Académique Documents
Professionnel Documents
Culture Documents
MPSSRI2
2019/2020
Introduction
• les produits Fortinet sont dédiés pour la protection en temps réel de votre
réseau.
• Les boîtiers FortiGateTM Unified Threat Management System (Système de Gestion
Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et abus
réseaux et contribuent à une utilisation plus efficace des ressources de communication,
sans compromettre la performance de votre réseau. La gamme a reçu les certifications
ICSA (International Computer Security Association) pare-feu, VPN IPSec et antivirus.
2
C’est quoi les applications Fortinet ?
3
Présentation des équipements FortiGate
Toutes les appliances FortiGate Unified Threat Management offrent les fonctionnalités antivirus, filtrage de
contenu, pare-feu, VPN et détection/prévention d’intrusion destinées aux réseaux des petites comme des grandes
entreprises. Il y a des gammes différentes citons par exemple
4
FortiGate-3600
La fiabilité et les performances du un FortiGate-3600 sont élevés à niveau de type opérateur et répondent
aux exigences des prises et fournisseurs grandes entre de services. Son architecture multiprocesseur
fournit un débit de 4Gbit/s, répondant ainsi aux besoins des applications les plus exigeantes. FortiGate-
3600 comprend des blocs d’alimentation redondants et un partage de charge, avec un secours assuré sans
interruption de service. La grande capacité du FortiGate-3600, sa fiabilité et sa gestion aisée en font un
choix naturel pour des opérateurs de services de sécurité managés.
5
FortiGate-100 est conçu pour répondre aux applications d’entreprises à domicile ou de petites entreprises. Il
supporte les fonctions avancées telles que VLAN 802.1Q, domaines virtuels, protocoles de routage RIP et OSPF.
FortiGate-60/60M/ADSL est conçu pour les bureaux de personnel et les magasins. Il comprend un port modem
extérieur qui peut servir de connexion Internet redondante et muni d’un modem ADSL interne
FortiWiFi-60 intégrée qui assure des connexions sans fil sécurisées. Il combine mobilité et flexibilité grâce à ses
fonctions FortiWiFi Antivirus Firewall. De plus, il s’adapte aux avancées technologiques radiophoniques. Il peut
faire office de point de connexion entre réseaux sans fil et réseaux câblés ou tenir lieu de point central d’un réseau
sans fil stand alone.
6
Le FortiGate 30E
Le FortiGate 30E est idéale pour les petites et moyennes entreprises. Il fournit un intégré
ensemble de technologies de sécurité essentielles pour protéger toutes les applications et les
données. Il garantit une protection avancée contre les menaces, y compris pare-feu, contrôle des
applications, protection avancée contre les menaces, Filtrage IPS, VPN et Web, le tout à partir
Interfaces
1. USB Port
2. Console Port
7
Interface d’administration web
8
L’interface d’administration web permet de configurer la plupart des paramètres FortiGate et
de contrôler son statut. Les changements de configuration apportés à partir de l’interface
d’administration web sont instantanément pris en compte, sans qu’il soit nécessaire de
réinitialiser le pare-feu et sans interruption de service. Une fois votre configuration souhaitée
accomplie, il est conseillé de la sauvegarder. Elle pourra alors être restaurée dès que
nécessaire.
9
Accès au mode console
L’interface de ligne de commande (CLI), interface basée sur du texte, peut servir d’alternative à
l’interface d’administration web. Certaines options ne sont configurables qu’à partir des
commandes CLI.
Le bouton d’accès au mode console (Console Access) ouvre une application Terminal basée sur
Java. L’ordinateur d’administration doit être muni de la version Java 1.3 ou supérieure. Pour
plus d’informations sur l’utilisation des commandes CLI, référez-vous au FortiGate CLI
Reference.
10
Déconnexion
Le bouton « Déconnecter » (Logout) vous déconnecte immédiatement de l’interface d’administration
web. N’oubliez pas de vous déconnecter avant de fermer la fenêtre du navigateur. Si vous fermez la
fenêtre ou quittez l’interface d’administration web sans vous déconnecter, vous restez connecté
jusqu’à l’expiration du timeout d’inactivité (par défaut 5 minutes).
11
Menu de interface administration web
Le menu procure l’accès à des options de configuration pour toutes les fonctionnalités majeures du boîtier FortiGate.
12
UTILISATION DE DOMAINES VIRTUELS
Les domaines virtuels permettent à un boîtier FortiGate de fonctionner comme de multiples unités indépendantes. Il peut fournir des règles pare-feu,
des routages et des configurations VPN séparés pour chaque niveau d’organisation. L’utilisation de VDOM peut également simplifier
l’administration de configurations complexes.
Lors de la création et de la configuration d’un domaine virtuel, vous devez lui attribuer des interfaces ou des sous-interfaces VLAN.
Eventuellement, vous pouvez aussi lui assigner un compte administrateur qui pourra uniquement se connecter à ce VDOM. Si un VDOM est
créé pour servir une organisation, cela permet à l’organisation de gérer sa configuration de manière autonome.
Chaque VDOM contient ses propres zones, règles pare-feu, routage, authentification d’utilisateurs et configuration VPN. Chaque domaine
virtuel fonctionne de manière similaire à un équipement FortiGate en matière de configuration du paramétrage. Cette séparation simplifie la
configuration parce qu’elle évite de gérer de nombreuses règles pare-feu et routes à la fois.
Lorsqu’un paquet entre dans un domaine virtuel sur l’équipement FortiGate, il reste limité à ce domaine virtuel. Dans un domaine donné, vous
pouvez seulement créer des règles pare-feu pour les connexions entre les sous-interfaces VLAN ou des zones de ce domaine virtuel. Les paquets
ne passent jamais la frontière d’un domaine virtuel. Le mode de fonctionnement, NAT/Route ou Transparent, peut également être sélectionné
séparément sur chaque VDOM.
13
Activation du mode Multiple VDOM
A partir du compte administrateur admin par défaut, vous pouvez activer le mode multiple VDOM sur l’équipement FortiGate.
14
Ajout d’interfaces à un domaine virtuel
Un domaine virtuel doit contenir au moins deux interfaces. Il peut s’agir d’interfaces physiques ou de sous-interfaces
VLAN. Toutes les interfaces physiques font par défaut partie du domaine virtuel root.
Les sous-interfaces VLAN doivent se trouver dans des VDOM différents que leurs interfaces physiques. Pour ce faire,
l’ administrateur admin doit créer la sous- interface VLAN et l’affecter au VDOM requis. Les interfaces font partie des
paramètres généraux de configuration. Pour plus d’informations sur la création de sous-interfaces VLAN,
Pour réaffecter une interface existante d’un domaine virtuel à un autre, appliquez la procédure ci-dessous. Vous ne
pouvez pas retirer une interface d’un domaine virtuel si cette interface est comprise dans l’une des configurations
suivantes :
routage
proxy arp
serveur DHCP
zone
règle pare-feu
plage IP
Il est nécessaire de supprimer ou modifier ces éléments avant de pouvoir changer l’interface de domaine virtuel.
On y retrouve les statuts en cours du boîtier FortiGate, y compris le numéro de série, l’usage des ressources du
système, les informations sur la licence FortiGuard, les messages d’alerte et les informations sur la session.
La page Statut du Système s’affiche par défaut lors du démarrage d’une session de l’interface d’administration
web. Il existe cependant une exception : dans le cas où la Configuration de Domaine Virtuel est activée,
l’administrateur admin visualisera la page Statut du Système seulement après avoir sélectionné
Configuration Globale ou un VDOM à administrer.
A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page Statut du Système.
Pour visualiser cette page, votre profil d’accès doit prévoir les droits en lecture de la configuration du système.
Si vous avez également les droits en écriture de la configuration du système, vous pouvez modifier les
informations du système et mettre à jour les bases de connaissances antivirus et IPS FortiGuard. Pour plus
d’informations sur les profils d’accès
16
Informations du système
Numéro de Série Le numéro de série de l’équipement FortiGate. Ce numéro est unique pour
chaque équipement et ne change pas avec les mises à jour logicielles.
Actif depuis Le temps en jours, heures et minutes depuis le dernier redémarrage de
l’équipement FortiGate.
Heure Système La date et l’heure en cours selon l’horloge préprogrammée. Cliquez sur Changer
pour modifier l’heure ou configurez le boîtier FortiGate pour qu’il se synchronise avec un serveur
NTP.
Nom d’hôte Le nom d’hôte actuel de l’équipement FortiGate. Cliquez sur Changer pour le
modifier.
Version de Code La version du microcode installé sur votre FortiGate. Cliquez sur Update
(Mettre à jour) pour changer le logiciel.
Mode de fonctionnement Le mode de fonctionnement du domaine virtuel est soit NAT, soit
Transparent. Cliquez sur Changer pour passer du mode NAT au mode Transparent et vice-
versa.
17
En mode NAT / Route, le mode de fonctionnement le plus courant, un FortiGate est installé en
tant que passerelle ou routeur entre deux réseaux. Dans la plupart des cas, il est utilisé entre un
réseau privé et Internet. Cela permet à FortiGate de masquer les adresses IP du réseau privé à
l'aide de la traduction d'adresses réseau (NAT).
Le mode NAT / Route est également utilisé lorsque deux fournisseurs de services Internet (FAI) ou
plus fournissent au FortiGate des connexions Internet redondantes.
Un FortiGate en mode transparent est installé entre le réseau interne et le routeur. Dans ce
mode, FortiGate ne modifie pas les adresses IP et applique uniquement une analyse de sécurité au
trafic. Lorsqu'un FortiGate est ajouté à un réseau en mode transparent, aucun changement de
réseau n'est requis, sauf pour fournir à FortiGate une adresse IP de gestion.
Le mode transparent est utilisé principalement lorsqu'il est nécessaire d'accroître la protection du
réseau, mais il est peu pratique de modifier la configuration du réseau lui-même.
18
Visualisation des Statistiques
Les Statistiques de la page Statut du Système fournissent des informations sur les sessions, les
archives de contenu et l’activité protection réseau.
Les statistiques portant sur les attaques réseaux bloquées par le boîtier FortiGate sont visibles
dans la section Statistiques de la page Statut du Système. Pour en savoir plus sur chaque type
d’attaques, cliquez sur le lien Détails de l’attaque concernée.
L’icône Remise à zéro en haut de la section Statistiques permet d’effacer les archives sur le 19
contenu et les journaux des attaques, et de remettre les compteurs à zéro.
• Visualisation des virus attrapés
1 Sélectionnez Système > Statut > Statut.
2 Dans la section Journal des attaques, cliquez sur Détails à côté d’AV.
20
• Visualisation des spams bloqués
2 Dans la section Journal des attaques, cliquez sur Détails à côté de Web.
De de l’URL. 21
L’hôte qui a tenté d’accéder à l’URL.
URL Bloquées
L’URL bloquée.
NAT
En réseau informatique, on dit qu'un routeur fait du network address translation (NAT) («
traduction d'adresse réseau » ou « translation d'adresse réseau ») lorsqu'il fait correspondre des
adresses IP à d'autres adresses IP. En particulier, un cas courant est de permettre à des machines
disposant d'adresses qui font partie d'un intranet et ne sont ni uniques ni routables à l'échelle
d'Internet, de communiquer avec le reste d'Internet en faisant semblant d'utiliser des adresses
externes uniques et routables.
DNS
Les équipements (hôtes) connectés à un réseau IP, comme Internet, possèdent une adresse IP qui les
identifie sur le réseau. Ces adresses sont numériques afin de faciliter leur traitement par les
machines. En IPv4, elles sont représentées sous la forme « xxx.xxx.xxx.xxx », où « xxx » est un
nombre entre 0 et 255 (en représentation décimale). En IPv6, les adresses sont représentées sous la
forme « xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx », où « xxxx » représente une valeur hexadécimale
de 0000 à FFFF.
Pour faciliter l'accès aux hôtes sur un réseau IP, un mécanisme a été mis en place pour associer un
nom à une adresse IP. Ce nom, plus simple à retenir, est appelé « nom de domaine ». Résoudre 22
un
nom de domaine consiste à trouver l'adresse IP qui lui est associée
Système > Réseau
Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et des
paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces VLAN et de
zones à la configuration réseau du FortiGate.
Interface
En mode NAT/Route, pour configurer les interfaces FortiGate. sélectionnez
Système > Réseau > Interface
Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM uniquement).
23
Paramètres de l’interface
Nom de l’interface Entrez un nom pour l’interface. Il n’est pas possible de modifier le nom d’une interface existante.
Sur les modèles 800 et plus, vous pouvez créer des interfaces VLAN
Sur les modèles WiFi-60A et WiFi-60AM, vous pouvez créer des interfaces sans fil.
Type
Certains modèles ne supportent que la création d’interface VLAN et n’affichent alors pas le champ
Type.
Interface Sélectionnez le nom de l’interface physique à laquelle vous voulez adjoindre une sous-interface VLAN. Il est
impossible de modifier l’interface d’une sous-interface VLAN existante.
ID VLAN
Entrez l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à cette sous-interface VLAN. Il est
impossible de modifier l’ID d’une sous-interface VLAN existante. L’ID VLAN, se situant entre 1 et 4096, doit
correspondre à l’ID VLAN ajoutée par le routeur IEEE 802.1Q- compliant ou connecté à la sous-interface VLAN.
Domaine Virtuel
Sélectionnez le domaine virtuel auquel la sous-interface VLAN appartient. Seul l’administrateur admin peut
effectuer cette commande lorsque la Configuration de Domaine Virtuel est activée
Mode d’adressage Pour configurer une adresse IP statique d’une interface, sélectionnez Manuel et entrez adresse IP/masque de
réseau dans le champ prévu à cet effet. L’adresse IP doit être sous le même sous-réseau que le réseau auquel
l’interface se connecte. Deux interfaces ne peuvent pas avoir leurs adresses IP sur le même sous- réseau.
DDNS Cochez la case Activer à côté de DDNS pour configurer un service DNS Dynamique pour cette interface. Des
champs additionnels sont affichés
Ping Serveur
Pour activer la détection de l’échec d’une passerelle, entrez l’adresse IP du routeur du prochain saut sur le
24
réseau connecté à l’interface et cochez la case Activer. Pour plus d’informations sur la détection de l’échec
Administration
Sélectionnez les types d’accès administratifs permis sur cette interface.
HTTPS
Permet des connexions HTTPS sécurisées vers l’interface d’administration web à travers
cette interface.
PING
L’interface répond aux requêtes Ping. Cette fonctionnalité vous permet de vérifier votre
installation et de la tester.
HTTP
Permet des connexions HTTP vers l’interface d’administration web à travers cette
interface. Les connexions HTTP ne sont pas sécurisées et peuvent être interceptées
par des tiers.
SSH
Permet des connexions SSH vers l’interface de commande en ligne à travers
cette interface.
25