare-feu qui requirent une authentification
Voir Ajout dune authentification aux rgles pare-feu la page 238.
des VPN SSL sur le botier FortiGate
Voir Options des rgles pare-feu VPN SSL la page 243.
des configurations de la Phase 1 VPN IPSec pour les utilisateurs dialup.
Voir Cration dune nouvelle configuration phase 1 la page 296.
de XAuth pour les configurations Phase 1 VNP IPSec
Voir XAUTH dans Dfinition des paramtres avancs de la phase 1 la
page 299.
de la configuration PPTP FortiGate
Voir Plage PPTP la page 312.
de la configuration L2TP FortiGate
Configurable uniquement partir de la commande CLI config vpn 12tp.
Voir le FortiGate CLI Reference.
dune connexion administrateur via une authentification RADIUS
Voir Configuration dune authentification RADIUS des administrateurs la
page 169.
des groupes override du Filtrage Web FortiGuard
Voir Filtrage Web FortiGuard la page 378.
Un groupe dutilisateurs pare-feu peut tre utilis pour fournir des privilges
doverride pour le filtrage web FortiGuard. Voir Configuration des options override
FortiGuard pour un groupe dutilisateurs la page 334. Pour des informations
dtailles sur FortiGuard Web Filter, voir Filtrage Web FortiGuard la page
378.
Un groupe dutilisateurs Active Directory fournit un accs une rgle pare-feu qui
requiert une authentification de type Active Directory et comprend le groupe
dutilisateurs parmi les groupes autoriss. Les membres du groupe dutilisateurs
sont des groupes Active Directory que vous slectionnez dans une liste que le
botier FortiGate reoit des serveurs Windows AD que vous avez configurs. Voir
Serveurs Windows AD la page 328.
Un groupe dutilisateurs VPN SSL peut galement fournir un accs aux utilisateurs
dialup VPN IPSec. Dans ce cas, la configuration phase 1 VPN IPSec utilise
lidentifiant du paire accepter configur dans loption du groupe de paires. Le
client VPN de lutilisateur est configur avec comme compte utilisateur lIP du paire
et comme mot de passe, la cl partage. Lutilisateur arrive se connecter au VPN
IPSec uniquement si le compte utilisateur est membre dun groupe dutilisateurs
autoris et que le mot de passe corresponde un mot de passe stock sur le
botier FortiGate. Un groupe dutilisateurs ne peut pas tre un groupe dialup si lun
des membres est authentifi partir dun serveur RADIUS ou LDAP. Pour plus
dinformations, voir Cration dune nouvelle configuration phase 1 la page
296.
Remarque : Si vous tentez dajouter des serveurs LDAP ou des utilisateurs locaux un
groupe configur pour une authentification dadministrateurs, un message derreur saffiche.
Pour des instructions dtailles sur la configuration en mode web et mode tunnel,
voir le FortiGate SSL VPN User Guide.
Activer Web Application Activez le portail web pour fournir un accs aux application
web. Ceci nest pas disponible en mode Transparent.
Activer Cache Clean Enlve tous les fichiers temporaires Internet crs sur
lordinateur client entre la connexion et la dconnexion. Ceci
seffectue grce un contrle ActiveX tlcharg et fonctionne
uniquement avec Internet Explorer sur Windows 2000 et
Windows XP.
Antivirus
Modles de Fichier
Mise en Quarantaine
Configuration
Configuration de lAntivirus partir de linterface de ligne de commande
Antivirus
Le traitement Antivirus comprend des modules et des appliances varis excutant
des tches spares. Le botier FortiGate procde aux traitements antivirus dans
lordre dapparition des fonctionnalits dans le menu de linterface dadministration
web : modle de fichier, analyse antivirus, et grayware, suivis par heuristique,
configurable uniquement partir de linterface de ligne de commande.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Alors que des paramtres antivirus sont configurs pour une utilisation globale, des
paramtres spcifiques peuvent tre implments pour chaque profil. Le tableau
34 compare les options antivirus des profils de protection et les paramtres du
menu antivirus.
Modles de Fichier
La configuration de modles de fichier (File Pattern) permet de bloquer tous les
fichiers potentiellement menaants et empcher les attaques et virus. Les fichiers
peuvent tre bloqus sur base du nom, de lextension ou tout autre caractristique.
Le blocage de modles de nom de fichier offre la flexibilit de bloquer des
contenus potentiellement dangereux.
Remarque : Les entres de modles de fichier ne sont pas sensibles la casse des
caractres (lettre majuscule/minuscule). Par exemple, ajouter *.exe une liste de modles
de fichier entrane un blocage de tous les fichiers se terminant par .EXE.
Si File Pattern et Virus Scan sont tout deux activs, le botier FortiGate bloque les
fichiers correspondants aux modles de fichier activs et ne procde pas une
analyse des virus.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Remarque : Le catalogue des listes de Modles de Fichier par dfaut sappelle builtin-
patterns.
Slectionnez les listes de modles de fichier dans les profils de protection. Pour
plus dinformations, voir Options Antivirus la page 282.
Illustration 195 : Liste des modles de fichier par dfaut pour les modles FortiGate-
500 et moins
Pour visualiser la liste des modles de fichier sur les modles FortiGate-800 et
plus, slectionnez Antivirus > File Pattern et cliquez sur licne Editer de la liste
visualiser.
Sur les modles FortiGate-500 et moins, la liste des modles de fichier est
prconfigure avec les modles par dfaut suivants :
Les modles de fichier sont activs dans les profils de protection. Pour plus
dinformation, voir Options Antivirus la page 282.
Pour ajouter un nouveau modle de fichier, cliquez sur Crer Nouveau. Pour diter
un modle de fichier existant, cliquez sur licne Editer associe au modle.
Mise en Quarantaine
Les botiers FortiGate munis dun disque local peuvent placer en quarantaine des
fichiers bloqus ou infects. Vous pouvez visualiser le nom du fichier et ses statuts
dans la liste des fichiers mis en quarantaine. Il est possible de soumettre des
fichiers spcifiques et dajouter des modles de fichier la liste de soumission
automatique pour un tlchargement automatique vers Fortinet pour analyse.
Les botiers FortiGate non munis dun disque local peuvent placer en quarantaine
des fichiers bloqus ou infects sur un botier FortiAnalyzer. Les fichiers stocks
sur un FortiAnalyzer peuvent tres rcuprs pour visualisation. Pour configurer un
botier FortiAnalyzer, slectionnez Journaux/Alertes > Configuration >
Configuration du Journal.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Pour visualiser la liste des Fichiers mis en quarantaine, slectionnez Antivirus >
Mise en Quarantaine > Fichiers en quarantaine.
Remarque : Les duplicatas de fichiers (bass sur la somme de vrification) ne sont pas
stocks, seulement compts. La valeur TTL et le comptage de duplicata sont mis jour
chaque fois quun fichier est trouv.
Cette option est disponible uniquement sur les botiers FortiGate munis dun disque
local.
Remarque : Les options NNTP ne peuvent pas tre slectionnes. Un support sera ajout
dans lavenir.
Taille limite des fichiers en La taille maximum des fichiers en quarantaine en Mo. Une
quarantaine taille maximum trop haute pourrait impacter la performance.
Espace disque faible Slectionnez laction prendre lorsque le disque local est
complet : Ecraser les plus vieux fichiers ou Ne pas mettre en
quarantaine les nouveaux fichiers.
FortiAnalyzer Slectionnez pour activer le stockage des fichiers bloqus ou
en quarantaine sur un botier FortiAnalyzer. Voir
Journaux/Alertes la page 409 pour plus dinformations
sur la configuration dun botier FortiAnalyzer.
Activer le tlchargement Active la fonctionnalit de soumission automatique.
automatique Slectionnez une ou les deux options ci-dessous :
Utiliser les filtres de nom : Active le tlchargement
automatique des fichiers correspondants aux modles de
fichier dans la liste de soumission automatique.
Utiliser le statut des fichiers : Active le tlchargement
automatique de fichiers en quarantaine selon leur statut.
Slectionnez soit Heuristique, soit Nom filtr.
Heuristique est configurable partir de linterface de ligne de
commande uniquement. Voir Configuration de lAntivirus
partir de linterface de ligne de commande la page 350.
Appliquer Enregistre la configuration.
Configuration
La page Config affiche une liste des virus actuels bloqus par le botier FortiGate. Il
est galement possible de configurer des limites de tailles de fichiers et de mails,
et de bloquer des graywares.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
La liste FortiGuard des dfinitions de virus est mise jour chaque rception
dune nouvelle version FortiGuard des dfinitions AV par le botier FortiGate.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits antivirus sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Pour visualiser la liste Grayware, slectionnez Antivirus > Config > Grayware.
Pour plus dinformations, voir larticle Antivirus failopen and optimization sur le site
de la Base de Connaissance Fortinet.
Lengin heuristique est activ par dfaut pour laisser passer les fichiers suspects
vers le destinataire et envoyer une copie en quarantaine. Une fois configure dans
linterface de ligne de commande, lanalyse heuristique est active dans un profil
de protection lorsque le Virus Scan est activ.
LIPS FortiGate correspond au trafic rseau contre les modles contenus dans les
signatures IPS. La fiabilit de ces signatures protge votre rseau des attaques
connues. Linfrastructure du FortiGuard de Fortinet assure une identification rapide
des nouvelles menaces et le dveloppement de nouvelles signatures IPS.
Vous pouvez crer des signatures IPS personnalises que le botier FortiGate
utilisera en plus de sa vaste liste de signatures IPS prdfinies. A chaque dtection
ou empchement dune attaque, un message dattaque est gnr. Vous pouvez
configurer le botier FortiGate pour quil ajoute le message au Journal des Attaques
et envoie un mail dalerte aux administrateurs. Dfinissez alors quel intervalle le
botier FortiGate doit envoyer un mail dalerte. Vous pouvez rduire le nombre de
messages journaliss et dalertes en dsactivant les signatures pour les attaques
auxquelles le systme nest pas vulnrable, par exemple, les attaques web en
labsence de fonctionnement du serveur web.
Pour plus dinformations sur la journalisation et les mails dalertes FortiGate, voir
Journaux/Alertes la page 409.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Le tableau 35 dcrit les paramtres IPS et comment y accder pour les configurer.
Pour accder aux options IPS des profils de protection, slectionnez Pare-feu >
Profil de protection, cliquez sur Editer ou Crer Nouveau et slectionnez IPS.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Signatures personnalises
Les signatures personnalise offrent le pouvoir et la flexibilit de personnaliser
lIPS FortiGate pour des environnements rseaux divers. Les signatures
prdfinies FortiGate couvrent les attaques les plus courantes. Si une application
inhabituelle ou spcialise ou encore une plateforme peu commune est utilise,
vous pouvez ajouter des signatures personnalises en fonction des alertes de
scurit publies par les vendeurs de lapplication ou de la plateforme.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Voir les signatures Slectionnez les filtres et cliquez ensuite sur Go pour
personnalises avec la svrit visualiser les signatures personnalises qui
correspondent ces critres. Les diffrents critres sont
<+, =, >= pour Tout, Information, Low, Medium, High ou
Critical.
Icne Rinitialiser aux valeurs Rinitialise les paramtres par dfaut toutes les
par dfaut ? signatures personnalises.
Nom des signatures Le nom des signatures.
Activer Ltat de chaque signature personnalise. Une case
coche signifie que la signature est active.
Journaliser Le statut de la journalisation pour chaque signature
personnalise. Une case coche signifie que la
journalisation est active pour cette signature.
Action Laction tablie pour chacune des signatures
personnalises. Les diffrentes actions sont : Laisser
passer, Rejeter, Rinitialiser, Rinitialiser ct client,
Rinitialiser ct serveur, Rejeter tous les paquets de la
session, Laisser passer la session et Supprimer la
session. Si la journalisation est active, laction apparat
dans le champ Etat du message journalis gnr par
la signature. Voir le tableau 36 pour une description des
actions.
Svrit Le niveau de svrit pour chaque signature
personnalise. Les diffrents niveaux de svrit sont :
Information, Low, Medium, High, Critical. Le niveau de
svrit est dfini pour les signatures individuelles.
Icne Supprimer Permet de supprimer une signature personnalise.
Icne Editer Permet dditer les informations suivantes : Nom,
Signature, Action, Packet Log et Svrit.
Lors de lajout de la signature, dfinissez laction sur Rejeter tous les paquets de la
session.
Dcodeurs de protocoles
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau qui
tente dexploiter des failles connues.
La liste de dtection des anomalies des protocoles peut uniquement tre mise
jour lors de la mise jour de limage logicielle botier FortiGate.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Remarque : Les groupes im_decoder et p2p_decoder ne peuvent pas tre dsactivs. Les
fonctions IM et P2P ont besoin de ces dcodeurs pour fonctionner. Cependant, le dcodeur
individuel peut tre dsactiv.
Voir les protocol decoders Slectionnez les filtres et cliquez ensuite sur OK pour
avec la svrit visualiser les seuls dcodeurs qui correspondent aux critres
des filtres. Les diffrents filtres sont <=, =, >= pour Tous,
Information, Low, Medium, High ou Critical.
Nom Le nom du dcodeur de protocole.
Activer Ltat du dcodeur de protocole. Une case coche signifie que
la signature du dcodeur est active.
Journaliser Le statut de la journalisation pour chaque dcodeur de
protocole. Une case coche signifie que la journalisation est
active pour le dcodeur.
Les groupes de dcodeurs utilisent un indicateur graphique
pour le statut de la signature dans le groupe. Un cercle vert
signifie que toutes les signatures du groupe sont actives. Un
cercle gris indique quaucune signature du groupe na t
active. Un cercle mi-vert, mi-gris signifie que certaines
signatures sont actives et dautres pas.
Action Laction dfinie pour chaque dcodeur de protocoles : Laisser
passer, Rejeter, Rinitialiser, Rinitialiser ct client,
Rinitialiser ct serveur, Rejeter tous les paquets de la
session, Laisser passer la session et Supprimer la session. Si
la journalisation est active, laction apparat dans le champ
statut du message journalis gnr par le dcodeur. Voir le
tableau 36 pour une description des actions.
Svrit Le niveau de svrit pour chaque anomalie de protocole. Les
diffrents niveaux de svrit sont : Information, Low, Medium,
High, Critical. Le niveau de svrit est dfini pour les
dcodeurs individuels.
Icne Configurer Permet dditer les attributs du groupe de dcodeurs de
protocoles.
Icne Rinitialiser Cette icne saffiche uniquement lorsquun dcodeur a t
modifi. Utilisez cette icne pour restaurer les valeurs initiales
des paramtres recommands.
Pour configurer les anomalies de trafic IPS, slectionnez Intrusion Protection >
Signature > Protocol Decoder.
Anomalies
LIPS FortiGate utilise la dtection danomalies pour identifier le trafic rseau ne
correspondant pas aux modles de trafic connu ou prdfini.
LIPS FortiGate identifie quatre types danomalies statistiques pour les protocoles
TCP, UDP et ICMP.
Remarque : Il est important de connatre le trafic rseau normal et attendu avant de modifier
les seuils danomalie par dfaut. Etablir un seuil trop bas pourrait causer des faux positifs, et
linverse, tablir un seuil trop lev pourrait laisser passer des attaques.
Pour configurer un contrle de la session bas sur les adresses rseau source et
de destination, utilisez les commandes CLI.
La mise jour de la liste de dtection des anomalies de trafic a lieu lors de la mise
jour de limage logicielle sur le botier FortiGate.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits IPS sont configures globalement. Pour accder ces fonctionnalits,
slectionnez Configuration Globale dans le menu principal.
Voir les anomalies de Slectionnez les filtres et cliquez ensuite sur Go pour afficher
trafic avec la svrit les anomalies qui correspondent aux critres des filtres : Les
critres sont <=, =, >= pour Tous, Information, Low, Medium,
High, Critical.
Nom Le nom de lanomalie de trafic.
Activer Ltat de lanomalie de trafic. Une case coche signifie que la
signature de lanomalie est active.
Journaliser Ltat de la journalisation pour chaque anomalie de trafic. Une
case coche signifie que la journalisation de lanomalie est
active.
Pour configurer les anomalies de trafic IPS, slectionnez Intrusion Protection >
Anomaly.
Filtrage Web
Le filtrage web comprend des modules varis qui excutent des tches spares.
Le botier FortiGate effectue le filtrage web dans lordre dapparition des filtres dans
le menu de linterface dadministration web : filtrage par mots-cls, filtre URL et
filtrage par catgorie (FortiGuard-Web). Le filtrage des scripts est effectu en
dernier.
Les tableaux suivants comparent les options de filtrage web dans les profils de
protection et le menu du filtrage web.
Tableau 37 : Filtrage Web et configuration du filtrage par mots-cls partir des profils
de protection
Options de filtrage web des profils de Paramtres du Filtrage
protection Web
Filtrage par mots-cls Filtrage Web > Filtrage par mots-cls
Activer ou dsactiver le blocage de page Ajouter des mots et caractristiques pour
web en fonction de mots-cls ou bloquer les pages web contenant ces mots
caractristiques interdits dans la liste de ou caractristiques.
filtrage par mots-cls pour le trafic HTTP.
Pour accder aux options de filtrage web des profils de protection, slectionnez
Pare-feu > Profil de protection, cliquez sur Editer ou Crer Nouveau et
slectionnez Filtrage Web ou Filtrage par Catgorie Web.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits de filtrage web sont configures globalement. Pour accder ces
fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Remarque : Les expressions rgulires en Perl sont sensibles la casse des caractres
pour le filtrage par mots-cls. Pour modifier cela et rendre le mot ou la phrase insensible la
casse des caractres, utilisez lexpression /i. Par exemple, /bad language/i bloque
tous les cas de bad language sans tenir compte de la casse. Les mta-caractres
(wildcards) ne sont pas sensibles la casse des caractres.
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
slectionnez Ajouter. Les nouvelles listes sont vides par
dfaut.
Nom Les listes de filtrage par mots-cls disponibles.
# dentres Le nombre de mots-cls dans chaque liste.
Profils Le profil de protection auquel sapplique chacune des listes.
Commentaire Description facultative de chaque liste de filtrage par mots-
cls.
Icne Supprimer Slectionnez pour retirer la liste du catalogue. Cette icne est
disponible si la liste nest pas reprise dans un profil de
protection.
Icne Editer Slectionnez pour diter une liste, un nom de liste ou un
commentaire.
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour
plus dinformations, voir Options du Filtrage Web la page 283.
Pour visualiser la liste de blocage du contenu Web sur les modles 500 et moins,
slectionnez Filtrage Web > Filtrage par mots-clefs.
Illustration 218 : Echantillon dune liste de blocage de contenu Web pour les
FortiGate-500 et moins
Pour visualiser la liste de blocage du contenu Web sur les modles 800 et plus,
slectionnez Filtrage Web > Filtrage par mots-clefs et cliquez sur licne Editer
dune liste que vous voulez visualiser.
Remarque : Activer Filtrage Web > Web Content Block dans un profil de protection pare-feu
pour activer les paramtres de blocage de contenu.
Illustration 221 : Echantillon dun catalogue de liste dexemption des contenus Web
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
slectionnez Ajouter. Les nouvelles listes sont vides par
dfaut.
Nom Les listes dexemption des contenus Web disponibles.
# dentres Le nombre de modles de contenu dans chaque liste de
blocage de contenu web.
Slectionnez les listes dexemption des contenus Web dans les profils de
protection. Pour plus dinformations, voir Options de filtrage web la page 283.
Cration dune nouvelle liste dexemption des contenus Web (modles FortiGate-
800 et plus)
Pour ajouter une liste dexemption des contenus Web au catalogue, slectionnez
Filtrage Web > Blocage par mots-clefs > Web Content Exempt et cliquez sur
Crer Nouveau.
Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate-
500 et moins, slectionnez Filtrage Web > Blocage par mots-clefs > Web
Content Exempt.
Illustration 223 : Echantillon dune liste dexemption des contenus Web pour les
modles FortiGate-500 et moins
Pour visualiser la liste dexemption des contenus Web sur les modles FortiGate-
800 et plus, slectionnez Filtrage Web > Filtrage par mots-clefs > Web Content
Exempt et cliquez sur licne Editer de la liste visualiser.
Remarque : Pour activer les paramtres des contenus exempts, activez Filtrage Web >
Web Content Exempt dans un profil de protection pare-feu.
Filtre URL
Vous pouvez autoriser ou bloquer laccs certaines URL en les ajoutant la liste
de filtre URL. Cela se fait par lajout de modles utilisant du texte et des
expressions rgulires (ou des mta-caractres). Le botier FortiGate autorise ou
bloque les pages web correspondantes aux URL ou modles spcifis et affiche
un message de remplacement la place de la page.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.
Remarque : Le blocage dURL nempche pas laccs aux autres services que les
utilisateurs ont sur leur navigateur web. Par exemple, le blocage dURL ne bloque pas
laccs ftp://ftp.exemple.com. A la place, utilisez des rgles pare-feu pour bloquer les
connexions FTP.
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont par dfaut vide.
Nom Les listes de filtres URL disponibles.
# dentres Le nombre de modles URL dans chaque liste de filtres URL.
Profils Les profils de protection auxquels sapplique la liste.
Commentaire Description facultative pour chaque liste de filtres URL.
Icne Supprimer Permet de supprimer une liste de filtres URL dun catalogue.
Cette icne saffiche si la liste nest pas reprise dans un profil
de protection.
Icne Editer Permet dditer une liste de filtres URL, le nom de la liste ou le
commentaire.
Slectionnez Listes de filtres URL (URL filter lists) dans les profils de protection.
Pour plus dinformations, voir Options de filtrage web la page 283.
Pour visualiser la liste des filtres URL sur les FortiGate-800 et plus, slectionnez
Filtrage Web > URL Filter et cliquez sur licne Editer de la liste visualiser.
Remarque : Entrez un suffixe de nom de domaine de haut niveau (par exemple, com )
pour bloquer laccs toutes les URL comprenant ce suffixe.
Pour ajouter une URL la liste de filtres URL, slectionnez Filtrage URL > URL
Filter.
Entrez une URL ou une adresse IP de haut niveau pour contrler laccs toutes
les pages dun site web. Par exemple, www.exemple.com ou 192.168.144.155
contrle laccs toutes les pages de ce site web.
Entrez une URL de haut niveau suivie dun chemin et dun nom de fichier pour
contrler laccs une seule page dun site web. Par exemple,
www.exemple.com/news.html ou 192.168.144.155/news.html contrle
laccs la page News de ce site.
Pour contrler laccs toutes les pages dont lURL se termine par exemple.com,
ajoutez exemple.com la liste de filtres. Par exemple, lajout de exemple.com
contrle laccs www.exemple.com, mail.exemple.com,
www.finance.exemple.com, etc.
Remarque : Les URL dont laction est dfinie sur Exempter ne sont pas soumises
lanalyse de virus. Si les utilisateurs du rseau tlchargent des fichiers
provenant de sites web de confiance, ajoutez lURL de ce site la liste de filtres
URL avec laction dfinie sur Exempter pour que le botier FortiGate ne procde
pas lanalyse de virus de ces fichiers.
Remarque : Pour activer les paramtres des filtres URL, activez Filtrage Web > Web URL
Filter dans un profil de protection pare-feu.
Pour dplacer une URL dans la liste, slectionnez licne Dplacer droite de
lURL dplacer.
Lorsquun utilisateur tente daccder un site bloqu alors que loverride est
activ, un lien vers une page dauthentification apparat sur la page bloque.
Lutilisateur doit fournir un nom dutilisateur et un mot de passe corrects sans quoi
le site web reste bloqu. Lauthentification est base sur des groupes utilisateurs et
peut tre effectue pour les utilisateurs locaux, RADIUS ou LDAP. Pour plus
dinformations sur lauthentification et la configuration de groupes utilisateurs, voir
Groupe dutilisateurs la page 330.
Pour visualiser la liste doverride, aussi appele liste des rgles dignorance,
slectionnez Filtrage Web > FortiGuard-Web Filter > Override.
Pour crer une valuation locale, slectionnez Filtrage Web > FortiGuard-Web
Filter > Local Ratings.
Remarque : Les rapports du filtrage FortiGuard-Web ne sont disponibles que sur les
FortiGate munis dun disque dur.
Antispam
LAntispam gre les mails commerciaux non sollicits en dtectant les messages
mails spam et identifiant les transmissions spam provenant de serveurs spam
connus ou suspects. Les filtres spams sont configurs pour une utilisation au
niveau du systme, mais sont activs sur base des profils.
Remarque : Lorsque des domaines virtuels sont activs sur le botier FortiGate, les
fonctionnalits de filtrage antispam sont configures globalement. Pour accder ces
fonctionnalits, slectionnez Configuration Globale dans le menu principal.
Mots bannis
Il vous est possible de contrler les mails spam contenant des mots ou
expressions spcifiques. Lorsque cette option est active dans le profil de
protection, le botier FortiGate recherche ces mots et expressions dans les mails.
Si des correspondances sont trouves, les valeurs affectes aux mots sont
totalises. Si une valeur de seuil dfinie pour un utilisateur est dpasse, le mail
est marqu comme spam. Si aucune correspondance nest trouve, le mail passe
jusquau prochain filtre.
Pour ajouter des mots et expressions bannis dans la liste, utilisez des expressions
rgulires en Perl ou des mta-caractres.
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont vides par dfaut.
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour
plus dinformations, voir Options du filtrage antispam la page 286.
Illustration 241 : Bote de dialogue dune nouvelle liste de mots bannis antispam
Pour visualiser la liste des mots bannis sur les modles FortiGate-500 et moins,
slectionnez Anti-spam > Mots Clefs.
Illustration 242 : Echantillon dune liste de mots bannis pour les modles FortiGate-
500 et moins
Illustration 243 : Echantillon dune liste de mots bannis pour les modles FortiGate-
800 et plus
Dans le cas dun mot simple, le botier FortiGate bloque tous les mails contenant
ce mot. Dans le cas dune phrase, le botier FortiGate bloque tous les mails
contenant la phrase exacte. Pour entraner le blocage chaque apparition dun
mot de la phrase, utilisez les expressions rgulires en Perl.
Pour ajouter ou diter un mot banni, slectionnez Anti-spam > Mots Clefs.
Lors dune vrification partir dune liste dadresses mails, le botier FortiGate
compare successivement ladresse mail de lmetteur du message sa liste
dadresses mails. Lorsquune correspondance est trouve, laction associe avec
ladresse mail est enclenche. Dans le cas o aucun correspondance na t
trouve, le mail est envoy vers le prochain filtre antispam activ.
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides.
Nom Les listes dadresses IP antispam disponibles.
# dentres Le nombre dentres dans chaque liste.
Profils Les profils de protection appliqus chaque liste.
Commentaire Description facultative de chaque liste.
Icne Supprimer Permet de supprimer une liste du catalogue. Cette icne est
disponible si la liste nest pas reprise dans un profil de
protection.
Icne Editer Permet dditer les informations suivantes : la liste, le nom de
la liste ou le commentaire.
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour
plus dinformations, voir Options du filtrage antispam la page 286.
Illustration 247 : Echantillon dune liste dadresses IP pour les modles FortiGate-500
et moins
Illustration 248 : Echantillon dune liste dadresses IP pour les modles FortiGate-800
et plus
Crer Nouveau Pour ajouter une nouvelle liste au catalogue, entrez un nom et
cliquez sur Ajouter. Les nouvelles listes sont, par dfaut, vides.
Nom Les listes dadresses mail antispam disponibles.
# dentres Le nombre dentres dans chaque liste.
Profils Les profils de protection appliqus chaque liste.
Commentaire Description facultative de chaque liste.
Icne Supprimer Permet de supprimer une liste du catalogue. Cette icne est
disponible si la liste nest pas reprise dans un profil de
protection.
Icne Editer Permet dditer les informations suivantes : la liste, le nom de
la liste ou le commentaire.
Slectionnez les listes de filtrage par mots-cls dans les profils de protection. Pour
plus dinformations, voir Options du filtrage antispam la page 286.
Illustration 251 : Bote de dialogue dune nouvelle liste dadresses mail antispam
Pour visualiser la liste dadresses mail sur les modles FortiGate-500 et moins,
slectionnez Anti-spam > Black/White List > Adresse Mail
Illustration 253 : Echantillon dune liste dadresses mail pour les modles FortiGate-
800 et plus
Les en-ttes MIME (Multipurpose Internet Mail Extensions) sont ajouts aux mails
pour dcrire le type et le codage de contenu, tels que le type de texte dans le corps
du mail ou le programme qui a gnr le mail. Quelques exemples den-ttes
MIME comprennent :
X-mailer : outgluck
X-Distribution : bulk
Content_Type : text/html
Content_Type : image/jpg
Certains spammeurs utilisent des serveurs SMTP tiers inscuriss pour envoyer
des mails non sollicits. Lutilisation de DNSBL et ORDBL est un moyen efficace
de baliser (tag) ou rejeter les spams lors de leur entre sur le rseau. Ces listes
agissent comme des serveurs de nom de domaine identique au domaine dun mail
entrant dune liste dadresses IP connues pour envoyer des spams ou autoriser
des spams passer au travers.
Remarque : Etant donn que le botier FortiGate utilise le nom de domaine du serveur pour
se connecter au serveur DNSBL ou ORDBL, il doit tre capable de chercher ce nom sur le
Exemples
Statistiques
Les administrateurs peuvent obtenir des statistiques sur les messageries
instantanes et les communications point to point afin de connatre lutilisation
de ces deux protocoles sur le rseau. Des statistiques densemble sont fournies
pour tous les protocoles IM et P2P. Des statistiques dtailles et individuelles
existent pour chaque protocole IM.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions
IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale
dans le menu principal.
Pour visualiser ces statistiques, slectionnez IM/P2P > Statistics > Protocol.
Utilisateur
Aprs que les utilisateurs IM se soient connects travers le pare-feu, le botier
FortiGate affiche les utilisateurs connects dans la liste Current Users. Les
administrateurs rseaux peuvent alors analyser la liste et dcider quels utilisateurs
accepter et quels utilisateurs rejeter. Une rgle peut tre configure pour traiter le
cas des utilisateurs inconnus.
Remarque : Si les domaines virtuels sont activs sur le botier FortiGate, les fonctions
IM/P2P sont configures globalement. Pour y accder, slectionnez Configuration Globale
dans le menu principal.
Pour visualiser les utilisateurs en cours, slectionnez IM/P2P > Users > Current
Users.
Des utilisateurs peuvent tre ajouts en cliquant sur Crer Nouveau ou partir de
la liste temporaire dutilisateurs.
Pour visualiser la liste des utilisateurs, slectionnez IM/P2P > Users > User List.
Slectionnez IM/P2P > User > User List et cliquez sur Crer Nouveau.
Pour configurer une politique IM, slectionnez IM/P2P > User > Config.
Journalisation FortiGate
Les botiers FortiGate peuvent journaliser de nombreuses activits rseaux et trafic
y compris :
tout trafic rseau
des vnements lis au systme dont les redmarrages systme, la Haute
Disponibilit et lactivit VPN.
infection et blocage antivirus
filtrage web, blocage de contenu URL et HTTP
signatures et prvention contre les attaques et anomalies
filtrage antispam
trafic de Messageries Instantanes et Peer-to-Peer
Vous pouvez fixer le niveau auquel le botier FortiGate journalise ces vnements
et leur lieu de stockage. Le botier FortiGate peut journaliser des vnements du
systme et des intrusions sur la mmoire du botier. Cependant, tant donn la
nature limite de cette mmoire, les messages les plus anciens ne sont pas
sauvegards et le trafic rseau nest pas journalis sur la mmoire en raison du
gros volume des messages journaliss.
Le botier FortiGate peut galement envoyer des journaux vers un serveur Syslog
ou WebTrends dans un but de stockage et darchivage. Le botier FortiAnalyzer
peut galement tre configur pour envoyer les messages journaliss vers son
disque dur si disponible sur le botier.
Afin de vous permettre de revenir sur les activits se produisant sur votre rseau et
travers le botier FortiGate, ce dernier vous permet de visualiser les messages
journaliss disponibles en mmoire, sur un botier FortiAnalyzer muni du
microcode version 3.0 ou plus ou sur un disque dur si disponible sur le botier. Des
filtres personnalisables vous permettent de localiser facilement des informations
spcifiques dans les fichiers de journalisation.
Remarque : Pour plus de dtails sur la sauvegarde de journaux sur le disque dur du
FortiGate, si disponible, voir le FortiGate CLI Reference.
Voir le FortiGate Log Message Reference pour plus de dtails sur les messages et
formats des journaux.
Configurer un botier FortiGate pour quil envoie les journaux vers un botier
FortiAnalyzer
Remarque : Le botier FortiGate peut se connecter jusqu trois botiers FortiAnalyzer. Il leur
envoie tous trois les journaux que chaque FortiAnalyzer va alors stocker. Ceci offre une
relle protection de sauvegarde en temps rel dans le cas o lun des trois FortiAnalyzer
Tester la connexion
Exemple
Pour plus de dtails sur le paramtrage des options pour les types de journaux
envoyer vers WebTrends, voir le chapitre sur les Journaux dans le FortiGate CLI
Reference.
Une connexion scurise via un tunnel VPN IPSec entre un botier FortiAnalyzer et
un cluster HA est en ralit une connexion entre ce botier et le membre primaire
du cluster HA.
Remarque : Vous devez avant tout commencer par configurer les destinations de
sauvegarde des fichiers journaux. Pour plus de dtails, voir Stockage de Journaux la
page 411.
Journal Trafic
Le journal Trafic enregistre tout le trafic vers et passant travers les interfaces du
FortiGate. Vous pouvez configurer la journalisation du trafic contrl par des rgles
pare-feu, ainsi que la journalisation du trafic entre toute adresse source et de
destination. Vous pouvez appliquer les filtres suivants :
Trafic autoris Le botier FortiGate journalise tout le trafic autoris par les
paramtres de la rgle pare-feu.
Remarque : Afin denregistrer les messages journaliss du trafic, vous devez paramtrer le
niveau de svrit sur Notification lors de la configuration de la destination de journalisation.
Journal Evnement
Le journal Evnement enregistre les vnements dadministration et dactivits,
tels que lors dun changement de configuration ou de lapparition dun vnement
VPN ou Haute Disponibilit.
Signature des attaques Le botier FortiGate journalise toutes les intrusions dtectes
et bloques bases sur la signature de lattaque, ainsi que les
actions prises par le botier FortiGate.
Remarque : Vous devez vous assurer de lactivation des paramtres de journalisation des
signatures des attaques et anomalies. Les options de journalisation pour les signatures
prsentes sur le botier FortiGate sont dfinies par dfaut. Veillez ce que toutes les
signatures personnalises aient loption de journalisation active. Pour plus de dtails, voir
Protection contre les intrusions la page 352.
Journal Antispam
Le Journal Antispam enregistre les blocages dadresses mails et de contenu des
trafics SMTP, IMAP et POP3.
Journal IM / P2P
Le Journal des Messageries Instantanes et Peer-to-Peer enregistre les textes des
messages instantans, les communications audio, les tentatives de transferts de
fichiers par les utilisateurs, le temps dessai de la transmission, le type
dapplication IM utilis et le contenu de la transmission.
Au sein de lafficheur de journaux, vous pouvez lancer une recherche et filtrer des
messages journaliss. Pour les journaux stocks sur un FortiAnalyzer, vous
pouvez galement supprimer des fichiers journaux, retirer des messages
journaliss des fichiers et tlcharger le fichier journal soit en format texte, soit en
format CSV.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du
microcode version 3.0 ou plus.
Remarque : Pour accder aux journaux dun FortiAnalyzer, celui-ci doit tre muni du
microcode version 3.0 ou plus.
Illustration 266 : Paramtres des colonnes pour laffichage des messages journaliss
Remarque : Vous devez tre en affichage Formatage pour accder aux filtres.
Rapports
Le botier FortiGate offre deux formes de rapports, vous permettant de visualiser
les informations sur le trafic circulant sur votre rseau :
Rapports de base sur le trafic Le botier FortiGate utilise les informations des
journaux stocks en mmoire pour soumettre, sous format graphique, des
informations de base sur le trafic. Les rapports comprennent la bande
passante par service et les protocoles par volume.
Rapports FortiAnalyzer lorsquil est connect un FortiAnalyzer, le botier
FortiGate peut accder tous les rapports gnrs par le FortiAnalyzer partir
de ses journaux. Vous pouvez galement personnaliser un rapport par dfaut
pour le botier FortiGate.
Remarque : Les donnes utilises pour les graphiques sont stockes en mmoire. Lors
dun redmarrage ou dune rinitialisation du botier FortiGate, les donnes sont effaces.
Le rapport nest pas mis jour en temps rel. Pour rafrachir le rapport,
slectionnez Journaux/Alertes > Report Access.
Remarque : Il sagit de rapports simplifis. Un botier FortiAnalyzer peut fournir des rapports
plus dtaills ou spcifiques. La fonction dun FortiAnalyzer est de rassembler des
messages journaliss et de gnrer des rapports. Il peut gnrer plus de 140 rapports
diffrents, vous offrant ainsi des informations historiques et mises jour, des tendances sur
votre rseau pour les activits mail, IM et gnrales. Ceci vous aide dans lidentification de
problmes de scurit et dans la rduction des mauvais usages et abus du rseau.
Remarque : Les rapports FortiAnalyzer napparaissent pas tant que vous ne configurez pas
le botier FortiGate pour quil se connecte un FortiAnalyzer, ou si le FortiAnalyzer nest pas
muni du microcode version 3.0 ou plus.
Rsoudre les noms Permet laffichage des noms dhtes par un nom
dhtes reconnaissable la place des adresses IP. Pour toute
information sur la configuration dadresse IP de noms dhtes,
voir le FortiAnalyzer Administration Guide.
Rsoudre les noms Permet laffichage des noms des services rseaux la place
de services des numros de port. Par exemple, HTTP au lieu de port 80.
Dans les rapports Pour certains types de rapports, vous pouvez dfinir
classs montrer le top les lments suprieurs. Ces rapports ont le mot Top dans
leur nom et afficheront uniquement les n entres suprieures.
Par exemple, le rapport des clients mail les plus actifs dans
lorganisation (au lieu de tous les clients mail).
Les rapports qui ne comprennent pas le mot Top dans leur
nom afficheront quant eux toutes les informations. Les
rapports ne seront pas affects par un changement des
valeurs du champ Top .
Lors de la configuration du FortiAnalyzer pour lenvoi par mail des rapports, vous
devez configurer le serveur mail sur le FortiAnalyzer. Pour toute information ce
sujet, voir le FortiAnalyzer Administration Guide.
Remarque : Si vous envoyez par mail des rapports HTML un utilisateur et que son client
email ne supporte pas HTML, il verra le code HTML de chaque rapport dans le corps du
message.
Mail dalerte
La fonctionnalit de mail dalerte permet au botier FortiGate de surveiller les
journaux de messages journaliss ayant un certain niveau de svrit. Si le
message apparat dans les journaux, le botier FortiGate envoie un mail aux
destinataires prdfinis du message journalis en question.
S V
serveur override VLAN
ajout, 190 en mode NAT/Route, 85
serveurs LDAP, 327 en mode Transparent, 88
serveurs RADIUS, 326 introduction, 84
serveurs Windows AD, 328 VPN IPSec, 294
service clientle et support technique, 28 auto key, 295
snmp cl manuelle, 305
configuration, 153 concentrateur, 308
SNMP, 152 cration dune phase 1, 296
configuration dune communaut, 154 cration dune phase 2 \r, 302
statistiques tunnels actifs, 30910
visualisation, 57 VPN PPTP, 312
statuts du systme, 47 plage PPTP, 312
informations, 48 VPN SSL, 313
page des statuts, 47 configuration, 313
ressources, 49 monitor, 31415
statistiques, 50
Syslog
journalisation, 414 W
systme sans fil
domaines rgulatoires, 92 Web Trends
filtrage des MAC, 96 journalisation, 415
interface LAN sans fil FortiWiFi, 92 wireless
numros des canaux IEEE 802.11x, 92 voir Systme sans fil, 92
paramtres du systme, 94
surveillance du module, 97 Z
zone, 75
T liste des zones, 75
table de routage, 225 paramtres d'une zone, 76
affichage des informations, 225