Vous êtes sur la page 1sur 250

Guide de l'administrateur

de Symantec™ Gateway
Security 300

Modèles :
320, 360 et 360R
Symantec™ Gateway Security 300
Guide de l'administrateur
Le logiciel décrit dans ce manuel est fourni sous accord de licence et ne peut être
utilisé que conformément aux termes de ce dernier.
Documentation version 1.0
11 février 2004

Copyright
Copyright  1998-2004 Symantec Corporation.
Tous droits réservés.
Toute documentation fournie par Symantec Corporation est protégée par des
droits d'auteur et reste la propriété de Symantec Corporation.
LIMITATION DE GARANTIE. La documentation technique vous est fournie EN
L'ETAT et Symantec Corporation n'apporte aucune garantie quant à la validité
des informations qu'elle contient. Toute utilisation de la documentation
technique et des informations qu'elle contient se fait sous la responsabilité de
l'utilisateur. La documentation peut inclure des imprécisions techniques ou
autres, ou des erreurs typographiques. Symantec se réserve le droit de modifier
cette documentation sans préavis.
Aucune partie de cette documentation ne peut être copiée sans l'accord écrit
préalable de Symantec Corporation, 20330 Stevens Creek Blvd., Cupertino,
CA 95014, Etats-Unis.

Marques déposées et marques commerciales


Symantec, le logo Symantec et Norton AntiVirus sont des marques déposées de
Symantec Corporation aux Etats-Unis. LiveUpdate, LiveUpdate Administration
Utility, Symantec AntiVirus et Symantec Security Response sont des marques
commerciales de Symantec Corporation.
Les autres marques et noms de produits mentionnés dans ce manuel peuvent
être des marques commerciales ou des marques déposées de leurs sociétés
respectives et sont reconnues par le présent document.
Imprimé en Irlande.
10 9 8 7 6 5 4 3 2 1
Table des matières

Chapitre 1 Présentation du boîtier Symantec Gateway Security 300


Public visé ............................................................................................................. 10
Pour plus d'informations .................................................................................... 10

Chapitre 2 Administration de la passerelle de sécurité


Accès à l'interface de gestion de la passerelle de sécurité ............................ 11
Utilisation de SGMI ..................................................................................... 13
Gestion de l'accès administratif ........................................................................ 13
Configuration du mot de passe d'administration ................................... 14
Configuration de la gestion à distance ..................................................... 15
Gestion de la passerelle de sécurité avec la console série ............................. 17

Chapitre 3 Configuration d'une connexion au réseau externe


Exemples de configuration de réseau ............................................................... 22
Utilisation de l'assistant d'installation ............................................................ 25
A propos des boîtiers comportant deux ports de réseau étendu .................. 26
Types de connexion ............................................................................................. 27
Configuration de la connexion .......................................................................... 29
DHCP .............................................................................................................. 29
PPPoE ............................................................................................................. 30
IP statique et DNS ........................................................................................ 34
PPTP ............................................................................................................... 36
Comptes d'accès à distance ........................................................................ 39
Configuration des paramètres de connexion avancés ................................... 44
Paramètres DHCP avancés ......................................................................... 44
Paramètres PPP avancés ............................................................................. 45
MTU (Maximum Transmission Unit) ....................................................... 45
Configuration de DNS dynamique .................................................................... 46
Mises à jour imposées de DNS dynamique ............................................... 49
Désactivation du service DNS dynamique ............................................... 49
Configuration du routage ................................................................................... 50
Activation du routage dynamique ............................................................. 50
Configuration des entrées de routage statique ....................................... 50
4 Table des matières

Configuration des paramètres avancés de Réseau étendu/FAI .................... 52


Haute disponibilité ...................................................................................... 52
Equilibrage de charge .................................................................................. 53
Liaison SMTP ................................................................................................ 54
Liaison à d'autres protocoles ..................................................................... 54
Repli ............................................................................................................... 54
Passerelle DNS ............................................................................................. 55
Paramètres réseau facultatifs .................................................................... 56

Chapitre 4 Configuration des connexions internes


Configuration des paramètres IP de réseau local ........................................... 60
Configuration du boîtier en tant que serveur DHCP ...................................... 60
Contrôle de l'utilisation de DHCP .............................................................. 62
Configuration des attributions de port ............................................................ 63
Attribution de port ...................................................................................... 63

Chapitre 5 Supervision du trafic réseau


Planification de l'accès au réseau ...................................................................... 66
Ordinateurs et groupes d'ordinateurs .............................................................. 66
Définition des appartenances aux groupes d'ordinateurs .................... 67
Définition des groupes d'ordinateurs ....................................................... 69
Définition des accès entrants ............................................................................ 71
Définition des accès sortants ............................................................................. 72
Configuration des services ................................................................................. 75
Redirection de services ............................................................................... 76
Configuration d'applications spéciales ............................................................ 78
Configuration des options avancées ................................................................. 80
Activation du port IDENT ........................................................................... 80
Désactivation du mode NAT ...................................................................... 81
Activation des connexions IPsec directes ................................................ 81
Configuration d'un hôte exposé ................................................................ 82
Gestion des requêtes ICMP ......................................................................... 82

Chapitre 6 Etablissement de connexions VPN sécurisées


A propos de l'utilisation de ce chapitre ............................................................ 86
Création de stratégies de sécurité ..................................................................... 86
Concept de stratégie VPN ........................................................................... 87
Création de stratégies VPN de phase 2 personnalisées ......................... 89
Affichage de la liste des stratégies VPN ................................................... 90
Identification des utilisateurs ........................................................................... 91
Différences entre les types d'utilisateur .................................................. 91
Définition des utilisateurs .......................................................................... 92
Affichage de la liste des utilisateurs ......................................................... 94
Table des matières 5

Configuration de tunnels entre passerelles ..................................................... 94


Tunnels entre passerelles ........................................................................... 94
Configuration de tunnels dynamiques entre passerelles ...................... 98
Configuration de tunnels statiques entre passerelles ..........................100
Communication des informations à l'administrateur
de la passerelle distante ....................................................................103
Configuration de tunnels VPN client à passerelle ........................................104
Fonctionnement des tunnels VPN client à passerelle ..........................104
Configuration de tunnels VPN clients ....................................................107
Configuration des paramètres de stratégie
globaux pour les tunnels VPN client à passerelle .........................109
Partage des informations avec les clients ..............................................109
Supervision de l'état des tunnels VPN ...........................................................110

Chapitre 7 Supervision avancée du trafic réseau


Application de la stratégie antivirus (AVpe) .................................................112
Avant de commencer à configurer AVpe .......................................................114
Configuration d'AVpe .......................................................................................115
Activation d'AVpe ......................................................................................116
Configuration des clients antivirus ........................................................117
Supervision de l'état du serveur antivirus .....................................................118
Messages de journal ..................................................................................118
Vérification du fonctionnement d'AVpe ........................................................119
A propos du filtrage de contenu ......................................................................120
Eléments à prendre en considération .....................................................121
Gestion des listes de filtrage de contenu .......................................................121
Eléments à prendre en considération .....................................................122
Activation du filtrage de contenu pour le réseau .................................123
Activation du filtrage de contenu pour le réseau étendu ....................123
Supervision du filtrage de contenu .................................................................123

Chapitre 8 Prévention des attaques


Fonctionnement de la détection et de la prévention des intrusions .........125
Protection contre les chevaux de Troie ..................................................126
Configuration des préférences de protection ................................................127
Activation des paramètres de protection avancée .......................................127
Protection d'interrogation IP (spoofing) ................................................128
Validation d'indicateur TCP .....................................................................128
6 Table des matières

Chapitre 9 Consignation, suivi et mises à jour


Gestion de la consignation ............................................................................... 129
Configuration des préférences de consignation ................................... 130
Gestion des messages consignés ............................................................. 134
Mise à jour du micrologiciel ............................................................................. 135
Mise à jour automatique du micrologiciel ............................................. 136
Mise à niveau manuelle du micrologiciel ............................................... 140
Vérification de la mise à jour du micrologiciel ..................................... 144
Sauvegarde et restauration des configurations ............................................ 145
Réinitialisation du boîtier ......................................................................... 146
Interprétation des voyants ............................................................................... 148
Séquences des voyants pour les mises à niveau LiveUpdate
et de micrologiciel .............................................................................. 151

Annexe A Conformité aux normes réglementaires


Déclarations FCC Classe A ................................................................................ 153
Déclaration CICPR Classe A ............................................................................. 154
Déclaration VCCI Classe A (Japon) .................................................................. 154

Annexe B Dépannage
A propos du dépannage .................................................................................... 155
Accès aux informations de dépannage ........................................................... 158

Annexe C Licence
Licence de session pour fonctions
VPN - Symantec Gateway Security 300 client à passerelle ................. 159
Licences de session supplémentaires ..................................................... 160
CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC
GATEWAY SECURITY .............................................................................. 160

Annexe D Description des champs


Menu Consignation/suivi ................................................................................. 165
Onglet Etat .................................................................................................. 166
Onglet Afficher le journal ......................................................................... 168
Onglet Paramètres de journal .................................................................. 169
Onglet Résolution des problèmes ............................................................ 171
Menu Administration ........................................................................................ 172
Onglet Gestion de base .............................................................................. 172
Table des matières 7

Onglet SNMP ..............................................................................................173


Onglet LiveUpdate .....................................................................................173
Menu Réseau local .............................................................................................175
Onglet IP réseau et DHCP .........................................................................176
Onglet Attribution de port .......................................................................178
Menu Réseau étendu/FAI .................................................................................179
Onglet Configuration principale .............................................................180
Onglet IP statique et DNS .........................................................................182
Onglet PPPoE ..............................................................................................183
Onglet Sauvegarde à distance et analogique/RNIS ..............................184
Onglet PPTP ................................................................................................188
Onglet DNS dynamique .............................................................................189
Onglet Routage ...........................................................................................192
Onglet Avancé ............................................................................................193
Menu Pare-feu ....................................................................................................195
Onglet Ordinateurs ....................................................................................196
Onglet Groupes d'ordinateurs .................................................................197
Onglet Règles de trafic entrant ................................................................200
Onglet Règles de trafic sortant ................................................................201
Onglet Services ...........................................................................................202
Onglet Applications spéciales ..................................................................204
Onglet Avancé ............................................................................................206
Menu VPN ...........................................................................................................208
Onglet Tunnels dynamiques ....................................................................209
Onglet Tunnels statiques ..........................................................................213
Onglet Tunnels clients ..............................................................................216
Onglet Utilisateurs distants .....................................................................218
Onglet Stratégies VPN ..............................................................................219
Onglet Etat ..................................................................................................221
Onglet Avancé ............................................................................................222
Menu IDS/IPS .....................................................................................................224
Onglet Protection IDS ...............................................................................224
Onglet Avancé ............................................................................................225
Menu Stratégie antivirus (AVpe) .....................................................................226
Menu Filtrage du contenu ................................................................................230

Index
Solutions de service et de support
Chapitre 1
Présentation du boîtier
Symantec Gateway
Security 300
Ce chapitre traite des sujets suivants :

■ Public visé

■ Pour plus d'informations


Le boîtier Symantec Gateway Security 300 constitue une solution de sécurité
intégrée, destinée aux petits environnements professionnels et assurant la prise
en charge de réseaux locaux sans fil sécurisés.
Les capacités de sécurité du boîtier Symantec Gateway Security 300 s'appuient
sur six fonctionnalités dans le produit de base :
■ Pare-feu
■ VPN IPsec avec cryptage 3DES et AES matériel
■ Application de la stratégie antivirus (AVpe)
■ Détection d'intrusion
■ Prévention d'intrusion
■ Filtrage de contenu statique
Toutes ces fonctions sont conçues spécifiquement pour les petites entreprises.
Ces équipements conviennent parfaitement aux environnements de travail
autonomes ou en complément de boîtiers Symantec Gateway Security 5400
déployés sur des sites hub.
10 Présentation du boîtier Symantec Gateway Security 300
Public visé

Tous les modèles de boîtiers Symantec Gateway Security 300 prennent en


charge les communications sans fil. Ils sont dotés d'un micrologiciel spécifique
et leur emplacement CardBus leur permet d'accueillir une carte d'extension
intégrant un module de communication sans fil 802.11 et une antenne. Cette
approche permet de renforcer la sécurité des réseaux sans fil, en l'utilisant avec
des clients qui exécutent le logiciel Symantec Client VPN. La possibilité de mise
à jour du micrologiciel par LiveUpdate renforce la sécurité des boîtiers
Symantec Gateway Security 300, qui constituent une solution parfaite pour les
petites entreprises.

Public visé
Ce manuel est destiné aux responsables système et aux administrateurs
responsables de l'installation et de la maintenance de la passerelle de sécurité.
La lecture de ce manuel suppose une bonne compréhension des concepts réseau
et un navigateur Internet.

Pour plus d'informations


Les fonctionnalités du boîtier Symantec Gateway Security 300 sont décrites
dans les manuels suivants :
■ Guide de l'administrateur de Symantec™ Gateway Security 300
Le présent guide décrit comment configurer les fonctionnalités de ces
boîtiers : pare-feu, VPN, application de stratégie antivirus (AVpe), filtrage
de contenu, détection/prévention d'intrusion (IDS/IPS), LiveUpdate, etc.
Il est fourni au format PDF sur le CD-ROM du logiciel Symantec Gateway
Security 300.
■ Guide d'installation de Symantec™ Gateway Security 300
Décrit en détails comment installer la passerelle de sécurité et exécuter
l'assistant d'installation pour configurer les connexions.
■ Fiche de démarrage rapide Symantec™ Gateway Security 300
Cette carte fournit des instructions abrégées pour installer le boîtier.
Chapitre 2
Administration de la
passerelle de sécurité
Ce chapitre traite des sujets suivants :

■ Accès à l'interface de gestion de la passerelle de sécurité

■ Gestion de l'accès administratif

■ Gestion de la passerelle de sécurité avec la console série

Accès à l'interface de gestion de la passerelle


de sécurité
L'interface de gestion de la passerelle de sécurité Symantec Gateway Security
300 est appelée SGMI (Security Gateway Management Interface). SGMI est une
console de gestion autonome permettant de gérer les paramètres locaux et de
consulter les journaux. Ce guide décrit comment utiliser SGMI pour gérer les
boîtiers Symantec Gateway Security 300. SGMI est une console permettant de
créer des configurations, de consulter l'état du boîtier et d'accéder aux journaux
par l'intermédiaire d'un navigateur Web.
Une aide en ligne s'affiche pour chaque onglet quand vous cliquez sur le cercle
bleu contenant un point d'interrogation situé dans le coin supérieur droit de
chaque écran.
SGMI contient les éléments suivants :
■ Options du menu principal (volet gauche)
■ Onglets de menu (volet droit)
■ Contenu du volet droit
■ Boutons de commande du volet droit (bas)
■ Boutons d'aide
12 Administration de la passerelle de sécurité
Accès à l'interface
l'interface de gestion de la passerelle de sécurité

Les éléments du menu principal se trouvent en permanence dans la partie


gauche de la fenêtre.

Figure 2-1 Console de gestion de la passerelle de sécurité


Options du menu principal (volet gauche) Options d'onglet du menu racine Aide en ligne

Boutons de commande Contenu du volet droit

Remarque : Les fonctionnalités de communication sans fil n'apparaissent dans


SGMI que si une option de point d'accès sans fil compatible Symantec est
installée. Pour plus d'informations, consultez le Guide de mise en œuvre de
réseau sans fil Symantec Gateway Security 300.

Pour vous connecter à SGMI, utilisez un navigateur Web pris en charge :


■ Microsoft Internet Explorer version 5.5 ou 6.0 avec SP1
■ Netscape version 6.23 ou 7.0
Vous devrez peut-être désactiver les paramètres de proxy dans le navigateur
pour pouvoir vous connecter à SGMI.
Installez le boîtier conformément aux instructions de la Fiche de démarrage
rapide Symantec Gateway Security 300 avant de vous connecter à SGMI.
Administration de la passerelle de sécurité 13
Gestion de l'accès administratif

L'interface que vous obtenez en vous connectant à SGMI peut varier légèrement
selon le modèle de boîtier. Le Tableau 2-1 décrit les ports de chaque modèle.

Tableau 2-1 Interfaces par modèle

Modèle Nombre de ports Nombre de ports Nombre de ports


de réseau étendu de réseau local série (modem)

320 1 4 1

360/360R 2 8 1

Pour vous connecter à SGMI


1 Fournissez l'adresse IP du boîtier dans votre navigateur Web.
L'adresse IP par défaut du boîtier est 192.168.0.1
2 Appuyez sur la touche Entrée de votre clavier.
La fenêtre de SGMI s'affiche.

Utilisation de SGMI
La liste ci-dessous décrit la meilleure manière de travailler avec SGMI.
■ Pour soumettre un formulaire, cliquez sur le bouton approprié de l'interface
utilisateur plutôt que d'appuyer sur la touche Entrée de votre clavier.
■ Si vous soumettez un formulaire et que vous recevez un message d'erreur,
cliquez sur le bouton Précédent de votre navigateur Web. Les données que
vous avez saisies sont conservées.
■ Dans les zones des adresses IP, utilisez la touche Tab de votre clavier pour
passer d'une zone à l'autre.
■ Si le boîtier redémarre automatiquement lorsque vous cliquez sur un
bouton pour soumettre le formulaire dans l'interface utilisateur, attendez
environ une minute avant de tenter de nouveau d'accéder à SGMI.

Gestion de l'accès administratif


Pour gérer l'accès administratif, vous définissez un mot de passe pour
l'utilisateur admin et définissez les adresses IP pouvant accéder au boîtier
depuis le côté réseau étendu.

Remarque : Vous devez définir le mot de passe d'administration pour pouvoir


accéder à distance à SGMI.
14 Administration de la passerelle de sécurité
Gestion de l'accès administratif

Configuration du mot de passe d'administration


Le mot de passe d'administration permet un accès sécurisé à SGMI. La définition
et la modification du mot de passe limite l'accès à SGMI aux personnes ayant
reçu ce mot de passe. Vous devez avoir installé le boîtier et connecté votre
navigateur à SGMI pour définir le mot de passe. Pour plus d'informations sur la
configuration du boîtier, consultez le Guide d'installation de Symantec Gateway
Security 300.
La configuration du mot de passe d'administration s'effectue dans l'onglet
Administration > Gestion de base. Vous pouvez également configurer une plage
d'adresses IP autorisées à gérer le boîtier à distance. Le nom de l'administrateur
est toujours admin.

Remarque : Il est conseillé de modifier régulièrement le mot de passe


d'administration pour renforcer la sécurité.

Pour définir le mot de passe d'administration


A l'origine, vous définissez le mot de passe d'administration dans l'assistant
d'installation. Vous pouvez le modifier dans SGMI ou effectuer une
réinitialisation du boîtier manuellement ou via la console série, ce qui
réinitialise complètement le mot de passe.
Le flashage du boîtier avec la version app.bin du micrologiciel réinitialise le mot
de passe.
Se reporter à "Mise à niveau manuelle du micrologiciel" à la page 140.

Avertissement : Lorsque vous réinitialisez le mot de passe manuellement


en appuyant sur le bouton de réinitialisation, l'adresse IP sur le réseau est
réinitialisée sur la valeur par défaut (192.168.0.1) et le serveur DHCP est activé.

Se reporter à "Onglet Gestion de base" à la page 172.

Pour configurer un mot de passe


1 Dans le volet gauche de SGMI, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet Gestion de base, saisissez le mot de passe
d'administration, dans la zone Mot de passe.
3 Dans la zone Confirmation du mot de passe, saisissez de nouveau le mot
de passe.
4 Cliquez sur Enregistrer.
Administration de la passerelle de sécurité 15
Gestion de l'accès administratif

Pour réinitialiser manuellement le mot de passe


1 A l'arrière du boîtier, appuyez sur le bouton de réinitialisation pendant
10 secondes.
2 Effectuez de nouveau la procédure de définition du mot de passe.
Se reporter à "Pour réinitialiser manuellement le mot de passe" à la page 15.

Configuration de la gestion à distance


Vous pouvez accéder à SGMI à distance par le réseau étendu, depuis un
ordinateur dont l'adresse IP est comprise dans la plage d'adresses IP autorisées.
Cette plage d'adresses est définie en spécifiant une adresse IP de début et une
adresse de fin dans la section Gestion à distance de l'onglet Administration/
Gestion à distance. Il est recommandé de configurer l'adresse IP de gestion à
distance lorsque vous vous connectez à SGMI pour la première fois. La gestion à
distance est transmise avec hachage MD5.

Remarque : Pour des raisons de sécurité, il est conseillé d'effectuer toutes les
opérations de gestion à distance via un tunnel VPN "passerelle à passerelle"
ou "client à passerelle". Vous bénéficiez ainsi du niveau approprié de
confidentialité pour la session de gestion.
Se reporter à "Etablissement de connexions VPN sécurisées" à la page 85.
16 Administration de la passerelle de sécurité
Gestion de l'accès administratif

La Figure 2-2 montre un exemple de configuration de gestion à distance.

Figure 2-2 Gestion à distance

SGMI

Internet

Boîtier Symantec Gateway


Security 300

Périphériques protégés

Pour configurer la gestion à distance, spécifiez une adresse IP de début et une


adresse IP de fin. Si vous voulez autoriser la gestion à distance depuis une
adresse IP unique, spécifiez cette adresse comme adresse de début et de fin.
L'adresse IP de début doit être le plus petit nombre de la plage et l'adresse de fin
le plus grand nombre de la plage. Laissez ces champs vides pour interdire tout
accès à distance à SGMI.

Pour configurer la gestion à distance


Se reporter à "Onglet Gestion de base" à la page 172.
1 Dans le volet gauche de SGMI, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet Gestion de base, saisissez la première
adresse IP (la plus petite de la plage) sous Gestion à distance, dans la zone
Adresse IP de début.
Administration de la passerelle de sécurité 17
Gestion de la passerelle de sécurité avec la console série

3 Saisissez la dernière adresse IP (la plus grande de la plage) dans la zone


Adresse IP de fin.
Pour autoriser une seule adresse IP, saisissez la même valeur dans les deux
zones de texte.
4 Pour permettre la mise à niveau à distance du micrologiciel du boîtier
depuis la plage d'adresses IP configurée avec TFTP (Trivial File Transfer
Protocol), cochez l'option Autoriser la mise à niveau à distance du
micrologiciel.
Par défaut, cette option est désactivée. Se reporter à "Mise à niveau
manuelle du micrologiciel" à la page 140.
5 Cliquez sur Enregistrer.
6 Pour accéder à SGMI à distance, saisissez <adresse IP de réseau étendu du
boîtier>:8088 dans votre navigateur Web.
Lorsque vous tentez d'accéder à SGMI à distance, vous devez vous
connecter avec le nom d'utilisateur et le mot de passe d'administration.

Gestion de la passerelle de sécurité avec


la console série
Vous pouvez configurer ou réinitialiser la passerelle de sécurité via le port série
en utilisant un câble null modem (fourni avec la passerelle de sécurité). Il peut
être utile de configurer la passerelle de sécurité de cette manière pour l'installer
sur un réseau existant, car cela évite que la passerelle de sécurité n'interfère
avec le réseau lorsqu'elle est connectée.
Vous pouvez configurer un certain nombre de paramètres via la console série.
Ces paramètres sont les suivants :
■ Adresse IP de réseau local (adresse IP de la passerelle de sécurité)
■ Masque de réseau local
■ Activation/désactivation du serveur DHCP
■ Plage d'adresses IP que le serveur DHCP doit allouer

Pour gérer la passerelle de sécurité avec la console série


1 A l'arrière du boîtier, connectez le câble null modem au port série.
2 Connectez le câble null modem au port COM de l'ordinateur.
3 A l'arrière du boîtier, positionnez le micro-commutateur 3 sur la position
"on" (haut).
4 Vérifiez que "Arrêt défil." n'est pas activé sur le clavier.
18 Administration de la passerelle de sécurité
Gestion de la passerelle de sécurité avec la console série

5 Démarrez un programme d'émulation de terminal, comme HyperTerminal.


6 Configurez le programme d'émulation de terminal pour une connexion
directe au port COM de l'ordinateur auquel le boîtier est connecté
physiquement.
7 Configurez les paramètres de communication comme suit :

Débit en bauds (bits/s) 9600

Bits de données 8

Parité Sans

Bits d'arrêt 1

Contrôle de flux Sans

8 Connectez-vous au boîtier.

9 Une fois le terminal connecté au boîtier, appuyez brièvement sur le bouton


de réinitialisation à l'arrière du boîtier.
Administration de la passerelle de sécurité 19
Gestion de la passerelle de sécurité avec la console série

10 A l'invite de commande, effectuez l'une des opérations suivantes :

Adresse IP locale Saisissez 1 pour modifier l'adresse IP du boîtier.

Masque de réseau Saisissez 2 pour modifier le masque réseau du boîtier.


local

Serveur DHCP Saisissez 3 pour activer ou désactiver la fonctionnalité de


serveur DHCP du boîtier.

Adresse IP de début Saisissez 4 pour spécifier la première adresse IP de la plage


d'adresses que le serveur DHCP peut allouer.

Adresse IP de fin Saisissez 5 pour spécifier la dernière adresse IP de la plage


d'adresses que le serveur DHCP peut allouer.

Restaurer les para- Saisissez 6 pour restaurer les paramètres par défaut du boîtier
mètres par défaut pour l'adresse IP locale, le masque réseau local, le serveur
DHCP et la plage d'adresses que le serveur DHCP peut allouer.

11 Pour modifier les paramètres d'adresse IP locale, de masque réseau local,


de serveur DHCP, d'adresse IP de début ou de fin, effectuez les opérations
suivantes :
■ Saisissez la nouvelle valeur pour le paramètre que vous modifiez.
■ Appuyez sur Entrée.
12 Pour restaurer les valeurs par défaut du boîtier, appuyez sur Entrée.
13 Saisissez 7.
Le boîtier redémarre.
14 A l'arrière du boîtier, positionnez le micro-commutateur 3 sur la position
"off" (bas).
15 A l'arrière du boîtier, appuyez brièvement sur le bouton de réinitialisation.
Chapitre 3
Configuration d'une
connexion au réseau
externe
Ce chapitre traite des sujets suivants :

■ Types de connexion

■ Configuration de la connexion

■ Configuration des paramètres de connexion avancés

■ Configuration de DNS dynamique

■ Configuration du routage

■ Configuration des paramètres avancés de Réseau étendu/FAI


La fonctionnalité Réseau étendu/FAI du boîtier Symantec Security Gateway 300
permet les connexions avec le monde extérieur. Il peut s'agir d'Internet, d'un
réseau d'entreprise ou d'un réseau public ou privé quelconque. La fonctionnalité
Réseau étendu/FAI peut aussi être configurée pour se connecter à un réseau
interne si le boîtier protège un sous-réseau interne. Configurez les connexions
de réseau étendu dès l'installation du boîtier.
Vous pouvez configurer ou modifier les connexions du boîtier sur les ports de
réseau étendu dans les fenêtres Réseau étendu/FAI ou à l'aide de l'assistant
d'installation, qui s'exécute la première fois que vous accédez au boîtier après
l'installation du matériel.
22 Configuration d'une connexion au réseau externe
Exemples de configuration de réseau

Avant de commencer à configurer une connexion de réseau étendu, vous devez


déterminer le type de connexion à utiliser avec le réseau externe ; selon le type
de connexion, vous devrez rassembler un certain nombre d'informations
nécessaires pendant la procédure de configuration. Consultez le Guide
d'installation de Symantec Gateway Security 300 pour planifier la configuration.
Le boîtier Symantec Gateway Security 300 modèle 320 a un seul port de réseau
étendu à configurer. Les modèles 360 et 360R ont deux ports de réseau étendu à
configurer séparément selon vos besoins. Certains paramètres s'appliquent aux
deux ports de réseau étendu, alors que d'autres ne s'appliquent qu'au port de
réseau étendu 1 ou au port de réseau étendu 2.

Avertissement : Après une reconfiguration des connexions de réseau étendu et


un redémarrage du boîtier, le trafic réseau est interrompu temporairement.
Les connexions VPN sont rétablies.

Après l'établissement des connexions de base, vous pouvez configurer des


paramètres avancés comme les DNS, le routage et les paramètres haute
disponibilité/équilibrage de charge (High Availability/Load Balancing - HA/LB).

Exemples de configuration de réseau


Le diagramme de réseau de la Figure 3-1 représente un boîtier Symantec
Gateway Security 300 connecté à Internet. Le point terminal correspond à un
type quelconque de terminaison de réseau. Il peut s'agir d'un périphérique
fourni par votre FAI ou d'un commutateur réseau. L'ordinateur utilisé pour la
gestion du boîtier est connecté directement à celui-ci par l'un des ports de réseau
local et utilise un navigateur pour se connecter à SGMI (Security Gateway
Management Interface – interface de gestion de passerelle de sécurité). Le
réseau protégé communique avec Internet via le boîtier Symantec Gateway
Security 300.
Configuration d'une connexion au réseau externe 23
Exemples de configuration de réseau

Figure 3-1 Connexion à Internet

Internet

Point terminal

Symantec Gateway
Security 300

SGMI
Réseau protégé
24 Configuration d'une connexion au réseau externe
Exemples de configuration de réseau

Le diagramme de la Figure 3-2 montre un boîtier utilisé pour se connecter à


Internet. Dans ce scénario, le boîtier protège une enclave d'un réseau interne de
plus grande taille contre les accès non autorisés par des utilisateurs du réseau
interne. Le trafic de cette enclave du réseau protégé passe par le boîtier
Symantec Gateway Security 300 et par le boîtier Symantec Gateway Security
5400 avant d'atteindre Internet.

Figure 3-2 Connexion au réseau interne

Internet

Symantec Gateway
Security 5400

Routeur

Symantec Gateway
Security 300

SGMI
Réseau protégé

Réseau enclavé
Configuration d'une connexion au réseau externe 25
Utilisation de l'assistant d'installation

Utilisation de l'assistant d'installation


L'assistant d'installation est lancé la première fois que vous accédez au boîtier
par l'intermédiaire d'un navigateur Web. L'assistant d'installation vous aide à
configurer les connexions de base à Internet ou à votre intranet. Si vous avez
déjà exécuté avec succès l'assistant d'installation et vérifié le bon
fonctionnement des connexions de réseau étendu au réseau externe, aucune
configuration supplémentaire n'est nécessaire pour le port de réseau étendu 1.
Pour les modèles 360 ou 360R, utilisez SGMI pour configurer le port de réseau
étendu 2. Consultez le Guide d'installation de Symantec Gateway Security 300
pour plus d'informations sur l'assistant d'installation.

Remarque : Pour modifier la langue de SGMI, exécutez de nouveau l'assistant


d'installation et choisissez une autre langue.

L'assistant d'installation vérifie l'état de la connexion de réseau étendu 1 avant


de continuer. Si le port de réseau étendu (désigné Réseau étendu 1/WAN 1 sur
les modèles 360 et 360R) est connecté à un réseau actif, l'assistant d'installation
vous guidera pour configurer LiveUpdate et le mot de passe d'administration.
Si le port de réseau étendu n'est pas actif, l'assistant d'installation vous guidera
pour saisir les paramètres de connexion spécifiques à votre FAI (Fournisseur
d'Accès Internet). Utilisez l'onglet Réseau étendu/FAI pour configurer les
paramètres de connexion avancés ou pour configurer le port de réseau étendu 2.
Après l'installation initiale, vous pouvez exécuter de nouveau l'assistant
d'installation à tout moment. Pour exécuter l'assistant d'installation, dans la
fenêtre Réseau étendu/FAI > Configuration principale, cliquez sur Exécuter
l'assistant d'installation. Pour plus d'informations, consultez le
Guide d'installation de Symantec Gateway Security 300.

Avertissement : Tout ce que vous spécifiez et enregistrez dans les onglets Réseau
étendu/FAI remplace ce que vous avez spécifié précédemment dans l'assistant
d'installation. Cela peut provoquer une perte de la connexion au réseau étendu.
26 Configuration d'une connexion au réseau externe
A propos des boîtiers comportant deux ports de réseau étendu

A propos des boîtiers comportant deux ports


de réseau étendu
Les modèles 360 et 360 des boîtiers Symantec Gateway Security disposent de
deux ports de réseau étendu (Réseau étendu 1 et Réseau étendu 2). Ils acceptent
des paramètres réseau différents sur chacun des ports de réseau étendu. Par
exemple, vous pouvez avoir un compte d'entreprise avec une adresse IP statique
comme connexion principale de réseau étendu et un compte avec adresse IP
dynamique (moins coûteux) comme connexion de secours. Chaque port de
réseau étendu est traité comme une connexion totalement distincte.
Certains paramètres s'appliquent aux deux ports de réseau étendu et d'autres
sont spécifiques à chacun des ports. Le Tableau 3-1 spécifie pour chaque
paramètre s'il s'applique aux deux ports de réseau étendu ou s'il doit être
configuré pour chaque port.

Tableau 3-1 Paramètres des ports de réseau étendu

Configuration Port de réseau étendu concerné

Types de connexion Configurez un type de connexion pour chaque port de


réseau étendu. Se reporter à "Types de connexion" à la
page 27.

Compte de secours Vous pouvez configurer une connexion principale pour le


réseau étendu 1 et connecter un mode au port série du
boîtier pour ajouter une connexion de secours. Se reporter
à "Comptes d'accès à distance" à la page 39.

Paramètres réseau Vous pouvez spécifier des paramètres différents pour


facultatifs chacun des ports de réseau étendu. Se reporter à
"Paramètres réseau facultatifs" à la page 56.

DNS dynamique S'applique aux deux ports de réseau étendu. Se reporter à


"Configuration de DNS dynamique" à la page 46.

Passerelle DNS S'applique aux deux ports de réseau étendu. Se reporter à


"Passerelle DNS" à la page 55.

Indicateur de connexion Configurez un indicateur de connexion pour chaque port de


réseau étendu. "Comptes d'accès à distance" à la page 39 ou
"Configuration des paramètres avancés de Réseau étendu/
FAI" à la page 52

Routage Configurez le routage pour chaque port de réseau étendu.


Se reporter à "Configuration du routage" à la page 50.
Configuration d'une connexion au réseau externe 27
Types de connexion

Tableau 3-1 Paramètres des ports de réseau étendu (Suite)

Configuration Port de réseau étendu concerné

Equilibrage de charge entre Définissez le pourcentage de trafic à envoyer via le port de


les ports de réseau étendu réseau étendu 1 ; le reste sera envoyé via le port de réseau
et consolidation de bande étendu 2. Se reporter à "Equilibrage de charge" à la page 53.
passante

Lier SMTP Liez SMTP au port de réseau étendu 1 ou 2. Se reporter à


"Liaison SMTP" à la page 54.

Haute disponibilité Spécifiez pour chaque port si la haute disponibilité doit être
utilisée. Se reporter à "Haute disponibilité" à la page 52.

Types de connexion
Pour connecter le boîtier à un réseau externe ou interne, vous devez comprendre
les différences entre les types de connexion.
Déterminez tout d'abord si votre compte d'accès à Internet est de type accès à
distance ou connexion haut débit. Pour un compte d'accès à distance (RTC),
passez à la section Modem ou RNIS. Si vous avez un compte dédié, déterminez le
type de connexion en consultant le tableau suivant, puis passez à la section
correspondante de la configuration.
En général, les comptes d'accès à distance sont de type analogique (ligne
téléphonique normale connectée à un modem externe) ou RNIS (ligne
téléphonique spéciale). En général, les comptes d'accès haut débit sont de type
câble, DSL, T1/E1 ou T3 et la connexion passe par un adaptateur spécial.

Remarque : Ne connectez que des câbles RJ-45 aux ports de réseau étendu.

Les tableaux suivants décrivent les types de connexion pris en charge.


La colonne Type de connexion correspond au bouton d'option sur lequel
vous devez cliquer dans l'onglet Configuration principale ou dans l'assistant
d'installation. La colonne Services correspond aux comptes ou protocoles
associés au type de connexion. La colonne Types de terminaison réseau énumère
les périphériques physiques généralement utilisés par un type de connexion
particulier pour se connecter à Internet ou à un réseau.
28 Configuration d'une connexion au réseau externe
Types de connexion

Le Tableau 3-2 énumère les types de connexions d'accès à distance pris en


charge et la manière de les identifier.
Tableau 3-2 Types de connexion d'accès à distance

Type de connexion Services Types de terminaison réseau

Analogique ou RNIS Service téléphonique Modem analogique


traditionnel (POTS)

RNIS (réseau numérique Modem numérique


à intégration de services) Un modem RNIS est parfois désigné
adaptateur de terminal.

Si vous avez un compte d'accès haut débit, reportez-vous au Tableau 3-3 pour
déterminer votre type de connexion.

Tableau 3-3 Types de connexion haut débit

Type de connexion Services Types de terminaison réseau

DHCP Câble haut débit Modem câble

DSL (ligne d'abonné Modem DSL avec câble Ethernet


numérique)

Connexion Ethernet Câble Ethernet (généralement réseau


directe enclavé)

PPPoE PPPoE Modem ADSL avec câble Ethernet

IP statique (IP Câble haut débit Modem câble


statique et DNS)
DSL (ligne d'abonné Modem DSL
numérique)

T1 CSU/DSU (Channel Service Unit/


Digital Service Unit)

Connexion Ethernet Câble Ethernet (généralement réseau


directe enclavé)

PPTP PPTP Modem DSL avec câble Ethernet

Votre FAI ou votre administrateur réseau peut vous aider à déterminer votre
type de connexion.
Configuration d'une connexion au réseau externe 29
Configuration de la connexion

Configuration de la connexion
Une fois que vous avez déterminé le type de connexion, vous pouvez configurer
le boîtier pour le connecter à Internet ou à un intranet en utilisant les
paramètres appropriés.

DHCP
Le protocole Dynamic Host Configuration Protocol (DHCP) automatise la
configuration réseau des ordinateurs. Il permet à un réseau comprenant de
nombreux clients de récupérer les informations de configuration à partir d'un
seul serveur (DHCP). Dans le cas d'un compte d'accès à Internet dédié, les
utilisateurs sont clients du serveur DHCP du FAI, auprès duquel ils récupèrent
leurs informations de configuration réseau. Les adresses IP ne sont affectées
qu'aux comptes connectés.
Le compte dont vous disposez auprès de votre FAI peut utiliser DHCP pour vous
affecter des adresses IP. Les types de compte qui utilisent souvent DHCP sont
l'accès haut débit par câble et DSL. Les FAI authentifient souvent les connexions
haut débit par câble en utilisant l'adresse MAC ou adresse physique de votre
ordinateur ou passerelle.
Pour plus d'informations sur la configuration de DHCP pour affecter des
adresses IP à vos nœuds, consultez "Configuration de la connexion" à la page 29.
Avant de configurer DHCP pour vos ports de réseau étendu, vous devez
sélectionner DHCP (IP auto) comme type de connexion dans la fenêtre
Configuration principale.

Pour sélectionner DHCP comme type de connexion


Se reporter à "Onglet Configuration principale" à la page 180.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, procédez comme suit :
■ Dans le volet droit, dans l'onglet Configuration principale, cochez
DHCP sous Type de connexion.
■ Cliquez sur Enregistrer.
30 Configuration d'une connexion au réseau externe
Configuration de la connexion

3 Pour les modèles 360 et 360R, procédez comme suit :


■ Pour sélectionner un type de connexion pour le réseau étendu 1,
cliquez sur DHCP dans la liste déroulante Type de connexion sous
Réseau étendu 1 (externe).
■ Pour sélectionner un type de connexion pour le réseau étendu 2,
cliquez sur DHCP dans la liste déroulante Type de connexion sous
Réseau étendu 2 (externe).
4 Cliquez sur Enregistrer.

PPPoE
Le protocole PPPoE (point à point sur Ethernet) est utilisé par de nombreux
fournisseurs d'accès à Internet par ADSL. Ce protocole permet de connecter
de nombreux utilisateurs d'un réseau à Internet par l'intermédiaire d'un seul
support dédié (comme un compte d'accès par DSL).
Vous pouvez spécifier si vous souhaitez connecter/déconnecter votre compte
PPPoE manuellement ou automatiquement. Cette option est utile pour vérifier le
fonctionnement de la connexion.
Vous pouvez configurer le boîtier pour qu'il se connecte à Internet uniquement
lorsqu'une requête Internet est émise par un utilisateur du réseau local
(par exemple en naviguant sur un site Web) et pour qu'il se déconnecte lorsque
que la connexion n'est pas utilisée. Cette fonctionnalité est utile si votre FAI
vous facture au temps passé.
Vous pouvez utiliser de multiples ouvertures de session (si votre compte
autorise l'utilisation du PPPoE multi-sessions) pour obtenir des adresses IP
supplémentaires pour le réseau étendu. Elles sont désignées sessions PPPoE.
L'ouverture de session peut être effectuée avec le même nom d'utilisateur et
le même mot de passe que pour la session principale ou utiliser des paramètres
différents pour chaque session, selon la configuration de votre FAI. Le modèle
320 accepte jusqu'à cinq sessions/adresses IP et les modèles 360 et 360R
acceptent jusqu'à trois sessions sur chaque port de réseau étendu. Les hôtes
du réseau local sont liés à une session dans l'onglet Ordinateur. Se reporter à
"Configuration des paramètres IP de réseau local" à la page 60.

Remarque : L'utilisation de plusieurs adresses IP sur un port de réseau étendu


n'est possible que pour les connexions PPPoE.

Par défaut, tous les paramètres sont associés à la session 1. Pour les comptes
PPPoE multi-sessions, configurez chaque session individuellement. Si vous
avez plusieurs comptes PPPoE, affectez chacun d'eux à une session différente
dans SGMI.
Configuration d'une connexion au réseau externe 31
Configuration de la connexion

Avant de configurer les ports de réseau étendu pour utiliser un compte PPPoE,
rassemblez les informations suivantes :
■ Nom d'utilisateur et mot de passe
Tous les comptes PPPoE exigent un nom d'utilisateur et un mot de passe.
Vous devez récupérer ces informations auprès de votre FAI avant de
configurer PPPoE.
■ Adresse IP statique
Vous pouvez détenir une adresse IP statique pour le compte PPPoE.

Pour configurer PPPoE


Se reporter à "Onglet PPPoE" à la page 183.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, procédez comme suit :
■ Dans le volet droit, dans l'onglet Configuration principale, cliquez sur
PPPoE (xDSL) sous Type de connexion.
■ Cliquez sur Enregistrer.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans le volet droit, dans l'onglet Configuration principale, cliquez sur
PPPoE (xDSL) dans la liste déroulante Type de connexion sous Réseau
étendu 1 (externe).
■ Pour utiliser le réseau étendu 2, cliquez sur Normal dans Réseau
étendu 2 (Externe), sous Mode HA.
■ Pour utiliser le réseau étendu 2, cliquez sur PPPoE (xDSL) dans la liste
déroulante Type de connexion sous Réseau étendu 2 (externe).
■ Cliquez sur Enregistrer.
■ Dans le volet droit, dans l'onglet PPPoE, effectuez l'une des opérations
suivantes sous Port de réseau étendu et sessions :
■ Dans la liste déroulante Port de réseau étendu, sélectionnez le port de
réseau étendu à configurer.
4 Si vous avez un compte PPPoE multi-sessions, sélectionnez la session
souhaitée dans la liste déroulante Session PPPoE, sous Port de réseau
étendu et sessions.
5 Si votre compte PPPoE est mono-session, laissez la session PPPoE sur
Session 1.
6 Sous Connexion, cochez Connexion à la demande.
Si vous voulez vous connecter à une session PPPoE manuellement,
décochez l'option Connexion à la demande, puis cliquez sur Connecter sous
Contrôle manuel.
32 Configuration d'une connexion au réseau externe
Configuration de la connexion

7 Dans la zone Délai d'inactivité, saisissez la durée d'inactivité (en minutes)


après laquelle le boîtier doit se déconnecter du compte PPPoE.
8 Si votre compte d'accès à Internet PPPoE a une adresse IP statique, saisissez
l'adresse qui vous a été affectée dans la zone Adresse IP statique.
Sinon, laissez la valeur 0.
9 Sous Choisir le service, cliquez sur Interroger les services.
Vous devez être déconnecté du compte PPPoE pour utiliser cette fonction.
Se reporter à "Connexion manuelle au compte PPPoE" à la page 33.
10 Dans la liste déroulante Service, sélectionnez un service PPPoE.
Vous devez cliquer sur Interroger les services pour sélectionner un service.
11 Dans la zone Nom d'utilisateur, saisissez le nom d'utilisateur de votre
compte PPPoE.
12 Dans la zone Mot de passe, saisissez le mot de passe de votre compte PPPoE.
13 Dans la zone Confirmation du mot de passe, saisissez de nouveau le mot de
passe de votre compte PPPoE.
14 Cliquez sur Enregistrer.

Vérification de la connexion PPPoE


Une fois le boîtier configuré pour utiliser le compte PPPoE, vérifiez qu'il se
connecte correctement.

Pour vérifier la connexion


Se reporter à "Onglet PPPoE" à la page 183.
Se reporter à "Onglet Etat" à la page 166.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans le volet droit, dans l'onglet PPPoE, cliquez sur Connecter sous
Contrôle manuel.
3 Dans le volet gauche, cliquez sur Consignation/suivi.
L'état de la connexion est affiché dans le volet droit, dans l'onglet Etat, sous
Réseau étendu 1 (port externe).
Si vous n'êtes pas connecté, procédez comme suit :
■ Vérifiez que vous avez correctement spécifié le nom d'utilisateur et le mot
de passe. Certains FAI exigent que le nom d'utilisateur soit au format des
adresses de courrier électronique : par exemple johndoe@monfai.net.
■ Vérifiez que tous les câbles sont correctement branchés.
■ Vérifiez les informations et l'activité de votre compte d'accès auprès du FAI.
Configuration d'une connexion au réseau externe 33
Configuration de la connexion

Connexion manuelle au compte PPPoE


Vous pouvez vous connecter à votre compte PPPoE ou vous en déconnecter
manuellement. Pour les modèles 360 et 360R, vous pouvez contrôler
manuellement la connexion pour chaque port de réseau étendu. Cette option est
utile pour vérifier le fonctionnement de la connexion.

Pour contrôler manuellement votre compte PPPoE


Vous pouvez contrôler manuellement votre compte PPPoE par l'intermédiaire
de SGMI.
Se reporter à "Onglet PPPoE" à la page 183.

Pour connecter manuellement votre compte PPPoE


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, cliquez sur Connecter dans le volet droit, dans l'onglet
PPPoE, sous Contrôle manuel.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans le volet droit, dans l'onglet PPPoE, sélectionnez le port de réseau
étendu à connecter sous Port de réseau étendu et sessions, dans la liste
déroulante Port de réseau étendu.
■ Dans la liste déroulante Session, sélectionnez une session PPPoE.
■ Sous Contrôle manuel, cliquez sur Connecter.

Pour déconnecter manuellement votre compte PPPoE


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, dans le volet droit, dans l'onglet PPPoE, cliquez sur
Déconnecter sous Contrôle manuel.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans le volet droit, dans l'onglet PPPoE, sélectionnez le port de réseau
étendu à déconnecter sous Port de réseau étendu et sessions, dans la
liste déroulante Port de réseau étendu.
■ Dans la liste déroulante Session, sélectionnez une session PPPoE.
■ Sous Contrôle manuel, cliquez sur Déconnecter.
34 Configuration d'une connexion au réseau externe
Configuration de la connexion

IP statique et DNS
Lorsque vous ouvrez un compte auprès d'un FAI, vous pouvez avoir l'option
d'acheter une adresse IP statique (permanente). Cela vous permet de mettre en
place un serveur (comme un serveur Web ou FTP) sur cette adresse, car celle-ci
restera toujours la même. Tous les types de compte (accès à distance ou haut
débit) peuvent avoir une adresse IP statique.
Le boîtier retransmet toutes les requêtes de recherche DNS au serveur DNS
spécifié pour résolution de nom. Le boîtier prend en charge jusqu'à trois
serveurs DNS. Si vous spécifiez plusieurs serveurs DNS, ils sont utilisés l'un
après l'autre. Par exemple, quand le premier serveur est utilisé, la requête
suivante est retransmise au second serveur, etc.
Si votre compte de FAI a une adresse IP statique ou si vous utilisez le boîtier
derrière une autre passerelle de sécurité, sélectionnez IP statique et DNS comme
type de connexion. Vous pouvez spécifier votre adresse IP statique et les
adresses IP des serveurs DNS à utiliser pour la résolution des noms.
Avant de configurer le boîtier pour connexion à une adresse IP statique,
rassemblez les informations suivantes :
■ Adresse IP statique, masque réseau et adresses de la passerelle par défaut
Contactez votre FAI ou votre département informatique pour obtenir ces
informations.
■ Adresses des serveurs DNS
Vous devez spécifier l'adresse IP d'au moins un serveur DNS (et jusqu'à
trois). Contactez votre FAI ou votre département informatique pour obtenir
ces informations. Vous n'avez pas besoin des adresses IP des serveurs DNS
pour les comptes dynamiques ni pour les comptes pour lesquels les adresses
IP sont affectées par un serveur DHCP.
Si vous avez une adresse IP statique avec PPPoE, configurez le boîtier pour
PPPoE.

Pour configurer une adresse IP statique


Vous devez spécifier l'adresse IP statique et l'adresse IP des serveurs DNS à
utiliser. Vous devez indiquer au moins un serveur DNS si vous avez un compte
avec adresse IP statique.
Se reporter à "Onglet IP statique et DNS" à la page 182.

Pour configurer une adresse IP statique


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans le volet droit, dans l'onglet Configuration principale, cliquez sur
IP statique sous Type de connexion.
Configuration d'une connexion au réseau externe 35
Configuration de la connexion

3 Cliquez sur Enregistrer.


4 Pour le modèle 320, procédez comme suit :
■ Dans le volet droit, dans l'onglet IP statique et DNS, saisissez l'adresse
IP souhaitée pour le côté externe (réseau étendu) du boîtier Symantec
Gateway Security 300, sous IP de réseau étendu, dans les zones
Adresse IP.
■ Dans le champ Masque réseau, saisissez le masque réseau.
Ne modifiez cette option que si votre FAI vous le demande.
■ Dans le champ Passerelle par défaut, saisissez l'adresse de la passerelle
de sécurité par défaut.
■ Dans les zones Serveurs de nom de domaine, saisissez l'adresse IP d'au
moins un serveur DNS et jusqu'à trois.
■ Cliquez sur Enregistrer.
5 Pour les modèles 360 et 360R, procédez comme suit :
■ Cliquez sur Adresse IP statique dans la liste déroulante Type de
connexion sous Réseau étendu 1 (externe).
■ Pour utiliser le réseau étendu 2, cliquez sur Normal dans Réseau
étendu 2 (Externe), sous Mode HA.
■ Pour utiliser le réseau étendu 2, cliquez sur Adresse IP statique dans la
liste déroulante Type de connexion sous Réseau étendu 2 (externe).
■ Cliquez sur Enregistrer.
■ Dans le volet droit, dans l'onglet IP statique et DNS, saisissez l'adresse
IP souhaitée pour le côté externe (réseau étendu) du boîtier Symantec
Gateway Security 300, sous IP de réseau étendu 1 ou 2, dans les zones
Adresse IP.
■ Dans le champ Masque de réseau, saisissez le masque réseau.
■ Dans le champ Passerelle par défaut, saisissez l'adresse de la passerelle
de sécurité par défaut.
Le boîtier Symantec Gateway Security renvoie automatiquement à la
passerelle sécurité par défaut tous les paquets qu'il ne sait pas
comment router.
■ Dans les zones Serveurs de nom de domaine, saisissez l'adresse IP d'au
moins un serveur DNS et jusqu'à trois.
6 Cliquez sur Enregistrer.
36 Configuration d'une connexion au réseau externe
Configuration de la connexion

PPTP
Le protocole PPTP (Point-to-Point-Tunneling Protocol – protocole de tunnel
point à point) permet de transférer des données de manière sécurisée d'un client
à un serveur, en créant un tunnel sur un réseau TCP/IP. Le boîtier Symantec
Gateway Security 300 se comporte comme un client d'accès PPTP lorsqu'il se
connecte à un serveur réseau PPTP, se trouvant généralement chez le FAI.
Avant de commencer à configurer PPTP, rassemblez les informations suivantes :
■ Adresse IP du serveur PPTP
Adresse IP du serveur PPTP du FAI.
■ Adresse IP statique
Adresse IP affectée à votre compte.
■ Informations de compte
Nom d'utilisateur et mot de passe nécessaires pour ouvrir une session sur ce
compte.

Pour configurer PPTP


Se reporter à "Onglet PPTP" à la page 188.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, procédez comme suit :
■ Dans le volet droit, dans l'onglet Configuration principale, cliquez sur
PPTP sous Type de connexion.
■ Cliquez sur Enregistrer.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Sous Réseau étendu 1 (externe), cliquez sur PPTP dans la liste
déroulante Type de connexion.
■ Pour utiliser le réseau étendu 2, cliquez sur Normal dans Réseau
étendu 2 (Externe), sous Mode HA.
■ Pour utiliser le réseau étendu 2, cliquez sur PPTP dans la liste
déroulante Type de connexion sous Réseau étendu 2 (externe).
■ Cliquez sur Enregistrer.
4 Dans le volet droit, dans l'onglet PPTP, sous Connexion, cochez Connexion
à la demande.
5 Dans la zone Délai d'inactivité, saisissez la durée d'inactivité (en minutes)
après laquelle le boîtier doit se déconnecter du compte PPTP.
6 Dans la zone Adresse IP du serveur, saisissez l'adresse IP du serveur PPTP.
Configuration d'une connexion au réseau externe 37
Configuration de la connexion

7 Si votre compte Internet PPTP a une adresse IP statique, saisissez l'adresse


qui vous a été affectée dans la zone Adresse IP statique.
Sinon, laissez la valeur 0.
8 Sous Informations utilisateur, saisissez le nom d'utilisateur de votre compte
dans la zone Nom d'utilisateur.
9 Dans la zone Mot de passe, saisissez le mot de passe de votre compte.
10 Dans la zone Confirmation du mot de passe, saisissez le mot de passe de
votre compte.
11 Cliquez sur Enregistrer.

Vérification de la connexion PPTP


Une fois le boîtier configuré pour utiliser le compte PPTP, vérifiez qu'il se
connecte correctement.

Pour vérifier la connexion PPTP


Se reporter à "Onglet PPTP" à la page 188.
Se reporter à "Onglet Etat" à la page 166.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, dans le volet droit, dans l'onglet PPTP, cliquez sur
Connecter sous Contrôle manuel.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans le volet droit, dans l'onglet PPTP, sélectionnez le port de réseau
étendu à connecter sous Port de réseau étendu, dans la liste déroulante
Port de réseau étendu.
■ Sous Contrôle manuel, cliquez sur Connecter.
4 Dans le volet gauche, cliquez sur Consignation/suivi.
L'état de la connexion est affiché dans le volet droit, dans l'onglet Etat, sous
Réseau étendu 1 (port externe).
Si vous n'êtes pas connecté, vérifiez que vous avez correctement spécifié le nom
d'utilisateur et le mot de passe. Si vous n'êtes toujours pas connecté, vérifiez les
informations et l'activité de votre compte d'accès auprès du FAI.
38 Configuration d'une connexion au réseau externe
Configuration de la connexion

Connexion manuelle à votre compte PPTP


Vous pouvez vous connecter ou vous déconnecter manuellement de votre
compte PPTP. Pour les modèles 360 et 360R, vous pouvez contrôler
manuellement la connexion pour chaque port de réseau étendu. Cette option est
utile pour résoudre les problèmes de connexion.

Pour vous connecter manuellement à votre compte PPTP


Pour le modèle 320, vous pouvez vous connecter et vous déconnecter
manuellement de votre compte PPTP. Sur les modèles 360 et 360R, vous devez
sélectionner le port de réseau étendu à contrôler, puis le connecter ou le
déconnecter.
Se reporter à "Onglet PPTP" à la page 188.

Pour vous connecter manuellement à votre compte PPTP


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, dans le volet droit, dans l'onglet PPTP, cliquez sur
Connecter sous Contrôle manuel.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans le volet droit, dans l'onglet PPTP, sélectionnez le port de réseau
étendu à connecter sous Port de réseau étendu, dans la liste déroulante
Port de réseau étendu.
■ Sous Contrôle manuel, cliquez sur Connecter.

Pour déconnecter manuellement votre compte PPTP


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, dans le volet droit, dans l'onglet PPTP, cliquez sur
Déconnecter sous Contrôle manuel.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans le volet droit, dans l'onglet PPTP, sélectionnez le port de réseau
étendu à connecter sous Port de réseau étendu, dans la liste déroulante
Port de réseau étendu.
■ Sous Contrôle manuel, cliquez sur Déconnecter.
Configuration d'une connexion au réseau externe 39
Configuration de la connexion

Comptes d'accès à distance


Il existe deux types de comptes d'accès à distance : analogique et RNIS. L'accès
analogique utilise un modem branché sur une ligne téléphonique ordinaire
(connecteur RJ-11). RNIS est un type d'accès à distance numérique utilisant une
ligne téléphonique spéciale.
Sur le boîtier, vous pouvez utiliser un compte d'accès à distance comme
connexion principale à Internet, ou comme connexion de secours pour votre
compte d'accès dédié. En mode sauvegarde, le boîtier appelle automatiquement
le FAI si l'accès dédié ne fonctionne plus. Le boîtier rebascule sur l'accès dédié
lorsque celui-ci est redevenu stable ; le basculement de la connexion principale à
l'accès par modem ou de l'accès par modem à la connexion principale peut
prendre de 30 à 60 secondes.
Vous pouvez configurer un compte d'accès à distance principal et un compte
d'accès à distance de secours. Vous pouvez configurer un compte d'accès à
distance de secours, qui sera utilisé si le compte d'accès dédié principal ne
fonctionne plus. Commencez par connecter le modem au boîtier. Ensuite,
utilisez SGMI pour configurer le compte d'accès à distance.
Vous pouvez aussi connecter/déconnecter manuellement votre compte à tout
moment.
Vous devez utiliser un modem externe pour les comptes d'accès à distance.
Le modem (y compris les modems RNIS) doit être branché sur le port série du
boîtier, qui se trouve à l'arrière du boîtier. La Figure 3-3 montre le port série du
panneau arrière du modèle 320.

Figure 3-3 Panneau arrière du boîtier Symantec Gateway Security modèle 320

Port série

La Figure 3-4 montre le port série du panneau arrière des modèles 360 et 360R.

Figure 3-4 Panneau arrière des boîtiers Symantec Gateway Security modèles
360 et 360R
Port série
40 Configuration d'une connexion au réseau externe
Configuration de la connexion

Avant de configurer le boîtier pour utiliser votre compte d'accès à distance


comme connexion principale ou de secours, vous devez rassembler les
informations et les éléments suivants :

Informations de compte Nom d'utilisateur (qui peut différer du nom du compte)


et mot de passe du compte d'accès à distance.

Numéros d'appel Vous devez spécifier au moins un numéro de téléphone


(et jusqu'à trois) pour le compte d'accès à distance.

Adresse IP statique Certains FAI affectent des adresses IP statiques à leurs


comptes (ou vous avez peut-être acheté une adresse IP
statique).

Modem/câbles Un modem externe et un câble série pour connecter le


modem au port série à l'arrière du boîtier.

Documentation du modem Vous pouvez avoir besoin de consulter la documentation de


votre modem pour y rechercher des commandes ou des
informations sur votre modèle particulier.

Pour configurer les comptes d'accès à distance


Commencez par connecter le modem au boîtier. Ensuite, utilisez SGMI pour
configurer le compte d'accès à distance.

Remarque : Si la passerelle de votre FAI bloque les requêtes ICMP (comme PING),
dans l'onglet Configuration principale et si vous laissez vide la zone URL ou
Adresse IP indicateur de connexion, le boîtier envoie une requête PING à la
passerelle par défaut pour vérifier le fonctionnement de la connexion.

Se reporter à "Onglet Sauvegarde à distance et analogique/RNIS" à la page 184.

Pour connecter votre modem


1 Branchez une extrémité du câble série à votre modem.
2 Branchez l'autre extrémité du câble série au port série du panneau arrière
du boîtier.
3 Si le modem nécessite une source d'alimentation externe, branchez-le sur
le secteur.
4 Allumez le modem.
Configuration d'une connexion au réseau externe 41
Configuration de la connexion

Pour configurer votre compte d'accès à distance principal


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans le volet droit, dans l'onglet Configuration principale, sous Type de
connexion, cliquez sur Analogique/RNIS.
3 Cliquez sur Enregistrer.
4 Dans l'onglet Sauvegarde à distance et analogique/RNIS, sous Informations
de compte FAI, procédez comme suit :

Nom d'utilisateur Saisissez le nom d'utilisateur du compte.

Mot de passe Saisissez le mot de passe du compte.

Confirmation du mot Saisissez de nouveau le mot de passe du compte.


de passe

Téléphone de Saisissez le numéro de téléphone à composer pour l'accès à


connexion 1 distance.

Téléphone de En option, vous pouvez saisir un numéro de téléphone de


connexion 2 secours pour l'accès à distance.

Téléphone de En option, vous pouvez saisir un numéro de téléphone de


connexion 3 secours pour l'accès à distance.

5 Sous Paramètres de modem, procédez comme suit :

Modèle Sélectionnez le modèle de votre modem.

Vitesse de ligne Sélectionnez la vitesse à laquelle vous voulez vous connecter.

Type de Sélectionnez le type de numérotation.


numérotation

Chaîne de Saisissez une chaîne de renumérotation.


renumérotation

Chaîne Saisissez une chaîne d'initialisation.


d'initialisation
Si vous sélectionnez un type de modem autre que le type
Autre, la chaîne d'initialisation est fournie. Si vous
sélectionnez Autre, vous devez saisir une chaîne
d'initialisation.

Type de ligne Sélectionnez le type de ligne téléphonique.


42 Configuration d'une connexion au réseau externe
Configuration de la connexion

Chaîne de Saisissez une chaîne de numérotation.


numérotation

Délai d'inactivité Saisissez la durée (en minutes) d'inactivité après laquelle la


connexion doit être fermée en cas d'inactivité.

6 Cliquez sur Enregistrer.


Une fois que vous avez cliqué sur Enregistrer, le boîtier redémarre. La connexion
réseau est interrompue.

Pour activer le compte d'accès à distance de secours


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Sauvegarde à distance et analogique/RNIS, sous Mode
sauvegarde, procédez comme suit :
■ Cochez Activer le mode sauvegarde.
■ Dans la zone URL ou adresse IP indicateur de connexion, saisissez
l'adresse IP ou le nom d'hôte du site à utiliser pour vérifier la
connexion.
3 Sous Paramètres de modem, cliquez sur Enregistrer.
4 Effectuez la procédure de la section "Comptes d'accès à distance" à la
page 39.

Contrôle manuel de votre compte d'accès à distance


Vous pouvez forcer le boîtier à connecter/déconnecter votre compte d'accès à
distance. Cette option est utile pour vérifier le fonctionnement de la connexion.

Pour contrôler manuellement le compte d'accès à distance


Se reporter à "Onglet Sauvegarde à distance et analogique/RNIS" à la page 184.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour connecter le compte d'accès à distance, sous Sauvegarde à distance et
analogique/RNIS, sous Contrôle manuel, cliquez sur Numéroter.
3 Pour déconnecter le compte d'accès à distance, sous Sauvegarde à distance
et analogique/RNIS, sous Contrôle manuel, cliquez sur Raccrocher.
Configuration d'une connexion au réseau externe 43
Configuration de la connexion

Vérification de la connexion d'un compte d'accès à distance


Une fois le boîtier configuré pour utiliser le compte d'accès à distance, vérifiez
qu'il se connecte correctement.

Pour vérifier la connexion d'un compte d'accès à distance


Se reporter à "Onglet Sauvegarde à distance et analogique/RNIS" à la page 184.
Se reporter à "Onglet Etat" à la page 166.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans le volet droit, dans l'onglet Sauvegarde à distance et analogique/RNIS,
sous Contrôle manuel, cliquez sur Numéroter.
3 Dans le volet gauche, cliquez sur Consignation/suivi.
4 L'état de la connexion est affiché dans le volet droit, dans l'onglet Etat, sous
Réseau étendu 1 (port externe), en regard de Etat connexion.
Si vous n'êtes pas connecté, vérifiez les éléments suivants :
■ Vous avez correctement spécifié le nom d'utilisateur et le mot de passe.
■ La chaîne d'initialisation est correcte pour votre modèle de modem.
Consultez la documentation de votre modem pour plus d'informations.
■ Les câbles sont correctement branchés.
■ La prise téléphonique à laquelle le modem est raccordé fonctionne
correctement.
■ Vérifiez les informations et l'activité de votre compte d'accès auprès du FAI.

Contrôle de l'état du compte d'accès à distance


Vous pouvez consulter et actualiser l'état de votre connexion d'accès à distance.

Pour contrôler l'état du compte d'accès à distance


Se reporter à "Onglet Sauvegarde à distance et analogique/RNIS" à la page 184.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Sauvegarde à distance et analogique/RNIS, faites défiler la
fenêtre jusqu'à Etat analogique.
3 Pour actualiser l'état du compte d'accès à distance, dans l'onglet
Sauvegarde à distance et analogique/RNIS, cliquez sur Actualiser sous
Paramètres de modem.
44 Configuration d'une connexion au réseau externe
Configuration des paramètres de connexion avancés

Configuration des paramètres de connexion


avancés
Les paramètres de connexion avancés permettent de contrôler plus précisément
les paramètres de connexion. Si votre connexion utilise DHCP, vous pouvez
configurer les paramètres de renouvellement. Pour les comptes PPPoE, vous
pouvez configurer les demandes d'écho. Pour tous les types de connexion, vous
pouvez spécifier la taille de paquet en définissant le paramètre MTU (Maximum
Transfer Unit - taille maximale des paquets transférés).

Paramètres DHCP avancés


Si vous avez sélectionné DHCP comme type de connexion, vous pouvez indiquer
au boîtier quand il doit envoyer une requête de renouvellement (qui indique au
FAI d'affecter une adresse IP au boîtier).
Vous pouvez à tout moment indiquer au boîtier de demander une nouvelle
adresse IP, en imposant un renouvellement DHCP. N'utilisez cette option que si
des techniciens du support technique Symantec vous le demandent.

Pour configurer les paramètres DHCP avancés


Vous pouvez configurer le moment du renouvellement d'inactivité et imposer
manuellement l'envoi d'une requête de renouvellement DHCP.
Se reporter à "Onglet Avancé" à la page 193.

Pour configurer le renouvellement d'inactivité


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Avancé, saisissez la durée (en minutes) après laquelle une
demande de requête de renouvellement doit être envoyée sous Paramètres
de réseau facultatifs, dans la zone Renouvellement d'inactivité.
3 Cliquez sur Enregistrer.

Pour imposer un renouvellement DHCP


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, cliquez sur Forcer le renouvellement dans l'onglet
Avancé, sous Paramètres de réseau facultatifs.
Configuration d'une connexion au réseau externe 45
Configuration des paramètres de connexion avancés

3 Pour les modèles 360 et 360R, procédez comme suit :


■ Pour effectuer le renouvellement sur le port de réseau étendu 1, cliquez
sur Renouveler réseau étendu 1 dans l'onglet Avancé, sous Paramètres
de réseau facultatifs.
■ Pour effectuer le renouvellement sur le port de réseau étendu 2, cliquez
sur Renouveler réseau étendu 2 dans l'onglet Avancé, sous Paramètres
de réseau facultatifs.

Paramètres PPP avancés


Vous pouvez configurer les demandes d'écho envoyées par le boîtier pour
vérifier qu'il est connecté au compte PPPoE.

Pour configurer les paramètres PPP


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Avancé, sous Paramètres PPP, procédez comme suit :
■ Dans la zone Délai d'inactivité, saisissez la durée (en secondes) entre les
demandes d'écho.
■ Dans la zone Tentatives, saisissez le nombre de tentatives de connexion
que le boîtier doit effectuer.
3 Cliquez sur Enregistrer.

Avertissement : Pour réinitialiser les paramètres de demande d'écho, cliquez


sur Restaurer paramètres par défaut. Cette opération réinitialise aussi les
paramètres de MTU et de renouvellement d'inactivité DHCP sur leur valeur
par défaut.

MTU (Maximum Transmission Unit)


Vous pouvez spécifier la taille maximale des paquets qui arrivent sur le boîtier
et en sortent pour chaque port de réseau étendu. Cela est utile si un ordinateur
ou un autre boîtier présent sur l'itinéraire de transmission exige une valeur de
MTU inférieure. Dans le cas des modèles 360 et 360R, vous pouvez spécifier une
valeur de MTU différente pour chaque port.
46 Configuration d'une connexion au réseau externe
Configuration de DNS dynamique

Pour spécifier la taille de MTU


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans le volet droit, dans l'onglet Avancé, saisissez la taille de MTU
souhaitée sous Paramètres de réseau facultatifs, dans la zone Port de réseau
étendu.
3 Cliquez sur Enregistrer.

Avertissement : Pour réinitialiser la taille de MTU, cliquez sur Restaurer


paramètres par défaut. Cette opération réinitialise aussi les informations de
demande d'écho et les paramètres de renouvellement d'inactivité DHCP sur leur
valeur par défaut.

Configuration de DNS dynamique


Le boîtier Symantec Gateway Security 300 peut utiliser un service DNS
dynamique pour mapper les adresses IP dynamiques à un nom de domaine
auquel les utilisateurs pourront se connecter.
Si votre adresse IP vous est affectée dynamiquement par votre FAI, les services
DNS dynamiques permettent d'utiliser votre propre nom de domaine (par
exemple monsite.com) ou d'utiliser leur nom de domaine et votre propre nom de
sous-domaine pour vous connecter à vos services, comme une passerelle VPN,
un site Web ou un serveur FTP. Par exemple, si vous configurez un serveur Web
virtuel et que votre FAI vous affecte une adresse IP différente à chaque fois que
vous vous connectez au serveur, vos utilisateurs pourront quand même toujours
accéder à www.monsite.com.
Le boîtier prend en charge deux types de services DNS dynamiques : standard et
TZO. Vous pouvez configurer chaque service en spécifiant les informations du
compte ou désactiver complètement le DNS dynamique.
Consultez les Notes de version de Symantec Gateway Security 300 pour la liste
des services pris en charge.
Lorsque vous créez un compte auprès de TZO, vous recevez les informations
suivantes pour vous connecter à votre compte et l'utiliser : clé (mot de passe),
adresse électronique (nom d'utilisateur) et domaine. Rassemblez ces
informations avant de débuter la configuration du boîtier pour TZO. Pour
plus d'informations sur le service de DNS dynamique TZO, visitez le site Web
http://www.tzo.com.
Configuration d'une connexion au réseau externe 47
Configuration de DNS dynamique

Pour utiliser un service DNS standard, rassemblez les informations suivantes :


■ Informations de compte
Nom d'utilisateur (qui peut différer du nom du compte) et mot de passe du
compte du service DNS dynamique.
■ Serveur
Adresse IP ou nom d'hôte du serveur du service DNS dynamique.
Par exemple, members.dyndns.org.

Pour configurer le service DNS dynamique


Pour le modèle 320, vous pouvez configurer le port de réseau étendu pour qu'il
utilise un service DNS dynamique. Pour les modèles 360 et 360R, vous pouvez
configurer le port de réseau étendu 1, le port de réseau étendu 2 ou les deux pour
utiliser un service DNS dynamique.
Se reporter à "Onglet DNS dynamique" à la page 189.
Se reporter à "Onglet Configuration principale" à la page 180.

Pour configurer le service DNS dynamique TZO


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet DNS dynamique, cliquez sur TZO sous Type de service.
3 Effectuez l'une des opérations suivantes :
■ Pour le modèle 320, passez à l'étape 4.
■ Pour les modèles 360 et 360R, sélectionnez le port de réseau étendu
pour lequel vous voulez configurer TZO, dans la liste déroulante Port de
réseau étendu.
4 Sous Service DNS dynamique TZO, procédez comme suit :
■ Dans la zone Clé, saisissez la clé que TZO vous a envoyée à la création
du compte.
■ Dans la zone Adresse électronique, saisissez l'adresse de courrier
électronique que vous avez spécifiée à la création du compte TZO.
■ Dans la zone Domaine, indiquez le nom de domaine géré par TZO.
Par exemple, saisissez marketing.monsite.com.
5 Cliquez sur Enregistrer.
48 Configuration d'une connexion au réseau externe
Configuration de DNS dynamique

Pour configurer un service DNS standard


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet DNS dynamique, cliquez sur Standard sous Type de service.
3 Effectuez l'une des opérations suivantes :
■ Pour le modèle 320, passez à l'étape 4.
■ Pour les modèles 360 et 360R, sélectionnez le port de réseau étendu
pour lequel vous voulez configurer le service DNS dynamique dans la
liste déroulante Port de réseau étendu.
4 Sous Service standard, procédez comme suit :

Nom d'utilisateur Saisissez le nom d'utilisateur du compte du service DNS


dynamique.

Mot de passe Saisissez le mot de passe du compte du service DNS


dynamique.

Confirmation du mot Saisissez de nouveau le mot de passe du compte de service


de passe DNS dynamique.

Serveur Saisissez l'adresse IP ou le nom DNS du serveur DNS


dynamique.

Nom de l'hôte Saisissez le nom d'hôte à utiliser.

5 En option, sous Paramètres facultatifs standard, procédez comme suit :


■ Pour accéder à votre réseau par *.votrehote.votredomaine.com, où * est
un CNAME comme FTP ou www, votrehote est votre nom d'hôte et
votredomaine.com est votre nom de domaine, cochez l'option
Caractères génériques.
■ Pour utiliser un échangeur de courrier de secours, cochez l'option
Echangeur de courrier de secours.
■ Dans la zone Echangeur de courrier, saisissez le nom de domaine de
l'échangeur de courrier.
6 Cliquez sur Enregistrer.
Configuration d'une connexion au réseau externe 49
Configuration de DNS dynamique

Mises à jour imposées de DNS dynamique


Lorsque vous imposez une mise à jour de DNS dynamique, le boîtier envoie son
adresse IP, le nom d'hôte et le domaine au service. N'utilisez cette option que si
des techniciens du support technique Symantec vous le demandent.
Dans le cas du modèle 320, vous pouvez imposer une mise à jour de DNS
dynamique pour le port de réseau étendu. Dans le cas des modèles 360 et 360R,
vous pouvez imposer une mise à jour de DNS dynamique pour le port de réseau
étendu 1, pour le port de réseau étendu 2 ou pour les deux.

Pour imposer une mise à jour de DNS dynamique


Se reporter à "Onglet DNS dynamique" à la page 189.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, dans l'onglet DNS dynamique, cliquez sur Mettre à jour
sous Type de service.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans l'onglet DNS dynamique, sous Type de service, sélectionnez le
port de réseau étendu pour lequel vous voulez configurer TZO dans la
liste déroulante Port de réseau étendu.
■ Cliquez sur Mettre à jour.

Désactivation du service DNS dynamique


Vous pouvez désactiver le service DNS dynamique si vous hébergez votre propre
domaine. Pour les modèles 360 et 360R, vous pouvez désactiver le service DNS
dynamique pour les deux ports de réseau étendu.

Pour désactiver le service DNS dynamique


Se reporter à "Onglet DNS dynamique" à la page 189.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, dans l'onglet DNS dynamique, cliquez sur Désactiver
sous Type de service.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Dans l'onglet DNS dynamique, sélectionnez le port de réseau étendu
pour lequel vous voulez désactiver le service DNS dynamique sous
Type de service, dans la liste déroulante Port de réseau étendu.
■ Cliquez sur Désactiver.
4 Cliquez sur Enregistrer.
50 Configuration d'une connexion au réseau externe
Configuration du routage

Configuration du routage
Si vous installez des boîtiers Symantec Gateway Security 300 sur un réseau
comportant plus d'un routeur connecté directement, vous devez spécifier à quel
routeur le trafic doit être envoyé. Le boîtier prend en charge deux types de
routage : dynamique et statique. Le routage dynamique choisit la meilleure
route pour les paquets et envoie les paquets au routeur approprié. Le routage
statique envoie les paquets au routeur que vous spécifiez. Ces informations de
routage sont stockées dans une table de routage.
Le routage dynamique s'administre à l'aide du protocole RIP v2. Lorsque le
routage dynamique est activé, le boîtier écoute et envoie les requêtes RIP sur les
interfaces interne (réseau local) et externe (réseau étendu). Le protocole RIP v2
met à jour la table de routage en se basant sur les informations issues de sources
non sûres : vous devez donc utiliser uniquement le routage dynamique pour les
passerelles d'intranet ou les passerelles départementales, pour lesquelles vous
pouvez vous appuyer sur des mises à jour de routage issues de sources sûres.
Le routage améliore la circulation du trafic lorsque vous avez plusieurs routeurs
sur un réseau. Configurez le routage dynamique ou statique selon vos besoins.

Activation du routage dynamique


Vous n'avez pas besoin d'informations de routage si vous utilisez le routage
dynamique.

Pour activer le routage dynamique


Se reporter à "Onglet Routage" à la page 192.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Routage, cochez la case Activer RIP v2 sous Routage
dynamique.
3 Cliquez sur Enregistrer.

Configuration des entrées de routage statique


Avant d'ajouter des entrées de routage statique à la table de routage, rassemblez
les informations suivantes : adresse IP de destination, masque réseau et adresse
de la passerelle pour le routeur vers lequel vous voulez que le trafic soit routé.
Contactez votre département informatique pour obtenir ces informations.
Vous pouvez ajouter de nouvelles entrées de routage, modifier ou supprimer des
entrées existantes, ou consulter les entrées.
Configuration d'une connexion au réseau externe 51
Configuration du routage

Remarque : Si NAT est activé, seulement six routes s'affichent dans la liste de
routage. Lorsque NAT est désactivé, toutes les entrées de routage apparaissent
dans la liste.

Pour configurer les entrées de routage statique


Vous pouvez ajouter, modifier ou supprimer une entrée de routage ou afficher la
liste de toutes les entrées existantes.
Se reporter à "Onglet Routage" à la page 192.

Pour ajouter une entrée de routage


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Routage, sous Routes statiques, procédez comme suit :

IP de destination Saisissez l'adresse IP à laquelle les paquets doivent être


envoyés.

Masque réseau Saisissez le masque réseau du routeur auquel les paquets


doivent être envoyés.

Passerelle Saisissez l'adresse IP de l'interface à laquelle les paquets


doivent être envoyés.

Interface Sélectionnez l'interface depuis laquelle le trafic est envoyé.

Métrique Saisissez un nombre représentant l'ordre dans lequel vous


voulez que l'entrée soit traitée. Par exemple, pour traiter
l'entrée en troisième, saisissez 3.

3 Cliquez sur Ajouter.

Pour modifier une entrée de routage


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Routage, sélectionnez une entrée de routage sous Routes
statiques, dans la liste déroulante Entrée de routage.
3 Sous Routes statiques, modifiez les informations des champs.
4 Cliquez sur Mettre à jour.
52 Configuration d'une connexion au réseau externe
Configuration des paramètres avancés de Réseau étendu/FAI

Pour supprimer une entrée de routage


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Routage, sélectionnez une entrée sous Routes statiques, dans
la liste déroulante Entrée de routage.
3 Cliquez sur Supprimer.

Pour afficher la table de routage


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Routage, faites défiler la page jusqu'en bas.

Configuration des paramètres avancés de Réseau


étendu/FAI
Vous pouvez définir des paramètres de connexion avancés, comme une
passerelle DNS, des paramètres HA/LB (haute disponibilité/équilibrage de
charge), de liaison SMTP et de repli. Vous pouvez aussi définir des paramètres
réseau facultatifs, qui identifient le boîtier sur un réseau.

Remarque : Les modèles 320 ont un port de réseau étendu et ne prennent pas en
charge les paramètres HA/LB et de consolidation de bande passante.

Haute disponibilité
Vous pouvez configurer les paramètres de haute disponibilité pour chaque port
de réseau étendu des trois manières suivantes : Normal, Désactivé ou
Sauvegarde. Le Tableau 3-4 décrit chaque mode.

Tableau 3-4 Modes haute disponibilité

Mode Description

Normal Les paramètres d'équilibrage de charge s'appliquent au port


lorsqu'il est activé et opérationnel.

Désactivé Le port de réseau étendu n'est pas utilisé.

Sauvegarde Le port de réseau étendu ne laisse passer le trafic que si l'autre


port de réseau étendu ne fonctionne pas.

Par défaut, le port de réseau étendu 1 est en mode Normal et le port de réseau
étendu 2 est en mode Désactivé.
Configuration d'une connexion au réseau externe 53
Configuration des paramètres avancés de Réseau étendu/FAI

La consolidation de bande passante permet de combiner le trafic traversant le


port de réseau étendu 1 et le port de réseau étendu 2 pour augmenter la bande
passante totale à la disposition des clients. Pour les transferts de données sur le
réseau étendu, la consolidation de bande passante peut aller jusqu'à doubler le
débit sur le réseau étendu (selon les caractéristiques du trafic).

Pour configurer les paramètres de haute disponibilité


Se reporter à "Onglet Configuration principale" à la page 180.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Configuration principale, procédez comme suit :
■ Pour configurer le port de réseau étendu 1, sélectionnez un mode haute
disponibilité sous Réseau étendu 1.
■ Pour configurer le port de réseau étendu 2, sélectionnez un mode haute
disponibilité sous Réseau étendu 2.
3 Cliquez sur Enregistrer.

Equilibrage de charge
Les boîtiers Symantec Gateway Security 300, modèles 360 et 360R, disposent
de deux ports de réseau étendu. Sur ces boîtiers, vous pouvez configurer les
paramètres de haute disponibilité et d'équilibrage de charge (HA/LB) pour les
deux ports de réseau étendu.
Vous pouvez définir le pourcentage de paquets qui doivent être transmis
par chacun des ports de réseau étendu. Vous devez seulement définir un
pourcentage pour le réseau étendu 1 ; le reste des paquets sera transmis par le
port de réseau étendu 2. Si la connexion de l'un des ports de réseau étendu est
lente, réduisez le pourcentage correspondant à ce port de réseau étendu pour
améliorer les performances.

Pour configurer l'équilibrage de charge


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Avancé, spécifiez le pourcentage de trafic devant passer par le
port de réseau étendu 1 sous Equilibrage de charge, dans la zone Charge
réseau étendu 1.
3 Cliquez sur Enregistrer.
54 Configuration d'une connexion au réseau externe
Configuration des paramètres avancés de Réseau étendu/FAI

Liaison SMTP
Utilisez la liaison SMTP lorsque vous avez deux connexions à Internet utilisant
deux FAI différents sur deux ports de réseau étendu différents. Cette fonction
permet de s'assurer que le courrier électronique envoyé par un client passe par
le port de réseau étendu associé à votre serveur de courrier.
Si le serveur SMTP se trouve sur le même sous-réseau qu'un des ports de réseau
étendu, la passerelle de sécurité lie automatiquement le serveur SMTP à ce port
de réseau étendu et vous n'avez aucune information de liaison à spécifier.

Pour configurer la liaison SMTP


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Avancé, sélectionnez une option de liaison sous Equilibrage de
charge, dans la liste déroulante Lier SMTP au port de réseau étendu.
3 Sous Passerelle DNS, cliquez sur Enregistrer.

Liaison à d'autres protocoles


Vous pouvez utiliser la fonction de liaison du boîtier pour lier d'autres types
de trafic. Pour cela, vous devez ajouter une entrée de routage statique pour
l'adresse IP du serveur de destination, en l'associant à un port de réseau étendu
spécifié.
Se reporter à "Configuration du routage" à la page 50.

Repli
Vous pouvez configurer le boîtier pour qu'il teste périodiquement la connexion
afin de vérifier que la liaison est disponible. Après le délai spécifié (par exemple
10 secondes), le boîtier envoie une requête PING à l'URL que vous avez spécifiée
dans la zone Indicateur d'activité. Si vous ne spécifiez aucun Indicateur
d'activité, la passerelle par défaut est utilisée.

Remarque : Lorsque vous choisissez l'URL à vérifier, choisissez un nom DNS ou


une adresse IP pour laquelle vous êtes sûr qu'une réponse sera renvoyée, sinon
vous risquez de recevoir une indication erronée de connexion non disponible.
Configuration d'une connexion au réseau externe 55
Configuration des paramètres avancés de Réseau étendu/FAI

Pour le modèle 320, lorsque le port de réseau étendu n'a plus de connexion,
la passerelle de sécurité bascule sur le port série sur lequel le modem est
connecté. Pour les modèles 360 et 360R, si l'un des deux ports de réseau étendu
n'a plus de connexion, la passerelle de sécurité bascule sur le deuxième port
de réseau étendu. Si les deux ports de réseau étendu n'ont plus de connexion,
la passerelle de sécurité bascule sur le port série.
Si une ligne est physiquement déconnectée, elle est considérée inactive et
le boîtier tente de router le trafic vers le port série ou vers l'autre port de
réseau étendu.
Si le câble n'est pas physiquement déconnecté, le boîtier vérifie la ligne toutes
les cinq secondes pour déterminer si elle est active. Si la ligne n'a plus de
connexion, elle a le statut déconnecté dans l'onglet Consignation/suivi > Etat
et une autre route est recherchée pour le trafic.
Consultez la section "Comptes d'accès à distance" à la page 39 pour configurer
le repli sur un compte d'accès à distance. Consultez la section "Connexion
manuelle au compte PPPoE" à la page 33 pour configurer une demande d'écho
pour les comptes utilisant PPP.

Pour configurer le repli


Se reporter à "Onglet Configuration principale" à la page 180.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour configurer un indicateur d'activité pour le réseau étendu 1, dans
l'onglet Configuration principale, saisissez l'adresse IP ou le nom d'hôte
du serveur auquel les paquets doivent être envoyés sous Réseau étendu 1
(externe), dans la zone Serveur indicateur de connexion.
3 Pour configurer un indicateur d'activité pour le réseau étendu 2, saisissez
l'adresse IP ou le nom d'hôte du serveur auquel les paquets doivent être
envoyés dans l'onglet Configuration principale, sous Réseau étendu 2
(externe), dans la zone Serveur indicateur de connexion.
4 Cliquez sur Enregistrer.

Passerelle DNS
Vous pouvez spécifier une passerelle DNS à utiliser pour la résolution des noms
locaux et distants sur votre VPN. Le boîtier peut utiliser une passerelle DNS pour
la résolution des noms locaux et distants sur votre VPN (passerelle à passerelle
ou client à passerelle).
Une passerelle DNS de secours peut aussi être spécifiée. La passerelle DNS gère
la résolution des noms ; si elle devient inaccessible, la passerelle DNS de secours
(il s'agit généralement d'une passerelle DNS chez votre FAI) peut prendre
le relais.
56 Configuration d'une connexion au réseau externe
Configuration des paramètres avancés de Réseau étendu/FAI

Pour configurer une passerelle DNS


Vous pouvez configurer une passerelle DNS principale et une de secours.
Se reporter à "Onglet Avancé" à la page 193.

Pour configurer une passerelle DNS


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Avancé, saisissez l'adresse IP de la passerelle DNS sous
Passerelle DNS, dans les zones Passerelle DNS.
3 Cliquez sur Enregistrer.

Pour configurer une passerelle DNS de secours


1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Dans l'onglet Avancé, sous Passerelle DNS, cochez Activer la sauvegarde
de passerelle DNS.
3 Cliquez sur Enregistrer.

Paramètres réseau facultatifs


Les paramètres réseau facultatifs permettent d'identifier le boîtier sur le réseau.
Si vous prévoyez de vous connecter à votre boîtier en utilisant son nom ou d'y
faire référence par son nom, vous devez configurer ces paramètres.
Certains FAI effectuent l'authentification par l'adresse physique (MAC) de votre
port Ethernet. Cela est fréquent pour les services d'accès haut débit par le câble
(DHCP). Vous pouvez "cloner" l'adresse de l'adaptateur de votre ordinateur pour
vous connecter à votre FAI avec votre boîtier Symantec Gateway Security 300.
Cette opération est appelée clonage ou masquage MAC.
Si le boîtier doit jouer le rôle de point d'accès sans fil, les paramètres réseau
facultatifs doivent être configurés. Consultez le Guide de mise en œuvre de
réseau sans fil Symantec Gateway Security 300.
Pour le modèle 320, vous pouvez configurer les paramètres pour le port de
réseau étendu. Pour les modèles 360 et 360R, vous pouvez configurer les
paramètres réseau pour l'un des deux ports de réseau étendu ou pour les deux.
Configuration d'une connexion au réseau externe 57
Configuration des paramètres avancés de Réseau étendu/FAI

Avant de commencer à configurer les paramètres réseau facultatifs, vous devez


rassembler les informations suivantes :

Nom d'hôte Nom du boîtier. Par exemple, marketing.

Nom de domaine Nom par lequel vous désignez le boîtier sur Internet. Par exemple,
monsite.com. Si le nom d'hôte est marketing, le boîtier sera
marketing.monsite.com.

Adresse MAC Adresse physique du port de réseau étendu du boîtier. Si vous


utilisez le clonage MAC, vous devez déterminer l'adresse MAC que
votre FAI s'attend à recevoir à la place de l'adresse du boîtier.

Pour configurer les paramètres réseau facultatifs


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Réseau étendu/FAI.
2 Pour le modèle 320, procédez comme suit :
■ Dans le volet droit, dans l'onglet Configuration principale, saisissez
un nom d'hôte sous Paramètres de réseau facultatifs, dans la zone
Nom d'hôte.
Les noms d'hôte et de domaine sont sensibles à la casse.
■ Dans la zone Nom de domaine, saisissez le nom de domaine du boîtier.
■ Dans les zones Adresse MAC, saisissez l'adresse de l'adaptateur réseau
(MAC) du réseau étendu cloné.
3 Pour les modèles 360 et 360R, procédez comme suit :
■ Pour configurer le réseau étendu 1 ou le réseau étendu 2, dans le volet
droit, dans l'onglet Configuration principale, procédez comme suit sous
Paramètres de réseau facultatifs, sous Réseau étendu 1 (externe) ou
sous Réseau étendu 2 (externe) :

Zone Nom d'hôte Saisissez un nom d'hôte.


Les noms d'hôte et de domaine sont sensibles
à la casse.

Zone Nom de domaine Saisissez un nom de domaine pour le boîtier.

Zones Adresse MAC Saisissez l'adresse de l'adaptateur réseau


(MAC) du réseau étendu cloné.

4 Cliquez sur Enregistrer.


Une fois que vous avez cliqué sur Enregistrer, le boîtier redémarre. La connexion
réseau est interrompue.
Chapitre 4
Configuration des
connexions internes
Ce chapitre traite des sujets suivants :

■ Configuration des paramètres IP de réseau local

■ Configuration du boîtier en tant que serveur DHCP

■ Configuration des attributions de port


Les paramètres de réseau local permettent de configurer le boîtier Symantec
Gateway Security 300 pour un réseau interne nouveau ou existant.
Chaque boîtier reçoit une adresse IP et un masque réseau par défaut. Vous
pouvez modifier cette adresse IP et ce masque réseau. De cette manière, vous
pouvez spécifier pour le boîtier une adresse IP et un masque réseau appropriés à
votre réseau existant.
Vous pouvez également configurer le boîtier pour qu'il joue le rôle de serveur
DHCP pour vos clients réseau. Cette fonctionnalité affecte dynamiquement des
adresses IP aux clients, ce qui évite d'avoir à configurer chaque client pour qu'il
utilise une adresse IP statique.

Remarque : Le modèle 320 comporte quatre ports de réseau local. Les modèles
360 et 360R comportent huit ports de réseau local. Pour chaque port, vous devez
spécifier des paramètres à l'aide des affectations de port. Ces paramètres sont
utilisés pour configurer des réseaux locaux sécurisés, sans fil et filaires.
60 Configuration des connexions internes
Configuration des paramètres IP de réseau local

Configuration des paramètres IP de réseau local


Chaque boîtier a par défaut l'adresse IP 192.168.0.1 et le masque réseau
255.255.255.0. Vous pouvez configurer le boîtier pour qu'il utilise une autre
adresse IP et un autre masque réseau pour le réseau local. Cela peut être utile
pour configurer un réseau local afin qu'il utilise un sous-réseau unique pour
votre environnement. Par exemple, si votre réseau utilise déjà le sous-réseau
192.168.0.x, vous pouvez modifier l'adresse IP du boîtier en 10.10.10.x, afin de
ne pas avoir à reconfigurer le réseau.
Vous pouvez modifier l'adresse IP et le masque réseau du boîtier à n'importe
quel moment. Par défaut, l'adresse IP est 192.168.0.1 et le masque réseau
255.255.255.0. Vérifiez que le dernier octet de l'adresse IP choisie pour le boîtier
n'a pas la valeur zéro (0).
Vous ne pouvez pas définir l'adresse IP du boîtier sur 192.168.1.0.

Avertissement : Après avoir modifié l'adresse IP de réseau local du boîtier, vous


devez utiliser cette nouvelle adresse avec votre navigateur Web pour accéder à
SGMI. Si vous cliquez sur le bouton Précédent de votre navigateur, il essayera
d'accéder à l'ancienne adresse IP.

Pour modifier l'adresse IP de réseau local du boîtier


Se reporter à "Onglet IP réseau et DHCP" à la page 176.
1 Dans le volet gauche de SGMI, cliquez sur Réseau local.
2 Dans le volet droit, dans l'onglet IP réseau & DHCP, saisissez la nouvelle
adresse IP sous IP réseau unité, dans les zones Adresse IP.
3 Dans le champ Masque réseau, saisissez le nouveau masque réseau.
4 Cliquez sur Enregistrer.

Configuration du boîtier en tant que serveur DHCP


Le protocole DHCP (Dynamic Host Configuration Protocol – protocole de
configuration dynamique d'hôte) alloue des adresses IP locales aux ordinateurs
du réseau local, ce qui évite d'avoir à affecter manuellement une adresse IP à
chaque ordinateur. Cela élimine le besoin d'avoir une adresse IP statique
(permanente) pour chaque ordinateur du réseau local, ce qui est utile si le
nombre d'adresses IP disponibles est limité. Chaque fois qu'un ordinateur
connecté au réseau local est allumé, le serveur DHCP lui affecte une adresse IP
parmi la plage d'adresses disponibles.
Configuration des connexions internes 61
Configuration du boîtier en tant que serveur DHCP

Remarque : Chaque ordinateur client devant utiliser DHCP doit être configuré
pour obtenir automatiquement son adresse IP.

Par défaut, la plage d'adresses IP que le boîtier peut affecter va de 192.168.0.2 à


192.168.0.XXX, XXX étant le nombre de clients à prendre en charge, plus deux.
Par exemple, si le boîtier doit prendre en charge 50 clients, la dernière adresse IP
de la plage sera 192.168.0.52. Le serveur DHCP du boîtier peut affecter des
adresses IP à un maximum de 253 ordinateurs connectés. Si vous modifiez
l'adresse IP du boîtier, ajustez en conséquence la plage d'adresses IP du serveur
DHCP. Se reporter à "Pour modifier la plage d'adresses IP du serveur DHCP" à la
page 62.
Le Tableau 4-1 montre les adresses IP de début et de fin par défaut pour chaque
modèle de boîtier. La plage par défaut est basée sur le nombre recommandé de
clients simultanés pour chaque modèle. Le nombre de clients que vous pouvez
prendre en charge dépend des caractéristiques du trafic.
Tableau 4-1 Plages d'adresses IP par défaut pour le serveur DHCP

Modèle Nombre de clients Adresse IP de début Adresse IP de fin

320 50 192.168.0.2 192.168.0.76

360 75 192.168.0.2 192.168.0.76

Le serveur DHCP prend en charge uniquement les réseaux de classe C.


Les adresses des réseaux de classe C vont de 192.0.0.0 à 223.255.255.0.
Le numéro de réseau correspond aux trois premiers octets, entre 192.0.0
et 223.255.255. Chaque réseau de classe C peut avoir un nombre d'hôtes
correspondant à un octet.
Le boîtier peut être placé sur un réseau de n'importe quelle classe, mais le
serveur DHCP intégré ne prend pas en charge les classes autres que la classe C.
Si vous avez un mélange de clients utilisant DHCP et des adresses IP statiques,
les adresses IP statiques utilisées doivent se trouver en dehors de la plage
d'adresses IP du serveur DHCP. Vous pouvez aussi avoir besoin d'affecter des
adresses IP statiques à certains services. Par exemple, si un serveur Web est
présent sur votre site, vous devrez lui affecter une adresse IP statique.
Le serveur DHCP du boîtier est activé par défaut. Si vous désactivez le serveur
DHCP, chaque client qui se connecte au réseau local doit recevoir une adresse IP
incluse dans la plage. Si vous activez les connexions temporaires sur le boîtier
(utilisé en tant que point d'accès secondaire), le serveur DHCP est désactivé.
62 Configuration des connexions internes
Configuration du boîtier en tant que serveur DHCP

Pour configurer le boîtier en tant que serveur DHCP


Vous pouvez activer ou désactiver le serveur DHCP et définir la plage des
adresses IP que le boîtier affectera aux clients.
Se reporter à "Onglet IP réseau et DHCP" à la page 176.

Pour activer ou désactiver DHCP


1 Dans le volet gauche de SGMI, cliquez sur Réseau local.
2 Dans le volet droit, dans l'onglet IP réseau & DHCP, sous DHCP, procédez
comme suit :
■ Pour configurer le boîtier en tant que serveur DHCP, cochez Activer.
■ Pour désactiver le boîtier en tant que serveur DHCP, cochez
Désactiver.
3 Dans le champ IP de début de plage, saisissez la première adresse IP de
la plage.
4 Dans le champ IP de fin de plage, saisissez la dernière adresse IP de la plage.
5 Cliquez sur Enregistrer.

Pour modifier la plage d'adresses IP du serveur DHCP


1 Dans le volet gauche de SGMI, cliquez sur Réseau local.
2 Dans le volet droit, dans l'onglet IP réseau & DHCP, sous DHCP, procédez
comme suit :
■ Dans le champ IP de début de plage, saisissez la première adresse IP
de la plage.
■ Dans le champ IP de fin de plage, saisissez la dernière adresse IP
de la plage.
3 Cliquez sur Enregistrer.

Contrôle de l'utilisation de DHCP


La table DHCP énumère les adresses affectées aux clients connectés. Vous
pouvez consulter le nom d'hôte, l'adresse IP, l'adresse physique et le statut de
chaque client. Ce tableau peut prendre jusqu'à une heure pour s'actualiser après
un redémarrage du boîtier.

Pour consulter les informations d'utilisation de DHCP


Se reporter à "Menu Réseau local" à la page 175.
◆ Dans le volet gauche de SGMI, cliquez sur Réseau local.
Configuration des connexions internes 63
Configuration des attributions de port

Configuration des attributions de port


Les attributions de port sur la passerelle de sécurité permettent de spécifier
si un port de réseau local se trouve sur un réseau virtuel de confiance ou non.
Les ports de confiance sont destinés aux réseaux qui n'utilisent pas
l'authentification par VPN pour se connecter au réseau local. Les ports non de
confiance sont destinés aux réseaux filaires ou sans fil qui utilisent des clients
VPN pour se connecter aux ressources réseau.
Vous pouvez connecter de nombreux périphériques réseau aux ports de réseau
local : routeurs, commutateurs, machines clientes ou autres boîtiers Symantec
Gateway Security 300. Dans ces cas, choisissez l'option d'attribution de port
standard. Si vous connectez des boîtiers Symantec Gateway Security 300
configurés comme point d'accès sans fil à un port de réseau local, vous pouvez
sécuriser la connexion sans fil en utilisant la technologie VPN. Consultez le
Guide d'implémentation de Symantec Gateway Security 300 sans fil.
Une fois qu'une attribution de port a été définie, les ports qui ne sont pas de
confiance n'autorisent que le trafic VPN crypté, en utilisant des tunnels globaux
vers le boîtier ou des connexions IPsec directes vers les extrémités côté réseau
étendu.

Attribution de port
Lorsque les ports de réseau local sont définis comme standard, le boîtier se
comporte comme un commutateur normal : il retransmet le trafic en fonction de
l'adresse MAC et le trafic n'atteint le moteur de la passerelle de sécurité que s'il
lui est spécifiquement destiné.
Cette option ne prend pas en charge les tunnels VPN client aboutissant au
réseau local. Lorsqu'un port de réseau local est configuré en mode standard,
il n'est pas considéré comme appartenant au réseau virtuel.
Lorsque vous sélectionnez Standard, le trafic VPN n'est pas imposé au
commutateur, c'est-à-dire qu'un réseau privé de confiance est tenu pour acquis.

Pour configurer les attributions de port


Vous pouvez configurer un port de réseau local pour qu'il utilise une attribution
de port spécifique ou bien vous pouvez restaurer les paramètres par défaut
d'un port.
Se reporter à "Onglet Attribution de port" à la page 178.
64 Configuration des connexions internes
Configuration des attributions de port

Pour configurer une attribution de port


1 Dans le volet gauche de SGMI, cliquez sur Réseau local.
2 Dans le volet droit, dans l'onglet Attribution de port, sélectionnez une
attribution de port sous Ports physiques de réseau local, dans la liste
déroulante Numéros de port.
3 Cliquez sur Enregistrer.
Le boîtier redémarre quand les paramètres de port sont enregistrés.

Pour restaurer les paramètres par défaut des attributions de port


1 Dans le volet gauche de SGMI, cliquez sur Réseau local.
2 Dans le volet droit, dans l'onglet Attribution de port, cliquez sur Restaurer
paramètres par défaut sous Ports physiques de réseau local.
Le boîtier redémarre quand les paramètres de port sont enregistrés.
Chapitre 5
Supervision du trafic
réseau
Ce chapitre traite des sujets suivants :
■ Planification de l'accès au réseau
■ Ordinateurs et groupes d'ordinateurs
■ Définition des accès entrants
■ Définition des accès sortants
■ Configuration des services
■ Configuration d'applications spéciales
■ Configuration des options avancées
Le boîtier Symantec Gateway Security 300 intègre des fonctionnalités
permettant de configurer le composant de pare-feu de manière appropriée aux
besoins de votre stratégie de sécurité. Lorsque vous configurez le pare-feu, vous
devez identifier tous les nœuds (ordinateurs) à protéger sur votre réseau.

Remarque : Ce chapitre utilise le terme "ordinateur". Le terme ordinateur


correspond à tout équipement possédant sa propre adresse IP, par exemple
un serveur de terminal, un photocopieur réseau, un ordinateur de bureau,
un portable, un serveur, un serveur d'impression, etc.
66 Supervision du trafic réseau
Planification de l'accès au réseau

Planification de l'accès au réseau


Le développement d'une stratégie de sécurité permet d'identifier ce que vous
avez à configurer. Consultez le Guide d'installation de Symantec Gateway
Security 300.
Avant de configurer la passerelle de sécurité, vous devez tenir compte des
éléments suivants :
■ Informez-vous sur les ordinateurs et les groupes d'ordinateurs. Se reporter
à "Ordinateurs et groupes d'ordinateurs" à la page 66.
■ Quels types d'utilisateurs seront protégés par la passerelle de sécurité ?
Tous les utilisateurs auront-ils les mêmes droits d'accès ?
■ Quels types de services voulez-vous mettre à la disposition des utilisateurs
internes ?
■ Quels services d'applications standard voulez-vous mettre à la disposition
des utilisateurs externes ?
■ Quels types de services d'applications spéciaux voulez-vous mettre à la
disposition des utilisateurs et hôtes externes ?

Ordinateurs et groupes d'ordinateurs


Les ordinateurs sont tous les nœuds situés "derrière" le boîtier. Cela inclut les
ordinateurs portables résidant en permanence sur le réseau local, les serveurs
d'application et tous les autres hôtes et imprimantes. Vous configurez le boîtier
pour qu'il reconnaisse un ordinateur par son adresse MAC (adresse physique).
Les groupes d'ordinateurs permettent de créer des règles de trafic sortant et de
les appliquer à tous les ordinateurs dotés des mêmes droits d'accès. Au lieu de
créer une règle de trafic pour chaque ordinateur du réseau, vous définissez des
groupes d'ordinateurs, puis vous affectez les ordinateurs à des groupes et vous
créez des règles pour les groupes.
Par défaut, tous les ordinateurs appartiennent au groupe d'accès Tout le monde
et ne subissent aucune restriction sur leur utilisation Internet, jusqu'à ce qu'ils
soient affectés à un autre groupe d'ordinateurs soumis à des règles. Vous pouvez
créer des règles s'appliquant au groupe Tout le monde ou, pour un meilleur
contrôle des accès, répartir les ordinateurs en quatre groupes d'ordinateurs et
affecter des règles différentes à chaque groupe. Si un ordinateur ne figure pas
dans la table des ordinateurs, il appartient par défaut au groupe d'ordinateurs
Tout le monde.
Supervision du trafic réseau 67
Ordinateurs et groupes d'ordinateurs

Remarque : Le boîtier comporte cinq groupes d'ordinateurs : Tout le monde,


Groupe 1, Groupe 2, Groupe 3 et Groupe 4. Vous ne pouvez ni ajouter,
ni supprimer, ni renommer les groupes d'ordinateurs.

Avant de créer des règles de trafic entrant et sortant pour la gestion du trafic,
effectuez les tâches suivantes dans l'ordre :
■ Définissez des groupes d'ordinateurs.
Se reporter à "Définition des appartenances aux groupes d'ordinateurs" à la
page 67.
■ Définissez les ordinateurs situés "derrière" le boîtier et affectez-les à des
groupes d'ordinateurs.
Se reporter à "Définition des appartenances aux groupes d'ordinateurs" à la
page 67.

Définition des appartenances aux groupes d'ordinateurs


La configuration des ordinateurs est la première étape de la configuration du
composant pare-feu du boîtier.
Lorsque vous créez votre stratégie de sécurité, affectez la majorité des hôtes au
groupe d'ordinateurs Tout le monde pour minimiser la saisie et la gestion des
adresses MAC. Par défaut, tous les hôtes appartiennent au groupe d'accès Tout
le monde, jusqu'à ce qu'ils soient affectés à l'un des quatre autres groupes
d'ordinateurs.
Préparez votre stratégie de sécurité en réfléchissant au nombre de groupes
d'ordinateurs dont vous avez besoin et aux utilisateurs à affecter à chaque
groupe d'ordinateurs.
L'onglet Ordinateurs permet d'identifier chaque ordinateur en saisissant son
adresse MAC, de lui affecter une adresse IP statique, de l'affecter à un groupe
d'ordinateurs et de le lier à une session PPPoE (si votre FAI propose plusieurs
sessions PPPoE). Se reporter à "PPPoE" à la page 30.

Remarque : Pour déterminer l'adresse MAC d'un ordinateur sous Microsoft


Windows, rejoignez une invite DOS et exécutez la commande ipconfig /all puis
recherchez l'adresse physique.
68 Supervision du trafic réseau
Ordinateurs et groupes d'ordinateurs

Sur les modèles 360 et 360R, vous pouvez aussi spécifier le port de réseau
étendu que l'ordinateur pourra utiliser. Cela est utile si vous avez deux comptes
d'accès haut débit, un sur chaque port de réseau étendu et que vous voulez qu'un
ordinateur spécifique n'utilise que l'un des deux comptes. Cela est utile pour
les serveurs ou les applications qui doivent toujours utiliser une adresse IP
spécifique (comme un serveur FTP). Par défaut, cette option est désactivée.

Pour configurer des ordinateurs


Si vous utilisez un FAI avec des sessions PPPoE, cet onglet permet de lier un hôte
à une session particulière (adresse IP de réseau étendu).
Pour interrompre le processus de configuration, vous pouvez cliquer sur
Annuler à n'importe quel point de la configuration d'ordinateurs. Pour effacer
toutes les informations de cet onglet, vous pouvez à tout moment cliquer sur le
bouton Effacer formulaire.
En cochant Hôte de réserve, le serveur DHCP offre toujours l'adresse IP définie
à l'ordinateur que vous configurez. Vous pouvez aussi définir cette adresse IP
comme adresse statique sur l'ordinateur.
Se reporter à "Onglet Ordinateurs" à la page 196.

Pour configurer un nouvel ordinateur


1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans l'onglet Ordinateurs, saisissez un nom d'hôte dans la zone Nom d'hôte.
3 Dans le champ Adresse carte (MAC), saisissez l'adresse de carte d'interface
réseau de l'hôte.
4 Si l'ordinateur est un serveur d'application auquel vous voulez accorder
l'accès à une règle de trafic entrant, ou pour réserver une adresse IP à un
ordinateur autre qu'un serveur d'application, cochez Hôte de réserve sous
Serveur d'application.
Se reporter à "Définition des accès entrants" à la page 71.
5 Dans la zone Adresse IP, saisissez l'adresse IP de l'hôte.
6 Dans la zone Groupe d'ordinateurs, sélectionnez le groupe dont vous voulez
que votre hôte fasse partie sous Groupe d'ordinateurs.
Les propriétés des groupes d'ordinateurs sont définies dans l'onglet
Pare-feu > Groupes d'ordinateurs. Se reporter à "Définition des accès
entrants" à la page 71.
Supervision du trafic réseau 69
Ordinateurs et groupes d'ordinateurs

7 Dans la liste déroulante Lier à la session PPPoE, sélectionnez la session à


lier à cet hôte.
Vous devez disposer d'un compte PPPoE multi-sessions auprès de votre FAI
pour pouvoir utiliser cette option. Si vous n'avez pas de compte PPPoE
auprès de votre FAI, laissez la liste déroulante Lier à la session PPPoE sur
l'option Session 1.
8 Cliquez sur Ajouter.
Pour vérifier qu'un hôte a été configuré, vous pouvez consulter la liste d'hôtes
située en haut de la fenêtre. Les champs de la liste correspondent aux champs
que vous avez remplis en configurant l'hôte.
Une fois que vous avez fini d'ajouter des ordinateurs à un groupe, vous pouvez
configurer les propriétés de chaque groupe d'ordinateurs.

Pour mettre à jour un ordinateur existant


1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Ordinateurs, sélectionnez un hôte dans la
liste Sélectionner hôte sous Identité hôte.
3 Effectuez les modifications nécessaires dans les champs des ordinateurs.
4 Cliquez sur Mettre à jour.
L'ordinateur mis à jour est affiché dans la Liste des hôtes.

Pour supprimer un ordinateur existant


1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Ordinateurs, sélectionnez un hôte dans la
liste Sélectionner hôte sous Identité hôte.
3 Cliquez sur Supprimer.

Définition des groupes d'ordinateurs


Les groupes d'ordinateurs sont des groupes logiques d'entités réseau utilisés
pour les règles de trafic sortant. Vous devez configurer et lier tous les hôtes
locaux (nœuds) au groupe d'ordinateurs dans lequel ils se trouvent dans l'onglet
Ordinateurs. Se reporter à "Définition des appartenances aux groupes
d'ordinateurs" à la page 67.
70 Supervision du trafic réseau
Ordinateurs et groupes d'ordinateurs

Vous pouvez configurer les propriétés suivantes pour chaque groupe


d'ordinateurs :
■ Application de la stratégie antivirus (AVpe).
Se reporter à "Application de la stratégie antivirus (AVpe)" à la page 112.
■ Filtrage de contenu.
Se reporter à "Supervision avancée du trafic réseau" à la page 111.
■ Contrôle d'accès.
Se reporter à "Définition des accès entrants" à la page 71.

Pour définir les propriétés des groupes d'ordinateurs


Se reporter à "Onglet Groupes d'ordinateurs" à la page 197.
1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Groupes d'ordinateurs, sélectionnez le
groupe d'ordinateurs que vous voulez configurer sous Stratégie de sécurité,
dans la liste déroulante Groupe d'ordinateurs.
3 Pour activer AVpe, cochez Activer Application de la stratégie antivirus
sous Application de la stratégie antivirus.
4 Si vous avez activé AVpe, cliquez sur l'un des éléments suivants :
■ Avertir seulement
■ Bloquer les connexions
5 Sous Filtrage de contenu, si vous cochez Filtrage de contenu, vous devez
aussi sélectionner l'une des options suivantes :
■ Utiliser la liste d'autorisations
■ Utiliser la liste d'interdictions
6 Sous Contrôle d'accès (règles de trafic sortant), sélectionnez l'une des
options suivantes :
■ Sans restrictions
■ Bloquer TOUS les accès sortants
■ Utiliser les règles définies sur l'écran des règles de trafic sortant.
Se reporter à "Définition des accès sortants" à la page 72.
7 Cliquez sur Enregistrer.
Supervision du trafic réseau 71
Définition des accès entrants

Définition des accès entrants


Les règles de trafic entrant contrôlent les types de trafic pouvant atteindre les
serveurs d'application sur les serveurs protégés par le boîtier. Par défaut, tout
le trafic entrant est refusé (automatiquement bloqué), jusqu'à ce que vous
configuriez des règles de trafic entrant pour chaque type de trafic que vous
voulez autoriser. Si le trafic entrant contient un protocole ou une application
ne faisant pas partie d'une règle activée, la requête de connexion est refusée
et consignée. Le boîtier prend en charge un maximum de 25 règles de
trafic entrant.
Lorsque vous créez des règles de trafic entrant, vous devez spécifier le serveur
d'application, le service, les protocoles et les ports autorisés par la règle, ainsi
que des informations de source et de destination pour chaque règle. Quand une
règle de trafic entrant a été définie, tout hôte externe peut faire passer du trafic
entrant correspondant à la règle.
Les règles de trafic entrant redirigent le trafic qui arrive sur les ports de réseau
étendu vers un serveur interne sur le réseau local protégé. Par exemple, avec
une règle de trafic entrant activée pour HTTP, tout le trafic HTTP arrivant sur
le port de réseau étendu est redirigé vers le serveur spécifié comme serveur
d'application HTTP. Vous devez définir le serveur avant de l'utiliser dans
une règle.
Les règles de trafic entrant ne sont pas liées à un groupe d'ordinateurs en
particulier.

Pour définir les accès entrants


Pour interrompre le processus de configuration, vous pouvez cliquer sur
Annuler à n'importe quel point de la configuration d'ordinateurs.
Pour effacer toutes les informations de cet onglet, vous pouvez à tout moment
cliquer sur le bouton Effacer formulaire.
Se reporter à "Onglet Règles de trafic entrant" à la page 200.

Pour définir une nouvelle règle de trafic entrant


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Pour créer une nouvelle règle, dans le volet droit, saisissez un nom unique
pour la règle de trafic entrant dans l'onglet Règles de trafic entrant, sous
Définition de règle, dans la zone Nom.
3 Cochez l'option Activer la règle.
72 Supervision du trafic réseau
Définition des accès sortants

4 Dans la liste déroulante Serveur d'application, sélectionnez un


serveur protégé.
Les ordinateurs sont définis dans l'onglet Ordinateur dans la section
Pare-feu.
5 Dans la liste déroulante Service, sélectionnez un service entrant.
6 Cliquez sur Ajouter.
La règle configurée est affichée dans la liste Règles de trafic entrant.

Pour mettre à jour une règle de trafic entrant existante


1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Règles de trafic entrant, sélectionnez une
règle de trafic entrant existante dans la liste déroulante Règle.
3 Cliquez sur Sélectionner.
4 Effectuez les modifications nécessaires dans les champs de règle.
5 Cliquez sur Mettre à jour.
La règle configurée est affichée dans la liste Règles de trafic entrant.

Pour supprimer une règle de trafic entrant


1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Règles de trafic entrant, sélectionnez une
règle de trafic entrant existante dans la liste déroulante Règle.
3 Cliquez sur Supprimer.

Définition des accès sortants


Par défaut, tous les groupes d'ordinateurs disposent de l'accès sortant. De plus,
par défaut, tous les ordinateurs que vous protégez sont placés dans le groupe
d'ordinateurs Tout le monde. Lorsque vous définissez une règle de trafic sortant
pour un groupe d'ordinateurs donné et que vous cochez la case Utiliser les règles
définies sur l'écran des règles de trafic sortant, tous les autres trafics sont
bloqués sauf si vous définissez une règle de trafic sortant pour autoriser chacun
de ces trafics. Vous devez donner un nom unique à chaque règle de trafic
sortant.
Vous devez également spécifier le type de trafic que la règle autorise. Les règles
de trafic sortant permettent de définir le trafic à autoriser, au lieu de spécifier le
trafic à refuser ou bloquer. Une fois qu'une règle de trafic sortant a été ajoutée à
un groupe d'ordinateurs, tout autre trafic est refusé sauf si une règle l'autorise
spécifiquement.
Supervision du trafic réseau 73
Définition des accès sortants

La liste suivante indique les services sortants prédéfinis :


■ DNS
■ FTP
■ HTTP
■ HTTPS
■ Courrier (SMTP)
■ Courrier (POP3)
■ RADIUS Auth
■ Telnet
■ VPN IPSec
■ VPN PPTP
■ LiveUpdate
■ Manager SESA
■ agent SESA
■ RealAudio1
■ RealAudio2
■ RealAudio 3
■ TCP PCA
■ UDP PCA
■ TFTP
■ SNMP
Si vous utilisez des services absents de cette liste ou un service de cette liste
n'utilisant pas son port par défaut, vous pouvez créer vos propres services
personnalisés. Vous devez créer les services personnalisés avant de créer la
règle de trafic sortant.
Se reporter à "Configuration des services" à la page 75.
Une règle de trafic sortant activée pour le service FTP pour le groupe
d'ordinateurs 2 autorise les membres de ce groupe à utiliser le service FTP en
sortie. Une règle de trafic sortant activée pour le service Courrier (SMTP) pour le
groupe d'ordinateurs Tout le monde autorise tous les membres du groupe Tout
le monde à envoyer du courrier sortant. Une règle de trafic sortant activée pour
le service FTP pour le groupe d'ordinateurs 2 autorise les membres de ce groupe
à utiliser le service FTP en sortie. Si le groupe d'ordinateurs 1 n'a pas de règle,
tout le trafic sortant est autorisé par défaut. La Figure 5-1 affiche un diagramme
de ces exemples.
74 Supervision du trafic réseau
Définition des accès sortants

Figure 5-1 Exemple de règles de trafic sortant

Règle de trafic Règle de trafic


sortant sortant
Nom : E_Mail_1 Nom : FTP_2
Groupe Groupe
d'ordinateurs : d'ordinateurs :
Tout le monde Groupe 2
Service : Courrier Service : FTP
(SMTP)

Groupe d'ordinateurs Tout le monde Groupe d'ordinateurs 1 Groupe d'ordinateurs 2

Pour définir les accès sortants


Vous pouvez gérer les accès sortants en créant une règle, puis mettre celle-ci à
jour lorsque vos besoins évoluent ou la supprimer lorsqu'elle devient inutile.
Vous pouvez aussi désactiver temporairement les accès sortants aux fins de
dépannage ou pour superviser le trafic.
Se reporter à "Onglet Règles de trafic sortant" à la page 201.

Pour définir une règle de trafic sortant


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Règles de trafic sortant, sélectionnez un
groupe d'ordinateurs sous Groupes d'ordinateurs, dans la liste déroulante
Groupe d'ordinateurs.
Pour consulter la liste des règles du groupe d'ordinateurs sélectionné,
cliquez sur Afficher.
3 Dans la zone de texte Nom, saisissez un nom unique pour la règle de
trafic sortant.
4 Cochez l'option Activer la règle.
5 Dans la liste déroulante Service, sélectionnez un service de trafic sortant.
6 Cliquez sur Ajouter.
La règle configurée est affichée dans la liste Règles de trafic sortant.
Supervision du trafic réseau 75
Configuration des services

Pour mettre à jour une règle de trafic sortant existante


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Règles de trafic sortant, sélectionnez un
groupe d'ordinateurs sous Groupes d'ordinateurs, dans la liste déroulante
Groupe d'ordinateurs.
Pour consulter la liste des règles du groupe d'ordinateurs sélectionné,
cliquez sur Afficher.
3 Dans la liste déroulante Règle, sélectionnez une règle de trafic sortant
existante.
4 Effectuez les modifications nécessaires dans les champs de la règle de
trafic sortant.
5 Cliquez sur Mettre à jour.
La règle configurée est affichée dans la liste Règles de trafic sortant.

Pour supprimer une règle de trafic sortant


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Règles de trafic sortant, sélectionnez un
groupe d'ordinateurs sous Groupes d'ordinateurs, dans la liste déroulante
Groupe d'ordinateurs.
Pour consulter la liste des règles du groupe d'ordinateurs sélectionné,
cliquez sur Afficher.
3 Dans le volet droit, dans l'onglet Règles de trafic sortant, sélectionnez une
règle de trafic sortant existante dans la liste déroulante Règle.
4 Cliquez sur Supprimer.

Configuration des services


L'onglet Pare-feu > Services permet de définir des applications de service
supplémentaires, utilisées dans des règles destinées au trafic entrant et sortant
non couvert par les services prédéfinis. Vous devez configurer ces services avant
de pouvoir les utiliser dans des règles. Le nom du service doit identifier le
protocole ou le type de trafic que la règle autorise.
Vous devez spécifier le type de trafic et le serveur de destination pour ce trafic.
Le type de trafic est sélectionné dans la liste des services prédéfinis et des
services personnalisés.
76 Supervision du trafic réseau
Configuration des services

Remarque : Sur les modèles 360 et 360R, les serveurs d'application FTP doivent
être liés à un port de réseau étendu (1 ou 2). Toutes les autres applications,
comme HTTP, n'exigent pas d'être liées à un port de réseau étendu. Se reporter à
"Liaison à d'autres protocoles" à la page 54.

Il existe deux types de protocoles utilisés par les services : TCP et UDP.
La plage de ports spécifie les ports pouvant communiquer sur le boîtier. Pour les
protocoles utilisant une plage de ports, vous devez spécifier un numéro pour le
début et la fin de la plage de ports à écouter. Pour les protocoles utilisant un seul
port, le même numéro est utilisé comme port de début et de fin de la plage
de ports.

Redirection de services
Vous pouvez également configurer des services pour les rediriger depuis les
ports par lesquels ils entrent normalement (port d'écoute) vers un autre port
(port de redirection). La redirection de service ne s'applique qu'aux règles de
trafic entrant. Les règles de trafic sortant ignorent ce paramètre.
Par exemple, pour rediriger le trafic Web entrant sur le port 80 et utilisant le
protocole TCP vers un serveur Web interne écoutant sur le port 8080 en TCP,
vous devez créer un nouveau service d'application nommé WEB_8080.
Sélectionnez TCP comme protocole, puis indiquez 80 à la fois comme port de
début et de fin de la zone d'écoute. Dans la zone Rediriger vers les ports,
saisissez 8080 comme port de début et de fin. Ensuite, vous créez et activez
pour le serveur d'application Web une règle de trafic entrant utilisant le service
WEB_8080.

Remarque : La taille de la plage de ports de la zone de redirection doit être la


même que celles de la zone d'écoute. Par exemple, si vous définissez la plage 21 à
25 dans la zone Ecouter sur les ports, la plage de la zone Rediriger vers les ports
doit également comporter quatre ports.

Pour rediriger le trafic entrant vers le port destination d'origine, laissez vides les
champs de la zone Rediriger vers les ports.

Pour configurer un service


Vous devez créer un service avant de pouvoir l'ajouter à une règle de trafic
entrant. Une fois le service créé, vous pouvez le mettre à jour ou le supprimer.
Se reporter à "Onglet Services" à la page 202.
Supervision du trafic réseau 77
Configuration des services

Pour configurer un service


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans la zone Paramètres d'application, spécifiez un nom explicite pour le
service dans la zone de texte Nom.
3 Dans la liste déroulante Protocole, sélectionnez TCP ou UDP.
4 Dans la zone de texte Ecouter sur les ports : Début, saisissez un numéro
de port.
5 Dans la zone de texte Ecouter sur les ports : Fin, saisissez un numéro
de port.
6 Dans la zone de texte Rediriger vers les ports : Début, saisissez un numéro
de port.
La redirection ne s'applique qu'aux règles de trafic entrant. Si vous créez
le service pour une règle de trafic sortant, laissez vides les zones de texte
Rediriger vers les ports.
Pour rediriger le trafic entrant vers le port destination d'origine, laissez
vides les champs de la zone Rediriger vers les ports.
7 Dans la zone de texte Rediriger vers les ports : Fin, saisissez un numéro
de port.
8 Cliquez sur Ajouter.

Pour mettre à jour un service existant


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Services, sélectionnez un service existant
dans la liste déroulante Application.
3 Effectuez les modifications nécessaires dans les champs des services.
4 Cliquez sur Mettre à jour.
Le service configuré est affiché dans la liste Service.

Pour supprimer un service


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Services, sélectionnez un service existant
dans la liste déroulante Application.
3 Cliquez sur Supprimer.
78 Supervision du trafic réseau
Configuration d'applications spéciales

Configuration d'applications spéciales


Les applications spéciales sont utilisées pour la retransmission de port
dynamique. Pour déterminer les ports et les protocoles nécessaires à une
application, consultez la documentation de l'application, à la section des
informations sur l'utilisation d'un pare-feu ou de NAT.
Certaines applications peuvent nécessiter la création et l'activation de plusieurs
entrées pour fonctionner correctement, par exemple les applications utilisant
plusieurs plages de ports. Les applications spéciales ont une portée globale et
leurs paramètres sont prioritaires par rapport aux paramètres des règles de
trafic sortant et des règles de trafic entrant spécifiques aux différents groupes
d'ordinateurs. Une fois l'application spéciale activée, le trafic spécifié peut
passer dans les deux directions depuis tous les hôtes.
Certaines applications utilisant des communications bidirectionnelles (comme
les jeux et les applications de téléconférence) nécessitent l'ouverture de ports
dans le pare-feu. Normalement, l'ouverture de ports se fait dans l'onglet Règles
de trafic entrant. Mais les règles de trafic entrant n'ouvrent les ports que pour
l'adresse IP de serveur d'application définie dans ses paramètres, car un pare-
feu utilisant NAT ne peut "ouvrir" qu'un service défini pour un seul ordinateur
du réseau local (lorsque l'IP externe est utilisée).
L'onglet Applications spéciales permet de contourner cette limitation en
définissant des déclencheurs de ports. Le boîtier "écoute" le trafic sortant sur
une plage de ports d'ordinateurs du réseau local. S'il "voit" du trafic, il ouvre
une plage de port de trafic entrant pour l'ordinateur concerné. Une fois la
communication terminée, le boîtier se remet à "écouter" pour permettre à un
autre ordinateur de déclencher l'ouverture de ports.
Les déclencheurs de ports peuvent être utilisés très rapidement (quelques
millisecondes) mais pour un seul ordinateur à la fois. La vitesse des
déclencheurs de ports donne l'illusion que plusieurs ordinateurs ont les mêmes
ports ouverts en même temps.
La fonctionnalité Applications spéciales convient plutôt aux applications
nécessitant un débit peu élevé. Les performances peuvent être affectées si
plusieurs ordinateurs lisent simultanément des médias à diffusion en continu ou
font transiter de gros volumes de trafic entrant ou sortant.
Le boîtier "écoute" le trafic uniquement sur le réseau local. C'est l'ordinateur
du réseau local qui active le déclencheur de port et non le trafic venant de
l'extérieur. L'application côté réseau local doit initier le trafic et vous devez
connaître les ports ou la plage de ports qu'elle utilise pour configurer une entrée
d'application spéciale. Si le trafic est initié depuis l'extérieur, vous devez utiliser
une règle de trafic entrant.
Supervision du trafic réseau 79
Configuration d'applications spéciales

Pour configurer une application spéciale


Les applications spéciales sont utiles pour la retransmission dynamique de
paquets. Configurez une application spéciale lorsque vous avez besoin de
communications bidirectionnelles. Vous pouvez ensuite la modifier ou la
supprimer selon vos besoins.
Se reporter à "Onglet Applications spéciales" à la page 204.

Pour configurer une application spéciale


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Applications spéciales, saisissez un nom
explicite pour l'application dans la zone de texte Nom, sous Sélectionner
applications.
3 Cliquez sur Activer.
4 Dans la liste déroulante Protocole sortant, sélectionnez TCP ou UDP.
5 Dans la zone de texte Début de la plage de ports sortants, saisissez le
numéro du premier port de la plage à écouter.
6 Dans la zone de texte Fin de la plage de ports sortants, saisissez le numéro
du premier port de la plage à écouter.
7 Dans la zone de texte Début de la plage de ports entrants, saisissez le
numéro du premier port de la plage à ouvrir.
8 Dans la zone de texte Fin de la plage de ports entrants, saisissez le numéro
du dernier port de la plage à ouvrir.
9 Cliquez sur Ajouter.

Pour mettre à jour une application spéciale existante


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Applications spéciales, sélectionnez une
application spéciale existante dans la liste déroulante Application spéciale.
3 Effectuez les modifications nécessaires dans les champs des applications
spéciales.
4 Cliquez sur Mettre à jour.
La règle configurée est affichée dans la Liste d'applications spéciales.
80 Supervision du trafic réseau
Configuration des options avancées

Pour supprimer une application spéciale


1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Applications spéciales, sélectionnez une
application spéciale existante dans la liste déroulante Application spéciale.
3 Cliquez sur Supprimer.

Configuration des options avancées


Les boîtiers Symantec Gateway Security 300 disposent de plusieurs options
avancées de pare-feu, adaptées à des circonstances particulières.

Activation du port IDENT


Les requêtes adressées au port IDENT (113) renvoient généralement des
informations sur le nom de l'hôte et de la société. Néanmoins, ce service
constitue un risque de sécurité car des pirates peuvent utiliser ces informations
pour mettre au point leurs attaques. Par défaut, le boîtier place tous les ports en
mode furtif. Cela rend l'ordinateur invisible vis-à-vis de l'extérieur du réseau.
Certains serveurs (comme certains serveurs de courrier électronique ou MIRC)
consultent le port IDENT des ordinateurs qui se connectent à eux.
Vous pouvez configurer le boîtier pour qu'il active le port IDENT. En faisant cela,
le port 113 est fermé (il n'est pas ouvert), mais il n'est pas furtif. Activez cette
option uniquement si vous avez des problèmes pour accéder à un serveur
(expirations multiples du délai de réponse du serveur).

Remarque : Si vous rencontrez de multiples expirations de délai lorsque vous


utilisez votre service de courrier (SMTP), l'activation de cette option peut
corriger le problème.

Pour activer le port IDENT


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Avancé, cochez Activer port IDENT sous
Paramètres de réseau facultatifs.
3 Cliquez sur Enregistrer.
Supervision du trafic réseau 81
Configuration des options avancées

Désactivation du mode NAT


Vous pouvez configurer la passerelle de sécurité pour qu'elle fonctionne comme
un routeur réseau standard pour séparer les différents sous-réseaux d'un réseau
interne. La désactivation du mode NAT désactive les fonctions de sécurité du
pare-feu. N'utilisez ce paramètre que pour les déploiements sur intranet ou la
passerelle de sécurité sert de pont sur un réseau protégé. Lorsque la passerelle
de sécurité est configurée pour le mode NAT, elle se comporte comme un pont
réseau 802.1D.

Pour désactiver le mode NAT


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Avancé, cochez Désactiver le mode NAT
sous Paramètres de réseau facultatifs.
3 Cliquez sur Enregistrer.

Activation des connexions IPsec directes


Les connexions IPSec directes sont prises en charge par la passerelle de sécurité.
Utilisez le paramètre Sans si les clients VPN en mode hôte exposé (DMZ)
rencontrent des problèmes pour se connecter en étant derrière la passerelle de
sécurité.
La liste suivante indique les types de connexions IPSec pris en charge :
■ 1 SPI
ADI - Assured Digital
■ 2 SPI
Clients standard (Symantec, Cisco Pix et Nortel Contivity)
■ 2 SPI-C
Clients Cisco Concentrator 30X0 Series
■ Autre
Redcreek Ravlin
■ Sans

Remarque : Ne modifiez le paramètre de connexion directe IPSec que si cela vous


est demandé par les techniciens du support technique Symantec.
82 Supervision du trafic réseau
Configuration des options avancées

Pour configurer les paramètres de connexion IPSec directe


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans l'onglet Avancé, sous Paramètres de transfert IPSec, cliquez sur
Enregistrer.

Configuration d'un hôte exposé


La configuration d'un hôte exposé ouvre tous les ports de cet hôte, ce qui permet
à un ordinateur du réseau local d'avoir des communications bidirectionnelles
sans restrictions avec les serveurs et les utilisateurs Internet. Cela est utile pour
héberger des jeux ou des applications serveur spéciales.
Tout le trafic qui n'est pas spécifiquement autorisé par les règles de trafic
entrant est redirigé vers l'hôte exposé.

Avertissement : Cette option constituant un risque de sécurité, n'activez l'option


d'hôte exposé qu'en cas de besoin.

Pour configurer un hôte exposé


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Avancé, cochez Activer l'hôte exposé sous
Hôte exposé.
3 Dans les zones de texte Adresse IP de réseau local, saisissez l'adresse IP de
l'hôte à exposer.
4 Cliquez sur Enregistrer.

Gestion des requêtes ICMP


Par défaut, la passerelle de sécurité ne répond pas aux requêtes ICMP envoyées
aux ports de réseau étendu. Vous pouvez aussi configurer la passerelle de
sécurité pour bloquer ou autoriser les requêtes ICMP sur le réseau étendu.
Les requêtes ICMP sur le réseau local ont toujours une réponse.
Supervision du trafic réseau 83
Configuration des options avancées

Pour gérer les requêtes ICMP


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans le volet droit, dans l'onglet Avancé, effectuez l'une des opérations
suivantes sous Paramètres de réseau facultatifs :
3 Pour bloquer les requêtes ICMP, cliquez sur Activer.
4 Pour autoriser les requêtes ICMP, cliquez sur Désactiver.
5 Cliquez sur Enregistrer.
Chapitre 6
Etablissement de
connexions VPN
sécurisées
Ce chapitre traite des sujets suivants :

■ A propos de l'utilisation de ce chapitre

■ Création de stratégies de sécurité

■ Identification des utilisateurs

■ Configuration de tunnels entre passerelles

■ Configuration de tunnels VPN client à passerelle


■ Supervision de l'état des tunnels VPN
Les VPN (Virtual Private Networks – réseaux privés virtuels) permettent
d'étendre les frontières de votre réseau interne en utilisant des canaux de
communication non sécurisés (comme Internet) pour transporter des donnés
sensibles de manière sécurisée. Les VPN permettent d'autoriser un utilisateur
ou un réseau distant à accéder aux ressources protégées d'un autre réseau.
Les boîtiers Symantec Gateway Security 300 prennent en charge trois types de
tunnels VPN : entre passerelles, client à passerelle et client à passerelle sans fil.
Pour configurer les tunnels client à passerelle sans fil, consultez le Guide de
mise en œuvre de réseau sans fil Symantec Gateway Security 300.
La sécurisation de vos connexions réseau à l'aide de VPN est un élément majeur
pour assurer la qualité et l'intégrité de vos données. Cette section décrit les
concepts clés et les composants que vous devez maîtriser pour pouvoir
configurer et utiliser efficacement la fonction VPN du boîtier.
86 Etablissement de connexions VPN sécurisées
A propos de l'utilisation de ce chapitre

Les tunnels VPN peuvent aussi prendre en charge les configurations


dynamiques et statiques entre passerelles ; dans ce cas, les paramètres de tunnel
sont définis au niveau de chaque passerelle de sécurité. Les deux extrémités
doivent utiliser les mêmes paramètres, y compris au niveau des clés secrètes,
des SPI (Security Parameter Indexes – index de paramètre de sécurité), des
schémas d'authentification et des méthodes de cryptage.

A propos de l'utilisation de ce chapitre


Chaque section débute par une explication de la fonctionnalité décrite dans cette
section (par exemple présentation d'une stratégie VPN, son fonctionnement
et son utilisation). Si vous êtes un administrateur réseau ou un responsable
informatique expérimenté, vous pouvez passer directement à la deuxième
moitié de la section pour accéder directement aux instructions de configuration
de la fonction correspondante.
Si vous avez peu d'expérience informatique ou si vous n'avez jamais configuré
une passerelle de sécurité (Symantec ou autre), il est conseillé de lire la première
moitié de chaque section avant de commencer à configurer la fonctionnalité
correspondante.
A la fin des sections "Configuration de tunnels entre passerelles" à la page 94 et
"Configuration de tunnels VPN client à passerelle" à la page 104, deux fiches
vous sont proposées pour noter des informations, afin de communiquer
facilement les données de connexion à vos clients et aux administrateurs des
passerelles distantes.

Création de stratégies de sécurité


La négociation pour l'établissement d'un tunnel VPN se fait en deux phases.
Dans la phase 1, la négociation IKE (Internet Key Exchange – échange de clés
Internet) crée une association de sécurité IKE entre les pairs pour protéger la
phase 2 de la négociation, qui détermine l'association de protocole de sécurité
pour le tunnel. Pour les connexions entre passerelles, la négociation (ou la
renégociation) de phase 1 ou 2 peut être initiée à tout moment par l'une ou
l'autre des passerelles de sécurité. De plus, l'intervalle de renégociation peut
être spécifié par l'une ou l'autre passerelle de sécurité. Pour les connexions
client à passerelle, la négociation (ou la renégociation) de phase 1 ou 2 ne peut
être initiée que par le client. La renégociation de phase 2 est qualifiée de
renégociation rapide.
Etablissement de connexions VPN sécurisées 87
Création de stratégies de sécurité

Remarque : Les boîtiers Symantec Gateway Security 300 ne prennent pas


en charge la compression de tunnel VPN. Pour créer un tunnel passerelle à
passerelle entre un boîtier Symantec Gateway Security 300 et un boîtier
Symantec Gateway Security 5400 distant ou Symantec Enterprise Firewall,
vous devez définir la compression sur SANS sur la passerelle distante.

Concept de stratégie VPN


Pour chaque phase de la négociation, le boîtier utilise une stratégie, qui est en
fait un ensemble de paramètres prédéfinis. Le boîtier prend en charge deux
types de stratégies de sécurité : IKE globale et VPN.

Stratégie IKE globale (phase 1, non configurable sauf le


paramètre de durée de vie de l'association de sécurité)
La passerelle de sécurité intègre une stratégie IKE globale prédéfinie qui est
automatiquement appliquée à vos négociations IKE de phase 1. Cette stratégie
IKE globale fonctionne en conjonction avec la stratégie VPN que vous configurez
pour les négociations de phase 2. La stratégie IKE globale fournit les paramètres
définissant les négociations de phase 1 du tunnel IKE, alors que la stratégie VPN
que vous configurez fournit les paramètres pour les négociations de phase 2.
Le seul paramètre de la stratégie IKE globale pouvant être modifié est la durée de
vie de l'association de sécurité, qui spécifie la durée (en minutes) après laquelle
les clés du tunnel sont renégociées. Ce paramètre est situé dans les options VPN
> Avancé > Paramètres IKE globaux (clé phase 1).
Lorsque deux passerelles de sécurité effectuent la négociation de phase 1,
la première passerelle de sécurité envoie une "liste de propositions de
transformation". La passerelle de sécurité à laquelle elle se connecte choisit
ensuite une proposition dans la liste, généralement l'option la plus sécurisée
utilisable. Vous ne pouvez pas modifier la liste des propositions de
transformation ; néanmoins, il peut être utile de communiquer les informations
de cette liste à l'administrateur de la passerelle distante. Le Tableau 6-1 liste les
propositions IKE du boîtier Symantec Gateway Security (dans l'ordre).
88 Etablissement de connexions VPN sécurisées
Création de stratégies de sécurité

Tableau 6-1 Ordre de proposition IKE

Confidentialité Intégrité des données Diffie-Hellman


des données

3DES SHA1 Groupe 5

3DES MD5 Groupe 5

3DES SHA1 Groupe 2

3DES MD5 Groupe 2

DES SHA1 Groupe 1

DES MD5 Groupe 1

Certains paramètres peuvent être configurés au niveau global pour les tunnels
client à passerelle. Se reporter à "Configuration des paramètres de stratégie
globaux pour les tunnels VPN client à passerelle" à la page 109.

Stratégies VPN (phase 2, configurables)


La passerelle de sécurité intègre quatre stratégies VPN prédéfinies et
configurables pouvant s'appliquer aux négociations IKE de phase 2. Au lieu de
configurer les algorithmes de confidentialité, d'intégrité et de compression des
données pour chaque tunnel que vous créez, la passerelle de sécurité permet de
configurer des stratégies VPN standard et réutilisables, puis de les associer à
plusieurs tunnels sécurisés. Vous pouvez sélectionner une stratégie prédéfinie
ou définir votre propre stratégie dans l'onglet Stratégies VPN.
Les stratégies VPN regroupent des caractéristiques communes à appliquer
aux tunnels et permettent de créer rapidement de nouveaux tunnels avec ces
caractéristiques. La passerelle de sécurité intègre également des stratégies VPN
couramment utilisées pour les tunnels statiques et dynamiques.
Vous pouvez définir plusieurs stratégies VPN, en utilisant différents
composants pour chacune. Dans ce cas, utilisez une convention d'attribution
de nom permettant de distinguer les stratégies utilisant le même mode
d'encapsulation. Lorsque vous êtes prêt à créer vos tunnels sécurisés,
l'utilisation de conventions d'attribution de nom précisément définies facilite la
sélection ultérieure de la stratégie VPN appropriée.

Remarque : Vous ne pouvez pas supprimer les stratégies VPN prédéfinies.


Etablissement de connexions VPN sécurisées 89
Création de stratégies de sécurité

Création de stratégies VPN de phase 2 personnalisées


Les stratégies VPN sont préconfigurées pour les configurations VPN
couramment utilisées. Si vous avez besoin d'utiliser des paramètres
personnalisés (par exemple pour des raisons de compatibilité avec des
équipements non Symantec), vous devez créer une stratégie de phase 2
personnalisée dans l'onglet Stratégies VPN.
Une stratégie VPN regroupe des caractéristiques communes à plusieurs tunnels
VPN. Au lieu de configurer les algorithmes de confidentialité, d'intégrité et de
compression des données pour chaque tunnel que vous créez, vous pouvez
configurer des stratégies VPN standard et réutilisables, puis les appliquer à
plusieurs tunnels sécurisés.

Remarque : La configuration d'une stratégie VPN est facultative pour les tunnels
dynamiques.

Pour créer une stratégie VPN de phase 2 personnalisée


Se reporter à "Onglet Stratégies VPN" à la page 219.
1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans le volet droit, dans l'onglet Stratégies VPN, spécifiez un nom pour la
stratégie VPN sous Paramètres d'association de sécurité IPsec (phase 2),
dans la zone Nom.
3 Pour modifier une stratégie existante, sélectionnez une stratégie VPN dans
la liste déroulante Stratégie VPN.
4 Dans la liste déroulante Intégrité des données (authentification),
sélectionnez une authentification.
5 Dans la liste déroulante Confidentialité des données (cryptage),
sélectionnez un type de cryptage.
6 Dans la zone Durée de vie SA, saisissez la durée d'existence (en minutes) de
l'association de sécurité avant qu'une régénération des clés soit déclenchée.
Le tunnel VPN est temporairement interrompu au moment de la
régénération des clés.
7 Dans la zone Limite de volume de données, saisissez la quantité de trafic
(en kilo-octets) à laisser passer avant qu'une régénération des clés soit
déclenchée.
8 Dans la zone Délai d'inactivité, spécifiez la durée d'inactivité (en minutes)
avant qu'une régénération des clés soit déclenchée.
90 Etablissement de connexions VPN sécurisées
Création de stratégies de sécurité

9 Pour utiliser l'option PFS (confidentialité de transmission optimale),


procédez comme suit :
■ Dans la liste déroulante PFS (confidentialité de transmission optimale),
sélectionnez un groupe Diffie-Hellman.
■ A côté de PFS (confidentialité de transmission optimale), cliquez sur
Activer.
10 Cliquez sur Ajouter.

Affichage de la liste des stratégies VPN


La section Liste des stratégies VPN de la fenêtre Stratégies VPN contient
le récapitulatif de chacune des stratégies VPN configurées sur le boîtier.
Le Tableau 6-2 définit chacun des champs de la liste récapitulative des
stratégies VPN.

Tableau 6-2 Champs de la liste de stratégies VPN

Champ Description

Nom Affiche le nom de la stratégie VPN.

Méthode de cryptage Affiche la méthode de cryptage sélectionnée pour la


stratégie VPN.

Durée de vie SA Affiche les paramètres de durée de vie configurés pour


l'association de sécurité.

Limite de volume des Affiche le paramètre de limite de volume de données


données configuré.

Délai d'inactivité Affiche le paramètre de délai d'inactivité configuré.

PFS Affiche le paramètre PFS (confidentialité de transmission


optimale).
Etablissement de connexions VPN sécurisées 91
Identification des utilisateurs

Identification des utilisateurs


Le boîtier permet de configurer deux types de client pour l'utilisation d'un VPN :
les utilisateurs et les utilisateurs avec authentification étendue.

Différences entre les types d'utilisateur


Les utilisateurs s'authentifient directement auprès de la passerelle de sécurité
lorsqu'ils se connectent par le biais d'un tunnel VPN. Les utilisateurs standard
sont définis dans l'onglet Utilisateurs clients de la passerelle de sécurité.
Les utilisateurs avec authentification étendue ne sont pas définis sur la
passerelle de sécurité mais sur un serveur d'authentification RADIUS. Vous
devez configurer le boîtier pour prendre en charge l'administration à distance
des utilisateurs avec authentification étendue.

Utilisateurs dynamiques
Les utilisateurs dynamiques ne sont pas définis sur la passerelle de sécurité ;
au lieu de cela, ils utilisent l'authentification étendue RADIUS pour authentifier
leurs tunnels. Les utilisateurs dynamiques sont définis sur le serveur RADIUS.
Lorsqu'un utilisateur dynamique tente de s'authentifier, le boîtier recherche
ce nom d'utilisateur dans la liste des utilisateurs définis. Si l'utilisateur est
introuvable dans cette liste, le boîtier utilise le secret partagé spécifié dans le
logiciel client. Ce secret partagé doit correspondre au secret défini dans l'écran
Avancé de la passerelle de sécurité à laquelle l'utilisateur se connecte. Le boîtier
démarre alors le processus d'authentification étendue et demande à l'utilisateur
les informations requises par le serveur RADIUS (comme un nom d'utilisateur
et un mot de passe). Le serveur RADIUS authentifie l'utilisateur et renvoie le
groupe RADIUS de l'utilisateur à la passerelle de sécurité. La passerelle de
sécurité vérifie que ce groupe correspond à l'un des tunnels clients et que ce
groupe est autorisé à se connecter au réseau étendu, au réseau local et/ou au
réseau local sans fil. Si c'est le cas, le tunnel de l'utilisateur est créé.

Utilisateurs
Les utilisateurs s'authentifient avec un identificateur client (nom d'utilisateur)
et une clé pré-partagée que vous leur affectez. Ils saisissent dans leur logiciel
client le nom d'utilisateur et le mot de passe qui leur sont envoyés lorsqu'ils
tentent de créer un tunnel VPN avec la passerelle de sécurité.
Les utilisateurs sont définis sur le boîtier et peuvent aussi utiliser
l'authentification étendue.
92 Etablissement de connexions VPN sécurisées
Identification des utilisateurs

Définition des utilisateurs


Vous devez obtenir auprès de l'administrateur du serveur RADIUS toutes les
informations d'authentification pertinentes et les transmettre aux utilisateurs
utilisant l'authentification étendue.

Pour définir les utilisateurs


Les utilisateurs sont définis sur le boîtier et peuvent aussi utiliser
l'authentification étendue. Les utilisateurs dynamiques doivent utiliser
l'authentification étendue et ne sont pas définis sur le boîtier.

Pour configurer les utilisateurs


Se reporter à "Onglet Utilisateurs distants" à la page 218.
1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans le volet droit, dans l'onglet Utilisateurs clients, saisissez le nom d'un
nouvel utilisateur sous Identité utilisateur VPN, dans la zone Nom
d'utilisateur.
3 Pour modifier un utilisateur existant, sélectionnez un utilisateur dans la
liste déroulante Utilisateur.
4 Cliquez sur Activer.
5 Dans la zone Clé pré-partagée, saisissez la clé pré-partagée.
6 Dans la liste déroulante Groupe VPN, sélectionnez un groupe VPN pour
l'utilisateur.
7 Cliquez sur Ajouter.

Pour activer les utilisateurs avec authentification étendue


Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans l'onglet Avancé, sous Paramètres de client VPN dynamique, procédez
comme suit :
■ Cochez Activer les tunnels de client VPN dynamique.
■ Dans la zone Clé pré-partagée, saisissez la clé que vos utilisateurs
dynamiques devront saisir dans leur logiciel client.
Etablissement de connexions VPN sécurisées 93
Identification des utilisateurs

3 Dans la section Paramètres RADIUS, procédez comme suit :

Serveur RADIUS principal Saisissez l'adresse IP ou le nom de domaine complet du


serveur RADIUS

Serveur RADIUS Saisissez l'adresse IP ou le nom de domaine complet


secondaire du serveur RADIUS que la passerelle de sécurité doit
utiliser pour l'authentification si le serveur principal est
inutilisable.

Port d'authentification Saisissez le port du serveur RADIUS sur lequel le service


(UDP) RADIUS s'exécute.

Secret partagé ou clé Saisissez la clé de serveur Radius.

4 Cliquez sur Enregistrer.


5 Dans l'onglet Tunnels clients, sélectionnez dans la liste déroulante Groupe
VPN le groupe VPN dont les utilisateurs avec authentification étendue
font partie.
6 Sous Authentification utilisateur étendue, procédez comme suit :
■ Cochez Activer l'authentification utilisateur étendue.
■ Dans la zone Liaison de groupe RADIUS, saisissez le nom du groupe
RADIUS de l'utilisateur.
Le groupe RADIUS est affecté à l'utilisateur sur le serveur RADIUS.
Le serveur RADIUS doit renvoyer dans l'attribut filterID la valeur que
vous saisissez dans la zone Liaison de groupe RADIUS.
7 Cliquez sur Enregistrer.
94 Etablissement de connexions VPN sécurisées
Configuration de tunnels entre passerelles

Affichage de la liste des utilisateurs


La section Liste d'utilisateurs de la fenêtre Utilisateurs clients contient le
récapitulatif de chacun des utilisateurs statiques configurés sur le boîtier.
Le Tableau 6-3 définit chacun des champs de la liste récapitulative.
Tableau 6-3 Champs de la liste des utilisateurs

Champ Description

Nom d'utilisateur Nom d'utilisateur spécifié pour l'utilisateur statique.

Activer Indique si cet utilisateur peut établir des tunnels VPN avec
la passerelle de sécurité.

Clé pré-partagée Affiche la clé pré-partagée spécifiée pour l'utilisateur.

Groupe VPN Liste les groupes VPN pour lesquels l'utilisateur est
configuré.

Configuration de tunnels entre passerelles


Les tunnels entre passerelles aident à sécuriser votre réseau interne en
fournissant un pont sécurisé vers un réseau local externe. Plusieurs étapes sont
nécessaires pour sécuriser efficacement le réseau en cas d'utilisation de tunnels
entre passerelles. La section suivante décrit les tunnels entre passerelles et leur
configuration.

Tunnels entre passerelles


Ces tunnels permettent de rendre vos ressources réseau accessibles à un groupe
externe (par exemple d'autres bureaux de la même société). Au lieu que chaque
utilisateur du réseau externe doive établir sa propre connexion sécurisée, vous
pouvez créer un tunnel entre passerelles, qui rend les ressources de chacun des
réseaux accessibles à l'autre. Ce type de tunnel est de type réseau local à réseau
local (par opposition à un tunnel de type utilisateur à réseau local).
Le boîtier prend en charge les tunnels entre passerelles. Une configuration de ce
type correspond au cas où deux passerelles de sécurité sont connectées via un
réseau interne, via Internet ou via une connexion d'un port de réseau étendu à
un autre port de réseau étendu.
Etablissement de connexions VPN sécurisées 95
Configuration de tunnels entre passerelles

Figure 6-1 Configuration de tunnel VPN entre passerelles

Ce type de configuration réseau connecte généralement deux sous-réseaux d'un


même réseau, ou deux sites distants via Internet (comme cela est décrit dans la
Figure 6-1). Une fois qu'un tunnel VPN a été établi, les utilisateurs protégés par
la passerelle de sécurité d'un des deux sites peut établir une connexion via le
tunnel à la passerelle de sécurité qui protège l'autre site. L'utilisateur distant
peut se connecter aux ressources du réseau privé comme si la station de travail
distante se trouvait physiquement à l'intérieur du réseau protégé.
Le boîtier Symantec Gateway Security 300 peut se connecter à un autre boîtier
Symantec Gateway Security 300 ou à l'un des boîtiers suivants :
■ Symantec Gateway Security 5400
■ Boîtier Symantec Firewall/VPN
Les passerelles de sécurité Symantec Gateway Security 300 prennent en charge
la création d'un tunnel VPN avec jusqu'à cinq sous-réseaux distants situés
derrière des boîtiers Symantec Enterprise Firewall ou Symantec Gateway
Security 5400 mais pas avec un autre boîtier Symantec Gateway Security 300
ni avec un boîtier Symantec Firewall/VPN. Les tunnels entre deux boîtiers
Symantec Gateway Security 300 ne sont établis qu'avec le sous-réseau du côté
réseau local du boîtier et ne prennent en charge que le premier ensemble (sous-
réseau/masque réseau) des cinq ensembles de champs que vous définissez dans
les onglets VPN > Tunnels dynamiques ou VPN > Tunnels statiques.
96 Etablissement de connexions VPN sécurisées
Configuration de tunnels entre passerelles

Si vous avez un autre sous-réseau sur le côté réseau local de la passerelle de


sécurité Symantec Gateway Security 300, les tunnels clients VPN vers le côté
réseau local de la passerelle de sécurité ne sont pas pris en charge pour les
ordinateurs de ce sous-réseau. Seuls les ordinateurs se trouvant sur le sous-
réseau du boîtier (défini dans l'écran IP réseau local) sont pris en charge pour les
tunnels VPN du côté réseau local/réseau local sans fil.

Remarque : Les tunnels VPN entre passerelles sont pris en charge uniquement
sur les ports de réseau étendu du boîtier ; vous ne pouvez pas définir des tunnels
VPN entre passerelles sur les ports de réseau local/réseau local sans fil
du boîtier.

Tunnels VPN entre passerelles pris en charge


Le boîtier Symantec Gateway Security 300 permet de configurer deux types de
tunnels VPN entre passerelles :

Dynamique La passerelle de sécurité intègre une stratégie IKE globale prédéfinie qui
est automatiquement appliquée à vos négociations IKE de phase 1. Vous
pouvez modifier le paramètre de durée de vie de l'association de sécurité de
la stratégie IKE globale. La durée de vie de l'association de sécurité spécifie
la durée (en minutes) après laquelle les clés du tunnel doivent être
renégociées. Ce paramètre se trouve dans VPN > Avancé > Paramètres IKE
globaux (clé phase 1).

Statique Les configurations entre passerelles statiques imposent de saisir les


paramètres de tunnel sur chaque passerelle de sécurité. Les deux
extrémités doivent utiliser les mêmes paramètres, y compris au niveau des
clés secrètes, des SPI (Security Parameter Indexes – index de paramètre de
sécurité), des schémas d'authentification et des méthodes de cryptage.

Se reporter à "Configuration de tunnels entre passerelles" à la page 94. Se


reporter à "Configuration de tunnels statiques entre passerelles" à la page 100.

Persistance des tunnels VPN entre passerelles et haute


disponibilité
Après le redémarrage de la passerelle de sécurité, les tunnels VPN entre
passerelles sont rétablis. Les tunnels VPN dynamiques entre passerelles sont
aussi rétablis si l'état du port de réseau étendu passe de déconnecté à connecté.
Cette fonctionnalité réduit le travail de gestion en reconnectant
automatiquement les tunnels.
Etablissement de connexions VPN sécurisées 97
Configuration de tunnels entre passerelles

Si le rétablissement du tunnel VPN échoue trois fois, la passerelle de sécurité


attend entre une et cinq minutes avant de tenter de nouveau de se reconnecter.
Cette procédure continue jusqu'à ce que le tunnel VPN soit rétabli.
En cas du défaillance du réseau, la passerelle de sécurité rétablit
automatiquement le tunnel VPN via le port de secours (le deuxième port de
réseau étendu ou le port série). Si l'adresse IP de la passerelle de sécurité change,
le boîtier rétablit les tunnels VPN avec la passerelle distante en utilisant la
nouvelle adresse IP.

Interopérabilité de tunnels VPN entre passerelles


Lorsqu'un boîtier Symantec Gateway Security 5400 ou Symantec Enterprise
Firewall initie un tunnel entre passerelles avec un boîtier Symantec Gateway
Security 300, il débute la négociation dans le mode principal. Le mode défini
pour le tunnel VPN sur le Symantec Gateway Security 300 doit être Mode
principal, sinon le tunnel VPN ne pourra pas être établi.
Les boîtiers Symantec Gateway Security 5400 et Symantec Enterprise Firewall
acceptent les négociations de phase 1 avec une passerelle distante en mode
Mode principal et en Mode agressif. Le boîtier Symantec Gateway Security 300
peut être configuré pour le mode Mode principal ou Mode agressif. La valeur par
défaut est Mode principal. Lorsque vous initiez un tunnel VPN avec un boîtier
Symantec Gateway Security 5400 ou Symantec Enterprise Firewall, configurez
le boîtier Symantec Gateway Security pour utiliser le Mode principal afin que la
connexion ne soit pas établie si le côté distant tente d'initier le tunnel VPN.
Lorsqu'une passerelle non Symantec initie un tunnel VPN avec un boîtier
Symantec Gateway Security 300, le boîtier Symantec Gateway Security 300
accepte le mode défini par l'administrateur dans la définition de tunnel.
Lorsqu'une passerelle Symantec Gateway Security 300 initie un tunnel VPN
avec une passerelle de sécurité non Symantec, le boîtier Symantec Gateway
Security 300 doit utiliser le mode défini par l'administrateur dans la définition
de tunnel ; par défaut, le paramètre est Mode principal. Si le mode principal
n'est pas utilisé, des problèmes de régénération des clés peuvent survenir si
la passerelle de sécurité distante tente de déclencher la régénération des clés
en premier.
98 Etablissement de connexions VPN sécurisées
Configuration de tunnels entre passerelles

Création de tunnels VPN avec des groupes de boîtiers


Symantec Gateway Security 5400
Pour créer un tunnel VPN avec un groupe haute disponibilité de boîtiers
Symantec Gateway Security 5400, vous devez définir le tunnel VPN en utilisant
l'adresse IP du cluster. Les tunnels établis entre les boîtiers Symantec Gateway
Security 300 et Symantec Gateway Security 5400 ne sont pris en charge qu'en
mode haute disponibilité.

Configuration de tunnels dynamiques entre passerelles


Les tunnels dynamiques, aussi appelés tunnels IKE (Internet Key Exchange –
échange de clé Internet), génèrent automatiquement les clés d'authentification
et de cryptage. En général, un long mot de passe appelé clé pré-partagée (aussi
appelé secret partagé) est spécifié. La passerelle de sécurité cible doit
reconnaître cette clé pour que l'authentification réussisse. Si la clé est correcte,
le SPI (Security Parameter Index – index de paramètre de sécurité), les clés
d'authentification et de cryptage sont générés automatiquement et le tunnel
est créé. La passerelle de sécurité déclenche généralement une régénération
automatique des clés (génération d'une nouvelle clé) à des intervalles réguliers
pour préserver la confidentialité de la clé.

Etapes de la configuration de tunnels dynamiques entre


passerelles
Le Tableau 6-4 résume les étapes de la configuration de tunnels dynamiques
entre passerelles.

Remarque : Vous devez effectuer la procédure du Tableau 6-4 deux fois :


une première fois pour la passerelle de sécurité locale, puis pour la passerelle de
sécurité distante.

Tableau 6-4 Etapes de configuration de VPN entre passerelles dynamiques

Tâche SGMI

Configurer une stratégie VPN (négociation IKE VPN > Stratégies VPN
de phase 2).
(facultatif)

Créer un tunnel dynamique. VPN > Tunnels dynamiques


Etablissement de connexions VPN sécurisées 99
Configuration de tunnels entre passerelles

Tableau 6-4 Etapes de configuration de VPN entre passerelles dynamiques (Suite)

Tâche SGMI

Définir les paramètres de l'association de VPN > Tunnels dynamiques >


sécurité IPsec. Association de sécurité IPsec
Sélectionner une stratégie VPN.

Définir la passerelle de sécurité locale. VPN > Tunnels dynamiques >


Passerelle de sécurité locale

Définir la passerelle de sécurité distante. VPN > Tunnels dynamiques >


Passerelle de sécurité distante

Les tâches précédentes doivent être également


effectuées pour la passerelle de sécurité
distante.

Pour ajouter un tunnel entre passerelles dynamiques


Se reporter à "Onglet Tunnels dynamiques" à la page 209.
1 Dans le volet gauche, cliquez sur VPN.
2 Dans l'onglet Tunnels dynamiques, saisissez un nom pour le nouveau
tunnel dans la zone Nom.
3 Pour modifier un tunnel existant, dans la liste déroulante Tunnel VPN,
sélectionnez un tunnel VPN.
4 Cochez Activer tunnel VPN.
5 Dans la liste déroulante Stratégie VPN, sélectionnez la stratégie VPN à
laquelle vous voulez lier le tunnel.
6 Si vous avez un compte PPPoE multi-sessions, sélectionnez la session
PPPoE à laquelle vous voulez lier le tunnel sous Passerelle de sécurité
locale, dans la liste déroulante Session PPPoE.
Si vous n'avez pas de compte PPPoE multi-sessions, sautez cette étape.
7 Pour les modèles 360 et 360R, sélectionnez un point terminal pour le tunnel
dans la liste Point terminal local.
8 Dans la liste déroulante Type ID, sélectionnez un type d'ID de phase 1.
9 Dans la zone ID phase 1, saisissez l'ID de phase 1.
100 Etablissement de connexions VPN sécurisées
Configuration de tunnels entre passerelles

10 Sous Passerelle de sécurité distante, procédez comme suit :


■ Dans la zone Adresse de passerelle, saisissez l'adresse de la passerelle
distante.
■ Facultativement, dans la liste déroulante Type ID, sélectionnez un type
d'ID de phase 1.
■ Facultativement, dans la zone ID de phase 1, saisissez l'ID de phase 1.
■ Dans la zone Clé pré-partagée, spécifiez une clé.
■ Dans chaque zone IP de sous-réseau distant, saisissez l'adresse IP du
réseau de destination.
Pour créer un tunnel global, saisissez 0.0.0.0.
■ Dans chaque zone Masque, saisissez le masque réseau du réseau de
destination.
Pour créer un tunnel global, saisissez 255.0.0.0.
11 Cliquez sur Ajouter.

Configuration de tunnels statiques entre passerelles


Les tunnels statiques n'utilisent aucune information de la stratégie IKE globale
(négociation de phase 1). Vous devez spécifier manuellement toutes les
informations nécessaires à l'établissement du tunnel. Cependant, vous pouvez
définir une stratégie VPN pour la négociation de phase 2.
Lorsque vous définissez des tunnels statiques, vous devez saisir une clé
d'authentification et une clé de cryptage (si le cryptage est utilisé). Les clés des
deux côtés du VPN doivent correspondre. De plus, un SPI (Security Parameter
Index – index de paramètre de sécurité) doit être spécifié manuellement et inclus
dans chacun des paquets transmis entre les passerelles de sécurité. Le SPI est un
identifiant de passerelle unique qui indique le jeu de clés appartenant à
chaque paquet.
Etablissement de connexions VPN sécurisées 101
Configuration de tunnels entre passerelles

Longueur des clés de cryptage et d'authentification


Lorsque vous définissez un tunnel statique, vous devez saisir une clé
d'authentification et une clé de cryptage. Chaque clé a une longueur spécifique
qui dépend de la méthode choisie. Pour chaque méthode, une longueur de clé
est définie avec des caractères ASCII et avec des caractères hexadécimaux.
Le Tableau 6-5 répertorie les longueurs de clé de cryptage.

Tableau 6-5 Longueurs de clé de cryptage

Méthode Longueur de clé en octets Longueur de clé en


hexadécimal

DES 8 18 (0x + 16 chiffres


hexadécimaux)

3DES 24 50 (0x + 20 chiffres


hexadécimaux)

AES-128 16 18 (0x + 20 chiffres


hexadécimaux)

AES-192 24 50 (0x + 20 chiffres


hexadécimaux)

AES-256 32 66 (0x + 20 chiffres


hexadécimaux)

Le Tableau 6-6 répertorie les longueurs de clé d'authentification.

Tableau 6-6 Longueurs de clé d'authentification

Méthode Longueur de clé en octets Longueur de clé en


hexadécimal

MD5 16 34 (0x + 16 chiffres


hexadécimaux)

SHA1 20 42 (0x + 20 chiffres


hexadécimaux)
102 Etablissement de connexions VPN sécurisées
Configuration de tunnels entre passerelles

Configuration de tunnels statiques entre passerelles


Le Tableau 6-7 décrit les étapes de la configuration de tunnels statiques entre
passerelles.

Remarque : Vous devez effectuer la procédure du Tableau 6-7 deux fois : une
première fois pour la passerelle de sécurité locale, puis pour la passerelle de
sécurité distante.

Tableau 6-7 Etapes de configuration de tunnel statique

Tâche SGMI

Configurer une stratégie VPN (négociation IKE VPN > Stratégies VPN
de phase 2).
(facultatif)

Créer un tunnel statique. VPN > Tunnels statiques

Définir les paramètres de l'association de VPN > Tunnels statiques >


sécurité IPsec. Association de sécurité IPsec

Définir la passerelle de sécurité distante. VPN > Tunnels statiques > Passerelle
de sécurité distante

Les tâches précédentes doivent être également


effectuées pour la passerelle de sécurité
distante.

Pour ajouter un tunnel statique entre passerelles


Se reporter à "Onglet Tunnels statiques" à la page 213.
1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans le volet droit, dans l'onglet Tunnels statiques, sous Association de
sécurité IPsec, dans la zone Nom du tunnel, spécifiez un nom pour le tunnel.
Pour modifier un tunnel statique existant, dans la liste déroulante Tunnel
VPN, sélectionnez un tunnel VPN.
3 Cochez Activer tunnel VPN.
4 Si vous avez un compte PPPoE multi-sessions, sous Passerelle de sécurité
locale, dans la liste déroulante Session PPPoE, sélectionnez la session
PPPoE à laquelle vous voulez lier le tunnel. Si vous n'avez pas de compte
PPPoE multi-sessions, sautez cette étape.
5 Pour les modèles 360 et 360R, dans la liste Point terminal local,
sélectionnez un point terminal pour le tunnel.
Etablissement de connexions VPN sécurisées 103
Configuration de tunnels entre passerelles

6 Dans la zone SPI entrant, spécifiez le SPI entrant (qui doit correspondre au
SPI distant).
7 Dans la zone SPI sortant, spécifiez le SPI sortant (qui doit correspondre au
SPI local du côté distant).
8 Dans la liste déroulante Stratégie VPN, sélectionnez la stratégie VPN à
laquelle vous voulez lier le tunnel.
Vous pouvez utiliser une stratégie VPN existante ou en créer une nouvelle.
Se reporter à "Concept de stratégie VPN" à la page 87.
9 Dans la zone Clé de cryptage, spécifiez la clé de cryptage correspondant à la
stratégie VPN choisie.
La longueur de l'entrée doit correspondre à la stratégie VPN.
10 Dans la zone Clé d'authentification, spécifiez la clé d'authentification
correspondant à la stratégie VPN choisie.
11 Sous Passerelle de sécurité distante, dans la zone Adresse de passerelle,
saisissez l'adresse de la passerelle de Symantec Enterprise VPN.
12 En regard de la zone Diffusion NetBIOS, cliquez sur Désactiver.
13 En regard de la zone Tunnel global, cliquez sur Désactiver.
14 Dans la zone IP de sous-réseau distant, saisissez l'adresse IP du sous-réseau
distant vers le réseau de destination.
Pour créer un tunnel global, saisissez 0.0.0.0.
15 Dans chaque zone Masque, saisissez le masque du réseau de destination.
Pour créer un tunnel global, saisissez 255.0.0.0.
16 Cliquez sur Ajouter.

Communication des informations à l'administrateur


de la passerelle distante
Le Tableau 6-8 énumère les informations que vous devez fournir à
l'administrateur du boîtier avec lequel vous créez un tunnel entre passerelles.
Tableau 6-8 Informations à communiquer à l'administrateur de la passerelle
distante

Information Valeur

Adresse IP

Clé d'authentification
(tunnel statique)
104 Etablissement de connexions VPN sécurisées
Configuration de tunnels VPN client à passerelle

Tableau 6-8 Informations à communiquer à l'administrateur de la passerelle


distante (Suite)

Information Valeur

Clé de cryptage
(tunnel statique)

SPI (tunnel statique)

Clé pré-partagée

Sous-réseau/masque locaux

Méthode de cryptage de la stratégie VPN

Méthode d'authentification de la
stratégie VPN

ID de phase 1 locale (facultatif)

Configuration de tunnels VPN client à passerelle


Les tunnels VPN client à passerelle permettent à des utilisateurs distants
exécutant le logiciel Symantec Client VPN (ou un autre logiciel client VPN
compatible IPsec) de se connecter en toute sécurité via Internet à un réseau
sécurisé par une passerelle de sécurité Symantec.

Fonctionnement des tunnels VPN client à passerelle


Le boîtier Symantec Gateway Security 300 prend en charge les tunnels VPN
client à passerelle. Une configuration client à passerelle est créée lorsqu'une
station de travail exécutant le logiciel Symantec Client VPN se connecte à la
passerelle de sécurité depuis l'intérieur d'un réseau protégé ou depuis un
emplacement distant via Internet.

Remarque : Les clients sans fil peuvent utiliser des tunnels client à passerelle
pour sécuriser leurs connexions. Consultez le Guide de mise en œuvre de réseau
sans fil Symantec Gateway Security 300.

Une fois qu'un tunnel VPN a été établi, les utilisateurs distants peuvent accéder
aux ressources du réseau privé via Internet, comme si la station de travail
distante se trouvait physiquement à l'intérieur du réseau protégé (voir la
Figure 6-2).
Etablissement de connexions VPN sécurisées 105
Configuration de tunnels VPN client à passerelle

Figure 6-2 Configuration de tunnel VPN client à passerelle

Symantec Client VPN


(réseau local)

Internet
Symantec Gateway Symantec Client VPN
Symantec Client VPN Security 300 (réseau local)
(réseau étendu)

Symantec Client VPN


(réseau local)

Dans ce diagramme, un client établit un tunnel à distance (réseau étendu) et


trois clients internes établissent un tunnel en interne (réseau local).
Vous pouvez définir pour chaque groupe VPN les paramètres réseau à
télécharger sur le client pendant le mode de configuration de phase 1.
Ces paramètres incluent les serveurs DNS (principal et secondaire), les serveurs
WINS et le contrôleur de domaine principal. Le fait d'envoyer (push) ces
informations aux clients pendant le mode configuration évite à chacun des
clients d'avoir à configurer ces paramètres tout seul, ce qui fait gagner du temps
et évite les risques d'erreur.
Pour les tunnels VPN du côté réseau local, le client ne peut accéder qu'au sous-
réseau défini dans l'écran IP réseau local.
Se reporter à "Configuration des paramètres IP de réseau local" à la page 60.
Les tunnels VPN client à passerelle Symantec exigent une identification de
client et une clé partagée. Pour une authentification plus sécurisée, vous pouvez
également utiliser l'authentification étendue avec un serveur RADIUS pour les
tunnels VPN client à passerelle.
Se reporter à "Définition des utilisateurs" à la page 92.
Vous pouvez configurer deux types d'utilisateur de tunnel client à passerelle :
dynamique et statique.
Se reporter à "Identification des utilisateurs" à la page 91.
106 Etablissement de connexions VPN sécurisées
Configuration de tunnels VPN client à passerelle

Fonctionnement des tunnels globaux


Lorsqu'un client établit un tunnel VPN sur le réseau local, un tunnel global
(0.0.0.0) est configuré pour le client. Cela force tout le trafic du client à passer
par le tunnel VPN qui aboutit au boîtier. Cela est utile pour les réseaux non sûrs
(comme les réseaux sans fil), pour assurer la sécurité du trafic.
Lorsque vous établissez un tunnel sur le réseau étendu, le sous-réseau du boîtier
(par défaut 192.168.0.0) configuré pour le client autorise une division du tunnel,
afin que le client puisse toujours accéder directement à Internet et que seul le
trafic destiné au réseau local soit envoyé via le tunnel VPN.

Configuration de tunnels VPN client à passerelle


Le Tableau 6-9 décrit les étapes de la configuration de tunnels VPN client à
passerelle.

Tableau 6-9 Configuration de tunnel VPN client à passerelle

Tâche SGMI

Configurer une stratégie VPN (négociation IKE VPN > Stratégies VPN
de phase 2). Cette étape est facultative.

Identifier les utilisateurs distants. VPN > Utilisateurs clients > Identité
utilisateur VPN

Activer le tunnel client pour le groupe VPN VPN > Tunnels clients > Définition de
sélectionné. tunnel de groupe

En option, configurer les paramètres réseau VPN > Tunnels clients > Paramètres
VPN (envoyés au client pendant la négociation). réseau VPN

En option, configurer l'authentification VPN > Tunnels clients >


RADIUS. Authentification utilisateur étendue
VPN > Avancé > Paramètres RADIUS

En option, configurer l'application de la VPN > Tunnels clients > Stratégie


stratégie antivirus. antivirus

Sélectionner la stratégie VPN appliquée VPN > Avancé > Paramètres de client
au tunnel. VPN globaux
Etablissement de connexions VPN sécurisées 107
Configuration de tunnels VPN client à passerelle

Configuration de tunnels VPN clients


Cette section décrit la configuration de tunnels VPN clients. Cette configuration
comprend les tâches suivantes :
■ Activation des tunnels clients pour les groupes VPN sélectionnés pour les
connexions au réseau étendu et/ou les connexions au réseau local filaire ou
sans fil.
■ Configuration des paramètres réseau VPN, qui sont envoyés au client
pendant la négociation du tunnel (facultatif).
■ Configuration de l'authentification RADIUS (facultatif).
■ Configuration de l'application de la stratégie antivirus (facultatif).
■ Configuration du filtrage de contenu (facultatif).
Si vous activez le filtrage de contenu pour les clients VPN du réseau étendu
du côté distant, vous devez disposer de serveurs DNS sur le réseau local.
Dans Symantec Client VPN version 8.0, vous pouvez définir deux types de
tunnels : un pour le réseau étendu utilisant le nom de domaine et un pour le
réseau local utilisant l'adresse IP. Ensuite, vous pouvez placer ces tunnels
dans un groupe de passerelles. Ainsi, lorsque vous créez le tunnel, si le
premier tunnel échoue (par exemple parce que le nom ne peut pas être
résolu), l'adresse IP peut être utilisée pour établir la connexion.
Consultez le Guide de l'utilisateur de Symantec Client VPN.

Pour définir les tunnels clients


Se reporter à "Onglet Tunnels clients" à la page 216.
1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans le volet droit, dans l'onglet Tunnels clients, sélectionnez un groupe
VPN sous Définition de tunnel de groupe, dans la liste déroulante
Groupe VPN.
3 Pour activer les VPN clients pour le groupe VPN sur les connexions au
réseau étendu ou au réseau local filaire/sans fil, cliquez sur l'une des
options suivantes (ou les deux) :
■ Activer VPN client du côté réseau étendu
■ Activer VPN client du côté réseau local/sans fil
4 En option, saisissez le nom du serveur DNS principal sous Paramètres
réseau VPN, dans la zone DNS principal.
108 Etablissement de connexions VPN sécurisées
Configuration de tunnels VPN client à passerelle

5 En option, saisissez le nom du serveur DNS secondaire sous Paramètres


réseau VPN, dans la zone DNS secondaire.
Le service DNS est un service Internet qui traduit les noms de domaines en
adresses IP.
6 En option, saisissez le nom du serveur WINS principal dans la zone WINS
principal.
Il s'agit d'une étape facultative. WINS (Windows Internet Naming Service –
système d'attribution de nom Internet Windows) est un système qui
détermine l'adresse IP associée à chaque ordinateur réseau.
7 En option, saisissez le nom du serveur WINS secondaire dans la zone WINS
secondaire.
8 En option, saisissez le nom du contrôleur de domaine principal dans la zone
Contrôleur de domaine principal.
9 (facultatif) Sous Authentification utilisateur étendue, cochez Activer
l'authentification utilisateur étendue.
10 (facultatif) Dans la zone Liaison de groupe RADIUS, saisissez le nom du
groupe de liaison RADIUS.
Le nom du groupe de liaison RADIUS doit correspondre au paramètre
filterID renvoyé par le serveur RADIUS.
11 Pour activer AVpe (application de la stratégie antivirus), sous Stratégie de
client de réseau étendu, procédez comme suit :
■ Cochez Activer l'application de la stratégie antivirus.
■ Pour qu'un avertissement soit consigné sur le boîtier Symantec
Gateway Security lorsqu'un utilisateur non conforme à la stratégie
AVpe se connecte, cliquez sur Avertir seulement.
■ Pour bloquer le trafic de tout utilisateur non conforme à la stratégie
AVpe, cliquez sur Bloquer les connexions.
12 Pour activer le filtrage de contenu, sous Stratégie de client de réseau
étendu, procédez comme suit :
■ Cochez Activer le filtrage du contenu.
■ Pour autoriser certains trafics et bloquer tous les autres, cochez
Utiliser la liste d'autorisations.
■ Pour bloquer certains trafics et autoriser tous les autres, cochez
Utiliser la liste d'interdictions.
13 Cliquez sur Mettre à jour.
Etablissement de connexions VPN sécurisées 109
Configuration de tunnels VPN client à passerelle

Configuration des paramètres de stratégie globaux pour les tunnels


VPN client à passerelle
Certains paramètres peuvent être configurés au niveau global pour les tunnels
VPN client à passerelle. Ces paramètres permettent de configurer le type d'ID
de phase 1 pour tous les tunnels clients VPN se connectant à la passerelle
de sécurité.
Ces paramètres sont communs aux trois groupes VPN.

Pour configurer les paramètres de stratégie globaux pour les tunnels VPN
client à passerelle
Se reporter à "Onglet Avancé" à la page 193.
1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans le volet droit, dans l'onglet Avancé, sous Paramètres de client VPN
globaux, procédez comme suit :
■ Dans la liste déroulante Type ID de phase 1 passerelle locale,
sélectionnez un type d'ID.
■ Dans la zone ID de phase 1 passerelle locale, saisissez la valeur
correspondant au type d'ID que vous avez choisi.
■ Dans la liste déroulante Stratégie VPN, sélectionnez la stratégie VPN à
appliquer à tous les tunnels clients.
3 Sous Paramètres de client VPN dynamique, procédez comme suit :
■ Pour activer les utilisateurs dynamiques pour les trois groupes VPN,
cliquez sur Activer les tunnels de client VPN dynamique.
■ Dans la zone Clé pré-partagée, saisissez la chaîne de caractères
correspondant à la clé.
4 Cliquez sur Enregistrer.

Partage des informations avec les clients


Après la configuration du tunnel VPN client à passerelle, vous devez diffuser
les informations de la passerelle à vos clients pour qu'ils puissent s'y connecter.
Utilisez le Tableau 6-10 pour noter les informations à transmettre à vos clients
pour qu'ils puissent se connecter à la passerelle de sécurité.

Tableau 6-10 Informations à communiquer aux clients

Information Valeur

Adresse IP ou nom de domaine complet de


la passerelle
110 Etablissement de connexions VPN sécurisées
Supervision de l'état des tunnels VPN

Tableau 6-10 Informations à communiquer aux clients (Suite)

Information Valeur

Clé pré-partagée (utilisateur standard) Ne communiquez ces informations que par


oral ou d'une manière sécurisée.

ID client

Nom d'utilisateur RADIUS


(facultatif)

Secret partagé RADIUS (utilisateur avec


authentification étendue)
(facultatif)

ID phase 1
(facultatif)

Supervision de l'état des tunnels VPN


La fenêtre Etat VPN permet de consulter l'état de chacun des tunnels VPN entre
passerelles dynamiques et statiques. L'état des tunnels statiques est soit Activé
soit Désactivé ; l'état des tunnels dynamiques est Connecté, Activé ou Désactivé.
L'état des tunnels statiques n'est jamais Connecté parce qu'il n'y a pas de
négociation pour les tunnels statiques.
Les informations de la fenêtre d'état sont à jour au moment où vous les
consultez. Les conditions peuvent changer pendant que vous consultez cet
écran. Cliquez sur Actualiser pour mettre à jour les informations affichées.

Pour superviser l'état des tunnels VPN


Vous pouvez superviser l'état des tunnels en vérifiant les deux extrémités du
tunnel et en consultant la fenêtre Etat.
Se reporter à "Onglet Etat" à la page 221.

Pour vérifier que le tunnel est fonctionnel à ses deux extrémités


◆ Depuis un hôte local, envoyez une requête PING à un ordinateur du
réseau distant.

Pour actualiser les informations de la fenêtre Etat


1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans le volet droit, dans l'onglet Etat, en bas de la fenêtre Etat, cliquez
sur Actualiser.
Chapitre 7
Supervision avancée
du trafic réseau
Ce chapitre traite des sujets suivants :

■ Application de la stratégie antivirus (AVpe)

■ Avant de commencer à configurer AVpe

■ Configuration d'AVpe

■ Supervision de l'état du serveur antivirus

■ Vérification du fonctionnement d'AVpe

■ A propos du filtrage de contenu

■ Gestion des listes de filtrage de contenu


■ Supervision du filtrage de contenu
Les fonctionnalités de supervision avancée du trafic réseau du Boîtier Symantec
Gateway Security 300 incluent l'application de la stratégie antivirus (AVpe) et le
filtrage de contenu.
AVpe permet de contrôler les configurations AVpe des clients et, si nécessaire,
d'imposer des stratégies de sécurité pour restreindre l'accès du réseau aux
clients protégés par le logiciel antivirus et les définitions de virus correspondant
à la stratégie définie.
Le boîtier prend aussi en charge un filtrage élémentaire du contenu pour
le trafic sortant. Vous utilisez le filtrage de contenu pour limiter les URL
auxquelles les clients ont accès. Par exemple, pour empêcher vos utilisateurs
de visiter des sites de casinos en ligne, vous pouvez configurer le filtrage du
contenu pour refuser l'accès aux URL de sites de jeu que vous spécifiez.
112 Supervision avancée du trafic réseau
Application de la stratégie antivirus (AVpe)

Application de la stratégie antivirus (AVpe)


AVpe supervise la configuration antivirus des serveurs et des stations de travail
clientes Symantec tentant d'accéder à votre réseau d'entreprise. Consultez les
notes de version de Symantec Gateway Security 300 correspondant à votre
version de produit pour déterminer les produits antivirus pris en charge et les
particularités éventuelles de leur configuration et de leur utilisation.
AVpe fonctionne dans deux environnements différents : un réseau avec un
serveur Symantec AntiVirus Corporate Edition interne qui gère les informations
antivirus ou un réseau de clients autonomes.
Si votre réseau dispose d'un serveur Symantec AntiVirus Corporate Edition
interne, lorsque vous configurez AVpe, vous pouvez spécifier un serveur
antivirus principal et un serveur antivirus secondaire (facultatif) accessibles à
votre réseau via des connexions de réseau local ou de réseau étendu. Si votre
réseau contient des clients autonomes, vous pouvez désigner l'un des clients
comme maître par rapport auquel les autres clients vérifieront la version de
leurs informations.
La première fois qu'un client du réseau interne demande une connexion DHCP,
tente d'établir une connexion avec l'extérieur ou initie un tunnel VPN (ayant
pour origine votre réseau local ou une commande à distance via Internet), le
boîtier récupère la configuration de stratégie antivirus de ce client et la compare
aux critères fixés par la stratégie antivirus. Si le client n'est pas en conformité,
le trafic est averti ou bloqué (selon la configuration d'AVpe) et un message est
consigné.
Vous pouvez configurer le boîtier pour qu'il supervise les configurations des
clients ou des serveurs à des intervalles spécifiés (le paramètre par défaut est
toutes les dix minutes). Une fois qu'un client s'est connecté, le boîtier vérifie la
conformité des informations d'antivirus de ce client à des intervalles spécifiés
par l'utilisateur. Après un intervalle spécifié (l'intervalle par défaut est de huit
heures), les clients sont interrogés pour vérifier à nouveau leur conformité. Si le
système de référence de la stratégie antivirus montre que des mises à jour ont
été effectuées, les clients disposent d'une période de grâce de huit heures
(intervalle LiveUpdate par défaut sur les clients autonomes) pendant laquelle ils
resteront conformes s'ils ont la version la plus récente des définitions. Après
cette période, les clients sont considérés non conformes à la stratégie antivirus.
Supervision avancée du trafic réseau 113
Application de la stratégie antivirus (AVpe)

Le Tableau 7-1 décrit l'état de conformité du client et les mesures prises.


Tableau 7-1 Actions de mise en conformité du client

Si Alors

Le client est en conformité L'accès au pare-feu est accordé au client.


avec les stratégies antivirus
en cours

La protection antivirus est La connexion est autorisée mais le boîtier consigne un


périmée avertissement ou bloque complètement l'accès (selon
l'option configurée).

Les clients auxquels l'accès est refusé peuvent toujours se connecter aux
serveurs Symantec AntiVirus Corporate Edition ou Symantec LiveUpdate pour
mettre à jour leurs définitions de virus.
Vous déterminez comment la conformité à la stratégie de sécurité doit être
appliquée aux clients locaux en utilisant des groupes d'ordinateurs. Tous les
clients locaux font partie d'un groupe d'ordinateurs. Pour chaque groupe
d'ordinateurs, vous pouvez activer ou désactiver AVpe. Par défaut, AVpe est
désactivé pour tous les groupes d'ordinateurs. Se reporter à "Ordinateurs et
groupes d'ordinateurs" à la page 66.
Si le filtrage de contenu et l'application de la stratégie antivirus sont activés
simultanément, le filtrage de contenu est prioritaire sur le traitement
application de la stratégie antivirus pour le trafic sortant uniquement. Si une
violation de filtrage de contenu a lieu et qu'un client est empêché de consulter
un contenu, un message est consigné et aucune règle application de la stratégie
antivirus n'est traitée.
AVpe est pris en charge uniquement pour les connexions sortantes et les
connexions de client VPN.

Remarque : Les clients UNIX/Linux comportant un client antivirus non pris en


charge doivent être placés dans un groupe d'ordinateurs pour lequel AVpe est
désactivé.
114 Supervision avancée du trafic réseau
Avant de commencer à configurer AVpe

Avant de commencer à configurer AVpe


Avant de configurer le Boîtier Symantec Gateway Security 300, veillez à
effectuer les tâches suivantes :
■ Intégrez les impératifs AVpe à votre stratégie de sécurité au niveau de
l'affectation des ordinateurs à chaque groupe. AVpe est pris en charge
uniquement pour les connexions sortantes et les connexions de client VPN.
Déterminez les clients dont les définitions de virus devront être vérifiées et
ceux (s'il y en a) auxquels un accès conditionnel ou inconditionnel au réseau
sera accordé. Affectez ensuite les utilisateurs aux groupes d'accès ou aux
groupes VPN appropriés et spécifiez si les clients non conformes tentant
d'accéder au réseau local doivent provoquer l'émission d'un avertissement
ou être bloqués.

Remarque : Les clients UNIX/Linux comportant un client antivirus non pris


en charge doivent être placés dans un groupe d'ordinateurs pour lequel
AVpe est désactivé.

Consultez la section "Définition des groupes d'ordinateurs" à la page 69 ou


"Affichage de la liste des utilisateurs" à la page 94.
■ Si vous prévoyez d'utiliser des serveurs Symantec AntiVirus Corporate
Edition, vous devez obtenir le nom du serveur principal (et en option du
serveur secondaire) à utiliser sur votre réseau.
■ Si votre réseau est composé de clients autonomes qui se connectent
directement à Symantec pour obtenir leurs mises à jour antivirus, vous
devez déterminer un client à utiliser comme maître. Le client maître doit
être allumé en permanence, disposer d'un client antivirus Symantec actif et
d'une connexion à Internet pour télécharger les mises à jour des définitions
de virus.
■ Si la topologie du réseau inclut une configuration dans laquelle des stations
de travail sont situées derrière un pare-feu d'enclave et si le pare-feu
effectue une translation d'adresse, qui modifie l'adresse IP réelle du client,
la passerelle de sécurité ne pourra pas communiquer avec le client (ce qui
est nécessaire à la validation des définitions de virus du client). Dans cette
configuration, la passerelle de sécurité contacte le pare-feu, pas le client.
■ Vérifiez que le trafic n'est pas bloqué par un pare-feu personnel. Vous devez
autoriser les communications UDP sur le port 2967 sur tous les pare-feu
personnels. Ceci est défini par défaut dans Symantec Client VPN
version 8.0.
Supervision avancée du trafic réseau 115
Configuration d'AVpe

Configuration d'AVpe
La configuration d'AVpe est similaire pour un environnement avec serveur
Symantec AntiVirus Corporate Edition et pour un environnement où le réseau
ne contient que des clients.
La configuration requise pour un environnement avec serveur Symantec
AntiVirus Corporate Edition implique les tâches suivantes :
■ Définir l'emplacement du serveur Symantec AntiVirus Corporate Edition
principal (et, en option, du serveur secondaire), vérifier qu'un client dispose
du client Symantec AntiVirus Corporate Edition et que les définitions de
virus et le moteur d'analyse des ordinateurs clients sont à jour.
Se reporter à "Configuration d'AVpe" à la page 115.
■ Activation d'AVpe pour les groupes d'ordinateurs ou les groupes VPN.
Se reporter à "Activation d'AVpe" à la page 116.
La configuration requise pour un environnement contenant des clients antivirus
autonomes (sans Symantec AntiVirus Corporate Edition) implique les tâches
suivantes :
■ Définir l'emplacement du client maître et vérifier qu'il dispose d'un client
antivirus Symantec et que les définitions de virus et le moteur d'analyse des
ordinateurs clients sont à jour.
■ Activation d'AVpe pour les groupes d'ordinateurs ou les groupes VPN.
Se reporter à "Activation d'AVpe" à la page 116.
■ Configuration des clients antivirus.
Se reporter à "Configuration des clients antivirus" à la page 117.

Pour configurer l'application de la stratégie antivirus


Se reporter à "Menu Stratégie antivirus (AVpe)" à la page 226.
1 Dans le volet gauche de SGMI, cliquez sur Stratégie antivirus.
2 Dans la zone Serveur antivirus principal, dans le volet droit, saisissez
l'adresse IP ou le nom de domaine complet de votre serveur antivirus
principal ou du client maître sous Emplacement serveur.
3 En option, dans la zone Serveur antivirus secondaire, saisissez l'adresse IP
ou le nom de domaine complet d'un serveur antivirus de secours, si cette
fonctionnalité est prise en charge par votre environnement.
4 Dans la zone Interroger le serveur AV toutes les, saisissez l'intervalle (en
minutes) entre les requêtes adressées par le boîtier au serveur antivirus
pour déterminer si des définitions de virus mises à jour sont disponibles.
5 Pour forcer une mise à jour manuelle, cliquez sur Interroger serveur.
116 Supervision avancée du trafic réseau
Configuration d'AVpe

6 Sous Validation de stratégie, sélectionnez l'une des options suivantes à côté


de Vérifier si le client AV est actif :
■ Dernier moteur de produit
Utilisez cette option pour vérifier la configuration antivirus d'un client
en s'assurant qu'il utilise un produit antivirus Symantec pris en charge
par la dernière version du moteur d'analyse.
■ Toute version
Utilisez cette option pour vérifier la configuration antivirus d'un client
et contrôler qu'il utilise la version correcte d'un produit antivirus
Symantec pris en charge.
7 Pour que le boîtier vérifie que le client utilise les définitions de virus les plus
récentes, cochez l'option Vérifier les dernières définitions de virus.
8 Dans la zone Interroger les clients toutes les, saisissez l'intervalle (en
minutes) entre les requêtes adressées par le boîtier aux clients pour
déterminer si leurs définitions de virus sont à jour.
9 Cliquez sur Enregistrer.

Activation d'AVpe
AVpe est appliqué au niveau du groupe d'ordinateurs et au niveau du groupe
VPN. Pour activer AVpe, vous commencez par choisir un groupe, puis vous
activez AVpe en une seule fois pour tous les membres de ce groupe. Vous devez
aussi décider si vous voulez qu'un avertissement soit émis ou que le client soit
bloqué lorsque leur configuration antivirus n'est pas conforme aux stratégies de
sécurité prévues.

Pour activer AVpe


Après avoir configuré AVpe, vous devez l'activer pour chaque groupe
d'ordinateurs ou pour chaque groupe VPN.

Remarque : L'activation d'AVpe pour les groupes de VPN concerne uniquement


les clients de réseau étendu. Vous activez AVpe pour les groupes de VPN par
l'intermédiaire des groupes d'ordinateurs dans la section pare-feu.
Se reporter à "Définition des appartenances aux groupes d'ordinateurs" à la
page 67. Se reporter à "Configuration de tunnels VPN clients" à la page 107.

Se reporter à "Onglet Groupes d'ordinateurs" à la page 197.


Se reporter à "Onglet Tunnels clients" à la page 216.
Supervision avancée du trafic réseau 117
Configuration d'AVpe

Pour activer l'application de la stratégie antivirus pour des groupes


d'ordinateurs
1 Dans le volet gauche de SGMI, cliquez sur Pare-feu.
2 Dans l'onglet Groupes d'ordinateurs, sélectionnez le groupe d'ordinateurs
pour lequel vous voulez activer AVpe sous Stratégie de sécurité, dans la liste
déroulante Groupe d'ordinateurs.
3 Sous Application de la stratégie antivirus, cochez Activer l'application de
la stratégie antivirus et effectuez l'une des opérations suivantes :
■ Pour qu'un avertissement soit consigné pour les clients dont les
définitions de virus sont périmées, cliquez sur Avertir seulement.
■ Pour que les connexions soient totalement bloquées pour les clients
dont les définitions de virus sont périmées, cliquez sur Bloquer les
connexions.
4 Cliquez sur Enregistrer.
5 Répétez les étapes 2 à 6 pour activer AVpe pour chaque groupe de serveurs.

Pour activer l'application de la stratégie antivirus pour des groupes VPN


1 Dans le volet gauche de SGMI, cliquez sur VPN.
2 Dans l'onglet Tunnels clients, sélectionnez le groupe VPN pour lequel vous
voulez activer AVpe sous Définition de tunnel de groupe, dans la liste
déroulante Groupe VPN.
3 Sous Application de la stratégie antivirus, cochez Activer l'application de
la stratégie antivirus et effectuez l'une des opérations suivantes :
■ Pour qu'un avertissement soit consigné pour les clients dont les
définitions de virus sont périmées, cliquez sur Avertir seulement.
■ Pour que les connexions soient totalement bloquées pour les clients
dont les définitions de virus sont périmées, cliquez sur Bloquer les
connexions.
4 Cliquez sur Enregistrer.
5 Répétez les étapes 2 à 6 pour activer AVpe pour chaque groupe VPN.

Configuration des clients antivirus


Si les clients de votre réseau sont autonomes et utilisent LiveUpdate pour
installer les définitions de virus et les moteurs d'analyse, vous devez configurer
chacun des clients avant qu'il puisse être validé avec AVpe. Chaque client que
vous voulez valider avec AVpe doit avoir un produit antivirus Symantec pris en
charge et installé en mode autonome.
118 Supervision avancée du trafic réseau
Supervision de l'état du serveur antivirus

Lorsque vous désinstallez le logiciel client, les clés de registre créées par cette
procédure sont également supprimées.

Avertissement : N'utilisez pas cette procédure pour les clients gérés par un
serveur Symantec AntiVirus.

Pour configurer les clients antivirus


1 Installez ou configurez en mode autonome le produit antivirus Symantec
pris en charge de chaque client.
2 Insérez le CD de Symantec Gateway Security 300 Symantec Client VPN dans
le lecteur de CD-ROM d'un ordinateur client.
3 Depuis le dossier Tools, copiez SGS300_AVpe_client_Activation.reg sur le
Bureau Windows du client.
4 Cliquez deux fois sur le fichier.
5 Répétez les étapes 2 à 4 pour chaque client que vous voulez valider
avec AVpe.

Supervision de l'état du serveur antivirus


Les sections Etat du serveur AV et Etat du client de l'onglet AVpe indiquent
l'état de fonctionnement des serveurs antivirus principal et secondaire de votre
réseau.
Les modifications apportées à la configuration des serveurs antivirus principal
et secondaire sont reflétés dans le champ Etat du serveur AV une fois qu'elles
ont été enregistrées.

Messages de journal
Lorsqu'AVpe est activé et qu'une connexion d'un client est refusée (qu'elle soit
bloquée ou qu'elle génère un avertissement), un message est consigné. Vous
pouvez consulter périodiquement ces messages pour superviser le trafic réseau.

Pour afficher les messages du journal d'AVpe


Se reporter à "Onglet Afficher le journal" à la page 168.
1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans l'onglet Afficher le journal, cliquez sur Actualiser.
Supervision avancée du trafic réseau 119
Vérification du fonctionnement d'AVpe

Vérification du fonctionnement d'AVpe


Après avoir activé AVpe, vous pouvez tester son fonctionnement en désactivant
Symantec AntiVirus Corporate Edition sur une station de travail cliente puis
en tentant de vous connecter au réseau local. Si l'application de la stratégie
antivirus est configurée correctement, toute tentative de connexion doit être
bloquée ou provoquer un message en l'absence de logiciel antivirus Symantec.
L'état du serveur antivirus secondaire n'est affiché que si le serveur principal est
inaccessible.

Remarque : La station de travail cliente ne reçoit aucun avertissement signalant


que son accès au réseau est bloqué et un message est consigné.

Pour tester le fonctionnement de l'application de la stratégie antivirus


Se reporter à "Menu Consignation/suivi" à la page 165.
1 Désinstallez Symantec AntiVirus Corporate Edition d'une station de travail
cliente que vous avez configurée en tant que membre d'un groupe
d'ordinateurs pour lequel AVpe est activé avec blocage des connexions en
cas de non conformité.
2 Ouvrez votre navigateur Web et tentez de vous connecter à l'adresse
www.symantec.com.
La tentative de connexion devrait échouer et toutes les communications
traversant le pare-feu devraient être bloquées.
3 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
4 Cliquez sur Afficher le journal et recherchez un message d'avertissement
indiquant que toutes les tentatives de connexion de ce client sont bloquées à
cause de sa non conformité avec la stratégie de sécurité.
Si ce message est présent, la fonctionnalité AVpe est configurée
correctement et fonctionne.
5 Si vous parvenez à vous connecter à www.symantec.com, vérifiez vos
paramètres de configuration AVpe et vos affectations de groupe. Vérifiez
que vous avez désinstallé Symantec AntiVirus Corporate Edition de la
station de travail cliente et que le client est membre d'un groupe pour lequel
AVpe est activé avec blocage des connexions en cas de non conformité.
Effectuez de nouveau les étapes 1 à 4.
120 Supervision avancée du trafic réseau
A propos du filtrage de contenu

A propos du filtrage de contenu


Le boîtier Symantec Gateway Security 300 prend en charge un filtrage
élémentaire du contenu pour le trafic sortant. Vous pouvez utiliser le filtrage
de contenu pour restreindre les contenus auxquels les clients ont accès.
Par exemple, pour empêcher vos utilisateurs de visiter des sites de casinos en
ligne, vous pouvez configurer le filtrage du contenu pour refuser l'accès aux
URL de sites de jeu que vous spécifiez.
Le filtrage de contenu est administré par l'intermédiaire des groupes
d'ordinateurs et des groupes VPN. Un groupe d'ordinateurs est un groupe de
machines (défini dans la section Pare-feu) auxquelles vous voulez appliquer les
mêmes règles. De même, un groupe VPN est un groupe d'utilisateurs VPN (défini
dans la section VPN) auxquels vous voulez appliquer les mêmes règles. Lorsque
vous définissez un groupe d'ordinateurs, vous spécifiez si le groupe doit utiliser
un filtrage de contenu basé sur une liste d'interdictions ou sur une liste
d'autorisations. Les listes d'interdictions (listes noires) bloquent l'accès aux sites
de la liste depuis l'intérieur du réseau et autorisent les autres sites. Les listes
d'autorisations (listes blanches) autorisent l'accès aux sites de la liste depuis
l'intérieur du réseau et bloquent l'accès à tous les autres sites.

Remarque : Par défaut, le filtrage de contenu est désactivé pour tous les groupes
d'ordinateurs.

Les listes d'autorisations permettent au trafic de passer vers les sites qui
correspondent exactement aux entrées de la liste. Le moteur de filtrage de
contenu ignore les requêtes de connexion envoyées à une destination ne se
trouvant pas dans la liste. Si la liste d'autorisations est vide, tout le trafic
est bloqué.
Si la liste d'interdictions est vide, le trafic n'est pas filtré. Une fois que des
entrées ont été ajoutées à la liste d'interdictions, le moteur de filtrage de
contenu ignore les requêtes de connexion envoyées à des destinations de la liste.
Le trafic ne correspondant à aucune entrée de la liste est autorisé.
Supervision avancée du trafic réseau 121
Gestion des listes de filtrage de contenu

Eléments à prendre en considération


Lorsque l'application de la stratégie antivirus (AVpe) et le filtrage de contenu
sont activés simultanément, le filtrage de contenu est effectué en premier. Si le
filtrage de contenu provoque le blocage d'une connexion, les traitements AVpe
ne sont pas effectués : seul un message de filtrage de contenu est consigné.
Si vous apportez des modifications au filtrage de contenu du boîtier, vous devez
vider les caches DNS et de navigation Web de la machine cliente. Si un client
accède à une URL, puis que les paramètres de filtrage de contenu sont modifiés
et interdisent l'accès à cette URL, le client peut utiliser le cache pour accéder
quand même à cette URL. Consultez la documentation de votre système
d'exploitation pour plus d'informations sur le vidage du cache DNS et la
documentation de votre navigateur pour plus d'informations sur le vidage de
son cache.
Si vous activez le filtrage de contenu pour les clients VPN de réseau étendu,
des serveurs DNS doivent être présents sur le réseau local.

Gestion des listes de filtrage de contenu


Lorsque vous créez des listes d'autorisations et d'interdictions, vous devez
spécifier des noms de domaine complets. Le boîtier filtre le trafic en vérifiant les
requêtes de recherche DNS. La correspondance avec l'adresse de destination
doit être exacte pour que l'action configurée soit déclenchée (blocage ou
génération d'un avertissement).
Pour utiliser des expressions génériques, spécifiez uniquement le nom de
domaine de certains sites dans les listes d'interdictions et d'autorisations.
Par exemple, pour autoriser le trafic vers tous les sites Symantec, ajoutez
symantec.com à la liste d'autorisations. Cela autorise le trafic avec les sites
liveupdate.symantec.com, www.symantec.com, fileshare.symantec.com, etc.
Le filtrage de contenu s'applique à tout le trafic sortant, et pas uniquement au
trafic HTTP (Web).
122 Supervision avancée du trafic réseau
Gestion des listes de filtrage de contenu

Eléments à prendre en considération


Si un site ou une passerelle de sécurité utilise la redirection pour transférer les
utilisateurs d'une URL à l'autre, vous devez inclure les deux URL dans la liste.
Par exemple, www.disney.com redirige les utilisateurs vers www.disney.go.com.
Pour autoriser vos utilisateurs à visiter ce site Web, vous devez spécifier les
deux adresses www.disney.com et www.disney.go.com dans la liste
d'autorisations.
Si un site exploite des contenus situés sur d'autres sites, vous devez ajouter
toutes les URL à la liste. Par exemple, www.cnn.com utilise des contenus se
trouvant sur www.cnn.net.

Pour gérer les listes d'interdictions et d'autorisations


Par défaut, les listes d'interdictions et d'autorisations sont vides. Chaque liste de
filtrage peut contenir jusqu'à 100 entrées. Chaque entrée peut avoir une
longueur maximale de 128 caractères.
Se reporter à "Menu Filtrage du contenu" à la page 230.

Pour ajouter une URL à une liste d'interdictions ou d'autorisations


1 Dans le volet gauche, cliquez sur Filtrage de contenu.
2 Sous Sélectionner liste, à côté de Type de liste, sélectionnez Autoriser ou
Refuser.
3 Dans la zone de texte Saisir une URL, saisissez le nom d'un site à ajouter à la
liste. Par exemple, votresite.com ou monsite.com/images/moi.html.
4 Cliquez sur Ajouter.
Répétez les deux étapes précédentes pour ajouter toutes les URL souhaitées
à la liste.
5 Cliquez sur Enregistrer liste.

Pour supprimer une URL d'une liste d'interdictions ou d'autorisations


1 Dans le volet gauche, cliquez sur Filtrage de contenu.
2 Dans la liste déroulante Supprimer URL, sélectionnez l'URL que vous voulez
supprimer.
3 Cliquez sur Supprimer entrée.
4 Cliquez sur Enregistrer liste.
Supervision avancée du trafic réseau 123
Supervision du filtrage de contenu

Activation du filtrage de contenu pour le réseau


Une fois que vous avez défini les listes d'interdictions ou d'autorisations, vous
devez activer le filtrage de contenu pour chaque groupe d'ordinateurs pour
lequel vous voulez filtrer le trafic. Se reporter à "Définition des accès entrants" à
la page 71.

Pour activer le filtrage de contenu pour un groupe d'ordinateurs


Se reporter à "L'onglet Etat affiche le statut et les paramètres courants de la
passerelle de sécurité." à la page 166.
1 Dans le volet gauche, cliquez sur Pare-feu.
2 Dans l'onglet Groupes d'ordinateurs, sous Stratégie de sécurité,
sélectionnez le groupe d'ordinateurs pour lequel vous voulez activer le
filtrage de contenu dans la liste déroulante Groupe d'ordinateurs.
3 Sous Filtrage de contenu, cochez Activer le filtrage de contenu.
4 Effectuez l'une des opérations suivantes :
■ Pour filtrer le contenu en se basant sur la liste d'interdictions, cliquez
sur Utiliser la liste d'interdictions.
■ Pour filtrer le contenu en se basant sur la liste d'autorisations, cliquez
sur Utiliser la liste d'autorisations.
5 Cliquez sur Enregistrer.

Activation du filtrage de contenu pour le réseau étendu


Vous activez le filtrage de contenu pour le réseau étendu par l'intermédiaire de
tunnels de clients VPN.
Se reporter à "Configuration de tunnels VPN clients" à la page 107.

Supervision du filtrage de contenu


Le filtrage de contenu consigne un message dans le fichier journal si des paquets
sont ignorés parce qu'un utilisateur tente d'accéder à une URL présente dans
la liste d'interdictions, ou tente d'accéder à une URL qui ne se trouve pas
spécifiquement dans la liste d'autorisations. Se reporter à "Consignation, suivi
et mises à jour" à la page 129.
Vous pouvez afficher les URL et leur statut (présence dans la liste d'interdictions
ou dans la liste d'autorisations).
124 Supervision avancée du trafic réseau
Supervision du filtrage de contenu

Pour afficher la liste des URL dans la liste d'interdictions ou d'autorisations


Se reporter à "Menu Filtrage du contenu" à la page 230.
1 Dans le volet gauche, cliquez sur Filtrage de contenu.
2 Sous Sélectionner liste, effectuez l'une des opérations suivantes sous Type
de liste :
■ Pour afficher les URL dans la liste d'interdictions, cliquez sur Refuser.
■ Pour afficher les URL dans la liste d'autorisations, cliquez sur
Autoriser.
3 Cliquez sur Affichage/Edition.
Chapitre 8
Prévention des attaques
Ce chapitre traite des sujets suivants :

■ Fonctionnement de la détection et de la prévention des intrusions

■ Configuration des préférences de protection

■ Activation des paramètres de protection avancée


Le boîtier Symantec Gateway Security 300 intègre des fonctions de détection et
prévention des intrusions (IDS/IPS). Les fonctions IDS/IPS sont activées par
défaut et fournissent une protection des paquets au niveau atomique. Vous
pouvez désactiver les fonctions IDS/IPS à tout moment.

Remarque : Une signature IDS/IPS au niveau atomique est une signature basée
sur un seul paquet IP.

Fonctionnement de la détection et de la prévention


des intrusions
Le boîtier défend contre les attaques de fragmentation, les attaques d'options IP,
les attaques buffer overflow (débordement de tampon), les analyses de ports,
les attaques par paquets de trop grande taille et les attaques par
débordement (flood).
Le trafic arrivant du côté intérieur ou extérieur du boîtier avec un ensemble
d'options IP inhabituel est bloqué.
IDS/IPS consigne les événements identifiés dans l'écran Etat. La consignation
IDS/IPS est activée par défaut. Même si la consignation IDS est désactivée,
le boîtier continue à bloquer les tentatives de connexion à un service non
autorisé pour les connexions entrantes. En revanche, lorsque le service de
recherche de cheval de Troie est désactivé, seul un message d'accès refusé est
consigné.
126 Prévention des attaques
Fonctionnement de la détection et de la prévention des intrusions

Le nombre de messages consignés dans le journal dépend du type d'attaque.


Toutes les tentatives de connexion de gestion sont consignées. La consignation
d'attaque est limitée à une attaque par période de cinq secondes. Lorsque ICMP
est activé, il n'y a pas de limite au nombre de messages consignés.
Le boîtier assure une défense contre les signatures atomiques IDS/IPS
suivantes :
■ Bonk
■ Back Orifice (canal de communication de cheval de Troie)
■ Girlfriend (canal de communication de cheval de Troie)
■ Fawx
■ Jolt
■ Land
■ Nestea
■ Newtear
■ Overdrop
■ Ping of Death
■ Portal of Doom (canal de communication de cheval de Troie)
■ SubSeven (canal de communication de cheval de Troie)
■ Syndrop
■ Teardrop
■ Winnuke
■ Buffer overflow (débordement de tampon) HTML
■ Protection contre le débordement TCP/UDP

Protection contre les chevaux de Troie


Toute tentative de connexion sur un port bloqué souvent utilisé par les chevaux
de Troie est consignée et classée comme pouvant être une attaque. Le message
consigné avertit l'utilisateur qu'une tentative de connexion illégale a été
effectuée et qu'un audit des systèmes internes est nécessaire pour vérifier qu'ils
ne sont pas contaminés. La protection contre les chevaux de Troie est ignorée si
elle est autorisée explicitement dans une règle de trafic entrant.
Prévention des attaques 127
Configuration des préférences de protection

Configuration des préférences de protection


Pour chaque signature atomique IDS/IPS, vous pouvez définir l'action à
effectuer lorsque la signature est détectée, parmi les options suivantes :
■ Bloquer et avertir
Avec cette option, les paquets sont ignorés et consignés comme contenant
la signature spécifique.
■ Bloquer sans avertir
Avec cette option, le paquet est ignoré mais n'est pas consigné.
Les options suivantes permettent d'activer/désactiver la détection et la
consignation des signatures IDS/IPS :
■ L'option Toutes permet d'activer/désactiver la détection de TOUTES les
signatures.
■ Vous pouvez aussi activer/désactiver la détection de chaque signature.

Pour définir les préférences de protection


Se reporter à "Onglet Protection IDS" à la page 224.
1 Dans le volet gauche de SGMI, cliquez sur IDS/IPS.
2 Dans le volet droit, dans l'onglet Protection IDS, sélectionnez une signature
IDS/IPS sous Signatures IDS/IPS, dans la liste déroulante Nom.
Pour appliquer les préférences à toutes les signatures, cliquez sur
>>Sélectionner tout<<.
3 Sous Paramètres de protection, sélectionnez une action en regard du
champ Action.
4 En regard de Zone de protection, sélectionnez une interface à protéger.
5 Cliquez sur Mettre à jour.

Activation des paramètres de protection avancée


Les paramètres de protection avancée permettent d'assurer la protection de
votre réseau contre les attaques pouvant être identifiées à partir de signatures
atomiques.
128 Prévention des attaques
Activation des paramètres de protection avancée

Protection d'interrogation IP (spoofing)


Tous les paquets arrivant sur une interface de réseau étendu, qui ne sont
marqués ni pour diffusion, ni pour multidiffusion, et ayant une adresse IP
source correspondant à un sous-réseau interne sont bloqués et marqués comme
étant une tentative d'attaque par interrogation IP (spoofing). Les sous-réseaux
internes sont déduits de l'adresse de sous-réseau côté réseau local du boîtier et
des entrées de routage statiques sur le boîtier pour l'interface de réseau local.
De la même manière, tout trafic arrivant sur une interface interne ou sans fil
marquée ni pour la diffusion ni pour la multidiffusion, et ayant une adresse IP
source ne correspondant à aucun sous-réseau interne prédéfini est bloqué et
marqué comme étant une tentative d'attaque par interrogation IP interne
(spoofing). Les réseaux internes sont déduits des routages statiques sur le boîtier
et de l'adresse de réseau local interne ou de réseau local sans fil interne du
boîtier. La détection d'interrogation (spoofing) peut être désactivée pour les
réseaux locaux internes et les réseaux étendus.

Pour configurer la protection d'interrogation IP (spoofing)


Se reporter à "Onglet Protection IDS" à la page 224.
1 Dans le volet gauche de SGMI, cliquez sur IDS/IPS.
2 Dans le volet droit, dans l'onglet Avancé, cochez Réseau étendu ou Réseau
local sans fil sous Protection d'interrogation IP.
3 Cliquez sur Enregistrer.

Validation d'indicateur TCP


Certains outils de mappage de port (comme NMAP) utilisent des combinaisons
d'indicateurs TCP non valides pour détecter un pare-feu sur un réseau ou
affecter la stratégie de sécurité implémentée sur le pare-feu. Le boîtier
Symantec Gateway Security 300 bloque et consigne tout trafic comportant des
combinaisons d'indicateurs non valides pour le trafic qui n'est pas bloqué par
la stratégie de sécurité. Tout trafic bloqué par la stratégie de sécurité et
comportant une ou plusieurs combinaisons d'indicateurs TCP incorrectes est
classé comme relevant d'une des techniques d'analyse de port NMAP (NMAP
Null Scan, NMAP Christmas Scan, etc.).

Pour activer la validation d'indicateur TCP


Se reporter à "Onglet Protection IDS" à la page 224.
1 Dans le volet gauche de SGMI, cliquez sur IDS/IPS.
2 Dans le volet droit, dans l'onglet Avancé, cochez Activer sous Validation
d'indicateur.
Chapitre 9
Consignation, suivi
et mises à jour
Ce chapitre traite des sujets suivants :

■ Gestion de la consignation

■ Mise à jour du micrologiciel

■ Sauvegarde et restauration des configurations

■ Interprétation des voyants

■ Séquences des voyants pour les mises à niveau LiveUpdate


et de micrologiciel
Le boîtier fournit des fonctionnalités configurables de consignation système
permettant de consulter les journaux et de surveiller l'état du système.

Gestion de la consignation
Les fonctionnalités pare-feu, IDS/IPS, VPN, filtrage de contenu et AVpe
consignent des messages lorsque certains événements se produisent. Vous
pouvez configurer les événements à consigner afin de collecter uniquement les
messages qui vous sont nécessaires.
Vous pouvez consulter ces messages par l'intermédiaire de SGMI ou les
retransmettre à des services externes. Les messages consignés sont conservés
jusqu'au redémarrage du boîtier. Sur tous les boîtiers, les 100 messages les plus
récents peuvent être consultés. Sur les modèles 360 et 360R, les 100 événements
de journal les plus récents sont conservés, même si le boîtier est redémarré.
130 Consignation, suivi et mises à jour
Gestion de la consignation

Une fois le journal plein, les nouvelles entrées remplacent les entrées les
plus anciennes. Pour conserver les messages les plus anciens, vous pouvez
configurer la retransmission par courrier électronique ou un serveur syslog.
Se reporter à "Retransmission par courrier des messages consignés" à la
page 130 ou "Utilisation de Syslog" à la page 131.

Configuration des préférences de consignation


Les préférences de consignation permettent de définir les modalités d'affichage
des messages consignés, la quantité de consignation à effectuer et les mesures à
prendre lorsque le journal est plein. Les paramètres suivants permettent de
définir des profils de consignation appropriés aux besoins de votre réseau :
■ Retransmission par courrier des messages consignés
■ Utilisation de Syslog
■ Configuration et test de SNMP
■ Sélection des niveaux de consignation
■ Définition des heures de consignation

Retransmission par courrier des messages consignés


Vous pouvez configurer le boîtier pour qu'il envoie automatiquement les entrées
consignées dans le journal lorsque celui-ci est plein ou qu'une attaque est
détectée. Le fichier journal est envoyé sous la forme d'un message de texte.

Pour configurer la retransmission par courrier électronique


Se reporter à "Onglet Paramètres de journal" à la page 169.
1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Paramètres de journal, dans la zone
Serveur SMTP, saisissez l'adresse IP ou le nom DNS du serveur SMTP qui
doit recevoir le fichier journal.
3 Dans la zone Envoyer le courrier électronique depuis, saisissez l'adresse
électronique de l'expéditeur du courrier.
4 Dans la zone Envoyer le courrier électronique à, saisissez l'adresse
électronique du destinataire du courrier.
5 Cliquez sur Enregistrer.
6 Pour envoyer les messages de journal existants sans attendre que le journal
soit plein, cliquez sur Envoyer le journal.
Consignation, suivi et mises à jour 131
Gestion de la consignation

Utilisation de Syslog
L'envoi des messages consignés à un serveur Syslog permet de les stocker à
long terme. Un serveur Syslog attend les entrées de journal retransmises par le
boîtier et stocke les informations consignées pour analyse ultérieure. Le serveur
Syslog peut se trouver sur le réseau local, sur le réseau étendu ou derrière un
tunnel VPN.

Remarque : La date et l'heure des messages sur le serveur Syslog correspondent


à leur arrivée sur le serveur Syslog et non pas au moment de la consignation de
l'événement sur le boîtier.

Pour utiliser Syslog


Se reporter à "Onglet Paramètres de journal" à la page 169.
1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Paramètres de journal, sous Syslog,
saisissez dans la zone Serveur Syslog l'adresse IP d'un hôte exécutant un
utilitaire Syslog standard et auquel le fichier journal doit être envoyé.
3 Cliquez sur Enregistrer.

Configuration et test de SNMP


Le boîtier prend en charge la version 1.0 de SNMP (Simple Network Management
Protocol – protocole de gestion de réseau simplifiée). Il peut générer des
messages d'alerte signalant les événements réseau, les copier dans une
commande SNMP TRAP ou GET avec le nom de communauté associé, puis les
envoyer à des serveurs SNMP. Cette fonctionnalité permet de transmettre les
informations d'état du boîtier à des applications de gestion SNMP du réseau.
Le boîtier génère des messages SNMP pour les événements suivants :
■ Démarrage à froid du boîtier
■ Echec d'authentification SGMI
■ Port de réseau étendu Ethernet ouverts et fermés
■ Absence de trappe quand les ports de réseau étendu sont activés dans le
cadre du démarrage du système
■ Déconnexion de réseau étendu
■ Retour en ligne du réseau étendu après déconnexion
132 Consignation, suivi et mises à jour
Gestion de la consignation

■ Port de réseau étendu série (PPPoE ou analogique)


■ Connexion au réseau étendu
■ Déconnexion du réseau étendu
Une commande GET est une requête émise par le serveur SNMP pour demander
des informations d'état au boîtier Symantec Gateway Security 300. Le boîtier
prend en charge toutes les MIB (variables d'informations) de SNMP v1 avec des
commandes GET. Une commande TRAP collecte des informations d'état sur le
boîtier Symantec Gateway Security 300 et les envoie au serveur SNMP.
La configuration de SNMP définit les adresses IP des serveurs SNMP pour
recevoir les alertes contenant les informations d'état ("TRAPPES") émises par
l'agent SNMP intégré au boîtier. Cette fonctionnalité assure une protection
minimale sur un réseau public. Pour obtenir un niveau de sécurité plus élevé,
l'administration à distance doit être effectuée par l'intermédiaire d'un
tunnel VPN.
Pour contrôler le boîtier du côté réseau local, naviguez à l'adresse IP du boîtier
(192.168.0.1 par défaut), en utilisant un navigateur MIB SNMP v1. Pour
permettre un accès externe à la commande SNMP GET sur le boîtier, cochez
l'option Activer le contrôle à distance.

Pour configurer SNMP


La configuration de SNMP s'effectue en deux étapes :
■ Configuration de SNMP
■ Vérification des communications entre le serveur SNMP et le boîtier
Symantec Gateway Security 300.
Avant de commencer à configurer SNMP, rassemblez les informations
suivantes :
■ Pour les commandes TRAP, votre réseau doit comporter des serveurs SNMP
v 1.0 (ou des applications compatibles) qui recevront les messages d'alerte
sur les événements réseau ; vous devez également connaître les adresses IP
des serveurs SNMP pour la configuration de SNMP sur le boîtier.
■ Il vous faut aussi connaître la chaîne de communauté du serveur SNMP.
L'adresse IP du serveur SNMP et le nom de communauté peuvent
généralement être obtenus auprès de l'administrateur qui gère le
serveur SNMP.
■ Vous pouvez configurer SNMP à n'importe quel moment une fois que le
boîtier est installé et que les serveurs SNMP sont en cours d'exécution.
Se reporter à "Menu Administration" à la page 172.
Consignation, suivi et mises à jour 133
Gestion de la consignation

Pour configurer SNMP


1 Dans le volet gauche, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet SNMP, saisissez le nom de la communauté
sous Gestionnaires SNMP lecture seule (GETS et TRAPS), dans la zone
Chaîne de communauté.
Le paramètre par défaut est Public.
3 Dans les zones Adresse IP, tapez l'adresse IP des hôtes SNMP en
lecture seule.
4 Cliquez sur Enregistrer.

Pour vérifier les communications SNMP


◆ Contactez l'administrateur du serveur SNMP et demandez-lui d'envoyer au
boîtier une requête GET depuis le serveur SNMP.
Le boîtier répond en envoyant des informations d'état au serveur SNMP.
S'il ne répond pas, vérifiez que l'adresse IP du serveur SNMP et le nom de la
communauté sont corrects. Vérifiez aussi que le serveur SNMP est accessible à
partir du boîtier.

Sélection des niveaux de consignation


Le fichier journal ne contient que les types d'informations que vous choisissez.
Cela est utile pour isoler un problème ou une attaque.
Si vous sélectionnez Information de débogage, les performances peuvent
être affectées par le nombre de messages qui sont alors créés. Vous devez
sélectionner cette option uniquement à des fins de dépannage, puis la désactiver
une fois que vous avez terminé.

Pour sélectionner les niveaux de consignation


Se reporter à "Menu Consignation/suivi" à la page 165.
1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Paramètres de journal, cochez les types
d'informations que vous voulez consigner sous Type de journal.
3 Cliquez sur Enregistrer.
134 Consignation, suivi et mises à jour
Gestion de la consignation

Définition des heures de consignation


Le protocole NTP (Network Time Protocol - protocole d'horodatage réseau) est
un protocole Internet standard qui assure une synchronisation précise à la
milliseconde des horloges des ordinateurs d'un réseau.
Si vous ne configurez pas de serveur NTP, les serveurs NTP publics standard
sont utilisés. Si aucun serveur NTP n'est accessible, lorsqu'un événement a lieu,
le boîtier enregistre le temps (en secondes) qui s'est écoulé depuis le dernier
redémarrage.

Pour définir les heures de consignation


Se reporter à "Onglet Paramètres de journal" à la page 169.
1 Dans le volet gauche, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Paramètres de journal, saisissez l'adresse
IP ou le nom de domaine complet du serveur non public sous Heure, dans la
zone Serveur NTP.
3 Cliquez sur Enregistrer.

Gestion des messages consignés


L'onglet Afficher le journal affiche les conditions actuelles du boîtier.
Les modèles 360 et 360R ont une section Réseau étendu 2 pour l'état du second
port de réseau étendu.
Les informations de l'onglet Afficher le journal sont à jour lorsque vous cliquez
sur cet onglet. Les conditions peuvent changer pendant que vous consultez
l'écran. Pour afficher les derniers messages, actualisez l'onglet Afficher le
journal.
Vous pouvez supprimer manuellement le contenu du journal à n'importe
quel moment.

Pour gérer les messages consignés


Une fois que les messages ont été générés, vous pouvez les afficher,
les actualiser pour consulter les messages les plus récents ou vider le journal si
vous ne voulez pas conserver ces messages.
Se reporter à "Onglet Paramètres de journal" à la page 169.
Consignation, suivi et mises à jour 135
Mise à jour du micrologiciel

Pour afficher les messages consignés


1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Effectuez l'une des opérations suivantes :
■ Dans l'onglet Afficher le journal, consultez les messages consignés.
■ Pour afficher les messages consignés plus anciens, cliquez sur Page
suivante.

Pour actualiser les messages consignés


1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Afficher le journal, cliquez sur Actualiser.

Pour effacer les messages consignés


1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Afficher le journal, cliquez sur Vider
le journal.

Mise à jour du micrologiciel


Le boîtier fonctionne en se basant sur des instructions codées dans une
mémoire permanente appelée micrologiciel. Le micrologiciel contient toutes les
fonctionnalités du boîtier. Il existe deux types de micrologiciel : destructif et non
destructif. Le micrologiciel destructif écrase complètement le micrologiciel et
tous les paramètres de configuration. Le micrologiciel non destructif met à jour
le micrologiciel mais conserve les configurations.
Symantec distribue périodiquement des mises à jour du micrologiciel.
Il existe trois manières de mettre à jour le micrologiciel de votre boîtier :
automatiquement en utilisant le programmateur de LiveUpdate, manuellement
en utilisant LiveUpdate ou manuellement en recevant un nouveau micrologiciel
expédié par le support technique Symantec et en l'appliquant avec l'outil
symcftpw. Par défaut, LiveUpdate vérifie l'existence de mises à jour à la fin de
l'assistant d'installation. Vous pouvez désactiver cette fonctionnalité. Consultez
le Guide d'installation de Symantec Gateway Security 300.

Avertissement : Une mise à niveau manuelle du micrologiciel avec app.bin peut


écraser vos paramètres de configuration. Avant d'effectuer une mise à niveau,
notez vos paramètres. N'utilisez pas un fichier de sauvegarde de configuration
d'une ancienne version du micrologiciel pour remplacer une version plus
récente du micrologiciel. Les mises à niveau du micrologiciel par LiveUpdate
n'écrasent jamais vos paramètres de configuration.
136 Consignation, suivi et mises à jour
Mise à jour du micrologiciel

Lorsque vous appliquez une mise à niveau de micrologiciel manuellement


ou avec LiveUpdate, les voyants clignotent selon un rythme qui indique la
progression de l'opération.
Se reporter à "Séquences des voyants pour les mises à niveau LiveUpdate
et de micrologiciel" à la page 151.

Mise à jour automatique du micrologiciel


LiveUpdate est la technologie Symantec permettant de tenir automatiquement
à jour les produits Symantec. Vous pouvez configurer LiveUpdate pour qu'il
effectue les mises à jour automatiquement ou vous pouvez exécuter LiveUpdate
manuellement à tout moment pour vérifier l'existence de mises à jour.
Symantec publie régulièrement des mises à jour du micrologiciel pour garantir
le plus haut niveau de sécurité possible. Exécutez LiveUpdate dès que votre
boîtier Symantec Gateway Security 300 est connecté à Internet.
Se reporter à "Exécution immédiate de LiveUpdate" à la page 142.
Lorsque LiveUpdate vérifie l'existence de mises à jour du micrologiciel,
si un nouveau paquet de micrologiciel est trouvé, LiveUpdate télécharge et
applique la nouvelle version du micrologiciel sans demander confirmation à
l'administrateur. Pendant le téléchargement et l'application de la mise à jour,
SGMI affiche un message pour indiquer qu'une mise à jour est en cours et vous
demande de patienter quelques minutes avant de tenter de vous connecter à
SGMI. Après la fin de cette opération, le boîtier peut redémarrer. Une fois
l'application du nouveau micrologiciel terminée, un message est consigné.
Si LiveUpdate vérifie l'existence de mises à jour du micrologiciel et qu'aucune
n'est disponible (le micrologiciel courant est à jour), un message est consigné.
Tous les paquets LiveUpdate publiés par Symantec sont testés et validés
par Symantec avant d'être distribués. Ces paquets n'écrasent pas votre
configuration courante. Toutefois, ils nécessitent un redémarrage automatique
du boîtier. Pour minimiser l'interruption des connexions de votre réseau,
utilisez la fonctionnalité Heure préférée pour planifier les mises à jour en dehors
des heures de travail.
LiveUpdate intègre un mécanisme de protection pour le cas où le boîtier
deviendrait inutilisable (par exemple dans le cas d'une coupure de courant
pendant un transfert LiveUpdate). Si le boîtier ne réussit pas son auto-test avec
un nouveau paquet LiveUpdate, il revient au micrologiciel d'usine, stocké dans
une mémoire protégée. LiveUpdate télécharge et applique uniquement des
micrologiciels non destructifs.
Consignation, suivi et mises à jour 137
Mise à jour du micrologiciel

Programmation de mises à jour automatiques


LiveUpdate s'exécute en mode automatique ou en mode manuel. En mode
automatique, le boîtier vérifie l'existence de nouvelles mises à jour. En mode
automatique, LiveUpdate vérifie l'existence de nouvelles mises à jour chaque
fois que le boîtier est mis sous tension. De plus, si vous modifiez l'option
de mise à jour manuelle en mise à jour automatique, LiveUpdate effectue une
vérification de l'existence de nouvelles mises à jour au moment spécifié dans la
zone de texte GMT.
Si LiveUpdate télécharge et applique une nouvelle mise à jour de micrologiciel,
le boîtier peut redémarrer. Pour cette raison, il est conseillé de programmer les
mises à jour automatiques pour qu'elles aient lieu pendant les périodes
d'inactivité de votre réseau.

Pour programmer des mises à jour LiveUpdate automatiques


Se reporter à "Onglet LiveUpdate" à la page 173.
1 Dans le volet gauche de SGMI, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet LiveUpdate, cochez Activer le
programmateur sous Mises à jour automatiques.
3 Dans la liste déroulante Fréquence, sélectionnez la fréquence à laquelle le
boîtier doit vérifier l'existence de mises à jour.
4 Dans la zone Heure préférée (GMT), tapez l'heure (heures et minutes) à
laquelle vous souhaitez que le boîtier recherche les mises à jour.
5 Cliquez sur Enregistrer.

Autorisation des mises à jour automatiques via un serveur


proxy HTTP
Les paramètres optionnels de LiveUpdate permettent de configurer une
connexion à un serveur LiveUpdate via un serveur proxy HTTP. Utilisez cette
fonctionnalité uniquement dans les situations suivantes :
■ Le boîtier est situé derrière un boîtier Symantec Gateway Security utilisant
un serveur proxy HTTP.
■ Le boîtier est situé derrière un périphérique non Symantec utilisant un
serveur proxy HTTP.
■ Votre FAI utilise un serveur proxy HTTP.
Pour plus d'informations, reportez-vous à la documentation de Symantec
LiveUpdate.
Se reporter à "Onglet LiveUpdate" à la page 173.
138 Consignation, suivi et mises à jour
Mise à jour du micrologiciel

Pour permettre les mises à jour automatiques via un serveur proxy HTTP
1 Dans le volet gauche de SGMI, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet LiveUpdate, cochez Serveur proxy HTTP
sous Paramètres facultatifs.
3 Dans la zone Adresse serveur proxy, tapez l'adresse IP ou le nom de
domaine complet du serveur proxy HTTP.
4 Dans la zone Port, tapez le numéro de port.
5 Dans la zone Nom d'utilisateur, tapez le nom d'utilisateur pour
le serveur proxy.
6 Dans la zone Mot de passe, tapez le mot de passe du serveur proxy.
7 Cliquez sur Enregistrer.

Modification de l'emplacement du serveur LiveUpdate


Par défaut, les paramètres LiveUpdate pointent sur le serveur
liveupdate.symantec.com. Vous pouvez configurer le boîtier pour utiliser votre
propre serveur LiveUpdate à la place du site LiveUpdate de Symantec.
Les serveurs LiveUpdate internes de la Figure 9-1 sont configurés avec
LiveUpdate Administration Utility. Au lieu de contacter les serveurs Symantec
pour récupérer les mises à jour de produits, le boîtier peut contacter le serveur
LiveUpdate sur le réseau local. Cela réduit fortement le trafic réseau et améliore
les vitesses de transfert. Cela permet également de planifier, gérer et valider les
mises à jour avant de les appliquer. LiveUpdate Administration Utility et les
instructions d'installation sont disponibles sur le site Web du support technique
Symantec à l'adresse http://www.symantec.com/region/fr/techsupp/.
La Figure 9-1 montre plusieurs exemples de configurations LiveUpdate
possibles.
Consignation, suivi et mises à jour 139
Mise à jour du micrologiciel

Figure 9-1 Configurations LiveUpdate

Serveur
Symantec
LiveUpdate

Symantec Gateway
Security 5400

Internet

Tunnel VPN

Serveur Symantec Gateway


LiveUpdate Security 300
interne

Serveur
SGMI LiveUpdate
interne
Périphériques protégés

Le Tableau 9-1 détaille les configurations de serveur LiveUpdate de la


Figure 9-1.

Tableau 9-1 Configurations de serveur LiveUpdate

Emplacement Description

1 Serveur LiveUpdate Symantec : http://liveupdate.symantec.com.


Il s'agit du site LiveUpdate Symantec standard, qui publie la
disponibilité des micrologiciels. Il s'agit de la configuration par défaut.

2 Serveur LiveUpdate interne situé dans un emplacement distant,


protégé par un tunnel VPN.

3 Serveur LiveUpdate interne situé dans un emplacement local.


140 Consignation, suivi et mises à jour
Mise à jour du micrologiciel

Les serveurs LiveUpdate peuvent se trouver sur un réseau local ou un réseau


étendu, ou être accessibles via un tunnel VPN entre passerelles.
Se reporter à "Onglet LiveUpdate" à la page 173.

Pour modifier l'emplacement du serveur LiveUpdate


1 Dans le volet gauche, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet LiveUpdate, saisissez l'adresse IP ou le
nom de domaine complet de votre serveur LiveUpdate sous Paramètres
généraux, dans la zone Serveur LiveUpdate.
3 Cliquez sur Enregistrer.

Mise à niveau manuelle du micrologiciel


Les mises à niveau du micrologiciel peuvent être téléchargés depuis le site
Web de Symantec. Si vous ne configurez pas LiveUpdate pour télécharger et
appliquer automatiquement les mises à niveau de micrologiciel ou si le support
technique de Symantec vous demande d'effectuer une mise à niveau manuelle,
vous devez consulter le site Web de Symantec pour connaître la dernière version
du micrologiciel. Le numéro de version du micrologiciel est affiché dans
l'écran Etat.
Le fichier contenant le micrologiciel, disponible auprès du support technique de
Symantec, s'appelle all.bin. Comme il écrase votre configuration, vous devez
noter celle-ci avant d'effectuer une mise à niveau manuelle du micrologiciel.
Le seul paramètre qu'il laisse intact est le mot de passe de l'administrateur.
Se reporter à "Configuration du mot de passe d'administration" à la page 14.

Avertissement : Le flashage du micrologiciel avec une ancienne version remplace


toutes les informations de configuration, y compris le mot de passe.

Appliquez le nouveau micrologiciel en utilisant l'utilitaire FTP fourni par


Symantec (inclus sur le CD-ROM de Symantec Gateway Security 300) ; vous
pouvez aussi utiliser la commande TFTP avec l'option –i (binaire). Cette
opération transfère le fichier du micrologiciel dans le boîtier, l'applique, puis
redémarre le boîtier.
Consignation, suivi et mises à jour 141
Mise à jour du micrologiciel

Flashage du micrologiciel
Avant d'effectuer une mise à niveau manuelle du micrologiciel, vérifiez que vous
disposez des éléments suivants :
■ Utilitaire symcftpw
Cet utilitaire se trouve dans le dossier Tools du CD-ROM fourni avec le
boîtier. Vous pouvez utiliser la commande TFTP pour transférer le
micrologiciel vers le boîtier.
■ Fichier du micrologiciel
Téléchargez la dernière version du fichier du micrologiciel depuis le site
Web de Symantec.

Remarque : Si Norton Internet Security est installé sur l'ordinateur sur lequel
s'exécute symcftpw, vous devez configurer à la fois une règle entrante et une
règle sortante pour autoriser le trafic entre l'ordinateur et le boîtier.

La Figure 9-2 montre la partie arrière du modèle 320 pour référence. La


description complète de chaque fonctionnalité est fournie dans le Guide
d'installation de Symantec Gateway Security 300.

Figure 9-2 Arrière du modèle 320

La Figure 9-3 montre l'arrière des modèles 360 et 360R. Cette figure est pour
référence. La description complète de chaque fonctionnalité est fournie dans le
Guide d'installation de Symantec Gateway Security 300.
142 Consignation, suivi et mises à jour
Mise à jour du micrologiciel

Figure 9-3 Arrière des modèles 360 et 360R

Pour flasher le micrologiciel


1 Pour éteindre le boîtier, appuyez sur le bouton d'alimentation à l'arrière.
2 Basculez les micro-commutateurs 1 et 2 (4) en position "on" (haut).
3 Pour allumer le boîtier, appuyez sur le bouton d'alimentation à l'arrière (7).
4 Copiez le fichier du micrologiciel et l'utilitaire symcftpw dans un dossier
temporaire de votre disque dur.
5 Cliquez deux fois sur l'icône de symcftpw.
6 Dans la zone Adresse IP serveur, tapez l'adresse IP du boîtier.
L'adresse IP par défaut du boîtier est 192.168.0.1
7 Dans la zone Fichier local, tapez le nom du fichier de mise à niveau du
micrologiciel.
8 Cliquez sur Transmettre.
Attendez plusieurs minutes avant de redémarrer le boîtier. Le flashage est
terminé quand symcftpw signale la fin de l'opération, les voyants 2 et 3
arrêtent de clignoter, le boîtier a redémarré et les voyants 1 et 3 restent
allumés en continu. Cela peut prendre plusieurs minutes.
9 Basculez les micro-commutateurs 1 et 2 (4) en position "off" (bas).

Exécution immédiate de LiveUpdate


La commande Exécuter LiveUpdate est la procédure LiveUpdate manuelle.
Lorsque vous cliquez sur Exécuter LiveUpdate, le système recherche les mises à
jour pour votre micrologiciel et les installe. Si vous disposez déjà de la dernière
version, votre boîtier n'est pas mis à jour. Les mises à jour effectuées par
LiveUpdate préservent votre configuration.
Vous pouvez également modifier l'adresse du serveur LiveUpdate à consulter.
Se reporter à "Modification de l'emplacement du serveur LiveUpdate" à la
page 138.
Consignation, suivi et mises à jour 143
Mise à jour du micrologiciel

Pour exécuter LiveUpdate immédiatement


Se reporter à "Onglet LiveUpdate" à la page 173.
1 Dans le volet gauche, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet LiveUpdate, cliquez sur Exécuter
LiveUpdate sous Etat.

Mise à jour imposée du micrologiciel


Si le flashage manuel du micrologiciel ne fonctionne pas, vous pouvez imposer
la mise à jour du boîtier. N'utilisez cette procédure que si le flashage tel que
décrit à la section "Flashage du micrologiciel" à la page 141 ne fonctionne pas ou
sur instruction du support technique Symantec.
Utilisez la Figure 9-4 et la Figure 9-5 comme référence pour la procédure
suivante.

Pour effectuer une mise à jour imposée du micrologiciel


1 Notez tous vos paramètres de configuration.
2 Pour éteindre le boîtier, appuyez sur le bouton d'alimentation à l'arrière.
3 Basculez les micro-commutateurs 2 et 4 (4) en position "on" (haut).
4 Pour allumer le boîtier, appuyez sur le bouton d'alimentation (7) à l'arrière.
5 Sur l'ordinateur réseau depuis lequel vous allez transmettre le micrologiciel
au boîtier, modifiez l'adresse IP pour une adresse statique située hors de la
plage par défaut (192.168.0.2 à 1.92.168.0.52).
N'utilisez pas l'adresse IP 192.168.0.1.
6 Copiez le fichier du micrologiciel et l'utilitaire symcftpw dans un dossier
temporaire de votre disque dur.
7 Cliquez deux fois sur l'icône de symcftpw.
8 Dans la zone Adresse IP serveur, tapez l'adresse IP du boîtier.
L'adresse IP par défaut du boîtier est 192.168.0.1
9 Dans la zone Fichier local, tapez le nom du fichier de mise à niveau du
micrologiciel.
10 Cliquez sur Transmettre.
Attendez plusieurs minutes avant de redémarrer le boîtier. Le flashage est
terminé quand symcftpw signale la fin de l'opération, les voyants 2 et 3
arrêtent de clignoter, le boîtier a redémarré et les voyants 1 et 3 restent
allumés en continu. Cela peut prendre plusieurs minutes.
11 Basculez les micro-commutateurs 2 et 4 (4) en position "off" (bas).
144 Consignation, suivi et mises à jour
Mise à jour du micrologiciel

Vérification de la mise à jour du micrologiciel


La section Etat affiche la date et la version de la dernière mise à jour du
micrologiciel. La dernière mise à jour affiche la date et l'heure (si un service NTP
est disponible) de la dernière vérification LiveUpdate. Cette vérification peut
avoir ou non pour résultat le téléchargement d'une nouvelle version du
micrologiciel, selon la version présente sur le boîtier.
Dans le cas de mises à jour automatiques, LiveUpdate consigne les messages
pour des événements suivants :
■ Réussite du téléchargement du paquet du micrologiciel
■ Echec du téléchargement du paquet du micrologiciel
■ Aucun nouveau paquet de micrologiciel n'est disponible, tous les
composants sont à jour
Si une session LiveUpdate échoue à cause d'une erreur HTTP, cet échec est
consigné, ainsi que le message d'erreur HTTP émis par le client HTTP.

Pour vérifier la mise à jour du micrologiciel


Il est important de connaître la version du micrologiciel du boîtier si vous
prévoyez de contacter le support technique Symantec.
Se reporter à "Onglet LiveUpdate" à la page 173.
Se reporter à "Onglet Etat" à la page 166.

Pour afficher l'état du paquet LiveUpdate du micrologiciel


1 Dans le volet gauche, cliquez sur Administration.
2 Dans le volet droit, dans l'onglet LiveUpdate, consultez la date de la
dernière mise à jour et le numéro de version sous Etat.

Pour consulter la version courante du micrologiciel du boîtier


1 Dans le volet gauche, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Etat, consultez le contenu du champ
Version du micrologiciel sous Unité.
Consignation, suivi et mises à jour 145
Sauvegarde et restauration des configurations

Sauvegarde et restauration des configurations


Vous pouvez sauvegarder à tout moment la configuration du boîtier. Il est
conseillé d'effectuer une sauvegarde après la première configuration du boîtier
ou après toute modification significative de la configuration.

Remarque : N'utilisez pas un fichier de sauvegarde de configuration d'une


ancienne version du micrologiciel pour restaurer vos paramètres, sauf sur
instruction du support technique Symantec.

Le fichier de sauvegarde est créé dans le dossier du disque dur où vous avez
placé l'application symcftpw. Dans l'application symcftpw, vous pouvez spécifier
l'emplacement de stockage du fichier de sauvegarde, par exemple une disquette.
Cette option est utile pour ranger le fichier en lieu sûr, comme dans un coffre
résistant au feu.

Pour sauvegarder et restaurer des configurations


Il est conseillé de sauvegarder votre configuration pour pouvoir la restaurer en
cas de défaillance du boîtier.

Pour sauvegarder la configuration d'un boîtier


1 Pour éteindre le boîtier, appuyez sur le bouton d'alimentation à l'arrière.
2 Basculez les micro-commutateurs 1 et 2 en position "on" (haut).
3 Allumez le boîtier.
4 Copiez l'utilitaire symcftpw depuis le CD-ROM dans un dossier de votre
disque dur.
5 Cliquez deux fois sur l'icône de symcftpw.
6 Dans la zone Adresse IP serveur, tapez l'adresse IP du boîtier.
L'adresse IP par défaut du boîtier est 192.168.0.1
7 Dans la zone Fichier local, tapez un nom de fichier pour la sauvegarde.
8 Cliquez sur Get.
9 Basculez les micro-commutateurs 1 et 2 en position "off" (bas).
10 Copiez le fichier de sauvegarde sur une disquette et stockez celle-ci en
lieu sûr.
146 Consignation, suivi et mises à jour
Sauvegarde et restauration des configurations

Pour restaurer une configuration de boîtier


1 Pour éteindre le boîtier, appuyez sur le bouton d'alimentation à l'arrière.
2 Basculez les micro-commutateurs 1 et 2 en position "on" (haut).
3 Allumez le boîtier.
4 Copiez l'utilitaire symcftpw se trouvant sur le CD dans un dossier de votre
disque dur.
5 Cliquez deux fois sur l'icône de symcftpw.
6 Dans la zone Adresse IP serveur, tapez l'adresse IP du boîtier.
L'adresse IP par défaut du boîtier est 192.168.0.1
7 Dans la zone Fichier local, tapez un nom de fichier pour la sauvegarde.
8 Cliquez sur Get.
9 Basculez les micro-commutateurs 1 et 2 en position "off" (bas).

Réinitialisation du boîtier
Vous pouvez réinitialiser le boîtier de trois manières différentes :
■ Réinitialisation de base
Redémarre le boîtier. Cette opération revient à éteindre puis à rallumer le
boîtier. Toutes les connexions en cours sont perdues, y compris les tunnels
VPN clients. Les tunnels VPN entre passerelles qui étaient connectés sont
rétablis lorsque le boîtier redémarre. Le boîtier effectue également un
auto-test du matériel au redémarrage.
■ Réinitialisation sur la configuration par défaut
L'adresse IP de sous-réseau local est réinitialisée sur 191.168.0.0, l'adresse
IP de réseau local est réinitialisée sur 192.168.0.1, la fonctionnalité de
serveur DHCP est activée et le mot de passe de l'administrateur est
réinitialisé (il redevient vierge).
■ Réinitialisation sur l'application réservée
Le micrologiciel est réinitialisé sur le dernier fichier de micrologiciel all.bin
utilisé pour flasher le boîtier. Il s'agit soit du micrologiciel d'usine, soit
d'une mise à niveau du micrologiciel que vous avez téléchargée depuis le
site Web Symantec et appliquée au boîtier.

Remarque : LiveUpdate ne peut pas télécharger et appliquer les mises à


niveau du micrologiciel all.bin.
Consignation, suivi et mises à jour 147
Sauvegarde et restauration des configurations

Pour réinitialiser le boîtier


Il existe trois types de réinitialisation sur les paramètres d'usine, accessibles à
l'aide de différentes combinaisons des micro-commutateurs et du bouton de
réinitialisation. Utilisez un trombone ou la pointe d'un stylo pour appuyer sur le
bouton de réinitialisation. Reportez-vous à la Figure 9-4 et à la Figure 9-5 pour
déterminer l'emplacement du bouton de réinitialisation et des micro-
commutateurs.
La Figure 9-4 montre la partie arrière du modèle 320 pour référence.
La description complète de chaque fonctionnalité est fournie dans le Guide
d'installation de Symantec Gateway Security 300.

Figure 9-4 Arrière du modèle 320

La Figure 9-5 montre l'arrière des modèles 360 et 360R. Cette figure est pour
référence. La description complète de chaque fonctionnalité est fournie dans le
Guide d'installation de Symantec Gateway Security 300.

Figure 9-5 Arrière des modèles 360 et 360R

Pour effectuer une réinitialisation de base


◆ A l'arrière du boîtier, appuyez brièvement sur le bouton de
réinitialisation (1).
148 Consignation, suivi et mises à jour
Interprétation des voyants

Pour effectuer une réinitialisation sur la configuration par défaut


◆ A l'arrière du boîtier, maintenez le bouton de réinitialisation (1) enfoncé
pendant cinq secondes.

Pour effectuer une réinitialisation sur l'application réservée


1 A l'arrière du boîtier, positionnez le micro-commutateur 4 (4) sur "on"
(haut).
2 Appuyez brièvement sur le bouton de réinitialisation (1).

Interprétation des voyants


Les voyants du panneau avant de chaque boîtier indiquent son état. Il y a six
voyants : quatre pour le boîtier et deux pour les communications sans fil.
Normalement, les voyants de communication sans fil ne s'allument que si une
option de point d'accès sans fil compatible Symantec est installée.
La Figure 9-6 montre la partie arrière du modèle 320 pour référence.
La description complète de chaque fonctionnalité est fournie dans le Guide
d'installation de Symantec Gateway Security 300.

Figure 9-6 Arrière du modèle 320

La Figure 9-7 montre l'arrière des modèles 360 et 360R. Cette figure est pour
référence. La description complète de chaque fonctionnalité est fournie dans le
Guide d'installation de Symantec Gateway Security 300.
Consignation, suivi et mises à jour 149
Interprétation des voyants

Figure 9-7 Arrière des modèles 360 et 360R

Le Tableau 9-2 décrit chaque voyant.

Tableau 9-2 Voyants

Empla- Symbole Fonction Description


cement

1 Power S'allume quand le boîtier est mis sous


(alimentation) tension.

2 Error (erreur) S'allume en cas de problème du boîtier.

3 Transmit S'allume ou clignote quand un trafic


(transmission) circule sur les ports de réseau local ou de
réseau étendu.

4 Backup S'allume ou clignote quand le port série


(sauvegarde) est utilisé ou ne fonctionne pas
correctement.

5 Wireless- S'allume quand la carte sans fil est


ready (sans fil insérée et fonctionne correctement.
opérationnel)

6 Wireless S'allume ou clignote quand la carte sans


active (sans fil fil envoie ou reçoit des données.
actif)
150 Consignation, suivi et mises à jour
Interprétation des voyants

Les voyants du panneau avant du boîtier peuvent avoir trois états différents :
allumé, clignotant et éteint. La combinaison d'états des voyants d'erreur et de
transmission indique l'état du boîtier. Le Tableau 9-3 décrit la signification des
combinaisons de voyants.

Tableau 9-3 Etat des voyants et du boîtier

Etat du voyant Etat du voyant Etat du boîtier


Erreur (2) Transmission (3)

Eteint Allumé Fonctionnement normal.

Eteint Clignotant Transmission/réception de données


sur le réseau local.

Clignotant Clignotant ■ Adresse MAC non affectée.


■ Problème de micrologiciel.
Le boîtier est prêt pour un
téléchargement imposé.
■ Le boîtier a détecté une erreur
irrécupérable.

Clignotant Allumé Mode configuration.

Allumé Allumé Problème matériel.

Un seul clignotement Eteint Erreur de mémoire vive (RAM).

Deux clignotements Eteint Erreur d'horloge.

Trois clignotements Eteint Erreur de DMA.

Allumé Un seul clignotement Erreur de réseau local.

Allumé Deux clignotements Erreur de réseau étendu.

Allumé Trois clignotements Erreur de port série.

Eteint Eteint Pas d'alimentation.

Les deux voyants clignotent alternativement ■ Téléchargement en cours.


■ Le boîtier écrit dans sa
mémoire flash.
Consignation, suivi et mises à jour 151
Interprétation des voyants

Séquences des voyants pour les mises à niveau LiveUpdate


et de micrologiciel
Lorsque vous appliquez une mise à niveau de micrologiciel à l'aide de l'utilitaire
symcftpw ou de TFTP, ou lorsque LiveUpdate télécharge et applique une mise à
niveau de micrologiciel, une séquence spécifique de clignotements des voyants
indique la progression de l'opération. Le Tableau 9-4 décrit les séquences.

Tableau 9-4 Séquences de clignotement des voyants avec LiveUpdate

Description Power Error Transmit


(alimentation) (erreur) (transmission)

Récupération du micrologiciel Allumé Allumé Clignotement


sur Internet via LiveUpdate ou lors du passage
envoi du micrologiciel à l'aide de trafic.
des outils symcftpw ou TFTP.

Micrologiciel téléchargé et Allumé Eteint Eteint


vérifié. Cette opération prend
environ 10 secondes.

Application du micrologiciel. Allumé Clignotement Clignotement


Le temps nécessaire à cette alterné avec le alterné avec le
opération dépend du modèle. voyant Transmit voyant Error

Mise à jour terminée. Allumé Allumé Allumé

Le boîtier se réinitialise. Allumé Eteint Clignotement


Tous les voyants s'allument lors du passage
et passent en mode de de trafic.
fonctionnement normal.
Annexe A
Conformité aux normes
réglementaires
Ce chapitre traite des sujets suivants :

■ Déclarations FCC Classe A

■ Déclaration CICPR Classe A

■ Déclaration VCCI Classe A (Japon)

Déclarations FCC Classe A


Cet équipement est conforme aux Réglementations FCC, Partie 15. Son
fonctionnement est soumis aux deux conditions suivantes : (1) cet équipement
ne peut pas provoquer d'interférences dommageables, et (2) cet équipement doit
accepter toutes les interférences reçues, y compris celles susceptibles de
provoquer un fonctionnement incorrect.
La compatibilité de cet équipement a été testée et jugée conforme aux limites des
équipements numériques de Classe A, Partie 15 des Réglementations FCC. Ces
limites sont conçues pour assurer une protection raisonnable contre les
interférences dommageables quand l'équipement est utilisé en environnement
commercial. Cet équipement génère, utilise et peut émettre de l'énergie aux
fréquences radio. S'il n'est pas installé conformément aux directives du manuel
d'instructions, il peut porter atteinte aux communications radio. L'utilisation de
cet équipement dans une zone résidentielle est susceptible de provoquer des
interférences dommageables, auquel cas il est de la responsabilité de
l'utilisateur d'éliminer ces interférences à ses propres frais.
Toute altération ou modification non expressément approuvée par l'autorité
responsable de la conformité de l'équipement rendrait caduc le droit de
l'utilisateur à faire fonctionner l'équipement.
154 Conformité aux normes réglementaires
Déclaration CICPR Classe A

Déclaration CICPR Classe A


Avertissement : Ce produit est un équipement de classe A. Utilisé dans un
environnement domestique, il peut provoquer des interférences aux fréquences
radio, auquel cas l'utilisateur sera tenu de prendre les mesures appropriées.

Déclaration VCCI Classe A (Japon)


Avertissement : Ce produit est un équipement de classe A. Utilisé dans un
environnement domestique, il peut provoquer des interférences aux fréquences
radio, auquel cas l'utilisateur sera tenu de prendre les mesures appropriées.
VCCI-A
Annexe B
Dépannage
Ce chapitre traite des sujets suivants :

■ A propos du dépannage

■ Accès aux informations de dépannage

A propos du dépannage
La fonctionnalité Information de débogage permet d'obtenir un niveau élevé de
détails sur les événements système consignés. Le mode débogage provoque la
consignation dans le journal d'état d'informations supplémentaires utiles aux
techniciens de support technique Symantec ou pour résoudre des problèmes.
Le mode utilisateur par défaut fournit des informations générales sur les actions
effectuées conformément à la stratégie de sécurité.

Avertissement : L'activation du mode débogage augmente le nombre


d'événements consignés et affecte les performances. Tous les messages
de débogage sont en anglais. N'utilisez le mode débogage que de manière
temporaire à des fins de dépannage et désactivez-le aussitôt le débogage
terminé.

La fonctionnalité Retransmettre les paquets de réseau étendu au réseau local


diffuse tous les paquets côté réseau étendu sur le réseau local, ce qui permet
de capturer les paquets ("sniffing"). Il s'agit d'un risque de sécurité potentiel :
veillez à désactiver cette fonctionnalité quand vous avez fini de résoudre les
problèmes.
La passerelle de sécurité intègre aussi les outils de test PING et de recherche
DNS, qui permettent de vérifier la connectivité réseau et la résolution DNS.
156 Dépannage
A propos du dépannage

Remarque : L'outil PING sert uniquement à émettre des commandes PING à


destination d'autres adresses IP. Vous ne pouvez pas envoyer de PING au boîtier
lui-même.

La partie Résultat de la fenêtre Dépannage affiche le résultat de l'exécution des


tests PING et des recherches DNS.

Pour dépanner les boîtiers Symantec Gateway Security 300


■ Se reporter à "Menu Consignation/suivi" à la page 165.
■ Se reporter à "Onglet Résolution des problèmes" à la page 171.

Pour définir les niveaux de consignation


1 Dans le volet gauche de SGMI, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Paramètres de journal, cochez les
informations à consigner sous Type de journal.
Les informations de débogage collectent une grande quantité de données.
N'utilisez cette option que pour résoudre les problèmes.
3 Cliquez sur Enregistrer.

Pour activer la retransmission des paquets de réseau étendu au réseau local


1 Dans le volet gauche, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Dépannage, cochez Retransmettre les
paquets de réseau étendu au réseau local sous Niveau de débogage de
diffusion.
La retransmission des paquets reçus sur les ports de réseau étendu au
réseau local pour des raisons de dépannage peut laisser pénétrer sur votre
réseau interne un trafic normalement bloqué par la passerelle de sécurité.
N'utilisez cette méthode pour capturer des paquets de réseau étendu que si
vous ne pouvez pas utiliser d'outil spécialisé ("sniffer") du côté réseau
étendu. N'activez cette fonction qu'en dernier ressort et désactivez-la dès
que le dépannage est terminé.
3 Cliquez sur Enregistrer.
Dépannage 157
A propos du dépannage

Pour exécuter un test


1 Dans le volet gauche, cliquez sur Consignation/suivi.
2 Dans le volet droit, dans l'onglet Dépannage, saisissez l'adresse IP ou le nom
DNS à tester sous Outils de test, dans la zone Hôte cible.
3 Dans la liste déroulante Outil, sélectionnez PING ou Recherche DNS.
4 Cliquez sur Exécuter l'outil.
Les résultats du test s'affichent dans la zone Résultat.

Pour tester la connectivité de la passerelle par défaut


1 Vérifiez que votre passerelle par défaut est accessible en envoyant une
requête PING à son adresse IP.
2 Si la requête PING échoue en utilisant l'adresse IP d'un hôte, vous avez un
problème de liaison côté FAI ou un problème de routage.
3 Si la requête PING fonctionne en utilisant l'adresse IP d'un hôte mais pas
son nom DNS, vous avez un problème de configuration de serveur DNS ou
celui-ci n'est pas accessible (essayez d'effectuer une requête PING sur
l'adresse IP du serveur DNS pour vérifier sa connectivité).
4 Si certains noms DNS sont résolus correctement mais pas les autres,
le problème vient probablement de votre configuration. Dans ce cas,
vous devez consulter l'autorité responsable des autorisations pour le
domaine DNS.

Pour tester la connectivité de réseau étendu


1 Effectuez une requête PING sur la passerelle par défaut.
2 Effectuez une requête PING sur un site Internet en utilisant son adresse IP.
3 Effectuez une requête PING sur un site Internet en utilisant son
adresse DNS.

Remarque : Certains sites bloquent les requêtes PING au niveau de leur pare-feu.
Vérifiez que le site est accessible avant de contacter votre FAI ou le support
technique Symantec.
158 Dépannage
Accès aux informations de dépannage

Accès aux informations de dépannage


Utilisez la procédure suivante pour accéder aux informations de dépannage de
la base de connaissances Symantec.

Pour accéder aux informations de dépannage


1 Allez à l'adresse www.symantec.fr.
2 En haut de la page d'accueil, cliquez sur Support.
3 Dans la zone Support produits > entreprises, cliquez sur Continuer.
4 Dans la page Support entreprise, sous Support technique, cliquez sur base
de données.
5 Sous Sélectionner une base de données, faites défiler la liste de sélection et
cliquez sur Symantec Gateway Security - Modèle 300.
6 Cliquez sur le nom et le modèle de votre produit.
7 Sur la page de la base de données correspondant à votre modèle de boîtier,
effectuez l'une des opérations suivantes :
■ Dans l'onglet Problèmes courants, cliquez sur l'un des éléments de
la liste pour consulter une liste détaillée d'articles consacrés à cette
rubrique.
■ Dans l'onglet Rechercher, saisissez une chaîne contenant une question
dans la zone de texte. Utilisez la liste déroulante pour comprendre
comment la recherche est effectuée puis cliquez sur Rechercher.
■ Dans l'onglet Parcourir, développez un titre pour voir les articles de la
base de connaissances concernant cette rubrique.
Annexe C
Licence
Ce chapitre traite des sujets suivants :

■ Licence de session pour fonctions VPN - Symantec


Gateway Security 300 client à passerelle

■ CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC


GATEWAY SECURITY

Licence de session pour fonctions VPN - Symantec


Gateway Security 300 client à passerelle
Le logiciel Symantec Client VPN peut être distribué sous licence pour un boîtier.
La version du logiciel Symantec Client VPN doit apparaître dans la liste des
produits pris en charge, dans les Notes de version de Symantec Gateway Security
300. Le module additionnel de VPN client-passerelle est distribué sous licence
en fonction du nombre de sessions VPN simultanées. Vous pouvez acheter des
licences supplémentaires pour des sessions VPN simultanées. Par exemple, vous
pouvez avoir 15 utilisateurs qui nécessitent un accès VPN dans le cadre de leur
travail normal, mais à un moment quelconque, seulement 10 utilisateurs seront
connectés par le VPN.
Dans ce cas, vous n'avez besoin que d'une licence pour 10 sessions VPN
simultanées. Vous devez vous procurer des licences supplémentaires comme
requis pour autoriser le nombre maximum requis de sessions simultanées.
La licence vous donne le droit de charger le logiciel sur autant de nœuds que
vous le souhaitez, mais ces clients ne peuvent bénéficier de la licence que pour
utilisation avec le boîtier Symantec Gateway Security qui l'accompagne.
160 Licence
CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC GATEWAY SECURITY

Licences de session supplémentaires


Des licences supplémentaires sont disponibles pour les fonctions de VPN client-
passerelle. Les licences de session VPN client-passerelle sont indépendantes des
licences couvrant les fonctions de base. Le nombre maximum de sessions
simultanées peut être limité par les performances du matériel, l'implémentation
du réseau ou les caractéristiques du trafic.

CONTRAT DE LICENCE ET GARANTIE POUR BOITIER


SYMANTEC GATEWAY SECURITY
SYMANTEC CORPORATION ET/OU SES FILIALES (" SYMANTEC ") ACCEPTE(NT) DE
VOUS CONCEDER SOUS LICENCE LE LOGICIEL ACCOMPAGNANT LE PRODUIT QUE
VOUS AVEZ ACHETE, A VOUS, LA PERSONNE PHYSIQUE, SOCIETE OU PERSONNE
MORALE QUI UTILISERA LE LOGICIEL (CI-APRES " VOUS ") ET DE VOUS APPORTER
UNE GARANTIE SUR LE MATERIEL A LA SEULE CONDITION QUE VOUS ACCEPTIEZ
L'ENSEMBLE DES CONDITIONS DU PRESENT CONTRAT DE LICENCE ET DE GARANTIE.
VEUILLEZ LIRE ATTENTIVEMENT LES CONDITIONS DU PRESENT CONTRAT DE
LICENCE ET DE GARANTIE AVANT D'UTILISER LE LOGICIEL. LE PRESENT DOCUMENT
EST UN CONTRAT JURIDIQUEMENT OBLIGATOIRE CONCLU ENTRE VOUS ET
SYMANTEC. EN OUVRANT L'EMBALLAGE SCELLE, EN CLIQUANT SUR LE BOUTON
"J'ACCEPTE" OU "OUI" OU EN INDIQUANT AUTREMENT VOTRE ACCORD
ELECTRONIQUEMENT, EN DEMANDANT UNE CLE DE LICENCE OU EN UTILISANT
LE PRODUIT, VOUS ACCEPTEZ LES CONDITIONS DU PRESENT CONTRAT. SI VOUS
N'ACCEPTEZ PAS LES PRESENTES CONDITIONS, CLIQUEZ SUR LE BOUTON
"JE N'ACCEPTE PAS" OU "NON", OU INDIQUEZ AUTREMENT VOTRE REFUS ET
CESSEZ TOUTE UTILISATION DU LOGICIEL ET DU MATERIEL.

1. Licence :
Le logiciel (le "Logiciel") qui accompagne l'équipement que vous avez acheté
(l'"Equipement") est la propriété de Symantec ou de ses concédants de licence et il est
protégé par la législation relative au droit d'auteur. Bien que Symantec reste propriétaire
du Logiciel, vous aurez le droit d'utiliser le Logiciel après votre acceptation de la présente
licence. La présente licence régit toute version, révision ou amélioration du Logiciel que le
Concédant de la licence peut vous fournir. Sauf modification consécutive à un certificat de
licence, à un coupon de licence ou à une clé de licence Symantec applicable (chacun de ces
éléments constituant un "Avenant") qui accompagne, précède ou suit la présente licence,
et sous réserve des indications supplémentaires contenues dans la documentation
utilisateur qui accompagne l'Equipement et/ou le Logiciel, vos droits et obligations relatifs
à l'utilisation du présent Logiciel sont les suivants :

Vous pouvez :
A. utiliser le Logiciel exclusivement avec l'Equipement.
B. produire des copies de la documentation imprimée qui accompagne l'Equipement
comme nécessaire pour permettre l'utilisation autorisée de l'Equipement et
C. sous réserve de l'accord écrit de Symantec et dans le cadre du transfert d' l'Equipement,
transférer le Logiciel de manière permanente à une autre personne ou entité, à condition
que vous ne conserviez aucune copie du Logiciel et que ladite personne ou entité accepte
par écrit les conditions de la présente licence.
Licence 161
CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC GATEWAY SECURITY

Vous ne pouvez pas :


A. sous-traiter la licence, prendre ou donner en location toute partie du Logiciel, pratiquer
de l'ingénierie inverse, décompiler, désassembler, modifier, traduire ou tenter de
découvrir le code source du Logiciel, ou créer des dérivés du Logiciel ;
B. utiliser, si vous avez reçu le Logiciel sur un support contenant plusieurs produits
Symantec, tout logiciel Symantec sur le support pour lequel vous n'avez pas reçu de
permission dans un Avenant ; ou
C. utiliser le Logiciel d'une quelconque manière qui ne soit pas autorisée par la présente
licence.

2. Mises à jour de contenu :


Certains logiciels Symantec utilisent du contenu qui est mis à jour de temps à autre
(les produits antivirus utilisent des définitions de virus mises à jour ; les produits de
filtrage de contenu utilisent des listes d'URL mises à jour ; certains produits pare-feu
utilisent des règles de filtrage mises à jour ; les produits d'évaluation de vulnérabilité
utilisent des données de vulnérabilité mises à jour, etc. Ces éléments sont collectivement
dénommés "Mises à Jour de Contenu"). Vous pouvez obtenir des Mises à jour de contenu
pour chaque fonctionnalité du Logiciel que vous avez achetée et activée pour utilisation
avec l'Equipement pour toute période pour laquelle vous avez (i) acheté un abonnement
aux Mises à jour de contenu pour la dite fonctionnalité logicielle ; (ii) conclu un contrat de
maintenance comprenant les Mises à jour de contenu pour la dite fonctionnalité logicielle ;
ou (iii) autrement acquis séparément le droit d'obtenir des Mises à jour de contenu pour la
dite fonctionnalité logicielle. La présente licence ne vous permet pas autrement d'obtenir
et d'utiliser des Mises à jour de contenu.

3. Garantie limitée :
Symantec garantit que le Logiciel fonctionnera avec l'Equipement en conformité objective
avec la documentation écrite accompagnant l'Equipement, pendant une période de trente
(30) jours à compter de la date d'achat initiale de l'Equipement. Votre seul recours, en cas
de rupture de la présente garantie, sera, au choix de Symantec, la réparation ou le
remplacement de tout Logiciel défectueux renvoyé à Symantec pendant la période de
garantie, ou le remboursement par Symantec de la somme que vous avez payée pour
l'Equipement.

Symantec garantit que le composant matériel de l'Equipement (le "Matériel") sera exempt
de défauts de pièces et de main-d'œuvre dans des conditions normales d'utilisation et de
service et se conformera objectivement à la documentation écrite accompagnant
l'Equipement pendant une période de soixante (365) jours à compter de la date d'achat
initiale de l'Equipement. Votre seul recours, en cas de rupture de la présente garantie,
sera, au choix de Symantec, la réparation ou le remplacement de tout Matériel défectueux
renvoyé à Symantec pendant la période de garantie, ou le remboursement par Symantec
de la somme que vous avez payée pour l'Equipement.

Les garanties offertes par le présent contrat ne concernent pas les Logiciels ou
Matériels qui :

A. auraient été modifiés, complétés, mis à niveau ou modifiés d'aucune manière ;


ou B. auraient été réparés sauf par Symantec ou un intervenant agréé.
162 Licence
CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC GATEWAY SECURITY

En outre, les garanties offertes par le présent contrat ne concernent pas les réparations
ou remplacements provoqués ou rendus nécessaires par : (i) des événements ou des
occurrences de pertes ou de dommages intervenant pendant l'expédition, ; (ii) une
catastrophe naturelle incluant, de manière non limitative, des événements tels
qu'incendie, inondation, tremblement de terre, foudre ou désastre similaire ; (iii)
l'utilisation incorrecte, l'environnement, l'installation ou l'alimentation électrique,
une maintenance inadaptée ou tout autre traitement ou utilisation inadapté ; (iv) une
intervention ou une absence d'intervention de l'administration ; (v) une grève ou autre
arrêt de travail ; (vi) votre manquement à vous conformer aux instructions d'utilisation
applicable ou aux consignes des manuels ; (vii) votre manquement à implémenter ou à
laisser Symantec ou ses délégués implémenter toute correction ou modification de
l'Equipement mise à votre disposition par Symantec ; ou (viii) tout autre événement
échappant au contrôle raisonnable de Symantec.

En cas de découverte d'une défaillance quelconque du Matériel ou d'un composant,


pour bénéficier de la garantie applicable pendant la période convenue, vous devez nous
contacter sous dix (10) jours et demander un numéro d'autorisation de retour de matériel
("RMA"). Symantec vous fera rapidement parvenir un RMA après avoir déterminé que
vous réunissez les conditions pour bénéficier du service de garantie. L'Equipement ou le
composant déclaré défectueux sera retourné à Symantec, correctement et solidement
emballé avec le port et l'assurance payés, le numéro de RMA apparaissant lisiblement
à l'extérieur de l'emballage et avec l'Equipement. Symantec n'aura aucune obligation
d'accepter un Equipement retourné sans numéro de RMA.

Après réparation ou, si Symantec décide en accord avec la garantie de remplacer un


Equipement défectueux, Symantec retournera l'Equipement réparé ou remplacé avec le
port et l'assurance payés. Dans le cas où Symantec déciderait, à sa seule discrétion, que le
Matériel ne peut pas être remplacé ni réparé, Symantec remboursera le prix F.O.B. que
vous avez payé pour l'Equipement défectueux. Les Equipements défectueux retournés à
Symantec deviendront la propriété de Symantec.

Symantec ne garantit pas que l'Equipement répondra à vos besoins, ni qu'il fonctionnera
sans interruption ou sans erreur.

Pour bénéficier des droits exposés dans le présent contrat au titre de la garantie, vous
devez disposer d'un reçu ou d'une facture constituant une preuve d'achat dans le cadre de
votre réclamation sous garantie.

DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE, LA GARANTIE CI-DESSUS


EST EXCLUSIVE ET REMPLACE TOUTE AUTRE GARANTIE, EXPRESSE OU IMPLICITE,
Y COMPRIS LES GARANTIES IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A
UN USAGE PARTICULIER ET DE RESPECT DES DROITS DE PROPRIETE
INTELLECTUELLE. LA PRESENTE GARANTIE VOUS CONFERE DES DROITS
SPECIFIQUES. VOUS POUVEZ DISPOSER D'AUTRES DROITS, QUI VARIENT D'UN ETAT
A L'AUTRE ET D'UN PAYS A L'AUTRE.
Licence 163
CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC GATEWAY SECURITY

4. Exclusion de responsabilité :
CERTAINS ETATS ET PAYS, Y COMPRIS LES PAYS MEMBRES DE L'UNION
EUROPEENNE, N'AUTORISENT PAS LA LIMITATION OU L'EXCLUSION DE
RESPONSABILITE EN CAS DE DOMMAGES INDIRECTS OU ACCESSOIRES. IL EST DONC
POSSIBLE QUE LA LIMITATION OU L'EXCLUSION CI-DESSOUS NE VOUS SOIT PAS
APPLICABLE.

DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE ET INDEPENDAMMENT


DE SAVOIR SI TOUT RECOURS STIPULE DANS LES PRESENTES ATTEINT OU NON
SON OBJECTIF ESSENTIEL, SYMANTEC NE SERA EN AUCUN CAS RESPONSABLE
D'EVENTUELS DOMMAGES SPECIAUX, INDIRECTS, ACCESSOIRES OU SIMILAIRES,
Y COMPRIS TOUT MANQUE A GAGNER OU TOUTE PERTE DE DONNEES DECOULANT
DE L'UTILISATION OU DE L'INCAPACITE D'UTILISER LE LOGICIEL, MEME SI
SYMANTEC A ETE INFORME DE L'EVENTUALITE DE TELS DOMMAGES.

LA RESPONSABILITE DE SYMANTEC N'EXCEDERA EN AUCUN CAS LE PRIX PAYE POUR


L'ACHAT DE L'EQUIPEMENT. Les exclusions de responsabilité et limitations stipulées ci-
dessus seront applicables, que vous acceptiez ou non le Logiciel ou l'Equipement.

5. Droits restreints du gouvernement des Etats-Unis :


MENTION RELATIVE AUX DROITS RESTREINTS. Tous les produits et toutes les
documentations Symantec sont de nature commerciale. Le logiciel et la documentation
qui l'accompagne sont des "Articles Commerciaux", conformément à la définition qui
est donnée de ce terme à l'article 48 C.F.R. section 2.101, composés d'un "Logiciel
Commercial" et d'une "Documentation de Logiciel Commercial", conformément à la
définition qui est donnée de ces termes aux articles 48 C.F.R section 252.227-7014(a)(5) et
48 C.F.R. section 252.227-7014(a)(1), et à l'utilisation qui en est faite aux articles 48 C.F.R.
section 12.212 et 48 C.F.R. section 227.7202. Conformément aux articles 48 C.F.R. section
12.212, 48 C.F.R. section 252.227-7015, 48 C.F.R. section 227.7202 à 227.7202-4, 48 C.F.R.
section 52.227-14, et aux autres sections applicables du Code des Réglementations
Fédérales (Code of Federal Regulations), le logiciel Symantec et la documentation qui
l'accompagne sont concédés sous licence aux utilisateurs du gouvernement des Etats-Unis
dans la limite des droits concédés à tous les autres utilisateurs, conformément aux
conditions contenues dans le présent contrat de licence. Le fabricant est Symantec
Corporation, 20330 Stevens Creek Blvd., Cupertino, CA 95014, Etats-Unis.

6. Réglementation relative aux exportations :


Certains produits Symantec sont soumis à des contrôles à l'exportation par le département
américain du commerce (DOC), définis par les EAR (Export Administration Regulations)
(voir www.bxa.doc.gov). Il est strictement interdit d'enfreindre la loi des Etats-Unis.
Le bénéficiaire de la lice accepte de se conformer aux impératifs des EAR et aux lois et
règlements internationaux, nationaux et régionaux, incluant toute restriction applicable
sur l'importation et l'utilisation. L'exportation et la réexportation des produits Symantec
sont actuellement interdits à destination de Cuba, de la Corée du nord, de l'Iran, de l'Iraq,
de la Libye, de la Syrie, du Soudan et de tout pays soumis à des sanctions commerciales
applicables. Le bénéficiaire de la licence accepte de ne pas exporter ni réexporter,
directement ou indirectement, aucun produit vers aucun pays mentionné dans les EAR,
ni vers aucune personne ni entité apparaissant dans les interdictions du DOC ou du
département d'état américain ni dans les listes du trésor public d'individus, trafiquants
ou terroristes. Le bénéficiaire de la licence accepte également de ne pas exporter ni
réexporter de produits Symantec à destination d'une autorité militaire quelconque non
agréée par les EAR, ou à toute autre entité dans un but militaire, et s'engage à ne vendre
aucun produit Symantec pour utilisation en connexion avec des armes chimiques,
biologiques ou nucléaires ou des missiles capables de transporter de telles armes.
164 Licence
CONTRAT DE LICENCE ET GARANTIE POUR BOITIER SYMANTEC GATEWAY SECURITY

7. Clauses générales :
Si vous résidez en Amérique du nord ou en Amérique latine, le présent Contrat est régi par
le droit de l'Etat de Californie, Etats-Unis d'Amérique. Dans les autres cas, il est régi par
le droit anglais. Le présent Contrat, accompagné de tout Avenant éventuel, constitue
l'intégralité du contrat conclu entre vous et Symantec au sujet de l'Equipement, et : (i)
remplace toutes communications, propositions et déclarations antérieures ou actuelles,
orales ou écrites, relatives à son objet, et (ii) prévaut sur toutes conditions contraires ou
supplémentaires de tout devis, commande, accusé de réception ou communication
similaire entre les parties. Le présent Contrat ne peut être modifié que par la voie d'un
Avenant accompagnant la présente licence ou d'un document écrit signé par vous et
Symantec. En cas de manquement de votre part à l'une quelconque des conditions du
présent Contrat, celui-ci sera résilié. Vous devrez cesser d'utiliser le Logiciel et en détruire
toutes les copies, et retourner l'Equipement à Symantec. Les exclusions de responsabilité
et les limitations de garantie resteront applicables au-delà de la résiliation. Si vous avez
des questions au sujet du présent Contrat ou si vous souhaitez contacter Symantec
pour quelque raison que ce soit, veuillez écrire à : (i) Symantec Customer Service,
555 International Way, Springfield, OR 97477, Etats-Unis, ou à (ii) Symantec Customer
Service Center, PO BOX 56898, Dublin 15, Irlande.
Annexe D
Description des champs
Ce chapitre traite des sujets suivants :

■ Menu Consignation/suivi

■ Menu Administration

■ Menu Réseau local

■ Menu Réseau étendu/FAI

■ Menu Pare-feu

■ Menu VPN

■ Menu IDS/IPS

■ Menu Stratégie antivirus (AVpe)

■ Menu Filtrage du contenu

Menu Consignation/suivi
Symantec Gateway Security 300 fournit des fonctionnalités configurables de
consignation système. Il affiche les journaux et l'état du suivi du système dans
des onglets. Il dispose aussi d'outils de test intégrés pour le dépannage et la
vérification de la connexion.
Cette section traite des rubriques suivantes :
■ Onglet Etat
■ Onglet Afficher le journal
■ Onglet Paramètres de journal
■ Onglet Résolution des problèmes
166 Description des champs
Menu Consignation/suivi

Onglet Etat
L'onglet Etat affiche le statut et les paramètres courants de la passerelle de
sécurité.

Tableau D-1 Description des champs de l'onglet Etat

Section Champ Description

Modèle 320 : Etat de connexion Indique si le port de réseau étendu est connecté
Réseau étendu ou déconnecté à Internet ou à un réseau interne.
(port externe) Masque de réseau Déduit de la configuration IP par DHCP ou
Modèle 360/ statique.
360R :
Adresse IP Affiche l'adresse IP du port de réseau étendu,
Réseau étendu 1 définie dans votre configuration locale.
(port externe)
Adresse physique Affiche l'adresse physique (MAC - Media Access
Réseau étendu 2
Control) de la passerelle de sécurité.
(port externe)
Passerelle par Affiche l'adresse IP de passerelle définie dans
défaut votre configuration locale. Cette adresse est
utilisée par la passerelle de sécurité pour router
les paquets destinés à des réseaux qu'elle ne
reconnaît pas. Dans la plupart des
configurations, il s'agit de l'adresse IP du
routeur de votre FAI (Fournisseur d'Accès
Internet).

Client DHCP Affiche activé ou désactivé. S'il est activé,


la passerelle de sécurité utilise DHCP pour
demander les informations d'adresse ID, de
serveur DNS et de routage à votre FAI ou à votre
intranet lorsque vous la démarrez.

Adresse(s) IP DNS Affiche l'adresse IP fournie par votre FAI.

Temps de location Si le client DHCP est activé, ce champ affiche la


DHCP durée pendant laquelle la passerelle de sécurité
détiendra l'adresse IP. Cette adresse est obtenue
au démarrage de la passerelle de sécurité.
Description des champs 167
Menu Consignation/suivi

Tableau D-1 Description des champs de l'onglet Etat (Suite)

Section Champ Description

Réseau local Adresse IP Affiche l'adresse IP de la passerelle de sécurité.


(LAN) La valeur par défaut est 192.168.0.1
(port externe)
Adresse physique Affiche l'adresse physique (MAC - Media Access
Control) du port de réseau local de la passerelle
de sécurité. La valeur par défaut est le
paramètre d'usine.

Masque de réseau Affiche l'adresse de masque de réseau définie


dans l'onglet Réseau local. La valeur par défaut
est 255.255.255.0.

Serveur DHCP Indique "activé" si la passerelle de sécurité agit


en tant que serveur DHCP pour les clients
connectés et "désactivé" sinon.

Unité Version Affiche la version du micrologiciel d'usine ou la


micrologiciel version la plus récente du micrologiciel, issue de
la dernière session LiveUpdate ou mise à jour
manuelle.

Version de langue Affiche la version d'usine ou la version issue


de la mise à jour la plus récente.

Modèle Affiche le numéro de modèle de la passerelle


de sécurité.

Hôte exposé Indique si vous avez configuré un ordinateur de


votre réseau en tant qu'hôte exposé.

Applications Affiche activé ou désactivé. Si vous avez


spéciales configuré des applications spéciales, ce champ
affiche activé.

Mode NAT Affiche activé ou désactivé.


Si vous désactivez le mode NAT, les fonctions
de sécurité du pare-feu sont désactivées et la
passerelle de sécurité se comporte comme un
routeur standard. N'utilisez ce paramètre que
pour les déploiements de passerelle de sécurité
sur intranet, par exemple si vous souhaitez
utiliser la passerelle de sécurité comme pont
sans fil sur un réseau protégé.
Lorsque le mode NAT est activé, la passerelle
de sécurité se comporte comme un pont réseau
802.1D.
168 Description des champs
Menu Consignation/suivi

Onglet Afficher le journal


L'onglet Afficher le journal contient la liste des événements système.

Tableau D-2 Description des champs de l'onglet Afficher le journal

Section Champ Description

Afficher le journal Heure préférée Heure GMT (Greenwich Mean Time – heure du
(GMT) méridien de Greenwich) de consignation du
message. Si la passerelle de sécurité ne parvient
pas à obtenir l'heure depuis un serveur NTP
(Network Time Protocol), elle affiche pour
chaque événement le nombre de secondes
écoulé depuis son dernier redémarrage.

Message Affiche le texte de l'événement consigné.

Source Affiche l'origine du paquet.

Destination Affiche la destination prévue du paquet.

Remarque Affiche le nom ou le numéro du protocole ou des


informations de dépannage supplémentaires.
Description des champs 169
Menu Consignation/suivi

Onglet Paramètres de journal


L'onglet Paramètres de journal permet de configurer les paramètres de
notification par courrier électronique, de types de messages à consigner et
d'heure affichée pour chaque message consigné.

Tableau D-3 Description des champs de l'onglet Paramètres de journal

Section Champ Description

Retransmission Serveur SMTP Adresse IP ou nom de domaine complet du


de courrier serveur SMTP à utiliser pour envoyer le journal.
Ce champ est requis pour envoyer les journaux
par courrier électronique.

Envoyer le Adresse électronique de l'expéditeur du


courrier message. Le nombre maximal de caractères
électronique est 39.
depuis
Ce champ est requis pour envoyer les journaux
par courrier électronique.

Envoyer le Adresse électronique du destinataire du


courrier message. Le nombre maximal de caractères
électronique à est 39. Vous pouvez spécifier plusieurs
destinataires en séparant les adresses par des
virgules.
Ce champ est requis pour envoyer les journaux
par courrier électronique.

Envoyer le journal Après avoir saisi le serveur SMTP puis l'adresse


électronique de l'expéditeur et du destinataire,
vous pouvez cliquer sur Envoyer le journal pour
envoyer le journal tel qu'il est actuellement.

Syslog Serveur syslog Adresse IP d'un hôte exécutant l'utilitaire syslog


standard, capable de recevoir le fichier journal.
170 Description des champs
Menu Consignation/suivi

Tableau D-3 Description des champs de l'onglet Paramètres de journal (Suite)

Section Champ Description

Type de journal Activité système, Consigne toutes les activités système et l'état de
état de connexion connexion. Ce type est activé par défaut.

Connexions Consigne les connexions autorisées par les


AUTORISEES par règles de trafic sortant.
les règles de trafic
sortant

Connexions Consigne toutes les tentatives de connexion


REFUSEES par les refusées par une règle de trafic sortant,
règles de trafic l'application de la stratégie antivirus (AVpe) ou
sortant le filtrage de contenu.

Connexions Consigne les connexions autorisées par les


AUTORISEES par règles de trafic entrant.
les règles de trafic
entrant

Connexions Consigne les connexions refusées par les règles


REFUSEES par les de trafic entrant.
règles de trafic
entrant

Attaque détectée Consigne toutes les attaques détectées, y


compris les analyses de port, les attaques par
fragmentation et les chevaux de Troie. Ce type
est activé par défaut.

Information de Affiche des informations de débogage


débogage supplémentaires utiles pour le dépannage.
N'utilisez cette option que pour dépanner un
problème, puis désactivez-la une fois le
problème résolu.

Heure Serveur NTP Adresse IP du serveur NTP non public.


Description des champs 171
Menu Consignation/suivi

Onglet Résolution des problèmes


L'onglet Résolution des problèmes permet de dépanner votre passerelle de
sécurité à l'aide d'options de débogage et d'outils de test.

Tableau D-4 Description des champs de l'onglet Résolution des problèmes

Section Champ Description

Niveau de Retransmettre les Active la retransmission des paquets de réseau


débogage de paquets de réseau étendu au réseau local. Cela est utile pour
diffusion étendu au réseau vérifier les paquets de réseau étendu pour un
local dépannage, sans avoir à mettre en place des
équipements supplémentaires.

Outils de test Hôte cible Adresse IP ou nom de domaine complet de l'hôte


que vous testez avec l'un des outils.
Cette adresse n'est pas validée ; veillez à la saisir
sans erreur.

Outil (modèle 320) Outils de dépannage. Les options disponibles


sont les suivantes :
■ PING
■ Recherche DNS
Cliquez sur Exécuter l'outil.

Outil (modèle Outils de dépannage. Les options disponibles


360/360R) sont les suivantes :
■ PING
■ Recherche DNS
Cliquez sur Exécuter via réseau étendu 1 ou
Exécuter via réseau étendu 2, selon le port de
réseau étendu que vous voulez dépanner.

Résultat Résultat Affiche le résultat de l'outil test.


172 Description des champs
Menu Administration

Menu Administration
La fonction Administration de la passerelle de sécurité permet de gérer l'accès
administrateur à l'interface de gestion SGMI en définissant un mot de passe et
des adresses IP autorisées. Vous pouvez aussi configurer SNMP pour effectuer
un suivi du système et LiveUpdate pour recevoir des mises à jour du
micrologiciel.
Cette section traite des rubriques suivantes :
■ Onglet Gestion de base
■ Onglet SNMP
■ Onglet LiveUpdate

Onglet Gestion de base


L'onglet Gestion de base permet de contrôler l'accès à l'interface de gestion
SGMI à l'aide du mot de passe d'administration et des adresses IP autorisées.

Tableau D-5 Description des champs de l'onglet Gestion de base

Section Champ Description

Mot de passe Mot de passe Mot de passe utilisé pour accéder à


d'administration l'interface de gestion SGMI.
Le nom d'utilisateur est toujours admin.
Le nom de connexion est sensible à la
casse.

Confirmation du Ressaisissez le mot de passe


mot de passe d'administration.

Gestion à distance Adresse IP de début Première adresse IP de la plage d'adresses


auxquelles vous voulez autoriser l'accès à
la SGMI.
Pour supprimer une adresse IP, saisissez 0
dans chacune des zones de texte.

Adresse IP de fin Dernière adresse IP de la plage d'adresses


auxquelles vous voulez autoriser l'accès à
la SGMI.
Pour supprimer une adresse IP, saisissez 0
dans chacune des zones de texte.

Autoriser la mise à Autorise la mise à niveau à distance


niveau à distance du du micrologiciel depuis une plage
micrologiciel d'adresses IP.
Description des champs 173
Menu Administration

Onglet SNMP
L'onglet SNMP permet de configurer la passerelle de sécurité pour une
surveillance avec des serveurs SNMP.
Tableau D-6 Description des champs de l'onglet SNMP

Section Champ Description

Gestionnaires SNMP Chaîne de Votre serveur SNMP peut exiger une


lecture seule (GETS communauté chaîne de communauté.
et TRAPS)
Adresse IP 1, Adresse IP des destinataires de trappes
Adresse IP 2, SNMP. Les trappes sont retransmises à ces
Adresse IP 3 adresses.

Onglet LiveUpdate
L'onglet LiveUpdate permet de configurer votre connexion à un serveur
LiveUpdate et de planifier des mises à jour du micrologiciel pour votre passerelle
de sécurité.

Tableau D-7 Description des champs de l'onglet LiveUpdate

Section Champ Description

Paramètres Serveur LiveUpdate Adresse IP ou nom de domaine complet


généraux du serveur LiveUpdate à utiliser pour
récupérer les mises à jour de
micrologiciel. L'adresse par défaut est
http://liveupdate.symantec.com.
174 Description des champs
Menu Administration

Tableau D-7 Description des champs de l'onglet LiveUpdate (Suite)

Section Champ Description

Mises à jour Activer le Active le programmateur LiveUpdate.


automatiques programmateur Celui-ci permet de programmer des heures
auxquelles la passerelle de sécurité
vérifiera l'existence de nouvelles mises à
jour du micrologiciel, puis les appliquera.

Fréquence Fréquence à laquelle la passerelle de


sécurité vérifie l'existence de nouvelles
mises à jour. L'heure de départ pour le
calcul de la fréquence est basé sur le
redémarrage le plus récent de
l'équipement.

Les options disponibles sont les suivantes :


■ Tous les jours
■ Toutes les semaines
■ Toutes les deux semaines
■ Tous les mois

Heure (GMT) Heure à laquelle la passerelle de sécurité


doit vérifier automatiquement l'existence
de nouvelles mises à jour. Le format est
HH:MM, où HH représente les heures
(entre 0 et 24) et MM les minutes (entre 0 et
59). Par exemple, pour effectuer la
vérification à 7:30 du soir, saisissez 19:30.
Le paramètre GMT dépend de l'accès à un
serveur NTP. Utilisez uniquement des
chiffres et un signe deux points dans cette
zone.
Description des champs 175
Menu Réseau local

Tableau D-7 Description des champs de l'onglet LiveUpdate (Suite)

Section Champ Description

Paramètres Serveur proxy HTTP Permet à la passerelle de sécurité de


facultatifs contacter le serveur LiveUpdate par le biais
d'un serveur proxy HTTP.

Adresse serveur Adresse IP du serveur proxy HTTP par


proxy lequel le serveur LiveUpdate passe pour
récupérer les mises à jour de micrologiciel.

Port Port associé au serveur proxy HTTP par


lequel le serveur LiveUpdate passe pour
récupérer les mises à jour de micrologiciel.
La valeur maximale est 65535. Le port par
défaut est 80.

Nom d'utilisateur Nom d'utilisateur associé au serveur proxy


HTTP par lequel le serveur LiveUpdate
passe pour récupérer les mises à jour de
micrologiciel.

Mot de passe Mot de passe associé au serveur HTTP.

Etat Dernière mise à jour Date de la dernière mise à jour.

Version de dernière Numéro de version de la dernière mise


mise à jour à jour.

Menu Réseau local


Les paramètres de réseau local permettent de configurer la passerelle de
sécurité pour qu'elle puisse fonctionner sur un réseau interne. Ces paramètres
incluent l'adresse IP de la passerelle de sécurité, l'activation/désactivation du
serveur DHCP pour les nœuds protégés et paramètres de port de réseau local.
Cette section traite des rubriques suivantes :
■ Onglet IP réseau et DHCP
■ Onglet Attribution de port
176 Description des champs
Menu Réseau local

Onglet IP réseau et DHCP


L'onglet IP réseau et DHCP permet de définir l'adresse IP de la passerelle de
sécurité et de configurer la passerelle de sécurité comme serveur DHCP.

Tableau D-8 Description des champs de l'onglet IP réseau et DHCP

Section Champ Description

IP réseau Adresse IP Adresse IP de l'interface interne de la passerelle de


sécurité. L'adresse IP courante apparaît dans les
zones de texte.
La valeur par défaut est 192.168.0.1. Vous ne pouvez
pas définir l'adresse IP de de la passerelle de sécurité
sur 192.168.1.0.

Masque de Masque de réseau de la passerelle de sécurité.


réseau Le masque de réseau courant apparaît dans les zones
de texte. La valeur par défaut est 255.255.255.0.

DHCP Serveur DHCP Active la fonction de serveur DHCP de la passerelle de


sécurité. Pour utiliser un autre serveur DHCP, ou si
les clients utilisent des adresses IP statiques, cliquez
sur Désactiver.

Adresse IP de Première adresse IP de la plage d'adresses que vous


début de plage voulez que la passerelle de sécurité affecte aux
clients.
Par exemple, si voulez que la passerelle de sécurité
affecte les adresses IP de la plage 172.16.0.2 à
172.16.0.75, saisissez 172.16.0.2 dans les zones de
texte Adresse IP de début de plage.

Adresse IP de Dernière adresse IP de la plage d'adresses que vous


fin de plage voulez que la passerelle de sécurité affecte aux
clients.
Dans l'exemple précédent, saisissez 172.16.0.75 dans
les zones de texte Adresse IP de fin de plage.
Description des champs 177
Menu Réseau local

Tableau D-8 Description des champs de l'onglet IP réseau et DHCP (Suite)

Section Champ Description

Table DHCP Nom de l'hôte Nom de l'ordinateur auquel la passerelle de sécurité a


affecté une adresse IP.

Adresse IP Adresse IP de la plage spécifiée qui a été affectée à


l'ordinateur par la passerelle de sécurité.

Adresse Adresse physique (MAC) de la carte d'interface réseau


physique de l'ordinateur auquel une adresse IP a été affectée.

Etat Etat de la location DHCP pour l'adresse IP affectée à


l'ordinateur.

Les différentes options sont les suivantes :


■ Loué
■ Réservé
178 Description des champs
Menu Réseau local

Onglet Attribution de port


L'onglet Attribution de port permet de spécifier si le port de réseau local se
trouve sur un réseau virtuel de confiance ou non. L'option de réseau virtuel de
confiance est destinée aux connexions filaires et l'option de réseau virtuel non
sûr est destinée aux connexions sans fil.

Tableau D-9 Description des champs de l'onglet Attribution de port

Section Champ Description

Ports physiques Port 1, Port 2, Affecte les ports de commutation de la


de réseau local Port 3, Port 4 passerelle de sécurité en tant que de confiance
(modèle 320) ou non.
Port 1, Port 2, Cela permet d'implémenter une sécurité VPN
Port 3, Port 4, pour les réseaux locaux filaires et sans fil par
Port 5, Port 6, l'intermédiaire des capacités de réseau virtuel
Port 7, basées sur les ports de commutation de la
Port 8 passerelle de sécurité. La prise en charge est
(modèle 360/ également assurée pour les tunnels globaux côté
360R) réseau local, directement sur l'interface sans fil.
L'extrémité du tunnel se trouve sur la passerelle
principale pour chaque sous-réseau du
réseau local.
Les options disponibles sont les suivantes :
■ Standard
Utilisez cette option pour tous les
périphériques filaires du réseau local. Tout
le trafic est implicitement de confiance et
autorisé à passer d'un réseau virtuel à
l'autre.
■ Point d'accès SGS sécurisé
Permet d'appliquer la sécurité VPN au
niveau du point d'accès temporaire ou au
niveau du commutateur.
■ Imposer tunnels VPN/Autoriser connexion
IPSec directe
Association explicitement non sûre.
Impose un tunnel entre le client VPN sans
fil et la passerelle de sécurité. Le trafic
IPSec est autorisé à traverser un
commutateur secondaire avec des
extrémités de tunnel situées au niveau de
la passerelle de sécurité et du client.
Description des champs 179
Menu Réseau étendu/FAI

Menu Réseau étendu/FAI


La fonctionnalité Réseau étendu/FAI de la Symantec Security Gateway 300
permet les connexions avec le monde extérieur. Il peut s'agir d'Internet, d'un
réseau d'entreprise ou d'un réseau public ou privé quelconque. La fonctionnalité
Réseau étendu/FAI peut aussi être configurée pour se connecter à un réseau
interne si la passerelle de sécurité protège un sous-réseau interne.
Cette section traite des rubriques suivantes :
■ Onglet Configuration principale
■ Onglet IP statique et DNS
■ Onglet PPPoE
■ Onglet Sauvegarde à distance et analogique/RNIS
■ Onglet PPTP
■ Onglet DNS dynamique
■ Onglet Routage
■ Onglet Avancé
180 Description des champs
Menu Réseau étendu/FAI

Onglet Configuration principale


Sur l'onglet Configuration principale, sélectionnez votre type de connexion et
configurez les paramètres d'identification de la passerelle de sécurité.

Tableau D-10 Description des champs de l'onglet Configuration principale


(modèle 320)

Section Champs Description

Modèle 320 : Type Type de Les types de connexion suivants sont pris en
de connexion connexion charge :
Modèle 360/ ■ DHCP (IP auto)
360R : Réseau Votre FAI vous affecte une adresse IP
étendu 1 (Externe) automatiquement à chaque fois que vous
ou Réseau étendu vous connectez.
2 (Externe) ■ PPPoE
Le protocole PPPoE (point à point sur
Ethernet) est utilisé pour connecter les
utilisateurs d'un réseau Ethernet à Internet.
■ Modem ou RNIS
Compte de connexion à distance.
■ IP statique
Adresse IP permanente que vous avez
achetée ou qui est affectée par votre FAI.
■ PPTP
Votre FAI utilise le protocole PPTP
(protocole de tunneling de point à point).

Mode HA Les modes haute disponibilité suivants sont


(modèle 360/ disponibles pour les ports de réseau étendu :
360R) ■ Normal
Les paramètres d'équilibrage de charge
s'appliquent au port lorsqu'il est activé et
opérationnel.
■ Désactivé
Le port de réseau étendu n'est pas utilisé.
■ Sauvegarde
Le port de réseau étendu ne laisse passer le
trafic que si l'autre port de réseau étendu ne
fonctionne pas.

Serveur URL d'un site auquel la passerelle de sécurité


indicateur envoie un "PING" ou une requête d'écho pour
de connexion tester la connexion.
(modèle 360/
Si vous ne spécifiez pas d'URL, la passerelle
360R) de sécurité utilise l'adresse de la passerelle
par défaut.
Description des champs 181
Menu Réseau étendu/FAI

Tableau D-10 Description des champs de l'onglet Configuration principale


(modèle 320) (Suite)

Section Champs Description

Paramètres Nom de l'hôte Nom de la passerelle de sécurité sur le réseau.


réseau facultatifs Une valeur par défaut basée sur le numéro de
modèle et l'adresse MAC est fournie dans
l'assistant d'installation.

Nom du domaine Nom de domaine par lequel les utilisateurs


peuvent accéder à la passerelle de sécurité.
Par exemple monsite.com.

Adresse MAC Adresse physique (MAC) de la passerelle de


sécurité. La valeur par défaut est définie en usine.
Vous pouvez modifier cette valeur si votre FAI
attend une adresse MAC particulière ("spoofing"
ou "cloning" MAC).
182 Description des champs
Menu Réseau étendu/FAI

Onglet IP statique et DNS


L'onglet IP statique et DNS permet de configurer la passerelle de sécurité pour
se connecter à Internet avec une adresse IP statique et des serveurs DNS ou pour
se connecter à votre intranet.

Tableau D-11 Description des champs de l'onglet IP statique et DNS

Section Champ Description

Modèle 320 : Adresse IP Adresse IP statique de votre compte.


IP réseau étendu Si vous saisissez une adresse IP, vous devez
Modèle 360/ également fournir un masque de réseau et une
passerelle par défaut.
360R :
IP de réseau Masque de réseau Masque de réseau de votre compte. Le masque
étendu 1, IP de de réseau détermine si les paquets sont envoyés
réseau étendu 2 à la passerelle par défaut.
Si vous saisissez un masque de réseau, vous
devez également fournir une adresse IP et une
passerelle par défaut.

Passerelle par Adresse IP de la passerelle par défaut.


défaut La passerelle de sécurité renvoie à cette
passerelle par défaut tous les paquets qu'elle ne
sait pas comment router.
Si vous saisissez une passerelle par défaut, vous
devez également fournir une adresse IP et un
masque de réseau.

Serveurs de nom DNS 1, DNS 2, Vous devez spécifier au moins un serveur DNS
de domaine DNS 3 et vous pouvez en définir jusqu'à trois ; ils
seront utilisés pour résoudre les noms d'hôte et
les adresses IP.
Description des champs 183
Menu Réseau étendu/FAI

Onglet PPPoE
Utilisez l'onglet PPPoE pour configurer la passerelle de sécurité pour se
connecter à Internet avec un compte utilisant PPPoE pour l'authentification.

Tableau D-12 Description des champs de l'onglet PPPoE

Section Champ Description

Modèle 320 et Port de réseau Sélectionnez le port de réseau étendu pour


sessions étendu (modèle lequel vous voulez configurer PPPoE.
360/360R)

Modèle 360 - Session Permet de configurer la manière dont le port de


Port de réseau réseau étendu utilise PPPoE.
étendu et sessions Pour configurer un compte PPPoE avec session
unique, cliquez sur Session 1 puis cliquez sur
Sélectionner. Pour configurer un compte PPPoE
multisessions, sélectionnez la session à
configurer puis cliquez sur Sélectionner.

Connexion Connexion à la Autorise la passerelle de sécurité à créer une


demande connexion avec le compte PPPoE uniquement
lorsqu'un utilisateur envoie une requête, par
exemple en naviguant sur une page Web.
Ce champ, utilisé en combinaison avec l'option
Délai d'inactivité, est utile si votre FAI vous
facture au temps passé.

Délai d'inactivité Durée d'inactivité (en minutes) de la connexion


(non utilisée) avant qu'elle ne soit déconnectée.
Spécifiez une valeur de 0 pour que la connexion
reste toujours active et pour empêcher que la
passerelle de sécurité la déconnecte. Si la valeur
de cette option est non nulle, cochez l'option
Connexion à la demande pour vous reconnecter
automatiquement quand nécessaire.
En combinant ces deux options, la connexion à
votre FAI n'est activée que quand un client
l'utilise.

Adresse IP Si votre FAI vous a affecté une adresse IP


statique statique pour votre compte PPPoE,
saisissez-la ici.
184 Description des champs
Menu Réseau étendu/FAI

Tableau D-12 Description des champs de l'onglet PPPoE (Suite)

Section Champ Description

Choisir le service Interroger les Lorsque vous cliquez sur Interroger les services,
services la passerelle de sécurité se connecte à votre FAI
et détermine quels services sont disponibles.
Vous devez vous déconnecter de votre compte
PPPoE avant d'utiliser cette fonction.

Service Sélectionnez un service pour le compte PPPoE.


Pour déterminer les services disponibles,
cliquez sur Interroger les services.

Informations Nom d'utilisateur Nom d'utilisateur du compte PPPoE. Ce nom


utilisateur d'utilisateur peut être différent du nom du
compte.
Certains FAI exigent que le nom d'utilisateur
soit au format des adresses de courrier
électronique : par exemple johndoe@monfai.net.

Mot de passe Mot de passe du compte PPPoE.

Confirmation du Saisissez de nouveau le mot de passe du compte


mot de passe PPPoE.

Contrôle manuel Connecter Etablir une connexion avec le compte PPPoE.

Déconnecter Fermer une connexion ouverte avec le compte


PPPoE.

Onglet Sauvegarde à distance et analogique/RNIS


L'onglet Sauvegarde à distance et analogique/RNIS permet de configurer la
passerelle de sécurité pour se connecter à Internet via un compte d'accès à
distance principal, un compte RNIS principal ou un compte d'accès à distance
de secours.

Tableau D-13 Description des champs de l'onglet Sauvegarde à distance et


analogique/RNIS

Section Champ Description

Mode sauvegarde Activer le mode Si vous utilisez un compte dédié comme


sauvegarde connexion principale, vous pouvez spécifier un
compte d'accès à distance comme compte de
secours, à utiliser en cas de défaillance du
compte principal.
Description des champs 185
Menu Réseau étendu/FAI

Tableau D-13 Description des champs de l'onglet Sauvegarde à distance et


analogique/RNIS (Suite)

Section Champ Description

Informations de Nom d'utilisateur Nom d'utilisateur du compte d'accès à distance.


compte FAI
Mot de passe Mot de passe du compte d'accès à distance.

Confirmation du Saisissez de nouveau le mot de passe du compte


mot de passe d'accès à distance.

Adresse IP Si votre FAI vous a affecté une adresse IP


statique, saisissez-la ici. Sinon, votre FAI vous
affecte une adresse IP dynamiquement.

Téléphone de Numéro de téléphone que la passerelle de


connexion 1, sécurité doit composer pour se connecter au
Téléphone de compte d'accès à distance. Vous devez en
connexion 2, spécifier au moins un et jusqu'à trois.
Téléphone de Si l'utilisation du Téléphone de connexion 1
connexion 3 échoue, la passerelle de sécurité compose le
Téléphone de connexion 2, et ainsi de suite.
Si la passerelle de sécurité doit composer le
chiffre 9 pour obtenir une ligne extérieure,
saisissez 9 puis une virgule avant le numéro de
téléphone. Par exemple : 9,18005551212.
Cette zone de texte accepte les chiffres,
les virgules et les espaces.

Paramètres Modèle Type de modèle de votre modem. Si le type de


de modem votre modem n'apparaît pas dans la liste,
cliquez sur Autre.

Chaîne Commande de modem que la passerelle de


d'initialisation sécurité envoie au modem pour commencer
à se connecter au FAI. Spécifiez cette valeur
uniquement si vous avez sélectionné Autre
comme type de modem.

Vitesse de ligne Vitesse à laquelle le modem doit se connecter au


compte d'accès à distance.
Si la passerelle de sécurité a des problèmes pour
se connecter, diminuez la vitesse de la ligne.
186 Description des champs
Menu Réseau étendu/FAI

Tableau D-13 Description des champs de l'onglet Sauvegarde à distance et


analogique/RNIS (Suite)

Section Champ Description

Paramètres Type de ligne Type de ligne de votre compte.


de modem ■ Ligne commutée
(Suite) Ce type de ligne est généralement utilisé
pour les connexions non permanentes à
Internet.
■ Ligne louée
Ce type de ligne établit une connexion
permanente à Internet.

Type de Type de signal utilisé par votre modem pour


numérotation composer le numéro de téléphone du compte
d'accès à distance.

Les options disponibles sont les suivantes :


■ Impulsions
■ Fréquences vocales
■ Autres

Chaîne de Commande de modem pour débuter la


numérotation composition du numéro de téléphone.

Délai d'inactivité Durée d'inactivité (en minutes) de la connexion


(non utilisée) avant qu'elle ne soit déconnectée.

Chaîne de Commande de modem spécifiant une


renumérotation renumérotation du numéro de téléphone si la
première connexion échoue.

Chaîne de Commande de modem pour débuter la


numérotation composition du numéro de téléphone.
Description des champs 187
Menu Réseau étendu/FAI

Tableau D-13 Description des champs de l'onglet Sauvegarde à distance et


analogique/RNIS (Suite)

Section Champ Description

Contrôle manuel Numéroter Etablit la connexion avec le compte d'accès à


distance.

Raccrocher Ferme une connexion ouverte avec le compte


d'accès à distance.

Etat analogique Etat de port Décrit l'état du port série de la passerelle de


sécurité sur lequel le modem est connecté.

Les états possibles pour le port sont les


suivants :
■ Inactif
■ Numérotation en cours
■ Accès Internet
■ Raccrochage

Liaison physique Indique si le modem est connecté à ce numéro de


téléphone.

Les états possibles pour la liaison physique sont


les suivants :
■ Désactivé
■ Activé

Liaison PPP Les états possibles pour la liaison PPP sont les
suivants :
■ Utilisateur authentifié via PPP (nom
d'utilisateur/mot de passe corrects)
■ Désactivé
■ Activé

Adresse IP PPP Adresse IP affectée à votre compte lorsque vous


vous connectez. Si vous avez une adresse IP
statique, c'est la même à chaque fois. Si le FAI
affecte les adresses IP dynamiquement,
l'adresse IP peut être différente à chaque fois
qu'une connexion est établie.

Les états possibles pour l'état de l'adresse IP PPP


sont les suivants :
■ 0.0.0.0
■ IP du FAI
où IP du FAI est l'adresse IP qui vous a été
affectée dynamiquement à la connexion.
188 Description des champs
Menu Réseau étendu/FAI

Tableau D-13 Description des champs de l'onglet Sauvegarde à distance et


analogique/RNIS (Suite)

Section Champ Description

Etat analogique Vitesse de ligne Vitesse de la connexion établie par le modem


(Suite) avec le FAI.
Les vitesses de ligne possibles incluent les
suivantes :
■ Inconnue
■ #####
où ##### est un nombre représentant la
vitesse du modem. Par exemple 48800.

Onglet PPTP
Configure la passerelle de sécurité pour se connecter à Internet avec un compte
utilisant PPTP pour l'authentification.

Tableau D-14 Description des champs de l'onglet PPTP

Section Champ Description


Port de réseau Port de réseau Port de réseau étendu pour lequel vous voulez
étendu Modèle étendu (modèle configurer PPTP.
360/360R 360/360R)

Connexion Connexion à la Lorsque cette option est activée, une connexion


demande est établie avec le compte PPTP uniquement
lorsqu'une requête est reçue, par exemple si un
utilisateur navigue sur une page Web.

Délai d'inactivité Durée d'inactivité (en minutes) de la connexion


(non utilisée) avant qu'elle ne soit déconnectée.
Spécifiez une valeur de 0 pour que la connexion
reste toujours active et pour empêcher que la
passerelle de sécurité la déconnecte. Si la valeur
de cette option est non nulle, cochez l'option
Connexion à la demande pour vous reconnecter
automatiquement quand nécessaire.

Adresse IP Adresse IP du serveur PPTP.


serveur
La valeur par défaut du premier octet est 10.
La valeur par défaut du dernier octet est 138.

Adresse IP Uniquement pour les comptes PPTP statiques.


statique L'adresse IP statique de votre compte si vous en
avez acheté une, ou si votre FAI vous en
affecte une.
Description des champs 189
Menu Réseau étendu/FAI

Tableau D-14 Description des champs de l'onglet PPTP (Suite)

Section Champ Description


Informations Nom d'utilisateur Nom d'utilisateur du compte PPTP.
utilisateur
Mot de passe Mot de passe de votre compte PPTP.

Confirmation du Saisissez de nouveau le mot de passe du


mot de passe compte PPTP.

Contrôle manuel Connecter Etablit la connexion avec le compte PPTP.

Déconnecter Ferme une connexion ouverte avec le


compte PPTP.

Onglet DNS dynamique


Les services DNS dynamiques permettent d'utiliser votre propre nom de
domaine (par exemple monsite.com) ou d'utiliser leur nom de domaine et votre
propre nom de sous-domaine pour vous connecter à vos services, comme une
passerelle VPN, un site Web ou un serveur FTP. Par exemple, si vous configurez
un serveur Web virtuel et que votre FAI vous affecte une adresse IP différente à
chaque fois que vous vous connectez au serveur, vos utilisateurs pourront
quand même toujours accéder à www.monsite.com.

Tableau D-15 Description des champs de l'onglet DNS dynamique

Section Champ Description

Type de service Service DNS Service au moyen duquel vous obtenez le service
dynamique DNS dynamique.

Les options disponibles sont les suivantes :


■ TZO
Service DNS dynamique.
■ Standard
Il existe de nombreux services DNS
dynamiques standards. Consultez les Notes
de version de Symantec Gateway Security
300 pour obtenir la liste des services pris
en charge.
■ Désactiver
La passerelle de sécurité n'utilise pas de
DNS dynamique.

Port de réseau Port de réseau étendu pour configurer le DNS


étendu (modèle dynamique.
360/360R)
190 Description des champs
Menu Réseau étendu/FAI

Tableau D-15 Description des champs de l'onglet DNS dynamique (Suite)

Section Champ Description

Type de service Imposer la mise à Envoie des informations IP mises à jour au


(Suite) jour DNS service DNS dynamique.
N'utilisez cette option que si des techniciens du
support technique Symantec vous le
demandent.

Service DNS Clé Chaîne de caractères alphanumériques qui sert


dynamique TZO de mot de passe pour le compte TZO. TZO vous
envoie cette clé lors de la création du compte.
La longueur maximale pour la clé TZO est de 16
caractères.

Courrier Adresse de courrier électronique qui sert de


électronique nom d'utilisateur pour le service TZO.

Domaine Nom de domaine que vous gérez avec le service


TZO. Par exemple, saisissez
marketing.monsite.com.

Service standard Nom d'utilisateur Nom d'utilisateur du compte que vous créez
avec un service DNS dynamique.

Mot de passe Mot de passe du compte que vous créez avec un


service DNS dynamique.

Confirmation du Ressaisissez le mot de passe du compte de


mot de passe service DNS dynamique.

Serveur Adresse IP ou nom DNS du serveur qui assure le


service DNS dynamique. Par exemple
members.dyndns.org.

Nom de l'hôte Nom à affecter à la passerelle de sécurité. Par


exemple, avec le nom d'hôte marketing et le
nom de domaine monsite.com, vous pourrez
accéder à la passerelle de sécurité par le biais de
l'adresse marketing.monsite.com.
Description des champs 191
Menu Réseau étendu/FAI

Tableau D-15 Description des champs de l'onglet DNS dynamique (Suite)

Section Champ Description

Paramètres Caractères Permet un accès externe à


facultatifs génériques *.votresite.votredomaine.com, où :
standard ■ * est un CNAME comme www, mail, irc
ou ftp.
■ votresite est le nom d'hôte.
■ votredomaine.com est votre nom de
domaine.

Backup MX Active un échangeur de courrier de secours.


Si vous cochez cette case, l'échangeur de
courrier que vous spécifiez dans la zone de texte
Echangeur de courrier est utilisé en premier ; s'il
est défaillant, l'échangeur de courrier de secours
(fourni par le service DNS dynamique) prend la
relève.

Echangeur de Les échangeurs de courrier spécifient quel


courrier serveur doit gérer le courrier envoyé à un nom
de domaine donné.
Prenons le cas de www.monsite.com et
mail.monsite.com. Vous avec configuré votre
serveur Web pour qu'il autorise la navigation
sur www.monsite.com et monsite.com. Vous
voulez que le courrier envoyé à @monsite.com
soit géré par le serveur de courrier et non par le
serveur Web. Vous configurez un échangeur de
courrier pour rediriger le courrier envoyé à
@monsite.com vers mail.monsite.com.
Les noms d'hôte utilisés dans les échangeurs de
courrier ne doivent pas être des CNAME. Vous
ne pouvez pas spécifier votre échangeur de
courrier en utilisant une adresse IP. Consultez la
documentation de votre service DNS dynamique
pour plus d'informations.
192 Description des champs
Menu Réseau étendu/FAI

Onglet Routage
Utilisez la table de routage pour configurer le routage statique ou dynamique
pour votre passerelle de sécurité.

Tableau D-16 Description des champs de l'onglet Routage

Section Champ Description

Routage Activer RIP v2 Active le routage dynamique. Utilisez cette


dynamique option uniquement pour les passerelles
d'intranet ou départementales.

Routes statiques Entrée de routage Sélectionnez une entrée dans la liste pour
modification ou suppression.

IP de destination Adresse IP/sous-réseau pour le trafic


nécessitant un routage.

Masque de réseau Masque (utilisé avec l'adresse IP de destination)


pour définir la plage d'adresses IP pour le trafic
nécessitant un routage.

Passerelle Adresse IP du routeur auquel le trafic doit être


envoyé, correspondant à la combinaison de
l'adresse IP et du masque de réseau de
destination.

Interface Interface de l'équipement vers laquelle le trafic


est routé.

Les options disponibles sont les suivantes :


■ Réseau local interne
■ Réseau étendu externe 1
■ Réseau étendu externe 2

Métrique Entier représentant l'ordre d'exécution des


instructions de routage. Par exemple,
l'instruction 1 est exécutée en premier.
Description des champs 193
Menu Réseau étendu/FAI

Onglet Avancé
Utilisez l'onglet Avancé pour configurer les paramètres de connexion facultatifs
et la passerelle DNS.

Tableau D-17 Description des champs de l'onglet Avancé

Section Champ Description

Equilibrage de Charge réseau Pourcentage de trafic qui doit passer par le


charge étendu 1 (modèle réseau étendu 1. Le reste du trafic passera par le
360/360R) réseau étendu 2. Par exemple, si vous spécifiez
80 %, 80 % du trafic passera par le réseau
étendu 1 et 20 % par le réseau étendu 2.
Le pourcentage par défaut est 50 %.

Lier SMTP au port Détermine le port de réseau étendu (et donc le


de réseau étendu FAI) par lequel le courrier électronique est
(modèle 360/ envoyé. Cela est utile si vous avec configuré
360R) deux FAI, un pour chaque port de réseau étendu.
Dans ce cas, le courrier sortant est envoyé sur le
port de réseau étendu auquel SMTP est lié.
Le courrier sortant envoyé par un client est
envoyé au port de réseau étendu qu'il utilise,
puis envoyé via le FAI (type de connexion)
configuré pour ce port.

Les options disponibles sont les suivantes :


■ Aucun (les deux)
Envoie le courrier électronique via l'un ou
l'autre des deux ports WAN.
■ Réseau étendu 1
Lie SMTP au port de réseau étendu 1.
■ Réseau étendu 2
Lie SMTP au port de réseau étendu 2.
194 Description des champs
Menu Réseau étendu/FAI

Tableau D-17 Description des champs de l'onglet Avancé (Suite)

Section Champ Description

Paramètres de Renouvellement Délai (en minutes) après lequel, s'il n'y a aucun
réseau facultatifs d'inactivité DHCP trafic entre le réseau local et le réseau étendu,
la passerelle de sécurité envoie une requête de
renouvellement de la location DHCP.
Pour désactiver cette fonction, spécifiez une
valeur de 0.

Imposer le Envoie une requête au FAI pour qu'il renouvelle


renouvellement la location DHCP.
(modèle 320)

Renouveler Envoie une requête au FAI pour qu'il renouvelle


réseau étendu 1, la location DHCP pour le réseau étendu 1 ou 2.
Renouveler
réseau étendu 2
(modèle 360/
360R)

Port de réseau Taille maximale (en octets) des paquets qui


étendu 1 sortent par le port de réseau étendu que vous
configurez.
Port de réseau
étendu 2 La valeur par défaut est 1 500 octets. La valeur
(modèles 360/ par défaut pour PPPoE est 1472.
360R)

Paramètres PPP Délai Durée (en secondes) entre les requêtes d'écho.

Tentatives Nombre de tentatives d'envoi des requêtes


d'écho.

Passerelle DNS Passerelle DNS Adresse IP d'une passerelle DNS non-FAI (privée
ou interne) à utiliser pour la résolution des
noms.

Activer la Si vous spécifiez une passerelle DNS et qu'elle


sauvegarde de devient indisponible, cette option permet à
passerelle DNS l'équipement d'utiliser les serveurs DNS de
votre FAI comme sauvegarde.
Description des champs 195
Menu Pare-feu

Menu Pare-feu
La passerelle de sécurité Symantec Gateway Security 300 inclut une fonction
de pare-feu, qui permet de définir des règles de trafic entrant et sortant qui
réglementeront le trafic qui traverse la passerelle de sécurité. Lorsque vous
configurez le pare-feu, vous devez identifier tous les nœuds (ordinateurs) qui
sont protégés sur votre réseau.
Cette section traite des rubriques suivantes :
■ Onglet Ordinateurs
■ Onglet Groupes d'ordinateurs
■ Onglet Règles de trafic entrant
■ Onglet Règles de trafic sortant
■ Onglet Services
■ Onglet Applications spéciales
■ Onglet Avancé
196 Description des champs
Menu Pare-feu

Onglet Ordinateurs
Avant de configurer des règles de trafic entrant et sortant, vous devez identifier
les nœuds dans l'onglet Ordinateurs.

Tableau D-18 Description des champs de l'onglet Ordinateurs

Section Champ Description

Identité hôte Hôte Sélectionnez un nom d'hôte (nom réseau) dans


la liste pour modification ou suppression.

Nom de l'hôte Définit le nom de l'hôte (un ordinateur sur votre


réseau interne). Utilisez un nom court et
descriptif. Vous devez utiliser le nom d'hôte ou
le nom DNS défini dans les propriétés réseau de
l'ordinateur.

Adresse carte Adresse physique de la carte d'interface réseau


(MAC) de l'hôte (il s'agit en général d'une carte
Ethernet ou sans fil).

Groupe Affiche tous les groupes d'ordinateurs auquel


d'ordinateurs vous voulez lier des hôtes. Les groupes
d'ordinateurs rassemblent des ordinateurs
auxquels vous voulez appliquer les mêmes
règles.

Les options disponibles sont les suivantes :


■ Tout le monde
■ Groupe d'ordinateurs 1
■ Groupe d'ordinateurs 2
■ Groupe d'ordinateurs 3
■ Groupe d'ordinateurs 4

Serveur Hôte de réserve Ajoute l'adresse MAC, spécifiée dans la zone de


d'application texte Adresse carte (MAC), au serveur DHCP de
l'équipement. Elle est ainsi toujours affectée à
l'adresse IP spécifiée dans la zone de texte
adresse IP. Ce paramètre est requis pour les
serveurs d'application.
En cochant Hôte de réserve, le serveur DHCP
offre toujours l'adresse IP définie à l'ordinateur
que vous configurez. Vous pouvez aussi définir
cette adresse IP comme adresse statique sur
l'ordinateur.

Adresse IP Définit l'adresse IP du serveur d'application.


Description des champs 197
Menu Pare-feu

Tableau D-18 Description des champs de l'onglet Ordinateurs (Suite)

Section Champ Description

Association Lier au port de Lie cet ordinateur à un port de réseau étendu


de sessions réseau étendu particulier afin que le trafic passe uniquement
(facultatif) (modèle 360/ par ce port de réseau étendu. Cela est utile si
360R) vous avez configuré deux comptes haut débit,
un pour chaque port de réseau étendu, et que
vous voulez que le trafic de cet ordinateur ne
passe que par un seul des deux FAI.

Lier à la session Affiche toutes les sessions PPPoE que vous


PPPoE pouvez lier à des groupes et des règles d'accès :
■ Session 1
■ Session 2
■ Session 3
■ Session 4
■ Session 5
Ne sélectionnez une session que si votre service
FAI inclut des sessions PPPoE multiples.

Liste d'hôtes Nom de l'hôte Nom de l'hôte (un ordinateur sur votre réseau
interne).

Adresse carte Adresse physique de la carte d'interface réseau


(MAC) de l'hôte (il s'agit en général d'une carte
Ethernet ou sans fil).

Serveur d'app. Adresse IP du serveur d'application.

Groupe Groupe d'ordinateurs auquel l'hôte est affecté.


d'ordinateurs

Session PPPoE Session PPPoE à laquelle l'hôte est rattaché.

Onglet Groupes d'ordinateurs


Les groupes d'ordinateurs permettent de rassembler des ordinateurs (définis
dans l'onglet Ordinateurs) pour leur appliquer des règles de trafic entrant
et sortant.

Tableau D-19 Description des champs de l'onglet Groupes d'ordinateurs

Section Champ Description

Stratégie de Groupe Sélectionnez un groupe d'ordinateurs pour


sécurité d'ordinateurs modification ou suppression.
198 Description des champs
Menu Pare-feu

Tableau D-19 Description des champs de l'onglet Groupes d'ordinateurs (Suite)

Section Champ Description

Application de Activer Si vous activez AVpe pour le groupe


la stratégie l'application de d'ordinateurs sélectionné, la passerelle de
antivirus la stratégie sécurité surveille les stations de travail pour
antivirus déterminer leur conformité avec les logiciels
antivirus courants et les stratégies de sécurité
courantes.
Pour chaque groupe, les options sont les
suivantes :
■ Avertir seulement (par défaut)
Un client avec un logiciel antivirus ou des
définitions de virus conformes est toujours
autorisé. Un message de journal avertit
l'administrateur que le client n'est pas
conforme.
■ Bloquer les connexions
Un client avec un logiciel antivirus ou des
définitions de virus non conformes se voit
toujours refuser l'accès au réseau externe.
Le client se voit accorder l'accès au serveur
Symantec Antivirus CE Server ou au
serveur LiveUpdate pour pouvoir rendre
conformes ses définitions de virus.

Filtrage du Activer le filtrage Si vous activez le filtrage du contenu pour le


contenu du contenu groupe d'ordinateurs sélectionné, la passerelle
de sécurité autorise ou bloque l'accès selon les
listes d'interdictions et d'autorisations d'URL du
filtrage du contenu.

Pour chaque groupe, les options sont les


suivantes :
■ Utiliser la liste d'interdictions
Liste de toutes les URL bloquées ; toutes les
autres sont autorisées.
■ Utiliser la liste d'autorisations
Liste des URL autorisées ; tous les autres
sites sont bloqués.
Description des champs 199
Menu Pare-feu

Tableau D-19 Description des champs de l'onglet Groupes d'ordinateurs (Suite)

Section Champ Description

Contrôle d'accès Sans restrictions Un hôte affecté à ce groupe peut faire transiter
(règles de trafic tout type de trafic vers le réseau externe. Vous
sortant) n'avez pas besoin de définir des règles pour les
groupes d'accès de cette catégorie. Le paramètre
Sans restrictions supplante toutes les règles de
trafic sortant. Il s'agit du paramètre par défaut.

Bloquer TOUS les Lorsqu'un groupe d'accès est configuré pour


accès sortants bloquer tous les accès à Internet, tout le trafic
sortant est bloqué. Un hôte affecté à ce groupe
ne peut pas faire transiter de trafic par le biais
de la passerelle de sécurité. Aucune règle n'est
nécessaire pour les groupes d'accès de cette
catégorie. Cette option est utile pour les nœuds
qui ne doivent accéder qu'au réseau local et pas
au réseau externe, comme par exemple pour les
imprimantes réseau.

Utiliser les règles Lorsqu'un groupe d'accès est configuré pour


définies sur utiliser les règles définies dans l'onglet Règles
l'écran des règles de trafic sortant, vous devez spécifier le type de
de trafic sortant trafic que l'hôte peut faire transiter, en tant que
membre de ce groupe. Pour cela, vous devez
créer une règle de trafic sortant. Lorsque vous
utilisez cette option, les hôtes n'ont le droit de
faire transiter que le trafic qui correspond à la
liste des règles de trafic sortant pour ce groupe
d'accès.
L'état par défaut de la passerelle de sécurité est
que tout le trafic sortant est bloqué sauf si des
règles de trafic sortant sont configurées pour
autoriser certains types de trafic sortant.
200 Description des champs
Menu Pare-feu

Onglet Règles de trafic entrant


L'onglet Règles de trafic entrant permet de définir le trafic qui peut accéder à
votre réseau interne.

Tableau D-20 Description des champs de l'onglet Règles de trafic entrant

Section Champ Description

Règles de trafic Règle Sélectionnez une règle de trafic entrant pour


entrant modification ou suppression.

Définition de Nom Lorsque vous ajoutez une règle, vous devez


règle saisir un nouveau nom.

Activer la règle Cochez cette option pour activer la règle de


trafic entrant.

Serveur Affiche les serveurs d'application configurés


d'application disponibles pour les règles de trafic entrant.
Ces serveurs d'application sont configurés dans
l'onglet Ordinateurs.

Service Type de trafic appliqué à la règle. Le type peut


être un des services prédéfinis ou un service
personnalisé que vous avez créé.

Liste des règles de Activé ? Indique si la règle de trafic entrant est activée et
trafic entrant doit être utilisée.

Nom Nom de la règle de trafic entrant.

Destination Adresse IP de la destination du trafic.

Service Service géré par cette règle de trafic entrant (par


exemple HTTP ou FTP).
Description des champs 201
Menu Pare-feu

Onglet Règles de trafic sortant


L'onglet Règles de trafic sortant permet de définir le trafic qui peut quitter votre
réseau et accéder à d'autres réseaux ou à Internet.

Tableau D-21 Description des champs de l'onglet Règles de trafic sortant

Section Champ Description

Groupes Groupe Sélectionnez un groupe pour modifier ou ajouter


d'ordinateurs d'ordinateurs des règles pour ce groupe.

Règles de trafic Règle Sélectionnez une règle de trafic sortant pour


sortant mise à jour ou suppression.

Nom de la règle Nom de la règle de trafic sortant.

Activer la règle Cochez cette option pour activer la règle de


trafic sortant.

Service Service auquel la règle de trafic sortant


s'applique.

Liste des règles de Activé ? Affiche O ou N. Indique si la règle de trafic


trafic sortant sortant est activée.

Nom Nom de la règle de trafic sortant.

Service Service auquel la règle de trafic sortant


s'applique.
202 Description des champs
Menu Pare-feu

Onglet Services
Définissez les services à utiliser dans les règles de trafic entrant et sortant dans
l'onglet Services.

Tableau D-22 Description des champs de l'onglet Services

Section Champ Description

Services Application Sélectionnez une application disponible pour les


services pour modification ou suppression.

Paramètres Nom Nom du service que vous créez.


d'application
Protocole Sélectionnez le protocole associé au service.
Les options disponibles sont les suivantes :
■ TCP
■ UDP

Ecouter sur les Définit la plage de ports sur laquelle écouter


ports pour des paquets.
■ Début
Saisissez le premier port de la plage de
ports à écouter.
■ Fin
Saisissez le dernier port de la plage de
ports à écouter.
Le nombre de ports que contient la plage doit
correspondre au paramètre Rediriger vers. Par
exemple, si vous définissez la plage 20 à 27 pour
le paramètre Ecouter sur, la plage Rediriger vers
doit aussi comporter 7 ports.

Rediriger vers les Définit la plage de ports vers laquelle les


ports paquets doivent être redirigés.
■ Début
Saisissez le premier port de la plage vers
laquelle les ports doivent être redirigés.
■ Fin
Saisissez le dernier port de la plage vers
laquelle les ports doivent être redirigés.
Le nombre de ports que contient la plage doit
correspondre au paramètre Ecouter sur. Par
exemple, si vous définissez la plage 20 à 27 pour
le paramètre Rediriger vers, la plage Ecouter sur
doit aussi comporter 7 ports.
Description des champs 203
Menu Pare-feu

Tableau D-22 Description des champs de l'onglet Services (Suite)

Section Champ Description

Liste de services Nom Nom du service.

Protocole Protocole associé au service.

Premier port Premier port de la plage à écouter.


d'écoute

Dernier port Dernier port de la plage à écouter.


d'écoute

Premier port de Premier port de la plage de redirection.


redirection

Dernier port de Dernier port de la plage de redirection.


redirection
204 Description des champs
Menu Pare-feu

Onglet Applications spéciales


Certaines applications utilisant des communications bidirectionnelles (jeux,
vidéo ou téléconférence) nécessitent l'utilisation de ports dynamiques sur la
passerelle de sécurité. Utilisez l'onglet Applications spéciales pour définir ces
applications.

Tableau D-23 Description des champs de l'onglet Applications spéciales

Section Champ Description

Applications Application Sélectionnez une application spéciale pour mise


spéciales à jour ou suppression.

Paramètres des Nom Nom de l'application spéciale.


applications
spéciales Activer Active l'application spéciale pour tous les
groupes d'ordinateurs.

Protocole sortant Protocole pour les paquets sortants.

Les options disponibles sont les suivantes :


■ TCP
■ UDP

Ports sortants Plage de ports sur laquelle les paquets sont


envoyés.
■ Début
Premier port de la plage des ports de trafic
sortant.
■ Fin
Dernier port de la plage des ports de trafic
sortant.

Protocole entrant Protocole pour les paquets entrants.

Les options disponibles sont les suivantes :


■ TCP
■ UDP

Ports entrants Plage de ports sur laquelle les paquets sont


reçus.
■ Début
Premier port de la plage des ports de trafic
entrant.
■ Fin
Dernier port de la plage des ports de trafic
entrant.
Description des champs 205
Menu Pare-feu

Tableau D-23 Description des champs de l'onglet Applications spéciales (Suite)

Section Champ Description

Liste Nom Nom de l'application spéciale.


d'applications
spéciales

Activée Indique si l'application spéciale est activée pour


tous les groupes d'ordinateurs.

Protocole sortant Protocole pour les paquets sortants.

Premier port Premier port de la plage des ports de trafic


sortant sortant.

Dernier port Dernier port de la plage des ports de trafic


sortant sortant.

Protocole entrant Protocole pour les paquets entrants.

Premier port Premier port de la plage des ports de trafic


entrant entrant.

Dernier port Dernier port de la plage des ports de trafic


entrant entrant.
206 Description des champs
Menu Pare-feu

Onglet Avancé
Utilisez l'onglet Avancé pour configurer les paramètres avancés du pare-feu,
comme le transfert IPSec.

Tableau D-24 Description des champs de l'onglet Avancé

Section Champ Description

Paramètres de Activer port La désactivation du port IDENT ferme le port


réseau facultatifs IDENT 113, mais ne le rend pas furtif (non ouvert).
Activez cette option uniquement si vous avez
des problèmes pour accéder à un serveur.
Le port IDENT contient généralement des
informations sur le nom de l'hôte ou de la
société. Par défaut, la passerelle de sécurité
place tous les ports en mode furtif. Cela rend
l'ordinateur invisible vis-à-vis de l'extérieur du
réseau. Certains serveurs, comme des serveurs
de courrier électronique ou MIRC, consultent le
port IDENT des ordinateurs qui se connectent à
eux.

Désactiver le La désactivation du mode NAT désactive les


mode NAT fonctions de sécurité du pare-feu. N'utilisez ce
paramètre que pour les déploiements de
passerelle de sécurité sur intranet, par exemple
si vous souhaitez utiliser la passerelle de
sécurité en tant que pont sur un réseau protégé.
Lorsque la passerelle de sécurité est configurée
pour le mode NAT, elle se comporte comme un
pont réseau 802.1 D.

Bloquer les Bloque les requêtes ICMP (comme PING et


requêtes ICMP traceroute) envoyées aux ports de réseau
étendu.
Description des champs 207
Menu Pare-feu

Tableau D-24 Description des champs de l'onglet Avancé (Suite)

Section Champ Description

Paramètres de Type IPSec Ces valeurs sont utilisées par certains VPN ESP
transfert IPSec IPSec pour assurer la compatibilité de leurs
logiciels clients avec le transfert IPSec. Ces
paramètres ne s'appliquent pas à la passerelle
VPN de la passerelle de sécurité.
Laissez ce paramètre sur 2 SPI, sauf si le support
technique Symantec vous demande de le
modifier.
Le paramètre Aucun autorise les clients VPN à
fonctionner en mode hôte exposé s'ils ont des
problèmes pour se connecter derrière la
passerelle de sécurité.

Les options disponibles sont les suivantes :


■ 1 SPI
ADI (Assured Digital)
■ 2 SPI
Normal (Cisco Client, Symantec Client
VPN, Nortel Extranet, Checkpoint
SecureRemote)
■ 2 SPI-C
(concentrateur Cisco VPN 30x0 Series -
anciennement Altiga)
■ Autres
Redcreek Ravlin Client
■ Aucun
Cette option est utilisée uniquement pour
le débogage des clients.
208 Description des champs
Menu VPN

Tableau D-24 Description des champs de l'onglet Avancé (Suite)

Section Champ Description

Hôte exposé Activer l'hôte Cochez cette option pour active un hôte exposé.
exposé
N'activez cette fonctionnalité qu'en cas de
besoin précis. Elle permet à un ordinateur d'un
réseau local d'établir des communications
bidirectionnelles sans restrictions avec les
serveurs ou les utilisateurs Internet. Cela est
utile pour héberger des jeux ou des serveurs ou
applications spécifiques.

Adresse IP réseau Adresse IP de l'hôte exposé.


local
Si un hôte est défini comme hôte exposé, tout le
trafic qui n'est pas explicitement autorisé par
une règle de trafic entrant est automatiquement
redirigé vers cet hôte.

Menu VPN
Les VPN (Virtual Private Networks – réseaux privés virtuels) permettent
d'étendre les frontières de votre réseau interne en utilisant des canaux de
communication non sécurisés (comme Internet) pour transporter des donnés
sensibles de manière sécurisée. Les VPN permettent d'autoriser un utilisateur ou
un réseau distant à accéder aux ressources protégées d'un autre réseau.
Les passerelles de sécurité Symantec Gateway Security 300 prennent en charge
deux types de tunnels VPN : entre passerelles et de client à passerelle.
Cette section traite des rubriques suivantes :
■ Onglet Tunnels dynamiques
■ Onglet Tunnels statiques
■ Onglet Tunnels clients
■ Onglet Utilisateurs distants
■ Onglet Stratégies VPN
■ Onglet Etat
■ Onglet Avancé
Description des champs 209
Menu VPN

Onglet Tunnels dynamiques


Ce tableau décrit les champs de l'onglet Tunnels dynamiques, qui permet de
configurer les tunnels dynamiques entre passerelles.

Tableau D-25 Description des champs de l'onglet Tunnels dynamiques

Section Champ Description

Association de Tunnel VPN Sélectionnez un tunnel pour mise à jour ou


sécurité IPSec suppression.

Nom Nom du tunnel.


Le nom du tunnel peut comporter jusqu'à 25
caractères alphanumérique (incluant tirets et
soulignés). Ce nom est seulement utilisé pour
référence dans l'interface de gestion SGMI.
Vous pouvez créer jusqu'à 50 tunnels.

Activer tunnel Permet d'utiliser le tunnel que vous définissez.


VPN
Pour désactiver temporairement le tunnel,
désélectionnez cette option et cliquez sur
Mettre à jour. Pour désactiver le tunnel de
manière permanente, cliquez sur Supprimer.

Type phase 1 Mode de négociation de phase 1.


Les options disponibles sont les suivantes :
■ Mode principal
Négocie avec une adresse IP source.
■ Mode agressif
Négocie avec un identificateur comme un
nom. La plupart des clients VPN négocient
en mode agressif.
La valeur par défaut est Mode principal.

Stratégie VPN Stratégie définissant les paramètres


d'authentification, de cryptage et de délai.
Cette liste contient les stratégies prédéfinies par
Symantec et toutes les stratégies que vous avez
créées dans l'onglet Stratégies VPN.
210 Description des champs
Menu VPN

Tableau D-25 Description des champs de l'onglet Tunnels dynamiques (Suite)

Section Champ Description

Passerelle de Session PPPoE La session PPPoE par défaut est Session 1.


sécurité locale
Un compte PPPoE de FAI est nécessaire. Si votre
compte PPPoE est à session unique, laissez la
session PPPoE sur Session 1.

Point terminal Port de la passerelle de sécurité sur lequel le


local (modèle 360/ tunnel doit aboutir.
360R)
Les options disponibles sont les suivantes :
■ Réseau étendu 1
■ Réseau étendu 2

Type ID Type d'ID utilisée pour la négociation ISAKMP.

Les options disponibles sont les suivantes :


■ Adresse IP
■ Nom unique (DN)
La valeur par défaut est Adresse IP.

ID phase 1 Valeur correspondant au type d'ID. Cette valeur


est utilisée pour identifier la passerelle de
sécurité pendant la négociation de phase 1.
Si vous avez sélectionné Adresse IP, saisissez
une adresse IP. Si vous avez sélectionné Nom
unique (DN), saisissez un nom de domaine
complet. Si vous sélectionnez Adresse IP et que
vous laissez ce champ vide, la valeur par défaut
est l'adresse IP de l'interface interne de la
passerelle de sécurité.
La valeur maximale est de 31 caractères
alphanumériques.

Diffusion Autorise la navigation sur le réseau VPN dans le


NetBIOS Voisinage réseau et le partage de fichiers sur un
ordinateur Microsoft Windows. Un hôte WINS
est nécessaire pour accepter le trafic.
La diffusion NetBIOS est désactivée par défaut.
Description des champs 211
Menu VPN

Tableau D-25 Description des champs de l'onglet Tunnels dynamiques (Suite)

Section Champ Description

Passerelle de Tunnel global Normalement, seules les requêtes destinées au


sécurité locale réseau protégé par la passerelle VPN distante
(Suite) sont retransmises par le VPN. Les autres trafics,
comme la navigation sur le Web, sont
retransmis directement sur Internet.
L'activation de l'option Tunnel global force tout
le trafic externe à passer par la passerelle VPN
ci-dessus. Cela permet au pare-feu principal de
l'entreprise de filtrer le trafic avant d'envoyer la
requête sur Internet. Cela permet d'assurer la
protection d'un site distant par le pare-feu du
siège. Les réseaux de destination doivent rester
vides lorsque l'option Tunnel global est activée.
L'activation de cette option désactive aussi tous
les autres SA car tout le trafic doit être routé par
la passerelle du tunnel global.
Le tunnel global est désactivé par défaut.
212 Description des champs
Menu VPN

Tableau D-25 Description des champs de l'onglet Tunnels dynamiques (Suite)

Section Champ Description

Passerelle de Adresse de Adresse IP ou nom de domaine complet de la


sécurité distante passerelle passerelle distante (passerelle à laquelle le
tunnel doit se connecter).
Le nombre maximal de caractères
alphanumériques dans cette zone de texte est
de 128.

Type ID Type d'ID utilisée pour la négociation ISAKMP.

Les options disponibles sont les suivantes :


■ Adresse IP
■ Nom unique (DN)
La valeur par défaut est Adresse IP.

ID phase 1 Valeur correspondant au type d'ID.


Si vous avez sélectionné Adresse IP, saisissez
une adresse IP. Si vous avez sélectionné Nom
unique (DN), saisissez un nom de domaine
complet.
Le nombre maximal de caractères
alphanumériques dans cette zone de texte est
de 31.

Clé pré-partagée Clé pour l'authentification ISAKMP (IKE). Elle


est utilisée pour l'authentification de l'extrémité
distante du tunnel.
La clé pré-partagée doit comporter entre 20 et
64 caractères alphanumériques. La clé pré-
partagée à l'extrémité distante de ce tunnel doit
correspondre à cette valeur.

IP de sous-réseau Adresse IP du sous-réseau distant.


distant

Masque Masque du sous-réseau distant.


Description des champs 213
Menu VPN

Onglet Tunnels statiques


Ce tableau décrit les champs de l'onglet Tunnels statiques, qui permet de
configurer les tunnels VPN entre passerelles pour la passerelle de sécurité.

Tableau D-26 Description des champs de l'onglet Tunnels statiques

Section Champ Description

Association de Tunnel VPN Sélectionnez un tunnel à mettre à jour ou


sécurité IPSec supprimer.

Nom du tunnel Nom du tunnel statique.


Ce nom est seulement utilisé pour référence
dans l'interface de gestion SGMI.
Vous pouvez créer jusqu'à 50 tunnels statiques.
La longueur maximale du nom du tunnel est de
50 caractères.

Activer tunnel Permet d'utiliser le tunnel que vous définissez.


VPN
Pour désactiver temporairement le tunnel,
désélectionnez cette option et cliquez sur
Mettre à jour. Pour désactiver le tunnel de
manière permanente, cliquez sur Supprimer.

Session PPPoE Un compte PPPoE de FAI est nécessaire.


La session PPPoE par défaut est Session 1. Si
votre compte PPPoE est à session unique, laissez
la session PPPoE sur Session 1.

Point terminal Port de la passerelle de sécurité sur lequel vous


local (modèle 360) voulez que le tunnel aboutisse.

SPI entrant Index du paramètre de sécurité de trafic entrant


dans le paquet IPSec.
La valeur par défaut est un nombre au format
décimal. Pour spécifier des nombres
hexadécimaux, ajoutez le préfixe 0x. Le SPI
(Security Parameter Index – index de paramètre
de sécurité) est un nombre compris entre 257 et
8192 qui identifie le tunnel.
Cette valeur doit correspondre au SPI sortant de
l'extrémité distante du tunnel.
214 Description des champs
Menu VPN

Tableau D-26 Description des champs de l'onglet Tunnels statiques (Suite)

Section Champ Description

Association de SPI sortant Index du paramètre de sécurité de trafic sortant


sécurité IPSec dans le paquet IPSec.
(Suite) La valeur par défaut est un nombre au format
décimal. Pour spécifier des nombres
hexadécimaux, ajoutez le préfixe 0x. Le SPI
(Security Parameter Index – index de paramètre
de sécurité) est un nombre compris entre 257 et
8192 qui identifie le tunnel. Il s'agit du SPI avec
lequel les paquets sont envoyés.
Cette valeur doit correspondre au SPI entrant de
l'extrémité distante du tunnel.

Stratégie VPN Stratégie définissant les paramètres


d'authentification, de cryptage et de délai.
Cette liste contient les stratégies prédéfinies par
Symantec et toutes les stratégies que vous avez
créées dans l'onglet Stratégies VPN.

Clé de cryptage Clé servant à crypter la section données du


paquet IPSec. La clé crypte et décrypte vos
données transmises.
Le type numérique par défaut est décimal. Pour
spécifier des nombres hexadécimaux, ajoutez le
préfixe 0x. La longueur de clé dépend de la force
de cryptage spécifiée dans la stratégie VPN.
Vous devez saisir une clé correspondante pour
l'extrémité distante du tunnel.

Clé Clé pour l'authentification des paquets IPSec.


d'authentification
Le type numérique par défaut est décimal. Pour
spécifier des nombres hexadécimaux, ajoutez le
préfixe 0x. La longueur de clé dépend du type
d'authentification sélectionné dans la stratégie
VPN (MD5, SHA1, etc).
Description des champs 215
Menu VPN

Tableau D-26 Description des champs de l'onglet Tunnels statiques (Suite)

Section Champ Description

Passerelle de Adresse de Adresse IP ou nom de domaine complet de la


sécurité distante passerelle passerelle de sécurité vers laquelle vous créez
un tunnel.
La longueur maximale pour ce champ est 128
caractères alphanumériques.

Diffusion Autorise la navigation sur le réseau VPN dans le


NetBIOS Voisinage réseau et le partage de fichiers sur un
ordinateur Microsoft Windows. Un hôte WINS
est nécessaire pour accepter le trafic.
NetBIOS est désactivé par défaut.

Tunnel global Normalement, seules les requêtes destinées au


réseau protégé par la passerelle VPN distante
sont retransmises par le VPN. Les autres trafics,
comme la navigation sur le Web, sont
retransmis directement sur Internet.
L'activation de l'option Tunnel global force tout
le trafic externe à passer par la passerelle VPN
ci-dessus. Cela permet au pare-feu principal de
l'entreprise de filtrer le trafic avant d'envoyer la
requête sur Internet. Cela permet d'assurer la
protection d'un site distant par le pare-feu du
siège. Les réseaux de destination doivent rester
vides lorsque l'option Tunnel global est activée.
L'activation de cette option désactive aussi tous
les autres SA car tout le trafic doit être routé par
la passerelle du tunnel global.
Le tunnel global est désactivé par défaut.

IP de sous-réseau Adresse IP du sous-réseau distant.


distant

Masque Masque du sous-réseau distant.


216 Description des champs
Menu VPN

Onglet Tunnels clients


Utilisez l'onglet Tunnels clients pour définir des tunnels client à passerelle.
Veillez à définir vos utilisateurs dans l'onglet Utilisateurs distants avant de
définir le tunnel.

Tableau D-27 Description des champs de l'onglet Tunnels clients

Section Champ Description

Définition de Groupe VPN Sélectionnez un groupe VPN pour mise à jour ou


tunnel de groupe suppression.
Vous pouvez modifier l'appartenance à ces
trois groupes. Vous ne pouvez pas ajouter de
groupes VPN.

Activer VPN Permet aux utilisateurs VPN définis de se


client du côté connecter à l'interface de réseau étendu.
réseau étendu

Activer VPN Permet aux utilisateurs VPN définis de se


client du côté connecter à l'interface de réseau local et de
réseau local/ réseau local sans fil.
sans fil

Paramètres DNS principal Adresse IP du serveur DNS principal que


réseau VPN l'utilisateur VPN utilise pour la résolution
des noms.

DNS secondaire Adresse IP du serveur DNS secondaire que


l'utilisateur VPN utilise pour la résolution
des noms.

WINS principal Adresse IP du serveur WINS principal.


WINS (Windows Internet Naming Service –
système de nommage Internet Windows) est un
système qui détermine l'adresse IP associée à
chaque ordinateur réseau.

WINS secondaire Adresse IP du serveur WINS secondaire.

Contrôleur de Adresse IP du serveur contrôleur de domaine


domaine principal principal (PDC).
(PDC)
Description des champs 217
Menu VPN

Tableau D-27 Description des champs de l'onglet Tunnels clients (Suite)

Section Champ Description

Authentification Activer Impose à tous les utilisateurs du groupe VPN


utilisateur l'authentification sélectionné d'utiliser RADIUS pour
étendue utilisateur l'authentification étendue après la phase 1, mais
étendue avant la phase 2.

Liaison de groupe Si une liaison de groupe RADIUS est spécifiée,


RADIUS l'utilisateur distant doit être membre de ce
groupe sur le serveur RADIUS. L'ID de filtre
renvoyée par le système RADIUS doit
correspondre à cette valeur pour que
l'utilisateur soit authentifié avec succès.
Lorsque vous spécifiez une liaison de groupe
RADIUS, deux tunnels clients ne peuvent pas
avoir la même valeur de paramètre de liaison de
groupe.
La longueur maximale pour cette valeur est de
25 caractères.

Stratégie client de Activer le filtrage Le trafic de tout les clients du groupe VPN
réseau étendu du contenu sélectionné est soumis aux règles de filtrage de
contenu définies dans les listes d'autorisations
et d'interdictions.

Utiliser la liste Le filtrage de contenu utilise la liste


d'interdictions d'interdictions, qui énumère toutes les URL que
les clients ne sont pas autorisés à visiter. Tout le
reste du trafic est autorisé.

Utiliser la liste Le filtrage de contenu utilise la liste


d'autorisations d'autorisations, qui énumère toutes les URL que
les clients sont autorisés à visiter. Tout le reste
du trafic est bloqué.

Activer Impose à tous les utilisateurs du groupe VPN


l'application de la sélectionné de disposer du logiciel antivirus
stratégie avec les définitions de virus à jour.
antivirus

Avertir seulement Si un utilisateur ne dispose pas du logiciel


antivirus avec les définitions de virus à jour,
un message texte est consigné.

Bloquer les Si un utilisateur ne dispose pas du logiciel


connexions antivirus avec les définitions de virus à jour,
le trafic n'est pas autorisé.
218 Description des champs
Menu VPN

Onglet Utilisateurs distants


Utilisez l'onglet Utilisateurs distants pour définir les utilisateurs distants qui
pourront accéder à votre réseau via un tunnel VPN.

Tableau D-28 Description des champs de l'onglet Utilisateurs distants

Section Champ Description

Identité Utilisateur Sélectionnez un utilisateur pour mise à jour ou


utilisateur VPN suppression.

Activer Autorise un utilisateur à utiliser un tunnel VPN.


Pour désactiver temporairement un utilisateur,
désélectionnez l'option Activer et cliquez sur
Mettre à jour. Pour supprimer un utilisateur de
manière permanente, cliquez sur Supprimer.

Nom d'utilisateur Nom d'utilisateur de l'utilisateur distant.


Le nombre maximal de caractères
alphanumériques pour cette valeur est de 31. La
valeur de cette option doit correspondre à l'ID de
client distant dans le logiciel Symantec Client
VPN.
Vous pouvez ajouter jusqu'à 50 utilisateurs
distants.

Clé pré-partagée Clé pour l'authentification ISAKMP (IKE). Cette


clé doit être unique pour chaque utilisateur.
Vous devez utiliser une clé pré-partagée. Le
nombre maximal de caractères
alphanumériques pour cette valeur est de 64.
Cette clé doit correspondre à la clé présentée par
le client VPN distant.

Groupe VPN Définit le groupe VPN (définition de tunnel)


pour cet utilisateur.
Description des champs 219
Menu VPN

Onglet Stratégies VPN


Vous devez sélectionner une stratégie VPN pour chaque tunnel. Utilisez l'onglet
Stratégies VPN pour définir chaque stratégie ou pour modifier une stratégie par
défaut.

Tableau D-29 Description des champs de l'onglet Stratégies VPN

Section Champ Description

Paramètres Stratégie VPN Sélectionnez une stratégie pour mise à jour ou


d'association suppression.
de sécurité
Remarque : Vous ne pouvez pas supprimer de
IPSec (phase 2)
stratégie prédéfinie Symantec.
Les options disponibles sont les suivantes :
■ ike_default_crypto
■ ike_default_crypto_strong
■ Static_default_crypto
■ Static_default_crypto_strong
■ Toutes les stratégies VPN que vous avez
créées

Nom Nom à affecter à la stratégie.


Ce nom est exclusivement utilisé pour référence
dans l'interface de gestion SGMI. La valeur
maximale est de 28 caractères alphanumériques.

Intégrité des Les options disponibles sont les suivantes :


données ■ ESP MD5 (par défaut)
(authentification)
■ ESP SHA1
■ AH MD5
■ AH SHA1
Le choix effectué ici doit correspondre à celui
effectué sur la passerelle de sécurité distante.

Confidentialité Les options disponibles sont les suivantes :


des données ■ DES
(cryptage)
■ 3DES
■ AES_VERY_STRONG
■ AES_STRONG
■ AES
■ NULL (aucun)
Si vous avez sélectionné une authentification de
l'intégrité des données AH, vous n'avez pas besoin
de sélectionner un type de cryptage.
220 Description des champs
Menu VPN

Tableau D-29 Description des champs de l'onglet Stratégies VPN (Suite)

Section Champ Description

Paramètres Durée de vie SA Délai (en minutes) avant la renégociation de phase


d'association 2 du nouveau cryptage et des nouvelles clés
de sécurité d'authentification pour le tunnel.
IPSec (phase 2)
La valeur par défaut est de 1 080 minutes. La valeur
(Suite)
maximale est de 2 147 483 647 minutes.

Limite de volume Quantité maximale (en Ko) de données autorisée à


des données passer par le tunnel avant qu'une renégociation des
clés soit nécessaire.
La valeur par défaut est 2 100 000 Ko (2 050 Mo). La
valeur maximale est 4 200 000 Ko (4 101 Mo).

Délai d'inactivité Durée (en minutes) d'inactivité du tunnel avant


qu'il soit fermé.
Saisissez 0 pour ne spécifier aucun délai.

Confidentialité de La confidentialité de transmission optimale (PFS)


transmission apporte une protection supplémentaire contre les
optimale attaquants qui essayeraient de deviner la clé
ISKAMP courante. Tous les clients et toutes les
passerelles de sécurité ne sont pas compatibles
avec PFS.

Les options disponibles sont les suivantes :


■ DH Group 1
■ DH Group 2
■ DH Group 5
Description des champs 221
Menu VPN

Onglet Etat
L'onglet Etat affiche le statut de vos tunnels VPN et de vos utilisateurs distants.

Tableau D-30 Description des champs de l'onglet Etat

Section Champ Description

Tunnels VPN Etat Etat du tunnel sélectionné.


dynamiques
Nom Nom du tunnel sélectionné.

Type de Type de négociation configuré.


négociation Ce champ s'applique uniquement aux tunnels
VPN dynamiques.

Passerelle de Nom de la passerelle de sécurité sélectionnée.


sécurité

Sous-réseau Adresse du sous-réseau distant.


distant

Méthode de Méthode de cryptage configurée.


cryptage

Tunnels VPN Etat Indique si le tunnel est connecté ou déconnecté.


statiques
Nom Nom du tunnel statique sélectionné.

Passerelle de Adresse IP de la passerelle distante à laquelle le


sécurité tunnel est connecté.

Sous-réseau Sous-réseau de la passerelle distante auquel le


distant tunnel est connecté.

Méthode de Méthode d'authentification pour ce tunnel.


cryptage
222 Description des champs
Menu VPN

Onglet Avancé
Utilisez l'onglet Avancé pour configurer les paramètres VPN avancés pour la
négociation de phase 1, qui s'appliquent à tous les clients.

Tableau D-31 Description des champs de l'onglet Avancé

Section Champ Description

Paramètres de Type ID de phase ID de phase 1 (ISAKMP) utilisée par la passerelle


client VPN 1 passerelle locale locale pour les clients VPN.
globaux
Les options disponibles sont les suivantes :
■ Adresse IP
Si vous sélectionnez Adresse IP, laissez
vide la zone de texte ID de phase 1
passerelle locale.
■ Nom unique (DN)
Si vous sélectionnez Nom unique, saisissez
dans la zone de texte ID de phase 1
passerelle locale l'identification d'une
passerelle locale qui sera utilisée par tous
les clients.

ID de phase 1 Valeur correspondant au type d'ID.


passerelle locale Si vous avez sélectionné Adresse IP, laissez cette
zone de texte vide. Si vous avez sélectionné Nom
unique (DN), saisissez un nom de domaine
complet. Tout client connecté à la passerelle de
sécurité devra utiliser cet ID de phase 1 pour
définir son point terminal de passerelle distante
sur le client.
La valeur maximale est de 31 caractères
alphanumériques.

Stratégie VPN Stratégie pour les tunnels clients VPN, pour la


négociation de tunnel de phase 2.
Cette liste contient les stratégies prédéfinies par
Symantec et toutes les stratégies que vous avez
créées dans l'onglet Stratégies VPN.
Description des champs 223
Menu VPN

Tableau D-31 Description des champs de l'onglet Avancé (Suite)

Section Champ Description

Paramètres de Activer les Permet aux clients VPN non définis de se


client VPN tunnels de client connecter à la passerelle de sécurité pour
dynamique VPN dynamique l'authentification étendue.

Clé pré-partagée Clé pour l'authentification ISAKMP (IKE). Elle


est utilisée pour l'authentification de l'extrémité
distante du tunnel.
La clé pré-partagée doit comporter entre 20 et
64 caractères alphanumériques. La clé pré-
partagée à l'extrémité distante de ce tunnel doit
correspondre à cette valeur.

Paramètres IKE Durée de vie SA Délai (en minutes) avant la renégociation de


globaux phase 1 du nouveau cryptage et des nouvelles
(clé phase 1) clés d'authentification pour le tunnel.
La valeur par défaut est de 480 minutes. La
valeur maximale est de 2 147 483 647 minutes.

Paramètres Serveur RADIUS Adresse IP ou nom de domaine complet du


RADIUS principal serveur utilisé pour traiter les échanges
d'authentification étendue avec les clients VPN.
La valeur maximale est de 128 caractères
alphanumériques.

Serveur RADIUS Adresse IP ou nom de domaine complet d'un


secondaire autre serveur utilisé pour traiter les échanges
d'authentification étendue avec les clients VPN.
La valeur maximale est de 128 caractères
alphanumériques.

Port Port sur le serveur RADIUS utilisé pour


d'authentification l'authentification.
(UDP)
La valeur par défaut est 1812. La valeur
maximale est 65535.

Secret partagé Clé d'authentification utilisée par le serveur


ou clé RADIUS.
La valeur maximale est de 50 caractères
alphanumériques.
224 Description des champs
Menu IDS/IPS

Menu IDS/IPS
La passerelle de sécurité Symantec Gateway Security 300 intègre des fonctions
IDS/IPS (détection et prévention des intrusions). Les fonctions IDS/IPS sont
activées par défaut et fournissent une protection des paquets au niveau
atomique, avec protection contre les interrogations et protection IP. Vous
pouvez désactiver les fonctions IDS/IPS à tout moment.
Les types de protection suivants sont proposés avec la fonction IDS/IPS :
■ Protection d'interrogation IP
■ Vérification des options IP
■ Validation d'indicateur TCP
■ Protection contre cheval de Troie
■ Détection d'analyses de port
Cette section traite des rubriques suivantes :
■ Onglet Protection IDS
■ Onglet Avancé

Onglet Protection IDS


L'onglet Protection IDS permet de configurer la protection IDS élémentaire.

Tableau D-32 Description des champs de l'onglet Protection IDS

Section Champ Description

Signatures IDS Nom Sélectionnez une signature pour mise à


jour.
* Un astérisque indique une détection de
port de cheval de Troie. Avertir et bloquer
est désactivé si le trafic est explicitement
autorisé dans les règles de trafic entrant.

Paramètres de Bloquer et avertir Si une attaque est détectée, le trafic et


protection bloqué et un message est consigné.

Bloquer sans avertir Si une attaque est détectée, le trafic et


bloqué sans consigner de message.

Réseau étendu Active la protection de réseau étendu.

Réseau local sans Active la protection de réseau local sans fil


fil/filaire et filaire.
Description des champs 225
Menu IDS/IPS

Tableau D-32 Description des champs de l'onglet Protection IDS (Suite)

Section Champ Description

Liste de protection Nom de l'attaque Nom des signatures IDS.

Bloquer et avertir Affiche O ou N. Indique si le paramètre de


protection Bloquer et avertir est activé
pour cette signature.

Bloquer sans avertir Affiche O ou N. Indique si le paramètre de


protection Bloquer/ne pas avertir est activé
pour cette signature.

Réseau étendu Affiche O ou N. Indique si le réseau étendu


est protégé.

Réseau local sans Affiche O ou N. Indique si le réseau local et


fil/filaire le réseau local sans fil est protégé.

Onglet Avancé
L'onglet Avancé permet de configurer la détection d'interrogation.

Tableau D-33 Description des champs de l'onglet Avancé

Section Champ Description

Protection Réseau étendu Active la détection d'interrogation sur le


d'interrogation IP réseau local.

Réseau local sans Active la détection d'interrogation sur le


fil/filaire réseau local et sur le réseau local sans fil.

Validation Validation Bloque et consigne tout trafic comportant


d'indicateur TCP d'indicateur TCP une combinaison illégale d'indicateurs
pour le trafic qui n'est pas refusé par la
stratégie de sécurité. Tout trafic refusé par
la stratégie de sécurité et comportant une
ou plusieurs combinaisons illégales
d'indicateurs TCP est classé comme l'une
des diverses techniques d'analyse de port
NMAP (NMAP Null Scan, NMAP Christmas
Scan, etc).
226 Description des champs
Menu Stratégie antivirus (AVpe)

Menu Stratégie antivirus (AVpe)


La fonction AVpe permet de surveiller les configurations AVpe des clients et, si
nécessaire, d'appliquer des stratégies de sécurité pour restreindre l'accès réseau
aux clients protégés par le logiciel antivirus avec les définitions de virus les plus
récentes.

Tableau D-34 Description des champs de l'onglet AVpe

Section Champ Description

Emplacement Serveur AV Définit le serveur antivirus principal sur votre


serveur principal réseau. Il s'agit du serveur auquel vous voulez
que la passerelle de sécurité se connecte pour
vérifier les définitions des clients antivirus.

Serveur AV Définit un serveur antivirus secondaire.


secondaire La passerelle de sécurité se connecte à ce
serveur pour vérifier les définitions des clients
antivirus si elle ne parvient pas à se connecter
au serveur antivirus principal.

Interroger le Saisissez un intervalle (en minutes)


serveur AV toutes d'interrogation du serveur antivirus pour la
les passerelle de sécurité.
Par exemple, si vous spécifiez 10 minutes,
la passerelle de sécurité interroge le serveur
antivirus toutes les 10 minutes pour obtenir la
liste de définitions de virus.
Le paramètre par défaut est 10 minutes. Vous
devez spécifier une valeur supérieure à zéro.

Interroger Ce bouton permet de remplacer l'intervalle


serveur défini dans le champ Interroger le serveur AV
toutes les. Lorsque vous cliquez sur ce bouton,
la passerelle de sécurité demande les dernières
définitions de virus au serveur antivirus.
Avant de cliquer sur ce bouton, saisissez
l'adresse IP des serveurs AV principal et
secondaire puis cliquez sur Enregistrer.
A la première activation de la fonction AVpe,
utilisez ce bouton pour forcer la passerelle de
sécurité à se connecter au serveur antivirus
principal ou secondaire pour récupérer les
dernières définitions de virus.
Description des champs 227
Menu Stratégie antivirus (AVpe)

Tableau D-34 Description des champs de l'onglet AVpe (Suite)

Section Champ Description

Validation de Vérifier si le Lorsque cette option est activée, ce champ


stratégie client AV est actif permet de vérifier que le logiciel antivirus
Symantec est installé et actif sur une station de
travail.
Les options disponibles sont les suivantes :
■ Dernier moteur de produit (par défaut)
Vérifie que le logiciel antivirus Symantec
est actif et qu'il contient la dernière version
du moteur de produit.
■ Toute version
Vérifie que le logiciel antivirus Symantec
est actif, quelle que soit la version du
moteur du produit.

Remarque : Vérifiez que l'UDP/le port UDP 2967


est autorisé par le pare-feu personnel.

Vérifier les Vérifie si les dernières définitions de virus sont


dernières installées sur la station de travail d'un client
définitions de avant de lui accorder l'accès au réseau.
virus Ce champ est activé par défaut.

Interroger les Saisissez un intervalle (en minutes)


clients toutes les d'interrogation des stations de travail clients
pour vérifier leurs définitions de virus.
Par exemple, si vous spécifiez 10 minutes, la
passerelle de sécurité interroge les stations de
travail clientes toutes les 10 minutes pour
vérifier qu'elles disposent des dernières
définitions de virus.
Le paramètre par défaut est de 480 minutes
(8 heures).
228 Description des champs
Menu Stratégie antivirus (AVpe)

Tableau D-34 Description des champs de l'onglet AVpe (Suite)

Section Champ Description

Etat AV principal Serveur AV Identifie le serveur antivirus (principal ou


secondaire) pour lequel les informations
récapitulatives sont affichées.

Etat Indique l'état de fonctionnement du serveur


antivirus. Actif est affiché si le serveur est en
ligne et opérationnel ; Inactif est affiché lorsque
le serveur est hors ligne.

Dernière mise à Affiche (sous forme numérique) la date de la


jour dernière interrogation du serveur par la
passerelle de sécurité pour vérifier les
définitions de virus ; par exemple 5/14/2003.

Hôte Affiche l'adresse IP (ou le nom de domaine


complet) du serveur antivirus principal ou
secondaire.

Produit Affiche la version courante de Symantec


AntiVirus Corporate Edition exécuté sur le
serveur antivirus ; par exemple 7.61.928.

Moteur Affiche la version courante du moteur d'analyse


de Symantec AntiVirus Corporate Edition
exécuté sur le serveur antivirus ; par exemple
NAV 4.1.0.15.

Schéma Affiche la dernière version des définitions de


virus sur le serveur antivirus ; par exemple
155c08 r6 (5/14/2003).
Description des champs 229
Menu Stratégie antivirus (AVpe)

Tableau D-34 Description des champs de l'onglet AVpe (Suite)

Section Champ Description

Etat client AV Client AV Adresse IP des clients DHCP.

Stratégie Affiche Activé ou Désactivé. Indique si des


stratégies antivirus sont imposées sur le client.

Etat Indique si le client est conforme.

Groupe Groupe d'ordinateurs auquel le client est


affecté.

Dernière mise à Date et heure où la conformité antivirus du


jour client a été vérifiée pour la dernière fois.

Produit Nom du produit antivirus Symantec utilisé par


le client.

Moteur Version du moteur d'analyse du produit


antivirus Symantec utilisé par le client.

Schéma Numéro de version des définitions de virus les


plus récentes du client.
230 Description des champs
Menu Filtrage du contenu

Menu Filtrage du contenu


La passerelle de sécurité prend en charge un filtrage élémentaire du contenu
pour le trafic sortant. Vous pouvez utiliser le filtrage de contenu pour
restreindre les contenus auxquels les clients ont accès. Par exemple, pour
empêcher vos utilisateurs de visiter des sites de casinos en ligne, vous pouvez
configurer le filtrage du contenu pour refuser l'accès aux URL de jeu que vous
spécifiez.

Tableau D-35 Champs de configuration du filtrage du contenu

Section Champ Description

Sélectionner une Type de liste Les types de liste sont les suivants :
liste ■ Refuser
■ Autoriser
Une liste de refus spécifie les contenus que vous
ne voulez pas que vos clients puissent consulter.
Une liste d'autorisations spécifie les contenus
que vous voulez autoriser vos clients à
consulter.
Sélectionnez une liste, puis cliquez sur Afficher/
Modifier.

Modifier la liste Saisir une URL Saisissez une URL à ajouter à la liste de refus ou
d'autorisations. Par exemple,
www.symantec.com ou monsiteadulte.com/
images/moi.html.
La longueur maximale d'une URL est de 128
caractères. Chaque liste de filtrage peut contenir
jusqu'à 100 entrées. Vous devez ajouter les URL
une par une.
Vous devez utiliser un nom de domaine complet.
Le filtrage ne peut pas être effectué à partir
d'une adresse IP.

Supprimer une Dans la liste déroulante, sélectionnez l'URL à


URL supprimer, puis cliquez sur Supprimer entrée.

Liste actuelle URL Affiche toutes les URL saisies pour la liste que
vous avez sélectionnée.
Index

Chiffres Bonk 126


Buffer overflow (débordement de tampon)
3DES 101
HTML 126

A
C
accès administratif 13
clients antivirus 117
accès réseau, planification 66
clusters
activation
création de tunnels avec des groupes de boîtiers
connexions IPsec directes 81
Symantec Gateway Security 5400 98
port IDENT 80
compression de tunnel 87
Activation des connexions IPsec directes 81
compte d'accès à distance de secours 39, 42
activer DHCP 62
comptes d'accès à distance 39
administrateur de la passerelle distante,
compte de secours 39
communication des informations 103
configuration 40
adresse IP de réseau local 60
connexion manuelle 42
adresse IP statique
contrôle 43
configuration 34
secours 42
ADSL 30
vérification de la connexion 43
AES-128 101
comptes d'accès haut débit 27
AES-192 101
configuration
AES-256 101
adresse IP statique 34
aide 11
applications spéciales 78
aide en ligne 11
all.bin 140 attributions de port 63
analogique 27 AVpe 114
appartenances aux groupes d'ordinateurs 67 comptes d'accès à distance 40
applications spéciales 78 connexion 29
Arrêt défil. 17 connexion au réseau externe 21
assistant d'installation 25 connexions internes 59
sélection de la langue 25 d'ordinateurs 68
atomiques, signatures 125 de tunnels client à passerelle 104
attaques 125 des entrées de routage statique 50
attributions de port 63 des paramètres PPP avancés 45
AVpe 112 du boîtier en tant que serveur DHCP 60
configuration 114 gestion à distance 15
messages consignés 118 hôte exposé 82
MTU 45
nouveaux ordinateurs 68
B options avancées 80
Back Orifice 126 paramètres avancés de Réseau étendu/FAI 52
BattleNet 78 paramètres de connexion avancés 44
boîtier, voyants du panneau avant 148 paramètres de protection avancée 127
232 Index

port de réseau étendu 26 définition des groupes d'ordinateurs 69


PPTP 36 délai de réponse SMTP 80
préférences de consignation 130 dépannage 153, 155
renouvellement d'inactivité 44 DES 101
repli 54 désactivation
routage 50 mode NAT 81
tunnels dynamiques entre passerelles 98 service DNS dynamique 49
tunnels entre passerelles 94 deux ports de réseau étendu 26
configuration des paramètres IP de réseau local 60 DHCP 28
configuration des ports de réseau étendu 26 activation 62
configuration du mot de passe 14 désactivation 62
configuration, sauvegarde et restauration 145 Imposer le renouvellement 194
configurations de tunnel plage d'adresses IP 62
VPN utilisation 62
passerelle à passerelle 94 différences entre les types de connexion 27
connectivité DSL 28 DNS dynamique
connectivité modem câble 28 désactivation 49
connectivité T1 28 mises à jour imposées 49
connexion au réseau externe 21 TZO 46
connexion d'accès à distance 27 documentation
connexion du modem 40 aide en ligne 11
connexion haut débit 28 DSL 27
connexion manuelle, PPPoE 33 dynamique, routage 50
connexion PPTP 28
connexion RNIS 27
connexion, configuration 29 E
connexion, exemples de réseau 22 entrées de routage statique 50
connexions analogiques 28 envoyer le journal 130
connexions internes 59 équilibrage de charge 53
connexions réseau 27 état du serveur antivirus 118
connexions RNIS 28 expirations de délai de réponse SMTP 80
connexions VPN sécurisées 85
console série 17
Arrêt défil. 17
F
HyperTerminal 17 Fawx 126
contrôle filtrage de contenu 120
état du serveur antivirus 118 gestion des listes 121
utilisation de DHCP 62 liste Autorisés 120
création listes d'interdictions 120
stratégies de sécurité 86 réseau étendu 108, 123
stratégies VPN de phase 2 personnalisées 89 réseau local 123
flashage 14
flasher le micrologiciel 142
D
déconnecter
connexions PPPoE inutilisées 30 G
définition gestion
accès entrant 71 accès administratif 13
accès sortant 72 avec la console série 17
ordinateur, appartenance à un groupe 67 gestion des listes de filtrage de contenu 121
Index 233

requêtes ICMP 82 messages de journal, retransmission 130


gestion à distance 15 micrologiciel 14, 136, 137, 140
gestion manuelle des comptes d'accès à app.bin 135
distance 42 mise à niveau manuelle 140
Girlfriend 126 mises à jour 135
micrologiciel app.bin 135
H mise à jour du micrologiciel 135
mise à niveau du micrologiciel
HA.Voir haute disponibilité
Norton Internet Security 141
haute disponibilité 52
mises à jour automatiques 137
hôte exposé 82
mises à jour imposées de DNS dynamique 49
mode NAT 81
I modifier
IDS/IPS 125 l'adresse IP de réseau local du boîtier 60
IKE, stratégie globale 87 plage d'adresses IP DHCP 62
Imposer le renouvellement 194 mot de passe
indicateur d'activité 26 administration 14
indicateur de connexion 40, 55 configurer 14
Interroger les services 184 réinitialisation manuelle 15
IP statique 28 mot de passe d'administration 14
MTU 45
J
jeux 78 N
Jolt 126 négociations de tunnel
phase 1 88
phase 2 88
L Nestea 126
Land 126 Newtear 126
langue, sélection 25 Norton Internet Security 141
LB.Voir équilibrage de charge
liaison SMTP 54
Licence 159 O
ligne téléphonique spéciale options avancées 80
RNIS 27 ordinateurs et groupes d'ordinateurs 66
liste Autorisés 120 Overdrop 126
liste d'hôtes 69
liste d'interdictions 120 P
LiveUpdate 142
panneau arrière
mises à jour 137
360 et 360R 39
serveur 138
boîtier 320 39
paramètres avancés de Réseau étendu/FAI 52
M paramètres de connexion avancés 44
manuelle paramètres de protection avancée 127
mise à niveau du micrologiciel 140 paramètres de stratégie globaux, tunnels client à
manuellement passerelle 109
se connecter à un compte PPTP 38 paramètres DHCP
Menu principal 12 paramètres avancés 44
messages consignés 134, 135 paramètres IP de réseau local 60
234 Index

paramètres par défaut, restaurer les attributions protection contre le débordement TCP/UDP
de port 64 (flood) 126
paramètres PPP avancés 45 protection contre les chevaux de Troie 126
paramètres réseau protection d'interrogation IP (spoofing) 128
facultatifs 56 protocole de tunnel point à point (PPTP) 36
paramètres réseau facultatifs 56 protocole point à point sur Ethernet. Voir PPPoE
pare-feu, liste d'hôtes 69
passage du trafic R
accès entrant 71
redirection de services 76
accès sortant 72
règles de trafic entrant 71
passerelle à passerelle 94 règles de trafic sortant 72
persistance des tunnels et haute réinitialisation du boîtier 146
disponibilité 96 réinitialisation manuelle du mot de passe 15
tunnels dynamiques 98 renouvellement d'inactivité 44
tunnels VPN pris en charge 96 repli 54
passerelle DNS 55 requêtes ICMP 40, 82
PING 40 Réseau étendu/FAI
Ping of Death 126 adresse IP multiples 30
planification de l'accès au réseau 66 paramètres avancés 52
point d'interrogation 11 réseau étendu/FAI
port de réseau étendu configuration du renouvellement
configuration de la MTU 45 d'inactivité 44
connexion 21 réseau externe
port IDENT 80 configuration d'une connexion 21
Portal of Doom 126 réseau TCP/IP, PPTP 36
PPPoE 30 restaurer les paramètres par défaut des
connectivité 28 attributions de port 64
connexion manuelle 33 retransmission des messages consignés 130
Interroger les services 184 routage 50
vérification de la connexion 32 routage dynamique 50
PPTP
configuration de la connexion 36 S
connexion manuelle 38
sauvegarde et restauration
réseau TCP/IP 36 configurations 145
vérification de la connexion 37 Security Gateway Management Interface 13
préférences de consignation 130 serveur DHCP 60
préférences de protection SGMI 13
configuration SGMI (interface de gestion de la passerelle de
paramètres des préférences de sécurité) 11
protection 127 signatures atomiques IDS/IPS 125
paramètres 127 sous-réseau 96
prévention des attaques 125 stratégie IKE globale 87
Back Orifice 126 stratégies de sécurité 86
cheval de Troie 126 SubSeven 126
Girlfriend 126 supervision
protection comptes d'accès à distance 43
interrogation IP (spoofing) 128 supervision de l'état des tunnels VPN 110
validation d'indicateur TCP 128 supervision du trafic réseau 65
Index 235

support technique 158 connexions sécurisées 85


Symantec Gateway Security 5400 96, 98 création de stratégies de phase 2
Syndrop 126 personnalisées 89
création de tunnels avec des groupes de
boîtiers Symantec Gateway Security
T 5400 98
T3 27 état des tunnels 110
Teardrop 126 longueur de clé d'authentification 101
téléconférence 78 longueur de clé de cryptage 101
tester la connexion 54 négociations de tunnel
TFTP 141 phase 1 87
trafic réseau, supervision avancée 111 phase 2 87
tunnel VPN paramètres de stratégie globaux 109
gestion à distance 15 persistance des tunnels 96
tunnel, compression 87 phase 2, configurable 88
tunnels sous-réseau 96
client à passerelle 104 stratégies 87
entre passerelles dynamiques 98 supervision de l'état des tunnels 110
tunnels client à passerelle 104 tunnels entre passerelles pris en charge 96
tunnels dynamiques entre passerelles 98 tunnels haute disponibilité 97
tunnels IKE, passerelle à passerelle 98
tunnels statiques entre passerelles 100
tunnels VPN client à passerelle, paramètres de W
stratégie globaux 109 Winnuke 126
types de connexion, différences 27
TZO 46

V
validation d'indicateur TCP 128
vérification de la connexion PPPoE 32
voyants 148
voyants du panneau avant 148
VPN
compression de tunnel 87
configuration de tunnels client à
passerelle 104
configurations de tunnel 94
client à passerelle 104
passerelle à passerelle 94
Support

Solutions de service
et de support
Symantec se consacre à fournir un excellent service dans le monde entier.
Notre objectif est de vous apporter une assistance professionnelle pour utiliser
nos logiciels et nos services, où que vous vous trouviez.
Les solutions de support technique et de service clientèle varient selon
les pays.
Si vous avez des questions sur les services décrits ci-dessous, consultez la
section "Informations de service et de support dans le monde".

Enregistrement et licences
Si vous déployez un produit qui nécessite un enregistrement et/ou une clé de
licence, le système le plus rapide et le plus simple consiste à accéder à notre site
de licence et d'enregistrement (en anglais) à l'adresse www.symantec.com/
certificate.
Si vous avez acheté un abonnement de support, vous êtes habilité à bénéficier
d'un support technique par téléphone et sur Internet. Lorsque vous contactez
les services de support pour la première fois, vous devez disposer du numéro
de votre certificat de licence ou de l'identification de contact fournie lors de
l'enregistrement, pour permettre la vérification de vos droits au support. Si vous
n'avez pas acheté d'abonnement de support, contactez votre revendeur ou le
service clientèle de Symantec pour savoir comment obtenir un support
technique auprès de Symantec.
238 Solutions de service et de support
Mises à jour de la sécurité

Mises à jour de la sécurité


Pour obtenir les informations les plus récentes sur les virus et les menaces de
sécurité, visitez le site de Symantec Security Response (anciennement SARC -
Centre de Recherche AntiVirus de Symantec), à l'adresse
http://www.symantec.fr/region/fr/avcenter/index.html
Ce site contient des informations exhaustives sur la sécurité et les virus, ainsi
que les dernières définitions de virus. Vous pouvez également télécharger les
définitions de virus en utilisant la fonction LiveUpdate de votre produit.

Renouvellement d'abonnement aux définitions de virus


Votre achat d'un service de support avec un produit vous permet de télécharger
gratuitement des définitions de virus pendant la durée de l'abonnement. Si votre
abonnement au support a expiré, contactez votre revendeur ou le Service
clientèle de Symantec pour savoir comment le renouveler.

Sites Web Symantec

Page d'accueil Symantec (par langue) :


Allemand : http://www.symantec.de
Anglais : http://www.symantec.com
Espagnol : http://www.symantec.com/region/es
http://www.symantec.com/mx
Français : http://www.symantec.fr
Italien : http://www.symantec.it
Néerlandais : http://www.symantec.nl
Portugais : http://www.symantec.com/br

Symantec Security Response :


http://www.symantec.fr/region/fr/avcenter/index.html

Page de service et assistance Symantec :


http://www.symantec.com/region/fr/techsupp/enterprise/index.html
Solutions de service et de support 239
Sites Web Symantec

Bulletin d'informations spécifique produit :


Etats-Unis, Asie-Pacifique :
http://www.symantec.com/techsupp/bulletin/index.html

Europe, Moyen-Orient, Afrique/Anglais :


http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

Allemand :
http://www.symantec.com/region/de/techsupp/bulletin/index.html

Français :
http://www.symantec.com/region/fr/techsupp/bulletin/index.html.

Italien :
http://www.symantec.com/region/it/techsupp/bulletin/index.html

Néerlandais :
http://www.symantec.com/region/nl/techsupp/bulletin/index.html

Amérique latine

Espagnol :
http://www.symantec.com/region/mx/techsupp/bulletin/index.html

Portugais :
http://www.symantec.com/region/br/techsupp/bulletin/index.html

Support technique
Au sein de Symantec Security Response, l'équipe de support technique
internationale gère les centres d'assistance dans le monde entier. Son objectif
premier est de répondre aux questions spécifiques sur les fonctionnalités/
fonctions, l'installation et la configuration des produits Symantec ainsi que sur
le contenu de la Base de connaissances accessible via le Web. Symantec Security
Response est en collaboration étroite avec les autres départements de Symantec
pour répondre rapidement à vos questions. Nous travaillons par exemple avec
notre service d'ingénierie produit et nos centres de recherche en sécurité pour
fournir des services d'alertes et des mises à jour des définitions de virus, face
aux attaques virales et aux alertes de sécurité. Caractéristiques de nos offres :
240 Solutions de service et de support
Sites Web Symantec

■ Une panoplie d'options de support vous permet de choisir le service


approprié quel que soit le type d'entreprise.
■ Le support Web et téléphonique fournit des réponses rapides et des
informations de dernière minute.
■ Les mises à jour des produits fournissent une protection de mise à niveau
automatique
■ Les mises à jour de contenu des définitions de virus et les signatures de
sécurité assurent la meilleure protection.
■ Le support mondial des experts Symantec Security Response est disponible
24h/24, 7j/7 dans le monde entier et dans différentes langues.
■ Les fonctionnalités avancées telles que le Service d'alertes Symantec
(Symantec Alerting Service) et le Responsable de compte technique
(Technical Account Manager) offrent un support d'intervention et de
sécurité proactive.
Rendez-vous sur notre site Web pour obtenir les dernières informations sur les
programmes de support.

Coordonnées du support
Les clients disposant d'un contrat de support peuvent contacter l'équipe de
support technique par téléphone, sur le site Web suivant ou sur les sites
régionaux de Service et Support internationaux.
http://www.symantec.com/region/fr/techsupp/enterprise/index.html
Lorsque vous contactez le support, vérifiez que vous disposez des informations
suivantes :
■ Version du produit
■ Informations sur le matériel
■ Mémoire disponible, espace disque et informations sur la carte d'interface
réseau
■ Système d'exploitation
■ Niveau de version et correctif
■ Topologie du réseau
Solutions de service et de support 241
Sites Web Symantec

■ Informations sur le routeur, la passerelle et l'adresse IP


■ Description du problème
■ Messages d'erreur/fichiers journaux
■ Intervention effectuée avant de contacter Symantec
■ Modifications récentes de la configuration du logiciel ou du réseau

Service clientèle
Le Centre de service clientèle de Symantec peut vous seconder pour vos
questions non techniques :
■ Informations générales sur les produits (caractéristiques, langues
disponibles, adresse des distributeurs, etc)
■ Dépannage de base, par exemple vérification de la version du produit
■ Dernières informations sur les mises à jour produit
■ Comment mettre votre produit à jour/à niveau
■ Comment enregistrer votre produit et/ou votre licence
■ Informations sur les programmes de licences de Symantec
■ Informations sur les contrats de mise à niveau et de maintenance
■ Remplacement des CD et des manuels
■ Mise à jour des données d'enregistrement produit en cas de changement de
nom ou d'adresse
■ Conseil sur les options de support technique de Symantec
Des informations détaillées sur le Service clientèle sont disponibles sur le site
Web de l'assistance Symantec. Vous pouvez également contacter le Centre
de service clientèle par téléphone. Pour des informations sur les numéros de
support clientèle et les sites Web, consultez la section "Informations de service
et de contact en bref".
242 Solutions de service et de support
Europe, Moyen-Orient, Afrique et Amérique latine

Service et support internationaux


Europe, Moyen-Orient, Afrique et Amérique latine

Sites Web de service et assistance Symantec :


Allemand : www.symantec.de/desupport/
Anglais : www.symantec.com/eusupport/
Espagnol : www.symantec.com/region/mx/techsupp/
Français : www.symantec.fr/frsupport
Italien : www.symantec.it/itsupport/
Néerlandais : www.symantec.nl/nlsupport/
Portugais : www.symantec.com/region/br/techsupp/
FTP Symantec : ftp.symantec.com
(téléchargement des notes techniques
et des derniers correctifs)
Visitez le site Service et assistance de Symantec pour trouver des informations
techniques et non techniques sur votre produit.

Symantec Security Response :


http://securityresponse.symantec.com

Bulletin d'informations spécifique produit :


Anglais :
http://www.symantec.com/techsupp/bulletin/index.html

Europe, Moyen-Orient, Afrique/Anglais :


http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

Allemand :
http://www.symantec.com/region/de/techsupp/bulletin/index.html

Français :
http://www.symantec.com/region/fr/techsupp/bulletin/index.html

Italien :
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Solutions de service et de support 243
Europe, Moyen-Orient, Afrique et Amérique latine

Espagnol :
http://www.symantec.com/region/mx/techsupp/bulletin/index.html

Néerlandais :
http://www.symantec.com/region/nl/techsupp/bulletin/index.html

Portugais :
http://www.symantec.com/region/br/techsupp/bulletin/index.html

Service Clientèle de Symantec


Fournit des informations non techniques et des conseils par téléphone dans les
langues suivantes : anglais, allemand, français et italien.
Afrique du Sud + (27) 11 797 6639
Allemagne + (49) 69 6641 0315
Autriche + (43) 1 50 137 5030
Belgique + (32) 2 2750173
Danemark + (45) 35 44 57 04
Espagnol + (34) 91 7456467
Finlande + (358) 9 22 906003
France + (33) 1 70 20 00 00
Irlande + (353) 1 811 8093
Italie + (39) 02 48270040
Luxembourg + (352) 29 84 79 50 30
Norvège + (47) 23 05 33 05
Pays-Bas + (31) 20 5040698
Royaume Uni + (44) 20 7744 0367
Suède + (46) 8 579 29007
Suisse + (41) 2 23110001
Autres pays + (353) 1 811 8093
(service en anglais uniquement)

Service Clientèle Symantec – Adresse postale


Symantec Ltd
Customer Service Centre
Europe, Moyen-Orient et Afrique (EMEA)
PO Box 5689
Dublin 15
Irlande
244 Solutions de service et de support
En Amérique latine

En Amérique latine
Symantec dispose d'un support technique et d'un service clientèle
internationaux. Les services varient selon les pays et incluent des partenaires
internationaux qui représentent Symantec dans les régions où il n'y a pas de
bureau Symantec. Pour des informations générales, contactez le service de
support de Symantec pour votre région.

Argentine
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ, Ciudad de Buenos Aires
Argentina

Numéro principal +54 (11) 5811-3225


Site Web http://www.service.symantec.com/mx

Support Gold 0800-333-0306

Venezuela
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Venezuela

Numéro principal +58 (212) 905-6327


Site Web http://www.service.symantec.com/mx

Support Gold 0800-1-00-2543

Colombia
Carrera 18# 86A-14
Oficina 407, Bogotá D.C.
Colombia
Numéro principal +57 (1) 638-6192
Site Web http://www.service.symantec.com/mx

Support Gold 980-915-5241


Solutions de service et de support 245
En Amérique latine

Brésil
Symantec Brésil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brésil, SA

Numéro principal +55 (11) 5189-6300


Télécopie +55 (11) 5189-6210
Site Web http://www.service.symantec.com/br

Support Gold 000814-550-4172

Chile
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile

Numéro principal +56 (2) 378-7480


Site Web http://www.service.symantec.com/mx

Support Gold 0800-333-0306

Mexique
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, México D.F.
México

Numéro principal +52 (55) 5481-2600


Site Web http://www.service.symantec.com/mx

Support Gold 001880-232-4615


246 Solutions de service et de support
Asie-Pacifique

Reste de l'Amérique latine


9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A.

Site Web http://www.service.symantec.com/mx

Support Gold Costa Rica 800-242-9445


Panama 800-234-4856
Puerto Rico 800-232-4615

Asie-Pacifique
Symantec dispose d'un support technique et d'un service clientèle
internationaux. Les services varient selon les pays et incluent des partenaires
internationaux qui représentent Symantec dans les régions où il n'y a pas de
bureau Symantec. Pour des informations générales, contactez le service de
support de Symantec pour votre région.

Service et support
AUSTRALIE
Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Australie

Numéro principal +61 2 8879 1000


Télécopie +61 2 8879 1001
Site Web http://service.symantec.com

Support Gold 1800 805 834 gold.au@symantec.com


Admin. contrats de support 1800 808 089 contractsadmin@symantec.com
Solutions de service et de support 247
Asie-Pacifique

CHINE
Symantec China
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
China P.R.C.
Numéro principal +86 10 8518 3338
Support technique +86 10 8518 6923
Télécopie +86 10 8518 6928
Site Web http://www.symantec.com.cn

HONG KONG
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong

Numéro principal +852 2528 6206


Support technique +852 2528 6206
Télécopie +852 2526 2646
Site Web http://www.symantec.com.hk

INDE
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Inde

Numéro principal +91 22 652 0658


Télécopie +91 22 652 0617
Site Web http://www.symantec.com/india
Support technique +91 22 657 0669
248 Solutions de service et de support
Asie-Pacifique

COREE
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Séoul 135-741
Corée du Sud

Numéro principal +822 3420 8600


Télécopie +822 3452 1610
Support technique +822 3420 8650
Site Web http://www.symantec.com.kr

MALAISIE
Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malaisie
Numéro principal +603 7805 4910
Télécopie +603 7804 9280
E-mail société gold.apac@symantec.com
N° vert société +1800 805 104
Site Web http://www.symantec.com.my

NOUVELLE-ZELANDE
Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nouvelle-Zélande

Numéro principal +64 9 375 4100


Télécopie +64 9 375 4101
Site Web de support http://service.symantec.co.nz

Support Gold 0800 174 045 gold.nz@symantec.com


Admin. contrats de support 0800 445 450 contractsadmin@symantec.com
Solutions de service et de support 249
Asie-Pacifique

SINGAPOUR
Symantec Singapore
3 Phillip Street
#17-00 & #19-00 Commerce Point
Singapour 048693
Numéro principal +65 6239 2000
Télécopie +65 6239 2001
Support technique +65 6239 2099
Site Web http://www.symantec.com.sg

TAIWAN
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taïpei
Taïwan

Numéro principal +886 2 8761 5800


Support entreprise + 886 2 8761 5800
Télécopie + 886 2 2742 2838
Site Web http://www.symantec.com.tw
L'exactitude des informations contenues dans ce document a fait l'objet de
toutes les attentions. Toutefois, les informations fournies ici sont susceptibles
d'être modifiées sans préavis. Symantec Corporation se réserve le droit
d'apporter ces modifications sans avertissement préalable.

Vous aimerez peut-être aussi