PAN OS 6.1 Admin Guide French

®
Palo Alto Networks
Guide de l’administrateur PAN-OS®

Version 6.1
Coordonnées de contact
Siège social :
Palo Alto Networks

4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
À propos de ce guide
Le présent guide va vous permettre de vous familiariser avec la configuration et la maintenance de votre pare-feu de
dernière génération Palo Alto Networks. Pour plus d’informations, reportez-vous aux sources qui suivent :
 Pour des informations sur les capacités supplémentaires et pour les instructions pour la configuration des
fonctionnalités sur le pare-feu, consultez le site https://www.paloaltonetworks.com/documentation.
 Pour accéder à la base de connaissances, aux documentations complètes, aux forums de discussion et aux vidéos,
reportez-vous à la page https://live.paloaltonetworks.com.
 Pour contacter le support, obtenir des informations sur les programmes de support ou gérer votre compte ou vos
périphériques, reportez-vous à la page https://support.paloaltonetworks.com.
 Pour obtenir les dernières notes de publication, rendez-vous sur la page des téléchargements logiciels
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l’adresse :
documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
© 2014 Palo Alto Networks. Tous droits réservés.
Palo Alto Networks et PAN-OS sont des marques déposées de Palo Alto Networks, Inc.
Date de révision : mars 13, 2015
ii
Table des matières
Mise en route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Intégration du pare-feu dans votre réseau de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Détermination de votre stratégie de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Exécution de la configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Configuration de l’accès réseau pour les services externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Enregistrement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Activation des licences et des abonnements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestions des mises à jour de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Installation des mises à jour logicielles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Création d’un périmètre de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Déploiements d’interfaces de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
À propos de la politique de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Configuration des interfaces et des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Paramétrage des politiques de sécurité de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Activation des fonctions de prévention des menaces de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Activation de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Analyse du trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Contrôle de l’accès au contenu Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Recommandations pour la fin du déploiement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Gestion des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Interfaces de gestion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Navigation dans l’interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Utilisation de l’interface de ligne de commande (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Utilisation de l’API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Gestion des administrateurs de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Rôles administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Authentification des administrateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Création d’un compte administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Référence : accès administrateur à l’interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Privilèges d’accès à l’interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Accès à l’interface Web de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Référence : numéros de port utilisés par les périphériques Palo Alto Networks . . . . . . . . . . . . . . . . . . . . 112
Ports utilisés pour les fonctions de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Ports utilisés pour la HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Ports utilisés pour Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Ports utilisés pour User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Rétablissement des paramètres d’usine du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Guide de l'administrateur PAN-OS i

Gestion des certificats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Clés et certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Révocation de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Liste de révocation de certificats (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Protocole OCSP (Online Certificate Status Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Déploiement de certificats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Configuration de la vérification du statut de révocation des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Configuration d’un répondeur OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Configuration de la vérification du statut de révocation des certificats utilisés pour
l’authentification des utilisateurs/périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Configuration de la vérification du statut de révocation des certificats utilisés pour
le décryptage SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Configuration de la clé principale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Obtention des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Création d’un certificat d’autorité de certification (AC) racine auto-signé . . . . . . . . . . . . . . . . . . . . . 131
Génération d’un certificat sur le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Importation d’un certificat et d’une clé privée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Obtention d’un certificat auprès d’une autorité de certification (AC) externe . . . . . . . . . . . . . . . . . . 134
Configuration d’un profil de certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Configuration de la taille de clé des certificats du serveur proxy de transfert SSL . . . . . . . . . . . . . . . . . . . 139
Révocation et renouvellement de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Révocation d’un certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Renouvellement d’un certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Sécurisation des clés avec un module de sécurité matériel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Paramétrage de la connectivité à un module de sécurité matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Cryptage d’une clé principale à l’aide d’un module de sécurité matériel . . . . . . . . . . . . . . . . . . . . . . . 149
Enregistrement des clés privées sur un module de sécurité matériel. . . . . . . . . . . . . . . . . . . . . . . . . . 151
Gestion du déploiement du module de sécurité matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Haute disponibilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Présentation de la HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Concepts de la HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Modes HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Liaisons HD et liaisons de secours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Priorité et préemption des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Déclencheurs de basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Minuteurs HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Paramétrage de la HD active/passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Configuration requise pour la HD active/passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Directives de configuration de la HD active/passive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Configuration de la HD active/passive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Définition des conditions de basculement HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Vérification d’un basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Ressources HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
ii Guide de l'administrateur PAN-OS

Rapports et journalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Utilisation du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Utilisation du centre de commande de l’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Niveau de risque ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Diagrammes de l’ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Pages de détails de l’ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Utilisation de l’ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Utilisation de l’App-Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Rapport récapitulatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Rapport de surveillance des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Rapport de surveillance des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Rapport de la carte des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Rapport de surveillance du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Rapport de la carte du trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Captures de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Surveillance du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Surveillance des applications et des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Surveillance des données de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Surveillance du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Affichage des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Transfert des journaux vers les services externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Définition des destinations de journalisation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Activation du transfert des journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Profils de transfert des logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Surveillance du pare-feu à l’aide de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Surveillance du pare-feu à l’aide de NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Modèles NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Identification des interfaces de pare-feu dans des systèmes de surveillance externes. . . . . . . . . . . . . . . . . 225
Gestion de la génération de rapports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
À propos des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Affichage des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Désactivation des rapports prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Génération de rapports personnalisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Génération de rapports du Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Gestion de rapports récapitulatifs au format PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Génération de rapports d’activités des utilisateurs/groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Gestion des groupes de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Planification des rapports pour la distribution par courrier électronique . . . . . . . . . . . . . . . . . . . . . . 243
Descriptions des champs Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Présentation de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Concepts du User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Mappage de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Mappage d’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Activation de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Guide de l'administrateur PAN-OS iii

Mappage d’utilisateurs à des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Mappage d’adresses IP à des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Configuration du mappage d’utilisateur à l’aide de l’agent User-ID Windows . . . . . . . . . . . . . . . . . . 270
Configuration du mappage d’utilisateur à l’aide de l’agent User-ID intégré à PAN-OS. . . . . . . . . . . 279
Configuration de User-ID pour la réception de mappages d’utilisateur d’un expéditeur Syslog . . . . 282
Mappage d’adresses IP à des noms d’utilisateurs à l’aide du portail captif . . . . . . . . . . . . . . . . . . . . . 293
Configuration du mappage d’utilisateur pour les utilisateurs de serveurs de terminaux. . . . . . . . . . . 299
Envoi de mappages d’utilisateur à User-ID à l’aide de l’API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Configuration d’un pare-feu pour le partage de données de mappage d’utilisateur
avec d’autres pare-feux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Activation d’une politique basée sur l’utilisateur et le groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Vérification de la configuration de l’agent User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Présentation d’App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Gestion des applications personnalisées ou inconnues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Recommandations pour utiliser App-ID dans une politique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Applications prises en charge de façon implicite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
À propos des passerelles de niveau application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Désactivation de la passerelle de niveau application (ALG) du protocole SIP. . . . . . . . . . . . . . . . . . . . . . 326
Prévention des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

Paramétrage des profils et politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Paramétrage des profils Antivirus, Antispyware et Protection contre les vulnérabilités. . . . . . . . . . . 329
Configuration du filtrage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Paramétrage du blocage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Prévention des attaques par force brute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Signatures et déclencheurs d’attaques par force brute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Personnalisation de l’action et des conditions de déclenchement de la signature
d’une attaque par force brute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Meilleures pratiques pour sécuriser votre réseau contre les fuites au niveau des couches 4 et 7 . . . . . . . . 345
Activation de la collecte DNS passive pour une meilleure intelligence des menaces . . . . . . . . . . . . . . . . . 347
Utilisation de requêtes DNS pour identifier des hôtes infectés sur le réseau . . . . . . . . . . . . . . . . . . . . . . . 348
Mise en entonnoir DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Configuration de la mise en entonnoir DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Identification des hôtes infectés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Infrastructure CDN pour les mises à jour dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Ressources de prévention des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Présentation du décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Concepts du décryptage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Clés et certificats pour les politiques de décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Proxy de transfert SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
iv Guide de l'administrateur PAN-OS

Inspection SSL entrante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Exceptions au décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Mise en miroir du port de décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Configuration du proxy de transfert SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Configuration de l’inspection SSL entrante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Configuration du proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Configuration des exceptions au décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Exclusion de trafic du décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Exclusion d’un serveur du décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Activation de l’exclusion de décryptage SSL par les utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Configuration de la mise en miroir du port de décryptage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Désactivation temporaire du décryptage SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

Présentation du filtrage des URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Fournisseurs de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Interaction entre App-ID et les catégories d’URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Concepts de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Catégories d’URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Profil de filtrage des URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Actions du profil de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Listes d’interdiction et d’autorisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Mise en œuvre de la recherche sécurisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Pages de conteneur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Journalisation de l’en-tête HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
Pages de réponse de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Catégorie d’URL comme critère de correspondance de politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Flux de travail de catégorisation PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Composants PAN-DB de catégorisation des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Flux de travail de catégorisation des URL PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Activation d’un fournisseur de filtrage des URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Activation du filtrage des URL PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Activation du filtrage des URL BrightCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Définition des exigences d’une politique de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Surveillance de l’activité Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Interprétation des logs de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Utilisation de l’ACC pour surveiller l’activité Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Affichage des rapports de filtrage des URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Affichage du rapport d’activités des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
Configuration de rapports personnalisés de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Configuration du filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Personnalisation des pages de réponse de filtrage des URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Configuration du forçage de l’URL par l’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Activation de la mise en œuvre de la recherche sécurisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Guide de l'administrateur PAN-OS v

Blocage des résultats de la recherche n’utilisant pas des paramètres de recherche sécurisée stricts . . . . 427
Activation de la mise en œuvre de la recherche sécurisée transparente. . . . . . . . . . . . . . . . . . . . . . . . 431
Exemples de cas pratique du filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Cas pratique : Contrôle de l’accès au Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Cas pratique : Utilisation des catégories d’URL dans une politique. . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Dépannage du filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Problèmes d’activation de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Problèmes de connectivité au Cloud PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
URL classées comme étant non résolues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Catégorisation incorrecte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Base de données d’URL obsolète . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Qualité de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

Présentation de la QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Concepts de la QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
QoS pour des applications et des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Profil QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Classes QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Politique QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Interface de sortie QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Trafic en texte clair et tunnellisé QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Configuration de la QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Configuration de la QoS pour un système virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Exemples de cas pratiques de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Cas pratique : QoS pour un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
QoS pour des applications voix et vidéo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Réseaux privés virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

Déploiements de réseaux privés virtuels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Présentation du réseau privé virtuel de site à site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Concepts du réseau privé virtuel de site à site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Passerelle IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Interface de tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Surveillance des tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
IKE (Internet Key Exchange) pour VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Configuration d’un réseau privé virtuel de site à site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Configuration d’une passerelle IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Définition de profils cryptographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Configuration d’un tunnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Configuration de la surveillance des tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Test de la connexion du réseau privé virtuel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Interprétation des messages d’erreur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Configurations rapides de réseau privé virtuel de site à site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Réseau privé virtuel de site à site avec routage statique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Réseau privé virtuel de site à site avec OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Réseau privé virtuel de site à site avec routage statique et dynamique . . . . . . . . . . . . . . . . . . . . . . . . 509
vi Guide de l'administrateur PAN-OS

VPN à grande échelle (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .517
Présentation du LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Création d’interfaces et de zones pour le LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Activation de SSL entre des composants du LSVPN GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
À propos du déploiement de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Déploiement de certificats serveur sur les composants du LSVPN GlobalProtect . . . . . . . . . . . . . . 521
Configuration du portail pour l’authentification de satellites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Configuration de passerelles GlobalProtect pour le LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Tâches requises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Configuration de la passerelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Configuration du portail GlobalProtect pour le LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Tâches requises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Configuration du portail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Définition des configurations de satellites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Préparation du périphérique satellite pour l’association au LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
Vérification de la configuration du LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Configurations rapides du LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Configuration LSVPN de base avec routage statique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Configuration LSVPN avancée avec routage dynamique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Mise en réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551

Déploiements d’interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Déploiements de câble virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Déploiements de couche 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Déploiements de couche 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Déploiements en mode Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Routeurs virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Itinéraires statiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Concepts d’OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Configuration d’OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
Configuration d’OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Configuration du redémarrage en douceur d’OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Confirmation du fonctionnement d’OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
Paramètres et délais d’expiration de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
Sessions de couche de transport. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Configuration des délais d’expiration de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Configuration des paramètres de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Présentation de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Guide de l'administrateur PAN-OS vii

Messages DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
Adressage DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
Options DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Restrictions de l’implémentation de DHCP par Palo Alto Networks . . . . . . . . . . . . . . . . . . . . . . . . . 599
Configuration d’une interface en tant que serveur DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
Configuration d’une interface en tant que client DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Configuration d’une interface en tant qu’agent de relais DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
Surveillance et dépannage de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Fonction de NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Règles et politiques de sécurité NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
NAT source et NAT de destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
Nombre de règles NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Sursouscription NAT DIPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Statistiques de la mémoire NAT du plan de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Configuration de NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
Paramètres LACP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
Configuration de LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Types de politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Composants d’une règle de politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Recommandations en matière de politiques de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Objets de politique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
Profils de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
Profils antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Profils antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Profils de protection contre les vulnérabilités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
Profils de filtrage des URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Profils de filtrage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
Profils de blocage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
Profil de protection DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Profils de protection de zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
Groupe de profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
Énumération des règles d’une base de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Utilisation d’étiquettes pour distinguer visuellement les objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
Trucs et astuces pour la recherche d’objets dans une politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 655
Recherche de règles de politique de sécurité pour les profils de sécurité . . . . . . . . . . . . . . . . . . . . . . 655
Recherche de règles désactivées dans une politique de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Recherche des détails du transfert des journaux dans une politique de sécurité . . . . . . . . . . . . . . . . . 659
Recherche des détails des journaux dans une politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
Recherche de règles planifiées dans une politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Utilisation d’une liste d’interdiction dynamique dans une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662
Affichage de la limite du nombre d’adresses IP pour votre modèle de pare-feu . . . . . . . . . . . . . . . . 662
Directives de mise en forme des listes d’interdiction dynamiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
Application d’une politique contenant une liste d’interdiction dynamique . . . . . . . . . . . . . . . . . . . . . 663
viii Guide de l'administrateur PAN-OS

Affichage des adresses IP de la liste d’interdiction dynamique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
Récupération d’une liste d’interdiction dynamique du serveur Web . . . . . . . . . . . . . . . . . . . . . . . . . . 665
Enregistrement dynamique des adresses IP et des étiquettes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
Surveillance des modifications dans l’environnement virtuel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Activation de la surveillance des machines virtuelles pour suivre les modifications
sur le réseau virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
Attributs surveillés dans les environnements AWS et VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Utilisation de groupes d’adresses dynamiques dans une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Commandes de la CLI pour les adresses IP dynamiques et les étiquettes. . . . . . . . . . . . . . . . . . . . . . . . . . 676
Journalisation des adresses IP client internes pour les requêtes HTTP/HTTPS en proxy . . . . . . . . . . . . 678
Journalisation des valeurs X-Forwarded-For dans le journal du trafic. . . . . . . . . . . . . . . . . . . . . . . . . 678
Journalisation des valeurs X-Forwarded-For dans le journal de filtrage des URL . . . . . . . . . . . . . . . 679
Transfert basé sur une politique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680
Transfert basé sur une politique (PBF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
Création d’une règle de transfert basé sur une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Cas pratique : transfert basé sur une politique pour l’accès sortant avec deux
fournisseurs de services Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
Systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695

Présentation des systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
Composants d’un système virtuel et segmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
Avantages des systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Cas pratiques de systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Prise en charge et licence de plate-forme des systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Restrictions sur les systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Rôles administrateur des systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Objets partagés des systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Communication entre systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Le trafic inter-VSYS doit quitter le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Le trafic inter-VSYS reste à l’intérieur du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702
La communication inter-VSYS utilise deux sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
Passerelle partagée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
Zones externes et passerelle partagée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
Remarques relatives à la mise en réseau d’une passerelle partagée . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
Configuration de systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
Configuration de la communication entre systèmes virtuels à l’intérieur du pare-feu . . . . . . . . . . . . . . . . 711
Configuration d’une passerelle partagée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Compatibilité du système virtuel avec d’autres fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Guide de l'administrateur PAN-OS ix

x Guide de l'administrateur PAN-OS
Mise en route
Les sections suivantes détaillent les étapes qui vous aideront à déployer un nouveau pare-feu de dernière
génération Palo Alto Networks. Elles décrivent en détail l’intégration d’un nouveau pare-feu dans votre réseau
et la configuration des politiques de sécurité de base et des fonctions de prévention des menaces.
Une fois les étapes de configuration de base nécessaires à l’intégration du pare-feu dans votre réseau effectuées,
vous pouvez vous appuyer sur les autres rubriques de ce guide pour déployer l’ensemble des fonctions de la
plate-forme de sécurité d’entreprise en fonction des besoins de sécurité de votre réseau.
 Intégration du pare-feu dans votre réseau de gestion
 Création d’un périmètre de sécurité
 Activation des fonctions de prévention des menaces de base
 Recommandations pour la fin du déploiement du pare-feu
Mise en route 1
Intégration du pare-feu dans votre réseau de gestion Mise en route
Intégration du pare-feu dans votre réseau de gestion

Tous les pare-feu Palo Alto Networks fournissent un port de gestion hors bande (MGT) que vous pouvez
utiliser pour effectuer les fonctions d’administration de pare-feu. À l’aide du port MGT, vous pouvez séparer
les fonctions de gestion du pare-feu des fonctions de traitement des données, afin de protéger l’accès au pare-feu
et d’améliorer les performances. Lors de l’utilisation de l’interface Web, vous devez effectuer toutes les tâches
de configuration initiales à partir du port MGT, même si vous envisagez d’utiliser un port intrabande pour la
gestion future de votre périphérique.
Certaines tâches de gestion, telles que la récupération des licences et la mise à jour des signatures de menaces et
d’applications sur le pare-feu, nécessitent l’accès à Internet. Si vous ne souhaitez pas autoriser l’accès externe à
votre port MGT, vous devez configurer un port de données permettant l’accès aux services externes requis ou
envisager de charger manuellement les mises à jour de manière régulière.
Les rubriques suivantes décrivent les étapes de configuration initiales nécessaires pour intégrer un nouveau
pare-feu dans le réseau de gestion et le déployer dans une configuration de sécurité de base.
 Détermination de votre stratégie de gestion
 Exécution de la configuration initiale
 Configuration de l’accès réseau pour les services externes
 Enregistrement du pare-feu
 Activation des licences et des abonnements
 Gestions des mises à jour de contenu
 Installation des mises à jour logicielles
Les rubriques suivantes décrivent les étapes d’intégration d’un pare-feu de dernière génération
Palo Alto Networks dans votre réseau. Cependant, pour la redondance, envisagez de déployer
une paire de pare-feu dans une configuration Haute disponibilité.
2 Mise en route
Mise en route Intégration du pare-feu dans votre réseau de gestion
Détermination de votre stratégie de gestion
Le pare-feu Palo Alto Networks peut être configuré et géré localement ou de manière centralisée à l’aide de
Panorama, le système de gestion de sécurité centralisée de Palo Alto Networks. Si vous disposez de six pare-feu
ou plus sur votre réseau, Panama vous permet de bénéficier des avantages suivants :
 Réduction de la complexité et des frais d’administration en matière de gestion de la configuration, des
politiques, des logiciels et de mises à jour de contenu dynamiques. À l’aide des groupes et des modèles dans
Panorama, vous pouvez gérer de manière efficace la configuration spécifique au périphérique localement sur
un périphérique et appliquer des politiques partagées sur tous les périphériques ou groupes de périphériques.
 Agrégation des données de tous les pare-feu gérés et gain de visibilité sur tout le trafic de votre réseau.
Le Centre de commande de l’application (ACC) dans Panorama fournit une seule vitre pour la création de
rapports unifiée sur tous les pare-feu, qui vous permet d’examiner, d’analyser et de signaler un trafic réseau,
des incidents de sécurité et des modifications administratives.
Les procédures contenues dans ce document décrivent la gestion du pare-feu à l’aide de l’interface Web locale.
Si vous souhaitez utiliser Panorama pour la gestion centralisée, une fois que vous avez suivi les instructions de
la section Exécution de la configuration initiale de ce guide et vérifié que le pare-feu peut établir une connexion
à Panorama. À ce stade, vous pouvez utiliser Panorama pour configurer votre pare-feu de manière centralisée.
Mise en route 3
Exécution de la configuration initiale
Par défaut, le pare-feu a une adresse IP de 192.168.1.1 et un nom d’utilisateur/mot de passe admin/admin. Pour
des raisons de sécurité, vous devez modifier ces paramètres avant de procéder à d’autres tâches de configuration
du pare-feu. Vous devez effectuer ces tâches de configuration initiales à partir de l’interface MGT, même si vous
n’envisagez pas d’utiliser cette interface pour la gestion de votre pare-feu, ou à l’aide d’une connexion de port
série directe à un port de console du périphérique.
Configuration de l’accès réseau au pare-feu
Étape 1 Contactez votre administrateur réseau • Adresse IP du port MGT

pour obtenir les informations requises.
• Masque réseau
• Passerelle par défaut
• Adresse du serveur DNS
Étape 2 Connectez votre ordinateur au pare-feu. Vous pouvez vous connecter au pare-feu de l’une des manières
suivantes :
• Connectez un câble série de votre ordinateur au port de console
et connectez-vous au pare-feu à l’aide d’un logiciel d’émulation de
terminal (9600-8-N-1). Attendez quelques minutes que la
séquence de démarrage se termine ; lorsque le périphérique est
prêt, l’invite prend le nom du pare-feu, par exemple Connexion
à PA-500
• Connectez un câble Ethernet RJ-45 de votre ordinateur au
port MGT du pare-feu. Dans un navigateur, accédez à l’adresse
https://192.168.1.1. Veuillez noter qu’il se peut que
vous deviez modifier l’adresse IP de votre ordinateur par une
adresse du réseau192.168.1.0, tel que 192.168.1.2, afin d’accéder à
cette URL.
Étape 3 Lorsque vous y êtes invité, Vous devez vous connecter à l’aide du nom d’utilisateur et du mot de
connectez-vous au pare-feu. passe par défaut (admin/admin). Le pare-feu commence alors à
s’initialiser.
Étape 4 Configurez l’interface MGT. 1. Sélectionnez Périphérique > Configuration > Gestion et
modifiez les paramètres de l’interface de gestion.
2. Saisissez l’adresse IP, le masque réseau et la passerelle par
défaut.
3. Définissez la vitesse sur Négocier automatiquement.
4. Sélectionnez les services de gestion à autoriser sur l’interface.
Assurez-vous que Telnet et HTTP ne sont pas
sélectionnés, car ces services utilisent du texte brut et ne
sont pas aussi sécurisés que les autres services.
5. Cliquez sur OK.
4 Mise en route
Configuration de l’accès réseau au pare-feu (suite)
Étape 5 (Facultatif) Configurez les paramètres 1. Sélectionnez Périphérique > Configuration > Gestion et
généraux du pare-feu. modifiez les paramètres généraux.
2. Saisissez un nom d’hôte pour le pare-feu, puis le nom de
domaine de votre réseau. Le nom de domaine est un simple
intitulé; il ne sera pas utilisé pour y accéder.
3. Saisissez la latitude et la longitude pour permettre le placement
précis du pare-feu sur la carte du monde.
4. Cliquez sur OK.
Étape 6 Configurez les paramètres DNS, d’heure 1. Sélectionnez Périphérique > Configuration > Services et
et de date. modifiez les services.
Vous devez configurer 2. Dans l’onglet Services, saisissez l’adresse IP du serveur DNS
manuellement au moins un principal et, éventuellement, d’un serveur DNS secondaire.
serveur DNS sur le pare-feu, 3. Pour utiliser le cluster virtuel des serveurs de temps sur Internet,
sinon il ne pourra pas résoudre les saisissez le nom d’hôte pool.ntp.org comme serveur NTP
noms d’hôte; celui-ci n’utilisera principal ou ajoutez l’adresse IP de votre serveur NTP
aucun paramètre de serveur DNS principal et, éventuellement, d’un serveur NTP secondaire.
d’une autre source, telle qu’un 4. Pour authentifier les mises à jour temporelles d’un serveur NTP,
fournisseur de services Internet. dans l’onglet NTP, saisissez l’adresse du serveur NTP, puis
sélectionnez le type d’authentification que le pare-feu utilisera.
5. Cliquez sur OK pour sauvegarder vos paramètres.
Étape 7 Définissez un mot de passe sécurisé pour 1. Sélectionnez Périphérique > Administrateurs.
le compte administrateur. 2. Sélectionnez le rôle admin.
3. Saisissez le mot de passe par défaut actuel et le nouveau mot
de passe.
4. Cliquez sur OK pour sauvegarder vos paramètres.
Étape 8 Validez vos modifications. Cliquez sur Valider L’enregistrement de vos modifications par le
périphérique peut prendre jusqu’à 90 secondes.
Une fois que les modifications de
configuration sont enregistrées,
vous perdez la connexion à
l’interface Web car l’adresse IP a
changé.
Étape 9 Connectez le pare-feu à votre réseau. 1. Déconnectez le pare-feu de votre ordinateur.

2. Connectez le port MGT à un port de commutateur sur votre
réseau de gestion à l’aide d’un câble Ethernet RJ-45.
Assurez-vous que le port de commutateur câblé au pare-feu est
configuré pour la négociation automatique.
Étape 10 Ouvrez une session de gestion SSH sur le À l’aide d’un logiciel d’émulation de terminal, tel que PuTTY, lancez
pare-feu. une session SSH sur le pare-feu à l’aide de la nouvelle adresse IP
affectée à celui-ci.
Mise en route 5
Configuration de l’accès réseau au pare-feu (suite)
Étape 11 Vérifiez l’accès réseau aux services Si vous avez câblé votre port MGT pour l’accès réseau externe,
externes requis pour la gestion du vérifiez que vous avez accès depuis et vers le pare-feu à l’aide de
pare-feu, tels que le serveur de mises à l’utilitaire ping de la CLI (interface de ligne de commande).
jour Palo Alto Networks, de l’une des Vérifiez votre connexion à la passerelle par défaut, au serveur DNS
manières suivantes : et au serveur de mises à jour de Palo Alto Networks, tel qu’indiqué
• Si vous ne souhaitez pas autoriser dans l’exemple suivant :
l’accès réseau externe à admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
l’interface MGT, vous devez bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
configurer un port de données pour 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
récupérer les mises à jour de service 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
requises. Passez à la section Une fois que vous avez vérifié votre connexion, appuyez sur
Configuration de l’accès réseau pour Ctrl+C pour arrêter les requêtes ping.
les services externes.
• Si vous envisagez d’autoriser l’accès
réseau externe à l’interface MGT,
vérifiez votre connexion et passez aux
sections Enregistrement du pare-feu et
Activation des licences et des
abonnements.
6 Mise en route
Configuration de l’accès réseau pour les services externes
Par défaut, le pare-feu utilise l’interface MGT pour accéder aux services distants, tels que les serveurs DNS,
les mises à jour de contenu et la récupération des licences. Si vous ne souhaitez pas autoriser l’accès réseau
externe à votre réseau de gestion, vous devez configurer un port de données pour fournir l’accès à ces services
externes requis.
Cette tâche nécessite la connaissance des interfaces, zones et politiques de pare-feu. Pour plus
d’informations sur ces éléments, reportez-vous à la section Création d’un périmètre de sécurité.
Configuration d’un port de données pour accéder aux services externes
Étape 1 Décidez quel port vous souhaitez utiliser L’interface utilisée doit avoir une adresse IP statique.
pour accéder aux services externes et
connectez-le à votre port de
commutateur ou de routeur.
Étape 2 Connectez-vous à l’interface Web. Dans votre navigateur Web, connectez-vous de manière sécurisée
(https) à l’aide de la nouvelle adresse IP et du nouveau mot de passe
affectés lors de la configuration initiale (https://adresse IP).
Un avertissement de certificat s’affiche ; ne vous en préoccupez pas.
Continuez vers la page Web.
Étape 3 (Facultatif) Le pare-feu est préconfiguré Vous devez supprimer la configuration dans l’ordre suivant :
avec une interface de câble virtuel par 1. Pour supprimer la politique de sécurité par défaut, sélectionnez
défaut entre les ports Ethernet 1/1 et Politiques > Sécurité, puis la règle et cliquez sur Supprimer.
Ethernet 1/2 (ainsi que des zones et une 2. Ensuite, supprimez le câble virtuel par défaut en sélectionnant
politique de sécurité par défaut Réseau > Câbles virtuels, puis le câble virtuel et en cliquant sur
correspondantes). Si vous n’envisagez pas Supprimer.
d’utiliser cette configuration de câble
virtuel, vous devez supprimer la 3. Pour supprimer les zones approuvées et non approuvées par
configuration manuellement pour ne pas défaut, sélectionnez Réseau > Zones, puis chaque zone et
qu’elle interfère avec d’autres paramètres cliquez sur Supprimer.
d’interface définis. 4. Enfin, supprimez les configurations d’interface en sélectionnant
Réseau > Interfaces, puis chaque interface (ethernet1/1 et
ethernet1/2) et cliquez sur Supprimer.
5. Validez les modifications.
Mise en route 7
Configuration d’un port de données pour accéder aux services externes (suite)
Étape 4 Configurez l’interface. 1. Sélectionnez Réseau > Interfaces et sélectionnez l’interface qui
correspond au port que vous avez câblé à l’étape 1.
2. Sélectionnez le Type d’interface. Bien que votre choix dépende
ici de votre topologie réseau, cet exemple décrit les différentes
étapes pour la Couche3.
3. Dans l’onglet Config, développez la liste déroulante Zone de
sécurité et sélectionnez Nouvelle zone.
4. Dans la boîte de dialogue, définissez un nom pour la nouvelle
zone, par exemple, L3-trust, puis cliquez sur OK.
5. Sélectionnez l’onglet IPv4, puis la case d’option Statique,
cliquez sur Ajouter dans la section IP, puis saisissez l’adresse IP
et le masque de réseau à affecter à l’interface, par exemple,
192.168.1.254/24.
6. Sélectionnez Avancé > Autres informations, développez la liste
Profil de gestion, puis sélectionnez Nouveau profil de gestion.
7. Saisissez un nom pour le profil, tel que allow_ping, puis
sélectionnez les services que vous souhaitez autoriser sur
l’interface. Ces services fournissent un accès de gestion au
périphérique; par conséquent, sélectionnez uniquement les
services qui correspondent aux activités de gestion que vous
souhaitez autoriser sur cette interface. Par exemple, si vous
envisagez d’utiliser l’interface MGT pour les tâches de
configuration du périphérique via l’interface Web ou la CLI,
vous ne devez pas activer HTTP, HTTPS, SSH ou Telnet pour
empêcher l’accès non autorisé via cette interface. Afin
d’autoriser l’accès aux services externes, activez uniquement
Ping, puis cliquez sur OK.
8. Pour enregistrer la configuration de l’interface, cliquez sur OK.
8 Mise en route
Étape 5 Comme le pare-feu utilise l’interface MGT 1. Sélectionnez Périphérique > Configuration > Services >
par défaut pour accéder aux services Configuration de l’itinéraire de service.
externes requis, vous devez modifier
l’interface que le pare-feu utilise pour
envoyer ces demandes en modifiant les
itinéraires de service. Afin d’activer vos licences et d’obtenir le contenu et les
mises à jour logicielles les plus récents, vous devez
modifier l’itinéraire de service pour les services DNS,
Mises à jour Palo Alto, Mises à jour d’URL et WildFire.
2. Sélectionnez la case d’option Personnaliser, puis l’une des
options suivantes :
• Pour un service prédéfini, sélectionnez IPv4 ou IPv6, puis
cliquez sur le lien du service pour lequel vous souhaitez
modifier l’Interface source et sélectionnez l’interface que
vous venez de configurer.
Si plusieurs adresses IP sont configurées pour l’interface
sélectionnée, la liste déroulante Adresse source vous permet
de sélectionner une adresse IP.
• Pour créer un itinéraire de service pour une destination
personnalisée, sélectionnez Destination et cliquez sur
Ajouter. Donnez un nom à la destination et sélectionnez une
Interface source. Si plusieurs adresses IP sont configurées
pour l’interface sélectionnée, la liste déroulante Adresse
source vous permet de sélectionner une adresse IP.
3. Cliquez sur OK pour enregistrer les paramètres.
4. Répétez les étapes 2 à 3 pour chaque itinéraire de service que
vous souhaitez modifier.
5. Validez vos modifications.
Mise en route 9
Étape 6 Configurez une interface externe et une 1. Sélectionnez Réseau > Interfaces, puis sélectionnez votre
zone associée, puis créez des règles de interface externe. Sélectionnez Couche 3 comme type
politique NAT et de sécurité pour d’interface, ajoutez l’adresse IP (dans l’onglet IPv4 ou IPv6),
permettre au pare-feu d’envoyer des puis créez la zone de sécurité associée (dans l’onglet
demandes de service de la zone interne à Configuration), telle que l3-untrust. Vous n’avez pas besoin de
la zone externe. configurer les services de gestion sur cette interface.
2. Pour configurer une règle de sécurité autorisant le trafic de votre
réseau interne au serveur de mises à jour Palo Alto Networks et
aux serveurs DNS, sélectionnez Politiques > Sécurité, puis
cliquez sur Ajouter. Pour la configuration initiale, vous pouvez
créer une simple règle autorisant tout le trafic de l3-trust à
l3-untrust, comme suit :
3. Si vous utilisez une adresse IP privée sur l’interface interne, vous

devez créer une règle NAT source pour traduire l’adresse en une
adresse pouvant être acheminée publiquement. Sélectionnez
Politiques > NAT, puis cliquez sur Ajouter. Vous devez au moins
définir un nom pour la règle (onglet Général), indiquer une zone
source et une zone de destination, l3-trust et l3-untrust dans ce cas
(onglet Paquet d’origine), définir les paramètres de traduction
d’adresse source (onglet Paquet traduit), puis cliquer sur OK.
Étape 7 Vérifiez votre connexion du port de Lancez la CLI, puis utilisez l’utilitaire ping pour vérifier votre
données aux services externes, tels que la connexion. Veuillez noter que les requêtes sont envoyées par défaut
passerelle par défaut, le serveur DNS et le à partir de l’interface MGT; par conséquent, dans ce cas, vous devez
serveur de mises à jour Palo Alto indiquer l’interface source pour les requêtes ping, comme suit :
Networks. admin@PA-200> ping source 192.168.1.254 host
updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from
Une fois que vous avez vérifié que vous 192.168.1.254 : 56(84) bytes of data.
disposez de la connexion réseau requise, 64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
passez aux sections Enregistrement du 64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
^C
pare-feu et Activation des licences et des
abonnements. Une fois que vous avez vérifié votre connexion, appuyez sur Ctrl+C
pour arrêter les requêtes ping.
10 Mise en route
Enregistrement du pare-feu
Enregistrement du pare-feu
Étape 1 Connectez-vous à l’interface Web. Dans votre navigateur Web, connectez-vous de manière sécurisée
(https) à l’aide de la nouvelle adresse IP et du nouveau mot de passe
affectés lors de la configuration initiale (https://adresse IP). Un
avertissement de certificat s’affiche ; ne vous en préoccupez pas.
Continuez vers la page Web.
Étape 2 Localisez votre numéro de série et Sur le tableau de bord, localisez votre numéro de série dans la
copiez-le dans le Presse-papiers. section Informations générales de l’écran.
Étape 3 Rendez-vous sur le site de support de Palo Dans un nouvel onglet ou une nouvelle fenêtre de navigateur,
Alto Networks. accédez à l’adresse https://support.paloaltonetworks.com.
Étape 4 Enregistrez le périphérique. La façon • S’il s’agit du premier périphérique Palo Alto Networks que vous
dont vous enregistrez dépend du fait que enregistrez et que vous ne disposez d’aucune information de
vous ayez déjà ou non une connexion au connexion, cliquez sur Enregistrer sur le côté droit de la page.
site de support. Pour l’enregistrer vous devez fournir votre numéro de commande
ou numéro de client, et le numéro de série de votre pare-feu (que
vous pouvez coller à partir de votre Presse-papiers) ou le code
d’autorisation reçu avec votre commande. Vous serez également
invité à définir un nom d’utilisateur et un mot de passe pour
accéder à la communauté de support de Palo Alto Networks.
• Si vous disposez déjà d’un compte de support, connectez-vous,

puis cliquez sur Mes périphériques. Accédez à la section
Enregistrer le périphérique au bas de l’écran, saisissez le numéro de
série de votre pare-feu (que vous pouvez coller à partir de votre
Presse-papiers), votre ville et votre code postal, puis cliquez sur
Enregistrer le périphérique.
Mise en route 11
Activation des licences et des abonnements
Avant de commencer à utiliser votre pare-feu pour sécuriser le trafic sur votre réseau, vous devez activer
la licence de chacun des services que vous avez achetés. Les licences et les abonnements disponibles sont les
suivants :
 Prévention des menaces : offre une protection antivirus, antispyware et contre les vulnérabilités.
 Mise en miroir du port de décryptage : permet de créer une copie du trafic décrypté provenant d’un pare-feu
et de l’envoyer à un outil de collecte du trafic, tel que NetWitness ou Solera, capable de recevoir des captures
de paquets bruts, en vue de leur archivage et de leur analyse.
 Filtrage des URL : afin de créer des règles de politique en fonction des catégories d’URL dynamiques, vous
devez acheter et installer un abonnement pour l’une des bases de données de filtrage des URL prises en
charge, PAN-DB ou BrightCloud. Pour plus d’informations sur le filtrage des URL, reportez-vous à la
section Contrôle de l’accès au contenu Web.
 Systèmes virtuels : cette licence est nécessaire pour la prise en charge de plusieurs systèmes virtuels sur les
pare-feu PA-2000 et PA-3000 Series. En outre, vous devez acheter une licence Systèmes virtuels si vous
souhaitez augmenter le nombre de systèmes virtuels au-delà du nombre de base fourni par défaut sur les
pare-feu PA-4000, PA-5000 et PA-7050 Series (le nombre de base varie en fonction de la plate-forme). Les
pare-feu des PA-500, PA-200 et VM-Series ne prennent en charge les systèmes virtuels.
 WildFire : bien que le support WildFire de base soit inclus dans la licence Prévention des menaces, le service
d’abonnement WildFire offre des services avancés pour les entreprises qui ont besoin d’une protection
immédiate contre les menaces ; celui-ci permet l’accès aux mises à jour de signatures WildFire sub-horaires,
le transfert de types de fichiers avancés (APK, PDF, Microsoft Office et Applet Java) et le chargement de
fichiers à l’aide de l’API WildFire. Un abonnement WildFire est également requis si vos pare-feu transfèrent
des fichiers vers un appareil WF-500 WildFire privé.
 GlobalProtect : offre des solutions de mobilité et/ou des fonctionnalités de réseau privé virtuel à grande
échelle. Par défaut, vous pouvez déployer un portail et une passerelle GlobalProtect (sans aucune
vérification HIP) sans aucune licence. Cependant, si vous souhaitez déployer plusieurs passerelles, vous
devez acheter une licence de portail (une licence permanente à usage unique). Si vous souhaitez utiliser des
contrôles d’hôte, vous avez également besoin de licences de passerelle (abonnement).
Activation des licences
Étape 1 Localisez les codes d’activation pour les Lorsque vous avez acheté vos abonnements, vous avez dû recevoir
licences que vous avez achetées. un e-mail du service client de Palo Alto Networks indiquant le code
d’activation associé à chaque abonnement. Si vous ne parvenez pas à
trouver cet e-mail, contactez le support client pour obtenir vos codes
d’activation avant de continuer.
Étape 2 Lancez l’interface Web et accédez à la Sélectionnez Périphérique > Licences.

page Licences.
12 Mise en route
Activation des licences (suite)
Étape 3 Activez chaque licence achetée. Une fois que vous avez acheté vos licences/abonnements, activez-les
de l’une des manières suivantes :
• Récupérer les clés de licence auprès du serveur de licences :
utilisez cette option si vous avez activé votre licence sur le portail
de support.
• Activer la fonction à l’aide du code d’autorisation : utilisez cette
option pour activer des abonnements souscrits à l’aide d’un code
d’autorisation pour les licences qui n’ont pas été précédemment
activées sur le portail de support. Lorsque vous y êtes invité,
saisissez le Code d’autorisation, puis cliquez OK.
• Charger manuellement la clé de licence : utilisez cette option si
votre périphérique ne dispose d’aucune connectivité au site de
support de Palo Alto Networks. Dans ce cas, vous devez
télécharger un fichier de clé de licence à partir du site de support
sur un ordinateur connecté à Internet, puis le charger sur le
périphérique.
Étape 4 Vérifiez que la licence a été activée avec Sur la page Périphérique > Licences, vérifiez que la licence a été
succès. activée avec succès. Par exemple, une fois que vous avez activé la
licence WildFire, vous pouvez voir la validité de la licence :
Mise en route 13
Gestions des mises à jour de contenu
Afin de garder une longueur d’avance sur le paysage des menaces et des applications en constante évolution,
Palo Alto Networks gère une infrastructure CDN (Content Delivery Network) pour fournir des mises à jour de
contenu aux périphériques Palo Alto Networks. Les périphériques accèdent aux ressources Web dans le CDN
pour exécuter différentes fonctions App-ID et Content-ID. Par défaut, ils utilisent le port de gestion pour
accéder à l’infrastructure CDN pour les mises à jour d’applications, les mises à jour des signatures des menaces
et antivirus, les recherches et mises à jour des bases de données BrightCloud et PAN-DB et l’accès au Cloud
WildFire de Palo Alto Networks. Afin d’être toujours protégé contre les dernières menaces (y compris celles qui
n’ont pas encore été découvertes), assurez-vous que vos périphériques sont à jour avec les dernières mises à jour
publiées par Palo Alto Networks.
Selon les abonnements dont vous disposez, les mises à jour de contenu suivantes sont disponibles :
Bien que vous puissiez télécharger et installer manuellement les mises à jour du contenu à
n’importe quel moment, il est recommandé de Planifiez chaque mise à jour. de manière à ce
qu’elles soient automatiquement téléchargées et installées.
 Antivirus : inclut les nouvelles signatures antivirus et celles mises à jour, y compris les signatures découvertes
par le service de cloud WildFire. Vous devez disposer d’un abonnement Prévention des menaces pour
obtenir ces mises à jour. De nouvelles signatures antivirus sont publiées chaque jour.
 Applications : inclut les nouvelles signatures d’applications et celles mises à jour. Cette mise à jour ne
nécessite aucun abonnement supplémentaire, mais requiert néanmoins un contrat de maintenance/support
valide. De nouvelles mises à jour d’applications sont publiées chaque jour.
 Applications et menaces : inclut les nouvelles signatures d’applications et de menaces, ainsi que celles
mises à jour. Cette mise à jour est disponible si vous disposez d’un abonnement Prévention des menaces
(et vous l’obtenez à la place de la mise à jour Applications). De nouvelles mises à jour d’applications et de
menaces sont publiées chaque jour.
 Fichier de données GlobalProtect : contient les informations spécifiques au fournisseur pour la définition
et l’évaluation des données du profil d’informations sur l’hôte (HIP) renvoyées par les agents GlobalProtect.
Vous devez disposer d’une licence de portail et de passerelle GlobalProtect pour pouvoir recevoir ces mises
à jour. De plus, vous devez créer un calendrier de téléchargement et d’installation des mises à jour pour que
GlobalProtect fonctionne.
 Filtrage des URL BrightCloud : fournit des mises à jour uniquement pour la base de données de filtrage
des URL BrightCloud. Vous devez disposer d’un abonnement BrightCloud pour obtenir ces mises à jour.
De nouvelles mises à jour de base de données des URL BrightCloud sont publiées chaque jour. Si vous
disposez d’une licence PAN-DB, les mises à jour planifiées ne sont pas nécessaires, car les périphériques
restent synchronisés avec les serveurs automatiquement.
 WildFire : fournit des signatures antivirus et de logiciels malveillants en temps quasi réel, créées suite à
l’analyse effectuée par le service de cloud WildFire. Sans abonnement, vous devez attendre de 24 à 48 heures
pour que les signatures soient disponibles dans la mise à jour Applications et menaces
14 Mise en route
Si votre pare-feu ne dispose d’aucun accès Internet à partir du port de gestion, vous pouvez
télécharger les mises à jour du contenu sur le portail de support de Palo Alto Networks, puis les
charger sur votre pare-feu.
Si votre pare-feu est déployé derrière des pare-feu ou des serveurs proxy existants, l’accès à ces
ressources externes peut être limité grâce aux listes de contrôle d’accès qui autorisent le
pare-feu n’accéder qu’à un seul nom d’hôte ou une seule adresse IP. Dans ce cas-là, pour
autoriser l’accès au CDN, définissez l’adresse du serveur de mises à jour sur le nom d’hôte
staticupdates.paloaltonetworks.com ou sur l’adresse IP 199.167.52.15.
Téléchargement des dernières bases de données
Étape 1 Vérifiez que le pare-feu pointe vers Sélectionnez Périphérique > Configuration > Services.
l’infrastructure CDN. • Il est recommandé de définir l’accès du Serveur de mises à jour
sur updates.paloaltonetworks.com. Le pare-feu
pourra alors recevoir les mises à jour de contenu du serveur le plus
proche dans l’infrastructure CDN.
• (Facultatif) Si le pare-feu dispose d’un accès limité à Internet,
définissez l’adresse du serveur de mises à jour sur le nom d’hôte
staticupdates.paloaltonetworks.com ou sur
l’adresse IP 199.167.52.15.
• Pour renforcer la sécurité, sélectionnez Vérifier l’identité du
serveur de mises à jour. Le pare-feu vérifie que le serveur sur
lequel est téléchargé le module logiciel ou de contenu dispose d’un
certificat SSL signé par une autorité de confiance.
Étape 2 Lancez l’interface Web et accédez à la Sélectionnez Périphérique > Mises à jour dynamiques.
page Mises à jour dynamiques.
Mise en route 15
Téléchargement des dernières bases de données (suite)
Étape 3 Recherchez les dernières mises à jour. Cliquez sur Vérifier maintenant (dans le coin inférieur gauche de la
fenêtre) pour rechercher les dernières mises à jour. Le lien se
trouvant dans la colonne Action indique si une mise à jour est
disponible :
• Télécharger : indique qu’un nouveau fichier de mise à jour est
disponible. Cliquez sur ce lien pour commencer à télécharger le
fichier directement sur le pare-feu. Une fois le téléchargement
terminé, le lien se trouvant dans la colonne Action passe de
Télécharger à Installer.
Vous ne pouvez pas télécharger la base de données

antivirus avant que vous n’ayez installé la base de données
Applications et menaces.
• Mettre à niveau : indique qu’une nouvelle version de la base de

données BrightCloud est disponible. Cliquez sur ce lien pour
commencer à télécharger et installer la base de données. La mise
à niveau de la base de données commence en arrière-plan ; une
fois terminée, une coche s’affiche dans la colonne Actuellement
installé. Veuillez noter que si vous utilisez PAN-DB comme base
de données de filtrage des URL, aucun lien de mise à niveau ne
s’affiche car la base de données PAN-DB reste automatiquement
synchronisée avec le serveur.
Pour vérifier l’état d’une action, cliquez sur Tâches

(dans le coin inférieur droit de la fenêtre).
• Rétablir : indique que la version logicielle correspondante a été
téléchargée. Vous pouvez choisir de rétablir la version
précédemment installée d’une mise à jour.
Étape 4 Installez les mises à jour. Cliquez sur le lien Installer dans la colonne Action. Une fois
l’installation terminée, une coche s’affiche dans la colonne
L’installation peut prendre jusqu’à
Actuellement installé.
20 minutes sur un périphérique
PA-200, PA-500 ou PA-2000 et
jusqu’à deux minutes sur un
pare-feu PA-3000, PA-4000,
PA-5000, PA-7050 ou VM-Series.
16 Mise en route
Téléchargement des dernières bases de données (suite)
Étape 5 Planifiez chaque mise à jour. 1. Définissez le calendrier pour chaque type de mise à jour en
cliquant sur le lien Aucun(e).
Répétez cette étape pour chaque mise à
jour que vous souhaitez planifier.
Échelonnez les calendriers de
mises à jour car le pare-feu ne peut 2. Indiquez la fréquence de téléchargement et d’installation des
télécharger qu’une seule mise à mises jour en sélectionnant une valeur dans la liste déroulante
jour à la fois. Si vous planifiez le Récurrence. Les valeurs disponibles peuvent varier selon le type
téléchargement des mises à jour de contenu (les mises à jour WildFire sont disponibles toutes
lors du même intervalle de temps, les 15 minutes, toutes les 30 minutes ou toutes les heures,
seul le premier téléchargement tandis que tous les autres types de contenu peuvent être planifiés
réussira. pour la mise à jour quotidienne ou hebdomadaire).
3. Indiquez l’heure et (ou, les minutes après l’heure dans le cas de
WildFire), le cas échéant, selon la valeur de récurrence
sélectionnée, le jour de la semaine de téléchargement des mises
à jour.
4. Indiquez si vous souhaitez que le système télécharge et installe
la mise à jour (recommandé) ou la télécharge uniquement.
5. Dans de rares cas, il se peut que les mises à jour de contenu
contiennent des erreurs. C’est pour cela que vous devez différer
l’installation de nouvelles mises à jour quelques heures après leur
publication. Vous pouvez indiquer le délai d’attente après une
publication avant de procéder à l’installation d’une mise à jour
de contenu, en saisissant le nombre d’heures dans le champ
Seuil (heures).
6. Cliquez sur OK pour enregistrer les paramètres de la
planification.
7. Cliquez sur Valider pour enregistrer les paramètres de la
configuration active.
Mise en route 17
Installation des mises à jour logicielles
Lors de l’installation d’un nouveau pare-feu, il est recommandé d’installer la dernière mise à jour logicielle (ou
la version de mise à jour recommandée par votre revendeur ou ingénieur Palo Alto Networks) afin de bénéficier
des derniers correctifs et améliorations de sécurité. Veuillez noter qu’avant la mise à jour du logiciel, vous devez
d’abord vous assurer que vous disposez des dernières mises à jour de contenu, détaillées dans la section
précédente (les notes de publication d’une mise à jour logicielle indiquent la version Content Release prise en
charge dans la version).
Mise à jour de PAN-OS
Étape 1 Lancez l’interface Web et accédez à la Sélectionnez Périphérique > Logiciels.

page Logiciels.
Étape 2 Recherchez les mises à jour logicielles. Cliquez sur Vérifier maintenant pour rechercher les dernières mises
à jour. Si la valeur figurant dans la colonne Action est Télécharger,
une mise à jour est disponible.
Étape 3 Téléchargez la mise à jour. Localisez la version souhaitée, puis cliquez sur Télécharger. Une fois
le téléchargement terminé, la valeur se trouvant dans la colonne
Si votre pare-feu ne dispose
Action passe à Installer.
d’aucun accès Internet à partir du
port de gestion, vous pouvez
télécharger la mise à jour logicielle
sur le portail de support de Palo
Alto Networks. Vous pouvez
ensuite les charger manuellement
sur votre pare-feu.
Étape 4 Installez la mise à jour. 1. Cliquez sur Installer.

2. Redémarrez le pare-feu :
• Si vous êtes invité à redémarrer, cliquez sur Oui.
• Si vous ne l’êtes pas, sélectionnez Périphérique >

Configuration > Opérations, puis cliquez sur Redémarrer le
périphérique dans la section Opérations périphérique de
l’écran.
18 Mise en route
Mise en route Création d’un périmètre de sécurité
Création d’un périmètre de sécurité

Le trafic doit traverser le pare-feu afin que ce dernier puisse le gérer et le contrôler. Le trafic entre et sort
physiquement du pare-feu via les interfaces. Le pare-feu détermine la manière dont il va agir sur un paquet selon
qu’il corresponde ou non à une règle de politique de sécurité. À son niveau le plus basique, chaque règle de politique
de sécurité doit identifier l’origine du trafic et sa destination. Sur un pare-feu Palo Alto Networks de dernière
génération, les règles de politique de sécurité sont appliquées entre les zones. Une zone est un regroupement
d’interfaces (physiques ou virtuelles) fournissant une abstraction à une zone approuvée afin de simplifier
l’application d’une politique. Par exemple, dans le diagramme topologique suivant, on distingue trois zones :
Approuvée, Non approuvée et DMZ. Le trafic peut circuler librement dans une zone, mais il ne pourra pas
circuler entre les zones jusqu’à ce que vous définissiez une règle de politique de sécurité qui l’autorise.
Les rubriques suivantes décrivent les composants du périmètre de sécurité et les différentes étapes permettant
de configurer les interfaces du pare-feu, de définir les zones et de paramétrer une politique de sécurité de base
qui autorise le trafic depuis votre zone interne jusqu’à Internet et la zone DMZ. En créant initialement une base
de règles de politique de sécurité de cette manière, vous pourrez analyser le trafic passant par votre réseau et
utiliser ces informations pour définir d’autres politiques granulaires afin d’activer des applications en toute
sécurité tout en prévenant des menaces.
 Déploiements d’interfaces de base
 À propos de la politique de sécurité
 Planification du déploiement
 Configuration des interfaces et des zones
 Paramétrage des politiques de sécurité de base
Si vous utilisez des adresses IP privées sur vos réseaux internes, vous devrez également configurer la traduction
d’adresses réseau (NAT) ; pour les concepts et les tâches de configuration NAT, reportez-vous à la section Mise
en réseau.
Mise en route 19
Création d’un périmètre de sécurité Mise en route
Déploiements d’interfaces de base
Tous les pare-feu Palo Alto Networks de dernière génération disposent d’une architecture flexible de mise en
réseau incluant la prise en charge d’un routage dynamique, du basculement et de la connectivité VPN, elle vous
permet ainsi de déployer le pare-feu dans presque tous les environnements de mise en réseau. Lors de la
configuration des ports Ethernet sur votre pare-feu, vous pouvez choisir entre des déploiements d’interface de
type Câble virtuel, Couche 2 ou Couche 3. Aussi, afin de pouvoir procéder à des intégrations dans une variété
de segments réseaux, vous pouvez configurer différents types d’interfaces sur différents ports. Les sections
suivantes fournissent des informations de base concernant chaque type de déploiement.
 Déploiements de câble virtuel
 Déploiements de couche 2
 Déploiements de couche 3
Pour obtenir des informations plus détaillées sur le déploiement, consultez la section Conception de réseaux à
l’aide des pare-feu Palo Alto Networks.
Déploiements de câble virtuel
Pour le déploiement d’un câble virtuel, le pare-feu est installé de façon transparente sur un segment de réseau
en reliant deux ports entre eux. Avec un câble virtuel, vous pouvez installer le pare-feu dans n’importe quel
environnement réseau sans reconfigurer les périphériques adjacents. Un câble virtuel peut bloquer ou autoriser
le trafic en fonction des valeurs des étiquettes VLAN (Virtual LAN), le cas échéant. Vous pouvez également
créer plusieurs sous-interfaces et classer le trafic en fonction d’une adresse IP (adresse, plage ou sous-réseau)
et/ou d’un VLAN.
Par défaut, le câble virtuel (câble-défaut) lie des ports Ethernet 1 et 2 et autorise tout trafic non étiqueté.
Choisissez ce déploiement pour simplifier l’installation et la configuration et/ou pour éviter toute modification
de la configuration des périphériques réseaux environnants.
Un câble virtuel correspond à la configuration par défaut et doit être uniquement utilisé lorsqu’aucun
basculement ou routage n’est requis. Si vous ne prévoyez pas d’utiliser le câble virtuel par défaut, il est conseillé
de supprimer manuellement la configuration avant de passer à la configuration de l’interface afin qu’elle
n’interfère pas avec les autres paramètres d’interface que vous avez définis. Pour obtenir des instructions sur la
suppression du câble virtuel par défaut, ainsi que de sa politique et de ses zones de sécurité associées,
reportez-vous à l’Étape 3 de la section Configuration d’un port de données pour accéder aux services externes.
Déploiements de couche 2
Dans un déploiement de couche 2, le pare-feu assure un basculement entre deux ou plusieurs interfaces. Chaque
groupe d’interfaces doit être assigné à un objet VLAN afin que le pare-feu puisse les faire basculer. Le pare-feu
va faire basculer une étiquette VLAN lorsque des sous-interfaces de couche 2 sont associées à un objet VLAN
commun. Choisissez cette option lorsqu’un basculement est requis.
Pour plus d’informations sur les déploiements de couche 2, consultez la Note technique sur la mise en réseau de
couche 2 et/ou la Note technique sur la sécurisation du trafic inter-VLAN.
20 Mise en route
Déploiements de couche 3
Dans un déploiement de couche 3, le pare-feu achemine le trafic entre les ports. Une adresse IP doit être
assignée à chaque interface et un routeur virtuel doit être défini pour router le trafic. Choisissez cette option
lorsqu’un routage est requis.
Vous devez assigner une adresse IP à chaque interface physique de couche 3 que vous avez configurée.
Vous pouvez également créer des sous-interfaces logiques pour chaque interface physique de couche 3 qui vous
permet de séparer le trafic sur l’interface en fonction d’une étiquette VLAN (lorsque l’agrégation de liens VLAN
est en cours d’utilisation) ou par adresse IP, par exemple : la multi-location.
Aussi, étant donné que le pare-feu doit acheminer le trafic dans un déploiement de couche 3, vous devez
configurer un routeur virtuel. Vous pouvez configurer ce dernier à participer avec des protocoles de routage
dynamique (BGP, OSPF ou RIP), mais aussi en ajoutant des itinéraires statiques. Vous pouvez également créer
plusieurs routeurs virtuels, chacun gérant un ensemble d’itinéraires distincts qui ne sont pas partagés entre
les routeurs virtuels, ce qui vous permet ainsi de configurer différents comportements de routage pour
différentes interfaces.
L’exemple de configuration de ce chapitre explique comment intégrer le pare-feu dans votre réseau de couche
3 à l’aide d’itinéraires statiques. Pour plus d’informations sur les autres types d’intégrations de routage, consultez
les documents suivants :
 Note technique sur la configuration OSPF
 Note technique sur la configuration BGP
Mise en route 21
À propos de la politique de sécurité
La Politique de sécurité protège les actifs du réseau des menaces et des défaillances et permet d’optimiser
l’allocation des ressources du réseau afin d’améliorer la productivité et l’efficacité des processus métier. Sur le
pare-feu Palo Alto Networks, les règles de politique de sécurité déterminent si une session doit être bloquée ou
autorisée en fonction des attributs du trafic comme la zone de sécurité source et de destination, l’adresse IP
source et de destination, l’application, l’utilisateur et le service.
Pour le trafic qui ne correspond à aucune règle définie, les règles par défaut s’appliquent. Les règles par défaut,
qui s’affichent au bas de la base de règles de sécurité, sont prédéfinies pour autoriser l’ensemble du trafic
intra-zone (au sein de la zone) et refuser le trafic inter-zone (entre les zones). Bien que ces règles fassent partie
de la configuration prédéfinie et soient en lecture seule par défaut, vous pouvez les forcer afin de modifier un
nombre limité de paramètres, notamment les étiquettes, l’action (autoriser ou refuser), les paramètres des
journaux et les profils de sécurité.
Les règles de politique de sécurité sont évaluées de gauche à droite et de haut en bas. Une correspondance est
établie entre un paquet et la première règle répondant aux critères définis. après avoir déclenché une
correspondance, les règles suivantes ne sont pas évaluées. Par conséquent, les règles les plus spécifiques doivent
précéder les plus génériques afin d’appliquer les meilleurs critères de correspondance. Le trafic correspondant
à une règle génère une entrée de journal à la fin de la session dans le journal de trafic, à condition que la
journalisation soit activée pour cette règle. Les options de journalisation sont configurables pour chaque règle
et la journalisation peut, par exemple, être configurée en début de session au lieu ou en plus d’être configurée
en fin de session.
 À propos des objets de politique
 À propos des profils de sécurité
À propos des objets de politique
Un objet de politique est un objet unique ou une unité collective regroupant des identités discrètes, comme des
adresses IP, des URL, des applications ou des utilisateurs. Les Objets de politique étant une unité collective, vous
pouvez référencer un objet dans une politique de sécurité au lieu de sélectionner manuellement plusieurs objets
en même temps. En général, lors de la création d’un objet de politique, vous regroupez les objets nécessitant des
autorisations similaires dans une politique. Par exemple : si votre organisation utilise un ensemble d’adresses IP
du serveur pour authentifier les utilisateurs, vous pouvez regrouper l’ensemble de ces adresses en tant qu’objet
de politique groupe d’adresses et faire référence au groupe d’adresses dans la politique de sécurité. En regroupant
des objets, vous pouvez significativement réduire vos frais administratifs en créant des politiques.
Des exemples d’objets de politiques adresse et application s’affichent dans les politiques de sécurité figurant
dans la section Créer des règles de sécurité. Pour plus d’informations sur les autres objets de politique,
reportez-vous à la section Activation des fonctions de prévention des menaces de base.
22 Mise en route
À propos des profils de sécurité
Alors que les politiques de sécurité vous permettent d’autoriser ou de refuser le trafic sur votre réseau, les profils
de sécurité servent à définir une règle autoriser mais analyser qui analyse les applications autorisées afin d’identifier
des menaces. Lorsque le trafic correspond à la règle d’autorisation définie dans la politique de sécurité, les Profils
de sécurité qui sont associés à la règle sont appliqués à d’autres règles d’inspection du contenu, comme des
analyses d’antivirus et un filtrage des données.
Les profils de sécurité ne sont pas utilisés dans les critères de correspondance d’un flux de trafic.
Un profil de sécurité est appliqué pour analyser le trafic après qu’une application ou une catégorie
a été autorisée par la politique de sécurité.
Les différents types de profils de sécurité pouvant être associés à des politiques de sécurité sont : Antivirus,
Antispyware, Protection contre les vulnérabilités, Filtrage des URL, Blocage des fichiers et Filtrage des données.
Le pare-feu fournit des profils de sécurité par défaut que vous pouvez directement utiliser pour commencer à
protéger votre réseau des menaces. Pour plus d’informations sur l’utilisation des profils par défaut dans votre
politique de sécurité, consultez la section Créer des règles de sécurité. Lorsque vous commencez à mieux
comprendre les besoins en sécurité de votre réseau, vous pouvez créer des profils personnalisés. Pour plus
d’informations, reportez-vous à la section Analyse du trafic.
Mise en route 23
Planification du déploiement
Avant de commencer à configurer des interfaces et zones, prenez le temps de planifier les zones dont vous avez
besoin selon les différentes exigences d’utilisation au sein de votre organisation. Il est également conseillé de
regrouper en avance toutes les informations de configuration dont vous aurez besoin. Pour un déploiement de
base, vous devez déterminer les interfaces qui vont appartenir à telle zone. Pour les déploiements de couche 3,
vous devrez également vous procurer les adresses IP requises et les informations de configuration réseau auprès
de votre administrateur réseau, y compris les informations de configuration du protocole de routage ou des
itinéraires statiques requis pour la configuration du routeur virtuel. L’exemple utilisé dans ce chapitre est basé
sur la topologie suivante :
Figure : Exemple de topologie de couche 3
Le tableau suivant indique les informations que nous allons utiliser pour configurer des interfaces de couche 3
et leurs zones correspondantes, comme indiqué dans l’exemple de topologie.
Zone Type de déploiement Interface(s) Paramètres de configuration
Non approuvée C3 Ethernet1/3 Adresse IP : 203.0.113.100/24

Routeur virtuel : par défaut
Itinéraire par défaut : 0.0.0.0/0
Saut suivant : 203.0.113.1
Approuvée C3 Ethernet1/4 Adresse IP : 192.168.1.4/24
DMZ C3 Ethernet1/13 Adresse IP : 10.1.1.1/24
24 Mise en route
Configuration des interfaces et des zones
Après avoir planifié vos zones et les interfaces correspondantes, vous pouvez les configurer sur le périphérique.
La manière dont vous configurez chaque interface dépend de la topologie de votre réseau.
La procédure suivante explique comment configurer un déploiement de couche 3 comme décrit dans la Figure :
Exemple de topologie de couche 3.
Le pare-feu est préconfiguré avec une interface de câble virtuel par défaut entre les ports
Ethernet 1/1 et Ethernet 1/2 (ainsi qu’une politique de sécurité et un routeur virtuel par défaut
correspondants). Si vous ne prévoyez pas d’utiliser le câble virtuel par défaut, vous devez
supprimer manuellement sa configuration et valider la modification avant de continuer, afin
qu’elle n’interfère pas avec vos autres paramètres. Pour obtenir des instructions sur la
suppression du câble virtuel par défaut, ainsi que de sa politique et de ses zones de sécurité
associées, reportez-vous à l’étape 3 de la section Configuration d’un port de données pour
accéder aux services externes.
Paramétrage des interfaces et des zones
Étape 1 Configurez un itinéraire par défaut vers 1. Sélectionnez Réseau > Routeur virtuel, puis cliquez sur le lien
votre routeur Internet. Par défaut pour ouvrir la boîte de dialogue Routeur virtuel.
2. Cliquez sur l’onglet Itinéraires statiques, puis sur Ajouter.
Donnez un Nom à l’itinéraire et saisissez l’itinéraire dans le
champ Destination (par exemple : 0.0.0.0/0).
3. Cliquez sur le bouton radio Adresse IP dans le champ Saut
suivant, puis saisissez l’adresse IP et le masque réseau de votre
passerelle Internet (par exemple 203.00.113.1).
4. Cliquez deux fois sur OK pour sauvegarder la configuration du
routeur virtuel.
Étape 2 Configurez l’interface externe (l’interface 1. Sélectionnez Réseau > Interfaces, puis choisissez l’interface
qui se connecte à Internet). que vous voulez configurer. Dans cet exemple, nous
configurons Ethernet1/3 en tant qu’interface externe.
2. Sélectionnez le Type d’interface. Bien que votre choix dépende
ici de votre topologie réseau, cet exemple décrit les différentes
étapes pour la Couche3.
3. Dans l’onglet Config, sélectionnez Nouvelle zone dans la liste
déroulante Zone de sécurité. Dans la boîte de dialogue Zone,
donnez un nom à la nouvelle zone, par exemple : Non
approuvée, puis cliquez sur OK.
4. Dans la liste déroulante Routeur virtuel, sélectionnez Par
défaut.
5. Pour assigner une adresse IP à l’interface, cliquez sur l’onglet
IPv4, puis sur Ajouter dans la section IP et saisissez l’adresse IP,
ainsi que le masque réseau à assigner à l’interface, par exemple :
208.80.56.100/24.
6. Pour envoyer des requêtes ping à l’interface, sélectionnez Avancé
> Autres informations, développez la liste déroulante Profil de
gestion et sélectionnez Nouveau profil de gestion. Donnez un
nom au profil, sélectionnez Ping puis cliquez sur OK.
Mise en route 25
Paramétrage des interfaces et des zones (suite)
Étape 3 Configurez l’interface qui se connecte à 1. Sélectionnez Réseau > Interfaces et choisissez l’interface que
votre réseau interne. vous voulez configurer. Dans cet exemple, nous configurons
Ethernet1/4 en tant qu’interface interne.
Dans cet exemple, l’interface se
connecte à un segment de réseau 2. Sélectionnez Couche 3 dans la liste déroulante Type d’interface.
qui utilise des adresses IP privées. 3. Dans l’onglet Config, développez la liste déroulante Zone de
Étant donné que les adresses IP sécurité et sélectionnez Nouvelle zone. Dans la boîte de
privées ne peuvent pas être dialogue Zone, donnez un nom à la nouvelle zone, par exemple :
acheminées en externe, vous Approuvée, puis cliquez sur OK.
devrez configurer la 4. Sélectionnez le même routeur virtuel que celui utilisé à l’Étape 2,
traduction NAT. Par défaut dans cet exemple.
192.168.1.4/24.
6. Pour envoyer des requêtes ping à l’interface, sélectionnez le
profil de gestion que vous avez créé à l’Étape 2-6.
Étape 4 Configurez l’interface qui se connecte à 1. Sélectionnez l’interface que vous voulez configurer.
DMZ. 2. Sélectionnez Couche 3 dans la liste déroulante Type d’interface.
Dans cet exemple, nous configurons Ethernet1/13 en tant
qu’interface DMZ.
3. Dans l’onglet Config, développez la liste déroulante Zone de
sécurité et sélectionnez Nouvelle zone. Dans la boîte de
dialogue Zone, donnez un nom à la nouvelle zone, par exemple :
DMZ, puis cliquez sur OK.
4. Sélectionnez le routeur virtuel que vous avez utilisé à l’Étape 2,
Par défaut dans cet exemple.
10.1.1.1/24.
6. Pour envoyer des requêtes ping à l’interface, sélectionnez le
profil de gestion que vous avez créé à l’Étape 2-6.
Étape 5 Sauvegardez la configuration de Cliquez sur Valider

l’interface.
Étape 6 Câblez le pare-feu. Joignez des câbles directs des interfaces que vous avez configurées au
commutateur ou au routeur correspondant sur chaque segment de
réseau.
Étape 7 Vérifiez que les interfaces sont actives. Dans l’interface Web, sélectionnez Réseau > Interfaces et vérifiez
que l’icône dans la colonne État de la liaison est de couleur verte.
Vous pouvez également surveiller l’état de la liaison dans le widget
Interfaces du Tableau de bord.
26 Mise en route
Paramétrage des politiques de sécurité de base
Les politiques vous permettent d’appliquer des règles et d’agir. Les différents types de règles de politiques que
vous pouvez créer sur le pare-feu sont : sécurité, NAT, qualité de service (QoS), transfert basé sur une politique
(PBF), décryptage, contrôle prioritaire sur l’application, portail captif, déni de service et politiques de protection
de zone. Toutes ces différentes politiques œuvrent ensemble pour autoriser, refuser, définir la priorité,
transférer, crypter, décrypter, faire des exceptions, authentifier un accès et réinitialiser les connexions, si
nécessaire, pour sécuriser votre réseau. Cette section évoque les politiques de sécurité de base et les profils de
sécurité par défaut :
 Créer des règles de sécurité
 Tester vos politiques de sécurité
 Surveiller le trafic sur votre réseau
Créer des règles de sécurité
Les politiques de sécurité référencent les zones de sécurité et vous permettent d’autoriser, de restreindre et de
suivre le trafic sur votre réseau. Étant donné que chaque zone implique un niveau de confiance, la règle implicite
est de refuser toute transmission du trafic entre deux zones différentes, mais le trafic au sein d’une zone est
autorisé. Pour autoriser le trafic entre deux zones différentes, vous devez créer une règle de sécurité autorisant
le trafic à circuler entre elles.
Lors du paramétrage de la structure de base pour sécuriser le périmètre de l’entreprise, il est judicieux de
commencer par une politique de sécurité simple qui autorise le trafic entre différentes zones, sans être trop
restrictive. Comme illustré dans la section suivante, notre objectif est de minimiser les probabilités d’interruption
des applications auxquelles les utilisateurs du réseau doivent accéder, tout en fournissant une visibilité dans les
applications et les éventuelles menaces de votre réseau.
Lors de la définition de politiques, veillez à ne pas créer une politique qui refuse tout trafic
provenant de n’importe quelle zone source vers n’importe quelle zone de destination, car ceci va
interrompre le trafic intra-zone qui est implicitement autorisé. Par défaut, le trafic intra-zone est
autorisé car les zones sources et de destination sont identiques et partagent donc le même
niveau de confiance.
Mise en route 27
Définition de règles de sécurité de base
Étape 1 Autorisez un accès Internet à l’ensemble Pour activer en toute sécurité les applications qui sont requises pour
des utilisateurs du réseau de l’entreprise. les opérations quotidiennes de l’entreprise, nous allons créer une
règle simple permettant d’accéder à Internet. Pour assurer une
Zone : approuvée à non approuvée
protection de base contre les menaces, nous allons associer les profils
Par défaut, le pare-feu inclut une de sécurité par défaut qui sont disponibles sur le pare-feu.
règle de sécurité nommée règle1 1. Sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter.
qui autorise tout trafic issu d’une 2. Dans l’onglet Général, donnez un nom descriptif à la règle.
zone approuvée vers une zone non
approuvée. Vous pouvez 3. Dans l’onglet Source, définissez la Zone source sur Approuvée.
supprimer cette règle ou la 4. Dans l’onglet Destination, définissez la Zone de destination sur
modifier afin qu’elle reflète votre Non approuvée.
convention de dénomination Pour analyser les règles de politique et identifier
de zone. visuellement les zones de chaque règle, créez une
étiquette portant le même nom que la zone. Par exemple,
pour coder par couleur la zone approuvée en vert,
sélectionnez Objets > Étiquettes, cliquez sur Ajouter et
donnez le nom Approuvée à l’étiquette, puis
sélectionnez la couleur verte.
5. Dans l’onglet Catégorie de service/d’URL, sélectionnez

service-http et service-https.
6. Dans l’onglet Actions, effectuez les tâches suivantes :
a. Définissez le Paramètre d’action sur Autoriser.
b. Associez les profils par défaut pour l’antivirus, l’antispyware,
la protection contre les vulnérabilités et le filtrage des URL,
sous Paramètre du profil.
7. Vérifiez que la journalisation est activée en fin session sous
Options. Seul le trafic qui correspond à une règle de sécurité sera
consigné.
28 Mise en route
Définition de règles de sécurité de base (suite)
Étape 2 Autorisez les utilisateurs du réseau interne 1. Cliquez sur Ajouter dans la section Politiques > Sécurité.
à accéder aux serveurs dans la zone DMZ. 2. Dans l’onglet Général, donnez un nom descriptif à la règle.
Zone : approuvée à DMZ 3. Dans l’onglet Source, définissez la Zone source sur Approuvée.
Si vous utilisez des adresses IP 4. Dans l’onglet Destination, définissez la Zone de destination
pour configurer l’accès aux sur DMZ.
serveurs dans DMZ, veillez à 5. Dans l’onglet Catégorie de service/d’URL, assurez-vous que le
toujours faire référence aux service est défini sur Par défaut de l’application.
adresses IP d’origine dans le 6. Dans l’onglet Actions, définissez le Paramètre d’action sur
paquet (à savoir, les adresses Autoriser.
pré-NAT) et la zone post-NAT.
7. Laissez toutes les autres options sur leurs valeurs par défaut.
Étape 3 Limitez l’accès à Internet des serveurs de Pour limiter l’accès entrant à la zone DMZ depuis Internet,
la zone DMZ uniquement à des adresses configurez une règle autorisant l’accès uniquement à des adresses IP
IP de serveurs spécifiques. de serveurs spécifiques et sur les ports par défaut utilisés par
l’application.
Par exemple, vous pouvez uniquement
1. Cliquez sur Ajouter pour ajouter une nouvelle règle et
autoriser des utilisateurs externes à
donnez-lui un nom descriptif.
accéder aux serveurs Webmail.
2. Dans l’onglet Source, définissez la Zone source sur Non
Zone : Non approuvée à DMZ approuvée.
3. Dans l’onglet Destination, définissez la Zone de destination sur
DMZ.
4. Définissez l’Adresse de destination sur l’objet adresse Serveur
Web public que vous avez créé précédemment. L’objet adresse
du serveur Web public référence l’adresse IP publique
(208.80.56.11/24) du serveur Web qui est accessible dans la
zone DMZ.
5. Sélectionnez l’application Webmail dans l’onglet Application.
Par défaut, le Service est défini sur Par défaut de
l’application.
6. Définissez le Paramètre d’action sur Autoriser.
Mise en route 29
Étape 4 Autorisez l’accès depuis la zone DMZ 1. Cliquez sur Ajouter pour ajouter une nouvelle règle et
jusqu’à votre réseau interne (zone donnez-lui un nom descriptif.
approuvée). Pour minimiser les risques, 2. Définissez la Zone source sur DMZ.
vous allez uniquement autoriser le trafic
3. Définissez la Zone de destination sur Approuvée.
entre des serveurs spécifiques et des
adresses de destination. Par exemple, si 4. Créez un objet adresse qui spécifie le(s) serveur(s) dans votre
vous disposez d’un serveur d’applications zone approuvée accessible depuis la zone DMZ.
dans la zone DMZ qui doit communiquer
avec un serveur de base de données
spécifique dans votre zone approuvée,
créez une règle pour autoriser le trafic
entre une source et une destination
spécifiques.
Zone : DMZ à approuvée
5. Dans l’onglet Destination de la règle Politique de sécurité,
définissez l’Adresse de destination sur l’objet adresse que vous
avez créé ci-dessus.
6. Dans l’onglet Actions, effectuez les tâches suivantes :
a. Définissez le Paramètre d’action sur Autoriser.
b. Associez les profils par défaut pour l’antivirus, l’antispyware,
la protection contre les vulnérabilités, sous Paramètre du
profil.
c. Dans la section Autres paramètres, définissez l’option sur
Désactiver l’inspection de la réponse du serveur.
Ce paramètre désactive l’analyse de l’antivirus et de
l’antispyware sur les réponses côté serveur, ce qui réduit donc
la charge sur le pare-feu.
30 Mise en route
Étape 5 Activez les serveurs dans la zone DMZ 1. Ajoutez une nouvelle règle et donnez-lui une étiquette
pour obtenir des mises à jour et des descriptive.
correctifs par Internet. Supposons, par 2. Définissez la Zone source sur DMZ.
exemple, que vous vouliez autoriser le
3. Définissez la Zone de destination sur Non approuvée.
service Microsoft Update.
4. Créez un groupe d’applications pour spécifier les applications
Zone : DMZ à Non approuvée que vous voulez autoriser. Dans cet exemple, nous autorisons
Microsoft Updates (ms-updates) et DNS.
Par défaut, le Service est défini sur Par défaut de

l’application. Ceci permet au pare-feu d’autoriser des
applications uniquement lorsqu’elles utilisent les ports
standard qui leur sont associés.
5. Définissez le Paramètre d’action sur Autoriser.
6. Associez les profils par défaut pour l’antivirus, l’antispyware et
la protection contre les vulnérabilités, sous Profils.
Étape 6 Sauvegardez vos politiques dans la Cliquez sur Valider

configuration en cours d’exécution sur
le périphérique.
Mise en route 31
Tester vos politiques de sécurité
Pour vérifier que vous avez correctement paramétré vos politiques de base, testez si vos politiques de sécurité
sont en cours d’évaluation et déterminez la règle de sécurité qui s’applique à un flux de trafic.
Vérification de la correspondance d’une politique par rapport à un flux
Pour vérifier qu’une règle de politique correspond Par exemple, pour vérifier la règle de politique qui sera
à un flux, utilisez la commande de la CLI suivante : appliquée à un serveur dans la zone DMZ avec l’adresse IP
test security-policy-match source 208.90.56.11 lorsqu’il accédera au serveur Microsoft Update,
<adresse_IP> destination <adresse_IP> essayez d’exécuter la commande suivante :
destination port <numéro_port> protocol
<numéro_protocole> test security-policy-match source 208.80.56.11
destination 176.9.45.70 destination-port 80
La sortie affiche la meilleure règle correspondant à
protocol 6
l’adresse IP source et de destination indiquée dans
la commande de la CLI.
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
Surveiller le trafic sur votre réseau
Maintenant que votre politique de sécurité de base est en place, vous pouvez passer en revue les statistiques et
les données figurant dans le Centre de commande de l’application (ACC), les journaux de trafic et les journaux
de menaces afin d’observer les tendances sur votre réseau et d’identifier les emplacements où vous devez créer
des politiques plus granulaires.
Contrairement aux pare-feu classiques qui utilisent un port ou un protocole pour identifier des applications, les
pare-feu Palo Alto Networks utilisent la signature d’application (technologie App-ID) pour surveiller les
applications. La signature d’application se base sur des propriétés d’application uniques et les caractéristiques
des transactions associées combinées à un port ou à un protocole. Par conséquent, même lorsque le trafic utilise
le port/protocole adéquat, le pare-feu peut refuser l’accès au contenu car la signature de l’application ne
correspond pas. Cette fonctionnalité vous permet d’activer des applications en toute sécurité en autorisant des
parties d’une application tout en bloquant ou en contrôlant des fonctionnalités au sein de cette même
application. Par exemple, si vous autorisez l’application de navigation Web, un utilisateur pourra accéder à son
contenu sur Internet. Ensuite, si un utilisateur se rend sur Facebook et qu’il continue sa visite en jouant au
Scrabble sur Facebook, le pare-feu va identifier les basculements d’applications et identifie Facebook en tant
qu’application et le Scrabble en tant qu’application Facebook. Donc, si vous créez une règle spécifique qui bloque des
applications Facebook, l’utilisateur se verra refuser l’accès au Scrabble tout en étant autorisé à accéder à
Facebook.
32 Mise en route
Surveillance de l’activité réseau
• Utilisation du centre de commande de Dans ACC, passez en revue les applications les plus utilisées et les
l’application. applications présentant des risques élevés dans votre réseau. L’ACC
récapitule sous forme graphique les informations du journal afin de
mettre en évidence les applications traversant le réseau, la personne
qui les utilise (avec User-ID activé) et l’éventuel impact sur la sécurité
du contenu afin de vous aider à identifier ce qui se passe sur le réseau
en temps réel. Vous pouvez ensuite utiliser ces informations pour
créer des politiques de sécurité adéquates qui bloquent des
applications indésirables, tout en autorisant et en activant des
applications de manière sécurisée.
• Déterminez les mises à jour/modifications qui Par exemple :

sont requises pour les règles de sécurité de votre • Évaluez si le contenu doit être autorisé en fonction du planning,
réseau et implémentez ces modifications. des utilisateurs ou des groupes.
• Autorisez ou contrôlez certaines applications ou fonctions au sein
d’une application.
• Décryptez ou inspectez le contenu.
• Autorisez, mais analysez les menaces et les exploitations.
Pour plus d’informations sur l’affinage de vos politiques de sécurité
et pour associer des profils de sécurité personnalisés, consultez la
section Activation des fonctions de prévention des menaces de base.
• Affichage des fichiers journaux. Plus particulièrement, affichez le trafic et les journaux de menaces
(Surveillance > Journaux).
Les journaux de trafic dépendent de la manière dont vos
politiques de sécurité sont définies et paramétrées pour
consigner le trafic. Toutefois, l’onglet ACC enregistre les
applications et les statistiques qu’elle que soit la configuration
des politiques ; il affiche l’ensemble du trafic autorisé sur
votre réseau. Il inclut donc le trafic inter-zone autorisé par la
politique et le même trafic de zone qui est autorisé
implicitement.
• Interprétation des logs de filtrage des URL Passez en revue les journaux de filtrage des URL à analyser par le
biais d’alertes et de catégories/URL refusées. Des journaux d’URL
sont générés lorsqu’un trafic correspond à une règle de sécurité à
laquelle un profil de filtrage des URL avec une action d’alerte, de
maintien, de forçage ou de blocage est associé.
Mise en route 33
Activation des fonctions de prévention des menaces de base Mise en route
Activation des fonctions de prévention des menaces de base

Le pare-feu Palo Alto Networks de dernière génération dispose de fonctions de prévention des menaces qui lui
permettent de protéger votre réseau contre les attaques, malgré les techniques de fuite, de tunnellisation ou de
contournement. Les fonctions de prévention des menaces sur le pare-feu incluent le service WildFire, les profils
de sécurité qui prennent en charge l’antivirus, l’antispyware, la protection contre les vulnérabilités, le filtrage des
URL, le blocage de fichiers et le filtrage des données, ainsi que le déni de service et la protection de zone.
Avant de pouvoir appliquer les fonctions de prévention des menaces, vous devez d’abord
configurer des zones (pour identifier une ou plusieurs interfaces sources ou de destination) et des
politiques. Pour configurer les interfaces, les zones et les politiques nécessaires pour appliquer
les fonctions de prévention des menaces, reportez-vous aux sections Configuration des
interfaces et des zones et Paramétrage des politiques de sécurité de base.
Pour commencer à protéger votre réseau contre les menaces, reportez-vous aux sections suivantes :
 Activation de WildFire
 Analyse du trafic
 Contrôle de l’accès au contenu Web
34 Mise en route
Mise en route Activation des fonctions de prévention des menaces de base
Activation de WildFire
Le service WildFire fait partie intégrante du produit de base. Le service WildFire permet au pare-feu de
transférer des pièces jointes à un environnement de bac à sable, où les applications sont exécutées pour détecter
toute activité malveillante. Lorsque de nouveaux logiciels malveillants sont détectés par le système WildFire, des
signatures de logiciels malveillants sont automatiquement générées et sont disponibles pendant 24-48 heures
dans les téléchargements antivirus quotidiens. Votre abonnement Prévention des menaces vous donne droit aux
mises à jour de signatures antivirus, y compris signatures découvertes par WildFire.
Envisagez d’acheter un service d’abonnement WildFire pour bénéficier des avantages suivants :
 Mises à jour de signatures WildFire sub-horaires (toutes les 15 minutes)
 Transfert de types de fichiers avancés (APK, Flash, PDF, Microsoft Office et Applet Java)
 Transfert de fichiers à l’aide de l’API WildFire
 Transfert de fichiers vers un appareil WF-500 WildFire

Alors que la fonction de configuration d’un profil de blocage des fichiers pour transférer des fichiers PE
(Portable Executable) vers le cloud WildFire pour analyse est gratuite, un abonnement WildFire est requis
pour transférer des fichiers vers un appareil WildFire privé.
Activation de WildFire
Étape 1 Confirmez que votre périphérique est 1. Rendez-vous sur le site de support de Palo Alto Networks,
enregistré et que vous disposez d’un connectez-vous et sélectionnez Mes périphériques.
compte de support valide, ainsi que de 2. Vérifiez que le pare-feu est disponible. S’il n’est pas répertorié,
tout abonnement requis. reportez-vous à la section Enregistrement du pare-feu.
3. (Facultatif) Activation des licences et des abonnements.
Étape 2 Définissez les options de transfert 1. Sélectionnez Périphérique > Configuration > WildFire et
WildFire. modifiez les paramètres généraux.
2. (Facultatif) Spécifiez le serveur WildFire vers lequel transférer
les fichiers. Par défaut, le pare-feu transfère les fichiers vers le
cloud WildFire public hébergé aux États-Unis. Pour transférer
des fichiers vers un autre cloud WildFire, saisissez une nouvelle
valeur comme suit :
• Pour transférer des fichiers vers un cloud WildFire privé,
saisissez l’adresse IP ou le nom de domaine complet de votre
appareil WF-500 WildFire.
• Pour transférer des fichiers vers le cloud WildFire public
Si vous ne disposez d’aucun hébergé au Japon, saisissez
abonnement WildFire, vous wildfire.paloaltonetworks.jp.
pouvez uniquement transférer
3. (Facultatif) Si vous souhaitez modifier la taille de fichier
des exécutables.
maximale que le pare-feu peut transférer pour un type de fichier
spécifique, modifiez la valeur dans le champ correspondant.
4. Cliquez sur OK pour enregistrer vos modifications.
Mise en route 35
Activation de WildFire (suite)
Étape 3 Configurez un profil de blocage des 1. Sélectionnez Objets > Profils de sécurité > Blocage des
fichiers pour transférer des fichiers vers fichiers, puis cliquez sur Ajouter.
WildFire. 2. Donnez un nom au profil et saisissez éventuellement une
description.
3. Cliquez sur Ajouter pour ajouter une règle de transfert et
donnez-lui un nom.
4. Dans la colonne Action, sélectionnez Transférer.
5. Laissez les autres champs définis sur Indifférent pour transférer
tout type de fichier pris en charge à partir de n’importe quelle
application.
6. Cliquez sur OK pour enregistrer le profil.
Étape 4 Associez le profil de blocage des fichiers 1. Sélectionnez Politiques > Sécurité, puis choisissez une
aux politiques de sécurité qui autorisent politique existante ou créez une nouvelle politique, comme
l’accès à Internet. décrit dans la section Créer des règles de sécurité.
2. Cliquez sur l’onglet Actions de la politique de sécurité.
3. Dans la section Paramètres des profils, cliquez sur la liste
déroulante, puis sélectionnez le profil de blocage des fichiers
que vous avez créé pour le transfert WildFire. (Si aucune liste
déroulante ne s’affiche, sélectionnez Profils dans la liste
déroulante Type de profil.)
Étape 5 Enregistrez la configuration. Cliquez sur Valider
Étape 6 Vérifiez que le pare-feu transfère bien les 1. Sélectionnez Surveillance > Journaux > Filtrage des données.
fichiers vers WildFire. 2. La colonne Action affiche les actions suivantes :
• Transférer : indique que le fichier a été téléchargé avec
succès par le profil de blocage des fichiers associé à la
politique de sécurité.
• Réussite du chargement WildFire : indique que le fichier a
été envoyé à WildFire. Cela signifie que le fichier n’est pas
signé par un signataire de fichiers approuvé et que WildFire
ne l’a pas encore analysé.
• Ignorer le chargement WildFire : indique que le fichier a été
identifié comme pouvant être envoyé à WildFire par un profil
de blocage de fichiers/une politique de sécurité, mais n’a pas
eu besoin d’être analysé par WildFire car il l’a déjà été. Dans
ce cas, l’action Transférer s’affiche dans le journal de filtrage
des données parce qu’elle est valide, mais qu’elle n’a pas été
envoyée à WildFire ni analysée, car elle a déjà été envoyée au
cloud WildFire à partir d’une autre session, probablement
d’un autre pare-feu.
3. Affichez les journaux WildFire en sélectionnant Surveillance >
Journaux > Envois WildFire. Si de nouveaux journaux WildFire
apparaissent, le pare-feu transfère correctement les fichiers vers
WildFire et WildFire renvoie les résultats d’analyse des fichiers.
36 Mise en route
Analyse du trafic
Les Profils de sécurité fournissent une protection contre les menaces dans les politiques de sécurité. Par
exemple, vous pouvez appliquer un profil Antivirus à une politique de sécurité et tout le trafic correspondant à
la politique de sécurité sera analysé afin de déterminer la présence de virus.
Les sections suivantes décrivent les différentes étapes permettant de définir une configuration de prévention des
menaces de base :
 Paramétrer les profils Antivirus, Antispyware et Protection contre les vulnérabilités
 Paramétrer le blocage des fichiers
Paramétrer les profils Antivirus, Antispyware et Protection contre les vulnérabilités
Chaque pare-feu de dernière génération Palo Alto Networks est fourni avec les profils Antivirus, Antispyware
et Protection contre les vulnérabilités prédéfinies que vous pouvez associer aux politiques de sécurité. Il y a un
seul profil Antivirus prédéfini, par défaut, qui utilise l’action par défaut pour chaque protocole (blocage du
trafic HTTP, FTP et SMB, et alerte pour le trafic SMTP, IMAP et POP3). Il existe deux profils Antispyware et
Protection de zone prédéfinis :
 par défaut : applique l’action par défaut à l’ensemble des événements de protection contre les
vulnérabilités/logiciels espions du client et du serveur dont le niveau de gravité est critique, élevé et moyen.
Il ne détecte pas les événements dont le niveau de gravité est faible et informations.
 strict : applique la réponse de blocage à l’ensemble des événements de protection contre les
vulnérabilités/logiciels espions du client et du serveur dont le niveau de gravité est critique, élevé et moyen.
Par ailleurs, il utilise l’action par défaut pour les événements dont le niveau de gravité est faible et
informations.
Afin de vous assurer que le trafic entrant sur votre réseau ne comporte aucune menace, associez les profils
prédéfinis à vos politiques d’accès Web de base. Lorsque vous surveillez le trafic sur votre réseau et étendez
votre base de règles de politique, vous pouvez créer des profils plus granulaires pour répondre à vos besoins
spécifiques en matière de sécurité.
Paramétrage des profils Antivirus, Antispyware et Protection contre les vulnérabilités
Étape 1 Vérifiez que vous disposez d’une licence • La licence Prévention des menaces regroupe les fonctions
Prévention des menaces. Antivirus, Antispyware et Protection contre les vulnérabilités.
• Sélectionnez Périphérique > Licences pour vous assurer que la
licence Prévention des menaces est installée et valide (vérifiez la
date d’expiration).
Étape 2 Téléchargez les dernières signatures de 1. Sélectionnez Device > Mises à jour dynamiques, puis cliquez
menaces antivirus. sur Vérifier maintenant au bas de la page pour récupérer les
dernières signatures.
2. Dans la colonne Actions, cliquez sur Télécharger pour installer
les dernières signatures antivirus, d’applications et de menaces.
Mise en route 37
Paramétrage des profils Antivirus, Antispyware et Protection contre les vulnérabilités (suite)
Étape 3 Planifiez les mises à jour de signatures. 1. Sélectionnez Device > Mises à jour dynamiques, puis cliquez
sur le texte à droite de Calendrier pour récupérer
Effectuez l’action Télécharger et
automatiquement les mises à jour de signatures pour les sections
installer quotidiennement pour
Antivirus et Applications et menaces.
les mises à jour antivirus et
hebdomadairement pour les mises 2. Précisez la fréquence et la durée des mises à jour et si la mise à
à jour d’applications et de jour sera téléchargée et installée ou téléchargée uniquement. Si
menaces. vous sélectionnez Télécharger uniquement, vous devrez y
accéder manuellement et cliquer sur le lien Installer dans la
colonne Action pour installer la signature. Lorsque vous cliquez
sur OK, la mise à jour est planifiée. Aucune validation n’est
requise.
3. (Facultatif) Vous pouvez également saisir le nombre d’heures
dans le champ Seuil pour indiquer l’antériorité minimale d’une
signature avant tout téléchargement. Par exemple, si vous
saisissez 10, la signature doit dater d’au moins 10 heures avant
d’être téléchargée, quel que soit le calendrier.
4. Dans une configuration HD, vous pouvez également cliquer sur
l’option Synchronisation avec l’homologue pour synchroniser
la mise à jour de contenu avec l’homologue HD après le
téléchargement/l’installation. Les paramètres du calendrier ne
sont pas transmis au périphérique homologue ; vous devez
configurer le calendrier sur chaque périphérique.
Recommandations pour les configurations HD :
• HD active/passive : si le port MGT est utilisé pour le téléchargement des signatures antivirus, vous devez configurer
un calendrier sur les deux périphériques ; chaque périphérique procédera au téléchargement/à l’installation de manière
indépendante. Si vous utilisez un port de données pour le téléchargement, le périphérique passif n’effectue aucun
téléchargement tant que son état est passif. Dans ce cas, vous devez définir un calendrier sur les deux périphériques,
puis sélectionner l’option Synchroniser avec l’homologue. Quel que soit le périphérique actif, cette option permet le
téléchargement des mises à jour et leur transmission au périphérique passif.
• HD active/active : si le port MGT est utilisé pour le téléchargement des signatures antivirus sur les deux
périphériques, vous devez planifier le téléchargement/l’installation sur les deux périphériques et ne pas sélectionner
l’option Synchroniser avec l’homologue. Si vous utilisez un port de données, planifiez le téléchargement des
signatures sur les deux périphériques, puis sélectionnez Synchroniser avec l’homologue. Si l’état d’un périphérique de
la configuration active/active devient actif secondaire, cette option permet au périphérique actif de
télécharger/d’installer les signatures et de les transmettre au périphérique actif secondaire.
38 Mise en route
Paramétrage des profils Antivirus, Antispyware et Protection contre les vulnérabilités (suite)
Étape 4 Associez les profils de sécurité à une 1. Sélectionnez Politiques > Sécurité, puis choisissez la politique
politique de sécurité. que vous souhaitez modifier et cliquez sur l’onglet Actions.
Associez un clone d’un profil de 2. Dans Paramètres des profils, cliquez sur la liste déroulante en
sécurité prédéfini à vos politiques regard de chaque profil de sécurité que vous souhaitez activer.
de sécurité de base. Ainsi, si vous Dans cet exemple, la valeur par défaut a été choisie pour les
souhaitez personnaliser le profil, profils Antivirus, Protection contre les vulnérabilités et
vous pouvez le faire sans Antispyware.
supprimer le profil strict ou par Si aucune liste déroulante ne s’affiche, sélectionnez
défaut prédéfini en lecture seule Profils dans la liste déroulante Type de profil.)
et l’associer à un profil
personnalisé.
Mise en route 39
Paramétrer le blocage des fichiers
Les Profils de blocage des fichiers vous permettent d’identifier les types de fichiers spécifiques que vous
souhaitez bloquer ou surveiller. Le flux de travail suivant indique comment configurer un profil de blocage des
fichiers de base qui empêche les utilisateurs de télécharger des fichiers exécutables sur Internet.
Configuration du blocage des fichiers
Étape 1 Créez le profil de blocage des fichiers. 1. Sélectionnez Objets > Profils de sécurité > Blocage des
fichiers, puis cliquez sur Ajouter.
2. Donnez un Nom au profil de blocage des fichiers, par exemple :
Bloquer_EXE.
3. Vous pouvez éventuellement saisir une Description, telle que
Empêcher les utilisateurs de télécharger
des fichiers exécutables des sites Web.
Étape 2 Configurez les options de blocage des 1. Cliquez sur Ajouter pour définir les paramètres du profil.
fichiers. 2. Saisissez un Nom, tel que BloquerEXE.
3. Définissez les applications auxquelles appliquer le blocage des
fichiers, ou laissez ce champ défini sur Indifférent.
4. Définissez les types de fichiers à bloquer. Par exemple, pour
bloquer le téléchargement d’exécutables, sélectionnez exe.
5. Spécifiez le sens dans lequel bloquer les fichiers :
téléchargement, chargement ou les deux.
6. Définissez l’action sur l’une des options suivantes :
• Continuer : les fichiers correspondant aux critères
sélectionnés déclencheront une page de réponse
personnalisable invitant les utilisateurs à cliquer sur
Les actions Transférer et
Continuer afin de procéder au téléchargement/chargement.
Continuer et transférer
Vous devez activer des pages de réponse sur les interfaces
permettent uniquement le
associées pour pouvoir utiliser cette option (Étape 4).
transfert de fichiers vers WildFire.
• Bloquer : le téléchargement/chargement des fichiers
correspondant aux critères sélectionnés sera bloqué.
• Alerter : les fichiers correspondant aux critères sélectionnés
seront autorisés mais génèreront une entrée dans le journal de
filtrage des données.
40 Mise en route
Configuration du blocage des fichiers (suite)
Étape 3 Associez le profil de blocage des fichiers 1. Sélectionnez Politiques > Sécurité, puis choisissez une
aux politiques de sécurité qui autorisent politique existante ou créez une nouvelle politique, comme
l’accès au contenu. décrit dans la section Créer des règles de sécurité.
2. Cliquez sur l’onglet Actions de la politique de sécurité.
3. Dans la section Paramètres des profils, cliquez sur la liste
déroulante, puis sélectionnez le profil de blocage des fichiers
que vous avez créé.
Si aucune liste déroulante ne s’affiche, sélectionnez
Profils dans la liste déroulante Type de profil.)
Étape 4 Activez des pages de réponse dans le 1. Sélectionnez Réseau > Profils réseau > Gestion de l’interface,
profil de gestion de chaque interface à puis sélectionnez un profil d’interface à modifier ou cliquez sur
laquelle vous associez un profil de blocage Ajouter pour créer un nouveau profil.
des fichiers avec une action Continuer. 2. Sélectionnez des pages de réponses, ainsi que tout autre
service de gestion requis dans l’interface.
3. Cliquez sur OK pour enregistrer le profil de gestion d’interface.
4. Sélectionnez Réseau > Interfaces, puis choisissez l’interface à
laquelle associer le profil.
5. Dans l’onglet Avancé > Autres informations, sélectionnez le
profil de gestion d’interface que vous venez de créer.
6. Cliquez sur OK pour enregistrer les paramètres d’interface.
Étape 5 Testez la configuration de blocage des Accédez à un ordinateur client dans la zone approuvée du pare-feu
fichiers. et tentez de télécharger un fichier .exe sur un site Web se trouvant
dans la zone non approuvée. Assurez-vous que le fichier est bloqué
comme prévu en fonction de l’action définie dans le profil de blocage
des fichiers :
• Si vous avez sélectionné l’action Alerter, vérifiez que le journal de
filtrage des données comporte une entrée pour la demande.
• Si vous avez sélectionné l’action Bloquer, la page de blocage du
blocage des fichiers devrait s’afficher.
• Si vous avez sélectionné l’action Continuer, la page de maintien
du blocage des fichiers devrait s’afficher. Cliquez sur Continuer
pour télécharger le fichier. Voici un exemple de page de maintien
du blocage des fichiers par défaut.
Mise en route 41
Contrôle de l’accès au contenu Web
Le Filtrage des URL permet la visibilité et le contrôle du trafic Web sur votre réseau. Lorsque le filtrage des URL
est activé, le pare-feu peut diviser le trafic Web en une ou plusieurs catégories (parmi environ 60). Vous pouvez
ensuite créer des politiques qui indiquent l’autorisation, le blocage ou la journalisation (alerte) du trafic en
fonction de la catégorie à laquelle il appartient. Le flux de travail suivant indique comment activer PAN-DB pour
le filtrage des URL, créer des profils de sécurité et les associer aux politiques de sécurité afin de mettre en œuvre
une politique de filtrage des URL de base.
Configuration du filtrage des URL
Étape 1 Confirmez les informations de licence 1. Obtenez et installez une licence de filtrage des URL.
pour le filtrage des URL. Reportez-vous à la section Activation des licences et des
abonnements pour plus de détails.
2. Sélectionnez Périphérique > Licences et vérifiez que la licence
de filtrage des URL est valide.
Étape 2 Téléchargez la base de données initiale et 1. Pour télécharger la base de données initiale, cliquez sur
activez la licence. Télécharger en regard de État du téléchargement dans la
section Filtrage des URL PAN-DB de la page Licences.
2. Choisissez une région (Amérique du Nord, Europe,
Asie-Pacifique, Japon), puis cliquez sur OK pour commencer le
téléchargement.
3. Une fois le téléchargement terminé, cliquez sur Activer.
Étape 3 Créez un profil de filtrage des URL. 1. Sélectionnez Objets > Profils de sécurité > Filtrage des URL.
Comme le profil de filtrage des 2. Sélectionnez le profil par défaut, puis cliquez sur Cloner.
URL bloque le contenu dangereux Le nouveau profil sera nommé défaut-1.
ou susceptible de l’être, clonez ce 3. Sélectionnez le nouveau profil et renommez-le.
profil lors de la création d’un
nouveau profil afin de conserver
les paramètres par défaut.
42 Mise en route
Configuration du filtrage des URL (suite)
Étape 4 Indiquez comment contrôler l’accès au 1. Pour chaque catégorie dont vous souhaitez avoir la visibilité ou
contenu Web. le contrôle, sélectionnez une valeur dans la colonne Action
comme suit :
Si vous n’êtes pas sûr du type de trafic que
vous souhaitez contrôler, envisagez de • Si vous ne souhaitez pas limiter le trafic à une catégorie
définir les catégories (excepté celles particulière (vous ne souhaitez ni le bloquer, ni le journaliser),
bloquées par défaut) sur Alerter. Vous sélectionnez Autoriser.
pouvez ensuite utiliser les outils de • Pour avoir une visibilité sur le trafic vers les sites d’une
visibilité sur le pare-feu, tels que le Centre catégorie, sélectionnez Alerter.
de commande de l’application (ACC) et
App Scope, afin de déterminer les • Pour présenter une page de réponse aux utilisateurs tentant
catégories Web à limiter à des groupes d’accéder à une catégorie particulière afin de les alerter du fait
spécifiques ou à bloquer complètement. qu’il se peut que son contenu ne soit pas approprié,
Vous pouvez ensuite revenir et modifier le sélectionnez Continuer.
profil pour bloquer et autoriser les • Pour empêcher l’accès au trafic qui correspond à la politique
catégories souhaitées. associée, sélectionnez Bloquer (une entrée de journal est
également générée).
Vous pouvez également définir des sites
spécifiques à toujours autoriser ou bloquer,
quelle que soit la catégorie, et activer
l’option de recherche sécurisée pour filtrer
les résultats de recherche lors de la
définition du profil de Filtrage des URL.
2. Cliquez sur OK pour enregistrer le profil de filtrage des URL
Étape 5 Associez le profil de filtrage des URL à 1. Sélectionnez Politiques > Sécurité.
une politique de sécurité. 2. Sélectionnez la politique souhaitée pour la modifier, puis cliquez
sur l’onglet Actions.
3. Si vous définissez un profil de sécurité pour la première fois,
sélectionnez Profils dans la liste déroulante Type de profil.
4. Dans la section Paramètres des profils, sélectionnez le profil
que vous venez de créer dans la liste déroulante Filtrage des
URL. (Si aucune liste déroulante ne s’affiche, sélectionnez
Profils dans la liste déroulante Type de profil.)
6. Validez la configuration.
Mise en route 43
Configuration du filtrage des URL (suite)
Étape 6 Activez des pages de réponse dans le 1. Sélectionnez Réseau > Profils réseau > Gestion de l’interface,
profil de gestion de chaque interface dans puis sélectionnez un profil d’interface à modifier ou cliquez sur
laquelle vous filtrer le trafic Web. Ajouter pour créer un nouveau profil.
2. Sélectionnez des pages de réponses, ainsi que tout autre
service de gestion requis dans l’interface.
3. Cliquez sur OK pour enregistrer le profil de gestion d’interface.
4. Sélectionnez Réseau > Interfaces, puis choisissez l’interface à
laquelle associer le profil.
5. Dans l’onglet Avancé > Autres informations, sélectionnez le
profil de gestion d’interface que vous venez de créer.
6. Cliquez sur OK pour enregistrer les paramètres d’interface.
Étape 8 Testez la configuration de filtrage Accédez à un ordinateur client dans la zone approuvée du pare-feu
des URL. et tentez de télécharger d’accéder à un site se trouvant dans une
catégorie bloquée. Assurez-vous que le filtrage des URL est appliqué
en fonction de l’action définie dans le profil de filtrage des URL :
• Si vous avez sélectionné l’action Alerter, vérifiez que le journal de
filtrage des données comporte une entrée pour la demande.
• Si vous avez sélectionné l’action Continuer, la page de maintien et
de forçage du filtrage des URL devrait s’afficher. Continuez vers
le site.
• Si vous avez sélectionné l’action Bloquer, la page de blocage du
filtrage et des correspondances de catégories d’URL devrait
s’afficher comme suit :
Pour plus d’informations
Pour plus d’informations sur la protection de votre entreprise contre les menaces, reportez-vous à la section
Prévention des menaces. Pour plus d’informations sur l’analyse du trafic crypté (SSH ou SSL), reportez-vous à
la section Décryptage.
Pour plus d’informations sur les menaces et les applications que les produits Palo Alto Networks peuvent
identifier, suivez les liens ci-dessous :
 Applipedia : fournit des informations sur les applications que Palo Alto Networks peut identifier.
 Archivage sécurisé des menaces : répertorie les menaces que les produits Palo Alto Networks peuvent
identifier. Vous pouvez rechercher des menaces par vulnérabilité, logiciel espion ou virus. Cliquez sur l’icône
Détails en regard du numéro d’identification pour plus d’informations sur une menace.
44 Mise en route
Mise en route Recommandations pour la fin du déploiement du pare-feu
Recommandations pour la fin du déploiement du pare-feu

Maintenant que vous avez intégré le pare-feu dans votre réseau et activé les fonctions de sécurité de base, vous
pouvez passer à la configuration de fonctions plus avancées. Voici quelques informations à prendre en compte :
 Découvrez les différentes Interfaces de gestion à votre disposition et comment y accéder et les utiliser.
 Paramétrez la Haute disponibilité : la haute disponibilité (HD) est une configuration dans laquelle deux
pare-feu sont placés dans un groupe et où leur configuration est synchronisée afin d’éviter tout point de
défaillance unique sur votre réseau. Une connexion de pulsation entre les pare-feu homologues garantit un
basculement transparent en cas d’arrêt d’un homologue. Le paramétrage des pare-feu dans un cluster
composé de deux périphériques fournit une redondance et vous permet d’assurer la continuité de l’activité.
 Configuration de la clé principale : chaque pare-feu Palo Alto Networks inclut une clé principale par défaut
qui crypte les clés privées utilisées pour authentifier les administrateurs lorsqu’ils accèdent aux interfaces
de gestion du pare-feu. Il est recommandé de sauvegarder les clés et de configurer une clé principale
unique sur chaque pare-feu.
 Gestion des administrateurs de pare-feu : chaque pare-feu Palo Alto Networks et appareil est préconfiguré
avec un compte administrateur par défaut (admin), qui offre un accès complet en lecture/écriture
(également appelé accès superutilisateur) au périphérique. Il est recommandé de créer un compte
administratif séparé pour chaque personne qui a besoin d’accéder aux fonctions d’administration ou de
génération de rapports du pare-feu. Cela vous permet de mieux protéger le périphérique contre la
configuration (ou modification) non autorisée et d’activer la journalisation des actions de chaque
administrateur.
 Activation de l’identification utilisateur (User-ID) : User-ID est une fonction des pare-feu de dernière
génération Palo Alto Networks qui vous permet de créer des politiques et de générer des rapports en
fonction des utilisateurs et des groupes d’utilisateurs, au lieu des adresses IP.
 Activation du Décryptage : les pare-feu Palo Alto Networks offrent la possibilité de décrypter et
d’inspecter le trafic à des fins de visibilité, de contrôle et de sécurité granulaire. Utilisez le décryptage sur
un pare-feu afin d’empêcher du contenu malveillant d’accéder à votre réseau ou du contenu sensible de
sortir de votre réseau sous forme de trafic crypté ou tunnellisé.
 Activation de la collecte DNS passive pour une meilleure intelligence des menaces : activez cette fonction
d’inclusion pour permettre au pare-feu d’agir en tant que détecteur DNS passif et d’envoyer des
informations sélectionnées à Palo Alto Networks pour analyse, afin d’améliorer les fonctions d’intelligence
et de prévention des menaces.
 Reportez-vous à la section Meilleures pratiques pour sécuriser votre réseau contre les fuites au niveau des
couches 4 et 7.
Mise en route 45
Recommandations pour la fin du déploiement du pare-feu Mise en route
46 Mise en route
Gestion des périphériques
Les administrateurs peuvent configurer, gérer et surveiller les pare-feu Palo Alto Networks à l’aide de
l’interface Web, de l’interface de ligne de commande (CLI) et des interfaces de gestion de l’API. L’accès
administrateur basé sur les rôles aux interfaces de gestion peut être personnalisé afin de déléguer des tâches
administratives spécifiques ou des autorisations à certains administrateurs. Pour plus d’informations sur les
options de gestion des périphériques, y compris les informations permettant de commencer à utiliser les
interfaces de gestion et de personnaliser les rôles administrateurs, reportez-vous aux rubriques suivantes :
 Interfaces de gestion
 Gestion des administrateurs de pare-feu
 Référence : accès administrateur à l’interface Web
 Référence : numéros de port utilisés par les périphériques Palo Alto Networks
 Rétablissement des paramètres d’usine du pare-feu
Gestion des périphériques 47

Interfaces de gestion Gestion des périphériques
Interfaces de gestion
Les pare-feu PAN-OS et l’appareil virtuel Panorama fournissent trois interfaces utilisateur : une interface Web,
une interface de ligne de commande (CLI) et l’API de gestion XML. Pour obtenir les informations permettant
d’accéder à chacune des interfaces de gestion de périphérique et de commencer à l’utiliser, reportez-vous aux
rubriques suivantes :
 Navigation dans l’interface Web pour effectuer les tâches administratives et générer des rapports via
l’interface Web avec une relative facilité. Cette interface graphique vous permet d’accéder au pare-feu à l’aide
de HTTPS et c’est le meilleur moyen d’effectuer des tâches administratives.
 Utilisation de l’interface de ligne de commande (CLI) pour saisir les commandes rapidement afin de terminer
une série de tâches. L’interface de ligne de commandes est une interface simple qui prend en charge deux
modes de commande et chaque mode a sa propre hiérarchie de commande et de déclarations. Lorsque vous
vous familiarisez avec la structure d’imbrication et la syntaxe des commandes, l’interface de ligne de
commande permet des réactions rapides et offre une efficacité administrative.
 Utilisation de l’API XML pour simplifier vos opérations et intégrer des applications existantes et des
référentiels développés en interne. L’API XML est fournie en tant que service Web mis en œuvre à l’aide de
demandes et de réponses HTTP/HTTPS.
48 Gestion des périphériques

Gestion des périphériques Interfaces de gestion
Navigation dans l’interface Web
Les rubriques suivantes fournissent des informations permettant de commencer à utiliser l’interface Web du
pare-feu : Pour plus d’informations sur les onglets et les champs disponibles dans l’interface Web, reportez-vous
au Guide de référence de l’interface Web.
 Lancer l’interface Web
 Naviguer dans l’interface Web
 Valider vos modifications
 Utiliser les pages de configuration
 Champs obligatoires
 Verrouiller des transactions
Lancer l’interface Web
Les navigateurs Web suivants sont pris en charge pour accéder à l’interface Web des pare-feu PAN-OS et de
Panorama :
 Internet Explorer 7+
 Firefox 3.6+
 Safari 5+
 Chrome 11+
Lancez un navigateur Internet et saisissez l’adresse IP du pare-feu. Saisissez vos informations d’identification
en tant qu’utilisateur. Si vous vous connectez pour la première fois au pare-feu, saisissez admin par défaut dans
les deux champs, Nom et Mot de passe.
Pour afficher les informations sur l’utilisation d’une page spécifique et une explication des champs et des options
de la page, cliquez sur l’icône Aide située en haut à droite de la page pour ouvrir le système d’aide en
ligne. En plus de l’affichage de l’aide contextuelle pour une page, cliquez sur l’icône Aide pour afficher un volet
de navigation dans l’aide avec des options pour naviguer et chercher dans l’ensemble du contenu de l’aide.
Naviguer dans l’interface Web
Les conventions suivantes s’appliquent lors de l’utilisation de l’interface Web.
 Pour afficher les éléments du menu d’une catégorie fonctionnelle générale, cliquez sur un onglet, comme
Objets ou Périphérique, en haut de la fenêtre du navigateur.
 Cliquez sur un élément du menu latéral pour afficher un panneau.

 Pour afficher les éléments du sous-menu, cliquez sur l’icône située à gauche d’un élément. Pour masquer
les éléments du sous-menu, cliquez sur l’icône située à gauche d’un élément.
 Dans la plupart des pages de configuration, vous pouvez cliquer sur Ajouter pour créer un nouvel élément.
 Pour supprimer un ou plusieurs éléments, cochez la case correspondante et cliquez sur Supprimer. Le
système vous invite généralement à confirmer la suppression en cliquant sur OK ou à l’annuler en cliquant
sur Annuler.
 Dans certaines pages de configuration, vous pouvez cocher la case correspondant à un élément et cliquer
sur Cloner pour créer un nouvel élément contenant les mêmes informations que l’élément sélectionné.
 Pour modifier un élément, cliquez sur son lien souligné.

 Pour afficher la liste active des tâches, cliquez sur l’icône Tâches située dans le coin inférieur droit de la page.
La fenêtre Gestionnaire de tâches s’ouvre pour afficher la liste des tâches, leur statut, l’heure de leur
démarrage, les messages et actions associés. Utilisez la liste déroulante Afficher pour filtrer la liste des tâches.
 Si une préférence linguistique spécifique n’a pas été définie, la langue de l’interface Web est contrôlée par la
langue actuellement utilisée par l’ordinateur qui gère le périphérique. Par exemple, si les paramètres régionaux
de l’ordinateur que vous utilisez pour gérer le pare-feu sont en langue espagnole, lorsque vous vous
connectez au pare-feu, l’interface Web va s’afficher en espagnol.
 Pour définir une langue qui sera toujours utilisée pour un compte donné quels que soient les paramètres
régionaux de l’ordinateur, cliquez sur l’icône Langue située dans le coin inférieur droit de la page pour ouvrir
la fenêtre Préférences linguistiques s’ouvre. Cliquez sur la liste déroulante pour sélectionner la langue
souhaitée, puis cliquez sur OK pour enregistrer votre modification.
 Dans les pages affichant des informations modifiables (par exemple : la page Configuration de l’onglet
Périphériques), cliquez sur l’icône située dans le coin supérieur droit d’une section pour modifier les
paramètres.
 Une fois les paramètres configurés, vous devez cliquer sur OK ou Enregistrer pour enregistrer ces
modifications. Lorsque vous cliquez sur OK, la configuration candidate active est mise à jour.

Valider vos modifications
Cliquez sur Valider en haut de l’interface Web pour ouvrir la boîte de dialogue de validation.
Les options suivantes sont disponibles dans la boîte de dialogue de validation. Cliquez sur le lien Avancé, le cas
échéant, pour afficher les options suivantes :
 Inclure la configuration des réseaux et périphériques - Incluez les modifications de la configuration de réseaux
et de périphériques dans l’opération de validation.
 Inclure la configuration des objets partagés - (uniquement les pare-feu de systèmes virtuels multiples) Incluez
les modifications de la configuration d’objets partagés dans l’opération de validation.
 Inclure les politiques et objets - (uniquement les pare-feu de systèmes virtuels multiples) Incluez les
modifications de la configuration des politiques et objets dans l’opération de validation.
 Inclure la configuration des systèmes virtuels - Incluez tous les systèmes virtuels ou choisissez Sélectionner
un ou plusieurs systèmes virtuels.
 Prévisualiser les modifications- Cliquez sur ce bouton pour faire apparaître une fenêtre composée de deux
volets qui compare les modifications proposées dans la configuration candidate à la configuration
actuellement active. Vous pouvez choisir le nombre de lignes de contexte à afficher ou visualiser toutes les
lignes. Les modifications sont codifiées par couleur selon que les éléments ont été ajoutés, modifiés ou
supprimés.

Utiliser les pages de configuration
Les tableaux des pages de configuration incluent des options permettant de trier et de sélectionner des colonnes.
Pour trier une colonne, cliquez sur son en-tête, puis cliquez dessus une nouvelle fois pour changer l’ordre de tri.
Cliquez sur la flèche située à droite d’une colonne et cochez les cases correspondant aux colonnes que vous
souhaitez afficher.
Champs obligatoires
Les champs obligatoires ont un arrière-plan de couleur jaune clair. Un message indiquant qu’un champ est
obligatoire apparaît lorsque vous passez la souris dessus ou que vous cliquez dans la zone de saisie du champ.
Verrouiller des transactions
L’interface Web fournit un support à plusieurs administrateurs en autorisant un administrateur à verrouiller un

ensemble actif de transactions. Ainsi, aucun autre administrateur ne peut modifier la configuration ou valider
des opérations jusqu’à suppression de ce verrou. Les types de verrou suivants sont pris en charge :
 Verrou de configuration : empêche d’autres administrateurs de modifier la configuration. Ce type de verrou

peut être défini globalement, ou au niveau du système virtuel. Seul l’administrateur l’ayant défini ou un super
utilisateur du système peut le supprimer.
 Verrou de validation : empêche d’autres administrateurs de valider des modifications jusqu’à la suppression
de l’ensemble des verrous. Ce type de verrou évite des collisions pouvant se produire lorsque deux
administrateurs apportent simultanément des modifications et que le premier administrateur termine et
valide des modifications avant que le second n’ait terminé. Le verrou est supprimé lorsque des modifications
actuelles sont validées par l’administrateur ayant appliqué le verrou. Il peut aussi être supprimé
manuellement.
N’importe quel administrateur peut ouvrir la fenêtre de verrouillage pour afficher les transactions actuellement
verrouillées, ainsi que leur horodatage respectif.

Pour verrouiller une transaction, cliquez sur l’icône déverrouillée dans la barre d’outils du haut pour ouvrir
la boîte de dialogue Verrous. Cliquez sur Utiliser un verrou, sélectionnez son étendue dans la liste déroulante,
puis cliquez sur OK. Ajoutez des verrous supplémentaires, le cas échéant, puis cliquez sur Fermer pour fermer
la boîte de dialogue Verrous.
La transaction est verrouillée et l’icône située dans la barre d’outils du haut affiche un verrou fermé et indique
le nombre d’éléments verrouillés entre parenthèses.
Pour déverrouiller une transaction, cliquez sur l’icône affichant un verrou fermé dans la barre d’outils du
haut pour ouvrir la fenêtre Verrous. Cliquez sur l’icône du verrou que vous voulez supprimer, puis cliquez
sur Oui pour confirmer. Cliquez sur Fermer pour fermer la boîte de dialogue Verrous.
Vous pouvez automatiquement acquérir un verrou de validation en cochant la case Acquérir automatiquement
dans le champ Gestion de la page Configuration du périphérique.
un verrou de validation

Utilisation de l’interface de ligne de commande (CLI)
L’interface de ligne de commande PAN-OS vous permet d’accéder aux périphériques du pare-feu et de
Panorama, d’afficher les informations d’état et de configuration, et de modifier les configurations. L’accès à
l’interface de ligne de commande PAN-OS est pris en charge par SSH, Telnet, ou un accès à la console directe.
Les rubriques suivantes fournissent des informations permettant d’accéder à l’interface de ligne de commande
PAN-OS et de commencer à l’utiliser :
 Accéder à l’interface de ligne de commande PAN-OS
 Modes Opérationnel et Configuration
Pour plus d’informations sur l’interface de ligne de commande (CLI), reportez-vous au Guide de référence de
l’interface de ligne de commande PAN-OS.
Accéder à l’interface de ligne de commande PAN-OS
Avant de commencer, vérifiez que le pare-feu est installé et qu’une connexion SSH, Telnet, ou de console directe
est établie.
Utilisez les paramètres suivants pour une connexion de console directe :
• Débit de données : 9,600
• Bits de données : 8
• Parité : aucune
• Bits d’arrêt : 1
• Contrôle de flux : Aucun
Accès à l’interface de ligne de commande PAN-OS
1. Ouvrez la connexion de console.
2. Saisissez le nom d’utilisateur administrateur. La valeur par défaut est admin.
3. Saisissez le mot de passe de l’administrateur. La valeur par défaut est admin.
4. L’interface de ligne de commande PAN-OS s’ouvre en mode Opérationnel et l’invite d’interface de ligne de
commande s’affiche :
username@hostname>
Modes Opérationnel et Configuration
Lorsque vous vous connectez, l’interface de ligne de commande PAN-OS s’ouvre en mode Opérationnel. Vous
pouvez basculer entre les modes Opérationnel et Configuration à tout moment. Utilisez le mode Opérationnel
pour afficher l’état du système, parcourir la CLI PAN-OS et passer en mode Configuration. Utilisez le mode
Configuration pour afficher et modifier la hiérarchie de configuration.

 Pour passer du mode Opérationnel au mode Configuration, utilisez la commande configure :

username@hostname> configure
Entering configuration mode
[edit]
username@hostname#
 Pour quitter le mode Configuration et revenir en mode Opérationnel, utilisez la commande quit ou exit :
username@hostname# quit
Exiting configuration mode
username@hostname>
 Pour passer du mode Configuration au mode Opérationnel, utilisez la commande run, par exemple :
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#
 Pour diriger une commande en mode Opérationnel vers un VSYS particulier, précisez le VSYS cible à l’aide
de la commande suivante :
username@hostname# set system setting target-vsys <nom_vsys>

Utilisation de l’API XML
L’API XML Palo Alto Networks utilise des requêtes HTTP standard pour envoyer et recevoir des données, en
autorisant l’accès à plusieurs types de données sur le périphérique pour que les données puissent être facilement
intégrées à, et utilisées dans, d’autres systèmes. Utilisez l’API de gestion XML pour afficher la configuration d’un
pare-feu ou de Panorama, extraire les données de rapport au format XML et exécuter des commandes
opérationnelles. Des utilitaires de ligne de commande, comme cURL ou wget, peuvent directement émettre des
appels API ou en utilisant des structures de scripts ou d’applications prenant en charge les services RESTful.
Lorsque vous utilisez l’API avec des outils de ligne de commande, les deux méthodes, HTTP GET et POST,
sont prises en charge.
Vous devez générer une clé API afin de pouvoir utiliser l’API XML. La clé API authentifie l’utilisateur sur le
pare-feu, l’application ou Panorama. Une fois la clé API générée, vous pouvez utiliser la clé pour effectuer la
configuration du périphérique et les tâches opérationnelles, récupérer les rapports et les journaux, et importer
et exporter des fichiers. Reportez-vous à la section Générer une clé API pour les étapes permettant de générer
une clé API.
Le tableau suivant présente la structure de l’URL pour les requêtes API :
Version de PAN-OS Structure de l’URL de l’API XML
Versions antérieures à http(s)://hostname/esp/restapi.esp?request-parameters-values

PAN-OS 4.1.0.
À partir de PAN-OS 4.1.0 http(s)://hostname/api/?request-parameters-values
Définitions des éléments de structure de l’URL :

• nom d’hôte : adresse IP ou nom de domaine du périphérique.
• requête-paramètres-valeurs : série de multiples paires de ‘paramètre=valeur’ séparées par le caractère perluète (&).
Ces valeurs peuvent être soit des mots-clés soit des données-valeurs au format standard ou XML (les données de
réponse sont toujours au format XML).
Il existe des API pour les produits PAN-OS, User-ID et WildFire. Pour plus d’informations sur la façon
d’utiliser l’interface de l’API, reportez-vous au Guide d’utilisation de l’API XML PAN-OS. Pour accéder à la
communauté en ligne pour le développement de scripts, visitez :
https://live.paloaltonetworks.com/community/devcenter.
Générer une clé API
Pour utiliser l’API pour la gestion d’un pare-feu ou d’une application, une clé API est requise pour authentifier
tous les appels API. Les informations d’identification de l’administrateur sont utilisées pour générer des
clés API.
Il est recommandé de créer un compte administratif séparé pour l’administration basée sur XML.

Génération d’une clé API
Étape 1 Créez un compte administrateur 5. Dans l’interface Web, dans l’onglet Périphérique >
Administrateurs, cliquez sur Ajouter.
6. Saisissez un nom de connexion pour l’administrateur.
7. Saisissez et confirmez un mot de passe pour l’administrateur.
8. Cliquez sur OK puis sur Valider.
Étape 2 Demandez une clé API. Remplacez les paramètres nom d’hôte, nom d’utilisateur et mot de
passe dans l’URL suivante par les valeurs appropriées issues des
informations d’identification du compte administrateur :
http(s)://hostname/api/?type=keygen&user=username&pas
sword=password
La clé API s’affiche en lettres majuscules en langage XML. Par
exemple :
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Étape 3 (Facultatif) Révoquez ou changez une 1. Dans l’onglet Périphérique > Administrateurs, ouvrez le
clé API. compte administrateur associé à la clé API.
Pour PAN-OS 4.1.0 et les versions 2. Saisissez et confirmez un nouveau mot de passe pour le compte
ultérieures, la génération d’une clé API en administrateur.
utilisant les mêmes informations 3. Cliquez sur OK puis sur Valider.
d’identification du compte administrateur Toutes les clés API associées au compte administrateur avant le
renvoie des clés API uniques chaque fois, changement du mot de passe sont révoquées dès que vous
et toutes les clés sont valides. validez.
Vous pouvez choisir de révoquer puis de 4. (Facultatif) Utilisez les informations d’identification du compte
changer une clé API associée à un compte administrateur mises à jour pour générer une nouvelle clé API.
administrateur en changeant le mot de passe Reportez-vous à la section Étape 2.
associé au compte administrateur. Toutes les
clés API qui ont été générées en utilisant les
informations d’identification précédentes
ne seront plus valides.
Exemple de flux de travail avec une clé API :
Demandez une clé API en saisissant l’URL avec les valeurs appropriées dans un navigateur Web :
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
La saisie de l’URL affiche un bloc de lettres majuscules en langage XML qui contient la clé API :
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Continuez à utiliser la clé API pour créer des requêtes API. Par exemple, pour générer un rapport :
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=

Gestion des périphériques Gestion des administrateurs de pare-feu
Gestion des administrateurs de pare-feu

Par défaut, chacun des pare-feu et appareil Palo Alto Networks est préconfiguré avec un compte administrateur
par défaut (admin), qui offre un accès complet en lecture/écriture (également appelé accès superutilisateur) au
périphérique.
Il est recommandé de créer un compte administratif séparé pour chaque personne qui a besoin
d’accéder aux fonctions d’administration ou de génération de rapports du pare-feu. Cela vous
permet de mieux protéger le périphérique contre la configuration (ou modification) non autorisée
et d’activer la journalisation des actions de chaque administrateur.
Les rubriques suivantes décrivent les différentes manières de configurer les comptes administrateur et
fournissent des procédures pour configurer l’accès administrateur de base :
 Rôles administrateur
 Authentification des administrateurs
 Création d’un compte administrateur
Rôles administrateur
La manière dont vous configurez les comptes administrateur dépend des exigences de sécurité au sein de votre
entreprise, des services d’authentification existants que vous souhaitez y intégrer et du nombre de rôles
administrateur différents dont vous avez besoin. Un rôle définit le type d’accès au système dont dispose
l’administrateur associé. Vous pouvez affecter deux types de rôles :
 Rôles dynamiques : rôles intégrés qui offrent au superutilisateur, au superutilisateur (lecture seule), à
l’administrateur du périphérique, à l’administrateur du périphérique (lecture seule), à l’administrateur du
système virtuel, à l’administrateur du système virtuel (lecture seule), l’accès au pare-feu. Avec les rôles
dynamiques, vous n’avez plus à vous soucier de mettre à jour les définitions de rôle lorsque de nouvelles
fonctions sont ajoutées, car les rôles sont automatiquement mis à jour.
 Profils de rôle administrateur : vous permettent de créer vos propres définitions de rôle afin de fournir
un contrôle d’accès plus granulaire aux diverses zones fonctionnelles de l’interface Web, à la CLI et/ou à
l’API XML. Par exemple, vous pouvez créer un profil de rôle administrateur pour votre personnel
d’exécution qui fournit un accès au périphérique et aux zones de configuration réseau de l’interface Web,
ainsi qu’un profil séparé pour vos administrateurs de sécurité qui offre un accès aux définitions des politiques
de sécurité, journaux et rapports. N’oubliez pas qu’avec les profils de rôle administrateur, vous devez mettre
à jour les profils pour affecter explicitement des droits d’accès aux nouveaux composants/fonctions ajoutés
au produit. Pour plus d’informations sur les privilèges que vous pouvez configurer pour les rôles
administrateur personnalisés, reportez-vous à la section Référence : accès administrateur à l’interface Web.

Gestion des administrateurs de pare-feu Gestion des périphériques
Authentification des administrateurs
Vous pouvez authentifier les utilisateurs administrateurs de quatre manières différentes :
 Compte administrateur local avec authentification locale : les informations d’identification du compte
administrateur et les méthodes d’authentification se trouvent en local sur le pare-feu. Vous pouvez sécuriser
davantage le compte administrateur local en créant un profil de mot de passe qui indique la période de
validité des mots de passe et en définissant les paramètres de complexité des mots de passe à l’échelle du
périphérique.
 Compte administrateur local avec authentification SSL : cette option vous permet de créer les comptes
administrateur sur le pare-feu, mais l’identification est basée sur les certificats SSH (pour l’accès à la CLI) ou
les certificats clients/les cartes d’accès commun (pour l’interface Web). Pour plus d’informations sur ce type
d’accès administrateur, reportez-vous à l’article Configuration de l’authentification basée sur les certificats pour
l’interface Web.
 Compte administrateur local avec authentification externe : les comptes administrateur sont gérés sur
le pare-feu local, mais les fonctions d’authentification sont prises en charge par un service LDAP, Kerberos
ou RADIUS. Pour configurer ce type de compte, vous devez d’abord créer un profil d’authentification
définissant l’accès au service d’authentification externe, puis créer un compte pour chaque administrateur
qui fait référence au profil.
 Compte administrateur et authentification externes : l’administration et l’authentification de comptes

sont gérées par un serveur RADIUS externe. Pour utiliser cette option, vous devez définir des attributs
spécifiques au fournisseur (VSA) sur votre serveur RADIUS correspondant au rôle administrateur et,
éventuellement, les objets du système virtuel que vous avez définis sur le périphérique Palo Alto Networks.
Pour plus d’informations sur la configuration de ce type d’accès administrateur, reportez-vous à l’article
Attributs spécifiques au fournisseur (VSA) RADIUS.
Création d’un compte administrateur
Créez des comptes administrateur pour définir les privilèges d’accès et d’administration des administrateurs de
pare-feu. Comme il est courant de déléguer des tâches administratives spécifiques à certains administrateurs
ayant des rôles différents, Palo Alto Networks recommande de créer des profils de rôle administrateur qui
permettent aux administrateurs d’accéder uniquement aux zones de l’interface de gestion nécessaires pour
effectuer leurs tâches. Vous pouvez affecter les divers rôles créés à des comptes administrateur individuels et
spécifier les privilèges d’accès sur chaque interface de gestion : l’interface Web, l’interface de ligne de commande
(CLI) et l’API de gestion XML. En créant des rôles administrateur qui ont des privilèges d’accès qui sont très
granulaires, vous pouvez vous assurer que les données de l’entreprise et la vie privée de l’utilisateur sont
protégées.
La procédure suivante décrit comment créer un compte administrateur local ayant une authentification locale et
notamment comment définir un accès administrateur pour chaque interface de gestion.

Création d’un administrateur local
Étape 1 Créez les profils de rôle administrateur Exécutez les opérations ci-dessous pour chaque rôle que vous
que vous envisagez d’affecter à vos souhaitez créer :
administrateurs (cela ne s’applique pas si 1. Sélectionnez Périphérique > Rôles administrateur, puis
vous envisagez d’utiliser des rôles cliquez sur Ajouter.
dynamiques). Les profils de rôle 2. Donnez un nom au rôle et saisissez éventuellement une
administrateur définissent le type d’accès description.
à accorder aux différentes sections de
l’interface Web, de la CLI et de l’API 3. Dans l’onglet Interface Web, Ligne de commande et/ou
XML pour chaque administrateur à qui API XML, spécifiez l’accès à autoriser pour chaque interface de
vous affectez un rôle. gestion :
• Dans l’onglet Interface Web et/ou API XML, définissez les
Vous pouvez utiliser cette étape pour niveaux d’accès pour chaque zone fonctionnelle de
définir des privilèges d’accès l’interface, en cliquant sur l’icône pour sélectionner le
particulièrement granulaires pour les paramètre souhaité : Activer, Lecture seule ou Désactiver.
utilisateurs de l’interface Web. Pour plus
d’informations sur ce qu’une option • Dans l’onglet Ligne de commande, indiquez le type d’accès
spécifique active dans l’onglet Interface à la CLI à autoriser : superreader, deviceadmin ou
utilisateur Web, reportez-vous à la section devicereader (pour les rôles du périphérique) ; vsysadmin
Privilèges d’accès à l’interface Web. ouvsysreader (pour les rôles du système virtuel) ; ou
Aucun(e) pour désactiver complètement l’accès à la CLI.
Par exemple, autorisez un accès administrateur complet à un
périphérique à l’aide de l’API XML, à l’exception de l’importation ou
de l’exportation de fichiers :

Gestion des administrateurs de pare-feu Gestion des périphériques
Création d’un administrateur local (suite)
Étape 2 (Facultatif) Fixez des critères pour les • Créer des profils de mot de passe : cette option définit la
mots de passe définis par l’utilisateur fréquence à laquelle les administrateurs doivent changer leurs mots
local. de passe. Vous pouvez créer plusieurs profils de mot de passe et les
affecter aux comptes administrateur afin d’appliquer la sécurité
souhaitée. Pour créer un profil de mot de passe, sélectionnez
Périphérique > Profils de mot de passe, puis cliquez sur Ajouter.
• Configurer les paramètres de complexité minimale des mots
de passe : cette option définit les règles qui régissent la complexité
des mots de passe, vous permettant de forcer les administrateurs à
créer des mots de passe plus difficiles à deviner, décoder ou
compromettre. Contrairement aux profils de mot de passe qui
peuvent être appliqués aux comptes individuels, ces règles sont
définies au niveau du périphérique et s’appliquent à tous les mots
de passe. Pour configurer les paramètres, sélectionnez
Périphérique > Configuration, puis cliquez sur l’icône Modifier
dans la section Complexité minimale des mots de passe.
Étape 3 Créez un compte pour chaque 1. Sélectionnez Périphérique > Administrateurs, puis cliquez sur
administrateur. Ajouter.
2. Saisissez un Nom d’utilisateur et un Mot de passe pour
l’administrateur, ou créez un Profil d’authentification à utiliser
pour la validation des informations de connexion d’utilisateur
administratif à un serveur d’authentification externe.
Reportez-vous à l’Étape 4 pour obtenir plus d’informations sur
la configuration d’un profil d’authentification.
3. Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez
sélectionner l’un des rôles dynamiques prédéfinis ou un profil
personnalisé basé sur les rôles si vous en avez créé un à
l’Étape 1.
4. (Facultatif) Sélectionnez un profil de mot de passe.
5. Cliquez sur OK pour enregistrer le compte.

Création d’un administrateur local (suite)
Étape 4 (Facultatif) Configurez l’authentification 1. Sélectionnez Périphérique > Profil d’authentification, puis
par un serveur externe : LDAP, RADIUS cliquez sur Ajouter.
ou Kerberos. 2. Saisissez un nom pour identifier le profil d’authentification.
Le profil de serveur indique comment le 3. Définissez les conditions de verrouillage d’utilisateur
pare-feu peut se connecter au service administrateur.
d’authentification que vous prévoyez a. Saisissez le délai de verrouillage. Il s’agit du nombre de
d’utiliser. minutes pendant lequel l’utilisateur est bloqué lorsqu’il atteint
le nombre maximal de tentatives échouées (0 à 60 minutes ; 0
par défaut). 0 signifie que le verrouillage s’applique jusqu’à ce
qu’il soit déverrouillé manuellement.
b. Saisissez le nombre de tentatives échouées. Il s’agit du
nombre d’échecs de tentatives de connexion autorisés avant
que le compte soit verrouillé (1 à 10, 0 par défaut). Par défaut,
le nombre de tentatives échouées est de 0 et l’utilisateur n’est
pas verrouillé malgré les échecs d’authentification répétés.
4. Précisez les utilisateurs et les groupes explicitement autorisés à
s’authentifier. En ajoutant une Liste d’autorisation à un profil
d’authentification, vous pouvez limiter l’accès à des utilisateurs
spécifiques d’un groupe d’utilisateurs/répertoire.
• Sélectionnez la case à cocher Tous pour donner une
autorisation à tous les utilisateurs.
• Cliquez sur Ajouter et saisissez les premiers caractères d’un
nom dans le champ, afin d’afficher tous les utilisateurs et
groupes dont le nom commence par ces caractères. Répétez
l’opération pour ajouter autant d’utilisateurs/groupes
d’utilisateurs que nécessaire.
5. Dans le menu déroulant Authentification, sélectionnez le type
d’authentification que vous prévoyez d’utiliser sur votre réseau.
Si vous envisagez d’utiliser une authentification de base de
données locale, vous devez créer la base de données locale.
Sélectionnez Périphérique > Base de données des
utilisateurs locaux, puis ajoutez les utilisateurs et les groupes à
authentifier.
6. Pour accéder à un serveur d’authentification externe (pas à la
base de données locale), sélectionnez le profil de serveur
approprié dans le menu déroulant Profil de serveur. Pour créer
un nouveau profil de serveur, cliquez sur le lien près de Nouveau
et continuez à configurer l’accès au serveur LDAP, RADIUS ou
Kerberos.
7. Cliquez sur OK.
Étape 5 Validez vos modifications. 1. Cliquez sur Valider

Référence : accès administrateur à l’interface Web Gestion des périphériques
Référence : accès administrateur à l’interface Web

Bien que les privilèges associés aux rôles administrateur soient fixes, vous pouvez configurer les privilèges des
rôles administrateur personnalisés à un niveau granulaire. La configuration des privilèges à un niveau granulaire
permet de s’assurer que les administrateurs de niveau inférieur ne puissent pas accéder à certaines informations.
Vous pouvez créer des rôles personnalisés pour les administrateurs de pare-feu (reportez-vous à la section
Création d’un compte administrateur), les administrateurs de Panorama ou les administrateurs de modèles et de
groupes de périphériques (reportez-vous au Guide de l’administrateur Panorama). Les rubriques suivantes
décrivent les privilèges que vous pouvez configurer pour les rôles administrateur personnalisés :
 Privilèges d’accès à l’interface Web
 Accès à l’interface Web de Panorama
Privilèges d’accès à l’interface Web
Si vous souhaitez empêcher un administrateur basé sur les rôles d’accéder à des onglets spécifiques sur l’interface
Web, vous pouvez désactiver l’onglet et l’administrateur ne le verra même jamais lorsqu’il se connectera via le
compte administrateur basé sur les rôles associé. Par exemple, vous pouvez créer un profil de rôle administrateur
pour votre personnel d’exécution qui fournit un accès aux onglets Périphérique et Réseau uniquement et un
profil séparé pour vos administrateurs de sécurité qui offre un accès aux onglets Objet, Politique et Surveillance.
Le tableau suivant explique les privilèges d’accès au niveau des onglets que vous pouvez affecter au profil de rôle
administrateur. Il comprend aussi des renvois à des tableaux supplémentaires qui présentent une description
détaillée des privilèges granulaires au sein d’un onglet. Pour des informations spécifiques sur le paramétrage du
profil de rôle administrateur pour protéger la vie privée de l’utilisateur final, reportez-vous à la section Définir
les paramètres de la vie privée des utilisateurs dans le profil de rôle administrateur.
Niveau d’accès Description Activer Lecture Désactiver

seule
Tableau de bord Contrôle l’accès à l’onglet Tableau de bord. Si vous Oui Non Oui
désactivez ce privilège, l’administrateur ne verra pas
l’onglet et ne pourra pas accéder aux widgets du
Tableau de bord.
ACC Contrôle l’accès au Centre de commande de Oui Non Oui
l’application (ACC). Si vous désactivez ce privilège,
l’onglet ACC ne sera pas affiché dans l’interface Web.
N’oubliez pas que, si vous souhaitez protéger la vie
privée de vos utilisateurs tout en fournissant toujours
un accès au centre de commande de l’application
(ACC), vous pouvez désactiver l’option Vie privée >
Afficher les adresses IP en intégralité et/ou l’option
Afficher les noms des utilisateurs dans les journaux
et les rapports.

Gestion des périphériques Référence : accès administrateur à l’interface Web

seule
Surveillance Contrôle l’accès à l’onglet Surveillance. Si vous Oui Non Oui

l’onglet Surveillance et ne pourra pas accéder aux
journaux, captures de paquets, informations de session,
rapports ou à Appscope. Pour un contrôle plus
granulaire des informations de surveillance que
l’administrateur peut afficher, laissez l’option
Surveillance activée puis activez ou désactivez des
nœuds spécifiques dans l’onglet comme décrit dans la
section Fournir un accès granulaire à l’onglet
Surveillance.
Politiques Contrôle l’accès à l’onglet Politiques. Si vous Oui Non Oui
l’onglet Politiques et n’aura accès à aucune
information sur les politiques. Pour un contrôle plus
granulaire des informations de politiques que
l’administrateur peut afficher, par exemple pour activer
l’accès à un type de politique spécifique ou pour activer
l’accès en lecture seule aux informations de politiques,
laissez l’option Politiques activée puis activez ou
désactivez des nœuds spécifiques dans l’onglet comme
décrit dans la section Fournir un accès granulaire à
l’onglet Politique.
Objets Contrôle l’accès à l’onglet Objets. Si vous désactivez ce Oui Non Oui
privilège, l’administrateur ne verra pas l’onglet Objets
et ne pourra pas accéder aux objets, profils de sécurité,
profils de transfert de journal, profils de décryptage, ou
calendriers. Pour un contrôle plus granulaire des objets
que l’administrateur peut afficher, laissez l’option
Objets activée puis activez ou désactivez des nœuds
spécifiques dans l’onglet comme décrit dans la section
Fournir un accès granulaire à l’onglet Objets.
Réseau Contrôle l’accès à l’onglet Réseau. Si vous désactivez Oui Non Oui
ce privilège, l’administrateur ne verra pas l’onglet
Réseau et ne pourra pas accéder aux informations de
configuration des éléments tels que : interface, zone,
VLAN, câble virtuel, routeur virtuel, tunnel IPsec,
DHCP, serveur proxy DNS, GlobalProtect, ni aux
informations de configuration QoS ou aux profils
réseau. Pour un contrôle plus granulaire des objets que
l’administrateur peut afficher, laissez l’option Réseau
activée puis activez ou désactivez des nœuds
Fournir un accès granulaire à l’onglet Réseau.


seule
Périphérique Contrôle l’accès à l’onglet Périphérique. Si vous Oui Non Oui

l’onglet Périphérique et ne pourra pas accéder aux
informations de configuration au niveau du
périphérique, telles que User-ID, Haute disponibilité, et
aux informations de configuration des profils ou des
certificats de serveur. Pour un contrôle plus granulaire
des objets que l’administrateur peut afficher, laissez
l’option Objets activée puis activez ou désactivez des
Périphérique.
Vous ne pouvez pas activer l’accès aux nœuds
Rôles administrateur ou Administrateurs
pour un administrateur basé sur les rôles même
si vous activez un accès complet à l’onglet
Périphérique.
Fournir un accès granulaire à l’onglet Surveillance
Dans certains cas, vous pouvez autoriser l’administrateur à afficher certaines zones, mais pas toutes, de l’onglet
Surveillance. Par exemple, vous pouvez limiter les administrateurs des opérations aux journaux de configuration
et journaux système uniquement, parce qu’ils ne contiennent pas de données utilisateur sensibles. Bien que cette
section de la définition du rôle administrateur indique les zones de l’onglet Surveillance que l’administrateur peut
afficher, vous pouvez aussi combiner des privilèges de cette section aux privilèges de la vie privée, tels que la
désactivation de la capacité à afficher les noms d’utilisateur dans les journaux et les rapports. Cependant,
n’oubliez pas que tous les rapports générés par le système afficheront toujours les noms d’utilisateur et les
adresses IP même si vous désactivez cette fonctionnalité dans le rôle. C’est la raison pour laquelle, si vous ne
souhaitez pas que l’administrateur puisse voir les informations confidentielles de l’utilisateur, vous devez
désactiver l’accès aux rapports spécifiques conformément aux instructions fournies dans le tableau suivant.
Le tableau suivant répertorie les niveaux d’accès de l’onglet Surveillance et les rôles administrateur pour lesquels
ils sont disponibles.
Niveau Description Disponibilité du rôle Activation Lecture Désacti-

d’accès admin seule vation
Surveillance Active ou désactive l’accès à l’onglet Pare-feu : Oui Oui Non Oui
Surveillance. Si ce privilège est désactivé, Panorama : Oui
l’administrateur ne verra pas cet onglet ni
aucun des journaux ou rapports qui lui Modèle/Groupe de
sont associés. périphériques : Oui


Journaux Active ou désactive l’accès à tous les Pare-feu : Oui Oui Non Oui
fichiers journaux. Vous pouvez aussi laisser Panorama : Oui
ce privilège activé puis désactiver des
journaux spécifiques si vous ne souhaitez Modèle/Groupe de
pas que l’administrateur puisse les afficher. périphériques : Oui
N’oubliez pas que, si vous souhaitez
protéger la vie privée de vos utilisateurs
tout en fournissant toujours un accès à un
ou plusieurs des journaux, vous pouvez
désactiver l’option Vie privée > Afficher
les adresses IP en intégralité et/ou
l’option Afficher les noms des
utilisateurs dans les journaux et les
rapports.
Trafic Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
journaux de trafic. Panorama : Oui
Modèle/Groupe de
périphériques : Oui
Menace Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
journaux de menaces. Panorama : Oui
Modèle/Groupe de
Filtrage des URL Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
journaux de filtrage des URL. Panorama : Oui
Modèle/Groupe de
Envois WildFire Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
journaux WildFire. Ces journaux ne sont Panorama : Oui
disponibles que si vous disposez d’un
abonnement WildFire. Modèle/Groupe de
Filtrage des Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
données journaux de filtrage des données. Panorama : Oui
Modèle/Groupe de
Correspondance Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
HIP journaux de correspondance HIP. Les Panorama : Oui
journaux de correspondance HIP ne sont
disponibles que si vous disposez d’une Modèle/Groupe de
licence de portail et d’un abonnement de périphériques : Oui
passerelles GlobalProtect.


Configuration Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
journaux de configuration. Panorama : Oui
Modèle/Groupe de
périphériques : Non
Système Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
journaux système. Panorama : Oui
Modèle/Groupe de
Alarmes Indique si l’admin peut afficher les alarmes Pare-feu : Oui Oui Non Oui
générées par le système. Panorama : Oui
Modèle/Groupe de
Capture du Indique si l’admin peut afficher les Pare-feu : Oui Oui Oui Oui
paquet captures de paquets (pcaps) à partir de Panorama : Non
l’onglet Surveillance. N’oubliez pas que
les captures de paquets sont des données Modèle/Groupe de
de flux brutes et peuvent à ce titre contenir périphériques : Non
les adresses IP des utilisateurs. La
désactivation des privilèges Afficher les
adresses IP en intégralité ne masquera
pas l’adresse IP dans la pcap, c’est
pourquoi vous devez désactiver le privilège
Captures de paquets si vous êtes concerné
par la vie privée de l’utilisateur.
Portée Indique si l’admin peut afficher les outils Pare-feu : Oui Oui Non Oui
application de visibilité et d’analyse Appscope. Panorama : Oui
L’activation du privilège Appscope
autorise l’accès à tous les diagrammes Modèle/Groupe de
d’Appscope. périphériques : Oui
Navigateur de Indique si l’administrateur peut parcourir Pare-feu : Oui Oui Non Oui
session et filtrer les sessions en cours sur le Panorama : Non
pare-feu. N’oubliez pas que le navigateur
de session affiche des données de flux Modèle/Groupe de
brutes et qu’elles peuvent à ce titre périphériques : Non
contenir les adresses IP des utilisateurs. La
désactivation des privilèges Afficher les
adresses IP en intégralité ne masquera
pas l’adresse IP dans le navigateur de
session, c’est pourquoi vous devez
désactiver le privilège Navigateur de
session si vous êtes concerné par la vie
privée de l’utilisateur.


Réseau de Indique si l’administrateur peut générer et Pare-feu : Oui Oui Oui Oui
robots (Botnet) afficher des rapports d’analyse du Botnet Panorama : Non
ou afficher des rapports du Botnet en
mode lecture seule La désactivation des Modèle/Groupe de
privilèges Afficher les adresses IP en périphériques : Non
intégralité ne masquera pas l’adresse IP
dans les rapports programmés d’analyse du
Botnet, c’est pourquoi vous devez
désactiver le privilège Botnet si vous êtes
concerné par la vie privée de l’utilisateur.
Rapports PDF Active ou désactive l’accès à tous les Pare-feu : Oui Oui Non Oui
rapports PDF. Vous pouvez aussi laisser ce Panorama : Oui
privilège activé puis désactiver les rapports
PDF spécifiques si vous ne souhaitez pas Modèle/Groupe de
que l’administrateur puisse les afficher. périphériques : Non
N’oubliez pas que, si vous souhaitez
protéger la vie privée de vos utilisateurs
tout en fournissant toujours un accès à un
ou plusieurs des rapports, vous pouvez
désactiver l’option Vie privée > Afficher
les adresses IP en intégralité et/ou
l’option Afficher les noms des
rapports.
Gérer le Indique si l’admin peut afficher, ajouter ou Pare-feu : Oui Oui Oui Oui
récapitulatif PDF supprimer des définitions dans les rapports
Panorama : Oui
récapitulatifs au format PDF. Avec l’accès
en lecture seule, l’admin peut afficher des Modèle/Groupe de
définitions dans les rapports récapitulatifs périphériques : Non
au format PDF, mais ne peut ni les ajouter,
ni les supprimer. Si vous désactivez cette
option, l’admin ne peut ni afficher les
définitions dans les rapports ni les ajouter
ou les supprimer.
Rapports Indique si l’admin peut afficher les Pare-feu : Oui Oui Non Oui
récapitulatifs au rapports de récapitulatifs au format PDF Panorama : Oui
format PDF générés dans Surveillance > Rapports.
Si vous désactivez cette option, la catégorie Modèle/Groupe de
Rapports récapitulatifs au format PDF périphériques : Non
ne sera pas affichée dans le nœud
Rapports.


Rapport Indique si l’admin peut afficher, ajouter ou Pare-feu : Oui Oui Oui Oui
d’activité des supprimer des définitions dans les rapports Panorama : Oui
utilisateurs d’activité des utilisateurs et télécharger les
rapports. Grâce à l’accès en lecture seule, Modèle/Groupe de
l’admin peut afficher des définitions dans périphériques : Non
les rapports d’activité des utilisateurs, mais
ne peut ni les ajouter, ni les supprimer, ou
les télécharger. Si vous désactivez cette
option, l’admin ne peut pas afficher cette
catégorie de rapports PDF.
Groupes de Indique si l’admin peut afficher, ajouter ou Pare-feu : Oui Oui Oui Oui
rapports supprimer des définitions dans les groupes Panorama : Oui
de rapports. Grâce à l’accès en lecture
seule, l’admin peut afficher des définitions Modèle/Groupe de
dans les groupes de rapports, mais ne peut périphériques : Non
ni les ajouter, ni les supprimer. Si vous
désactivez cette option, l’admin ne peut
pas afficher cette catégorie de rapports
PDF.
Planificateur de Indique si l’admin peut planifier les Pare-feu : Oui Oui Oui Oui
messagerie groupes de rapports pour la messagerie. Panorama : Oui
Comme les rapports générés qui sont
envoyés par courrier électronique peuvent Modèle/Groupe de
contenir des données utilisateur sensibles périphériques : Non
qui ne sont pas supprimées en désactivant
l’option Vie privée > Afficher les
adresses IP en intégralité et/ou les
options Afficher les noms des
rapports et comme ils peuvent aussi
afficher des données de journaux
auxquelles l’admin n’a pas accès, vous
devez désactiver l’option Planificateur de
messagerie si vous avez des exigences
concernant la vie privée des utilisateurs.


Gérer les Active ou désactive l’accès à toutes les Pare-feu : Oui Oui Non Oui
rapports fonctionnalités des rapports personnalisés. Panorama : Oui
personnalisés Vous pouvez aussi laisser ce privilège
activé puis désactiver des catégories Modèle/Groupe de
spécifiques de rapports personnalisés périphériques : Non
auxquelles vous ne souhaitez pas que
l’admin puisse avoir accès. N’oubliez pas
que, si vous souhaitez protéger la vie privée
de vos utilisateurs tout en fournissant
toujours un accès à un ou plusieurs des
rapports, vous pouvez désactiver l’option
Vie privée > Afficher les adresses IP en
intégralité et/ou l’option Afficher les
noms des utilisateurs dans les journaux
et les rapports.
Les rapports dont la génération est
programmée plutôt que les rapports
générés sur demande afficheront
l’adresse IP et les informations
utilisateur. Dans ce cas, assurez-vous
de limiter l’accès aux zones
correspondantes dans les rapports.
En outre, la fonctionnalité Rapport
personnalisé ne limite pas la capacité
de générer des rapports qui
contiennent les données des
journaux contenues dans les
journaux qui sont exclus du rôle
admin.
Stat. de Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
l’application personnalisé qui inclut des données issues Panorama : Oui
de la base de données de statistiques
d’application. Modèle/Groupe de
Journal de Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
filtrage des personnalisé qui inclut des données issues Panorama : Oui
données du journal de filtrage des données.
Modèle/Groupe de
Journal des Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
menaces personnalisé qui inclut des données issues Panorama : Oui
du journal des menaces.
Modèle/Groupe de


Récapitulatif des Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
menaces personnalisé qui inclut des données issues Panorama : Oui
de la base de données de récapitulatifs des
menaces. Modèle/Groupe de
Journal de trafic Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
personnalisé qui inclut des données issues Panorama : Oui
du journal de trafic.
Modèle/Groupe de
Récapitulatif du Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
trafic personnalisé qui inclut des données issues Panorama : Oui
de la base de données de récapitulatifs du
trafic. Modèle/Groupe de
Journal des URL Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
personnalisé qui inclut des données issues Panorama : Oui
du journal de filtrage des URL.
Modèle/Groupe de
Correspondance Indique si l’admin peut créer un rapport Pare-feu : Oui Oui Non Oui
HIP personnalisé qui inclut des données issues Panorama : Oui
du journal de correspondance HIP.
Modèle/Groupe de
Afficher les Indique si l’admin peut afficher un rapport Pare-feu : Oui Oui Non Oui
rapports personnalisé dont la génération a été Panorama : Oui
personnalisés planifiée.
programmés Modèle/Groupe de
Afficher les Indique si l’admin peut afficher des Pare-feu : Oui Oui Non Oui
rapports rapports d’application. Les privilèges de la Panorama : Oui
d’application vie privée n’ont pas d’impact sur les
prédéfinis rapports disponibles sur le nœud Modèle/Groupe de
Surveillance > Rapports, c’est pourquoi périphériques : Non
vous devez désactiver l’accès aux rapports
si vous avez des exigences concernant la
vie privée des utilisateurs.
Afficher les Indique si l’admin peut afficher des Pare-feu : Oui Oui Non Oui
rapports de rapports de menaces. Les privilèges de la Panorama : Oui
menaces vie privée n’ont pas d’impact sur les
prédéfinis rapports disponibles sur le nœud Modèle/Groupe de
Surveillance > Rapports, c’est pourquoi périphériques : Non
vous devez désactiver l’accès aux rapports
si vous avez des exigences concernant la
vie privée des utilisateurs.


Affichage Indique si l’admin peut afficher des Pare-feu : Oui Oui Non Oui
prédéfini rapports de filtrage des URL. Les Panorama : Oui
Rapports de privilèges de la vie privée n’ont pas
filtrage des URL d’impact sur les rapports disponibles sur le Modèle/Groupe de
nœud Surveillance > Rapports, c’est périphériques : Non
pourquoi vous devez désactiver l’accès aux
rapports si vous avez des exigences
concernant la vie privée des utilisateurs.
Affichage des Indique si l’admin peut afficher des Pare-feu : Oui Oui Non Oui
rapports rapports de trafic. Les privilèges de la vie Panorama : Oui
Rapports de privée n’ont pas d’impact sur les rapports
trafic disponibles sur le nœud Surveillance > Modèle/Groupe de
Rapports, c’est pourquoi vous devez périphériques : Non
désactiver l’accès aux rapports si vous avez
des exigences concernant la vie privée des
utilisateurs.
Fournir un accès granulaire à l’onglet Politique
Si vous activez l’option Politique dans le profil du rôle administrateur, vous pouvez ensuite activer, désactiver,
ou fournir un accès en lecture seule à des nœuds spécifiques au sein de l’onglet si nécessaire pour le rôle
administrateur que vous définissez. En autorisant l’accès à un type de politique spécifique, vous activez la
capacité d’afficher, ajouter ou supprimer des règles de politiques. En activant l’accès en lecture seule à une
politique spécifique, vous autorisez l’admin à afficher la base des règles de politique correspondante, mais pas à
ajouter ou supprimer des règles. La désactivation de l’accès à un type de politique spécifique empêche l’admin
de voir la base des règles de politiques.
Comme la politique qui est basée sur des utilisateurs spécifiques (par nom d’utilisateur ou adresse IP) doit être
explicitement définie, les paramètres de la vie privée qui désactivent la capacité d’afficher les adresses IP en
intégralité ou les noms d’utilisateur ne s’appliquent pas à l’onglet Politique. C’est pourquoi, vous devez autoriser
l’accès à l’onglet Politique uniquement aux administrateurs qui sont exclus des restrictions concernant la vie
privée de l’utilisateur.

seule
Sécurité Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
ajouter et/ou supprimer des règles de politique de
sécurité. Définissez le privilège sur Lecture seule si
vous souhaitez que l’admin puisse afficher les règles,
mais pas les modifier. Pour empêcher l’admin de voir la
base des règles de politique de sécurité, désactivez ce
privilège.


seule
NAT Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
ajouter et/ou supprimer des règles de politique NAT.
Définissez le privilège sur Lecture seule si vous
souhaitez que l’admin puisse afficher les règles, mais
pas les modifier. Pour empêcher l’admin de voir la base
des règles de politique NAT, désactivez ce privilège.
QoS Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
qualité de service (QoS). Définissez le privilège sur
Lecture seule si vous souhaitez que l’admin puisse
afficher les règles, mais pas les modifier. Pour empêcher
l’admin de voir la base des règles de politique de qualité
de service (QoS), désactivez ce privilège.
Policy Based Forwarding Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
transfert basé sur une politique (PBF). Définissez le
privilège sur Lecture seule si vous souhaitez que
l’admin puisse afficher les règles, mais pas les modifier.
Pour empêcher l’admin de voir la base des règles de
politique PBF, désactivez ce privilège.
Décryptage Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
décryptage. Définissez le privilège sur Lecture seule si
vous souhaitez que l’admin puisse afficher les règles,
base des règles de politique de décryptage, désactivez ce
privilège.
Contrôle prioritaire sur Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
l’application ajouter et/ou supprimer des règles de politique de
contrôle prioritaire sur l’application. Définissez le
privilège sur Lecture seule si vous souhaitez que
l’admin puisse afficher les règles, mais pas les modifier.
Pour empêcher l’admin de voir la base des règles de
politique de contrôle prioritaire sur l’application,
désactivez ce privilège.
Portail captif Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
portail captif. Définissez le privilège sur Lecture seule
si vous souhaitez que l’admin puisse afficher les règles,
base des règles de politique de portail captif, désactivez
ce privilège.


seule
Protection DoS Activez ce privilège pour autoriser l’admin à afficher, Oui Oui Oui
protection DoS. Définissez le privilège sur Lecture
seule si vous souhaitez que l’admin puisse afficher les
règles, mais pas les modifier. Pour empêcher l’admin de
voir la base des règles de politique de protection DoS,
désactivez ce privilège.
Fournir un accès granulaire à l’onglet Objets
Un objet est un conteneur qui regroupe des valeurs spécifiques de filtrage de politique, telles que les adresses IP,
URL, applications ou services, pour une définition simplifiée des règles. Par exemple, un objet adresse peut
contenir des définitions d’adresses IP spécifiques pour les serveurs Web et d’applications dans votre zone DMZ.
Au moment de déterminer d’autoriser ou non l’accès à l’onglet Objets dans son ensemble, vous devrez
déterminer si l’admin doit avoir des responsabilités de définition des politiques. Si tel n’est pas le cas, l’admin n’a
probablement pas besoin d’accéder à l’onglet. Si, toutefois, l’admin peut avoir besoin de créer une politique, vous
pouvez activer l’accès à l’onglet puis définir des privilèges d’accès granulaires au niveau du nœud.
En activant l’accès à un nœud spécifique, vous accordez à l’admin le privilège d’afficher, ajouter et supprimer le
type d’objets correspondant. En accordant l’accès en lecture seule, vous autorisez l’admin à afficher les objets
déjà définis, mais pas à en créer ou supprimer. La désactivation d’un nœud empêche l’admin de voir le nœud
dans l’interface Web.

seule
Adresses Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets adresse à utiliser dans une politique de
sécurité.
Groupes d’adresses Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets groupe d’adresses à utiliser dans une
Régions Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets régions à utiliser dans une politique de
sécurité, de décryptage ou DoS.
Applications Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets application à utiliser dans une politique.
Groupes d’applications Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets groupe d’applications à utiliser dans une
politique.
Filtres de l’application Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des filtres d’applications pour simplifier les recherches
répétées.


seule
Services Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets service à utiliser dans la création de
politiques qui limitent les nombres de ports qu’une
application peut utiliser.
Groupes de service Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets groupe de services à utiliser dans une
Étiquettes (Panorama Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
uniquement) des étiquettes qui ont été définies sur le périphérique.
GlobalProtect Indique si l’admin peut afficher, ajouter ou supprimer Oui Non Oui
des objets et des profils HIP. Vous pouvez limiter
l’accès aux deux types d’objets au niveau de
GlobalProtect, ou fournir un contrôle plus granulaire
en activant le privilège GlobalProtect et en limitant
l’accès aux objets HIP ou profils HIP.
Objets HIP Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des objets HIP, qui sont utilisés pour définir les profils
HIP. Les objets HIP génèrent aussi des journaux de
correspondance HIP.
Profils HIP Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
des profils HIP à utiliser dans une politique de sécurité
et/ou pour la génération de journaux de
correspondance HIP.
Listes d’interdiction Indique si l’admin peut afficher, ajouter ou supprimer Oui Oui Oui
dynamiques des listes d’interdictions dynamiques à utiliser dans une
Objets personnalisés Indique si l’admin peut afficher les signatures Oui Non Oui
personnalisées contre les spyware (logiciels espions) et
les vulnérabilités. Vous pouvez limiter l’accès soit pour
activer soit pour désactiver l’accès à toutes les
signatures personnalisées à ce niveau, ou fournir un
contrôle plus granulaire en activant le privilège Objets
personnalisés et en limitant l’accès à chaque type de
signature.
Modèles de données Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des signatures de modèles de données
personnalisées à utiliser lors de la création de profils de
protection contre les vulnérabilités personnalisés.
Logiciel espion Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des signatures de spyware personnalisées à
utiliser lors de la création de profils de protection
contre les vulnérabilités personnalisés.


seule
Vulnérabilité Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui

supprimer des signatures de vulnérabilités
personnalisées à utiliser lors de la création de profils de
protection contre les vulnérabilités personnalisés.
Catégorie d’URL Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des catégories d’URL personnalisées à
utiliser dans une politique.
Profils de sécurité Indique si l’admin peut afficher les profils de sécurité. Oui Non Oui
Vous pouvez limiter l’accès soit pour activer soit pour
désactiver l’accès à tous les profils de sécurité à ce
niveau, ou fournir un contrôle plus granulaire en
activant le privilège Profils de sécurité et en limitant
l’accès à chaque type de profil.
Antivirus Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils Antivirus.
Antispyware (protection Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
anti-espion) supprimer des profils Antispyware.
Protection contre les Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
vulnérabilités supprimer des profils de protection contre les
vulnérabilités.
Filtrage des URL Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils de filtrage des URL.
Blocage des fichiers Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils de blocage de fichiers.
Filtrage des données Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils de filtrage des données.
Protection DoS Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils de protection DoS.
Groupes de profils de Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
sécurité supprimer des groupes de profils de sécurité.
Transfert des journaux Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils de transfert des journaux.
Profil de décryptage Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des profils de décryptage.
Calendriers Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des calendriers pour limiter une politique de
sécurité à une date et/ou plage horaire spécifiques.

Fournir un accès granulaire à l’onglet Réseau
Au moment de déterminer d’autoriser ou non l’accès à l’onglet Réseau dans son ensemble, vous devrez
déterminer si l’admin doit avoir des responsabilités d’administration réseau, y compris pour l’administration de
GlobalProtect. Si tel n’est pas le cas, l’admin n’a probablement pas besoin d’accéder à l’onglet.
Vous pouvez aussi définir un accès à l’onglet Réseau au niveau du nœud. En activant l’accès à un nœud
spécifique, vous accordez à l’admin le privilège d’afficher, ajouter et supprimer les configurations du réseau
correspondantes. En accordant l’accès en lecture seule, vous autorisez l’admin à afficher les configurations déjà
définies, mais pas à en créer ou supprimer. La désactivation d’un nœud empêche l’admin de voir le nœud dans
l’interface Web.

seule
Interfaces Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui

supprimer des configurations d’interface.
Zones Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des zones.
vlans Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des VLAN.
Câbles virtuels Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des câbles virtuels.
Routeurs virtuels Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des routeurs virtuels.
Tunnels IPSec Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des configurations de tunnel IPSec.
DHCP Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des configurations de serveur DHCP et de
relais DHCP.
Proxy DNS Indique si l’administrateur peut afficher, ajouter ou Oui Oui Oui
supprimer des configurations de serveur proxy DNS.
GlobalProtect Indique si l’administrateur peut afficher, ajouter ou Oui Non Oui
modifier des configurations de portail et de passerelle
GlobalProtect. Vous pouvez désactiver l’accès aux
fonctions GlobalProtect complètement, ou vous
pouvez activer le privilège GlobalProtect puis limiter le
rôle aux zones de configuration du portail ou de la
passerelle.
Portails Indique si l’administrateur peut afficher, ajouter, Oui Oui Oui
modifier ou supprimer des configurations de portail
GlobalProtect.
Passerelles Indique si l’administrateur peut afficher, ajouter, Oui Oui Oui
modifier ou supprimer des configurations de passerelle
GlobalProtect.


seule
Gestionnaire de Indique si l’administrateur peut afficher, ajouter, Oui Oui Oui

périphériques mobiles modifier ou supprimer des configurations de serveur
MDM GlobalProtect.
QoS Oui Oui Oui
Profils réseau Définit l’état par défaut pour activer ou désactiver tous Oui Non Oui
les paramètres réseau décrits ci-dessous.
Passerelles IKE Contrôle l’accès au nœud Profils de réseau > Oui Oui Oui
Passerelles IKE. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Passerelles IKE
ou ne pourra pas définir les passerelles qui incluent les
informations de configuration nécessaires à la
négociation du protocole IKE avec les passerelles
homologues.
Si le privilège est défini sur l’état lecture seule, vous
pouvez afficher les passerelles IKE actuellement
configurées mais vous ne pouvez pas ajouter ou
modifier des passerelles.
Crypto IPSec Contrôle l’accès au nœud Profils de réseau > Crypto Oui Oui Oui
IPSec. Si vous désactivez ce privilège, l’administrateur
ne verra pas le nœud Profils de réseau > Crypto IPSec
ou ne pourra pas indiquer des protocoles et des
algorithmes pour l’identification, l’authentification et le
cryptage dans les tunnels VPN en fonction de la
négociation SA IPSec.
pouvez afficher la configuration Crypto IPSec
actuellement configurée mais vous ne pouvez pas
ajouter ou modifier une configuration.
Crypto IKE Contrôle la manière dont les périphériques échangent Oui Oui Oui
des informations pour garantir une communication
sécurisée. Indiquez les protocoles et les algorithmes
pour l’identification, l’authentification et le cryptage
dans les tunnels VPN en fonction de la négociation SA
IPSec (IKEv1 de phase 1).


seule
Surveillance Contrôle l’accès au nœud Profils de réseau > Oui Oui Oui
Surveillance. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Profils de
réseau > Surveillance ou ne pourra pas créer ou
modifier un profil de surveillance qui est utilisé pour
surveiller les tunnels IPSec et pour surveiller un
périphérique d’un saut suivant dans le cadre de règles
de transfert basé sur une politique (PBF).
pouvez afficher la configuration du profil de
surveillance actuellement configuré mais vous ne
pouvez pas ajouter ou modifier une configuration.
Gestion de l’interface Contrôle l’accès au nœud Profils de réseau > Gestion Oui Oui Oui
de l’interface. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Profils de réseau
> Gestion de l’interface ou ne pourra pas indiquer les
protocoles qui sont utilisés pour la gestion du pare-feu.
pouvez afficher la configuration du profil de gestion
d’interface actuellement configuré mais vous ne pouvez
pas ajouter ou modifier une configuration.
Protection de zone Contrôle l’accès au nœud Profils de réseau > Oui Oui Oui
Protection de zone. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Profils de réseau
> Protection de zone ou ne pourra pas configurer un
profil qui détermine la manière dont le pare-feu répond
à des attaques issues de zones de sécurité spécifiées.
pouvez afficher la configuration du profil de protection
de zone actuellement configuré mais vous ne pouvez
pas ajouter ou modifier une configuration.
Profil QoS Contrôle l’accès au nœud Profils de réseau > QoS. Oui Oui Oui
Si vous désactivez ce privilège, l’administrateur ne verra
pas le nœud Profils de réseau > QoS ou ne pourra pas
configurer un profil QoS qui détermine la manière dont
les classes du trafic QoS sont traitées.
pouvez afficher la configuration du profil QoS
actuellement configuré mais vous ne pouvez pas
ajouter ou modifier une configuration.

Fournir un accès granulaire à l’onglet Périphérique

seule
Configuration Contrôle l’accès au nœud Configuration. Si vous Oui Oui Oui

désactivez ce privilège, l’administrateur ne verra pas le
nœud Configuration ou ne pourra pas accéder aux
informations de configuration des paramètres au
niveau du périphérique, telles que les informations de
configuration de Gestion, Opérations, Service,
Content-ID, Wildfire ou Session.
pouvez afficher la configuration actuelle mais vous ne
pouvez y apporter aucune modification.
Audit de configuration Contrôle l’accès au nœud Audit de configuration. Oui Non Oui
pas le nœud Audit de configuration ou ne pourra pas
accéder aux informations de configuration au niveau
du périphérique.
Rôles admin Contrôle l’accès au nœud Rôles administrateur. Non Oui Oui
Cette fonction est uniquement autorisée pour l’accès
en lecture seule.
pas le nœud Rôles administrateur ou ne pourra pas
accéder aux informations au niveau du périphérique
concernant la configuration des rôles administrateur.
Si vous définissez ce privilège sur lecture seule, vous
pouvez afficher les informations de configuration pour
tous les rôles administrateur configurés sur le
périphérique.
Administrateurs Contrôle l’accès au nœud Administrateurs. Non Oui Oui
Cette fonction est uniquement autorisée pour l’accès
en lecture seule.
pas le nœud Administrateurs ou ne pourra pas accéder
aux informations sur son propre compte admin.
Si vous définissez ce privilège sur lecture seule,
l’administrateur peut afficher les informations de
configuration sur son propre compte admin.
Les administrateurs ne pourront pas afficher les
informations sur d’autres comptes admin configurés
sur le périphérique.


seule
Systèmes virtuels Contrôle l’accès au nœud Systèmes virtuels. Si vous Oui Oui Oui
désactivez ce privilège, l’administrateur ne verra pas ou
ne pourra pas configurer les systèmes virtuels.
pouvez afficher les systèmes virtuels actuellement
configurés mais vous ne pouvez pas ajouter ou
modifier une configuration.
Passerelles partagées Contrôle l’accès au nœud Passerelles partagées. Oui Oui Oui
Les passerelles partagées permettent aux systèmes
virtuels de partager une interface commune pour les
communications externes.
pas ou ne pourra pas configurer les passerelles
partagées.
pouvez afficher les passerelles partagées actuellement
configurées mais vous ne pouvez pas ajouter ou
Identification utilisateur Contrôle l’accès au nœud Identification utilisateur. Oui Oui Oui
pas le nœud Identification utilisateur ou ne pourra pas
accéder aux informations de configuration
d’identification de l’utilisateur au niveau du
périphérique, telles que le mappage d’utilisateur, les
agents User-ID, Service, les agents Terminal Services,
les paramètres de mappage de groupe ou les paramètres
du portail captif.
configuration pour le périphérique mais n’est pas
autorisé à effectuer les procédures de configuration.
Source d’informations de Contrôle l’accès au nœud Source d’informations de Oui Oui Oui
machine virtuelle machine virtuelle qui vous permet de configurer le
pare-feu/l’agent User-ID Windows pour collecter
l’inventaire de machines virtuelles automatiquement.
pas le nœud Source d’informations de machine
virtuelle.
l’administrateur peut afficher les sources
d’informations de machines virtuelles configurées mais
ne peut pas ajouter, modifier ou supprimer les sources.
Ce privilège n’est pas disponible pour les
administrateurs de modèles et de groupes de
périphériques.


seule
Haute disponibilité Contrôle l’accès au nœud Haute disponibilité. Si vous Oui Oui Oui
nœud Haute disponibilité ou ne pourra pas accéder
aux informations de configuration de haute
disponibilité au niveau du périphérique telles que les
informations sur les paramètres généraux ou la
surveillance des liaisons et des chemins.
configuration de haute disponibilité pour le
périphérique mais n’est pas autorisé à effectuer les
procédures de configuration.
Gestion des certificats Définit l’état par défaut pour activer ou désactiver tous Oui Non Oui
les paramètres de certificat décrits ci-dessous.
Certificats Contrôle l’accès au nœud Certificats. Si vous désactivez Oui Oui Oui
ce privilège, l’administrateur ne verra pas le nœud
Certificats ou ne pourra pas configurer ou accéder aux
informations relatives aux certificats du périphérique ou
aux autorités de certification de confiance par défaut.
configuration du certificat pour le périphérique mais
n’est pas autorisé à effectuer les procédures de
configuration.
Profil du certificat Contrôle l’accès au nœud Profil de certificat. Si vous Oui Oui Oui
nœud Profil de certificat ou ne pourra pas créer les
profils de certificat.
l’administrateur peut afficher les profils de certificat qui
sont actuellement configurés pour le périphérique mais
n’est pas autorisé à créer ou modifier un profil de
certificat.
Répondeur OCSP Contrôle l’accès au nœud Répondeur OCSP. Si vous Oui Oui Oui
nœud Répondeur OCSP ou ne pourra pas définir un
serveur qui sera utilisé pour vérifier le statut de
révocation des certificats émis par le périphérique
PAN-OS.
l’administrateur peut afficher la configuration de
Répondeur OCSP pour le périphérique mais n’est pas
autorisé à créer ou modifier une configuration de
répondeur OCSP.


seule
Pages de réponse Contrôle l’accès au nœud Pages de réponse. Si vous Oui Oui Oui
nœud Page de réponse ou ne pourra pas définir un
message HTML personnalisé qui est téléchargé et
affiché à la place d’une page Web ou d’un fichier
demandés.
l’administrateur peut afficher la configuration Page de
réponse pour le périphérique mais n’est pas autorisé à
créer ou modifier une configuration de page de
réponse.
Paramètres des journaux Définit l’état par défaut pour activer ou désactiver tous Oui Non Oui
les paramètres des journaux décrits ci-dessous.
Système Contrôle l’accès au nœud Paramètres des journaux > Oui Oui Oui
Système. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Paramètres des
journaux > Système ou ne pourra pas indiquer les
niveaux de gravité des entrées du journal système qui
sont consignées à distance avec Panorama, puis
envoyées sous forme de pièges SNMP, de
messages Syslog et/ou de notifications par courrier
électronique.
l’administrateur peut afficher la configuration
Paramètres des journaux > Système pour le
périphérique mais n’est pas autorisé à créer ou modifier
une configuration.
Configuration Contrôle l’accès au nœud Paramètres des journaux > Oui Oui Oui
Configuration. Si vous désactivez ce privilège,
journaux > Configuration ou ne pourra pas indiquer
les entrées du journal de configuration qui sont
consignées à distance avec Panorama, puis envoyées
sous forme de messages Syslog et/ou de notifications
par courrier électronique.
l’administrateur peut afficher la configuration dans le
nœud Paramètres des journaux > Configuration pour
le périphérique mais n’est pas autorisé à créer ou


seule
Correspondance HIP Contrôle l’accès au nœud Paramètres des journaux > Oui Oui Oui
Correspondance HIP. Si vous désactivez ce privilège,
journaux > Correspondance HIP ou ne pourra pas
indiquer les paramètres du journal de correspondance
du profil d’informations sur l’hôte (HIP) qui sont
utilisés pour fournir des informations sur les politiques
de sécurité qui s’appliquent aux clients GlobalProtect.
Paramètres des journaux > HIP pour le périphérique
mais n’est pas autorisé à créer ou modifier une
configuration.
Alarmes Contrôle l’accès au nœud Paramètres des journaux > Oui Oui Oui
Alarmes. Si vous désactivez ce privilège,
journaux > Alarmes ou ne pourra pas configurer des
notifications qui sont générées lorsqu’une règle de
sécurité (ou un groupe de règles) a été mise plusieurs
fois en correspondance pendant une période donnée.
Paramètres des journaux > Alarmes pour le
périphérique mais n’est pas autorisé à créer ou modifier
une configuration.
Gérer les journaux Contrôle l’accès au nœud Paramètres des journaux > Oui Oui Oui
Gestion des journaux. Si vous désactivez ce privilège,
journaux > Gestion des journaux ou ne pourra pas
effacer les journaux indiqués.
l’administrateur peut afficher les informations
Paramètres des journaux > Gestion des journaux
mais ne peut effacer aucun des journaux.
Profils de serveur Définit l’état par défaut pour activer ou désactiver tous Oui Non Oui
les paramètres des profils de serveur décrits ci-dessous.


seule
Piège SNMP Contrôle l’accès au nœud Profils de serveur > Oui Oui Oui
Piège SNMP. Si vous désactivez ce privilège,
serveur > Piège SNMP ou ne pourra pas indiquer une
ou plusieurs destinations de pièges SNMP à utiliser
pour les entrées du journal système.
l’administrateur peut afficher les informations Profils
de serveur > Journaux des pièges SNMP mais ne
peut pas indiquer les destinations de pièges SNMP.
Syslog Contrôle l’accès au nœud Profils de serveur > Syslog. Oui Oui Oui
pas le nœud Profils de serveur > Syslog ou ne pourra
pas indiquer un ou plusieurs serveurs Syslog.
de serveur > Syslog mais ne peut pas indiquer les
serveurs Syslog.
Messagerie Contrôle l’accès au nœud Profils de serveur > Oui Oui Oui
Messagerie. Si vous désactivez ce privilège,
serveur > Messagerie ou ne pourra pas configurer un
profil de messagerie qui peut être utilisé pour activer la
notification par courrier électronique pour les entrées
du journal système et de configuration.
de serveur > Messagerie mais ne peut pas configurer
et envoyer par courrier électronique un profil.
Netflow Contrôle l’accès au nœud Profils de serveur > Oui Oui Oui
Netflow. Si vous désactivez ce privilège,
serveur > Netflow ou ne pourra pas définir un profil
de serveur NetFlow, qui indique la fréquence de
l’exportation avec les serveurs NetFlow qui recevront
les données exportées.
de serveur > Netflow mais ne peut pas définir un profil
Netflow.


seule
RADIUS Contrôle l’accès au nœud Profils de serveur > Oui Oui Oui
RADIUS. Si vous désactivez ce privilège,
serveur > RADIUS ou ne pourra pas configurer les
paramètres pour les serveurs RADIUS qui sont
identifiés dans les profils d’authentification.
de serveur > RADIUS mais ne peut pas configurer les
paramètres pour les serveurs RADIUS.
LDAP Contrôle l’accès au nœud Profils de serveur > LDAP. Si Oui Oui Oui
vous désactivez ce privilège, l’administrateur ne verra
pas le nœud Profils de serveur > LDAP ou ne pourra
pas configurer les paramètres pour les serveurs LDAP
à utiliser pour l’authentification par le biais des profils
d’authentification.
de serveur > LDAP mais ne peut pas configurer les
paramètres pour les serveurs LDAP.
Kerberos Contrôle l’accès au nœud Profils de serveur > Oui Oui Oui
Kerberos. Si vous désactivez ce privilège,
serveur > Kerberos ou ne pourra pas configurer un
serveur Kerberos qui permet aux utilisateurs de
s’authentifier de manière native auprès d’un contrôleur
de domaine.
de serveur > Kerberos mais ne peut pas configurer les
paramètres pour les serveurs Kerberos.
Base de données des Définit l’état par défaut pour activer ou désactiver tous Oui Non Oui
utilisateurs locaux les paramètres de la base de données des utilisateurs
locaux décrits ci-dessous.


seule
Utilisateurs Contrôle l’accès au nœud Base de données des Oui Oui Oui
utilisateurs locaux > Utilisateurs. Si vous désactivez
ce privilège, l’administrateur ne verra pas le nœud Base
de données des utilisateurs locaux > Utilisateurs ou
ne pourra pas configurer une base de données locale
sur le pare-feu pour stocker les informations
d’authentification pour les utilisateurs à accès distant,
les administrateurs de périphériques et les utilisateurs
du portail captif.
l’administrateur peut afficher les informations Base de
données des utilisateurs locaux > Utilisateurs mais
ne peut pas paramétrer une base de données locale sur
le pare-feu pour stocker des informations
d’authentification.
Groupes d’utilisateurs Contrôle l’accès au nœud Base de données des Oui Oui Oui
utilisateurs locaux > Utilisateurs. Si vous désactivez
ce privilège, l’administrateur ne verra pas le nœud Base
de données des utilisateurs locaux > Utilisateurs ou
ne pourra pas ajouter des informations sur les groupes
d’utilisateurs à la base de données locale.
l’administrateur peut afficher les informations Base de
données des utilisateurs locaux > Utilisateurs mais
ne peut pas ajouter des informations sur les groupes
d’utilisateurs à la base de données locale.
Profil d’authentification Contrôle l’accès au nœud Profil d’authentification. Oui Oui Oui
pas le nœud Profil d’authentification ou ne pourra pas
créer ou modifier les profils d’authentification qui
définissent les paramètres de base de données locale,
RADIUS, LDAP, ou Kerberos qui peuvent être
associés à des comptes administrateur.
l’administrateur peut afficher les informations Profil
d’authentification mais ne peut pas créer ou modifier
un profil d’authentification.


seule
Séquence Contrôle l’accès au nœud Séquence d’authentification. Oui Oui Oui

d’authentification Si vous désactivez ce privilège, l’administrateur ne verra
pas le nœud Séquence d’authentification ou ne pourra
pas créer ou modifier une séquence d’authentification.
d’authentification mais ne peut pas créer ou modifier
une séquence d’authentification.
Domaine Contrôle l’accès au nœud Domaine d’accès. Si vous Oui Oui Oui
nœud Domaine d’accès ou ne pourra pas créer ou
modifier un domaine d’accès.
l’administrateur peut afficher les informations
Domaines d’accès mais ne peut pas créer ou modifier
un domaine d’accès.
Exportation programmée Contrôle l’accès au nœud Exportation programmée Oui Non Oui
des journaux des journaux. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Exportation
programmée des journaux ou ne pourra pas planifier
des exportations des journaux et les enregistrer sur un
serveur FTP (File Transfer Protocol) au format CSV ou
utiliser la fonction SCP (Secure Copy) pour transférer
des données en toute sécurité entre le périphérique et
un hôte distant.
d’exportation programmée des journaux mais ne
peut pas planifier l’exportation des journaux.
Logiciel Contrôle l’accès au nœud Logiciel. Si vous désactivez Oui Oui Oui
Logiciel ou ne pourra pas afficher les dernières
versions du logiciel PAN-OS disponibles chez Palo
Alto Networks, lire les notes de chaque version, puis
sélectionner la version à télécharger et installer.
l’administrateur peut afficher les informations sur le
Logiciel mais ne peut pas télécharger ou installer le
logiciel.


seule
Client GlobalProtect Contrôle l’accès au nœud Client GlobalProtect. Oui Oui Oui
pas le nœud Client GlobalProtect ou ne pourra pas
afficher les versions disponibles de GlobalProtect,
télécharger le code ou activer l’agent GlobalProtect.
l’administrateur peut afficher les versions du Client
GlobalProtect disponibles mais ne peut pas télécharger
ou installer le logiciel de l’agent.
Mises à jour dynamiques Contrôle l’accès au nœud Mises à jour dynamiques. Oui Oui Oui
pas le nœud Mises à jour dynamiques ou ne pourra
pas afficher les dernières mises à jour, lire les notes de
publication de chaque mise à jour, ou sélectionner une
mise à jour à charger et installer.
l’administrateur peut afficher les versions de Mises à
jour dynamiques disponibles, lire les notes de
publication mais ne peut pas charger ou installer le
logiciel.
Licences Contrôle l’accès au nœud Licences. Si vous désactivez Oui Oui Oui
Licences ou ne pourra pas afficher les licences
installées ou activer les licences.
l’administrateur peut afficher les Licences installées,
mais ne peut pas exécuter les fonctions de gestion des
licences.
Support Contrôle l’accès au nœud Support technique . Si vous Oui Oui Oui
nœud Support technique ou ne pourra pas accéder aux
alertes produit et de sécurité de Palo Alto Networks ou
générer un dossier de support technique ou un fichier
de vidage des statistiques.
l’administrateur peut afficher le nœud Support
technique et accéder aux alertes produit et de sécurité,
mais ne peut pas générer un dossier de support
technique ou un fichier de vidage des statistiques.


seule
Clé principale et Contrôle l’accès au nœud Clé principale et Oui Oui Oui
diagnostics diagnostics. Si vous désactivez ce privilège,
l’administrateur ne verra pas le nœud Clé principale et
diagnostics ou ne pourra pas indiquer une clé
principale pour crypter les clés privées sur le pare-feu.
l’administrateur peut afficher le nœud Clé principale et
diagnostics et afficher les informations sur les clés
principales qui ont été indiquées mais ne peut ni ajouter
ni modifier une nouvelle configuration de clés
principales.
Définir les paramètres de la vie privée des utilisateurs dans le profil de rôle administrateur

seule
Confidentialité Définit l’état par défaut pour activer ou désactiver tous Oui N/D Oui
les paramètres de la vie privée décrits ci-dessous.
Afficher les adresses IP Lorsque l’option est désactivée, les adresses IP en Oui N/D Oui
en intégralité intégralité obtenues par le trafic passant par le pare-feu
Palo Alto ne sont pas affichées dans les journaux ou les
rapports. À la place des adresses IP qui sont
normalement affichées, le sous-réseau correspondant
s’affiche.
Les rapports programmés qui sont
normalement affichés dans l’interface via
Surveillance > Rapports et les rapports qui
sont envoyés via les messages électroniques
planifiés afficheront toujours les adresses IP en
intégralité. Compte tenu de cette exception,
nous recommandons que les paramètres
suivants au sein de l’onglet Surveillance soient
désactivés : rapports personnalisés, rapports
d’application, rapports de menaces, rapports de
filtrage des URL, rapports de trafic et planificateur
de courrier électronique.


seule
Afficher les noms des Lorsque l’option est désactivée, les noms des Oui N/D Oui
utilisateurs dans les utilisateurs obtenus par le trafic passant par le pare-feu
journaux et les rapports Palo Alto ne sont pas affichés dans les journaux ou les
rapports. Les colonnes dans lesquelles les noms
d’utilisateur devraient normalement être affichés sont
vides.
Les rapports programmés qui sont affichés dans
l’interface via Surveillance > Rapports ou les
rapports qui sont envoyés via le planificateur de
courrier électronique afficheront toujours les noms
d’utilisateur. Compte tenu de cette exception, nous
recommandons que les paramètres suivants au sein
de l’onglet Surveillance soient désactivés : rapports
personnalisés, rapports d’application, rapports de
menaces, rapports de filtrage des URL, rapports de
trafic et planificateur de courrier électronique.
Visualiser les fichiers Lorsque l’option est désactivée, les fichiers de capture Oui N/D Oui
Pcap des paquets qui sont normalement disponibles dans les
journaux Trafics, Menaces et Filtrage des données, ne
sont pas affichés.
Restreindre l’accès administrateur aux fonctions de validation
Restriction de l’accès utilisateur à l’aide de la fonction Valider

seule
Valider Lorsque l’option est désactivée, un administrateur ne Oui N/D Oui

peut pas valider les éventuelles modifications d’une
configuration.
Fournir un accès granulaire aux paramètres généraux
Restriction de l’accès utilisateur à l’aide des paramètres généraux

seule
Global Définit l’état par défaut pour activer ou désactiver tous Oui N/D Oui
les paramètres généraux décrits ci-dessous. En réalité,
ce paramètre est actuellement prévu pour les Alarmes
système uniquement.


seule
Alarmes systèmes Lorsque l’option est désactivée, un administrateur ne Oui N/D Oui
peut pas afficher ou recevoir les alarmes qui sont
générées.
Fournir un accès granulaire à l’onglet Panorama
Le tableau suivant répertorie les niveaux d’accès de l’onglet Panorama et les rôles administrateur Panorama pour
lesquels ils sont disponibles. Les administrateurs de pare-feu ne peuvent accéder à aucun de ces privilèges.
Niveau Description Disponibilité du Activer Lecture Désactiver

d’accès rôle admin seule
Configuration Indique si l’administrateur peut afficher ou Panorama : Oui Oui Oui Oui
modifier les informations de configuration Modèle/Groupe
Panorama, notamment celles des onglets de périphériques :
Gestion, Opérations, Services, WildFire Non
et HSM.
Si vous définissez ce privilège sur lecture
seule, l’administrateur peut afficher les
informations mais ne peut pas les modifier.
Si vous désactivez ce privilège,
l’administrateur ne peut pas afficher ni
modifier ces informations.
Modèles Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
modifier, ajouter ou supprimer des modèles. Modèle/Groupe (Non pour les
Si vous définissez ce privilège sur lecture de périphériques : administra-
seule, l’administrateur peut afficher les Oui teurs de
configurations de modèle mais ne peut pas les modèles et de
gérer. groupes de
Si vous désactivez ce privilège, l’administrateur périphé-
ne peut pas afficher ni gérer les configurations riques)
de modèle.
Audit de Indique si l’administrateur peut exécuter les Panorama : Oui Oui Non Oui
configuration audits de configuration Panorama. Si vous Modèle/Groupe
désactivez ce privilège, l’administrateur ne de périphériques :
peut pas exécuter les audits de Non
configuration Panorama.


Périphé- Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
riques gérés ajouter, modifier, identifier ou supprimer des Modèle/Groupe (Non pour les
pare-feu en tant que périphériques gérés et y de périphériques : administra-
installer des mises à jour logicielles ou de Oui teurs de
contenu. modèles et de
Si vous définissez ce privilège sur lecture groupes de
seule, l’administrateur peut afficher les périphé-
pare-feu gérés mais ne peut pas les ajouter, les riques)
supprimer, les identifier ni y installer des
mises à jour.
Si vous désactivez ce privilège, l’administrateur
ne peut pas afficher, ajouter, modifier,
identifier, supprimer les pare-feu gérés ni
y installer des mises à jour..
Ce privilège s’applique uniquement à
la page Panorama > Périphériques
gérés. Un administrateur disposant
de privilèges de Déploiement de
périphériques peut toujours utiliser les
pages Panorama > Déploiement de
périphériques pour installer des
mises à jour sur les pare-feu gérés.
Groupes de Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
périphériques modifier, ajouter ou supprimer des groupes
Modèle/Groupe (Non pour les
de périphériques. de périphériques : administra-
Si vous définissez ce privilège sur lecture Oui teurs de
seule, l’administrateur peut afficher les modèles et de
configurations de groupe de périphériques groupes de
mais ne peut pas les gérer. périphé-
Si vous désactivez ce privilège, riques)
l’administrateur ne peut pas afficher ni gérer
les configurations de groupe de
périphériques.


Collecteurs Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
gérés modifier, ajouter ou supprimer des Modèle/Groupe
collecteurs gérés. de périphériques :
Si vous définissez ce privilège sur lecture Non
configurations de collecteur géré mais ne peut
pas les gérer.
l’administrateur ne peut pas afficher,
modifier, ajouter ou supprimer les
configurations de collecteur géré.
Ce privilège s’applique uniquement à
la page Panorama > Collecteurs
gérés. Un administrateur disposant
de privilèges de Déploiement de
périphériques peut toujours utiliser les
pages Panorama > Déploiement de
périphériques pour installer des
mises à jour sur les collecteurs de
journaux.
Groupes de Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
collecteurs modifier, ajouter ou supprimer des groupes Modèle/Groupe
de collecteurs. de périphériques :
groupes de collecteurs mais ne peut pas les
gérer.
Si vous désactivez ce privilège, l’administrateur
ne peut pas afficher ni gérer les groupes de
collecteurs.
Rôles admin Indique si l’administrateur peut afficher les Panorama : Oui Non Oui Oui
rôles administrateur Panorama. Modèle/Groupe
Vous ne pouvez pas activer l’accès complet à de périphériques :
cette fonction, uniquement l’accès en lecture Non
seule. (Seuls les administrateurs Panorama
disposant d’un rôle dynamique peuvent
ajouter, modifier ou supprimer les
rôles Panorama personnalisés.) Avec l’accès
en lecture seule, l’administrateur peut afficher
les configurations de rôle administrateur
Panorama mais ne peut pas les gérer.
les rôles administrateur Panorama.


Administra- Indique si l’administrateur peut afficher les Panorama : Oui Non Oui Oui
teurs informations de compte administrateur Modèle/Groupe
Panorama. de périphériques :
Vous ne pouvez pas activer l’accès complet à Non
cette fonction, uniquement l’accès en lecture
seule. (Seuls les administrateurs Panorama
disposant d’un rôle dynamique peuvent
ajouter, modifier ou supprimer les
administrateurs Panorama.) Avec l’accès en
lecture seule, l’administrateur peut afficher les
informations de son propre compte mais pas
d’autres comptes administrateur Panorama.
l’administrateur ne peut afficher aucune
information de compte
administrateur Panorama, y compris celles de
son propre compte.
Haute dispo- Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
nibilité gérer les paramètres HD (haute disponibilité) Modèle/Groupe
du serveur de gestion Panorama. de périphériques :
informations de configuration HD du
serveur de gestion Panorama, mais ne peut
pas les gérer.
les paramètres de configuration HD du
serveur de gestion Panorama.
VMware Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
Service modifier les paramètres de VMware Service Modèle/Groupe
Manager Manager. de périphériques :
paramètres mais ne peut effectuer aucune
procédure de configuration ou opérationnelle
associée.
l’administrateur ne peut pas afficher les
paramètres ni effectuer de procédure de
configuration ou opérationnelle associée.


Gestion des Définit l’état par défaut, activé ou désactivé, Panorama : Oui Oui Non Oui
certificats de tous les privilèges de gestion de Modèle/Groupe
certificat Panorama. de périphériques :
Non
Certificats Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
modifier, générer, supprimer, révoquer, Modèle/Groupe
renouveler ou exporter des certificats. ce de périphériques :
privilège indique également si Non
l’administrateur peut importer ou exporter
des clés HD.
certificats Panorama mais ne peut pas les
gérer, tout comme les clés HD.
les certificats et les clés Panorama.
Profil du certi- Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
ficat ajouter, modifier, supprimer ou cloner des Modèle/Groupe
profils de certificat Panorama. de périphériques :
seule, l’administrateur peut afficher les profils
de certificat Panorama mais ne peut pas les
gérer.
les profils de certificat Panorama.
Paramètres Définit l’état par défaut, activé ou désactivé, Panorama : Oui Oui Non Oui
des journaux de tous les privilèges de paramètres des Modèle/Groupe
journaux. de périphériques :
Non


Système Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les paramètres de transfert des Modèle/Groupe
journaux système vers les périphériques de périphériques :
externes (serveurs Syslog, de messagerie ou Non
de pièges SNMP).
paramètres de transfert des journaux système
mais ne peut pas les gérer.
ces paramètres.
Sur un appareil Panorama M-100, ce
privilège concerne uniquement les
journaux système générés par et pour
Panorama. Sur un appareil
virtuel Panorama, ce privilège
s’applique aux journaux système
générés par Panorama et à ceux
collectés par Panorama sur les
pare-feu.
Configuration Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
journaux de configuration vers les de périphériques :
périphériques externes (serveurs Syslog, de Non
messagerie ou de pièges SNMP).
paramètres de transfert des journaux de
configuration mais ne peut pas les gérer.
ces paramètres.
Sur un appareil Panorama M-100, ce
privilège concerne uniquement les
journaux de configuration générés par
et pour Panorama. Sur un appareil
virtuel Panorama, ce privilège
s’applique aux journaux de
configuration générés par Panorama
et à ceux collectés par Panorama sur
les pare-feu.


Correspon- Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
dance HIP configurer les paramètres de transfert des Modèle/Groupe
journaux de correspondance HIP vers les de périphériques :
périphériques externes (serveurs Syslog, de Non
messagerie ou de pièges SNMP).
La page Panorama > Groupes de
collecteurs contrôle le transfert des
journaux de correspondance HIP
depuis un appareil Panorama M-100.
La page Périphérique > Paramètres
des journaux > Correspondance HIP
contrôle le transfert des journaux de
correspondance HIP directement
depuis les pare-feu vers les
périphériques externes (sans
agrégation sur Panorama).
correspondance HIP mais ne peut pas les
gérer.
ces paramètres.
Trafic Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
journaux de trafic vers les périphériques de périphériques :
de pièges SNMP).
journaux de trafic depuis un appareil
Panorama M-100. La page Objets >
Transfert des journaux contrôle le
transfert des journaux de trafic
directement depuis les pare-feu vers
les périphériques externes (sans
paramètres de transfert des journaux de trafic
mais ne peut pas les gérer.
ces paramètres.


Menace Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
journaux de menaces vers les périphériques de périphériques :
de pièges SNMP).
journaux de menace depuis un
appareil Panorama M-100. La page
Objets > Transfert des journaux
contrôle le transfert des journaux de
menaces directement depuis les
pare-feu vers les périphériques
externes (sans agrégation sur
Panorama).
menaces mais ne peut pas les gérer.
ces paramètres.
Wildfire Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
journaux WildFire vers les périphériques de périphériques :
de pièges SNMP).
journaux WildFire depuis un
appareil Panorama M-100. La page
Objets > Transfert des journaux
contrôle le transfert des
journaux WildFire directement
depuis les pare-feu vers les
périphériques externes (sans
paramètres de transfert des journaux
WildFire mais ne peut pas les gérer.
ces paramètres.


Profils de ser- Définit l’état par défaut, activé ou désactivé, Panorama : Oui Oui Non Oui
veur de tous les privilèges de profil de serveur. Modèle/Groupe
Ces privilèges concernent de périphériques :
uniquement les profils de serveur Non
utilisés pour le transfert des journaux
générés par Panorama ou collectés par
Panorama sur les pare-feu et les
profils de serveur utilisés pour
l’authentification des administrateurs
Panorama. Les pages Périphérique >
Profils de serveur contrôlent les
profils de serveur utilisés pour le
transfert des journaux directement
depuis les pare-feu vers les services
externes (sans agrégation sur
Panorama) et l’authentification des
administrateurs de pare-feu.
Piège SNMP Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les profils de serveur de Modèle/Groupe
piège SNMP. de périphériques :
de serveur de piège mais ne peut pas les gérer.
les profils de serveur de piège.
Syslog Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les profils de serveur Syslog. Modèle/Groupe
Si vous définissez ce privilège sur lecture de périphériques :
seule, l’administrateur peut afficher les profils Non
de serveur Syslog mais ne peut pas les gérer.
les profils de serveur Syslog.
Messagerie Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les profils de serveur de Modèle/Groupe
messagerie. de périphériques :
de serveur de messagerie mais ne peut pas les
gérer.
les profils de serveur de messagerie.


RADIUS Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les profils de serveur RADIUS Modèle/Groupe
utilisés pour l’authentification des de périphériques :
administrateurs Panorama. Non
de serveur RADIUS mais ne peut pas les
gérer.
les profils de serveur RADIUS.
LDAP Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les profils de serveur LDAP Modèle/Groupe
de serveur LDAP mais ne peut pas les gérer.
les profils de serveur LDAP.
Kerberos Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
configurer les profils de serveur Kerberos Modèle/Groupe
de serveur Kerberos mais ne peut pas les
gérer.
les profils de serveur Kerberos.
Profil d’au- Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
thentification ajouter, modifier, supprimer ou cloner des Modèle/Groupe
profils d’authentification pour les de périphériques :
administrateurs Panorama.. Non
d’authentification Panorama mais ne peut pas
les gérer.
les profils d’authentification Panorama.


Séquence Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
d’authentifi- ajouter, modifier, supprimer ou cloner des Modèle/Groupe
cation séquences d’authentification pour les de périphériques :
séquences d’authentification Panorama mais
ne peut pas les gérer.
les séquences d’authentification Panorama.
Domaine Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
modifier, ajouter, supprimer ou cloner des Modèle/Groupe
domaines d’accès pour les administrateurs de périphériques :
Panorama. Non
domaines d’accès Panorama mais ne peut pas
les gérer.
les domaines d’accès Panorama.
Exportation Indique si l’administrateur peut afficher, Panorama : Oui Oui Non Oui
programmée ajouter, modifier, supprimer ou cloner des Modèle/Groupe
des configu- exportations programmées des configurations
rations de périphériques :
Panorama. Non
exportations programmées mais ne peut pas
les gérer.
les exportations programmées.


Logiciel Indique si l’administrateur peut afficher des Panorama : Oui Oui Oui Oui
informations sur les mises à jour logicielles Modèle/Groupe
Panorama, télécharger, charger ou installer les de périphériques :
mises à jour, et afficher les notes de Non
publication associées.
informations sur les mises à jour logicielles
Panorama ainsi que les notes de publication
associées, mais ne peut effectuer aucune
opération associée.
l’administrateur ne peut pas afficher les mises
à jour logicielles Panorama, les notes de
publication associées, ni effectuer d’opération
associée.
Ce privilège concerne uniquement les
logiciels installés sur un serveur de
gestion Panorama. La page
Panorama > Déploiement de
périphériques > Logiciels contrôle
l’accès aux logiciels PAN-OS
déployés sur les pare-feu et les
logiciels Panorama déployés sur les
collecteurs de journaux dédiés.


Mises à jour Indique si l’administrateur peut afficher des Panorama : Oui Oui Oui Oui
dynamiques informations sur les mises à jour de contenu Modèle/Groupe
Panorama (par exemple, les mises à jour de périphériques :
WildFire), télécharger, charger, installer ou Non
rétablir les mises à jour, et afficher les notes de
publication associées..
informations sur les mises à jour de
contenu Panorama ainsi que les notes de
publication associées, mais ne peut effectuer
aucune opération associée.
l’administrateur ne peut pas afficher les mises
à jour de contenu Panorama, les notes de
publication associées, ni effectuer d’opération
associée.
Ce privilège concerne uniquement les
mises à jour de contenu installées sur
un serveur de gestion Panorama.
La page Panorama > Déploiement
de périphériques > Mises à jour
dynamiques contrôle l’accès aux
mises à jour de contenu déployées sur
les pare-feu et les collecteurs de
journaux dédiés.
Support Indique si l’administrateur peut afficher les Panorama : Oui Oui Oui Oui
informations de licence Panorama, les alertes Modèle/Groupe
produit et de sécurité, activer une licence de de périphériques :
support, générer des fichiers de support Non
technique et gérer des dossiers.
informations de support Panorama, les
alertes produit et de sécurité, mais ne peut pas
activer de licence de support, générer de
fichier de support technique ni gérer de
dossier.
informations de support Panorama, les
alertes produit et de sécurité, activer de
licence de support, générer de fichier de
support technique ni gérer de dossier.


Déploiement Définit l’état par défaut, activé ou désactivé, Panorama : Oui Oui Non Oui
de périphé- de tous les privilèges de déploiement de Modèle/Groupe
riques périphériques. de périphériques :
Ces privilèges concernent Oui
uniquement les mises à jour logicielles
et de contenu déployées par les
administrateurs Panorama sur les
pare-feu et les collecteurs de journaux
dédiés. Les pages Panorama >
Logiciels et Panorama > Mises à
jour dynamiques contrôlent les mises
à jour logicielles et de contenu
installées sur un serveur de
gestion Panorama.
Logiciel Indique si l’administrateur peut afficher des Panorama : Oui Oui Oui Oui
informations sur les mises à jour logicielles Modèle/Groupe
installées sur les pare-feu et les collecteurs de de périphériques :
journaux, télécharger, charger ou installer les Oui
mises à jour, et afficher les notes de
publication associées..
informations sur les mises à jour logicielles
ainsi que les notes de publication associées,
mais ne peut pas déployer les mises à jour sur
les pare-feu ou les collecteurs de journaux
dédiés.
informations sur les mises à jour logicielles et
les notes de publication associées, ni déployer
les mises à jour sur les pare-feu ou les
collecteurs de journaux dédiés.


Client VPN Indique si l’administrateur peut afficher des Panorama : Oui Oui Oui Oui
SSL informations sur les mises à jour logicielles de Modèle/Groupe
client VPN SSL sur les pare-feu, télécharger, de périphériques :
charger ou activer les mises à jour, et afficher Oui
les notes de publication associées..
informations sur les mises à jour logicielles de
client VPN SSL ainsi que les notes de
publication associées, mais ne peut pas activer
les mises à jour sur les pare-feu.
client VPN SSL et les notes de publication
associées, ni activer les mises à jour sur les
pare-feu.
Client Glo- Indique si l’administrateur peut afficher des Panorama : Oui Oui Oui Oui
balProtect informations sur les mises à jour logicielles de Modèle/Groupe
client GlobalProtect sur les pare-feu, de périphériques :
télécharger, charger ou activer les mises à Oui
jour, et afficher les notes de publication
associées..
client GlobalProtect ainsi que les notes de
publication associées, mais ne peut pas activer
les mises à jour sur les pare-feu.
client GlobalProtect et les notes de
publication associées, ni activer les mises à
jour sur les pare-feu.


Mises à jour Indique si l’administrateur peut afficher des Panorama : Oui Oui Oui Oui
dynamiques informations sur les mises à jour logicielles de Modèle/Groupe
contenu (par exemple, les mises à jour de périphériques :
d’application) installées sur les pare-feu et les Oui
collecteurs de journaux dédiés, télécharger,
charger ou installer les mises à jour, et afficher
les notes de publication associées..
informations sur les mises à jour de contenu
ainsi que les notes de publication associées,
mais ne peut pas déployer les mises à jour sur
les pare-feu ou les collecteurs de journaux
dédiés.
informations sur les mises à jour de contenu
et les notes de publication associées, ni
déployer les mises à jour sur les pare-feu ou
les collecteurs de journaux dédiés.
Licences Indique si l’administrateur peut afficher, Panorama : Oui Oui Oui Oui
actualiser et activer des licences de pare-feu. Modèle/Groupe
Si vous définissez ce privilège sur lecture de périphériques :
seule, l’administrateur peut afficher les Oui
licences de pare-feu, mais ne peut pas les
actualiser ni les activer.
l’administrateur ne peut pas afficher,
actualiser ni activer de licence de pare-feu.
Clé princi- Indique si l’administrateur peut afficher et Panorama : Oui Oui Oui Oui
pale et dia- configurer une clé principale avec laquelle Modèle/Groupe
gnostics crypter les clés privées sur Panorama. de périphériques :
seule, l’administrateur peut afficher la clé
principale Panorama mais ne peut pas la
modifier.
l’administrateur ne peut pas afficher ni
modifier cette clé.

Accès à l’interface Web de Panorama
Les rôles administrateur Panorama personnalisés vous permettent de définir l’accès aux options sur Panorama
et offrent la possibilité d’autoriser l’accès uniquement aux groupes de périphériques et aux modèles (onglets
Politiques, Objets, Réseau, Périphérique).
Les rôles admin que vous pouvez créer sont Panorama et Modèle et groupe de périphériques. Vous ne pouvez
affecter aucun privilège d’accès à la CLI au rôle Modèle et groupe de périphériques. Si vous affecter des privilèges
d’accès superutilisateur à la CLI au rôle admin Panorama, les administrateurs disposant de ce rôle peuvent
accéder à toutes les fonctions, quels que soient les privilèges d’interface Web affectés.

seule
Tableau de bord Contrôle l’accès à l’onglet Tableau de bord. Si vous Oui Non Oui
l’onglet et ne pourra pas accéder aux widgets du
Tableau de bord.
ACC Contrôle l’accès au Centre de commande de Oui Non Oui
l’application (ACC). Si vous désactivez ce privilège,
l’onglet ACC ne sera pas affiché dans l’interface Web.
N’oubliez pas que, si vous souhaitez protéger la vie
privée de vos utilisateurs tout en fournissant toujours
un accès au centre de commande de l’application
(ACC), vous pouvez désactiver l’option Vie privée >
Afficher les adresses IP en intégralité et/ou l’option
Afficher les noms des utilisateurs dans les journaux
et les rapports.
Surveillance Contrôle l’accès à l’onglet Surveillance. Si vous Oui Non Oui

l’onglet Surveillance et ne pourra pas accéder aux
journaux, captures de paquets, informations de session,
rapports ou à Appscope. Pour un contrôle plus
granulaire des informations de surveillance que
Surveillance activée puis activez ou désactivez des
Surveillance.


seule
Politiques Contrôle l’accès à l’onglet Politiques. Si vous Oui Non Oui

l’onglet Politiques et n’aura accès à aucune
information sur les politiques. Pour un contrôle plus
granulaire des informations de politiques que
l’administrateur peut afficher, par exemple pour activer
l’accès à un type de politique spécifique ou pour activer
l’accès en lecture seule aux informations de politiques,
laissez l’option Politiques activée puis activez ou
l’onglet Politique.
Objets Contrôle l’accès à l’onglet Objets. Si vous désactivez ce Oui Non Oui
privilège, l’administrateur ne verra pas l’onglet Objets
et ne pourra pas accéder aux objets, profils de sécurité,
profils de transfert de journal, profils de décryptage, ou
calendriers. Pour un contrôle plus granulaire des objets
que l’administrateur peut afficher, laissez l’option
Objets activée puis activez ou désactivez des nœuds
Fournir un accès granulaire à l’onglet Objets.
Réseau Contrôle l’accès à l’onglet Réseau. Si vous désactivez Oui Non Oui
ce privilège, l’administrateur ne verra pas l’onglet
Réseau et ne pourra pas accéder aux informations de
configuration des éléments tels que : interface, zone,
VLAN, câble virtuel, routeur virtuel, tunnel IPsec,
DHCP, serveur proxy DNS, GlobalProtect, ni aux
informations de configuration QoS ou aux profils
réseau. Pour un contrôle plus granulaire des objets que
l’administrateur peut afficher, laissez l’option Réseau
activée puis activez ou désactivez des nœuds
Fournir un accès granulaire à l’onglet Réseau.


seule
Périphérique Contrôle l’accès à l’onglet Périphérique. Si vous Oui Non Oui

l’onglet Périphérique et ne pourra pas accéder aux
informations de configuration au niveau du
périphérique, telles que User-ID, Haute disponibilité, et
aux informations de configuration des profils ou des
certificats de serveur. Pour un contrôle plus granulaire
des objets que l’administrateur peut afficher, laissez
l’option Périphérique activée puis activez ou
l’onglet Périphérique.
Vous ne pouvez pas activer l’accès aux nœuds
Rôles administrateur ou Administrateurs
pour un administrateur basé sur les rôles même
si vous activez un accès complet à l’onglet
Périphérique.
Panorama Contrôle l’accès à l’onglet Panorama. Si vous Oui Non Oui

l’onglet Panorama et ne pourra pas accéder aux
informations de configuration au niveau de Panorama,
notamment celles des périphériques gérés, des
collecteurs gérés ou des groupes de collecteurs.
Pour un contrôle plus granulaire des objets que
Panorama activée puis activez ou désactivez des
Panorama.

Référence : numéros de port utilisés par les périphériques Palo Alto Networks Gestion des périphériques
Référence : numéros de port utilisés par les périphériques

Palo Alto Networks
Les tableaux suivants répertorient les ports utilisés par les périphériques Palo Alto Networks pour communiquer
entre eux ou avec d’autres services sur le réseau.
 Ports utilisés pour les fonctions de gestion
 Ports utilisés pour la HD
 Ports utilisés pour Panorama
 Ports utilisés pour User-ID
Ports utilisés pour les fonctions de gestion
Port de Protocole Description

destination
22 TCP Utilisé pour la communication entre un système client et la CLI du pare-feu.

80 TCP Port d’écoute du pare-feu pour les mises à jour OCSP lorsque le pare-feu agit en
tant que répondeur OCSP.
123 UDP Port utilisé par le pare-feu pour les mises à jour NTP.
443 TCP Utilisé pour la communication entre un système client et l’interface Web du
pare-feu. Il s’agit également du port d’écoute du pare-feu et/ou de l’agent User-ID
pour
les mises à jour des sources d’informations de machine virtuelle. Ce port est le seul
utilisé pour la surveillance d’un environnement AWS. Pour un
environnement VMware Center/ESXi, le port d’écoute par défaut est 443, mais il
peut être configuré.
162 UDP Port utilisé par le pare-feu, Panorama ou le collecteur de journaux pour envoyer des
pièges SNMP à un récepteur de pièges SNMP.
Ce port n’a pas besoin d’être ouvert sur le périphérique Palo Alto Networks.
Le récepteur de pièges SNMP dot être configuré pour écouter sur ce port.
161 UDP Port d’écoute du pare-feu pour les demandes d’interrogation SNMP du service de
messagerie réseau.
514 TCP Port utilisé par le pare-feu, Panorama ou le collecteur de journaux pour envoyer des
journaux à un serveur Syslog. Il s’agit également des ports d’écoute de
514 UDP
l’agent User-ID (sur le pare-feu ou sur un serveur Windows) pour l’authentification
6514 SSL des messages Syslog à utiliser.
2055 UDP Port par défaut utilisé par le pare-feu pour envoyer des enregistrements NetFlow,
mais celui-ci peut être configuré.

Gestion des périphériques Référence : numéros de port utilisés par les périphériques Palo Alto Networks

destination
5008 TCP Port d’écoute du Gestionnaire de sécurité mobile GlobalProtect Mobile pour les
demandes HIP des passerelles GlobalProtect.
Si vous utilisez un gestionnaire de périphériques mobiles tiers, vous pouvez
configurer la passerelle pour utiliser un autre port que celui requis par le fournisseur
du gestionnaire de périphériques mobiles.
6081 TCP Ports utilisés pour le portail captif.
6082 TCP
Ports utilisés pour la HD
Les pare-feu configurés en tant qu’homologues HD (Haute disponibilité) doivent pouvoir communiquer entre
eux afin de gérer les informations d’état (liaison de contrôle HD1) et synchroniser les données (liaison de
données HD2). Dans les déploiements HD active/active, les pare-feu homologues doivent transférer les
paquets à l’homologue HD auquel appartient la session. La liaison HD3 est une liaison de couche 2
(MAC-in-MAC) qui ne prend pas en charge l’adressage ou le cryptage de couche 3.

destination
28769 TCP Utilisé par la liaison de contrôle HD1 pour les communications en texte clair entre
les pare-feu homologues HD. La liaison HD1 est une liaison de couche 3 et exige
28260 TCP
une adresse IP.
28 TCP Utilisé par la liaison de contrôle HD1 pour les communications cryptées (SSH sur
TCP) entre les pare-feu homologues HD.
28770 TCP Port d’écoute des liaisons de secours HD1.
28771 TCP Port utilisé pour les sauvegardes de pulsations. Palo Alto Networks recommande
d’activer la sauvegarde des pulsations sur l’interface MGT si vous utilisez un port
sur bande pour les liaisons HD1 ou HD1 de secours.
99 IP Utilisé par la liaison HD2 pour la synchronisation des sessions, des tables de
transfert, des associations de sécurité IPSec et des tables ARP entre les pare-feu
29281 UDP
d’une paire HD. Le flux de données de la liaison HD2 est toujours unidirectionnel
(sauf pour la persistance HD2), du périphérique actif (HD active/passive) ou actif
principal (HD active/active) vers le périphérique passif (HD active/passive) ou actif
secondaire (HD active/active). La liaison HD2 est une liaison de couche 2 et utilise
l’EtherType 0x7261 par défaut.
La liaison de données HD peut également être configurée pour utiliser IP (numéro
de protocole 99) ou UDP (port 29281) comme protocole de transport et permet
donc à la liaison de données HD d’étendre les sous-réseaux.

Ports utilisés pour Panorama
Port de destination Protocole Description
22 TCP Utilisé pour la communication entre un système client et la CLI de Panorama.

443 TCP Utilisé pour la communication entre un système client et l’interface Web de
Panorama.
3978 TCP Utilisé pour la communication entre Panorama et les périphériques gérés et/ou les
collecteurs de journaux gérés, ainsi que pour la communication entre les collecteurs
de journaux d’un groupe de collecteurs, comme suit :
• Pour la communication entre Panorama et les périphériques gérés, il s’agit d’une
connexion bidirectionnelle sur laquelle les pare-feu gérés transfèrent les journaux
vers Panorama et Panorama transfère les modifications de configuration vers les
périphériques gérés. Les commandes de commutation de contexte sont envoyées
via la même connexion.
• Les collecteurs de journaux utilisent ce port de destination pour transférer les
journaux à Panorama.
• Pour la communication avec le collecteur de journaux par défaut sur un
homologue Panorama en mode Panorama et pour la communication avec les
collecteurs de journaux dans une architecture de collecte de données
distribuée (DLC).
28769 (5.1 et versions TCP Utilisé pour la connexion et la synchronisation HD entre les homologues
ultérieures) HD Panorama utilisant les communications en texte clair. La communication
TCP
peut être initiée par chaque homologue.
28260 (5.0 et versions
ultérieures) TCP

antérieures)
28 TCP Utilisé pour la connexion et la synchronisation HD entre les homologues

HD Panorama utilisant les communications cryptées (SSH sur TCP).
La communication peut être initiée par chaque homologue.
28270 (6.0 et versions TCP Utilisé pour la communication entre les collecteurs de journaux d’un groupe de
ultérieures) collecteurs pour la distribution des journaux.
antérieures)
2049 TCP Utilisé par l’appareil virtuel Panorama pour la rédaction de journaux dans le
magasin de données NFS.

Gestion des périphériques Référence : numéros de port utilisés par les périphériques Palo Alto Networks
Ports utilisés pour User-ID
User-ID est une fonction de mappage des adresses IP d’utilisateur aux noms d’utilisateur et aux appartenances
aux groupes, qui permet l’activation d’une politique en fonction d’un utilisateur ou d’un groupe et la visibilité
de l’activité des utilisateurs sur votre réseau (par exemple; la localisation d’un utilisateur victime d’une menace).
Pour effectuer ce mappage, le pare-feu, l’agent User-ID (installé sur un système Windows ou l’agent intégré à
PAN-OS exécuté sur le pare-feu) et/ou l’agent Terminal Services doivent pouvoir se connecter aux services
d’annuaire sur votre réseau afin de procéder au Mappage de groupe et au Mappage d’utilisateur. De plus, si les
agents sont exécutés sur des systèmes externes au pare-feu, ils doivent pouvoir se connecter au pare-feu afin de
communiquer l’adresse IP aux mappages de nom d’utilisateur au pare-feu. Le tableau suivant répertorie les
exigences de communication de User-ID ainsi que les numéros de port nécessaires pour établir des connexions.

destination
389 TCP Port utilisé par le pare-feu pour la connexion au serveur LDAP (texte brut ou
StartTLS) afin de Mappage d’utilisateurs à des groupes.
636 TCP Port utilisé par le pare-feu pour la connexion au serveur LDAP (LDAP sur SSL)
afin de Mappage d’utilisateurs à des groupes. Utilisé pour les connexions LDAP sur
SSL.
514 TCP Ports d’écoute de l’agent User-ID (sur le pare-feu ou sur un serveur Windows) pour
514 UDP l’authentification des messages Syslog à utiliser.
6514 SSL
5007 TCP Port d’écoute du pare-feu pour l’obtention des informations de mappage auprès de
l’agent User-ID ou Terminal Server. L’agent envoie le mappage d’adresse IP/nom
d’utilisateur ainsi que horodatage associé, à chaque fois qu’il apprend un mappage
nouveau ou mis à jour. En outre, il se connecte au pare-feu à intervalles réguliers
pour actualiser les mappages connus.
5006 TCP Port d’écoute de l’agent User-ID pour les demandes de l’API XML de User-ID.
La source pour cette communication est généralement le système exécutant un
script qui appelle l’API.
88 UDP Port utilisé par l’agent User-ID pour l’authentification d’un serveur Kerberos.
1812 UDP Port utilisé par l’agent User-ID pour l’authentification d’un serveur RADIUS.
135 TCP Port utilisé par l’agent User-ID pour l’établissement de connexions WMI TCP avec
le Mappeur de point de terminaison Microsoft RPC. Le Mappeur de point de
terminaison affecte ensuite l’agent à un port aléatoire de la plage de ports
49152-65535. L’agent utilise cette connexion pour effectuer des requêtes RPC de
journaux de sécurité ou tables de session auprès du serveur AD ou Exchange.
Il s’agit également du port utilisé pour l’accès à Terminal Services.
L’agent User-ID utilise également ce port pour la connexion aux systèmes client
afin d’effectuer des sondes WMI.


destination
139 TCP Port utilisé par l’agent User-ID pour l’établissement de connexions NetBIOS TCP
avec le serveur AD afin de pouvoir envoyer des requêtes RPC de journaux de
sécurité et d’informations de session.
L’agent User-ID utilise également ce port pour la connexion aux systèmes client
afin d’effectuer des sondes NetBIOS (fonction prise en charge uniquement par
l’agent User-ID Windows).
445 TCP Port utilisé par l’agent User-ID pour se connecter à Active Directory (AD) à l’aide
de connexions SMB TCP au serveur AD afin d’accéder aux informations de
connexion utilisateur (spouleur d’impression et Net Logon).

Gestion des périphériques Rétablissement des paramètres d’usine du pare-feu
Rétablissement des paramètres d’usine du pare-feu

Le rétablissement des paramètres d’usine du pare-feu entraînera la perte de tous les journaux et paramètres de
configuration.
Rétablissement des paramètres d’usine du pare-feu
Étape 1 Configurez une connexion de console au 1. Connectez un câble série de votre ordinateur au port de console
pare-feu. et connectez-vous au pare-feu à l’aide d’un logiciel d’émulation
de terminal (9600-8-N-1).
Si votre ordinateur ne dispose d’aucun port série
9 broches, utilisez un connecteur de port USB/série.
2. Saisissez vos informations d’identification de connexion.
3. Saisissez la commande de la CLI suivante :
debug system maintenance-mode
Le pare-feu redémarrera en mode maintenance.
Étape 2 Rétablissez les paramètres d’usine du 1. Lorsque le périphérique redémarre, appuyez sur Entrée pour
système. continuer vers le menu du mode maintenance.
2. Sélectionnez Rétablir les paramètres d’usine et appuyez

sur Entrée.
3. Sélectionnez à nouveau Rétablir les paramètres d’usine
et appuyez sur Entrée.
Le pare-feu redémarrera sans aucun paramètre de configuration.
Le nom d’utilisateur et le mot de passe par défaut pour se
connecter au pare-feu est admin/admin.
Pour effectuer la configuration initiale sur le pare-feu et
configurer la connexion réseau, reportez-vous à la section
Intégration du pare-feu dans votre réseau de gestion.

Rétablissement des paramètres d’usine du pare-feu Gestion des périphériques

Gestion des certificats
Les rubriques suivantes décrivent les différents certificats et clés utilisés par les périphériques Palo Alto
Networks, et la manière de les obtenir et de les gérer :
 Clés et certificats
 Révocation de certificats
 Déploiement de certificats
 Configuration de la vérification du statut de révocation des certificats
 Configuration de la clé principale
 Obtention des certificats
 Configuration d’un profil de certificat
 Configuration de la taille de clé des certificats du serveur proxy de transfert SSL
 Révocation et renouvellement de certificats
 Sécurisation des clés avec un module de sécurité matériel
Gestion des certificats 119

Clés et certificats Gestion des certificats
Clés et certificats
Pour garantir la confiance entre les parties lors d’une session de communication sécurisée, les périphériques Palo
Alto Networks utilisent des certificats numériques. Chaque certificat contient une clé cryptographique pour
crypter un texte brut ou décrypter un texte crypté. Chaque certificat inclut aussi une signature numérique pour
authentifier l’identité de l’émetteur. L’émetteur doit figurer dans la liste des autorités de certification (AC) de
confiance de la partie chargée de l’authentification. La partie chargée de l’authentification vérifie éventuellement
que l’émetteur n’a pas révoqué le certificat (reportez-vous à la section Révocation de certificats).
Les périphériques Palo Alto Networks utilisent les certificats dans les applications suivantes :
 Authentification de l’utilisateur pour le Portail captif, GlobalProtect, Gestionnaire de sécurité mobile et

Accès à l’interface Web du pare-feu/de Panorama.
 Authentification du périphérique pour le VPN de GlobalProtect (utilisateur distant à site ou à grande

échelle).
 Authentification du périphérique pour le VPN de site à site IPSec par l’échange de clés Internet (IKE).
 Décryptage du trafic SSL entrant et sortant. Un pare-feu décrypte du trafic auquel appliquer les politiques
et les règles de sécurité, puis le crypte de nouveau avant de transférer le trafic vers la destination finale. Pour
le trafic sortant, le pare-feu se comporte comme un serveur proxy de transfert, en établissant une connexion
SSL/TLS au serveur de destination. Pour sécuriser une connexion entre lui-même et le client, le pare-feu
utilise un certificat de signature pour générer automatiquement une copie du certificat du serveur de destination.
Le tableau suivant explique les clés et les certificats utilisés par les périphériques Palo Alto Networks. Il est
recommandé d’utiliser des clés/certificats différents pour chaque utilisation.
Tableau : Clés/certificats du périphérique Palo Alto Networks
Utilisation des Description

clés/certificats
Accès administrateur L’accès sécurisé aux interfaces d’administration de périphériques (accès HTTPS à l’interface
Web) nécessite un certificat de serveur pour l’interface MGT (ou une interface désignée sur le
plan de données si le périphérique n’utilise par l’interface MGT) et, éventuellement, un
certificat pour authentifier l’administrateur.
Portail captif Dans les déploiements où le portail captif identifie les utilisateurs qui accèdent aux ressources
HTTPS, désignez un certificat de serveur pour l’interface du portail captif. Si vous configurez
le portail captif pour utiliser les certificats (à la place des, ou en plus des, informations
d’identification nom d’utilisateur/mot de passe) pour l’identification utilisateur, désignez un
certificat utilisateur également. Pour plus d’informations sur ce portail captif, reportez-vous à
la section Mappage d’adresses IP à des noms d’utilisateurs à l’aide du portail captif.
Approbation de transfert Pour le trafic SSL/TLS sortant, si un pare-feu fonctionnant comme un serveur proxy de
transfert approuve l’autorité de certification (AC) ayant signé le certificat du serveur de
destination, le pare-feu utilise le certificat AC d’approbation de transfert pour générer une
copie du certificat du serveur de destination à présenter au client. Pour définir la taille de clé,
reportez-vous à la section Configuration de la taille de clé des certificats du serveur proxy de
transfert SSL. Pour davantage de sécurité, stockez la clé sur un module de sécurité matériel
(pour plus de détails, reportez-vous à la section Sécurisation des clés avec un module de
sécurité matériel).
120 Gestion des certificats

Gestion des certificats Clés et certificats
Utilisation des Description

clés/certificats
Non-approbation de transfert Pour le trafic SSL/TLS sortant, si un pare-feu fonctionnant comme un serveur proxy de
transfert n’approuve pas l’autorité de certification (AC) ayant signé le certificat du serveur de
destination, le pare-feu utilise le certificat AC de non-approbation de transfert pour générer
une copie du certificat du serveur de destination à présenter au client.
Inspection SSL entrante Il s’agit des clés qui décryptent le trafic SSL/TLS entrant pour l’inspection et l’application de
politiques. Pour cette application, importez sur le pare-feu une clé privée pour chaque serveur
qui est soumis à l’inspection SSL/TLS entrante. Reportez-vous à la section Configuration de
l’inspection SSL entrante.
Certificat d’exclusion SSL Il s’agit des certificats pour les serveurs à exclure du décryptage SSL/TLS. Par exemple, si vous
activez le décryptage SSL mais que votre réseau inclut les serveurs pour lesquels le pare-feu ne
devrait pas décrypter le trafic (par exemple, les services Web pour vos systèmes HR), importez
les certificats correspondants sur le pare-feu et configurez-les comme des certificats
d’exclusion SSL. Reportez-vous à la section Configuration des exceptions au décryptage.
GlobalProtect Toute interaction entre les composants GlobalProtect se produit sur les connexions SSL/TLS.
Par conséquent, dans le cadre du déploiement de GlobalProtect, déployez les certificats du
serveur pour tous les portails, passerelles et gestionnaires de sécurité mobiles de
GlobalProtect. Vous pouvez éventuellement déployer les certificats pour authentifier les
utilisateurs également.
Notez que la fonctionnalité GlobalProtect VPN à grande échelle (LSVPN) nécessite un
certificat de signature AC.
VPN de site à site (IKE) Dans un déploiement de VPN de site à site IPSec, les périphériques homologues utilisent les
passerelles IKE (Internet Key Exchange) pour établir un canal sécurisé. Les passerelles IKE
utilisent les certificats ou les clés prépartagées pour authentifier les homologues les uns par
rapport aux autres. Vous configurez et affectez les certificats ou les clés lors de la définition
d’une passerelle IKE sur un pare-feu. Reportez-vous à la section Présentation du réseau privé
virtuel de site à site.
Clé principale Le pare-feu utilise une clé principale pour crypter toutes les clés privées et tous les mots de
passe. Si votre réseau nécessite un emplacement sécurisé pour stocker les clés privées, vous
pouvez utiliser une clé de cryptage (encapsulation) stockée sur un module de sécurité matériel
pour crypter la clé principale. Pour plus de détails, reportez-vous à la section Cryptage d’une
clé principale à l’aide d’un module de sécurité matériel.
Syslog sécurisé Il s’agit du certificat pour activer les connexions sécurisées entre le pare-feu et un serveur
Syslog. Reportez-vous à la section Configuration du pare-feu pour l’authentification sur le
serveur Syslog.
AC racine de confiance Désignation d’un certificat racine généré par une AC approuvée par le pare-feu. Le pare-feu
peut utiliser un certificat d’AC racine auto-signé afin de générer automatiquement des
certificats pour d’autres applications (par exemple, Proxy de transfert SSL).
De même, si un pare-feu doit établir des connexions sécurisées avec d’autres pare-feu, l’AC
racine qui génère leurs certificats doit figurer dans la liste des autorités de certification racines
de confiance sur le pare-feu.

Révocation de certificats Gestion des certificats
Révocation de certificats
Les périphériques Palo Alto Networks utilisent les certificats numériques pour garantir la confiance entre les
parties lors d’une session de communication sécurisée. La configuration d’un périphérique pour vérifier le statut
de révocation des certificats confère un niveau de sécurité supplémentaire. Une partie qui présente un certificat
révoqué n’est pas approuvée. Lorsqu’un certificat fait partie d’une chaîne de certificats, le périphérique vérifie le
statut de chacun des certificats de la chaîne à l’exception du certificat AC racine, pour lequel le périphérique ne
peut pas vérifier le statut de révocation.
Diverses circonstances peuvent invalider un certificat avant la date d’expiration. Il peut s’agir par exemple d’un
changement de nom, d’un changement d’association entre le sujet et l’autorité de certification (par exemple, un
employé termine sa période d’emploi), et d’un état compromis (connu ou suspecté) de la clé privée. Dans ces
circonstances, l’autorité de certification qui a généré le certificat doit le révoquer.
Les périphériques Palo Alto Networks prennent en charge les méthodes suivantes pour vérifier le statut de
révocation du certificat. Si vous configurez les deux, les périphériques essaient d’abord la méthode OCSP ; si le
serveur OCSP est indisponible, les périphériques utilisent la méthode de la liste de révocation de
certificats (CRL).
 Liste de révocation de certificats (CRL)
 Protocole OCSP (Online Certificate Status Protocol)
Sur PAN-OS, la vérification du statut de révocation du certificat est une fonctionnalité facultative.
Il est recommandé de l’activer pour les profils du certificat, qui définissent l’authentification des
utilisateurs et des périphériques pour les applications Portail captif, GlobalProtect, VPN de site à
site IPsec et Accès à l’interface Web du pare-feu/de Panorama.
Liste de révocation de certificats (CRL)
Chaque autorité de certification (AC) génère régulièrement une liste de révocation de certificats (CRL) sur un
référentiel public. La liste de révocation de certificats (CRL) identifie les certificats révoqués par le numéro de
série. Dès que l’AC révoque un certificat, la mise à jour suivante de la liste de révocation de certificats (CRL)
comprendra le numéro de série de ce même certificat.
Le pare-feu Palo Alto Networks télécharge et met en cache la dernière liste de révocation de certificats (CRL)
générée pour chacune des AC répertoriées dans la liste des autorités de certification (AC) approuvées du
pare-feu. La mise en cache s’applique uniquement aux certificats validés ; si un pare-feu n’a jamais validé un
certificat, la mémoire cache du pare-feu ne stocke pas la liste de révocation de certificats (CRL) pour l’AC
émettrice. De même, la mémoire cache stocke une liste de révocation de certificats (CRL) uniquement jusqu’à
son expiration.
Le pare-feu prend en charge les listes de révocation de certificats (CRL) uniquement au format DER
(Distinguished Encoding Rules). Si le pare-feu télécharge une liste de révocation de certificats (CRL) dans un
autre format, par exemple, le format PEM (Privacy Enhanced Mail), tout processus de vérification de la
révocation utilisant cette liste échouera lorsqu’un utilisateur effectue une activité qui déclenche le processus (par
exemple, l’envoi de données SSL sortantes). Le pare-feu génèrera un journal système pour l’échec de la
vérification. Si la vérification était pour un certificat SSL, le pare-feu présentera également la page de réponse
Notification des erreurs de certificat à l’utilisateur.

Gestion des certificats Révocation de certificats
Pour utiliser les listes de révocation de certificats (CRL) pour vérifier le statut de révocation des certificats
utilisés pour le décryptage du trafic SSL/TLS entrant et sortant, reportez-vous à la section Configuration de la
vérification du statut de révocation des certificats utilisés pour le décryptage SSL/TLS.
Pour utiliser les listes de révocation de certificats pour vérifier le statut de révocation des certificats qui
authentifient les utilisateurs et les périphériques, configurez un profil de certificat et affectez-le aux interfaces
qui sont spécifiques à l’application : Portail captif, GlobalProtect (utilisateur distant à site ou à grande échelle),
VPN de site à site IPSec, ou Accès à l’interface Web du pare-feu/de Panorama. Pour plus de détails,
reportez-vous à la section Configuration de la vérification du statut de révocation des certificats utilisés pour
l’authentification des utilisateurs/périphériques.
Protocole OCSP (Online Certificate Status Protocol)
Lorsqu’une session SSL/TLS est établie, les clients peuvent utiliser le protocole OCSP (Online Certificate Status
Protocol) pour vérifier le statut de révocation du certificat d’authentification. Le client qui s’authentifie envoie
une requête contenant le numéro de série du certificat au répondeur OCSP (serveur). Le répondeur cherche
dans la base de données de l’autorité de certification (AC) ayant généré le certificat et renvoie une réponse
contenant le statut (valide, révoqué ou inconnu) au client. L’avantage de la méthode OCSP est qu’elle peut vérifier
le statut en temps réel, au lieu de dépendre de la fréquence d’émission (toutes les heures, tous les jours ou toutes
les semaines) des listes de révocation de certificats (CRL).
Le pare-feu Palo Alto Networks télécharge et met en cache les informations sur le statut OCSP pour chacune
des AC répertoriées dans la liste des autorités de certification (AC) approuvées du pare-feu. La mise en cache
s’applique uniquement aux certificats validés ; si un pare-feu n’a jamais validé un certificat, la mémoire cache du
pare-feu ne stocke pas les informations OCSP pour l’AC émettrice. Si votre entreprise dispose de sa propre
infrastructure à clé publique (PKI), vous pouvez configurer le pare-feu comme un répondeur OCSP
(reportez-vous à la section Configuration d’un répondeur OCSP).
Pour utiliser le protocole OCSP pour vérifier le statut de révocation des certificats lorsque le pare-feu fonctionne
comme un proxy de transfert SSL, exécutez les étapes de la section Configuration de la vérification du statut de
révocation des certificats utilisés pour le décryptage SSL/TLS.
Les applications suivantes utilisent les certificats pour authentifier les utilisateurs et/ou les périphériques :
Portail captif, GlobalProtect (utilisateur distant à site ou à grande échelle), VPN de site à site IPSec et Accès à
l’interface Web du pare-feu/de Panorama. Pour utiliser OCSP pour vérifier le statut de révocation des
certificats :
 Configurez un répondeur OCSP.
 Activez le service HTTP OCSP sur le pare-feu.
 Créez ou récupérez un certificat pour chaque application.
 Configurez un profil de certificat pour chaque application.
 Affectez le profil de certificat à l’application correspondante.
Pour prendre en charge les situations dans lesquelles le répondeur OCSP est indisponible, configurez la liste de
révocation de certificats (CRL) en tant que méthode de secours. Pour plus de détails, reportez-vous à la section
Configuration de la vérification du statut de révocation des certificats utilisés pour l’authentification des
utilisateurs/périphériques.

Déploiement de certificats Gestion des certificats
Déploiement de certificats
Les approches de base pour déployer les certificats pour les périphériques Palo Alto Networks sont notamment :
 Obtenir les certificats auprès d’une autorité de certification tierce de confiance : l’avantage en
obtenant un certificat auprès d’une autorité de certification (AC) tierce de confiance telle que VeriSign ou
GoDaddy est que les clients finaux approuvent déjà le certificat parce que des navigateurs communs incluent
des certificats AC tierces générés par des autorités de certification (AC) bien connues dans leurs boutiques
de certificats racines de confiance. Par conséquent, pour les applications qui nécessitent des clients finaux
pour établir des connexions sécurisées avec un périphérique Palo Alto Network, vous devez acheter un
certificat auprès d’une AC que les clients finaux approuvent pour éviter de déployer au préalable des
certificats AC racines chez les clients finaux. (Ces applications sont par exemple un portail GlobalProtect ou
le Gestionnaire de sécurité mobile GlobalProtect.) Veuillez noter, cependant, que la plupart des autorités de
certification (AC) tierces ne peuvent pas générer de certificats de signature. Par conséquent, ce type de
certificat ne convient pas aux applications (par exemple, décryptage SSL/TLS et VPN à grande échelle) qui
nécessitent que le pare-feu génère les certificats. Reportez-vous à la section Obtention d’un certificat auprès
d’une autorité de certification (AC) externe.
 Obtenir les certificats auprès d’une autorité de certification d’entreprise : les entreprises qui disposent
de leur propre AC interne peuvent l’utiliser pour émettre les certificats pour les applications de pare-feu et
les importer sur le pare-feu. L’avantage est que les clients finaux approuvent probablement déjà l’autorité de
certification d’entreprise. Vous pouvez soit générer les certificats nécessaires et les importer sur le pare-feu,
soit générer une demande de signature de certificat (CSR) sur le pare-feu et l’envoyer à l’autorité de
certification d’entreprise pour signature. L’avantage de cette méthode est que la clé privée ne quitte pas le
pare-feu. Une autorité de certification d’entreprise peut aussi générer un certificat de signature, que le
pare-feu utilise pour générer automatiquement les certificats (par exemple, pour le VPN à grande échelle de
GlobalProtect ou les sites demandant un décryptage SSL/TLS). Reportez-vous à la section Importation d’un
certificat et d’une clé privée.
 Générer des certificats auto-signés : vous pouvez Création d’un certificat d’autorité de certification (AC)
racine auto-signé sur le pare-feu et l’utiliser pour émettre automatiquement des certificats pour les autres
applications du pare-feu. Veuillez noter que si vous utilisez cette méthode pour générer les certificats pour
une application qui nécessite un client final pour approuver le certificat, les utilisateurs finaux verront une
erreur de certificat parce que le certificat AC racine ne figure pas dans leur boutique de certificats racines de
confiance. Pour éviter ce problème, déployez le certificat d’autorité de certification (AC) racine auto-signé
sur tous les systèmes des utilisateurs finaux. Vous pouvez déployer les certificats manuellement ou utiliser
une méthode de déploiement centralisée comme un objet GPO (Group Policy Object) d’Active Directory.

Gestion des certificats Configuration de la vérification du statut de révocation des certificats
Configuration de la vérification du statut de révocation des

certificats
Pour vérifier le statut de révocation des certificats, le pare-feu utilise le protocole de statut de certificat ouvert
OCSP (Online Certificate Status Protocol) et/ou les listes de révocation de certificats (CRL). Pour plus
d’informations sur ces méthodes, reportez-vous à la section Révocation de certificats Si vous configurez les
deux méthodes, le pare-feu essaie d’abord le protocole OCSP et ne fait appel à la méthode CRL en secours que
si le répondeur OCSP est indisponible. Si votre entreprise dispose de sa propre infrastructure à clé publique
(PKI), vous pouvez configurer le pare-feu pour qu’il fonctionne comme un répondeur OCSP.
Les rubriques qui suivent décrivent comment configurer le pare-feu pour vérifier le statut de révocation des
certificats :
 Configuration d’un répondeur OCSP
 Configuration de la vérification du statut de révocation des certificats utilisés pour l’authentification des
utilisateurs/périphériques
 Configuration de la vérification du statut de révocation des certificats utilisés pour le
décryptage SSL/TLS
Configuration d’un répondeur OCSP
Pour utiliser le protocole de statut de certificat ouvert OCSP (Online Certificate Status Protocol) pour vérifier
le statut de révocation des certificats, vous devez configurer le pare-feu pour accéder à un répondeur OCSP
(serveur). L’entité qui gère le répondeur OCSP peut être une autorité de certification (AC) tierce ou, si votre
entreprise dispose de sa propre infrastructure à clé publique (PKI), le pare-feu lui-même. Pour plus
d’informations sur le répondeur OCSP, reportez-vous à la section Révocation de certificats.

Configuration de la vérification du statut de révocation des certificats Gestion des certificats
Configuration d’un répondeur OCSP
Étape 1 Définissez un répondeur OCSP. 1. Dans un pare-feu, sélectionnez Périphérique > Gestion des
certificats > Répondeur OCSP, puis cliquez sur Ajouter.
Dans Panorama, sélectionnez Périphérique > Gestion des
certificats > Répondeur OCSP, sélectionnez un modèle, puis
cliquez sur Ajouter.
2. Saisissez un nom pour identifier le répondeur (31 caractères
maximum). Ce nom est sensible à la casse. Il doit être unique et
utiliser uniquement des lettres, des nombres, des espaces, des
traits d’union et des traits de soulignement.
3. Si le pare-feu prend en charge les systèmes virtuels multiples, la
boîte de dialogue affiche une liste déroulante Emplacement.
Sélectionnez le système virtuel sur lequel le répondeur sera
disponible or sélectionnez l’option Partagé pour activer la
disponibilité sur tous les systèmes virtuels.
4. Dans le champ Nom d’hôte, saisissez le nom d’hôte
(recommandé) ou l’adresse IP du répondeur OCSP. À partir de
cette valeur, PAN-OS déduit automatiquement une URL et
l’ajoute au certificat en cours de vérification.
Si vous configurez le pare-feu lui-même comme un répondeur
OCSP, le nom d’hôte doit se résoudre en une adresse IP dans
l’interface que le pare-feu utilise pour les services OCSP
(indiquée à l’Étape 3).
5. Cliquez sur OK.
Étape 2 Activez la communication OCSP sur le 1. Dans un pare-feu, sélectionnez Périphérique > Configuration
pare-feu. > Gestion.
Dans Panorama, sélectionnez Périphérique > Configuration >
Gestion, puis sélectionnez un modèle.
2. Dans la section Paramètres de l’interface de gestion, cliquez sur
Modifier pour cocher la case HTTP OCSP, puis cliquez sur OK.
Étape 3 Pour configurer le pare-feu lui-même 1. Sélectionnez Réseau > Profils réseau > Gestion de l’interface.
comme un répondeur OCSP, vous pouvez 2. Cliquez sur Ajouter pour créer un nouveau profil ou cliquez sur
éventuellement ajouter un profil de le nom d’un profil existant.
gestion d’interface à l’interface utilisée
3. Cochez la case HTTP OCSP, puis cliquez sur OK.
pour les services OCSP.
4. Sélectionnez Réseau > Interfaces puis cliquez sur le nom de
l’interface qui sera utilisée par le pare-feu pour les services
OCSP. Le Nom d’hôte OCSP indiqué à l’Étape 1 doit se
résoudre en une adresse IP dans cette interface.
5. Sélectionnez Avancé > Autres informations, puis sélectionnez
le profil de gestion d’interface que vous venez de créer.

Gestion des certificats Configuration de la vérification du statut de révocation des certificats
Configuration de la vérification du statut de révocation des certificats utilisés

pour l’authentification des utilisateurs/périphériques
Le pare-feu utilise les certificats pour authentifier les utilisateurs et les périphériques pour les applications telles
que : Portail captif, GlobalProtect, VPN de site à site IPSec et Accès à l’interface Web du pare-feu/de Panorama.
Pour une meilleure sécurité, il est recommandé de configurer le pare-feu pour vérifier le statut de révocation des
certificats qu’il utilise pour l’authentification des utilisateurs/périphériques.
Configuration de la vérification du statut de révocation des certificats utilisés pour l’authentification des
utilisateurs/périphériques
Étape 1 Configuration d’un profil de certificat Affectez un ou plusieurs certificats AC racines au profil et
pour chaque application. sélectionnez le mode utilisé par le pare-feu pour la vérification du
statut de révocation des certificats. Le nom commun (nom de
domaine complet (FQDN) ou adresse IP) d’un certificat doit
correspondre à une interface à laquelle vous appliquez le profil à
l’Étape 2.
Pour plus d’informations sur les certificats qui sont utilisés par les
différentes applications, reportez-vous à la section Clés et certificats
Étape 2 Affectez les profils de certificat aux Les étapes pour affecter un profil de certificat dépendent de
applications correspondantes. l’application qui l’exige.
Configuration de la vérification du statut de révocation des certificats utilisés

pour le décryptage SSL/TLS
Le pare-feu décrypte le trafic SSL/TLS entrant et sortant auquel appliquer les politiques et les règles de sécurité,
puis crypte de nouveau le trafic avant de le transférer. (Pour plus de détails, reportez-vous aux sections
Inspection SSL entrante et Proxy de transfert SSL.) Vous pouvez configurer le pare-feu pour vérifier le statut
de révocation des certificats utilisés pour le décryptage comme suit.
L’activation de la vérification du statut de révocation pour les certificats de décryptage SSL/TLS

rallonge la durée du processus établissant la session. Il se peut que la première tentative d’accès
à un site soit un échec si la vérification n’est pas finie avant que la session n’expire. Pour toutes
ces raisons, la vérification est désactivée par défaut.
Configuration de la vérification du statut de révocation des certificats utilisés pour le décryptage SSL/TLS
Étape 1 Accédez à la page Paramètres de Dans un pare-feu, sélectionnez Périphérique > Configuration >
révocation du certificat de décryptage. Session et, dans la section Caractéristiques de la session,
sélectionnez Paramètres de révocation du certificat de
décryptage.
Dans Panorama, sélectionnez Périphérique > Configuration >
Session, sélectionnez un modèle et, dans la section Caractéristiques
de la session, sélectionnez Paramètres de révocation du certificat
de décryptage.

Configuration de la vérification du statut de révocation des certificats Gestion des certificats
Configuration de la vérification du statut de révocation des certificats utilisés pour le décryptage SSL/TLS (suite)
Étape 2 Définissez les durées du délai d’expiration Effectuez l’une des deux ou les deux étapes suivantes, selon que le
spécifiques au service pour les demandes pare-feu doit utiliser le Protocole OCSP (Online Certificate Status
de statut de révocation. Protocol) ou la méthode de la Liste de révocation de certificats
(CRL) pour vérifier le statut de révocation des certificats. Si le pare-feu
doit utiliser les deux méthodes, il essaie d’abord le protocole OCSP ;
si le répondeur OCSP est indisponible, le pare-feu essaie alors la
méthode CRL.
1. Dans la section CRL, cochez la case Activer et saisissez le délai
de réception. Il s’agit de la durée (1-60 secondes) après laquelle
le pare-feu n’attend plus la réponse du service CRL.
2. Dans la section OCSP, cochez la case Activer et saisissez le délai
de réception. Il s’agit de la durée (1-60 secondes) après laquelle
le pare-feu n’attend plus la réponse du répondeur OCSP.
En fonction de la valeur Délai d’expiration du statut du certificat
que vous avez indiquée à l’Étape 3, le pare-feu peut enregistrer un
délai d’expiration avant l’expiration de l’une des deux ou des deux
durées du délai de réception.
Étape 3 Définissez le délai d’expiration total pour Saisissez le délai d’expiration du statut du certificat. Il s’agit de la
les demandes de statut de révocation. durée (1-60 secondes) après laquelle le pare-feu n’attend plus la
réponse d’aucun service de statut de certificat et applique la logique de
blocage de la session que vous pouvez éventuellement définir à
l’Étape 4. Le délai d’expiration du statut du certificat correspond au
délai de réception des méthodes OCSP/CRL de la manière suivante :
• Si vous activez les deux méthodes, OCSP et CRL : le pare-feu
enregistre un délai d’expiration de la demande après l’expiration de
la plus courte des deux durées : la valeur Délai d’expiration du
statut du certificat ou l’agrégation des deux valeurs Délai de
réception.
• Si vous activez uniquement la méthode OCSP : le pare-feu
enregistre un délai d’expiration de la demande après l’expiration de
la plus courte des deux durées : la valeur Délai d’expiration du
statut du certificat ou la valeur Délai de réception par la
méthode OCSP.
• Si vous activez uniquement la méthode CRL : le pare-feu enregistre
un délai d’expiration de la demande après l’expiration de la plus
courte des deux durées : la valeur Délai d’expiration du statut du
certificat ou la valeur Délai de réception par la méthode CRL.
Étape 4 Définissez le comportement de blocage Si vous souhaitez que le pare-feu bloque les sessions SSL/TLS
pour le statut du certificat inconnu ou un lorsque le service OCSP ou CRL renvoie un statut de révocation de
délai d’expiration de la demande de statut certificat inconnu, cochez la case Bloquer une session si le statut du
de révocation. certificat est inconnu. Sinon, le pare-feu poursuit la session.
Si vous souhaitez que le pare-feu bloque les sessions SSL/TLS une
fois qu’il a enregistré un délai d’expiration de la demande, cochez la
case Bloquer une session à l’expiration de la vérification du statut
du certificat. Sinon, le pare-feu poursuit la session.
Étape 5 Enregistrez et appliquez vos entrées. Cliquez sur OK puis sur Valider.

Gestion des certificats Configuration de la clé principale
Configuration de la clé principale

Chaque pare-feu dispose d’une clé principale par défaut qui crypte les clés privées et d’autres éléments secrets
(tels que les mots de passe et les clés partagées). Les clés privées authentifient les utilisateurs dès qu’ils accèdent
aux interfaces d’administration sur le pare-feu. Pour sauvegarder les clés, il est recommandé de configurer la clé
principale sur chaque pare-feu de façon unique et de la changer régulièrement. Pour davantage de sécurité,
utilisez une clé d’encapsulation stockée sur un module de sécurité matériel pour crypter la clé principale. Pour plus
de détails, reportez-vous à la section Cryptage d’une clé principale à l’aide d’un module de sécurité matériel.
Dans une configuration haute disponibilité (HD), assurez-vous que les deux périphériques de la
paire utilisent la même clé principale pour crypter les clés privées et les certificats. Si les clés
principales sont différentes, la synchronisation de la configuration HD ne fonctionnera pas
correctement.
Dès que vous exportez une configuration de pare-feu, la clé principale crypte les mots de passe
des utilisateurs gérés sur les serveurs externes. Pour les utilisateurs gérés au niveau local, le
pare-feu procède au hachage des mots de passe mais la clé principale ne les crypte pas.
Configuration d’une clé principale
1. Dans un pare-feu, sélectionnez Périphérique > Clé principale et diagnostics et, dans la section Clé principale,
cliquez sur l’icône Modifier.
Dans Panorama, sélectionnez Panorama > Clé principale et diagnostics et, dans la section Clé principale, cliquez
sur l’icône Modifier.
2. Saisissez la clé principale active si elle existe.
3. Définissez une nouvelle nouvelle clé principale puis confirmez la nouvelle clé principale. La clé doit contenir
exactement 16 caractères.
4. (Facultatif) Pour indiquer la durée de vie de la clé principale, saisissez le nombre de Jours et/ou Heures après lequel
la clé principale arrive à expiration. Si vous définissez une durée de vie, créez une nouvelle clé principale avant que
l’ancienne n’arrive à expiration.
5. (Facultatif) Si vous définissez une durée de vie pour la clé principale, saisissez une heure de rappel qui précise le
nombre de Jours et Heures précédant l’expiration de la clé principale dès que le pare-feu vous envoie un rappel par
message électronique.
6. (Facultatif) Cochez ou décochez la case pour activer ou désactiver l’utilisation d’un module de sécurité matériel
pour crypter la clé principale. Pour plus de détails, reportez-vous à la section Cryptage d’une clé principale à l’aide
d’un module de sécurité matériel.

Obtention des certificats Gestion des certificats
Obtention des certificats

 Création d’un certificat d’autorité de certification (AC) racine auto-signé
 Génération d’un certificat sur le pare-feu
 Importation d’un certificat et d’une clé privée
 Obtention d’un certificat auprès d’une autorité de certification (AC) externe

Gestion des certificats Obtention des certificats
Création d’un certificat d’autorité de certification (AC) racine auto-signé
Un certificat d’autorité de certification (AC) racine auto-signé est le niveau supérieur de certificat dans une
chaîne de certificats. Un pare-feu peut utiliser ce certificat pour générer automatiquement des certificats destinés
à d’autres utilisations. Par exemple, le pare-feu génère des certificats pour le décryptage SSL/TLS et pour les
périphériques satellites dans un VPN à grande échelle de GlobalProtect.
Lorsque vous établissez une connexion sécurisée avec le pare-feu, le client distant doit approuver l’AC racine
qui a généré le certificat. Sinon, le navigateur du client affiche un message d’avertissement indiquant que le
certificat n’est pas valide et qu’il pourrait (en fonction des paramètres de sécurité) bloquer la connexion. Pour
empêcher cela, dès que le certificat d’autorité de certification (AC) racine auto-signé a été généré, importez-le
sur les systèmes clients.
Génération d’un certificat d’autorité de certification (AC) racine auto-signé
1. Dans un pare-feu, sélectionnez Périphérique > Gestion des certificats > Certificats > Certificats de périphérique.
Dans Panorama, sélectionnez Périphérique > Gestion des certificats > Certificats > Certificats de périphérique,
puis sélectionnez un modèle.
2. Si le pare-feu prend en charge les systèmes virtuels multiples, l’onglet affiche une liste déroulante Emplacement.
Sélectionnez le système virtuel de l’interface. Pour que le certificat soit disponible sur tous les systèmes virtuels,
sélectionnez l’option Partagé décrite à l’Étape 6.
3. Clique sur Générer.
4. Saisissez un nom de certificat, tel que GlobalProtect_CA. Le nom est sensible à la casse et peut comporter
31 caractères. Il doit être unique et utiliser uniquement des lettres, des nombres, des traits d’union et des traits de
soulignement.
5. Dans le champ Nom commun, saisissez le nom de domaine complet (FQDN) (recommandé) ou l’adresse IP de
l’interface sur laquelle vous allez configurer le service qui utilisera ce certificat.
6. Pour que le certificat soit disponible sur tous les systèmes virtuels, cochez la case Partagé. Cette case à cocher
apparaît uniquement si le périphérique prend en charge les systèmes virtuels multiples.
7. Laissez le champ Signé par vide pour indiquer que le certificat est auto-signé.
8. Cochez la case Autorité de certification.
9. Vous ne devez pas sélectionner de répondeur OCSP. La vérification du statut de révocation du certificat ne s’applique
pas aux certificats AC racines.
10. Cliquez sur Générer et sur Valider.

Génération d’un certificat sur le pare-feu
Le pare-feu utilise les certificats pour authentifier les clients, les serveurs, les utilisateurs et les périphériques dans
plusieurs applications, y compris le décryptage SSL/TLS, le portail captif, GlobalProtect, le VPN de site à site
IPSec et l’accès à l’interface Web du pare-feu/de Panorama. Générez des certificats pour chaque utilisation. Pour
plus d’informations sur les certificats spécifiques à une application, reportez-vous à la section Clés et certificats
Pour générer un certificat, vous devez d’abord créer ou importer un certificat d’autorité de certification (AC)
racine pour le signer. Pour plus de détails, reportez-vous à la section Création d’un certificat d’autorité de
certification (AC) racine auto-signé ou Importation d’un certificat et d’une clé privée.
le statut de révocation du certificat, vous devez Configuration d’un répondeur OCSP avant de générer le
certificat. Pour plus d’informations sur la vérification du statut, reportez-vous à la section Révocation de
certificats
Génération d’un certificat sur le pare-feu
4. Saisissez un Nom de certificat. Le nom est sensible à la casse et peut comporter 31 caractères. Il doit être unique et
utiliser uniquement des lettres, des nombres, des traits d’union et des traits de soulignement.
5. Dans le champ Nom commun, saisissez le nom de domaine complet (FQDN) (recommandé) ou l’adresse IP de
l’interface sur laquelle vous allez configurer le service qui utilisera ce certificat.
7. Dans le champ Signé par, sélectionnez le certificat AC racine qui émettra le certificat.
8. Le cas échéant, sélectionnez un répondeur OCSP.
9. (Facultatif) Définissez les paramètres cryptographiques si nécessaire pour créer un certificat qui fonctionnera avec
les périphériques qui doivent s’authentifier en le présentant. La taille de la clé par défaut et recommandée (Nombre
de bits) est de 2 048 bits. L’algorithme de cryptage par défaut et recommandé (Résumer) est HA256.
10. (Facultatif) Ajouter les attributs du certificat pour identifier de façon unique le pare-feu et le service qui utiliseront
le certificat.
Si vous ajoutez un attribut Nom d’hôte (nom DNS), il est recommandé de le faire correspondre au nom
commun. Le nom d’hôte renseigne le champ Autre nom de l’objet (SAN) du certificat.
11. Cliquez sur Générer et, dans l’onglet Certificats de périphérique, cliquez sur le nom du certificat.
12. Cochez les cases qui correspondent à l’utilisation prévue du certificat sur le pare-feu. Par exemple, si le pare-feu doit
utiliser ce certificat pour authentifier l’accès des utilisateurs à son interface Web, cochez la case Certificat pour
l’interface graphique utilisateur Web sécurisée.

Importation d’un certificat et d’une clé privée
Si votre entreprise dispose de sa propre infrastructure à clé publique (PKI), vous pouvez importer un certificat
et une clé privée sur le pare-feu depuis votre autorité de certification (AC) d’entreprise. Les certificats de
l’autorité de certification (AC) d’entreprise (contrairement à la plupart des certificats achetés auprès d’une AC
tierce de confiance) peuvent générer automatiquement des certificats AC pour des applications telles que le
décryptage SSL/TLS ou le VPN à grande échelle.
Au lieu d’importer un certificat d’autorité de certification (AC) racine auto-signé sur tous les
systèmes clients, il est recommandé d’importer un certificat depuis l’autorité de certification
d’entreprise parce que les clients auront déjà établi une relation de confiance avec l’autorité de
certification d’entreprise, ce qui simplifie le déploiement.
Si le certificat que vous devez importer fait partie d’une chaîne de certificats, il est recommandé
d’importer toute la chaîne.
Importation d’un certificat et d’une clé privée
1. Depuis l’autorité de certification d’entreprise, exportez le certificat et la clé privée qui seront utilisés par le pare-feu
pour l’authentification.
Pour exporter une clé privée, vous devez saisir une phrase secrète pour crypter la clé en vue de son transport.
Assurez-vous que le système de gestion peut accéder aux fichiers de certificats et de clés. Pour importer la clé sur le
pare-feu, vous devez saisir la même phrase secrète pour la décrypter.
4. Cliquez sur Importer.
5. Saisissez un Nom de certificat. Le nom est sensible à la casse et peut comporter 31 caractères. Il doit être unique et
utiliser uniquement des lettres, des nombres, des traits d’union et des traits de soulignement.
7. Saisissez le chemin et le nom du fichier du certificat reçu de la part de l’autorité de certification, ou utilisez Parcourir
pour trouver le fichier.
8. Sélectionnez un format de fichier :
• Clé privée et certificat cryptés (PKCS12) : il s’agit du format, par défaut et le plus courant, dans lequel la clé et
le certificat sont enregistrés dans un conteneur unique (Fichier du certificat). Si un module de sécurité matériel
doit stocker la clé privée pour ce certificat, cochez la case La clé privée se trouve sur le module de sécurité
matériel.
• Certificat codé en base-64 (PEM) : vous devez importer la clé séparément du certificat. Si un module de sécurité
matériel stocke la clé privée pour ce certificat, cochez la case La clé privée se trouve sur le module de sécurité
matériel et sautez l’Étape 9. Sinon, cochez la case Importer la clé privée, saisissez le fichier de clé ou accédez
au fichier, puis exécutez l’Étape 9.
9. Saisissez et confirmez la phrase secrète utilisée pour crypter la clé privée.
10. Cliquez sur OK. L’onglet Certificats de périphérique affiche le certificat importé.

Obtention d’un certificat auprès d’une autorité de certification (AC) externe
L’avantage en obtenant un certificat auprès d’une autorité de certification (AC) externe est que la clé privée ne
quitte pas le pare-feu. Pour obtenir un certificat auprès d’une autorité de certification externe, générez une
demande de signature de certificat et envoyez-la à l’AC. Dès que l’AC a généré un certificat doté des attributs
spécifiés, importez-le sur le pare-feu. L’AC peut être une autorité de certification publique bien connue ou une
autorité de certification d’entreprise.
le statut de révocation du certificat, vous devez Configuration d’un répondeur OCSP avant de générer la
demande de signature de certificat.
Obtention d’un certificat auprès d’une autorité de certification externe
Étape 1 Demandez le certificat auprès d’une 1. Dans un pare-feu, sélectionnez Périphérique > Gestion des
autorité de certification externe. certificats > Certificats > Certificats de périphérique.
certificats > Certificats > Certificats de périphérique, puis
sélectionnez un modèle.
2. Si le pare-feu prend en charge les systèmes virtuels multiples,
l’onglet affiche une liste déroulante Emplacement. Sélectionnez
le système virtuel de l’interface. Pour que le certificat soit
disponible sur tous les systèmes virtuels, sélectionnez l’option
Partagé décrite à la sous-étape 6.
4. Saisissez un Nom de certificat. Le nom est sensible à la casse et
peut comporter 31 caractères. Il doit être unique et utiliser
uniquement des lettres, des nombres, des traits d’union et des
traits de soulignement.
5. Dans le champ Nom commun, saisissez le nom de domaine
complet (FQDN) (recommandé) ou l’adresse IP de l’interface
sur laquelle vous allez configurer le service qui utilisera ce
certificat.
6. Pour que le certificat soit disponible sur tous les systèmes virtuels,
cochez la case Partagé. Cette case à cocher apparaît uniquement
si le périphérique prend en charge les systèmes virtuels multiples.
7. Dans le champ Signé par, sélectionnez Autorité externe
(demande de signature de certificat).
8. Le cas échéant, sélectionnez un répondeur OCSP.
9. (Facultatif) Vous devez ajouter les attributs du certificat pour
identifier de façon unique le pare-feu et le service qui utiliseront
le certificat.
Si vous ajoutez un attribut Nom d’hôte, il est
recommandé de le faire correspondre au nom commun
(cela est obligatoire pour GlobalProtect). Le nom d’hôte
renseigne le champ Autre nom de l’objet (SAN) du
certificat.
10. Clique sur Générer. L’onglet Certificats de périphérique affiche
la demande de signature de certificat avec le statut en attente.

Obtention d’un certificat auprès d’une autorité de certification externe (suite)
Étape 2 Envoyez la demande de signature de 1. Sélectionnez la demande de signature de certificat puis cliquez
certificat à l’AC. sur Exporter pour enregistrer le fichier .csr sur un ordinateur
local.
2. Chargez le fichier .csr à destination de l’AC.
Étape 3 Importez le certificat. 1. Dès que l’AC envoie un certificat signé en réponse à la demande
de signature de certificat, retournez dans l’onglet Certificats de
périphérique puis cliquez sur Importer.
2. Saisissez le nom du certificat utilisé pour générer la demande de
signature de certificat à l’Étape 1-4.
3. Saisissez le chemin et le nom du fichier du certificat PEM que
l’AC envoie, ou utilisez Parcourir pour accéder au fichier.
4. Cliquez sur OK. L’onglet Certificats de périphérique affiche le
certificat avec le statut valide.
Étape 4 Configurez le certificat. 1. Cliquez sur le nom du certificat.
2. Cochez les cases qui correspondent à l’utilisation prévue du
certificat sur le pare-feu. Par exemple, si le pare-feu doit utiliser
ce certificat pour authentifier les administrateurs qui accèdent à
l’interface Web, cochez la case Certificat pour l’interface
graphique utilisateur Web sécurisée.

Configuration d’un profil de certificat Gestion des certificats
Configuration d’un profil de certificat

Les profils de certificat définissent l’authentification des utilisateurs et des périphériques pour les applications
suivantes : Portail captif, GlobalProtect, VPN de site à site IPsec, Gestionnaire de sécurité mobile et Accès à
l’interface Web du pare-feu/de Panorama. Les profils indiquent les certificats qui doivent être utilisés, comment
vérifier le statut de révocation du certificat et de quelle façon ce statut permet de restreindre l’accès. Configurez
un profil de certificat pour chaque application.
Il est recommandé d’activer le protocole de statut de certificat ouvert OCSP (Online Certificate
Status Protocol) et/ou la vérification du statut de la liste de révocation de certificats (CRL) pour
les profils de certificat. Pour plus d’informations sur ces modes, reportez-vous à la section
Révocation de certificats.
Configuration d’un profil de certificat
Étape 1 Récupérez les certificats de l’autorité de Exécutez l’une des deux étapes suivantes pour obtenir les certificats
certification (AC) que vous devez AC que vous affecterez au profil. Vous devez en affecter au moins un.
affecter. • Génération d’un certificat sur le pare-feu.
• Exportez un certificat depuis votre autorité de certification
d’entreprise puis importez-le sur le pare-feu (reportez-vous à
l’Étape 3).
Étape 2 Identifiez le profil de certificat. 1. Dans un pare-feu, sélectionnez Périphérique > Gestion des
certificats > Profil de certificats, puis cliquez sur Ajouter.
certificats > Profil de certificats, sélectionnez un modèle, puis
cliquez sur Ajouter.
2. Saisissez un nom pour identifier le profil. Ce nom est sensible à
la casse. Il doit être unique et utiliser uniquement des lettres, des
nombres, des espaces, des traits d’union et des traits de
soulignement. Il peut comporter 31 caractères maximum.
3. Si le pare-feu prend en charge les systèmes virtuels multiples, la
boîte de dialogue affiche une liste déroulante Emplacement.
Sélectionnez le système virtuel sur lequel le profil sera
disponible ou sélectionnez Partagé pour activer la disponibilité
sur tous les systèmes virtuels.

Gestion des certificats Configuration d’un profil de certificat
Configuration d’un profil de certificat (suite)
Étape 3 Affectez un ou plusieurs certificats. Exécutez les étapes suivantes pour chaque certificat :
1. Dans le tableau Certificats AC, cliquez sur Ajouter.
2. Sélectionnez un certificat AC de l’Étape 1, ou cliquez sur
Importer et exécutez les sous-étapes suivantes :
a. Saisissez un Nom de certificat.
b. Saisissez le chemin et le nom du fichier du certificat que
vous avez exporté depuis votre autorité de certification
d’entreprise, ou utilisez Parcourir pour trouver le fichier.
c. Cliquez sur OK.
3. Si le pare-feu utilise la méthode OCSP pour vérifier le statut de
révocation du certificat, vous pouvez éventuellement
configurer les champs suivants pour appliquer un contrôle
prioritaire sur le comportement par défaut. Pour la plupart des
déploiements, ces champs ne s’appliquent pas.
• Par défaut, le pare-feu utilise l’URL du répondeur OCSP que
vous avez définie dans la procédure Configuration d’un
répondeur OCSP. Pour appliquer un contrôle prioritaire sur
ce paramètre, saisissez une URL OCSP par défaut (en
commençant par http:// ou https://).
• Par défaut, le pare-feu utilise le certificat sélectionné dans le
champ Certificat AC pour valider les réponses OCSP. Pour
utiliser un certificat différent pour la validation,
sélectionnez-le dans le champ Certificat AC pour la
vérification OCSP.
4. Cliquez sur OK. Le tableau Certificats AC affiche le certificat
affecté.

Configuration d’un profil de certificat Gestion des certificats
Configuration d’un profil de certificat (suite)
Étape 4 Définissez les méthodes de vérification 1. Sélectionnez Utiliser CRL et/ou Utiliser OCSP. Si vous
du statut de révocation du certificat et le sélectionnez les deux méthodes, le pare-feu essaie d’abord le
comportement de blocage associé. protocole OCSP et ne fait appel à la méthode CRL en secours
que si le répondeur OCSP est indisponible.
2. En fonction de la méthode de vérification, saisissez le délai de
réception CRL et/ou le délai de réception OCSP. Il s’agit de la
durée (1-60 secondes) après laquelle le pare-feu n’attend plus la
réponse du service CRL/OCSP.
3. Saisissez le délai d’expiration du statut du certificat. Il s’agit
de la durée (1-60 secondes) après laquelle le pare-feu n’attend
plus la réponse d’aucun service de statut de certificat et
applique la logique de blocage de la session que vous avez
définie. Le délai d’expiration du statut du certificat
correspond au délai de réception des méthodes OCSP/CRL
de la manière suivante :
• Si vous activez les deux méthodes, OCSP et CRL : le
pare-feu enregistre un délai d’expiration de la demande après
l’expiration de la plus courte des deux durées : la valeur Délai
d’expiration du statut du certificat ou l’agrégation des deux
valeurs Délai de réception.
• Si vous activez uniquement la méthode OCSP : le pare-feu
enregistre un délai d’expiration de la demande après
d’expiration du statut du certificat ou la valeur Délai de
réception par la méthode OCSP.
• Si vous activez uniquement la méthode CRL : le pare-feu
enregistre un délai d’expiration de la demande après
d’expiration du statut du certificat ou la valeur Délai de
réception par la méthode CRL.
4. Si vous souhaitez que le pare-feu bloque les sessions lorsque le
service OCSP ou CRL renvoie un statut de révocation de
certificat inconnu, cochez la case Bloquer une session si le
statut du certificat est inconnu. Sinon, le pare-feu poursuit la
session.
5. Si vous souhaitez que le pare-feu bloque les sessions une fois
qu’il a enregistré un délai d’expiration de la demande OCSP ou
CRL, cochez la case Bloquer une session si le statut du
certificat ne peut pas être récupéré avant le délai
d’expiration. Sinon, le pare-feu poursuit la session.
Étape 5 Enregistrez et appliquez vos entrées. Cliquez sur OK puis sur Valider.

Gestion des certificats Configuration de la taille de clé des certificats du serveur proxy de transfert SSL
Configuration de la taille de clé des certificats du serveur

proxy de transfert SSL
Lorsqu’il répond à un client dans une session de Proxy de transfert SSL, le pare-feu crée une copie du certificat
qui lui est présenté par le serveur de destination et l’utilise pour établir sa connexion avec le client. Par défaut,
le pare-feu génère des certificats avec la même taille de clé que le certificat présenté par le serveur de destination.
Cependant, vous pouvez modifier la taille de clé utilisée par le pare-feu pour générer des certificats pour
l’établissement de sessions avec ses clients comme suit :
Configuration de la taille de clé utilisée dans les communications avec le serveur proxy de transfert SSL
Étape 1 Sélectionnez Périphérique > Configuration > Session et, dans la section Paramètres de décryptage, cliquez sur
Paramètres de certificat du serveur proxy de transfert.
Étape 2 Sélectionnez une taille de clé :

• Définie par l’hôte de destination : le pare-feu détermine la taille de clé avec laquelle les certificats sont
générés pour établir des sessions de proxy SSL avec les clients en fonction de la taille de clé du certificat du
serveur de destination. Si le serveur de destination utilise une clé RSA de 1024 bits, le pare-feu génère un
certificat avec cette taille de clé et un algorithme de hachage SHA-1. Si le serveur de destination utilise une
taille de clé supérieure à 1024 bits (par exemple, 2048 ou 4096 bits), le pare-feu génère un certificat qui utilise
une clé RSA de 2048 bits et un algorithme de hachage SHA-256. Il s’agit du paramètre par défaut.
• RSA de 1024 bits : le pare-feu génère des certificats qui utilisent une clé RSA de 1024 bits et un algorithme
de hachage SHA-1, quelle que soit la taille de clé des certificats du serveur de destination. Depuis le
31 décembre 2013, les autorités de certification publiques et les navigateurs les plus courants ont limité la
prise en charge des certificats for X.509 qui utilisent des clés de moins de 2048 bits. À l’avenir, selon les
paramètres de sécurité, lorsque de telles clés lui sont présentées, le navigateur peut avertir l’utilisateur ou
bloquer la session SSL/TLS.
• RSA de 2048 bits : le pare-feu génère des certificats qui utilisent une clé RSA de 2048 bits et un algorithme
de hachage SHA-256, quelle que soit la taille de clé des certificats du serveur de destination. Les autorités de
certification publiques et les navigateurs les plus courants prennent en charge les clés de 2048 bits, qui
fournissent une meilleure sécurité que les clés de 1024 bits.
La modification de la taille de clé efface le cache actuel des certificats.
Étape 3 Cliquez sur OK puis sur Valider.

Révocation et renouvellement de certificats Gestion des certificats
Révocation et renouvellement de certificats

 Révocation d’un certificat
 Renouvellement d’un certificat
Révocation d’un certificat
Diverses circonstances peuvent invalider un certificat avant la date d’expiration. Il peut s’agir par exemple d’un
changement de nom, d’un changement d’association entre le sujet et l’autorité de certification (par exemple, un
employé termine sa période d’emploi), et d’un état compromis (connu ou suspecté) de la clé privée. Dans ces
circonstances, l’autorité de certification qui a généré le certificat doit le révoquer. La tâche qui suit explique
comment révoquer un certificat pour lequel le pare-feu est l’autorité de certification (AC).
Révocation d’un certificat
1. Sélectionnez Périphérique > Gestion des certificats > Certificats > Certificats de périphérique.
Sélectionnez le système virtuel auquel le certificat appartient.
3. Sélectionnez le certificat à révoquer.
4. Cliquez sur Révoquer. PAN-OS définit immédiatement le statut du certificat sur révoqué et ajoute le numéro de série
à la mémoire cache du répondeur OCSP (Online Certificate Status Protocol) ou à la liste de révocation de certificats
(CRL). Vous n’avez pas besoin de valider.
Renouvellement d’un certificat
Si un certificat expire, ou doit expirer sous peu, vous pouvez réinitialiser la période de validité. Si une autorité
de certification (AC) externe a signé le certificat et que le pare-feu utilise la méthode OCSP (Online Certificate
Status Protocol) pour vérifier le statut de révocation du certificat, le pare-feu utilise les informations du
répondeur OCSP pour mettre à jour le statut du certificat (reportez-vous à la section Configuration d’un
répondeur OCSP). Si le pare-feu est l’AC qui a généré le certificat, le pare-feu le remplace par un nouveau
certificat qui est doté d’un numéro de série différent mais des mêmes attributs que l’ancien certificat.
Renouvellement d’un certificat
Sélectionnez le système virtuel auquel le certificat appartient.
3. Sélectionnez le certificat à renouveler et cliquez sur Renouveler.
4. Saisissez un nouveau délai d’expiration (en jours).

Gestion des certificats Sécurisation des clés avec un module de sécurité matériel
Sécurisation des clés avec un module de sécurité matériel

Un module de sécurité matériel est un dispositif physique qui gère les clés numériques. Un module de sécurité
matériel permet la génération et le stockage sécurisés de clés numériques. Il offre une protection à la fois logique
et physique de ces équipements matériels contre une utilisation non autorisée et des adversaires potentiels.
Les clients du module de sécurité matériel intégrés aux périphériques Palo Alto Networks activent la sécurité
renforcée pour les clés privées utilisées dans le décryptage SSL/TLS (le proxy de transfert SSL ainsi que
l’inspection SSL entrante). En outre, vous pouvez utiliser le module de sécurité matériel pour crypter les clés
principales du périphérique.
Les rubriques qui suivent expliquent comment intégrer un module de sécurité matériel à vos périphériques Palo
Alto Networks :
 Paramétrage de la connectivité à un module de sécurité matériel
 Cryptage d’une clé principale à l’aide d’un module de sécurité matériel
 Enregistrement des clés privées sur un module de sécurité matériel
 Gestion du déploiement du module de sécurité matériel

Sécurisation des clés avec un module de sécurité matériel Gestion des certificats
Paramétrage de la connectivité à un module de sécurité matériel
Les clients du module de sécurité matériel sont intégrés aux pare-feu des PA-3000 Series, PA-4000 Series,
PA-5000 Series, PA-7050 et VM-Series, et sur Panorama (appareil virtuel et appareil M-100) à utiliser avec les
modules de sécurité matériels suivants :
 SafeNet Luna SA 5.2.1 ou version ultérieure
 Thales Nshield Connect 11.62 ou version ultérieure
La version du serveur de module de sécurité matériel doit être compatible avec les versions de
ces clients. Reportez-vous à la documentation du fournisseur du module de sécurité matériel
pour la matrice de compatibilité de la version client/serveur.
Les rubriques qui suivent décrivent comment paramétrer la connectivité entre le pare-feu/Panorama et l’un des
modules de sécurité matériels pris en charge :
 Paramétrer la connectivité à un module de sécurité matériel SafeNet Luna SA
 Paramétrer la connectivité à un module de sécurité matériel Thales Nshield Connect
Paramétrer la connectivité à un module de sécurité matériel SafeNet Luna SA
Pour paramétrer la connectivité entre le périphérique Palo Alto Networks et un module de sécurité matériel
SafeNet Luna SA, vous devez indiquer l’adresse du serveur de module de sécurité matériel et le mot de passe
pour s’y connecter dans la configuration du pare-feu. En outre, vous devez enregistrer le pare-feu avec le serveur
de module de sécurité matériel. Avant de commencer la configuration, vérifiez que vous avez bien créé une
partition pour les périphériques Palo Alto Networks sur le serveur de module de sécurité matériel.
La configuration du module de sécurité matériel n’est pas synchronisée entre les pare-feux
homologues haute disponibilité. C’est pourquoi, vous devez configurer le module de sécurité
matériel individuellement sur chacun des homologues.
Dans les déploiements HD d’une configuration active/passive, vous devez déclencher un
basculement manuel pour configurer et authentifier chaque homologue HD individuellement sur
le module de sécurité matériel. Une fois le basculement manuel effectué, l’interaction entre les
utilisateurs n’est pas requise pour la fonction de basculement.

Paramétrage de la connectivité à un module de sécurité matériel SafeNet Luna SA
Étape 1 Configurez le pare-feu pour qu’il 1. Connectez-vous à l’interface Web du pare-feu et sélectionnez
communique avec le module de Périphérique > Configuration > Module de sécurité matériel.
sécurité matériel SafeNet Luna SA. 2. Modifiez la section Fournisseur de module de sécurité matériel et
sélectionnez Safenet Luna SA comme Fournisseur configuré.
3. Cliquez sur Ajouter et saisissez un nom de module. Il peut s’agir de
n’importe quelle chaîne ASCII de 31 caractères maximum.
4. Saisissez l’adresse IPv4 du module de sécurité matériel comme Adresse
du serveur.
Si vous définissez une configuration de module de sécurité matériel
haute disponibilité, saisissez les noms et les adresses IP des modules
pour les périphériques de module de sécurité matériel supplémentaires.
5. (Facultatif) Si vous paramétrez une configuration de module de sécurité
matériel haute disponibilité, cochez la case Haute disponibilité et
ajoutez les informations suivantes : une valeur pour Tentative de
rétablissement automatique et le nom du groupe haute disponibilité.
Si deux serveurs de module de sécurité matériel sont configurés, vous
devez configurer une haute disponibilité. Sinon, le second serveur de
module de sécurité matériel ne sera pas utilisé.
Étape 2 (Facultatif) Configurez un 1. Sélectionnez Périphérique > Configuration > Services.

itinéraire de service pour 2. Sélectionnez Configuration de l’itinéraire de service dans la zone
autoriser le pare-feu à se Fonctionnalités des services.
connecter au module de sécurité
3. Sélectionnez Personnaliser dans la zone Configuration de l’itinéraire
matériel.
de service.
Par défaut, le pare-feu utilise 4. Sélectionnez l’onglet IPv4.
l’Interface de gestion pour
5. Sélectionnez Module de sécurité matériel dans la colonne Service.
communiquer avec le module de
sécurité matériel. Pour utiliser une 6. Sélectionnez une interface à utiliser pour le module de sécurité matériel
interface différente, vous devez dans la liste déroulante Interface source.
configurer un itinéraire de Si vous sélectionnez un port connecté à un plan de données pour
service. le module de sécurité matériel, déclenchez la commande CLI
clear session all pour effacer toutes les sessions existantes
du module de sécurité matériel qui provoquant tous les états
Indisponible et Actif du module de sécurité matériel. Durant les
quelques secondes nécessaires pour rétablir le module de sécurité
matériel, toutes les opérations SSL/TLS se solderont par un
échec.

Paramétrage de la connectivité à un module de sécurité matériel SafeNet Luna SA (suite)
Étape 3 Configurez le pare-feu pour qu’il 1. Sélectionnez Périphérique > Configuration > Module de sécurité
s’authentifie sur le module de matériel.
sécurité matériel. 2. Sélectionnez Paramétrer le module de sécurité matériel dans la zone
Opérations de sécurité matérielle.
3. Sélectionnez le nom du serveur de module de sécurité matériel dans le
menu déroulant.
4. Saisissez le mot de passe administrateur pour authentifier le pare-feu
sur le module de sécurité matériel.
5. Cliquez sur OK.
Le pare-feu tente d’effectuer une authentification auprès du module de
sécurité matériel et affiche un message d’état.
6. Cliquez sur OK.
Étape 4 Enregistrez le pare-feu (le client 1. Connectez-vous au module de sécurité matériel depuis un système
du module de sécurité matériel) distant.
avec le module de sécurité 2. Enregistrez le pare-feu en saisissant la commande suivante :
matériel et affectez-le à une client register -c <cl-name> -ip <fw-ip-addr>
partition sur le module de
où <cl-name> est un nom que vous affectez au pare-feu à utiliser sur le
sécurité matériel.
module de sécurité matériel et <fw-ip-addr> est l’adresse IP du
Si le module de sécurité pare-feu qui est en cours de configuration en tant que client du module
matériel comporte déjà un de sécurité matériel.
pare-feu avec le même 3. Affectez une partition au pare-feu en saisissant la commande suivante :
nom <cl-name> client assignpartition -c <cl-name> -p <partition-name>
enregistré, vous devez
où <cl-name> est le nom affecté au pare-feu dans la commande client
supprimer le doublon
register et <partition-name> est le nom d’une partition configurée
d’enregistrement en
précédemment que vous souhaitez affecter au pare-feu.
exécutant la commande
suivante avant la fin de
l’enregistrement :
client delete -client
<cl-name>
où <cl-name> est
l’enregistrement du nom du client
(pare-feu) que vous souhaitez
supprimer.
Étape 5 Configurez le pare-feu pour qu’il 1. Sélectionnez Périphérique > Configuration > Module de sécurité
se connecte à la partition du matériel.
module de sécurité matériel. 2. Cliquez sur l’icône Actualiser.
3. Sélectionnez la partition Paramétrage du module de sécurité
matériel dans la zone Opérations de sécurité matérielle.
4. Saisissez le mot de passe de la partition pour authentifier le pare-feu
sur la partition du module de sécurité matériel.
5. Cliquez sur OK.

Paramétrage de la connectivité à un module de sécurité matériel SafeNet Luna SA (suite)
Étape 6 (Facultatif) Configurez un 1. Suivez les procédures de l’Étape 1 à l’Étape 5 pour ajouter un module
module de sécurité matériel de sécurité matériel supplémentaire pour une haute disponibilité (HD).
supplémentaire pour une haute Ce processus ajoute un nouveau module de sécurité matériel au groupe
disponibilité (HD). HD existant.
2. Si vous supprimez un module de sécurité matériel de votre
configuration, répétez l’Étape 5.
Celle-ci supprimera le module de sécurité matériel qui a été supprimé
dans le groupe HD existant.
Étape 7 Vérifiez la connectivité au 1. Sélectionnez Périphérique > Configuration > Module de sécurité
module de sécurité matériel. matériel.
2. Vérifiez le statut de la connexion au module de sécurité matériel :
Vert : le module de sécurité matériel est authentifié et connecté.
Rouge : le module de sécurité matériel n’a pas été authentifié ou la
connectivité réseau au module de sécurité matériel est en panne.
3. Affichez les colonnes suivantes dans la zone Statut du module de
sécurité matériel pour déterminer le statut d’authentification :
Numéro de série : numéro de série de la partition du module de sécurité
matériel si celui-ci a été authentifié avec succès.
Partition : nom de la partition du module de sécurité matériel qui a été
affectée sur le pare-feu.
État du module : état de fonctionnement actuel du module de sécurité
matériel. La valeur de ce paramètre est toujours Authentifiée si le
module de sécurité matériel s’affiche dans ce tableau.
Paramétrer la connectivité à un module de sécurité matériel Thales Nshield Connect
Le flux de travail suivant indique comment configurer le pare-feu pour qu’il communique avec un module de
sécurité matériel Thales Nshield Connect. Pour cette configuration, vous devez obligatoirement paramétrer un
système de fichiers distant (RFS) à utiliser en tant que concentrateur pour synchroniser les données de clés pour
tous les pare-feux dans votre organisation qui utilisent le module de sécurité matériel.
La configuration du module de sécurité matériel n’est pas synchronisée entre les pare-feux
homologues haute disponibilité. C’est pourquoi, vous devez configurer le module de sécurité
matériel individuellement sur chacun des homologues.
Si la configuration du pare-feu haute disponibilité est en mode de configuration active/passive,
vous devez déclencher un basculement manuel pour configurer et authentifier chaque
homologue HD individuellement sur le module de sécurité matériel. Une fois le basculement
manuel effectué, l’interaction entre les utilisateurs n’est pas requise pour la fonction de
basculement.

Paramétrage de la connectivité à un module de sécurité matériel Thales Nshield Connect
Étape 1 Configurez le serveur 1. Dans l’interface Web du pare-feu, sélectionnez Périphérique > Configuration
Thales Nshield Connect > Module de sécurité matériel et modifiez la section Fournisseur de module
comme fournisseur de de sécurité matériel.
module de sécurité 2. Sélectionnez Thales Nshield Connect comme Fournisseur configuré.
matériel du pare-feu.
3. Cliquez sur Ajouter et saisissez un nom de module. Il peut s’agir de n’importe
quelle chaîne ASCII de 31 caractères maximum.
4. Saisissez l’adresse IPv4 comme Adresse du serveur du module de sécurité
matériel.
Si vous définissez une configuration de module de sécurité matériel haute
disponibilité, saisissez les noms et les adresses IP des modules pour les
périphériques de module de sécurité matériel supplémentaires.
5. Saisissez l’adresse IPv4 de l’adresse du système de fichiers distant.
Étape 2 (Facultatif) Configurez un 1. Sélectionnez Périphérique > Configuration > Services.

itinéraire de service pour 2. Sélectionnez Configuration de l’itinéraire de service dans la zone
autoriser le pare-feu à se Fonctionnalités des services.
connecter au module de
3. Sélectionnez Personnaliser dans la zone Configuration de l’itinéraire de
service.
Par défaut, le pare-feu 4. Sélectionnez l’onglet IPv4.
utilise l’Interface de
5. Sélectionnez Module de sécurité matériel dans la colonne Service.
gestion pour
communiquer avec le 6. Sélectionnez une interface à utiliser pour le module de sécurité matériel dans la
module de sécurité liste déroulante Interface source.
matériel. Pour utiliser une Si vous sélectionnez un port connecté à un plan de données pour le
interface différente, vous module de sécurité matériel, déclenchez la commande CLI clear
devez configurer un session all pour effacer toutes les sessions existantes du module de
itinéraire de service. sécurité matériel qui provoquant tous les états Indisponible et Actif du
module de sécurité matériel. Durant les quelques secondes nécessaires
pour rétablir le module de sécurité matériel, toutes les opérations
SSL/TLS se solderont par un échec.

Paramétrage de la connectivité à un module de sécurité matériel Thales Nshield Connect (suite)
Étape 3 Enregistrez le pare-feu 1. Connectez-vous à l’affichage de la façade de l’unité de module de sécurité

(le client du module de matériel Thales Nshield Connect.
sécurité matériel) avec le 2. Sur la façade de l’unité, utilisez le bouton de navigation droit pour sélectionner
serveur de module de Système > Configuration du système > Config. du client > Nouveau client.
Cette étape décrit
sommairement la
procédure pour utiliser
l’interface de la façade du
module de sécurité
matériel Thales Nshield
Connect. Pour plus 3. Saisissez l’adresse IP du pare-feu.
d’informations, consultez
la documentation Thales. 4. Sélectionnez Système > Configuration du système > Config. du client >
Système de fichiers à distance et saisissez l’adresse IP de l’ordinateur client
sur lequel vous avez paramétré le système de fichiers distant.
Étape 4 Paramétrez le système 1. Connectez-vous au système de fichiers distant (RFS) depuis un client Linux.
de fichiers à distance 2. Récupérez le numéro de série électronique (ESN) et le hachage de la clé
pour qu’il accepte les KNETI. La clé KNETI authentifie le module auprès des clients :
connexions provenant anonkneti <ip-address>
du pare-feu.
où <ip-address> est l’adresse IP du module de sécurité matériel.
Vous trouverez ci-dessous un exemple de sortie :
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
Dans cet exemple, B1E2-2D4C-E6A2 est le numéro de série électronique (ESN)
et 5a2e5107e70d525615a903f6391ad72b1c03352c est le hachage de la clé
KNETI.
3. Saisissez la commande suivante depuis un compte super-utilisateur pour
effectuer le paramétrage du système de fichiers distant :
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
où <ip-address> est l’adresse IP du module de sécurité matériel,
<ESN> est le numéro de série électronique (ESN) et
<hash-Kneti-key> est le hachage de la clé KNETI.
L’exemple suivant utilise les valeurs obtenues dans cette procédure :
rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4. Exécutez la commande suivante pour autoriser le client à envoyer des fichiers
sur le système de fichiers distant :
rfs-setup --gang-client --write-noauth <FW-IPaddress>
où <FW-IPaddress> est l’adresse IP du pare-feu.

Paramétrage de la connectivité à un module de sécurité matériel Thales Nshield Connect (suite)
Étape 5 Configurez le pare-feu 1. Dans l’interface Web du pare-feu, sélectionnez Périphérique > Configuration
pour qu’il s’authentifie sur > Module de sécurité matériel.
le module de sécurité 2. Sélectionnez Paramétrer le module de sécurité matériel dans la zone
matériel. Opérations de sécurité matérielle.
3. Cliquez sur OK.
Le pare-feu tente d’effectuer une authentification auprès du module de sécurité
matériel et affiche un message d’état.
4. Cliquez sur OK.
Étape 6 Synchronisez le pare-feu 1. Sélectionnez Périphérique > Configuration > Module de sécurité matériel.
avec le système de fichiers 2. Sélectionnez Synchroniser avec le système de fichiers distant dans la
distant. section Opérations de sécurité matérielle.
Étape 7 Vérifiez que le pare-feu 1. Sélectionnez Périphérique > Configuration > Module de sécurité matériel.
peut se connecter au 2. Contrôlez l’indicateur d’état pour vérifier que le pare-feu est connecté au
module de sécurité module de sécurité matériel :
matériel.
Vert : le module de sécurité matériel est authentifié et connecté.
Rouge : le module de sécurité matériel n’a pas été authentifié ou la connectivité
réseau au module de sécurité matériel est en panne.
3. Affichez les colonnes suivantes dans la section Statut du module de sécurité
matériel pour déterminer le statut d’authentification.
Nom : nom du module de sécurité matériel qui tente d’être authentifié.
Adresse IP : Adresse IP du module de sécurité matériel qui a été affecté sur le
pare-feu.
État du module : État de fonctionnement actuel du module de sécurité
matériel : Authentifié ou Non authentifié.

Cryptage d’une clé principale à l’aide d’un module de sécurité matériel
Une clé principale est configurée sur un pare-feu Palo Alto Networks pour crypter toutes les clés privées et tous
les mots de passe. Si vous avez des exigences de sécurité pour le stockage de vos clés privées dans un
emplacement sécurisé, vous pouvez crypter la clé principale à l’aide d’une clé de cryptage qui est enregistrée sur
un module de sécurité matériel. Le pare-feu demande ensuite au module de sécurité matériel de décrypter la clé
principale chaque fois qu’il est nécessaire de décrypter un mot de passe ou une clé privée sur le pare-feu.
Normalement, le module de sécurité matériel est situé dans un emplacement hautement sécurisé qui est
indépendant du pare-feu afin de renforcer la sécurité.
Le module de sécurité matériel crypte la clé principale à l’aide d’une clé d’encapsulation. Pour maintenir la
sécurité, cette clé de cryptage doit être changée de temps en temps. C’est pourquoi, une commande est prévue
sur le pare-feu pour la rotation de la clé d’encapsulation qui modifie le cryptage de la clé principale. La fréquence
de cette rotation de la clé d’encapsulation dépend de votre application.
Le cryptage de la clé principale à l’aide d’un module de sécurité matériel n’est pas pris en charge
sur le pare-feu configuré en mode FIPS ou CC.
Les rubriques suivantes expliquent comment crypter initialement la clé principale, puis comment actualiser son
cryptage :
 Crypter la clé principale
 Actualiser le cryptage de la clé principale
Crypter la clé principale
Si vous n’avez pas crypté la clé principale sur un périphérique auparavant, utilisez la procédure suivante pour la
crypter. Utilisez cette procédure pour le tout premier cryptage d’une clé, ou si vous définissez une nouvelle clé
principale et que vous souhaitez la crypter. Si vous souhaitez actualiser le cryptage sur une clé précédemment
cryptée, reportez-vous à la section Actualiser le cryptage de la clé principale.
Cryptage d’une clé principale à l’aide d’un module de sécurité matériel
Étape 1 Sélectionnez Périphérique > Clé principale et diagnostics.
Étape 2 Indiquez la clé actuellement utilisée pour crypter toutes les clés privées et tous les mots de passe sur le pare-feu
dans le champ Clé principale.
Étape 3 Si vous devez changer la clé principale, saisissez la nouvelle clé principale et confirmez-la.
Étape 4 Cochez la case Module de sécurité matériel.

Durée de vie : nombre de jours et d’heures après lequel la clé principale arrive à expiration (période de 1 à
730 jours).
Heure de rappel : nombre de jours et d’heures avant l’expiration lorsque l’utilisateur est informé de l’expiration
imminente (période de 1 à 365 jours).
Étape 5 Cliquez sur OK.

Actualiser le cryptage de la clé principale
Il est recommandé d’actualiser le cryptage de la clé principale par la rotation régulière de la clé d’encapsulation
de la clé principale sur le module de sécurité matériel. Cette commande est la même pour les deux types de
module de sécurité matériel, SafeNet Luna SA et Thales Nshield Connect.
Actualisation du cryptage de la clé principale
1. Saisissez la commande CLI suivante pour effectuer la rotation de la clé d’encapsulation pour la clé principale sur un
module de sécurité matériel :
> request hsm mkey-wrapping-key-rotation
Si la clé principale est cryptée sur le module de sécurité matériel, la commande CLI génèrera une nouvelle clé
d’encapsulation sur le module de sécurité matériel et cryptera la clé principale avec la nouvelle clé d’encapsulation.
Si la clé principale n’est pas cryptée sur le module de sécurité matériel, la commande CLI génèrera une nouvelle clé
d’encapsulation sur le module de sécurité matériel pour une prochaine utilisation.
L’ancienne clé d’encapsulation n’est pas supprimée par cette commande.

Enregistrement des clés privées sur un module de sécurité matériel
Pour davantage de sécurité, les clés privées utilisées pour activer le décryptage SSL/TLS (le proxy de transfert
SSL ainsi que l’inspection SSL entrante) peuvent être enregistrées en toute sécurité sur un module de sécurité
matériel comme suit :
 Proxy de transfert SSL : la clé privée dans le certificat AC qui est utilisée pour signer les certificats dans les
opérations du proxy de transfert SSL/TLS peut être enregistrée sur le module de sécurité matériel. Le
pare-feu envoie ensuite les certificats qu’il génère durant les opérations du proxy de transfert SSL/TLS au
module de sécurité matériel pour signature avant de les transférer vers le client.
 Inspection SSL entrante : les clés privées pour les serveurs internes pour lesquels vous effectuez
l’inspection SSL/TLS entrante peuvent être enregistrées sur le module de sécurité matériel.
Pour obtenir des instructions sur l’importation des clés privées sur le module de sécurité matériel, reportez-vous
à la documentation fournie par votre fournisseur de module de sécurité matériel. Une fois que les clés requises
sont enregistrées sur le module de sécurité matériel, vous pouvez configurer le pare-feu pour localiser les clés
comme suit :
Enregistrement des clés privées sur un module de sécurité matériel
Étape 1 Importez les clés privées utilisées Pour obtenir des instructions sur l’importation des clés privées sur le module
dans vos déploiements de proxy de sécurité matériel, reportez-vous à la documentation fournie par votre
de transfert SSL et/ou fournisseur de module de sécurité matériel.
d’inspection SSL entrante sur le
module de sécurité matériel.
Étape 2 (Thales Nshield Connect 1. Dans l’interface Web du pare-feu, sélectionnez Périphérique >
uniquement) Synchronisez les Configuration > Module de sécurité matériel.
données de clés provenant du 2. Sélectionnez Synchroniser avec le système de fichiers distant dans la
système de fichiers distant du section Opérations de sécurité matérielle.
module de sécurité matériel avec
le pare-feu.
Étape 3 Importez le(s) certificat(s) qui 1. Dans l’interface Web du pare-feu, sélectionnez Périphérique > Gestion
correspond(ent) à la clé ou aux des certificats > Certificats > Certificats de périphérique.
clés privées que vous stockez sur 2. Cliquez sur Importer.
le module de sécurité matériel sur
3. Saisissez le nom du certificat.
le pare-feu.
4. Saisissez le nom de fichier du fichier du certificat que vous avez
importé sur le module de sécurité matériel.
5. Sélectionnez le format de fichier approprié dans la liste déroulante.
6. Cochez la case La clé privée se trouve sur le module de sécurité
matériel.
7. Cliquez sur OK et sur Valider.
Étape 4 (Certificats d’approbation de 1. Sélectionnez Périphérique > Gestion des certificats > Certificats >
transfert uniquement) Activez le Certificats de périphérique.
certificat à utiliser dans le proxy 2. Localisez le certificat que vous avez importé à l’Étape 3.
de transfert SSL/TLS.
3. Cochez la case Transférer le certificat sécurisé.
4. Cliquez sur OK et sur Valider.

Enregistrement des clés privées sur un module de sécurité matériel (suite)
Étape 5 Vérifiez que le certificat a été 1. Sélectionnez Périphérique > Gestion des certificats > Certificats >
importé avec succès sur le Certificats de périphérique.
pare-feu. 2. Localisez le certificat que vous avez importé à l’Étape 3.
3. Dans la colonne Clé, observez les points suivants :
Si une icône Verrou est affichée, la clé privée pour le certificat est
accessible sur le module de sécurité matériel.
Si une icône Erreur est affichée, la clé privée n’a pas été importée sur le
module de sécurité matériel ou le module de sécurité matériel n’a pas été
correctement authentifié ou connecté.
Gestion du déploiement du module de sécurité matériel
Gestion du module de sécurité matériel
• Affichez les paramètres de Sélectionnez Périphérique > Configuration > Module de sécurité matériel.
configuration du module de
• Affichez les informations Sélectionnez Afficher les informations détaillées dans la section Opérations de
détaillées sur le module de sécurité matérielle.
sécurité matériel. Les informations concernant les serveurs du module de sécurité matériel, le statut
HD du module de sécurité matériel et le matériel du module de sécurité matériel
s’affichent.
• Exportez le fichier de prise en Sélectionnez Exporter le fichier de support technique dans la section Opérations
charge. de sécurité matérielle .
Un fichier de test est créé pour aider le service clientèle à résoudre un problème lié
à la configuration d’un module de sécurité matériel sur le pare-feu.
• Réinitialisez la configuration du Sélectionnez Réinitialiser la configuration du module de sécurité matériel dans

module de sécurité matériel. la section Opérations de sécurité matérielle .
La sélection de cette option supprime toutes les connexions au module de sécurité
matériel. Toutes les procédures d’authentification doivent être répétées après avoir
utilisé cette option.

Haute disponibilité
La haute disponibilité (HD) est une configuration dans laquelle deux pare-feux sont placés dans un groupe et
où leur configuration est synchronisée afin d’éviter tout point de défaillance unique sur votre réseau. Une
connexion de pulsation entre les pare-feux homologues garantit un basculement transparent en cas d’arrêt d’un
homologue. Le paramétrage des pare-feux dans un cluster composé de deux périphériques fournit une
redondance et vous permet d’assurer la continuité de l’activité.
Les pare-feux prennent en charge la haute disponibilité à inspection d’état active/passive ou active/active avec
synchronisation de la session et de la configuration. Certains modèles de pare-feux, les VM-Series et PA-200 par
exemple, prennent uniquement en charge une version Lite de la HD sans synchronisation de la session. Les
rubriques suivantes fournissent de plus amples informations sur la haute disponibilité et sa configuration dans
votre environnement.
 Présentation de la HD
 Concepts de la HD
 Paramétrage de la HD active/passive
 Ressources HD
Haute disponibilité 153

Présentation de la HD Haute disponibilité
Présentation de la HD
Sur les pare-feux Palo Alto Networks, vous pouvez paramétrer deux périphériques en tant que paire HD. La HD
vous permet de minimiser les périodes d’indisponibilité en vous assurant qu’un périphérique alternatif est
disponible en cas d’échec du périphérique principal. Les périphériques utilisent des ports HD dédiés ou sur
bande sur le pare-feu afin de synchroniser des données (configurations de réseaux, d’objets et de politiques) et
de gérer des informations d’état. La configuration spécifique à un périphérique, comme l’adresse IP d’un port
de gestion ou des profils d’administrateurs, une configuration spécifique à la HD, des données de journaux, et
les informations du Centre de commande de l’application (ACC), n’est pas partagée entre les périphériques. Pour
obtenir une application consolidée et un aperçu du journal de la paire HD, vous devez utiliser Panorama, le
système de gestion centralisé de Palo Alto Networks.
Lorsqu’un échec se produit sur le périphérique actif et que le périphérique passif poursuit l’exécution de la tâche
de sécurisation du trafic, on parle alors de « basculement » pour cet événement. Les conditions déclenchant un
basculement sont :
 Échec d’une ou plusieurs des interfaces surveillées. (Surveillance des liaisons)

 Impossibilité d’atteindre une ou plusieurs des destinations spécifiées sur le périphérique. (Surveillance des
chemins)
 Pas de réponses du périphérique aux sondages des pulsations. (Sondage de pulsation et messages Hello)
Une fois que vous avez compris les Concepts de la HD, passez à la section Paramétrage de la HD active/passive.
154 Haute disponibilité

Haute disponibilité Concepts de la HD
Concepts de la HD
Les rubriques suivantes fournissent des informations conceptuelles sur le fonctionnement de la HD sur un
pare-feu Palo Alto Networks :
 Modes HD
 Liaisons HD et liaisons de secours
 Priorité et préemption des périphériques
 Déclencheurs de basculement
 Minuteurs HD
Modes HD
Vous pouvez paramétrer des pare-feux pour la HD dans deux modes différents :
 Actif/Passif - Un périphérique gère activement le trafic pendant que l’autre est synchronisé et prêt à passer
à l’état actif en cas d’échec. Dans cette configuration, les deux périphériques partagent les mêmes paramètres
de configuration et un gère activement le trafic jusqu’à ce que l’échec d’un chemin, d’une liaison, d’un
système ou d’un réseau se produise. Lorsque le périphérique actif échoue, le périphérique passif prend
systématiquement le relais et applique les mêmes politiques pour gérer la sécurité du réseau. La HD
active/passive est prise en charge dans les déploiements de câble virtuel, de couche 2 ou 3. Pour plus
d’informations sur le paramétrage de vos périphériques dans une configuration active/passive,
reportez-vous à la section Configuration de la HD active/passive.
Les pare-feux PA-200 et VM-Series prennent en charge une version Lite de la HD active/passive.
La HD Lite assure la synchronisation de la configuration et la synchronisation de données
d’exécution, comme les associations de sécurité IPSec. Elle ne prend pas en charge la
synchronisation de session et, par conséquent, la HD Lite n’offre pas de basculement à
inspection d’état.
 Actif/Actif - Les deux périphériques d’une paire sont actifs, traitent le trafic et travaillent de façon synchrone
pour gérer le paramétrage et la propriété d’une session. Le déploiement actif/actif est pris en charge dans les
déploiements de câble virtuel et de couche 3, et est uniquement recommandé pour les réseaux dotés d’un
routage asymétrique. Pour plus d’informations sur le paramétrage de périphériques dans une configuration
active/active, reportez-vous à la Note technique sur la haute disponibilité active/active.
Liaisons HD et liaisons de secours
Les périphériques d’une paire HD utilisent des liaisons HD pour synchroniser des données et gérer des
informations d’état. Certains modèles de pare-feux disposent de ports HD dédiés, liaison de contrôle (HD1) et
liaison de données (HD2), alors que d’autres exigent que vous utilisiez des ports sur bande comme liaisons HD.
Sur les périphériques dotés de ports HD dédiés comme les pare-feux PA-3000, PA-4000, PA-5000 et
PA-7050 Series (reportez-vous à la section Ports HD sur le pare-feu PA-7050), utilisez les ports HD dédiés pour
gérer les communications et la synchronisation entre les périphériques. Pour les périphériques ne disposant pas

Concepts de la HD Haute disponibilité
de ports HD dédiés, comme les pare-feux PA-200, PA-500 et PA-2000 Series, il est recommandé d’utiliser le
port de gestion pour la liaison HD1 afin d’autoriser une connexion directe entre les panneaux de gestion des
périphériques et un port sur bande pour la liaison HD2.
Les liaisons HD1 et HD2 permettent de synchroniser les fonctions présentes sur le panneau de
gestion. L’utilisation des interfaces HD dédiées sur le panneau de gestion est plus efficace que
l’utilisation des ports sur bande car il n’est alors plus nécessaire de transmettre les paquets de
synchronisation via le panneau de données.
 Liaison de contrôle : La liaison HD1 permet d’échanger des messages Hello, des pulsations et des
informations d’état HD, ainsi que des synchronisations de panneaux de gestion pour le routage et des
informations sur l’ID d’un utilisateur. Cette liaison permet également de synchroniser des modifications de
configuration apportées au périphérique actif ou passif avec son homologue. La liaison HD1 est une liaison
de couche 3 et exige une adresse IP.
Ports utilisés pour la liaison HD1 : les ports TCP 28769 et 28260 pour les communications en texte clair ;
le port 28 pour les communications cryptées (SSH sur TCP).
 Liaison de données : La liaison HD2 permet de synchroniser des sessions, des tables de transfert, des
associations de sécurité IPSec et des tables ARP entre des périphériques d’une paire HD. Le flux de données
de la liaison HD2 est toujours unidirectionnel (sauf pour la persistance HD2), du périphérique actif vers le
périphérique passif. La liaison HD2 est une liaison de couche 2 et utilise l’EtherType 0x7261 par défaut.
Ports utilisés pour la liaison HD2 : La liaison de données HD peut être configurée pour utiliser IP
(numéro de protocole 99) ou UDP (port 29 281) comme protocole de transport et permet donc à la liaison
de données HD d’étendre les sous-réseaux.
Une liaison HD3 est également utilisée dans les déploiements HD Active/Active. En présence d’un itinéraire
asymétrique, la liaison HD3 est utilisée pour transférer les paquets à l’homologue HD auquel appartient la
session. La liaison HD3 est une liaison de couche 2 et elle ne prend pas en charge l’adressage ou le cryptage
de couche 3.
 Liaisons de secours : Fournissent une redondance pour les liaisons HD1 et HD2. Les ports sur bande sont
utilisés comme liaisons de secours pour HD1 et HD2. Tenez compte des directives suivantes lors de la
configuration de liaisons HD de secours :
– Les adresses IP des liaisons HD principales et de secours ne doivent pas se chevaucher.
– Les liaisons HD de secours doivent figurer sur un autre sous-réseau par rapport aux liaisons HD
principales.
– Les ports HD1 de secours et HD2 de secours doivent être configurés sur des ports physiques distincts.
La liaison HD1 de secours utilise les ports 28770 et 28260.
Palo Alto Networks recommande d’activer la sauvegarde des pulsations (port 28771 sur
l’interface MGT) si vous utilisez un port sur bande pour les liaisons HD1 ou HD1 de secours.
Ports HD sur le pare-feu PA-7050
Pour la connectivité HD sur le PA-7050, reportez-vous au tableau suivant pour plus d’informations sur les ports
utilisés de la SMC (Switch Management Card) et l’emplacement approprié des ports sur la NPC (Network
Processing Card). Pour une présentation des cartes de modules et d’interface sur le pare-feu PA-7050,
reportez-vous au Guide de référence matérielle du PA-7050.

Les ports suivants sur la SMC sont désignés pour la connectivité HD :
Liaisons HD et Ports sur la SMC Description

liaisons de
secours
Liaison de HD1-A Utilisé pour le contrôle HD et la synchronisation. Connectez

contrôle Vitesse : Ethernet directement ce port entre le port HD1-A du premier périphérique et
10/100/1000 le port HD1-A du second périphérique de la paire, ou connectez-les à
l’aide d’un commutateur ou routeur.
HD1 ne peut pas être configuré sur les ports de données NPC ou le
port MGT.
Liaison de HD1-B Utilisé pour le contrôle HD et la synchronisation en tant que secours

contrôle Vitesse : Port Ethernet de HD1-A. Connectez directement ce port entre le port HD1-B du
secondaire 10/100/1000 premier périphérique et le port HD1-B du second périphérique de la
paire, ou connectez-les à l’aide d’un commutateur ou routeur.
Le port de secours de HD1 ne peut pas être configuré sur les ports de
données NPC ou le port MGT.
Liaison de HSCI-A Interfaces QSFP (Quad Port SFP) utilisées pour connecter deux
données (High Speed Chassis pare-feux PA-7050 dans une configuration HD. Chaque port se
Interconnect) compose de quatre liaisons 10 gigabits pour une vitesse combinée de
40 gigabits et est utilisé pour la liaison de données HD2 dans une
configuration active/passive. En mode active/active, le port est
également utilisé pour le transfert de paquets HD3 de sessions
acheminées de manière asymétrique qui nécessitent une inspection de
couche 7 de l’App-ID et du Content-ID.
Dans une installation classique, HSCI-A sur le premier châssis se
connecte directement à HSCI-A sur le second châssis, et HSCI-B sur
le premier châssis se connecte à HSCI-B sur le second châssis. Ceci
permet d’attendre des débits de transfert de 80 gigabits. Dans le
logiciel, les deux ports (HSCI-A et HSCI-B) sont considérés comme
une même interface HD.
Les ports HSCI ne peuvent pas être acheminés et doivent donc être
connectés directement.
Palo Alto Networks recommande d’utiliser les ports HSCI dédiés
pour les connexions HD2 et HD3. Si nécessaire, les liaisons HD2 et
HD3 peuvent toutefois être configurées sur des ports de
données NPC.
Liaison de HSCI-B Les interfaces QSFP (Quad Port SFP) (reportez-vous à la description
données (High Speed Chassis ci-dessus) sur le port HSCI-B sont utilisées pour augmenter la bande
secondaire Interconnect) passante pour HD2/HD3.
Les ports HSCI ne peuvent pas être acheminés et doivent donc être
connectés directement.
Palo Alto Networks recommande d’utiliser les ports HSCI-B dédiés
pour les connexions de secours HD2 et HD3. Si nécessaire, la liaison
de secours HD2/HD3 peut toutefois être configurée sur les ports de
données NPC.

Priorité et préemption des périphériques
Les périphériques d’une paire HD peuvent être assignés à une valeur Priorité du périphérique afin d’indiquer
une préférence pour laquelle un périphérique doit assumer un rôle actif et gérer le trafic. Si vous devez utiliser
un périphérique spécifique dans la paire HD pour la sécurisation active du trafic, vous devez activer le
comportement préemptif sur les deux pare-feux et assigner une valeur de priorité pour chaque périphérique. Le
périphérique affichant la valeur numérique la plus basse et, par conséquent, la priorité la plus élevée, est désigné
comme étant actif et gère l’ensemble du trafic sur le réseau. L’autre périphérique est dans un état passif et
synchronise les informations de configuration et d’état avec le périphérique actif afin d’être prêt à passer en état
actif en cas d’échec.
Par défaut, la préemption est désactivée sur les pare-feux et doit être activée sur les deux périphériques. Lorsqu’il
est activé, le comportement préemptif autorise le pare-feu affichant la priorité la plus élevée (valeur numérique
la plus basse) à reprendre en état actif après avoir récupéré d’un échec. En cas de préemption, l’événement est
consigné dans les journaux systèmes.
Déclencheurs de basculement
Lorsqu’un échec se produit sur le périphérique actif et que le périphérique passif poursuit l’exécution de la tâche
de sécurisation du trafic, on parle alors de « basculement » pour cet événement. Un basculement est déclenché
lorsqu’une des mesures surveillées du périphérique actif échoue. Les mesures qui sont surveillées afin de
détecter l’échec d’un périphérique sont :
 Sondage de pulsation et messages Hello

Les pare-feux utilisent les messages hello et les pulsations pour vérifier que le périphérique homologue est
réactif et opérationnel. Les messages Hello sont envoyés par un homologue à un autre à un intervalle Hello
configuré afin de vérifier l’état du périphérique. La pulsation est une requête ping ICMP envoyée à
l’homologue HD sur la liaison de contrôle et l’homologue y répond pour indiquer que les périphériques sont
connectés et réactifs. Par défaut, l’intervalle d’une pulsation est de 1 000 millisecondes. Pour plus
d’informations sur les minuteurs HD qui déclenchent un basculement, reportez-vous à la section
Minuteurs HD.
 Surveillance des liaisons

Les interfaces physiques à surveiller sont regroupées dans un groupe de liaisons et leur état (liaison active ou
inactive) est surveillé. Un groupe de liaisons peut contenir une ou plusieurs interfaces physiques. Un échec
de périphérique est déclenché lorsqu’une ou l’ensemble des interfaces du groupe échouent. Le
comportement par défaut est que l’échec de n’importe quelle liaison du groupe de liaisons va faire basculer
le périphérique vers l’état HD « non fonctionnel » afin d’indiquer l’échec de la surveillance d’un objet.
 Surveillance des chemins

Surveille le chemin complet du réseau jusqu’aux adresses IP critiques d’une mission. Les requêtes ping ICMP
permettent de vérifier l’accessibilité d’une adresse IP. L’intervalle par défaut des requêtes ping est de 200 ms.
Une adresse IP est considérée inaccessible lorsque 10 requêtes ping consécutives (valeur par défaut)
échouent et l’échec d’un périphérique est déclenché lorsqu’une ou l’ensemble des adresses IP surveillées
deviennent inaccessibles. Le comportement par défaut est que n’importe quelle adresse IP devenant
inaccessible va faire basculer le périphérique vers l’état HD « non fonctionnel » afin d’indiquer l’échec de la
surveillance d’un objet.

Outre les déclenchements de basculement répertoriés ci-dessus, un basculement se produit également lorsque
l’administrateur met le périphérique à l’état suspendu ou en cas de préemption.
Sur les pare-feux PA-3000, PA-5000 et PA-7050 Series, un basculement peut se produire lors de l’échec d’une
vérification de l’état interne. Cette vérification n’est pas configurable et est activée afin de vérifier l’état
opérationnel de l’ensemble des composants du pare-feu.
Minuteurs HD
Les minuteurs haute disponibilité (HD) permettent de détecter une défaillance du pare-feu et de déclencher un
basculement. Pour réduire la complexité de configuration des minuteurs HD, vous pouvez sélectionner l’un des
trois profils ajoutés suivants : Recommandé, Agressif et Avancé. Ces profils renseignent automatiquement les
valeurs optimales des minuteurs HD pour une plate-forme de pare-feu spécifique afin de permettre un
déploiement HD accéléré.
Utilisez le profil Recommandé si vous souhaitez des paramètres de minuteur de basculement types ou le profil
Agressif si vous préférez des paramètres de minuteur de basculement plus rapides. Le profil Avancé vous permet
de personnaliser les valeurs des minuteurs pour répondre à vos besoins en matière de réseau.
Le tableau suivant décrit chaque minuteur inclus dans les profils et les valeurs actuellement prédéfinies sur les
différents modèles matériels ; ces valeurs ne sont données qu’à titre indicatif et peuvent changer dans une
version ultérieure.
Valeurs de minuteurs HD recommandées/agressives par plate-forme
Minuteurs Description PA-7050 PA-2000 Series Machine virtuelle

Panorama
PA-5000 Series PA-500 Series
M-100
PA-3000 Series VM-Series
Temps d’attente actif Intervalle pendant lequel le 0/0 0/0 0/0

après l’échec de la pare-feu reste actif après un
surveillance échec de surveillance des
chemins ou des liaisons.
Ce paramètre est recommandé
pour empêcher un
basculement HD dû au
battement occasionnel de
périphériques à proximité.
Délai de maintien de Temps d’attente du 1/1 1/1 1/1

préemption périphérique passif ou actif
secondaire avant de prendre le
relais en tant que périphérique
actif ou principal actif.


Panorama
M-100
Intervalle de Fréquence à laquelle les 1000/1000 2000/1000 2000/1000

pulsation homologues HD échangent
des messages de pulsation sous
la forme d’une requête
ping ICMP.
Délai de maintien Temps d’attente du 2000/500 2000/500 2000/500

de promotion périphérique passif (en mode
active/passive) ou du
périphérique actif secondaire
(en mode HD active/active)
avant de prendre le relais en
tant que périphérique actif ou
actif principal après la perte de
la communication avec
l’homologue HD. Ce délai de
maintien démarre après la
déclaration de l’échec de
l’homologue uniquement.
Temps d’attente Cette durée s’applique au 500/500 500/500 7000/5000

actif principal même événement que le
supplémentaire Temps d’attente actif après
l’échec de la surveillance (plage
de 0 à 60 000 ms, par défaut
500 ms). Cette durée
supplémentaire s’applique
uniquement au périphérique
actif en mode active/passive et
au périphérique actif principal
en mode active/active. Ce délai
est recommandé pour
empêcher un basculement
lorsque les deux périphériques
rencontrent le même échec de
surveillance des
liaisons/chemins
simultanément.


Panorama
M-100
Intervalle Hello Intervalle en millisecondes 8000/8000 8000/8000 8000/8000

entre l’envoi des paquets hello
et la vérification que la
fonctionnalité HD sur l’autre
pare-feu est opérationnelle. La
plage est comprise entre 8 000
et 60 000 ms avec une valeur
par défaut de 8 000 ms sur
toutes les plates-formes.
Nombre maximum Un battement est comptabilisé 3/3 3/3 Sans objet

de battements lorsque le pare-feu n’est plus à
l’état actif pendant 15 minutes
après son dernier état actif.
Cette valeur indique le nombre
maximum de battements
autorisés avant que le pare-feu
ne soit considéré comme
suspendu et que le pare-feu
passif ne prenne le relais (plage
de 0 à 16, par défaut 3).

Paramétrage de la HD active/passive Haute disponibilité
Paramétrage de la HD active/passive
 Configuration requise pour la HD active/passive
 Directives de configuration de la HD active/passive
 Configuration de la HD active/passive
 Définition des conditions de basculement HD
 Vérification d’un basculement

Haute disponibilité Paramétrage de la HD active/passive
Configuration requise pour la HD active/passive
Pour paramétrer la haute disponibilité sur vos pare-feux Palo Alto Networks, vous avez besoin d’une paire de
pare-feux répondant aux exigences suivantes :
 Modèle identique - Les deux périphériques de la paire doivent être du même modèle matériel ou du
même modèle de machine virtuelle.
 Version PAN-OS identique - Les deux périphériques doivent exécuter la même version PAN-OS et
doivent chacun être à jour dans les bases de données d’applications, d’URL et de menaces. Ils doivent
également disposer des mêmes fonctions de systèmes virtuels multiples (systèmes virtuels uniques ou
multiples).
 Types d’interfaces identiques - Des liaisons HD dédiées ou la combinaison d’un port de gestion à des
ports sur bande qui sont définis sur le type d’interface HD.
– Déterminez l’adresse IP de la connexion HD1 (contrôle) entre la paire de périphériques. L’adresse IP
HD1 des deux homologues doit apparaître sur le même sous-réseau s’ils sont directement connectés
ou s’ils sont connectés au même commutateur.
Pour les périphériques ne disposant pas de ports HD dédiés, vous pouvez utiliser le port de gestion
pour la connexion de contrôle. L’utilisation de ce port fournit une liaison de communication directe
entre les panneaux de gestion sur les deux périphériques. Toutefois, étant donné que les ports de gestion
ne seront pas directement câblés entre les périphériques, vérifiez que vous disposez d’un itinéraire qui
connecte ces deux interfaces dans votre réseau.
– Si vous utilisez la couche 3 comme méthode de transport pour la connexion HD2 (données),
déterminez l’adresse IP de la liaison HD2. Utilisez la couche 3 uniquement si la connexion HD2 doit
communiquer sur un réseau routé. Le sous-réseau IP des liaisons HD2 ne doit pas chevaucher sur celui
des liaisons HD1 ou sur aucun des autres sous-réseaux assignés aux ports de données sur le pare-feu.
 Ensemble de licences identiques - Les licences sont uniques dans chaque périphérique et ne peuvent
pas être partagées entre plusieurs périphériques. Par conséquent, vous devez attribuer des licences
identiques aux deux périphériques. Si ces derniers ne disposent pas d’un ensemble de licences identiques,
ils ne peuvent pas synchroniser les informations de configuration et gérer la parité pour un basculement
transparent.
Si vous disposez déjà d’un pare-feu et que vous souhaitez ajouter un nouveau-pare-feu à des
fins de HD et que le nouveau pare-feu a une configuration existante, il est recommandé de rétablir
les Rétablissement des paramètres d’usine du pare-feu du nouveau pare-feu. Ainsi, le nouveau
pare-feu aura une configuration propre. Une fois la HD configurée, vous devez synchroniser la
configuration du périphérique principal avec celle du nouveau périphérique.

Directives de configuration de la HD active/passive
Pour paramétrer une paire active (HomologueA)/passive (HomologueB) en HD, vous devez configurer à
l’identique certaines options sur les deux périphériques et d’autres de façon indépendante (non
correspondantes) sur chaque périphérique. Ces paramètres HD ne sont pas synchronisés entre les périphériques.
Pour plus d’informations sur ce qui est synchronisé ou pas, reportez-vous à la section Synchronisation HD.
Pour obtenir des instructions complémentaires concernant la configuration des périphériques en HD, consultez
la rubrique Configuration de la HD active/passive.
Le tableau suivant répertorie les paramètres que vous devez configurer à l’identique sur les deux périphériques :
Paramètres de configuration identiques sur HomologueA et HomologueB
• La HD doit être activée sur les deux périphériques.

• Les deux périphériques doivent afficher la même valeur ID de groupe. La valeur ID de groupe permet de créer une
adresse MAC virtuelle pour l’ensemble des interfaces configurées. Le format de l’adresse MAC virtuelle est
00-1B-17:00: xx: yy, où
00-1B-17 : ID de fournisseur ; 00 : fixe ; xx : ID de groupe HD ; yy : ID d’interface.
Lorsqu’un nouveau périphérique actif prend le relais, des ARP gratuits sont envoyés par chacune des interfaces
connectées du nouveau membre actif afin d’informer les commutateurs de couche 2 connectés du nouvel emplacement
de l’adresse MAC virtuelle.
• Si des ports sur bande sont utilisés, les interfaces des liaisons HD1 et HD2 doivent être définies sur le type HD.
• Le mode HD doit être défini sur actif/passif.
• La préemption doit être activée sur les deux périphériques, le cas échéant. Toutefois, la valeur de la priorité du
périphérique ne doit pas être identique.
• Le cryptage de la liaison HD1 (pour les communications entre des homologues HD) doit être configuré sur les deux
périphériques, le cas échéant.
• Selon la combinaison des ports HD1 et HD1 de secours que vous utilisez, suivez les recommandations suivantes pour
déterminer si vous devez activer la sauvegarde des pulsations :
• HD1 : Port HD1 dédié
HD1 de secours : Port sur bande
Recommandation : Activer la sauvegarde des pulsations
• HD1 : Port HD1 dédié
HD1 de secours : port de gestion
Recommandation : Ne pas activer la sauvegarde des pulsations
• HD1 : Port sur bande
Recommandation : Activer la sauvegarde des pulsations
• HD1 : port de gestion
Recommandation : Ne pas activer la sauvegarde des pulsations

Le tableau suivant répertorie les paramètres que vous devez configurer indépendamment sur chaque
périphérique :
Paramètres de HomologueA HomologueB

configuration
indépendants
Liaison de contrôle Adresse IP de la liaison HD1 configurée sur ce Adresse IP de la liaison HD1 configurée
périphérique (HomologueA). sur ce périphérique (HomologueB).
Pour les périphériques ne disposant pas de ports HD dédiés, utilisez l’adresse IP du port de
gestion de la liaison de contrôle.
Liaison de données Par défaut, la liaison HD2 utilise Ethernet/ Par défaut, la liaison HD2 utilise
Les informations de Couche 2. Ethernet/Couche 2.
liaison des données Si une connexion de couche 3 est utilisée, Si une connexion de couche 3 est utilisée,
sont synchronisées configurez l’adresse IP de la liaison de données sur configurez l’adresse IP de la liaison de
entre les périphériques ce périphérique (HomologueA). données sur ce périphérique
une fois que la HD est (HomologueB).
activée et la liaison de
contrôle est établie
entre les périphériques.
Priorité des Le périphérique que vous prévoyez d’activer doit Si HomologueB est passif, définissez la
périphériques afficher une valeur numérique inférieure à celle de valeur de la priorité du périphérique sur un
(obligatoire, à son homologue. Par conséquent, si HomologueA nombre supérieur à celui de HomologueA.
condition que la doit fonctionner en tant que périphérique actif, Par exemple, définissez la valeur sur 110.
préemption soit conservez la valeur 100 par défaut et augmentez la
activée) valeur de HomologueB.
Surveillance des Sélectionnez les interfaces physiques sur le Sélectionnez un ensemble d’interfaces
liaisons - Surveillez une pare-feu que vous voulez surveiller et définissez la physiques similaires que vous voulez
ou plusieurs interfaces condition d’échec (toutes ou n’importe laquelle) surveiller sur ce pare-feu et définissez la
physiques gérant le pour déclencher un basculement. condition d’échec (toutes ou n’importe
trafic vital de ce laquelle) pour déclencher un basculement.
périphérique et
définissez la condition
d’échec.

Paramètres de HomologueA HomologueB

configuration
indépendants
Surveillance des Définissez la condition d’échec (toutes ou Sélectionnez un ensemble de périphériques

chemins - Surveillez n’importe laquelle), l’intervalle des requêtes ping et ou d’adresses IP de destination similaires
une ou plusieurs le nombre de requêtes ping. Ceci est pouvant être surveillés afin de déterminer
adresses IP de particulièrement utile pour surveiller la le déclencheur de basculement pour
destination que le disponibilité des autres périphériques réseaux HomologueB. Définissez la condition
pare-feu peut utiliser interconnectés. Par exemple, surveillez la d’échec (toutes ou n’importe laquelle),
pour envoyer des disponibilité d’un routeur qui se connecte à un l’intervalle des requêtes ping et le nombre
requêtes ping ICMP serveur, la connectivité au serveur même ou un de requêtes ping.
afin de vérifier la autre périphérique vital qui fait partie du flux du
réactivité. trafic.
Vérifiez que le nœud/périphérique que vous
surveillez n’a pas tendance à être non réactif,
surtout lors de son chargement, car ceci pourrait
entraîner un échec de surveillance du chemin et
déclencher un basculement.

Configuration de la HD active/passive
La procédure suivante explique comment configurer une paire de pare-feux dans un déploiement actif/passif
comme décrit dans l’exemple de topologie suivant.
Connecter et configurer les périphériques
Étape 1 Connectez les ports HD afin de • Pour les périphériques dotés de ports HD dédiés, utilisez un câble
paramétrer une connexion physique entre Ethernet pour connecter les ports HD1 dédiés et les ports HD2
des périphériques. sur la paire de périphériques. Utilisez un câble inverseur si les
périphériques sont directement connectés les uns aux autres.
• Pour les périphériques ne disposant pas de ports HD dédiés,
sélectionnez deux interfaces de données pour la liaison HD2 et la
liaison HD1 de secours. Puis, utilisez un câble Ethernet pour
connecter ces interfaces HD sur bande aux deux périphériques.
Utilisez le port de gestion pour la liaison HD1 et vérifiez que les
ports de gestion peuvent se connecter les uns aux autres dans votre
réseau.
Sélectionnez un périphérique dans la paire et procédez comme suit :
Étape 2 Activez une requête ping sur le port de 1. Sélectionnez Périphérique > Configuration > Gestion, puis
gestion. cliquez sur l’icône Modifier dans la section Paramètres de
l’interface de gestion de l’écran.
Son activation permet au port de gestion
d’échanger des informations sur la 2. Sélectionnez Ping en tant que service autorisé sur l’interface.
sauvegarde des pulsations.

Connecter et configurer les périphériques (suite)
Étape 3 Si le périphérique ne dispose pas de ports 1. Sélectionnez Réseau > Interfaces.

HD dédiés, paramétrez les ports de 2. Confirmez que la liaison est active sur les ports que vous voulez
données pour qu’ils fonctionnent en tant utiliser.
que ports HD.
3. Sélectionnez l’interface et définissez le type d’interface sur HD.
Pour les périphériques dotés de ports HD
dédiés, passez à l’étape 4.
4. Définissez les paramètres Vitesse de liaison et Duplex de la
liaison, selon le cas.
Étape 4 Paramétrez la connexion de la liaison de 1. Dans Périphérique > Haute disponibilité > Général, modifiez
contrôle. la section Liaison de contrôle (HD1).
Cet exemple montre un port sur bande 2. Sélectionnez l’interface que vous avez câblée afin de l’utiliser en
défini sur le type d’interface HD. tant que liaison HD1 dans le menu déroulant Port. Définissez
l’adresse IP et le masque de réseau.
Pour les périphériques utilisant le port de
Saisissez une adresse IP de passerelle uniquement si les
gestion en tant que liaison de contrôle, les
interfaces HD1 se trouvent sur des sous-réseaux distincts.
informations concernant l’adresse IP sont
N’ajoutez pas de passerelle si les périphériques sont directement
automatiquement prérenseignées.
connectés.
Étape 5 (Facultatif) Activez le cryptage de la 1. Exportez la clé HD d’un périphérique et importez-la dans le
connexion de la liaison de contrôle. périphérique homologue.
Il permet généralement de sécuriser la a. Sélectionnez Périphérique > Gestion des certificats >
liaison si les deux périphériques ne sont Certificats.
pas directement connectés, c’est-à-dire b. Sélectionnez Exporter la clé HD. Enregistrez la clé HD sur
lorsque les ports sont connectés à un un emplacement réseau auquel le périphérique homologue
commutateur ou à un routeur. peut accéder.
c. Dans le périphérique homologue, allez dans Périphérique >
Gestion des certificats > Certificats et sélectionnez
Importer une clé HD pour accéder à l’emplacement dans
lequel vous avez sauvegardé la clé et l’importer dans le
périphérique homologue.
2. Dans Périphérique > Haute disponibilité > Général, modifiez
la section Liaison de contrôle (HD1).
3. Sélectionnez Cryptage activé.

contrôle de secours. la section Liaison de contrôle (HD1 de secours).
2. Sélectionnez l’interface HD1 de secours et définissez l’adresse
IP et le masque de réseau.
données (HD2) et la connexion HD2 de la section Liaison de données (HD2).
secours entre les périphériques. 2. Sélectionnez l’interface de la connexion de liaison de données.
3. Sélectionnez la méthode de Transport. La valeur par défaut est
Ethernet et sera utilisée lorsque la paire HD sera connectée
directement ou via un commutateur. Si vous devez acheminer le
trafic de la liaison de données via le réseau, sélectionnez IP ou
UDP comme mode de transport.
4. Si vous utilisez IP ou UDP comme méthode de transport,
saisissez l’adresse IP et le masque de réseau.
5. Vérifiez que l’option Activer la synchronisation de la session

est sélectionnée.
6. Sélectionnez Persistance HD2 pour activer la surveillance sur la
liaison de données HD2 entre les homologues HD. Si un échec
se produit en fonction du seuil défini (la valeur par défaut étant
10 000 ms), l’action définie va s’exécuter. Pour la configuration
active/passive, un message critique du journal système est
généré en cas d’échec de la persistance HD2.
Vous pouvez configurer l’option Persistance HA2 sur les
deux périphériques ou sur un seul périphérique de la
paire HD. Si l’option est uniquement activée sur un seul
périphérique, il sera le seul à envoyer des messages de
persistance. L’autre périphérique sera informé en cas
d’échec.
7. Modifiez la section Liaison de données (HD2 de secours),
sélectionnez l’interface et ajoutez l’adresse IP et le masque de
réseau.

Étape 8 Activez la sauvegarde des pulsations si 1. Dans Périphérique > Haute disponibilité > Général, modifiez
votre liaison de contrôle utilise un port la section Paramètres de sélection.
HD dédié ou un port sur bande. 2. Sélectionnez Sauvegarde des pulsations.
Vous n’avez pas besoin d’activer la Pour autoriser la transmission des pulsations entre les
sauvegarde des pulsations si vous utilisez périphériques, vous devez vérifier que le port de gestion dans les
le port de gestion pour la liaison de deux homologues peut acheminer les pulsations vers l’un
contrôle. comme vers l’autre.
L’activation de la sauvegarde des pulsations vous permet
également d’empêcher une situation de « split brain ». Un
« split brain » se produit lorsque la liaison HD1 s’arrête,
le pare-feu manquant ainsi des pulsations, et ce alors que
le périphérique fonctionne toujours. Dans une telle
situation, chaque homologue pense que l’autre est arrêté
et tente de démarrer des services déjà exécutés,
entraînant ainsi un « split brain ». Lorsque la liaison de
sauvegarde des pulsations est activée, le « split brain » est
empêché car des pulsations redondantes et des messages
hello sont transmis sur le port de gestion.
Étape 9 Définissez la priorité des périphériques et 1. Dans Périphérique > Haute disponibilité > Général, modifiez
activez la préemption. la section Paramètres de sélection.
Ce paramètre est uniquement requis si 2. Définissez la valeur numérique dans Priorité du périphérique.
vous voulez vous assurer qu’un Veillez à définir une valeur numérique inférieure sur le
périphérique spécifique est le périphérique auquel vous voulez assigner une priorité
périphérique actif favori. Pour obtenir des supérieure.
informations, consultez la rubrique Si les deux pare-feux affichent une valeur de priorité de
Priorité et préemption des périphériques. périphérique identique, le pare-feu disposant de l’adresse
MAC la plus basse sur la liaison de contrôle HD1 va
devenir le périphérique actif.
3. Sélectionnez Préemptif.
Vous devez activer l’option Préemptif sur le périphérique actif
et passif.
Étape 10 (Facultatif) Modifiez les minuteurs de 1. Dans Périphérique > Haute disponibilité > Général, modifiez
basculement. la section Paramètres de sélection.
Par défaut, le profil de minuteur HD est 2. Sélectionnez le profil Agressif pour déclencher le basculement
défini sur Recommandé et est adapté à la de manière plus rapide , sélectionnez Avancé pour définir des
plupart des déploiements HD. valeurs personnalisées déclenchant le basculement dans votre
configuration.
pour afficher la valeur prédéfinie d’un minuteur inclus
dans un profil, sélectionnez Avancé et cliquez sur
Charger le profil recommandé ou Charger le profil
agressif. Les valeurs prédéfinies de votre modèle
matériel s’affichent alors à l’écran.

Étape 11 (Facultatif, uniquement configuré sur le Le paramètre Auto de l’état de la liaison permet de réduire le délai
périphérique passif) Modifiez l’état de la nécessaire au périphérique passif pour prendre le relais en cas de
liaison des ports HD sur le périphérique basculement et vous permet de surveiller l’état de la liaison.
passif. Pour activer l’état de la liaison sur le périphérique passif afin qu’elle
L’état de la liaison passive affiche reste active et reflète l’état du câblage sur l’interface physique :
Arrêté, par défaut. Une fois la HD 1. Dans Périphérique > Haute disponibilité > Général, modifiez
activée, l’état de la liaison des ports la section Paramètres actif/passif.
HD sur le périphérique actif 2. Définissez État de la liaison passive sur Auto.
s’affichera en vert et ceux du
L’option Auto réduit le délai nécessaire au périphérique passif
périphérique passif seront inactifs
pour prendre le relais en cas de basculement.
et s’afficheront en rouge.
Bien que l’interface s’affiche en vert (câblée et active),
elle continue à supprimer tout trafic jusqu’à ce qu’un
basculement soit déclenché.
Lorsque vous modifiez l’état de la liaison passive, vérifiez
que les périphériques adjacents ne transfèrent pas le
trafic vers le pare-feu passif en se basant uniquement sur
l’état de la liaison d’un périphérique.
Étape 12 Activez la HD. 1. Dans Périphérique > Haute disponibilité > Général, modifiez
la section Configuration.
2. Sélectionnez Activer la HD.
3. Définissez un ID de groupe. Cet ID identifie de manière unique
chaque paire HD sur votre réseau et vous devez absolument
disposer de plusieurs paires HD partageant le même domaine de
diffusion sur votre réseau.
4. Définissez le mode sur Actif/passif.
5. Sélectionnez Activer la synchronisation de la configuration.
Ce paramètre permet la synchronisation des paramètres de
configuration entre le périphérique actif et passif.
6. Saisissez l’adresse IP affectée à la liaison de contrôle du
périphérique homologue dans Adresse IP de l’homologue HD1.
Pour les périphériques ne disposant pas de ports HD dédiés, si

l’homologue utilise le port de gestion pour la liaison HD1,
saisissez l’adresse IP du port de gestion de l’homologue.
7. Saisissez l’Adresse IP HD1 de secours.
Étape 13 Enregistrez les modifications de Cliquez sur Valider

configuration.

Étape 14 Suivez l’Étape 2 à l’Étape 13 pour l’autre

périphérique de la paire HD.
Étape 15 Une fois les deux périphériques 1. Accédez au Tableau de bord sur les deux périphériques et
configurés, vérifiez qu’ils sont appariés en affichez le widget Haute disponibilité.
mode actif/passif HD. 2. Sur le périphérique actif, cliquez sur le lien Synchroniser avec
l’homologue.
3. Vérifiez que les périphériques sont appariés et synchronisés
comme indiqué ci-dessous :
Sur le périphérique passif : l’état du périphérique Sur le périphérique actif : l’état du périphérique local doit afficher
local doit afficher Passif et la configuration est Actif et la configuration est synchronisée.
synchronisée.
Définition des conditions de basculement HD
Configuration des déclencheurs de basculement
Étape 1 Pour configurer la surveillance des 1. Sélectionnez Périphérique > Haute disponibilité >
liaisons, définissez les interfaces que vous Surveillance des liaisons et des chemins.
voulez surveiller. Une modification de 2. Dans la section Groupe de liaisons, cliquez sur Ajouter.
l’état des liaisons de ces interfaces va
3. Donnez un nom au Groupe de liaisons, ajoutez les interfaces à
déclencher un basculement.
surveiller et sélectionnez la Condition d’échec du groupe. Le
groupe de liaisons que vous avez défini est ajouté à la section
Groupe de liaisons.

Configuration des déclencheurs de basculement (suite)
Étape 2 (Facultatif) Modifiez la condition d’échec 1. Sélectionnez la section Surveillance des liaisons.
des groupes de liaisons que vous avez 2. Définissez la Condition d’échec sur Tout.
configurés (dans l’étape précédente) sur le
Le paramètre par défaut est Indifférent.
périphérique.
Par défaut, le périphérique va déclencher
un basculement lors de l’échec de la
surveillance d’une liaison.
Étape 3 Pour configurer la surveillance des 1. Dans la section Groupe de chemins de l’onglet Périphérique >
chemins, définissez les adresses IP de Haute disponibilité > Surveillance des liaisons et des
destination auxquelles le pare-feu doit chemins, sélectionnez l’option Ajouter une option à votre
envoyer une requête ping pour vérifier la paramétrage : Câble virtuel, VLAN ou Routeur virtuel.
connectivité du réseau. 2. Sélectionnez l’élément approprié dans la liste déroulante pour le
Nom et Ajoutez les adresses IP (source et/ou de destination,
lorsque vous y êtes invité) que vous voulez surveiller. Puis,
sélectionnez la Condition d’échec du groupe. Le groupe de
chemins que vous avez défini est ajouté à la section Groupe de
chemins.
Étape 4 (Facultatif) Modifiez la condition d’échec Définissez la Condition d’échec sur Tout.
de tous les groupes de chemins configurés Le paramètre par défaut est Indifférent.
sur le périphérique.
Par défaut, le périphérique va déclencher
un basculement lors de l’échec de la
surveillance d’un chemin.
Étape 5 Sauvegardez vos modifications. Cliquez sur Valider
Si vous utilisez SNMPv3 pour surveiller les pare-feux, notez que l’ID de moteur SNMPv3 est unique à chaque
périphérique ; l’ID de moteur n’est pas synchronisé dans la paire HD et vous permet ainsi de surveiller
indépendamment chaque périphérique de la paire HD. Pour plus d’informations sur le paramétrage de SNMP,
reportez-vous à la section Configuration des destinations de pièges SNMP.
L’ID de moteur étant généré à l’aide du numéro de série unique du périphérique, vous devez appliquer une
licence valide sur le pare-feu VM-Series afin d’obtenir un ID de moteur unique pour chaque pare-feu.

Vérification d’un basculement
Pour tester le bon fonctionnement de votre configuration HD, déclenchez un basculement manuel et vérifiez
que les périphériques passent correctement d’un état à un autre.
Vérification d’un basculement
Étape 1 Suspendez le périphérique actif. Cliquez sur le lien Suspendre le périphérique local dans l’onglet
Périphérique > Haute disponibilité > Commandes
opérationnelles.
Étape 2 Vérifiez que le périphérique passif est Sur le Tableau de bord, vérifiez que l’état du périphérique passif
passé à l’état actif. passe sur Actif dans le widget Haute disponibilité.
Étape 3 Rétablissez l’état fonctionnel du 1. Sur le périphérique que vous avez précédemment suspendu,
périphérique suspendu. Patientez sélectionnez le lien Rendre le périphérique local fonctionnel
quelques minutes, puis vérifiez que la dans l’onglet Périphérique > Haute disponibilité >
préemption s’est produite, si le mode Commandes opérationnelles.
préemptif a été activé.
2. Dans le widget Haute disponibilité du Tableau de bord,

confirmez que le périphérique a pris le relais en tant que
périphérique actif et que l’homologue affiche désormais un état
passif.

Haute disponibilité Ressources HD
Ressources HD
Pour plus d’informations sur la HD, reportez-vous aux sources qui suivent :
 HD Active/Active
 Synchronisation de la haute disponibilité
 Optimisation du basculement haute disponibilité

 Mise à niveau d’une paire HD
 Exemples : Déploiement de la HD

Ressources HD Haute disponibilité

Rapports et journalisation
Le pare-feu fournit des rapports et des journaux qui sont utiles pour la surveillance des activités sur votre réseau.
Vous pouvez contrôler les journaux et filtrer les informations afin de générer des rapports avec des vues
prédéfinies ou personnalisées. Vous pouvez, par exemple, utiliser les modèles prédéfinis pour générer des
rapports sur les activités d’un utilisateur ou analyser les rapports et les logs afin d’interpréter un comportement
inhabituel sur votre réseau et générer un rapport personnalisé sur le modèle de trafic. Les rubriques suivantes
décrivent l’affichage, la gestion, la personnalisation et la génération de rapports et de journaux sur le pare-feu :
 Utilisation du tableau de bord
 Utilisation du centre de commande de l’application
 Utilisation de l’App-Scope
 Captures de paquets
 Surveillance du pare-feu
 Transfert des journaux vers les services externes
 Surveillance du pare-feu à l’aide de SNMP
 Surveillance du pare-feu à l’aide de NetFlow
 Modèles NetFlow
 Identification des interfaces de pare-feu dans des systèmes de surveillance externes
 Gestion de la génération de rapports
 Descriptions des champs Syslog
Rapports et journalisation 177

Utilisation du tableau de bord Rapports et journalisation
Utilisation du tableau de bord

Les widgets de l’onglet Tableau de bord affichent des informations générales concernant un périphérique,
comme la version du logiciel, l’état opérationnel de chaque interface, l’utilisation des ressources et jusqu’à 10 des
entrées les plus récentes des journaux des menaces, de configuration et système. Tous les widgets disponibles
s’affichent par défaut, mais chaque administrateur peut supprimer et ajouter des widgets individuels, le cas
échéant.
Cliquez sur l’icône pour mettre à jour le tableau de bord ou un widget. Pour modifier l’intervalle
d’actualisation automatique, sélectionnez un intervalle dans la liste déroulante (1 min, 2 min, 5 min ou Manuel).
Pour ajouter un widget au tableau de bord, cliquez sur la liste déroulante Widget, sélectionnez une catégorie,
puis le nom du widget. Pour supprimer un widget, cliquez sur dans la barre de titre.
Le tableau suivant décrit les widgets du Tableau de bord.
Diagrammes du tableau Descriptions

de bord
Top des applications Affiche les applications ayant le plus grand nombre de sessions. La taille du bloc
indique le nombre relatif de sessions (passez la souris sur le bloc pour afficher le
nombre correspondant) et la couleur indique les risques de sécurité, vert pour des
risques faibles et rouge pour des risques élevés. Cliquez sur une application pour
afficher son profil d’application.
Top des applications à haut Identique à Principales applications, sauf que les applications présentant les risques les
risque plus élevés avec la plupart des sessions sont affichées.
Informations générales Affiche le nom du périphérique, le modèle, la version du logiciel PAN-OS,
l’application, la menace et les versions de définition du filtrage des URL, la date et
l’heure actuelles, ainsi que le temps écoulé depuis le dernier redémarrage.
État de l’interface Indique si chaque interface est active (vert), inactive (rouge) ou si son état est inconnu
(gris).
Journaux de menaces Affiche l’ID de menace, l’application, ainsi que la date et l’heure des 10 dernières
entrées du journal des menaces. L’ID de menace correspond à la description ou à
l’URL d’un site malveillant qui va à l’encontre du profil de filtrage de l’URL.
Journaux de configuration Affiche le nom d’utilisateur de l’administrateur, le client (Web ou CLI), ainsi que la date
et l’heure des 10 dernières entrées du journal de configuration.
Journaux de filtrage des Affiche la description, ainsi que la date et l’heure des dernières 60 minutes du journal
données de filtrage des données.
Journaux de filtrage des URL Affiche la description, ainsi que la date et l’heure des dernières 60 minutes du journal
de filtrage des URL.
Journaux systèmes Affiche la description, ainsi que la date et l’heure des dernières 10 entrées du journal
système.
Notez qu’une entrée Config. installée indique que les modifications
apportées à la configuration ont été correctement validées.
Ressources système Affiche la gestion de l’utilisation du processeur, l’utilisation du panneau de données et
le nombre de sessions qui regroupe le nombre de sessions établies via le pare-feu.
178 Rapports et journalisation

Rapports et journalisation Utilisation du tableau de bord
Diagrammes du tableau Descriptions

de bord
Administrateurs connectés Affiche l’adresse IP source, le type de session (Web ou CLI) et l’heure de début de
session pour chaque administrateur actuellement connecté.
Facteur de risque ACC Affiche le facteur de risque moyen (entre 1 et 5) du trafic réseau traité au cours de la
semaine passée. Plus la valeur est élevée, plus le risque est important.
Haute disponibilité Si la haute disponibilité (HD) est activée, il indique l’état HD du périphérique local et
homologue : vert (actif), jaune (passif) ou noir (autre). Pour plus d’informations sur la
HD, reportez-vous à la section Haute disponibilité.
Verrous Affiche les verrous de configuration utilisés par les administrateurs.

Utilisation du centre de commande de l’application Rapports et journalisation
Utilisation du centre de commande de l’application

L’onglet Centre de commande de l’application (ACC) représente visuellement les tendances et l’historique du trafic
sur votre réseau.
 Niveau de risque ACC
 Diagrammes de l’ACC
 Pages de détails de l’ACC
 Utilisation de l’ACC

Rapports et journalisation Utilisation du centre de commande de l’application
Niveau de risque ACC
L’onglet Centre de commande de l’application (ACC) affiche le niveau de risque global de tout le trafic réseau, les
niveaux de risques et le nombre de menaces détectées pour les applications les plus actives et présentant les
risques les plus élevés sur votre réseau, ainsi que le nombre de menaces détectées dans les catégories
d’applications les plus utilisées et dans toutes les applications à chaque niveau de risque. Utilisez l’ACC pour
consulter les données d’application de l’heure, du jour, de la semaine, du mois passé(e) ou n’importe quel délai
personnalisé. Les niveaux de risques (1 = le plus bas et 5 = le plus élevé) indiquent les risques de sécurité relatifs
d’une application en fonction de critères, à savoir si l’application peut partager des fichiers, si elle est sujette à
une utilisation frauduleuse ou si elle essaie d’éviter les pare-feu.

Diagrammes de l’ACC
L’onglet Centre de commande de l’application (ACC) affiche cinq diagrammes :

 Application
 Filtrage des URL
 Prévention des menaces
 Filtrage des données
 Correspondances HIP
Diagramme de l’ACC Description
Application Affiche les informations d’application regroupées selon les attributs suivants :
• Applications
• Applications présentant des risques élevés
• Catégories
• Sous-catégories
• Technologie
• Risque
Chaque diagramme peut inclure le nombre de sessions, les octets transmis et reçus, le
nombre de menaces, la catégorie de l’application, ses sous-catégories, sa technologie et
les niveaux de risques, le cas échéant.
Filtrage des URL Affiche les informations d’URL/de catégorie regroupées selon les attributs suivants :
• Catégories d’URL
• URL
• Catégories d’URL bloquées
• URL bloquées
Chaque diagramme peut inclure l’URL, la catégorie d’URL, le nombre de répétitions
(fréquence des tentatives d’accès, le cas échéant).
Prévention des menaces Affiche les informations de menaces regroupées selon les attributs suivants :
• Menaces
• Types
• Logiciel espion
• Logiciel espion Phone Home
• Téléchargements de logiciels espions
• Vulnérabilité
• Virus
Chaque diagramme peut inclure l’ID de menace, un nombre (nombre d’occurrences),
le nombre de sessions et le sous-type (comme la vulnérabilité), le cas échéant.

Diagramme de l’ACC Description
Filtrage des données Affiche les informations sur les données filtrées par le pare-feu, regroupées selon les
attributs suivants :
• Types de contenu/fichier
• Types
• Noms des fichiers
Correspondances HIP Affiche les informations sur l’hôte collectées par le pare-feu et regroupées par :
• Objets HIP
• Profils HIP

Pages de détails de l’ACC
Pour afficher plus de détails, cliquez sur l’un des liens sur les diagrammes de l’ACC. Une page détaillée s’ouvre
pour afficher des informations concernant l’élément en haut de la page et des listes supplémentaires d’éléments
associés. Par exemple, cliquez sur le lien de navigation sur le diagramme Application pour ouvrir la page
Informations d’application pour la navigation Web :

Utilisation de l’ACC
La procédure suivante décrit l’utilisation de l’onglet Centre de commande de l’application (ACC) et la

personnalisation de votre affichage :
Utilisation de l’ACC
Étape 1 Dans l’onglet Centre de commande de l’application (ACC), modifiez un ou plusieurs des paramètres suivants
situés en haut de la page.
• Utilisez les listes déroulantes pour sélectionner les applications, les catégories d’URL, les menaces, les types
de contenu/fichier et les objets HIP à afficher.
• Sélectionnez un système virtuel, à condition que des systèmes virtuels soient définis.
• Sélectionnez un délai dans la liste déroulante Délai . La valeur par défaut est Dernière heure.
• Sélectionnez une méthode de tri dans la liste déroulante Trier par. Vous pouvez trier les diagrammes dans
l’ordre croissant par nombre de sessions, d’octets ou de menaces. La valeur par défaut est Nombre de sessions.
• Pour la méthode de tri sélectionnée, choisissez le nombre maximum d’applications et de catégories
d’applications affichées dans chaque diagramme dans la liste déroulante Top . Cliquez sur l’icône d’envoi pour
appliquer les paramètres sélectionnés.
Étape 2 Pour ouvrir les pages de journaux associées aux informations de la page, utilisez les liens du journal situés dans
le coin supérieur droit de la page, comme indiqué ici. Le contexte des journaux correspond aux informations
figurant sur la page.
Étape 3 Pour filtrer la liste, cliquez sur un élément dans l’une des colonnes, cet élément va alors être ajouté à la barre de
filtre située au-dessus des noms de colonnes du journal. Après avoir ajouté les filtres de votre choix, cliquez sur
l’icône Appliquer un filtre.

Utilisation de l’App-Scope Rapports et journalisation
Utilisation de l’App-Scope
Les rapports App-Scope fournissent des outils de visibilité et d’analyse afin d’identifier un comportement
problématique, vous permettant ainsi de comprendre les changements d’utilisation de l’application et d’activité
de l’utilisateur, de connaître les utilisateurs et applications consommant le plus de bande passante réseau, et
d’identifier les menaces réseau.
Grâce aux rapports App-Scope, vous pouvez rapidement identifier tout comportement inhabituel ou inattendu.
Chaque rapport propose une fenêtre dynamique et personnalisable par l’utilisateur dans le réseau ; pointez la
souris et cliquez sur les lignes ou les barres des diagrammes pour afficher des informations détaillées sur
l’application, la catégorie d’application, l’utilisateur ou la source spécifique, disponibles sur l’ACC. Les
diagrammes App-Scope vous permettent de :
 Activer/désactiver les attributs de la légende pour n’afficher que les détails du diagramme que vous souhaitez
consulter. La possibilité d’inclure ou d’exclure des données du diagramme vous permet de modifier l’échelle
et de vérifier des détails de manière plus approfondie.
 Cliquez sur un attribut dans un diagramme en barres et parcourez les sessions correspondantes dans l’ACC.
Cliquez sur un nom d’application, une catégorie d’applications, un nom de menace, une catégorie de
menaces, une adresse IP source ou une adresse IP de destination dans un diagramme en barres pour filtrer
sur l’attribut et afficher les sessions correspondantes dans l’ACC.
 Exporter un diagramme ou une carte au format PDF ou d’image. À des fins de portabilité et d’affichage hors
ligne, vous pouvez exporter des diagrammes et des cartes au format PDF ou d’images PNG.
Les rapports App-Scope suivants sont disponibles :
 Rapport récapitulatif
 Rapport de surveillance des modifications
 Rapport de surveillance des menaces
 Rapport de la carte des menaces
 Rapport de surveillance du réseau
 Rapport de la carte du trafic

Rapports et journalisation Utilisation de l’App-Scope
Rapport récapitulatif
Le rapport récapitulatif App-Scope affiche les diagrammes des cinq applications, catégories d’applications,
utilisateurs et sources obtenant, perdant et consommant le plus de bande passante.

Rapport de surveillance des modifications
Le rapport de surveillance des modifications App-Scope affiche les modifications apportées au cours d’une
période définie. Par exemple, le diagramme suivant affiche les applications les plus utilisées au cours de la
dernière heure par rapport à la dernière période de 24 heures. Les principales applications sont définies par
nombre de sessions et triées par pourcentage.
Le rapport de surveillance des modifications contient les boutons et options suivants.
Bouton Description
Détermine le nombre d’enregistrements dont la mesure la plus élevée

est incluse dans le diagramme.
Détermine le type d’élément signalé : application, catégorie

d’application, source ou destination.
Affiche les mesures des éléments dont le nombre a augmenté au cours

de la période évaluée.
Affiche les mesures des éléments dont le nombre a baissé au cours de la

période évaluée.
Affiche les mesures des éléments ajoutés au cours de la période évaluée.
Affiche les mesures des éléments abandonnés au cours de la période

évaluée.

Bouton Description
Applique un filtre afin d’afficher uniquement l’élément sélectionné.

Aucun affiche toutes les entrées.
Indique si des informations de sessions ou d’octets doivent être

affichées.
Indique si des entrées doivent être triées par pourcentage ou par

croissance brute.
Exporte le graphique sous forme d’image .png ou au format PDF.
Indique la période au bout de laquelle les mesures des modifications

apportées sont réalisées.

Rapport de surveillance des menaces
Le rapport de surveillance des menaces App-Scope affiche le nombre de menaces principales identifiées au
cours de la période sélectionnée. Par exemple, la figure suivante affiche les 10 types de menaces principales
rencontrées au cours des 6 dernières heures.
Chaque type de menace est représenté par une couleur, comme indiqué dans la légende située sous le
diagramme. Le rapport de surveillance des menaces contient les boutons et options suivants.
Bouton Description

Détermine le type d’élément mesuré : menace, catégorie de menace,

source ou destination.
Applique un filtre afin d’afficher uniquement le type d’élément

sélectionné.
Indique si les informations sont présentées sous la forme d’un

histogramme empilé ou d’un diagramme en aires empilées.
Indique la période au bout de laquelle des mesures sont réalisées.

Rapport de la carte des menaces
Le rapport de la carte des menaces App-Scope affiche une vue géographique des menaces, ainsi que leur gravité.
Chaque type de menace est représenté par une couleur, comme indiqué dans la légende située sous le
diagramme.
Le pare-feu utilise la géolocalisation pour créer des cartes des menaces. Le pare-feu se situe au bas de l’écran de
la carte des menaces si vous n’avez pas spécifié les coordonnées de géolocalisation (Périphérique > Configuration
> Gestion, section Paramètres généraux) sur le pare-feu.
Le rapport de la carte des menaces contient les boutons et options suivants.
Bouton Description

Affiche les menaces entrantes.
Affiche les menaces sortantes.
Applique un filtre afin d’afficher uniquement le type d’élément

sélectionné.
Zoom avant et zoom arrière de la carte.
Indique la période au bout de laquelle des mesures sont réalisées.

Rapport de surveillance du réseau
Le rapport de surveillance du réseau App-Scope affiche la bande passante dédiée aux différentes fonctions
réseau au cours de la période définie. Chacune de ces fonctions est représentée par une couleur, comme indiqué
dans la légende située sous le diagramme. Par exemple, l’image ci-dessous montre la bande passante de
l’application au cours des 7 derniers jours et se base sur des informations de session.
Le rapport de surveillance du réseau contient les boutons et options suivants.
Bouton Description

Détermine le type d’élément signalé : application, catégorie

d’application, source ou destination.
Applique un filtre afin d’afficher uniquement l’élément sélectionné.

Aucun affiche toutes les entrées.

affichées.
Indique si les informations sont présentées sous la forme d’un

histogramme empilé ou d’un diagramme en aires empilées.


Rapport de la carte du trafic
Le rapport de la carte du trafic App-Scope affiche une vue géographique des flux de trafic en fonction des
sessions ou des flux.
Le pare-feu utilise la géolocalisation pour créer des cartes du trafic. Le pare-feu se situe au bas de l’écran de la
carte du trafic si vous n’avez pas spécifié les coordonnées de géolocalisation (Périphérique > Configuration >
Gestion, section Paramètres généraux) sur le pare-feu.
Chaque type de trafic est représenté par une couleur, comme indiqué dans la légende située sous le diagramme.
Le rapport de la carte du trafic contient les boutons et options suivants.
Boutons Description

Affiche les menaces entrantes.
Affiche les menaces sortantes.

affichées.
Zoom avant et zoom arrière de la carte.


Captures de paquets Rapports et journalisation
Captures de paquets
PAN-OS prend en charge la capture de paquets pour dépanner ou détecter des applications inconnues. Vous
pouvez définir des filtres de sorte à capturer uniquement les paquets correspondant à ces filtres. Les captures
de paquets sont stockées localement sur le périphérique et peuvent être téléchargées sur votre ordinateur local.
la capture de paquets ne doit servir qu’au dépannage. Cette fonctionnalité risque de dégrader les
performances du système et ne doit être utilisée que lorsqu’elle est nécessaire. N’oubliez pas de
désactiver la fonctionnalité une fois la capture de paquets terminée.
Le tableau suivant décrit les paramètres de capture de paquets dans Surveillance > Capture de paquets.
Champ Description
Gérer les filtres Cliquez sur Gérer les filtres, cliquez sur Ajouter pour ajouter un nouveau filtre et
indiquez les informations suivantes :
• ID - Saisissez ou sélectionnez un identifiant pour le filtre.
• Interface d’entrée - Sélectionnez l’interface de pare-feu.
• Source - Indiquez une adresse IP source.
• Destination - Indiquez une adresse IP de destination.
• Port source - Indiquez un port source.
• Port de destination - Indiquez un port de destination.
• Protocole - Indiquez un protocole de filtrage.
• Non IP - Indiquez la méthode de traitement du trafic non IP (exclure tout le trafic
IP, inclure tout le trafic IP, inclure uniquement le trafic IP ou n’inclure aucun filtre
IP).
• IPv6 - Cochez cette case pour inclure des paquets IPv6 dans le filtre.
Filtrage Cliquez sur cette option pour activer ou désactiver des sélections de filtrage.
Correspondance avant Cliquez sur cette option ou activer ou désactiver l’option de correspondance avant
analyse analyse.
L’option de correspondance avant analyse est ajoutée à des fins de dépannage avancé.
Lorsqu’un paquet arrive au port d’entrée, il passe par plusieurs étapes de traitement
avant d’être analysé pour identifier des correspondances par rapport aux filtres
préconfigurés.
Il est possible qu’un paquet, en raison d’un échec, n’atteigne pas à l’étape de filtrage.
Ceci peut se produire, par exemple, lors de l’échec de la recherche d’un itinéraire.
Définissez le paramètre de correspondance avant analyse sur ACTIVÉ afin d’émuler une
correspondance positive pour chaque paquet entrant dans le système. Ceci permet
même au pare-feu de capturer les paquets n’atteignant pas le processus de filtrage. Si
un paquet peut arriver à l’étape de filtrage, il est ensuite traité en fonction de la
configuration du filtre et supprimé s’il ne répond pas aux critères de filtrage.

Rapports et journalisation Captures de paquets
Champ Description
Capture du paquet Cliquez sur cette option pour activer ou désactiver la capture de paquets.
Pour les profils pour l’antispyware et la protection contre les vulnérabilités, vous
pouvez activer les captures de paquets étendues pour les règles et exceptions définies
dans le profil. Cette fonctionnalité permet au pare-feu de capturer entre 1 et 50 paquets
et fournit plus de contexte pour l’analyse des journaux des menaces.
Pour définir la longueur de capture de paquets étendue :
1. Sélectionnez Périphérique > Configuration > Content-ID.
2. Modifiez la section Paramètres de détection de menaces pour indiquer la
Longueur de capture pour le nombre de paquets à capturer.
3. Affichez la capture de paquets dans Surveillance > Journaux > Menace.

Recherchez l’entrée du journal des menaces et cliquez sur la flèche verte (Capture
de paquets) dans la ligne correspondante pour afficher la capture.
Étape de capture des Sélectionnez Ajouter et indiquez les éléments suivants :
paquets
• Étape - Indique le point auquel un paquet doit être capturé :
• supprimer - Lorsque le traitement d’un paquet rencontre une erreur et que ce
paquet doit être supprimé.
• pare-feu - Lorsqu’un paquet dispose d’une correspondance de session ou qu’un
premier paquet doté est correctement créé avec une session.
• recevoir - Lorsqu’un paquet est reçu sur le processeur du panneau de données.
• transmettre - Lorsqu’un paquet doit être transmis au processeur du panneau de
données.
• Fichier - Indiquez le nom du fichier de capture. Ce nom de fichier doit commencer
par une lettre et peut inclure des lettres, des chiffres, des points, des caractères de
soulignement ou des traits d’union.
• Nombre de paquets - Indiquez le nombre limite de paquets au-delà desquels la
capture s’arrête.
• Nombre d’octets - Indiquez le nombre limite d’octets au-delà desquels la capture
s’arrête.
Fichiers capturés Sélectionnez Supprimer pour supprimer un fichier de capture de paquets de la liste des
fichiers capturés.
Effacer tous les Sélectionnez Effacer tous les paramètres pour effacer tous les paramètres de capture
paramètres de paquets.

Surveillance du pare-feu Rapports et journalisation
Surveillance du pare-feu
Les sections suivantes décrivent les méthodes que vous pouvez utiliser pour surveiller le pare-feu et fournissent
des instructions d’installation de base :
 Surveillance des applications et des menaces
 Surveillance des données de log
 Surveillance du tableau de bord
 Affichage des rapports
Vous pouvez également configurer le pare-feu (sauf les pare-feu PA-4000-Series et PA-7050) de
manière à exporter les données de flux vers un collecteur NetFlow pour l’analyse et la génération
de rapports. Pour configurer des paramètres NetFlow, reportez-vous au Guide de référence de
l’interface Web PAN-OS.

Rapports et journalisation Surveillance du pare-feu
Surveillance des applications et des menaces
Tous les pare-feu Palo Alto Networks de dernière génération sont équipés de la technologie App-ID, qui
identifie les applications traversant votre réseau, quel que soit le protocole, le cryptage ou la tactique évasive.
Vous pouvez ensuite Utilisation du centre de commande de l’application pour surveiller les applications. ACC
dresse un récapitulatif graphique de la base de données des journaux afin de mettre en évidence les applications
traversant votre réseau, leurs utilisateurs et leur incidence potentielle sur la sécurité. ACC est mis à jour de
manière dynamique, à l’aide de la classification continue du trafic par App-ID ; si une application change de port
ou de comportement, App-ID continue à voir le trafic et affiche les résultats dans ACC.
Vous pouvez examiner rapidement les nouvelles applications, à risque ou inconnues, qui apparaissent dans
ACC ; en un seul clic, vous pouvez afficher la description de l’application, ses principales fonctionnalités, ses
caractéristiques comportementales et ses utilisateurs. Une visibilité supplémentaire des catégories d’URL, des
menaces et des données fournit une image complète de l’activité réseau. ACC vous permet très rapidement d’en
savoir plus sur le trafic traversant le réseau et de traduire ensuite ces informations en une politique de sécurité
plus avisée.

Surveillance des données de log
Tous les pare-feu Palo Alto Networks de dernière génération peuvent générer des fichiers journaux fournissant
une piste d’audit des activités et des événements sur le pare-feu. Il s’agit de journaux individuels pour chaque
type d’activité et d’événement. Par exemple, les logs de menaces enregistrent tout le trafic qui amène le pare-feu
à générer une alarme de sécurité, les logs de filtrage des URL enregistrent tout le trafic correspondant à un profil
de filtrage des URL associé à une politique de sécurité, et les logs de configuration enregistrent toutes les
modifications apportées à la configuration du pare-feu.
Vous pouvez Transfert des journaux vers les services externes ou afficher les logs localement sur le périphérique
en procédant comme suit :
 Affichage des fichiers journaux
 Filtrage des données de log
Affichage des fichiers journaux
Le pare-feu gère les logs WildFire, de configuration, système, des alarmes, des flux de trafic, des menaces, de
filtrage des URL, de filtrage des données et de correspondance HIP (Host Information Profile). Vous pouvez
afficher les journaux actifs à tout moment. Pour localiser des entrées spécifiques, vous pouvez appliquer des
filtres à la plupart des champs de journal.
le pare-feu affiche les informations dans les journaux afin que les autorisations d’administration
basées sur les rôles soient respectées. Lorsque vous affichez des journaux, seules les
informations que vous êtes autorisées à voir sont incluses. Pour plus d’informations sur les
autorisations d’administrateur, reportez-vous à la section Rôles administrateur.
Par défaut, tous les fichiers journaux sont générés et stockés localement sur le pare-feu. Vous pouvez afficher
ces fichiers journaux directement (Surveillance > Journaux) :

Pour afficher des détails supplémentaires, cliquez sur l’icône loupe d’une entrée.
Le tableau suivant inclut des informations sur chaque type de journal :
Diagrammes de Description
description de journal
Trafic Affiche une entrée au début et à la fin de chaque session. Chaque entrée contient la date
et l’heure, les zones source et de destination, des adresses et des ports, le nom de
l’application, le nom de la règle de sécurité appliquée au flux, l’action de la règle
(autoriser, refuser ou supprimer), l’interface d’entrée et de sortie, ainsi que le nombre
d’octets et le motif de fin de session.
Cliquez sur en regard d’une entrée pour afficher des détails supplémentaires
concernant une session, à savoir si une entrée ICMP regroupe plusieurs sessions entre
une même source et destination (la valeur Nombre sera supérieure à 1).
La colonne Type indique si l’entrée correspond au début ou à la fin d’une session, ou si
la session a été refusée ou supprimée. Une suppression indique que la règle de sécurité
qui bloquait le trafic a défini n’importe quelle application, alors qu’un refus indique
que la règle a identifié une application spécifique.
Si le trafic est supprimé avant d’avoir identifié l’application, comme lorsqu’une règle
supprime l’ensemble du trafic d’un service spécifique, l’application affiche non
applicable.

Diagrammes de Description
description de journal
Menace Affiche une entrée lorsque le trafic correspond à un profil de sécurité (antivirus,
antispyware, vulnérabilités, filtrage des URL, blocage de fichier, filtrage des données ou
protection DoS) associé à une politique de sécurité sur le pare-feu. Chaque entrée inclut
la date et l’heure, le nom ou l’URL d’une menace, les zones sources et de destination,
des adresses et des ports, le nom d’une application, ainsi que l’action de l’alarme
(autoriser ou bloquer) et sa gravité.
Cliquez sur en regard d’une entrée pour afficher des détails supplémentaires
concernant une menace, à savoir si une entrée regroupe plusieurs menaces du même
type entre une même source et destination (la valeur Nombre sera supérieure à 1).
La colonne Type indique le type de menace, comme un « virus » ou un « logiciel
espion ». La colonne Nom correspond à la description ou à l’URL d’une menace et la
colonne Catégorie correspond à la catégorie de menaces (comme un « enregistreur de
frappe ») ou à la catégorie d’URL.
Si les captures de paquets locaux sont activées, cliquez sur en regard d’une entrée
pour accéder aux paquets capturés. Pour activer les captures de paquets locaux,
reportez-vous à la section Captures de paquets.
Filtrage des URL Affiche les journaux de l’ensemble du trafic correspondant à un profil Filtrage des URL
associé à une politique de sécurité. Par exemple, si la politique bloque l’accès à des sites
Web ou des catégories de sites Web spécifiques ou si la politique est configurée pour
générer une alerte en cas d’accès d’un site Web. Pour plus d’informations sur la
définition de profils de filtrage des URL, reportez-vous à la section Filtrage des URL.
Envois WildFire Affiche les logs des fichiers qui sont téléchargés et analysés par le cloud WildFire ; les
données de logs sont renvoyées au périphérique après analyse, avec les résultats de
l’analyse.
Filtrage des données Affiche des journaux pour les politiques de sécurité qui empêchent des informations
sensibles, comme des numéros de cartes de crédit ou de sécurité sociale, de quitter la
zone protégée par le pare-feu. Pour plus d’informations sur la définition de profils de
filtrage des données, reportez-vous à la section Configuration du filtrage des données.
Ce log affiche également des informations relatives aux profils de blocage des fichiers.
Par exemple, si vous bloquez les fichiers .exe, le journal indique que les fichiers ont été
bloqués. Si vous transférez des fichiers à WildFire, vous verrez les résultats de cette
action. Dans ce cas, si vous transférez des fichiers PE à WildFire, par exemple, le log
indique que les fichiers ont été transférés et s’ils ont été chargés avec succès ou non sur
WildFire.
Configuration Affiche une entrée pour chaque modification de la configuration. Chaque entrée inclut
la date et l’heure, le nom d’utilisateur de l’administrateur, l’adresse IP correspondant à
l’emplacement où la modification a été effectuée, le type de client (XML, Web ou CLI),
le type de commande exécuté, la réussite ou l’échec de la commande, le chemin de la
configuration et les valeurs avant et après la modification.
Système Affiche une entrée pour chaque événement du système. Chaque entrée inclut la date et
l’heure, la gravité de l’événement et sa description.
Correspondance HIP Affiche les flux de trafic qui correspondent à un Objet HIP ou Profil HIP que vous avez
configuré.

Filtrage des données de log
Chaque page du journal dispose d’une zone de filtrage située en haut de la page.
Utilisez cette zone de filtrage de la manière suivante :

 Cliquez sur l’un des liens soulignés dans la liste du journal pour ajouter cet élément en tant qu’option de
filtrage du journal. Par exemple, si vous cliquez sur 10.0.0.252 dans le lien Hôte de l’entrée de log et sur
Navigation Web, ces deux éléments sont ajoutés et la recherche va trouver des entrées correspondant à ces
deux éléments (recherche de type ET).
 Pour définir d’autres critères de recherche, cliquez sur Ajouter un filtre de journal. Sélectionnez le type de
recherche (et/ou), l’attribut à inclure dans la recherche, l’opérateur correspondant et les valeurs de
correspondance, le cas échéant. Cliquez sur Ajouter pour ajouter un critère à la zone de filtrage dans la page
du journal, puis cliquez sur Fermer pour fermer la fenêtre contextuelle. Cliquez sur Appliquer un filtre pour
afficher la liste filtrée.
vous pouvez combiner des expressions de filtrage ajoutées dans la page du journal avec celles
que vous avez définies dans la fenêtre contextuelle Expression. Chacune est ajoutée en tant
qu’entrée sur la ligne Filtre de la page du journal. Si vous définissez le filtre Heure de réception
« en » sur Dernières 60 secondes, certains liens de la page de la visionneuse du journal
risquent de n’afficher aucun résultat, car le nombre de pages peut augmenter ou diminuer en
raison de la nature dynamique de l’heure sélectionnée.
 Pour effacer les filtres et réafficher la liste non filtrée, cliquez sur Effacer le filtre.
 Pour enregistrer vos sélections en tant que nouveau filtre, cliquez sur Enregistrer le filtre, donnez un nom au
filtre et cliquez sur OK.
 Pour exporter la liste active du journal (comme affichée sur la page, y compris tous les filtres appliqués),
cliquez sur Enregistrer le filtre. Indiquez si le fichier doit être ouvert ou enregistré sur le disque, puis cochez
cette case si vous voulez toujours utiliser la même option. Cliquez sur OK.
 Pour exporter la liste active du journal au format CSV, sélectionnez l’icône Exporter au format CSV. Par défaut,
l’exportation de la liste du journal au format CSV génère un rapport CSV de 2 000 lignes de journaux
maximum. Pour modifier la limite de lignes affichées dans les rapports CSV, utilisez le champ Lignes max.
dans l’exportation au format CSV dans l’onglet Exportation de log et génération de rapports (sélectionnez
Périphérique > Configuration > Gestion > Paramètres de journalisation et de génération de rapports).
Pour modifier l’intervalle d’actualisation automatique, sélectionnez un intervalle dans la liste déroulante (1 min,
30 secondes, 10 secondes ou Manuel).
Pour modifier le nombre d’entrées par page dans le journal, sélectionnez le nombre de lignes dans la liste
déroulante Lignes.
Les entrées du journal sont extraites par blocs de 10 pages. Utilisez les commandes de pagination situées en bas
de la page pour naviguer dans la liste du journal. Cochez la case Résoudre le nom d’hôte pour commencer à
résoudre des adresses IP externes en noms de domaines.

Surveillance du tableau de bord
Vous pouvez également surveiller les données des journaux locaux à partir du tableau de bord en ajoutant les
widgets associés :

Affichage des rapports
Le pare-feu utilise également les données des journaux pour générer des rapports (Surveillance > Rapports) ;
ceux-ci affichent les données des journaux dans un format tabulaire ou graphique. Reportez-vous à la section
À propos des rapports pour plus d’informations sur les rapports prédéfinis et personnalisés disponibles sur le
pare-feu.

Transfert des journaux vers les services externes Rapports et journalisation
Transfert des journaux vers les services externes

Selon le type et le niveau de gravité des données des fichiers journaux, vous pouvez être averti des événements
critiques requérant votre attention, ou des politiques nécessitant l’archivage des données sur une période plus
longue que leur durée de stockage sur le pare-feu. Dans ces cas-là, vous pouvez transférer vos données de
journaux vers un service externe pour l’archivage, la notification et/ou l’analyse.
Pour transférer les données des journaux vers un service externe, vous devez effectuer les tâches suivantes :
 Configurez le pare-feu de manière à accéder aux services distants qui recevront les journaux.
Reportez-vous à la section Définition des destinations de journalisation à distance.
 Configurez chaque type de journal pour le transfert. Reportez-vous à la section Activation du transfert des
journaux.
 Pour les logs du trafic et des menaces, l’activation du transfert inclut la configuration d’un profil de
transfert des logs ou d’un profil de transfert des logs par défaut. Pour plus de détails, reportez-vous à la
section Profils de transfert des logs.

Rapports et journalisation Transfert des journaux vers les services externes
Définition des destinations de journalisation à distance
Pour atteindre un service externe, tel qu’un serveur Syslog ou un gestionnaire de pièges SNMP, le pare-feu doit
connaître les informations d’accès, et, si nécessaire, authentifier le service. Vous pouvez définir ces informations
dans un profil de serveur sur le pare-feu. Vous devez créer un profil de serveur pour chaque service externe avec
lequel vous souhaitez que le pare-feu interagisse. Les types de destinations de journalisation que vous devez
configurer et les journaux que vous transférez dépendent de vos besoins. Certains scénarios de transfert de
journaux courants incluent ce qui suit :
 Pour la notification immédiate des menaces ou des événements système critiques qui requièrent votre
attention, vous pouvez générer des pièges SNMP ou envoyer des alertes par e-mail. Reportez-vous à la
section Configuration des alertes par e-mail et/ou à la section Configuration des destinations de
pièges SNMP.
 Pour le stockage et l’archivage des données à long terme, ainsi que pour la surveillance des périphériques
centralisés, vous pouvez envoyer les données des journaux à un serveur Syslog. Reportez-vous à la section
Définition des serveurs Syslog. Cela permet l’intégration d’outils de surveillance de sécurité tiers, tel que
Splunk! ou ArcSight. Vous pouvez également sécuriser le canal entre le pare-feu et le serveur Syslog.
Reportez-vous à la section Configuration du pare-feu pour l’authentification sur le serveur Syslog.
 Pour l’agrégation et la création de rapports sur les données des journaux à partir de plusieurs pare-feu Palo
Alto Networks, vous pouvez configurer un gestionnaire Panorama ou un collecteur de
journaux Panorama. Reportez-vous à la section Activation du transfert des journaux.
Vous pouvez définir autant de profils de serveur que vous avez besoin. Par exemple, vous pouvez utiliser des
profils de serveur individuels pour envoyer des journaux de trafic à un serveur Syslog et des journaux système
à un autre. Sinon, vous pouvez inclure plusieurs entrées de serveur dans un seul profil de serveur pour pouvoir
vous connecter à plusieurs serveurs Syslog pour la redondance.
Par défaut, toutes les données des journaux sont transférées vers l’interface MGT. Si vous
envisagez d’utiliser une autre interface que MGT, vous devrez configurer un itinéraire de service
pour chaque service vers lequel vous prévoyez de transférer les journaux, comme décrit à l’étape
5 de la procédure de la section Configuration de l’accès réseau pour les services externes.

Configuration des alertes par e-mail
Configurer les alertes par courrier électronique
Étape 1 Créez un profil de serveur pour votre 1. Sélectionnez Périphérique > Profils de serveur > Messagerie.
serveur de messagerie. 2. Cliquez sur Ajouter, puis donnez un nom au profil.
3. (Facultatif) Sélectionnez le système virtuel auquel ce profil
s’applique dans la liste déroulante Emplacement.
4. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur
de messagerie, puis saisissez les informations requises pour vous
connecter au serveur SMTP (Simple Mail Transport Protocol) et
envoyer un message électronique (vous pouvez ajouter jusqu’à
quatre serveurs de messagerie au profil) :
• Serveur : nom identifiant le serveur de messagerie (1 à
31 caractères). Ce champ est un simple intitulé et ne doit pas
comporter le nom d’hôte d’un serveur SMTP existant.
• Nom complet : nom à afficher dans le champ De du courrier
électronique.
• De : adresse de messagerie à partir de laquelle les messages de
notification seront envoyés.
• À : adresse de messagerie vers laquelle les messages
électroniques de notification seront envoyés.
• Destinataire supplémentaire : si vous souhaitez que les
notifications soient envoyées à un deuxième compte,
saisissez-en l’adresse e-mail ici. Vous ne pouvez ajouter qu’un
seul destinataire supplémentaire. Pour ajouter plusieurs
destinataires, saisissez l’adresse e-mail d’une liste de
distribution.
• Passerelle : adresse IP ou nom d’hôte de la passerelle SMTP
à utiliser pour envoyer les messages électroniques.
5. Cliquez sur OK pour enregistrer le profil de serveur.
Étape 2 (Facultatif) Personnalisez le format des Sélectionnez l’onglet Format de journal personnalisé. Pour plus
e-mails envoyés par le pare-feu. d’informations sur la création de formats personnalisés pour les
divers types de journaux, reportez-vous au Guide de configuration
des formats d’événements courants.
Étape 3 Enregistrez le profil de serveur et validez 1. Cliquez sur OK pour enregistrer le profil.
vos modifications. 2. Cliquez sur Valider pour enregistrer les modifications de la
configuration active.

Configuration des destinations de pièges SNMP
SNMP (Simple Network Management Protocol) est une fonctionnalité standard permettant la surveillance des
périphériques sur votre réseau. Vous pouvez configurer le pare-feu de manière à envoyer des pièges SNMP à
votre logiciel de gestion SNMP afin de vous prévenir des menaces ou événements système critiques requérant
votre attention immédiate.
Vous pouvez également utiliser SNMP pour surveiller le pare-feu. Dans ce cas, votre
gestionnaire SNMP doit être configuré de manière à obtenir les statistiques du pare-feu au lieu
de (ou outre) l’envoi de pièges au gestionnaire par le pare-feu. Pour plus d’informations,
consultez la section Configuration du pare-feu pour l’authentification sur le serveur Syslog.
Configuration des destinations de pièges SNMP
Étape 1 (SNMP v3 uniquement) Obtenez l’ID de Pour découvrir l’ID de moteur du pare-feu, vous devez configurer le
moteur du pare-feu. pare-feu pour SNMP v3 et envoyez un message GET depuis votre
gestionnaire SNMP ou explorateur MIB comme suit :
Dans de nombreux cas, le
1. Veillez à ce que l’interface autorise les demandes SNMP
navigateur MIB ou le
entrantes :
gestionnaire SNMP détecte
automatiquement l’ID de moteur • Si vous envisagez de recevoir des messages SNMP GET sur
en cas de connexion réussie à l’interface MGT, sélectionnez Périphérique > Configuration
l’agent SNMP sur le pare-feu. > Gestion, puis cliquez sur l’icône Modifier dans la section
Vous pouvez généralement Paramètres de l’interface de gestion de l’écran. Dans la
trouver cette information dans la section Services , cochez la case SNMP, puis cliquez sur OK.
section Paramètres de l’agent de • Si vous envisagez de recevoir des messages SNMP GET sur
l’interface. Pour obtenir des une autre interface, vous devez associer un profil de gestion
instructions sur la recherche à l’interface et activer la gestion SNMP.
d’informations sur l’agent,
reportez-vous à la documentation 2. Configurez le pare-feu pour SNMP v3, tel que décrit à l’Étape 2
de votre produit spécifique. de la section Configuration de la surveillance SNMP. Si vous ne
configurez pas le pare-feu pour SNMP v3, votre
navigateur MIB ne vous autorise pas à obtenir (demande GET)
l’ID de moteur.
3. Connectez votre navigateur MIB ou gestionnaire SNMP au
pare-feu et exécutez une demande GET pour
OID 1.3.6.1.6.3.10.2.1.1.0. La valeur renvoyée est l’ID de
moteur unique du pare-feu.

Configuration des destinations de pièges SNMP (suite)
Étape 2 Créez un profil de serveur contenant les informations permettant de se connecter et de s’authentifier auprès des
gestionnaires SNMP.
1. Sélectionnez Périphérique > Profils de serveur > Piège SNMP.
2. Cliquez sur Ajouter, puis donnez un nom au profil.
3. (Facultatif) Sélectionnez le système virtuel auquel ce profil s’applique dans la liste déroulante Emplacement.
4. Sélectionnez la version de SNMP que vous utilisez (V2c ou V3).
5. Cliquez sur Ajouter pour ajouter une nouvelle entrée récepteur de pièges SNMP (vous pouvez ajouter
jusqu’à quatre receveurs de piège par profil de serveur). Les valeurs requises dépendent de l’utilisation de
SNMP, V2c ou V3, comme suit :
SNMP V2c
• Serveur : nom identifiant le gestionnaire SNMP (1 à 31 caractères). Ce champ est un simple intitulé et ne
doit pas comporter le nom d’hôte d’un serveur SNMP existant.
• Gestionnaire : l’adresse IP du gestionnaire SNMP auquel vous souhaitez envoyer des pièges.
• Communauté : chaîne de communauté requise pour s’authentifier auprès du gestionnaire SNMP.
SNMP V3
• Serveur : nom identifiant le gestionnaire SNMP (1 à 31 caractères). Ce champ est un simple intitulé et ne
doit pas comporter le nom d’hôte d’un serveur SNMP existant.
• Gestionnaire : l’adresse IP du gestionnaire SNMP auquel vous souhaitez envoyer des pièges.
• Utilisateur : nom d’utilisateur requis pour s’authentifier auprès du gestionnaire SNMP.
• ID de moteur : l’ID de moteur du pare-feu, tel qu’identifié à l’Étape 1. Il s’agit d’une valeur hexadécimale
de 5 à 64 octets avec un préfixe de 0x. Chaque pare-feu à un ID de moteur unique.
• Mot de passe d’authentification : mot de passe utilisé pour les messages de niveau authNoPriv
(authentification sans aucune confidentialité) sur le gestionnaire SNMP. Ce mot de passe sera haché à l’aide
de l’algorithme SHA-1 (Secure Hash Algorithm), mais ne sera pas crypté.
• Mot de passe privé : le mot de passe utilisé pour les messages de niveau authPriv (authentification avec
confidentialité) sur le gestionnaire SNMP. Ce mot de passe sera haché à l’aide de l’algorithme SHA1 et
crypté grâce à la norme AES128 (Advanced Encryption Standard).
Étape 3 (Facultatif) Configurez un itinéraire de Par défaut, les pièges SNMP sont envoyés sur l’interface MGT. Si
service pour les pièges SNMP. vous souhaitez utiliser une autre interface pour les pièges SNMP,
vous devez modifier l’itinéraire de service pour que le pare-feu puisse
atteindre votre gestionnaire SNMP. Pour obtenir des instructions,
reportez-vous à la section Configuration de l’accès réseau pour les
services externes.
Étape 5 Activez le gestionnaire SNMP pour Chargez les fichiers MIB PAN-OS dans votre logiciel de
interpréter les pièges reçus du pare-feu. gestion SNMP et compilez-les. Pour obtenir des instructions
spécifiques, reportez-vous à la documentation de votre gestionnaire
SNMP.

Définition des serveurs Syslog
Syslog est un mécanisme de transfert de journaux standard qui permet l’agrégation des données des journaux à
partir de différents périphériques réseau, tels que routeurs, pare-feu, imprimantes, de différents fournisseurs,
dans un référentiel central, pour l’archivage, l’analyse et la création de rapports.
Le pare-feu génère six types de logs qui peuvent être transférés vers un serveur Syslog externe : trafic, menaces,
WildFire, correspondance de profil d’informations sur l’hôte (HIP), configuration et système. Si vous souhaitez
transférer certains ou tous ces journaux vers un service externe à des fins de stockage à long terme et d’analyse,
vous pouvez utiliser TCP ou SSL comme moyen de transport fiable et sécurisé des journaux, ou UDP comme
moyen de transport non sécurisé.

Configuration du transfert Syslog
Étape 1 Créez un profil de serveur contenant les 1. Sélectionnez Périphérique > Profils de serveur > Syslog.
informations de connexion au(x) 2. Cliquez sur Ajouter, puis donnez un nom au profil.
serveur(s) Syslog.
3. (Facultatif) Sélectionnez le système virtuel auquel ce profil
s’applique dans la liste déroulante Emplacement.
4. Cliquez sur Ajouter pour ajouter une nouvelle entrée de
serveur Syslog, puis saisissez les informations requises pour
vous connecter au serveur Syslog (vous pouvez ajouter jusqu’à
quatre serveurs Syslog au même profil) :
• Nom : nom unique du profil de serveur.
• Serveur : adresse IP ou nom de domaine complet (FQDN)
du serveur Syslog.
• Transport : sélectionnez TCP, UDP ou SSL comme méthode
de communication avec le serveur Syslog.
• Port : numéro de port sur lequel envoyer des
messages Syslog (UDP sur le port 514 par défaut) ; vous
devez utiliser le même numéro de port sur le pare-feu et le
serveur Syslog.
• Format : sélectionnez le format de message Syslog à utiliser :
BSD ou IETF. Généralement, le format BSD est sur UDP et
le format IETF est sur TCP/SSL. Pour le paramétrage du
transfert Syslog sécurisé avec authentification client,
reportez-vous à la section Configuration du pare-feu pour
l’authentification sur le serveur Syslog.
• Site : sélectionnez l’une des valeurs standard Syslog, qui est
utilisée pour calculer le champ PRI (priorité) dans
l’implémentation de votre serveur Syslog. Vous devez
sélectionner la valeur correspondant à l’utilisation du
champ PRI pour gérer vos messages Syslog.
5. (Facultatif) Pour personnaliser le format des messages Syslog
envoyés par le pare-feu, sélectionnez l’onglet Format de journal
personnalisé. Pour plus d’informations sur la création de
formats personnalisés pour les divers types de journaux,
reportez-vous au Guide de configuration des formats
d’événements courants.

Configuration du transfert Syslog (suite)
Étape 2 (Facultatif) Configurez le format d’en-tête 1. Sélectionnez Périphérique > Configuration > Gestion, puis
utilisé dans les messages Syslog. Le choix cliquez sur l’icône Modifier dans la section Paramètres de
du format d’en-tête offre plus de journalisation et de génération de rapports.
flexibilité en matière de filtrage et de 2. Sélectionnez Exportation de journal et génération de
génération de rapports sur les données de rapports.
journal pour certains serveurs SIEM.
3. Sélectionnez une des options suivantes dans la liste déroulante
Envoyer le nom d’hôte dans Syslog :
• Nom de domaine complet : (par défaut) concatène le nom
d’hôte et le nom de domaine défini sur le périphérique
expéditeur.
• nom d’hôte : utilise le nom d’hôte défini sur le périphérique
expéditeur.
• adresse ipv4 : utilise l’adresse IPv4 de l’interface utilisée
pour envoyer les logs sur le périphérique. Par défaut, il s’agit
de l’interface MGT du périphérique.
• adresse ipv6 : utilise l’adresse IPv6 de l’interface utilisée
pour envoyer les logs sur le périphérique. Par défaut, il s’agit
Il s’agit d’un paramètre général qui
de l’interface MGT du périphérique.
s’applique à tous les profils de
serveur Syslog configurés sur • aucun : le champ du nom d’hôte n’est pas renseigné sur le
l’appareil. périphérique. Aucun identifiant n’est défini pour le
périphérique ayant envoyé les journaux.
Étape 4 Activez le transfert des journaux. Reportez-vous à la section Activation du transfert des journaux.
Vous devez configurer chaque type de journal pour le transfert et
préciser la gravité selon laquelle l’événement est consigné.
Les journaux WildFire sont un type de journal des menaces,
mais ils ne sont pas consignés ni transférés avec les journaux
des menaces. Bien que les journaux WildFire utilisent le
même format Syslog que les journaux des menaces, le
sous-type de menace est prédéfini dans WildFire. Vous devez
donc activer la journalisation/le transfert des journaux
WildFire distinctement des journaux des menaces.
Étape 5 Passez en revue les journaux sur le serveur Pour analyser les journaux, reportez-vous à la section Descriptions
Syslog. des champs Syslog.
Configuration du pare-feu pour l’authentification sur le serveur Syslog
Pour activer l’authentification client pour Syslog sur SSL, vous pouvez recourir à une AC de confiance ou une
AC auto-signée pour la génération de certificats pouvant être utilisés pour sécuriser la communication Syslog.
Vérifiez les points suivants lors de la génération d’un certificat pour sécuriser la communication Syslog :

 La clé privée doit être disponible sur le périphérique expéditeur ; les clés ne peuvent pas être stockées sur un
module de sécurité matériel (HSM).
 L’objet et l’émetteur du certificat ne doivent pas être identiques.
 Le certificat n’est ni une AC de confiance, ni une requête de signature de certificat (CSR). Aucun de ces types
de certificats ne peut être activé pour la communication Syslog sécurisée.
Configuration du pare-feu pour l’authentification sur le serveur Syslog
Étape 1 Si le serveur Syslog nécessite Pour vérifier que le périphérique expéditeur est autorisé à communiquer
l’authentification du client, générez le avec le serveur Syslog, vous devez effectuer les tâches suivantes :
certificat pour la communication • Le serveur et le périphérique expéditeur doivent comporter des
sécurisée. Pour plus d’informations certificats signés par l’AC de l’entreprise ; ou vous pouvez générer un
sur les certificats, reportez-vous à la certificat auto-signé sur le pare-feu, exporter le certificat de l’AC
section Gestion des certificats. racine depuis le pare-feu et l’importer dans le serveur Syslog.
• Utilisez le certificat de l’AC de l’entreprise ou le certificat auto-signé
pour générer un certificat avec l’adresse IP (comme nom commun)
du périphérique expéditeur, pouvant être utilisé dans la
communication Syslog sécurisée. Le serveur Syslog utilise ce
certificat pour vérifier que le pare-feu est autorisé à communiquer
avec le serveur Syslog.
Suivez les étapes ci-dessous pour générer le certificat sur le pare-feu
ou Panorama :
1. Sélectionnez Périphérique > Gestion des certificats >
Certificats > Certificats de périphérique.
2. Cliquez sur Générer pour créer un nouveau certificat qui sera signé
par une autorité de certification de confiance ou l’autorité de
certification auto-signée.
3. Donnez un Nom au certificat.
4. Dans Nom commun, saisissez l’adresse IP du périphérique qui
envoie les journaux au serveur Syslog.
5. Sélectionnez Partagé si vous souhaitez que le certificat soit partagé
sur Panorama ou par tous les systèmes virtuels dans un pare-feu à
plusieurs systèmes virtuels.
6. Dans Signé par, sélectionnez l’autorité de certification de
confiance ou l’autorité de certification auto-signée approuvée par
le serveur Syslog et le périphérique expéditeur.
7. Clique sur Générer. Le certificat et la paire de clés sont alors
générés.
8. Cliquez sur le lien portant le nom du certificat et activez l’option
Certificat pour la communication Syslog sécurisée pour l’accès
sécurisé au serveur Syslog.
10. Vérifiez les détails du certificat et qu’il est marqué pour l’utilisation
comme Certificat pour la communication Syslog sécurisée.

Activation du transfert des journaux
Une fois que vous avez créé les profils de serveur définissant l’emplacement de stockage de vos logs
(reportez-vous à la section Définition des destinations de journalisation à distance), vous devez activer le
transfert des logs. Pour chaque type de journal, vous pouvez indiquer son transfert vers un serveur Syslog, de
messagerie, un récepteur de pièges SNMP et/ou Panorama.
Avant de pouvoir transférer des fichiers logs vers un gestionnaire ou un collecteur de

logs Panorama, le pare-feu doit être configuré en tant que périphérique géré. Vous pouvez
ensuite activer le transfert des journaux vers Panorama pour chaque type de journal. Pour les
journaux transférés à Panorama, la prise en charge du transfert centralisé des journaux vers un
serveur Syslog externe est disponible.
La méthode d’activation du transfert dépend du type de journal :
 Journaux de trafic : vous pouvez activer le transfert des journaux de trafic en créant un profil de transfert
de journaux (Objets > Transfert des journaux) et en l’ajoutant aux politiques de sécurité pour lesquelles vous
souhaitez déclencher le transfert des journaux. Seul le trafic correspondant à une règle spécifique d’une
politique de sécurité sera journalisé et transféré. Pour plus d’informations sur la configuration d’un profil de
transfert des logs, reportez-vous à la section Profils de transfert des logs.
 Journaux des menaces : vous pouvez activer le transfert des journaux des menaces en créant un profil de
transfert de journaux (Objets > Transfert des journaux) qui indique les niveaux de gravité que vous voulez
transférer et en l’ajoutant aux politiques de sécurité pour lesquelles vous souhaitez déclencher le transfert des
journaux. Une entrée du journal des menaces ne sera créée (et, par conséquent, transférée) que si le trafic
associé correspond à un profil de sécurité (Antivirus, Antispyware, Vulnérabilité, Filtrage des URL, Blocage
des fichiers, Filtrage des données ou protection DoS). Pour plus d’informations sur la configuration d’un
profil de transfert des journaux, reportez-vous à la section Profils de transfert des logs. Le tableau suivant
récapitule les niveaux de gravité des menaces :
Gravité Description
Critique Menaces graves, telles que celles affectant les installations par défaut des
logiciels déployés à grande échelle et menant à la compromission des
serveurs, dans lesquelles le code d’exploit est largement accessible aux
pirates. Le pirate n’a généralement pas besoin d’informations
d’authentification spéciales ni de connaissances relatives à chaque victime,
et la cible n’a pas besoin d’être manipulée au point d’effectuer des
fonctions spéciales.
Elevé Menaces pouvant devenir critiques mais ayant des facteurs atténuants ; par
exemple, elles peuvent être difficiles à exploiter, ne mènent pas à des
privilèges élevés ou ne ciblent pas un grand nombre de victimes.
Moyen(ne) Menaces mineures dans lesquelles l’incidence est minimisée, telles que les
attaques DoS qui ne compromettent pas la cible ou les exploits nécessitant
qu’un pirate réside sur le même réseau local que la victime, affectent
uniquement les configurations non standard ou les applications obscures,
ou fournissent un accès très limité. En outre, les entrées des
journaux d’envoi WildFire ayant pour verdict la présence de logiciels
malveillants sont enregistrées sous le niveau de gravité Moyen.

Faible Menaces à surveiller ayant très peu d’incidence sur l’infrastructure de

l’entreprise. Celles-ci requièrent généralement un accès au système
physique ou local et peuvent entraîner des problèmes DoS ou de
confidentialité de la victime, ainsi qu’une fuite des informations.
Les correspondances du profil de filtrage des données sont journalisées
sous le niveau de gravité Faible.
Informations Événements suspects qui ne constituent pas une menace immédiate, mais
qui sont signalées pour attirer l’attention sur l’existence possible de
problèmes plus graves. Les entrées des journaux de filtrage des URL et les
entrées des journaux d’envoi WildFire ayant un verdict bénin sont
enregistrées sous le niveau de gravité Informations.
 Journaux de configuration : vous pouvez activer le transfert des journaux de configuration en indiquant
un profil de serveur dans la configuration des paramètres des journaux (Périphérique > Paramètres des
journaux > Journaux de configuration).
 Journaux système : vous pouvez activer le transfert des journaux système en indiquant un profil de serveur
dans la configuration des paramètres des journaux (Périphérique > Paramètres des journaux > Journaux
système). Vous devez sélectionner un serveur de profil pour chaque niveau de gravité que vous souhaitez
transférer. Pour obtenir une liste partielle des messages des journaux et de leurs niveaux de gravité
correspondants, reportez-vous à la Référence des journaux système. Le tableau suivant récapitule les niveaux
de gravité des journaux système :
Critique Défaillances matérielles, notamment les basculements HD et les échecs de

liaison.
Elevé Problèmes graves, notamment les connexions abandonnées avec des
périphériques externes tels que les serveurs LDAP et RADIUS.
Moyen(ne) Notifications de niveau intermédiaires telles que les mises à niveau du
module antivirus.
Faible Notifications de gravité mineure telles que les changements de mot de
passe utilisateur.
Informations Connexion/déconnexion, changement du nom ou du mot de passe
administrateur, toute modification apportée à la configuration et tous les
autres événements non couverts par les autres niveaux de gravité.
Profils de transfert des logs
Les profils de transfert des logs vous permettent de transférer des logs du trafic et des menaces à Panorama ou
à un système externe. Un profil de transfert des logs peut être ajouté à une zone de sécurité afin de transférer
des logs de protection de zone ou à une politique de sécurité afin de transférer des logs sur le trafic
correspondant à cette politique. Vous pouvez également configurer un profil de transfert des logs.
Les paramètres du profil par défaut seront utilisés en tant que paramètres de transfert des logs par défaut pour

les nouvelles zones et politiques de sécurité. Ceci vous permet d’inclure automatiquement et de manière
cohérente les paramètres de transfert des logs préférés de votre organisation aux nouvelles politiques et zones,
sans que les administrateurs ne les ajoutent manuellement à chaque fois.
Les sections suivantes décrivent comment créer un profil de transfert des logs et comment activer un profil afin
qu’il soit utilisé comme paramètres de transfert des logs par défaut pour les nouvelles zones et politiques de
sécurité :
 Création d’un profil de transfert des logs
 Configuration ou remplacement d’un profil de transfert des logs par défaut
Création d’un profil de transfert des logs
Créez un profil de transfert des logs pouvant être ajouté aux politiques et zones de sécurité afin de transférer
des logs du trafic et des menaces à Panorama ou à un système externe. Les logs transférés peuvent être envoyés
sous forme de pièges SNMP, de messages Syslog ou de notifications par courrier électronique.
Activation d’un profil de transfert des logs
Étape 1 Ajoutez un profil de transfert des logs. 1. Sélectionnez Objets > Profil de transfert des logs et Ajouter
un nouveau groupe de profils de sécurité.
2. Donnez au groupe de profils un Nom explicite pour pouvoir
l’identifier lors de l’ajout du profil aux politiques ou zones de
sécurité.
3. Si le pare-feu est en mode Systèmes virtuels multiples, activez le
Partage du profil avec l’ensemble des systèmes virtuels.
4. Ajoutez des paramètres pour les logs du trafic, les logs des
menaces et les logs WildFire :
• Cochez la case Panorama correspondant à la gravité des logs
du trafic, des menaces ou WildFire que vous souhaitez
transférer à Panorama.
• Spécifiez les logs que vous souhaitez transférer à d’autres
destinations : destinations Piège SNMP, serveurs de
Messagerie ou serveurs Syslog.
5. Cliquez sur OK pour enregistrer le profil de transfert des logs.
Étape 2 Ajoutez le profil de transfert des logs à 1. Sélectionnez Politiques > Sécurité et Ajouter ou modifiez une
une politique de sécurité. politique de sécurité.
Le trafic correspondant à la politique de 2. Sélectionnez Actions et le profil de transfert des logs que vous
sécurité et à votre profil de transfert des avez créé dans la liste déroulante Profil de transfert des logs.
logs sera transféré aux destinations Les entrées du log des menaces sont générées
définies dans votre profil. conformément aux politiques de sécurité que vous avez
configurées, en plus des paramètres définis dans le profil
Pour plus d’informations sur les
de transfert des logs. Pour plus d’informations sur les
politiques de sécurité, reportez-vous à la
profils de sécurité, reportez-vous à la section Profils de
section Politique de sécurité.
sécurité.
3. Cliquez sur OK pour enregistrer la politique de sécurité.

Activation d’un profil de transfert des logs
Étape 3 Ajoutez le profil de transfert des logs à 1. Sélectionnez Réseau > Zones et Ajouter ou modifiez une zone
une zone de sécurité. de sécurité.
Pour plus d’informations sur la 2. Sélectionnez le profil de transfert des logs dans la liste
configuration des zones de sécurité, déroulante Paramètre de log.
reportez-vous à la section Configuration 3. Cliquez sur OK pour enregistrer la zone de sécurité.
des interfaces et des zones.
Étape 4 Sauvegardez vos modifications. Valider.
Configuration ou remplacement d’un profil de transfert des logs par défaut
Ajoutez un nouveau profil de transfert des logs ou modifiez un profil existant pour qu’il soit utilisé en tant que
paramètres de transfert des logs par défaut pour les nouvelles politiques et zones de sécurité. Lorsqu’un
administrateur crée une nouvelle politique ou zone de sécurité, le profil de transfert des logs par défaut est
automatiquement sélectionné comme paramètres de transfert des logs de la politique ou de la zone
(l’administrateur, s’il le souhaite, peut sélectionner manuellement d’autres paramètres de transfert des logs).
Utilisez les options suivantes pour configurer un profil de transfert des logs ou pour remplacer vos paramètres
par défaut.
S’il n’existe aucun profil de sécurité par défaut, les paramètres du profil d’une nouvelle politique
de sécurité sont définis par défaut sur Aucun.

Configuration ou remplacement d’un profil de transfert des logs par défaut
• Configurez un profil de transfert des logs par 1. Sélectionnez Objets > Transfert des logs et Ajouter un
défaut. nouveau profil de transfert des logs ou modifiez un profil
existant.
2. Donnez un Nom au groupe de profils de sécurité par défaut :

4. Vérifiez que le profil de transfert des logs par défaut est inclus par
défaut dans les nouvelles politiques de sécurité :
a. Sélectionnez Politiques > Sécurité et Ajouter une nouvelle
b. Sélectionnez l’onglet Actions et vérifiez que le champ
Transfert des logs indique le profil par défaut sélectionné :
5. Vérifiez que le profil de transfert des logs par défaut est inclus par
défaut dans les nouvelles zones de sécurité :
a. Sélectionnez Réseau > Zones et Ajouter une nouvelle zone
de sécurité.
b. Vérifiez que le champ Paramètre de log indique le profil de
transfert des logs par défaut sélectionné :
• Remplacez un profil de transfert des logs par Si vous disposez déjà d’un profil de transfert des logs par défaut et
défaut. que vous ne souhaitez plus appliquer les paramètres de transfert des
logs définis dans ce profil à une nouvelle politique ou zone de
sécurité, modifiez le champ Paramètre de log de la politique ou de
la zone selon vos préférences.

Surveillance du pare-feu à l’aide de SNMP Rapports et journalisation
Surveillance du pare-feu à l’aide de SNMP

Tous les pare-feu Palo Alto Networks prennent en charge les modules MIB (bases de données MIB) SNMP
réseau standard ainsi que les modules MIB Enterprise propriétaires. Vous pouvez configurer un
gestionnaire SNMP de manière à obtenir les statistiques du pare-feu. Par exemple, vous pouvez configurer votre
gestionnaire SNMP de manière à surveiller les interfaces, les sessions actives et simultanées, le pourcentage
d’utilisation de session, la température et/ou la durée active du système sur le pare-feu.
Les pare-feu Palo Alto Networks prennent en charge les demandes SNMP GET uniquement ; les
demandes SNMP SET ne sont pas prises en charge.
Configuration de la surveillance SNMP
Étape 1 Veillez à ce que l’interface autorise les • Si vous envisagez de recevoir des messages SNMP GET sur
demandes SNMP entrantes : l’interface MGT, sélectionnez Périphérique > Configuration >
Gestion, puis cliquez sur l’icône Modifier dans la section
Paramètres de l’interface de gestion de l’écran. Dans la section
Services, cochez la case SNMP, puis cliquez sur OK.
• Si vous envisagez de recevoir des messages SNMP GET sur une
autre interface, vous devez associer un profil de gestion à
l’interface et activer la gestion SNMP.

Rapports et journalisation Surveillance du pare-feu à l’aide de SNMP
Configuration de la surveillance SNMP (suite)
Étape 2 À partir de l’interface Web du pare-feu, 1. Sélectionnez Périphérique > Configuration > Opérations >
configurez les paramètres de manière à Configuration SNMP.
permettre à l’agent SNMP sur le pare-feu 2. Indiquez l’emplacement physique du pare-feu et le nom ou
de répondre aux demandes GET l’adresse e-mail du contact administrateur.
entrantes du gestionnaire SNMP.
3. Sélectionnez la Version SNMP, puis saisissez les détails de
configuration comme suit (en fonction de la version de SNMP
que vous utilisez), puis cliquez sur OK :
• V2c : saisissez la chaîne de communauté SNMP qui
permettra au gestionnaire SNMP d’accéder à l’agent SNMP
sur le pare-feu. La valeur par défaut est public, cependant,
comme il s’agit d’une chaîne de communauté bien connue, il
est recommandé d’utiliser une valeur qui n’est pas facile à
découvrir.
• V3 : vous devez créer au moins une vue et un utilisateur afin
d’utiliser SNMPv3. La vue mentionne les informations de
gestion auxquelles le gestionnaire a accès. Si vous voulez
permettre l’accès à toutes les informations de gestion, il suffit
de saisir l’identifiant d’objet de.1.3.6.1 et de définir l’option
sur Inclure (vous pouvez également créer des vues excluant
certains objets). Utilisez 0xf0 en tant que Masque. Ensuite,
lorsque vous créez un utilisateur, sélectionnez la vue que vous
venez de créer et spécifiez le Mot de passe
d’authentification et le Mot de passe privé.
Les paramètres d’authentification (la chaîne de caractères de
communauté pour V2c ou le nom d’utilisateur et les mots de
passe pour V3) configurés sur le pare-feu doivent correspondre
à la valeur configurée sur le gestionnaire SNMP.
5. Cliquez sur Valider pour enregistrer les paramètres SNMP.
Étape 3 Activez le gestionnaire SNMP pour Chargez les fichiers MIB PAN-OS dans votre logiciel de
interpréter les statistiques du pare-feu. gestion SNMP et compilez-les si nécessaire. Pour obtenir des
instructions spécifiques, reportez-vous à la documentation de votre
gestionnaire SNMP.
Étape 4 Identifiez les statistiques que vous À l’aide d’un navigateur MIB, parcourez les fichiers MIB PAN-OS
souhaitez surveiller. pour déterminer les identifiants d’objets (OID) qui correspondent
aux statistiques que vous souhaitez surveiller. Par exemple,
supposons que vous souhaitiez surveiller le pourcentage d’utilisation
de session sur le pare-feu. Un navigateur MIB vous permet de voir
que ces statistiques correspondent à
OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 dans le PAN-COMMON-MIB.
Étape 5 Configurez le logiciel de gestion SNMP Pour obtenir des instructions spécifiques, reportez-vous à la
pour surveiller les identifiants d’objet qui documentation de votre gestionnaire SNMP.
vous intéressent.

Surveillance du pare-feu à l’aide de SNMP Rapports et journalisation
Configuration de la surveillance SNMP (suite)
Étape 6 Une fois que vous avez terminé la Voici un exemple de l’affichage des statistiques exprimées en
configuration du pare-feu et du pourcentage d’utilisation de session en temps réel par le
gestionnaire SNMP, vous pouvez gestionnaire SNMP pour un pare-feu PA-500 :
commencer à surveiller le pare-feu à partir
du logiciel de gestion SNMP.

Rapports et journalisation Surveillance du pare-feu à l’aide de NetFlow
Surveillance du pare-feu à l’aide de NetFlow

NetFlow est un protocole du secteur permettant au pare-feu d’enregistrer des statistiques sur le trafic IP
traversant ses interfaces. Le pare-feu exporte les statistiques sous forme de champs NetFlow vers un collecteur
NetFlow. Le collecteur NetFlow est un serveur que vous utilisez pour analyser le trafic réseau à des fins de
sécurité, d’administration, de comptabilité et de dépannage. Tous les pare-feu prennent en charge NetFlow
version 9 à l’exception des pare-feu PA-4000 Series et PA-7050. Les pare-feu ne prennent en charge que le
protocole NetFlow unidirectionnel, et non bidirectionnel. Vous pouvez activer les exportations NetFlow sur
tous les types d’interfaces à l’exception de la HD, de la carte des logs ou du miroir de décryptage. Pour identifier
les interfaces de pare-feu d’un collecteur NetFlow, reportez-vous à la section Identification des interfaces de
pare-feu dans des systèmes de surveillance externes.
Le pare-feu prend en charge les modèles NetFlow standard et entreprise (spécifiques à PAN-OS). Les
collecteurs NetFlow requièrent des modèles pour déchiffrer les champs exportés. Le pare-feu choisit un modèle
en fonction du type de données qu’il exporte : trafic IPv4 ou IPv6, avec ou sans NAT, et avec des champs
standard ou entreprise. Pour une liste des modèles pris en charge et des définitions de champs, reportez-vous à
la section Modèles NetFlow. Le pare-feu actualise régulièrement les modèles afin d’appliquer les modifications
qui y ont été apportées. Vous configurez la fréquence d’actualisation en fonction des exigences du collecteur
NetFlow que vous utilisez.
Surveillance du pare-feu à l’aide de NetFlow
Étape 1 Créez un profil de serveur NetFlow. 1. Sélectionnez Périphérique > Profils de serveur > NetFlow,
puis cliquez sur Ajouter.
2. Saisissez un Nom pour le profil.
3. Spécifiez la fréquence à laquelle le pare-feu actualise les
modèles (en Minutes ou Paquets) et exporte les
enregistrements (Délai d’expiration actif en minutes).
4. Cochez la case Types de champs PAN-OS si vous souhaitez que
le pare-feu exporte les champs App-ID et User-ID.
5. Pour chaque collecteur NetFlow (jusqu’à deux par profil) qui
recevra les champs, cliquez sur Ajouter et saisissez un Nom de
serveur explicite, un nom d’hôte ou une adresse IP (Serveur
NetFlow), puis un Port d’accès (2055 par défaut).
Étape 2 Associez le profil de serveur NetFlow aux 1. Sélectionnez Réseau > Interfaces > Ethernet et cliquez sur un
interfaces qui délivrent le trafic que vous nom d’Interface pour la modifier.
souhaitez analyser. 2. Dans la liste déroulante Profil NetFlow, sélectionnez le profil
Dans cet exemple, vous associez le profil de serveur NetFlow, puis cliquez sur OK.
à une interface de Couche 3 existante. 3. Cliquez sur Valider puis sur OK.

Modèles NetFlow Rapports et journalisation
Modèles NetFlow
Le pare-feu Palo Alto Networks prend en charge les modèles NetFlow suivants :
Modèle ID
IPv4 Standard 256
IPv4 Enterprise 257
IPv6 Standard 258
IPv6 Enterprise 259
IPv4 avec NAT Standard 260
IPv4 avec NAT Enterprise 261
Le tableau suivant répertorie les champs NetFlow que le pare-feu peut envoyer, ainsi que le modèle qui les
définit :
Valeur Champ Description Modèles
1 IN_BYTES Compteur entrant avec une longueur de N * Tous les modèles

8 bits pour le nombre d’octets associés à un
flux IP. La valeur par défaut de N est 4.
2 IN_PKTS Compteur entrant avec une longueur de N * Tous les modèles

8 bits pour le nombre de paquets associés à
un flux IP. La valeur par défaut de N est 4.
4 PROTOCOL Octet du protocole IP. Tous les modèles
5 TOS Paramètre d’octet du type de service d’entrée Tous les modèles

de l’interface entrante.
6 TCP_FLAGS Total de tous les indicateurs TCP de ce flux. Tous les modèles
7 L4_SRC_PORT Numéro de port source TCP/UDP (par Tous les modèles

exemple, FTP, Telnet ou équivalent).
8 IPV4_SRC_ADDR Adresse source IPv4 IPv4 Standard

IPv4 Enterprise
IPv4 avec NAT Standard
IPv4 avec NAT Enterprise
10 INPUT_SNMP Index d’interface d’entrée. La valeur de Tous les modèles

longueur par défaut est de 2 octets, mais des
valeurs supérieures sont possibles. Pour plus
d’informations sur la génération des index
d’interface par les pare-feu Palo Alto
Networks, reportez-vous à la section
Identification des interfaces de pare-feu dans
des systèmes de surveillance externes.

Rapports et journalisation Modèles NetFlow
11 L4_DST_PORT Numéro de port de destination TCP/UDP Tous les modèles

(par exemple, FTP, Telnet ou équivalent).
12 IPV4_DST_ADDR Adresse de destination IPv4 IPv4 Standard

IPv4 Enterprise
IPv4 avec NAT Standard
IPv4 avec NAT Enterprise
14 OUTPUT_SNMP Index d’interface de sortie. La valeur de Tous les modèles

longueur par défaut est de 2 octets, mais des
valeurs supérieures sont possibles. Pour plus
d’informations sur la génération des index
d’interface par les pare-feu Palo Alto
Networks, reportez-vous à la section
Identification des interfaces de pare-feu dans
des systèmes de surveillance externes.
21 LAST_SWITCHED Durée active du système, en millisecondes, Tous les modèles

lors du basculement du dernier paquet de ce
flux.
22 FIRST_SWITCHED Durée active du système, en millisecondes, Tous les modèles

lors du basculement du premier paquet de ce
flux.
27 IPV6_SRC_ADDR Adresse source IPv6 IPv6 Standard

IPv6 Enterprise
28 IPV6_DST_ADDR Adresse de destination IPv6 IPv6 Standard

IPv6 Enterprise
32 ICMP_TYPE Type de paquet ICMP (Internet Control Tous les modèles

Message Protocol). Il est rapporté sous la
forme suivante :
Type ICMP * 256 + code ICMP
61 DIRECTION Sens du flux : Tous les modèles

• 0 = entrée
• 1 = sortie
148 flowId Identifiant d’un flux unique dans un domaine Tous les modèles
d’observation. Vous pouvez utiliser cet élément
d’information pour distinguer différents flux si
des clés de flux comme des adresses IP et des
numéros de ports sont rapportées ou non
dans des enregistrements distincts.

Modèles NetFlow Rapports et journalisation
233 firewallEvent Indique un événement de pare-feu : Tous les modèles

• 0 = ignorer (valide)
• 1 = flux créé
• 2 = flux supprimé
• 3 = flux refusé
• 4 = alerte de flux
• 5 = mise à jour de flux
225 postNATSourceIPv4Address La définition de cet élément d’information est IPv4 avec NAT Standard
identique à celle de sourceIPv4Address, à IPv4 avec NAT Enterprise
l’exception qu’il rapporte une valeur modifiée
due à une fonction intermédiaire NAT après
le passage du paquet au point d’observation.
226 postNATDestinationIPv4Address La définition de cet élément d’information est IPv4 avec NAT Standard
identique à celle de destinationIPv4Address, à IPv4 avec NAT Enterprise
due à une fonction intermédiaire NAT après
le passage du paquet au point d’observation.
227 postNAPTSourceTransportPort La définition de cet élément d’information est IPv4 avec NAT Standard
identique à celle de sourceTransportPort, à IPv4 avec NAT Enterprise
due à une fonction intermédiaire NAPT
(Network Address Port Translation) après le
passage du paquet au point d’observation.
228 postNAPTDestinationTransportPort La définition de cet élément d’information est IPv4 avec NAT Standard
identique à celle de destinationTransportPort, IPv4 avec NAT Enterprise
à l’exception qu’il rapporte une valeur
modifiée due à une fonction intermédiaire
NAPT (Network Address Port Translation)
après le passage du paquet au point
d’observation.
346 privateEnterpriseNumber Il s’agit d’un numéro d’entreprise privée IPv4 Enterprise

unique identifiant Palo Alto Networks : IPv4 avec NAT Enterprise
25461.
IPv6 Enterprise
56701 App-ID Nom d’une application identifiée par un IPv4 Enterprise

App-ID. Le nom peut comporter jusqu’à IPv4 avec NAT Enterprise
32 octets.
IPv6 Enterprise
56702 ID utilisateur Nom d’utilisateur identifié par un User-ID. IPv4 Enterprise

Le nom peut comporter jusqu’à 64 octets. IPv4 avec NAT Enterprise
IPv6 Enterprise

Rapports et journalisation Identification des interfaces de pare-feu dans des systèmes de surveillance externes
Identification des interfaces de pare-feu dans des systèmes

de surveillance externes
Lorsque vous utilisez un collecteur NetFlow (reportez-vous à la section Surveillance du pare-feu à l’aide de
NetFlow) ou un gestionnaire SNMP (reportez-vous à la section Surveillance du pare-feu à l’aide de SNMP) pour
surveiller les flux de trafic, un index d’interface (objet ifindex SNMP) identifie l’interface de pare-feu
transportant un flux spécifique. La formule utilisée par le pare-feu Palo Alto Networks pour calculer les index
d’interface varie en fonction de la plate-forme et si l’interface est physique ou logique.
Vous ne pouvez pas utiliser SNMP pour surveiller des interfaces logiques, mais pour des
interfaces physiques uniquement. Vous pouvez utiliser NetFlow pour surveiller des interfaces
logiques ou physiques.
La plupart des collecteurs NetFlow utilisent SNMP pour déterminer le nom d’une interface
physique basé sur l’index d’interface SNMP.
La plage d’index d’interface physique est comprise entre 1 et 9999, que le pare-feu calcule comme suit :
Plate-forme de pare-feu Calcul Exemple d’index d’interface
Sans châssis : Port MGT + décalage de port physique Pare-feu PA-5000 Series, Eth1/4 =
VM-Series, PA-200, PA-500, • Port MGT : constante dépendant de la 2 (ports MGT) + 4 (ports physiques) = 6
PA-2000 Series, PA-3000 Series, plate-forme :
PA-4000 Series, PA-5000 Series • 2 pour les pare-feu matériels (par
La plate-forme PA-4000 exemple, le pare-feu PA-5000 Series)
Series prend en charge • 1 pour le pare-feu VM-Series
SNMP mais pas NetFlow.
• Décalage de port physique : numéro de
port physique.
Avec châssis : (ports max. * logement) + décalage de port Pare-feu PA-7050, Eth3/9 =
Pare-feu PA-7050 physique + port MGT [64 (ports max.) * 3 (logements)] + 9
• Ports maximum : constante de 64. (ports physiques) + 5 (ports MGT) = 206
Cette plate-forme prend
en charge SNMP mais pas • Logement : numéro de logement châssis
NetFlow. de la carte d’interface réseau.
• Décalage de port physique : numéro de
port physique.
• Port MGT : constante de 5 pour les
pare-feu PA-7050.
Les index d’interface logique pour toutes les plate-formes sont des nombres à 9 chiffres que le pare-feu calcule
comme suit :
Type d’interface Intervalle Chiffre 9 Chiffres 7-8 Chiffres 5-6 Chiffres 1-4 Exemple d’index d’interface
Sous-interface de 101010001- Type : 1 Logement de Port de Sous-interfa Eth1/5.22 = 100000000 (type) +

couche 3 199999999 l’interface : l’interface : ce : suffixe 100000 (logement) + 50000 (port)
1-9 (01-09) 1-9 (01-09) 1-9999 + 22 (suffixe) = 101050022
(0001-9999)

Identification des interfaces de pare-feu dans des systèmes de surveillance externes Rapports et journalisation
Type d’interface Intervalle Chiffre 9 Chiffres 7-8 Chiffres 5-6 Chiffres 1-4 Exemple d’index d’interface
Sous-interface de 101010001- Type : 1 Logement de Port de Sous- Eth2/3.6 = 100000000 (type) +

couche 2 199999999 l’interface : l’interface : interface : 200000 (logement) + 30000 (port)
1-9 (01-09) 1-9 (01-09) suffixe + 6 (suffixe) = 102030006
1-9999
(0001-9999)
Sous-interface 101010001- Type : 1 Logement de Port de Sous- Eth4/2.312 = 100000000 (type) +
câblev 199999999 l’interface : l’interface : interface : 400000 (logement) + 20000 (port)
1-9 (01-09) 1-9 (01-09) suffixe + 312 (suffixe) = 104020312
1-9999
(0001-9999)
VLAN 200000001- Type : 2 00 00 Suffixe VLAN.55 = 200000000 (type) +
200009999 VLAN : 55 (suffixe) = 200000055
1-9999
(0001-9999)
Connexion en 300000001- Type : 3 00 00 Suffixe de Connexion en boucle.55 =
boucle 300009999 connexion 300000000 (type) + 55 (suffixe) =
en boucle : 300000055
1-9999
(0001-9999)
Tunnel 400000001- Type : 4 00 00 Suffixe de Tunnel.55 = 400000000 (type) +
400009999 tunnel : 55 (suffixe) = 400000055
1-9999
(0001-9999)
Agréger le groupe 500010001- Type : 5 00 Suffixe AE : Sous- AE5.99 = 500000000 (type) +
500089999 1-8 (01-08) interface : 50000 (suffixe AE) + 99 (suffixe) =
suffixe 500050099
1-9999
(0001-9999)

Rapports et journalisation Gestion de la génération de rapports
Gestion de la génération de rapports

Les fonctions de génération de rapports sur le pare-feu vous permettent de conserver une impulsion sur votre
réseau, de valider vos politiques et de cibler vos efforts sur la gestion de la sécurité du réseau pour préserver la
sécurité et la productivité de vos utilisateurs.
 À propos des rapports
 Affichage des rapports
 Désactivation des rapports prédéfinis
 Génération de rapports personnalisés
 Génération de rapports du Botnet
 Gestion de rapports récapitulatifs au format PDF
 Génération de rapports d’activités des utilisateurs/groupes
 Gestion des groupes de rapports
 Planification des rapports pour la distribution par courrier électronique

Gestion de la génération de rapports Rapports et journalisation
À propos des rapports
Le pare-feu inclut des rapports prédéfinis que vous pouvez utiliser tels quels. Vous pouvez également générer
des rapports personnalisés répondant à vos besoins de données spécifiques et de tâches, ou combiner des
rapports prédéfinis et personnalisés pour compiler les informations dont vous avez besoin. Le pare-feu fournit
les types de rapports suivants :
 Rapports prédéfinis : vous permettent d’afficher un bref récapitulatif du trafic sur votre réseau. Une suite
de rapports prédéfinis est disponible dans quatre catégories : Applications, Trafic, Menaces et Filtrage des
URL. Reportez-vous à la section Affichage des rapports.
 Rapports d’activités des utilisateurs/groupes : vous permettent de programmer ou de créer un rapport

sur demande sur l’utilisation de l’application et les activités d’URL pour un utilisateur ou un groupe
d’utilisateurs spécifique. Le rapport inclut les catégories d’URL et une estimation de la durée de navigation
pour chaque utilisateur. Reportez-vous à la section Génération de rapports du Botnet.
 Rapports personnalisés : créez et planifiez des rapports personnalisés qui indiquent avec précision les
informations que vous souhaitez voir en appliquant un filtre sur les conditions et les colonnes à inclure. Vous
pouvez également inclure des générateurs de requêtes pour une consultation plus spécifique des données du
rapport. Reportez-vous à la section Génération de rapports personnalisés.
 Rapports récapitulatifs au format PDF : agrégez jusqu’à 18 rapports/graphiques prédéfinis ou

personnalisés des catégories Menaces, Applications, Tendance, Trafic et Filtrage des URL dans un même
document PDF. Reportez-vous à la section Gestion de rapports récapitulatifs au format PDF.
 Rapports du Botnet : vous permettent d’utiliser des mécanismes comportementaux pour identifier
d’éventuels hôtes infectés par un Botnet dans le réseau. Reportez-vous à la section Génération de rapports
du Botnet.
 Groupes de rapports : combinez des rapports prédéfinis et personnalisés dans des groupes de rapports et
compilez un PDF qui est envoyé par e-mail à un ou plusieurs destinataires. Reportez-vous à la section
Gestion des groupes de rapports.
Les rapports peuvent être générés sur demande, selon un schéma récurrent, et peuvent être planifiés pour être
distribués par message électronique.

Le pare-feu propose un ensemble de plus de 40 rapports prédéfinis qui sont générés quotidiennement ; ces
rapports peuvent être consultés directement sur le pare-feu. Outre ces rapports, vous pouvez également afficher
des rapports personnalisés planifiés et des rapports récapitulatifs.
200 Mo de stockage environ sont réservés à l’enregistrement des rapports sur le pare-feu. Cet espace de stockage
ne peut pas être configuré par l’utilisateur, et les anciens rapports sont supprimés pour pouvoir stocker les
derniers rapports. Pour pouvoir conserver des rapports sur le long terme, vous pouvez ainsi exporter les
rapports ou planifier leur distribution par courrier électronique. Pour désactiver les rapports sélectionnés et
préserver les ressources système sur le pare-feu, reportez-vous à la section Désactivation des rapports
prédéfinis.
Les rapports d’activités des utilisateurs/groupes doivent être générés sur demande ou
programmés pour être distribués par courrier électronique. Contrairement aux autres rapports,
ceux-ci ne peuvent pas être enregistrés sur le pare-feu.
Étape 1 Sélectionnez Surveillance > Rapports.

Les rapports sont répartis en sections à droite de la fenêtre : Rapports personnalisés, Rapports d’application,
Rapports du trafic, Rapports des menaces, Rapports de filtrage des URL et Rapports récapitulatifs au
format PDF.
Étape 2 Sélectionnez le rapport à afficher. Lorsque vous sélectionnez un rapport, le rapport du jour précédent s’affiche
à l’écran.
Pour afficher les rapports d’un autre jour, sélectionnez une date disponible dans le calendrier au bas de la page,
puis un rapport dans la section en cours. Si vous changez de section, le choix de la date est réinitialisé.

Étape 3 Pour afficher un rapport hors ligne, vous pouvez exporter le rapport au format PDF, CSV ou XML. Cliquez sur
Exporter au format PDF, Exporter au format CSV ou Exporter au format XML au bas de la page. Imprimez ou
enregistrez ensuite le fichier.
Désactivation des rapports prédéfinis

Le pare-feu inclut 40 rapports prédéfinis environ qui sont générés automatiquement chaque jour. Si vous
n’utilisez pas certains ou tous ces rapports prédéfinis, vous pouvez désactiver des rapports sélectionnés et ainsi
préserver les ressources système sur le pare-feu.
Avant de désactiver un ou plusieurs rapports prédéfinis, assurez-vous que le rapport n’est pas inclus dans un
groupe de rapports ou un rapport PDF. Si le rapport prédéfini désactivé est inclus dans un groupe ou un rapport
PDF, le rapport de groupe/PDF ne comportera aucune donnée.
Désactiver les rapports prédéfinis
1. Sélectionnez Périphérique > Configuration > Gestion sur le pare-feu.

2. Cliquez sur l’icône Modifier dans la section Paramètres de journalisation et de génération de rapports, puis
sélectionnez l’onglet Exportation de journal et génération de rapports.
3. Pour désactiver des rapports :
• Décochez la case de chaque rapport que vous souhaitez désactiver.
• Sélectionnez Désélectionner tout pour désactiver tous les rapports prédéfinis.
4. Cliquez sur OK et sur Valider pour enregistrer les modifications.

Génération de rapports personnalisés
Pour pouvoir créer des rapports personnalisés utiles, vous devez prendre en compte les attributs ou éléments
d’informations clés que vous souhaitez récupérer et analyser. Les informations ci-dessous vous guident dans les
sélections suivantes dans un rapport personnalisé :
Sélection Description
Source de données Le fichier de données utilisé pour générer le rapport. Le pare-feu propose deux types
de sources de données : les bases de données récapitulatives et les journaux détaillés.
• Les bases de données récapitulatives sont disponibles pour les statistiques du trafic,
des menaces et d’application. Le pare-feu agrège les journaux détaillés sur le trafic,
l’application et les menaces toutes les 15 minutes. Les données sont condensées (les
sessions en double sont regroupées et incrémentées dans un compteur de répétition,
et certains attributs (ou colonnes) sont exclus du récapitulatif) pour un temps de
réponse plus rapide lors de la génération de rapports.
• Les journaux sont détaillés et constituent une liste complète de tous les attributs (ou
colonnes) contenus dans l’entrée du journal. L’exécution de rapports basés sur des
journaux détaillés est plus longue et n’est recommandée qu’en cas d’absolue
nécessité.
Attributs Les colonnes que vous souhaitez utiliser comme critères de correspondance. Les
attributs correspondent aux colonnes pouvant être sélectionnées dans un rapport.
Dans la liste Colonnes disponibles, vous pouvez ajouter des critères de sélection de
correspondance des données et d’agrégation des détails (Colonnes sélectionnées).
Trier par/Regrouper par Les critères Trier par et Regrouper par vous permettent d’organiser/de segmenter les
données dans le rapport ; les attributs de tri et de regroupement disponibles varient en
fonction de la source de données sélectionnée.
L’option Trier par indique l’attribut utilisé pour l’agrégation. Si vous ne sélectionnez
pas d’attribut pour le tri, le rapport renvoie les N premiers résultats sans agrégation.
L’option Regrouper par vous permet de sélectionner un attribut et de l’utiliser comme
ancrage pour regrouper des données ; toutes les données du rapport sont alors
présentées sous la forme d’un ensemble de 5, 10, 25 ou 50 groupes principaux. Par
exemple, vous sélectionnez Heure comme critère Regrouper par et vous souhaitez
obtenir les 25 premiers groupes sur une période de 24 heures. Les résultats du rapport
seront générés par heure sur une période de 24 heures. La première colonne du rapport
indique l’heure et les autres colonnes correspondent aux colonnes du rapport
sélectionné.

L’exemple suivant illustre le fonctionnement des critères Colonnes sélectionnées et

Trier par/Regrouper par lors de la génération de rapports :
Les colonnes encerclées de rouge (ci-dessous) correspondent aux colonnes

sélectionnées, à savoir les attributs de correspondance pour la génération du rapport.
Chaque entrée du journal de la source de données est analysée, et ces colonnes sont
mises en correspondance. Si plusieurs sessions incluent les mêmes valeurs que les
colonnes sélectionnées, les sessions sont agrégées et le nombre de répétitions (ou de
sessions) est incrémenté.
La colonne encerclée de bleu indique l’ordre de tri choisi. Lorsque l’ordre de tri (Trier
par) est spécifié, les données sont triées (et agrégées) par l’attribut sélectionné.
La colonne encerclée de vert indique la sélection Regrouper par, qui sert d’ancrage au
rapport. La colonne Regrouper par est utilisée comme critère de correspondance pour
filtrer les N premiers groupes. Ensuite, pour chacun des N premiers groupes, le rapport
énumère les valeurs de toutes les autres colonnes sélectionnées.

Par exemple, si un rapport inclut les sélections suivantes :
Le résultat affiché sera semblable à ci-dessous :
Le rapport est ancré par Jour et trié par Sessions. Il répertorie les 5 jours (5 groupes) avec le trafic maximum dans
le délai 7 derniers jours. Les données sont énumérées selon les 5 premières sessions pour chaque jour et les
colonnes sélectionnées : Catégorie App, Sous-catégorie App et Risque.
Période de temps La plage de dates sur laquelle vous souhaitez analyser les données. Vous pouvez définir
une plage personnalisée ou sélectionner une période de temps allant des 15 dernières
minutes aux 30 derniers jours. Les rapports peuvent être exécutés sur demande ou
programmés pour s’exécuter à une fréquence quotidienne ou hebdomadaire.
Générateur de requêtes Le générateur de requêtes vous permet de définir des requêtes spécifiques afin d’affiner
les attributs sélectionnés. Il vous permet d’afficher uniquement les éléments souhaités
dans votre rapport à l’aide des opérateurs et et ou et d’un critère de correspondance,
puis d’inclure ou d’exclure du rapport des données qui correspondent ou non à la
requête. Les requêtes vous permettent de générer un ensemble d’informations plus
ciblé dans un rapport.

Génération de rapports personnalisés
1. Sélectionnez Surveillance > Gérer des rapports personnalisés.

2. Cliquez sur Ajouter, puis saisissez un Nom pour le rapport.
Pour qu’un rapport se base sur un modèle prédéfini, cliquez sur Charger un modèle et sélectionnez un
modèle. Vous pouvez ensuite modifier le modèle et l’enregistrer sous un rapport personnalisé.
3. Sélectionnez la base de données à utiliser pour le rapport.
Chaque fois que vous créez un rapport personnalisé, un rapport Aperçu du journal est automatiquement créé. Ce
rapport affiche les journaux qui ont été utilisés pour générer le rapport personnalisé. Le rapport d’aperçu du journal
porte le même nom que le rapport personnalisé mais en ajoutant la phrase (Log View) au nom du rapport.
Lors de la création d’un groupe de rapports, vous pouvez inclure le rapport d’aperçu du journal au rapport
personnalisé. Pour plus d’informations, consultez la section Gestion des groupes de rapports.
4. Cochez la case Planifié pour exécuter le rapport de nuit. Le rapport peut alors être affiché dans la colonne Rapports
située sur le côté.
5. Définissez les critères de filtrage. Sélectionnez le Délai, la commande Trier par, la préférence Regrouper par, et
sélectionnez les colonnes devant figurer dans le rapport.
6. (Facultatif) Sélectionnez les attributs Générateur de requêtes, si vous souhaitez encore affiner les critères de
sélection. Pour générer une requête de rapport, indiquez les options suivantes et cliquez sur Ajouter. Répétez ces
différentes étapes, le cas échéant, pour formuler une requête complète.
• Connecteur - Sélectionnez le connecteur (et/ou) devant précéder l’expression que vous ajoutez.
• Refuser - Cochez cette case pour interpréter la requête en tant que refus. Si, par exemple, vous avez choisi de
mettre en correspondance les entrées des 24 dernières heures et/ou provenant de la zone non approuvée, l’option
de refus renvoie des entrées en dehors des 24 dernières heures et/ou ne provenant pas de la zone non approuvée.
• Attribut - Sélectionnez un élément de donnée. Les options disponibles dépendent du choix de base de données.
• Opérateur - Sélectionnez des critères pour déterminer si un attribut s’applique (comme =). Les options
disponibles dépendent du choix de base de données.
• Valeur - Indiquez la valeur de l’attribut à faire correspondre.
Par exemple, la figure suivante (basée sur la base de données Journal du trafic) montre une requête qui correspond,
à condition que l’entrée du journal du trafic ait été reçue au cours des dernières 24 heures et qu’elle provienne d’une
zone « non sécurisée ».
7. Pour tester les paramètres de rapport, sélectionnez Lancer l’exécution. Modifiez les paramètres si nécessaire pour
modifier les informations qui figurent dans le rapport.
8. Cliquez sur OK pour enregistrer le rapport personnalisé.

Génération de rapports personnalisés (suite)
Exemples de rapports personnalisés

Si vous souhaitez paramétrer un rapport simple dans lequel vous utilisez la base de données récapitulative du
trafic des 30 derniers jours, que vous triez les données selon les 10 premières sessions et que ces sessions sont
regroupées dans 5 groupes par jours de la semaine. Vous devriez paramétrer le rapport personnalisé pour qu’il
soit semblable à ci-dessous :
Et le résultat au format PDF du rapport sera semblable à ci-dessous :

Génération de rapports personnalisés (suite)
Supposons maintenant que vous souhaitiez utiliser le générateur de requêtes pour générer un rapport
personnalisé qui représente les principaux utilisateurs des ressources réseau dans un groupe d’utilisateurs. Vous
devriez paramétrer le rapport pour qu’il soit semblable à ci-dessous :
Le rapport indiquerait les principaux utilisateurs du groupe de gestion produit, triés par octets comme suit :

Génération de rapports du Botnet
La fonctionnalité Rapport du Botnet vous permet d’utiliser des mécanismes comportementaux pour identifier
d’éventuels hôtes infectés par un Botnet dans le réseau. Pour évaluer les menaces, le pare-feu utilise les journaux
des menaces, de filtrage des URL et des données qui contiennent des données sur les activités de l’utilisateur/du
réseau et consulte la liste d’URL de sites malveillants dans PAN-DB, les fournisseurs de DNS dynamiques
connues et les domaines récemment enregistrés.
Grâce à ces sources de données, le pare-feu met en corrélation et identifie les hôtes ayant consulté des sites
malveillants et de DNS dynamiques, des domaines récemment enregistrés (au cours des 30 derniers jours), et
ayant utilisé des applications inconnues, et recherche du trafic IRC (Internet Relay Chat).
Pour les hôtes correspondants aux critères, une note de confiance de 1 à 5 est attribuée afin d’indiquer la
probabilité d’infection du Botnet (1 indique la probabilité d’infection la plus faible et 5 la plus élevée). Étant
donné que les mécanismes de détection comporteme261
ntaux exigent un trafic corrélé entre plusieurs journaux sur une période de 24 heures, le pare-feu génère un
rapport toutes les 24 heures qui contient une liste d’hôtes triés en fonction de leur niveau de confiance.
 Configuration des rapports du Botnet
 Génération de rapports du Botnet
Configuration des rapports du Botnet
Les paramètres suivants permettent de définir des types de trafic suspicieux, trafics pouvant indiquer l’activité
d’un Botnet.
1. Sélectionnez Surveillance > Botnet et cliquez sur le bouton Configuration à droite de la page.
2. Pour le trafic HTTP, cochez la case Activer pour les événements que vous voulez inclure dans les rapports :
• Visite de l’URL d’un site malveillant - Identifie les utilisateurs communiquant avec des URL de sites malveillants
connus en fonction des catégories de filtrage des URL du Botnet et des sites malveillants.
• Utilisation d’un DNS dynamique - Recherche le trafic d’une requête DNS dynamique pouvant indiquer une
communication avec un Botnet.
• Navigation dans des domaines IP - Identifie les utilisateurs qui naviguent dans des domaines IP au lieu
d’adresses URL.
• Navigation dans des domaines récemment enregistrés - Recherche du trafic dans les domaines ayant été
enregistrés au cours des 30 derniers jours.
• Fichiers exécutables provenant de sites inconnus - Identifie les fichiers exécutables téléchargés à partir d’URL
inconnues.

3. Pour les applications inconnues, sélectionnez les applications TCP inconnues ou UDP inconnues comme étant
suspicieuses et indiquez les informations suivantes :
• Sessions par heure - Nombre de sessions d’application par heure qui sont associées à une application inconnue.
• Destinations par heure - Nombre de destinations par heure qui sont associées à une application inconnue.
• Nombre minimum d’octets - Taille minimale de la charge utile.
• Nombre maximum d’octets - Taille maximale de la charge utile.
4. Cochez cette case pour inclure des serveurs IRC comme étant suspicieux. Les serveurs IRC ont généralement recours
à des robots pour des fonctions automatisées.
Une fois la configuration du rapport du Botnet terminée, spécifiez des requêtes pour générer des rapports
d’analyse du Botnet. Le générateur de requêtes vous permet d’inclure ou d’exclure du rapport des attributs
comme des adresses ID source et de destination, utilisateurs, zones, interfaces, régions ou pays afin de filtrer les
résultats du rapport.
Les rapports programmés sont exécutés une fois par jour. Vous pouvez également générer et afficher des
rapports sur demande en cliquant sur Exécuter maintenant dans la fenêtre où les requêtes de rapport sont
définies. Le rapport généré apparaît dans Surveillance > Botnet.
Pour gérer les rapports du Botnet, cliquez sur le bouton Paramètre de rapport situé à droite de l’écran.
Pour exporter un rapport, sélectionnez-le et cliquez sur Exporter au format PDF ou Exporter au format CSV.
1. Dans Délai d’exécution du test, sélectionnez un délai pour le rapport (dernières 24 heures ou le dernier jour
calendaire).
2. Sélectionnez le Nombre de lignes à inclure dans le rapport.
3. Sélectionnez Planifié pour une exécution quotidienne du rapport. Vous pouvez également exécuter le rapport
manuellement en cliquant sur Exécuter maintenant en haut de la fenêtre Rapport du Botnet.
4. Formulez une requête de rapport en indiquant ce qui suit, puis en cliquant sur Ajouter pour ajouter l’expression
configurée à la requête. Répétez ces différentes étapes, le cas échéant, pour formuler une requête complète :
• Connecteur - Indiquez un connecteur logique (ET/OU).
• Attribut - Indiquez une zone, une adresse ou un utilisateur source ou de destination.
• Opérateur - Indiquez un opérateur pour lier un attribut à une valeur.
• Valeur - Indiquez une valeur à faire correspondre.
5. Sélectionnez Refuser pour refuser une requête définie, ce qui signifie que le rapport va contenir toutes les
informations qui ne résultent pas de cette requête définie.

Gestion de rapports récapitulatifs au format PDF
Les rapports récapitulatifs au format PDF contiennent des informations compilées à partir de rapports
existants, en fonction des données figurant dans les 5 meilleurs de chaque catégorie (au lieu des 50 meilleurs).
Ils contiennent également des diagrammes de tendance qui ne sont pas disponibles dans les autres rapports.
Génération de rapports récapitulatifs au format PDF
Étape 1 Paramétrez un Rapport récapitulatif au 1. Sélectionnez Surveillance > Rapports PDF > Gérer le
format PDF. récapitulatif PDF.
3. Utilisez la liste déroulante pour chaque groupe de rapports et
sélectionnez un ou plusieurs éléments pour concevoir le rapport
récapitulatif au format PDF. Vous pouvez y inclure un
maximum de 18 éléments de rapport.
• Pour supprimer un élément du rapport, cliquez sur l’icône x

ou effacez la sélection dans la liste déroulante du groupe de
rapport approprié.
• Pour réorganiser les rapports, glissez et déposez les icônes
dans une autre zone du rapport.
4. Cliquez sur OK pour enregistrer le rapport.

Génération de rapports récapitulatifs au format PDF
Étape 2 Affichez le rapport. Pour télécharger et afficher le Rapport récapitulatif au format PDF,
reportez-vous à la section Affichage des rapports.

Génération de rapports d’activités des utilisateurs/groupes
Les rapports d’activités des utilisateurs/groupes résument l’activité Web d’utilisateurs ou de groupes
d’utilisateurs. Ces deux rapports fournissent les mêmes informations à deux exceptions près. Les informations
Récapitulatif de navigation par catégorie d’URL et Calculs de durée de navigation sont incluses dans les rapports
d’activités des utilisateurs, mais pas dans les rapports d’activités des groupes.
L’User-ID doit être configuré sur le pare-feu pour pouvoir accéder à la liste des utilisateurs/groupes
d’utilisateurs.
Génération de rapports d’activités des utilisateurs/groupes
1. Sélectionnez Surveillance > Rapports au format PDF > Rapport d’activités des utilisateurs.
3. Créez le rapport :
• Pour le rapport d’activités des utilisateurs : Sélectionnez Utilisateur, puis saisissez le Nom d’utilisateur ou
l’Adresse IP (IPv4 ou IPv6) de l’utilisateur qui sera le sujet du rapport.
• Pour le rapport d’activité des groupes : Sélectionnez Groupe, puis sélectionnez le Nom du groupe duquel vous
souhaitez récupérer des informations du groupe d’utilisateurs dans le rapport.
4. Sélectionnez un délai pour le rapport dans la liste déroulante.
Le nombre de journaux analysés dans un rapport d’activités des utilisateurs est déterminé par le nombre de
lignes défini dans Nombre max. de lignes du rapport d’activités des utilisateurs, dans la section Paramètres
de journalisation et de génération de rapports dans Périphérique > Configuration > Gestion.
5. Sélectionnez Inclure la navigation détaillée pour inclure des journaux des URL détaillés dans le rapport.
les informations relatives à la navigation détaillée peuvent inclure un grand nombre de journaux (des centaines) pour
l’utilisateur ou le groupe d’utilisateurs sélectionné et peuvent rendre le rapport très volumineux.
6. Pour exécuter le rapport sur demande, cliquez sur Lancer l’exécution.
7. Pour enregistrer le rapport, cliquez sur OK. Les rapports d’activités des utilisateurs/groupes ne peuvent pas être
enregistrés sur le pare-feu ; pour programmer la distribution du rapport par courrier électronique, reportez-vous à la
section Planification des rapports pour la distribution par courrier électronique.
Gestion des groupes de rapports
Les groupes de rapports vous permettent de créer des ensembles de rapports que le système peut compiler et
envoyer sous la forme d’un rapport unique agrégé au format PDF avec une page de titre facultative et tous les
rapports constitutifs inclus.

Paramétrage des groupes de rapports
Étape 1 Paramétrage des groupes de rapports. 1. Créez un profil de serveur pour votre serveur de messagerie.
Vous devez configurer un groupe 2. Définissez le Groupe de rapports. Un groupe de rapport peut
de rapports pour envoyer les compiler des rapports prédéfinis, des rapports récapitulatifs au
rapports par courrier électronique. format PDF, des rapports personnalisés et un rapport Aperçu
du journal dans un même PDF.
a. Sélectionnez Surveillance > Groupe de rapports.
b. Cliquez sur Ajouter, puis saisissez un Nom pour le groupe de
rapport.
c. (Facultatif) Sélectionnez Titre de la page et ajoutez un Titre
pour la sortie PDF.
d. Sélectionnez les rapports dans la colonne de gauche et
cliquez sur Ajouter pour déplacer chaque rapport vers le
groupe de rapports situés sur la droite.
Le rapport Aperçu du journal est un type de rapport qui est

automatiquement généré lors de la création d’un rapport
personnalisé et qui utilise le même nom que ce rapport
personnalisé. Ce rapport va afficher les journaux qui ont été
utilisés pour générer le contenu du rapport personnalisé.
Pour inclure des données d’aperçu du log, lors de la création
d’un groupe de rapports, ajoutez votre rapport personnalisé
sous la liste Rapports personnalisés, puis ajoutez le rapport
d’aperçu du log en sélectionnant le nom du rapport
correspondant dans la liste Aperçu du log. Le rapport inclura
les données du rapport personnalisé et les données du journal
qui ont été utilisées pour créer le rapport personnalisé.
e. Cliquez sur OK pour enregistrer les paramètres.
f. Pour utiliser un groupe de rapports, reportez-vous à la
section Planification des rapports pour la distribution par
courrier électronique.

Planification des rapports pour la distribution par courrier électronique
Les rapports peuvent être programmés pour être distribués chaque jour ou chaque semaine le jour indiqué.
L’exécution des rapports planifiés commence à 2h00 et la distribution par courrier électronique s’effectue une
fois tous les rapports planifiés générés.
Planification des rapports pour la distribution par courrier électronique
1. Sélectionnez Surveillance > Rapports PDF > Planificateur de courrier électronique.

2. Sélectionnez le Groupe de rapports à distribuer par courrier électronique. Pour paramétrer le groupe de rapports,
reportez-vous à la section Gestion des groupes de rapports.
3. Sélectionnez la fréquence à laquelle le rapport doit être généré et envoyé dans Récurrence.
4. Sélectionnez le profil de serveur de messagerie à utiliser pour la distribution des rapports. Pour paramétrer un profil
de serveur de messagerie, reportez-vous à la section Créez un profil de serveur pour votre serveur de messagerie.
5. L’option Forcer adresse(s) électronique(s) de destinataire vous permet d’envoyer ce rapport exclusivement aux
destinataires spécifiés dans ce champ. Lorsque vous ajoutez des destinataires dans le champ Forcer adresse(s)
électronique(s) de destinataire, le rapport n’est pas envoyé aux destinataires configurés dans le profil de serveur de
messagerie. Utilisez cette option lorsque le rapport est destiné à des utilisateurs autres que l’administration ou les
destinataires définis dans le profil de serveur de messagerie.

Descriptions des champs Syslog Rapports et journalisation
Descriptions des champs Syslog

Voici une liste de champs standard des cinq types de journaux transférés à un serveur externe. Pour simplifier
l’analyse, le délimiteur est la virgule ; chaque champ est une chaîne de valeur séparée par une virgule (CSV).
L’étiquette FUTURE_USE s’applique aux champs que les périphériques ne mettent actuellement pas en œuvre.
Les logs WildFire sont un sous-type de logs des menaces et ils utilisent le même format Syslog.
 Journaux du trafic
 Journaux des menaces
 Journaux de correspondance HIP
 Journaux de configuration
 Journaux système
 Gravité Syslog
 Format de log/d’événement personnalisé
 Séquences d’échappement
Journaux du trafic
Format : FUTURE_USE, Heure de réception, Numéro de série, Type, Sous-type, FUTURE_USE, Heure de
génération, Adresse IP source, Adresse IP de destination, Adresse IP source NAT, Adresse IP de destination
NAT, Nom de la règle, Utilisateur source, Utilisateur de destination, Application, Système virtuel, Zone source,
Zone de destination, Interface d’entrée, Interface de sortie, Profil de transfert des logs, FUTURE_USE, ID de
session, Nombre de répétitions, Port source, Port de destination, Port source NAT, Port de destination NAT,
Indicateurs, Protocole, Action, Octets, Octets envoyés, Octets reçus, Paquets, Heure de début, Temps écoulé,
Catégorie, FUTURE_USE, Numéro de séquence, Indicateurs d’action, Emplacement source, Emplacement de
destination, FUTURE_USE, Paquets envoyés, Paquets reçus, Motif de fin de session*
Nom du champ Description
Heure de réception (receive_time) Heure de réception du journal dans le panneau de gestion.
Numéro de série (serial) Numéro de série du périphérique ayant généré le journal.
Type (type) Précise le type de journal ; les valeurs possibles sont traffic, threat, config, system
et hip-match.
Sous-type (subtype) Sous-type du journal du trafic ; les valeurs possibles sont start, end, drop et deny.
• Start — session ouverte
• End — session fermée
• Drop — session arrêtée avant l’identification de l’application et absence de
règle autorisant la session.
• Deny — session arrêtée après l’identification de l’application et présence
d’une règle de blocage ou absence de règle autorisant la session.

Rapports et journalisation Descriptions des champs Syslog
Heure de génération (time_generated) Heure de génération du journal dans le panneau de données.
Adresse IP source (src) Adresse IP source de la session d’origine.
Adresse IP de destination (dst) Adresse IP de destination de la session d’origine.
Adresse IP source NAT (natsrc) En cas de NAT source, il s’agit de l’adresse IP source post-NAT.
Adresse IP de destination NAT En cas de NAT de destination, il s’agit de l’adresse IP de destination post-NAT.
(natdst)
Nom de la règle (rule) Nom de la règle à laquelle la session correspond.
Utilisateur source (srcuser) Nom de l’utilisateur ayant ouvert la session.
Utilisateur de destination (dstuser) Nom de l’utilisateur auquel la session est destinée.
Application (app) Application associée à la session.
Système virtuel (vsys) Système virtuel associé à la session.
Zone source (from) Zone d’origine de la session.
Zone de destination (to) Zone à laquelle la session est destinée.
Interface d’entrée (inbound_if) Interface d’origine de la session.
Interface de sortie (outbound_if) Interface à laquelle la session est destinée.
Profil de transfert des journaux Profil de transfert des journaux appliqué à la session.
(logset)
ID de session (sessionid) Identificateur numérique interne appliqué à chaque session.
Nombre de répétitions (repeatcnt) Nombre de sessions avec les mêmes adresses IP source et de destination,
application et sous-type constatées sur une période de 5 secondes ; utilisé pour
ICMP uniquement.
Port source (sport) Port source utilisé par la session.
Port de destination (dport) Port de destination utilisé par la session.
Port source NAT (natsport) Port source post-NAT.
Port de destination NAT (natdport) Port de destination post-NAT.

Indicateurs (flags) Champ 32 bits fournissent des détails sur la session ; ce champ peut être décodé
en ajoutant (opérateur ET) les valeurs à la valeur consignée :
• 0x80000000— la session inclut la capture de paquets (PCAP)
• 0x02000000— session IPv6
• 0x01000000— la session SSL a été décryptée (proxy SSL)
• 0x00800000— la session a été refusée via le filtrage des URL
• 0x00400000— la session a exécuté traduction NAT (NAT)
• 0x00200000— les informations sur l’utilisateur de la session ont été capturées
via le portail captif (Captive Portal)
• 0x00080000— la valeur X-Forwarded - For d’un proxy est contenue dans le
champ de l’utilisateur source
• 0x00040000— le journal correspond à une transaction d’une session de proxy
http (Proxy Transaction)
• 0x00008000— la session permet d’accéder à une page de conteneur
(Container Page)
• 0x00002000— la session inclut une correspondance temporaire d’une règle
pour le traitement implicite des dépendances d’application. Disponible dans
PAN-OS 5.0.0 et ses versions ultérieures.
• 0x00000800— un retour symétrique a été utilisé pour transférer le trafic de
cette session
Protocole (proto) Protocole IP associé à la session.
Action (action) Action prise pour la session ; les valeurs possibles sont allow ou deny.
• Allow — la session a été autorisée par la politique
• Deny — la session a été refusée par la politique
Octets (bytes) Nombre total d’octets (émission et réception) de la session.
Octets envoyés (bytes_sent) Nombre d’octets dans le sens client/serveur de la session.

Disponible sur tous les modèles sauf PA-4000 Series.
Octets reçus (bytes_received) Nombre d’octets dans le sens serveur/client de la session.

Paquets (packets) Nombre total de paquets (émission et réception) de la session.
Heure de début (start) Heure de début de la session.
Temps écoulé (elapsed) Durée écoulée de la session.
Catégorie (category) Catégorie d’URL associée à la session (le cas échéant).
Numéro de séquence (seqno) Identifiant d’entrée de log 64 bits incrémenté de manière séquentielle ; chaque
type de log contient un espace de numéro unique. Ce champ n’est pas pris en
charge sur les pare-feu PA-7050.
Indicateurs d’action (actionflags) Champ de bits indiquant si le journal a été transféré à Panorama.

Emplacement source (srcloc) Pays ou région source pour les adresses privées ; 32 octets maximum.
Emplacement de destination (dstloc) Pays ou région de destination pour les adresses privées. 32 octets maximum.
Paquets envoyés (pkts_sent) Nombre de paquets client/serveur de la session.

Paquets reçus (pkts_received) Nombre de paquets serveur/client de la session.

Motif de fin de session Le motif pour lequel une session s’est terminée. S’il existe plusieurs motifs, ce
(session_end_reason) champ affiche uniquement le motif principal (celui dont la priorité est la plus
Nouveau dans la version 6.1 ! élevée). Les valeurs de motif de fin de session possibles sont les suivantes, par
ordre de priorité (où la première est la plus élevée) :
• threat : le pare-feu a détecté une menace associée à une action de
réinitialisation, d’abandon ou de blocage (d’adresse IP).
• policy-deny : la session a été mise en correspondance avec une politique de
sécurité dont l’action est l’abandon ou le refus.
• tcp-rst-from-client : le client a envoyé une demande de réinitialisation TCP au
serveur.
• tcp-rst-from-server : le serveur a envoyé une demande de réinitialisation TCP
au client.
• ressources disponibles : la session a été abandonnée en raison d’une limitation
des ressources système. Par exemple, il se peut que la session ait dépassé le
nombre de paquets dans le désordre autorisés par flux ou la file d’attente
générale des paquets dans le désordre.
• tcp-fin : un seul hôte ou les deux hôtes d’une connexion a/ont envoyé un
message TCP FIN pour fermer la session.
• tcp-reuse : une session a été réutilisée et le pare-feu a fermé la session
précédente.
• decoder : le décodeur a détecté une nouvelle connexion via le protocole
(proxy HTTP, par exemple) et a fermé la connexion précédente.
• aged-out : la session a expiré.
• unknown : cette valeur s’applique aux situations suivantes :
• Les fins de sessions non couvertes par les motifs précédents (par
exemple, une commande clear session all).
• Pour les logs générés dans une version PAN-OS qui ne prend pas en
charge le champ Motif de fin de session (versions ultérieures à
PAN-OS 6.1), la valeur est unknown après une mise à niveau vers la
version PAN-OS actuelle ou le chargement des logs sur le pare-feu.
• Dans Panorama, les journaux reçus des pare-feu pour lesquels la
version PAN-OS ne prend pas en charge les motifs de fin de session ont
une valeur de unknown.
• n/a : cette valeur s’applique lorsque le type de log du trafic n’est pas end.

Journaux des menaces
génération, Adresse IP source, Adresse IP de destination, Adresse IP source NAT, Adresse IP de destination
NAT, Nom de la règle, Utilisateur source, Utilisateur de destination, Application, Système virtuel, Zone source,
Zone de destination, Interface d’entrée, Interface de sortie, Profil de transfert des logs, FUTURE_USE, ID de
session, Nombre de répétitions, Port source, Port de destination, Port source NAT, Port de destination NAT,
Indicateurs, Protocole, Action, Divers, ID de menace, Catégorie, Gravité, Sens, Numéro de séquence,
Indicateurs d’action, Emplacement source, Emplacement de destination, FUTURE_USE, Type de contenu, ID
pcap, Filedigest, Cloud, FUTURE_USE, Agent utilisateur*, Type de fichier*, X-Forwarded-For*, Référant*,
Expéditeur*, Sujet*, Destinataire*, ID de rapport*
Heure de réception Heure de réception du journal dans le panneau de gestion.

(receive_time)
Type (type) Précise le type de journal ; les valeurs possibles sont traffic, threat, config, system et
hip-match.
Sous-type (subtype) Sous-type du journal des menaces ; les valeurs possibles sont URL, virus, spyware,
vulnerability, file, scan, flood, data et wildfire :
• url — journal de filtrage des données
• virus — détection de virus
• spyware— détection de logiciel espion
• vulnerability— détection d’exploitation des vulnérabilités
• file — journal de type fichier
• scan — analyse détectée via le profil de protection de zone
• flood — saturation détectée via le profil de protection de zone
• data — modèle de données détecté à partir du profil de filtrage des données
• wildfire— journal WildFire
Heure de génération Heure de génération du journal dans le panneau de données.

(time_generated)
Adresse IP source (src) Adresse IP source de la session d’origine.
Adresse IP de destination (dst) Adresse IP de destination de la session d’origine.
Adresse IP source NAT (natsrc) En cas de NAT source, il s’agit de l’adresse IP source post-NAT.
Adresse IP de destination NAT En cas de NAT de destination, il s’agit de l’adresse IP de destination post-NAT.
(natdst)
Nom de la règle (rule) Nom de la règle à laquelle la session correspond.

Utilisateur de destination Nom de l’utilisateur auquel la session est destinée.

(dstuser)
Application (app) Application associée à la session.
Système virtuel (vsys) Système virtuel associé à la session.
Zone source (from) Zone d’origine de la session.
Zone de destination (to) Zone à laquelle la session est destinée.
Interface de trafic entrant Interface d’origine de la session.

(inbound_if)
Interface de trafic sortant Interface à laquelle la session est destinée.

(outbound_if)
Profil de transfert des journaux Profil de transfert des journaux appliqué à la session.
(logset)
ID de session (sessionid) Identificateur numérique interne appliqué à chaque session.
Nombre de répétitions Nombre de sessions avec les mêmes adresses IP source et de destination, application
(repeatcnt) et sous-type constatées sur une période de 5 secondes ; utilisé pour ICMP uniquement.
Port source (sport) Port source utilisé par la session.
Port de destination (dport) Port de destination utilisé par la session.
Port source NAT (natsport) Port source post-NAT.
Port de destination NAT Port de destination post-NAT.

(natdport)

Indicateurs (flags) Champ 32 bits fournissent des détails sur la session ; ce champ peut être décodé en
ajoutant (opérateur ET) les valeurs à la valeur consignée :
• 0x80000000— la session inclut la capture de paquets (PCAP)
• 0x02000000— session IPv6
• 0x01000000— la session SSL a été décryptée (proxy SSL)
• 0x00800000— la session a été refusée via le filtrage des URL
• 0x00400000— la session a exécuté traduction NAT (NAT)
• 0x00200000— les informations sur l’utilisateur de la session ont été capturées via le
portail captif (Captive Portal)
• 0x00080000— la valeur X-Forwarded - For d’un proxy est contenue dans le champ
de l’utilisateur source
• 0x00040000— le journal correspond à une transaction d’une session de proxy http
(Proxy Transaction)
• 0x00008000— la session permet d’accéder à une page de conteneur (Container Page)
• 0x00002000— la session inclut une correspondance temporaire d’une règle pour le
traitement implicite des dépendances d’application. Disponible dans PAN-OS 5.0.0
et ses versions ultérieures.
• 0x00000800— un retour symétrique a été utilisé pour transférer le trafic de cette
session
Protocole (proto) Protocole IP associé à la session.
Action (action) Action prise pour la session ; les valeurs possibles sont alert, allow, deny, drop,
drop-all-packets, reset-client, reset-server, reset-both, block-url.
• Alert — menace ou URL détectée mais non bloquée
• Allow —alerte de détection de saturation
• Deny — mécanisme de détection de saturation activé et rejet du trafic en fonction
de la configuration
• Drop —menace détectée et session associée arrêtée
• Drop-all-packets— menace détectée et session maintenue, mais arrêt de tous les
paquets
• Reset-client— menace détectée et RST TCP envoyée au client
• Reset-server— menace détectée et RST TCP envoyée au serveur
• Reset-both— menace détectée et RST TCP envoyée au client et au serveur
• Block-url— requête d’URL bloquée car elle correspond à une catégorie d’URL
définie pour être bloquée

Divers (misc) Champ de longueur variable de 1 023 caractères maximum

URI réelle lorsque le sous-type est URL
Nom ou type du fichier lorsque le sous-type est file
Nom du fichier lorsque le sous-type est virus
Nom du fichier lorsque le sous-type est wildfire
ID de menace (threatid) Identifiant Palo Alto Networks de la menace. Il s’agit d’une chaîne de description suivie
d’un identifiant numérique 64 bits entre parenthèses pour certains sous-types.
• 8000 – 8099—détection d’analyse
• 8500 – 8599—détection de saturation
• 9999—journal de filtrage des URL
• 10000 – 19999— détection du logiciel espion Phone Home
• 20000 – 29999 —détection de téléchargement de logiciel espion
• 30000 – 44999 —détection d’exploitation des vulnérabilités
• 52000 – 52999 —détection du type de fichier
• 60000 – 69999 —détection de filtrage des données
• 100000 – 2999999 —détection de virus
• 3000000 – 3999999— flux de signature WildFire
• 4000000-4999999— signatures du Botnet DNS
Catégorie (category) Pour le sous-type URL, il s’agit de la catégorie d’URL. Pour le sous-type WildFire, il
s’agit du verdict sur le fichier et sa valeur est malicious ou benign. Pour les autres
sous-types, la valeur est any.
Gravité (severity) Gravité associée à la menace ; les valeurs possibles sont informational, low, medium,
high, critical.
Sens (direction) Indique le sens de l’attaque, client-to-server ou server-to-client.

• 0 — le sens de la menace est du client vers le serveur
• 1 — le sens de la menace est du serveur vers le client
Numéro de séquence (seqno) Identificateur d’entrée de journal 64 bits incrémenté de manière séquentielle. Chaque
type de journal dispose d’un espace de numéros unique. Ce champ n’est pas pris en
charge sur les pare-feu PA-7050.
Indicateurs d’action (actionflags) Champ de bits indiquant si le journal a été transféré à Panorama.
Emplacement source (srcloc) Pays ou région source pour les adresses privées. 32 octets maximum.
Emplacement de destination Pays ou région de destination pour les adresses privées. 32 octets maximum.
(dstloc)
Type de contenu (contenttype) S’applique uniquement lorsque le sous-type est URL.

Type de contenu des données de la réponse HTTP. 32 octets maximum.

ID pcap (pcap_id) L’ID pcap est un entier 64 bits non signé représentant un ID pour corréler des fichiers
pcap de menace avec des fichiers pcap étendus fait partie de ce flux. Tous les journaux
de menaces contiennent un pcap_id 0 (aucun pcap associé) ou un ID faisant référence
au fichier pcap étendu.
File Digest (filedigest) Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
La chaîne filedigest indique le hachage binaire du fichier envoyé pour être analysé par
le service WildFire.
Cloud (cloud) Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
La chaîne cloud indique le nom de domaine complet (FQDN) de l’appareil WildFire
(privé) ou du cloud WildFire (public) duquel le fichier a été chargé pour analyse.
Nouveau dans la version 6.1 ! Uniquement pour le sous-type Filtrage des URL ; aucun autre type n’utilise ce champ.
Agent utilisateur (user_agent) Le champ Agent utilisateur spécifie le navigateur Web utilisé par l’utilisateur pour
accéder à l’URL, Internet Explorer par exemple. Ces informations sont incluses dans
la demande HTTP envoyée au serveur.
Nouveau dans la version 6.1 ! Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
Type de fichier (filetype) Spécifie le type de fichier que le pare-feu transfère pour analyse WildFire.
X-Forwarded-For (xff) Le champ X-Forwarded-For de l’en-tête HTTP contient l’adresse IP de l’utilisateur qui
a demandé la page Web. Il vous permet d’identifier l’adresse IP de l’utilisateur, ce qui
est particulièrement utile si vous disposez d’un serveur proxy sur votre réseau qui
remplace l’adresse IP de l’utilisateur par sa propre adresse dans le champ d’adresse IP
source de l’en-tête du paquet.
Référant (referer) Le champ Référant de l’en-tête HTTP contient l’URL de la page Web associée qui relie
l’utilisateur à une autre page Web ; il s’agit de la source qui a redirigé (référé) l’utilisateur
vers (à) la page Web demandée.
Nouveau dans la version 6.1 ! Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
Expéditeur (sender) Spécifie le nom de l’expéditeur d’un courrier électronique déterminé par WildFire
comme étant malveillant lors de l’analyse d’un lien électronique transféré par le
pare-feu.
Sujet (subject) Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
Nouveau dans la version 6.1 ! Spécifie le sujet d’un courrier électronique déterminé par WildFire comme étant
malveillant lors de l’analyse d’un lien électronique transféré par le pare-feu.
Destinataire (recipient) Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
Nouveau dans la version 6.1 ! Spécifie le nom du destinataire d’un courrier électronique déterminé par WildFire
comme étant malveillant lors de l’analyse d’un lien électronique transféré par le
pare-feu.
ID de rapport (reportid) Uniquement pour le sous-type WildFire ; aucun autre type n’utilise ce champ.
Nouveau dans la version 6.1 ! Identifie la demande d’analyse sur le cloud ou l’appareil WildFire.

Journaux de correspondance HIP
génération, Utilisateur source, Système virtuel, Nom de la machine, Système d’exploitation, Adresse source,
HIP, Nombre de répétitions, Type HIP, FUTURE_USE, FUTURE_USE, Numéro de séquence, Indicateurs
d’action

(receive_time)
Type (type) Type de journal ; les valeurs possibles sont traffic, threat, config, system et hip-match.
Sous-type (subtype) Sous-type du journal de correspondance HIP ; non utilisé.

(time_generated)
Système virtuel (vsys) Système virtuel associé au journal de correspondance HIP.
Nom de la machine Nom de la machine de l’utilisateur.

(machinename)
OS Système d’exploitation installé sur la machine ou l’appareil de l’utilisateur (ou sur le système
client).
Adresse source (src) Adresse IP de l’utilisateur source.
HIP (matchname) Nom de l’objet ou du profil HIP.
Nombre de répétitions Nombre de fois où le profil HIP a correspondu.

(repeatcnt)
Type HIP (matchtype) Si le champ HIP représente un objet HIP ou un profil HIP.
Numéro de séquence Identifiant d’entrée de log 64 bits incrémenté de manière séquentielle ; chaque type de log
(seqno) contient un espace de numéro unique. Ce champ n’est pas pris en charge sur les pare-feu
PA-7050.
Indicateurs d’action Champ de bits indiquant si le journal a été transféré à Panorama.

(actionflags)
Journaux de configuration
génération, Hôte, Système virtuel, Commande, Admin, Client, Résultat, Chemin de configuration, Numéro de
séquence, Indicateurs d’action, Détail avant modification*, Détail après modification*


(receive_time)
Sous-type (subtype) Sous-type du journal de configuration ; non utilisé.

(time_generated)
Hôte (host) Nom d’hôte ou adresse IP de la machine client.
Système virtuel (vsys) Système virtuel associé au journal système.
Commande (cmd) Commande exécutée par l’administrateur ; les valeurs possibles sont add, clone, commit,
delete, edit, move, rename, set, validate.
Admin (admin) Nom d’utilisateur de l’administrateur procédant à la configuration.
Client (client) Client utilisé par l’administrateur ; les valeurs possibles sont Web et CLI.
Résultat (result) Résultat de l’action de configuration ; les valeurs possibles sont Submitted, Succeeded,
Failed et Unauthorized.
Chemin de configuration Chemin de la commande de configuration exécutée ; 512 octets maximum.

(path)
Numéro de séquence Identifiant d’entrée du journal 64 bits incrémenté de manière séquentielle ; chaque type de
(seqno) journal contient un espace de numéro unique. Ce champ n’est pas pris en charge sur les
pare-feu PA-7050.

(actionflags)
Détail avant modification Ce champ s’applique aux logs personnalisés uniquement, et non au format par défaut.
(before_change_detail) Il contient le xpath complet avant la modification de la configuration.
Nouveau dans la
version 6.1 !
Détail après modification Ce champ s’applique aux logs personnalisés uniquement, et non au format par défaut.
(after_change_detail) Il contient le xpath complet après la modification de la configuration.
Nouveau dans la
version 6.1 !

Journaux système
génération, Système virtuel, ID d’événement, Objet, FUTURE_USE, FUTURE_USE, Module, Gravité,
Description, Numéro de séquence, Indicateurs d’action

(receive_time)
Sous-type (subtype) Sous-type du journal système ; fait référence au démon système générant le journal. Les
valeurs possibles sont crypto, dhcp, dnsproxy, dos, general, global-protect, ha, hw, nat,
ntpd, pbf, port, pppoe, ras, routing, satd, sslmgr, sslvpn, userid, url-filtering, vpn.

(time_generated)
Système virtuel (vsys) Système virtuel associé au journal système.
ID d’événement (eventid) Chaîne indiquant le nom de l’événement.
Objet (object) Nom de l’objet associé à l’événement système.
Module (module) Ce champ s’applique uniquement lorsque la valeur du champ Sous-type est general. Il
fournit des informations supplémentaires sur le sous-système générant le journal ; les
valeurs possibles sont general, management, auth, ha, upgrade, chassis.
Gravité (severity) Gravité associée à l’événement ; les valeurs possibles sont informational, low, medium,
high, critical.
Description (opaque) Description détaillée de l’événement ; 512 octets maximum.
Numéro de séquence (seqno) Identifiant d’entrée de log 64 bits incrémenté de manière séquentielle ; chaque type de log
contient un espace de numéro unique. Ce champ n’est pas pris en charge sur les pare-feu
PA-7050.

(actionflags)
Gravité Syslog
La gravité Syslog est basée sur le type et le contenu du journal.
Type de journal/gravité Gravité Syslog
Trafic Infos
Config Infos
Menaces/Système — Informational Infos

Type de journal/gravité Gravité Syslog
Menaces/Système — Low Avis
Menaces/Système — Medium AVERTISSEMENT
Menaces/Système — High Erreur
Menaces/Système — Critical Critique
Format de log/d’événement personnalisé
Pour simplifier l’intégration dans des systèmes d’analyse de journaux externes, le pare-feu vous permet de
personnaliser le format du journal ; il vous permet également d’ajouter des paires d’attributs Clé : Valeur
personnalisées. Des formats de message personnalisés peuvent être configurés dans Périphérique > Profils de
serveur > Syslog > Profil de serveur Syslog > Format de journal personnalisé.
Pour la mise en forme de journal compatible avec les formats d’événements courants (CEF), reportez-vous au
Guide de configuration des formats d’événements courants (CEF).
Séquences d’échappement
Tout champ contenant une virgule ou des guillemets doubles est englobé dans des guillemets doubles. De plus,
si des guillemets doubles apparaissent dans un champ, il est échappé en le faisant précéder d’autres guillemets
doubles. Pour des raisons de rétrocompatibilité, le champ Misc du journal des menaces est toujours englobé
dans des guillemets doubles.

User-ID
L’identification utilisateur (User-ID) est une fonction des pare-feux Palo Alto Networks de dernière génération
qui vous permet de créer des politiques et de générer des rapports en fonction des utilisateurs et des groupes
d’utilisateurs, au lieu des adresses IP. Les sections suivantes décrivent la fonction ID utilisateur de Palo Alto
Networks et fournissent des instructions sur le paramétrage de l’accès basé sur un utilisateur ou un groupe :
 Présentation de User-ID
 Concepts du User-ID
 Activation de User-ID
 Mappage d’utilisateurs à des groupes
 Mappage d’adresses IP à des utilisateurs
 Configuration d’un pare-feu pour le partage de données de mappage d’utilisateur avec d’autres
pare-feux
 Activation d’une politique basée sur l’utilisateur et le groupe
 Vérification de la configuration de l’agent User-ID
User-ID 257
Présentation de User-ID User-ID
Présentation de User-ID
L’ID utilisateur s’intègre parfaitement aux pare-feux Palo Alto Networks avec une large gamme d’offres de
services d’annuaire d’entreprise et de terminaux, vous permettant ainsi d’associer des activités et des politiques
de sécurité à des utilisateurs et à des groupes, et non seulement à des adresses IP. En outre, lorsque la
fonction User-ID est activée, le Centre de commande de l’application (ACC), App-Scope, les rapports et les
journaux incluent tous des noms d’utilisateur en plus des adresses IP d’utilisateur.
Les pare-feux Palo Alto Networks de dernière génération prennent en charge la surveillance des services
professionnels suivants :
 Microsoft Active Directory
 LDAP (Lightweight Directory Access Protocol)
 Novell eDirectory
 Citrix Metaframe Presentation Server ou XenApp
 Microsoft Terminal Services

Pour pouvoir créer une politique en fonction d’un utilisateur ou d’un groupe, le pare-feu doit disposer de la liste
de tous les utilisateurs disponibles et de leurs mappages de groupe correspondants que vous pourrez ensuite
sélectionner lors de la définition de vos politiques. Il obtient ces informations Mappage de groupe en se
connectant directement à votre serveur d’annuaires LDAP.
Pour pouvoir appliquer les politiques en fonction de l’utilisateur et du groupe, le pare-feu doit être en mesure
de faire correspondre les adresses IP contenues dans les paquets qu’il reçoit avec des noms d’utilisateurs.
User-ID fournit de nombreuses méthodes pour obtenir ces mappages d’adresse IP/nom d’utilisateur. Par
exemple, cette fonction utilise des agents pour surveiller les événements de connexion dans les journaux de
serveur et/ou sonder les clients, et/ou écouter les messages Syslog des services d’authentification. Pour
identifier les mappages des adresses IP non mappées à l’aide de l’une des méthodes d’agent, vous pouvez
configurer le pare-feu pour rediriger les requêtes HTTP vers une connexion au portail captif. Vous pouvez
adapter les méthodes utilisées pour le Mappage d’utilisateur à votre environnement et même utiliser différentes
méthodes sur différents sites.
258 User-ID
User-ID Présentation de User-ID
Figure : ID utilisateur
Passez à Concepts du User-ID pour obtenir des informations sur le fonctionnement de l’identification
utilisateur et à Activation de User-ID pour obtenir des instructions sur le paramétrage de l’identification
utilisateur sur le pare-feu.
User-ID 259
Concepts du User-ID User-ID
Concepts du User-ID
 Mappage de groupe
 Mappage d’utilisateur
Mappage de groupe
Pour définir des politiques de sécurité basées sur un utilisateur ou un groupe, le pare-feu doit récupérer la liste
des groupes et la liste des membres correspondante sur votre serveur d’annuaires. Pour activer cette
fonctionnalité afin de Mappage d’utilisateurs à des groupes, vous devez créer un profil de serveur LDAP qui
indique au pare-feu comment se connecter et s’authentifier sur le serveur, et comment rechercher les
informations relatives à l’utilisateur et au groupe dans l’annuaire. Une fois la connexion au serveur LDAP établie
et la configuration de la fonctionnalité de mappage de groupe pour l’identification utilisateur configurée, vous
devez sélectionner les utilisateurs et groupes lors de la définition de vos politiques de sécurité. Le pare-feu prend
en charge divers serveurs d’annuaires LDAP, notamment Microsoft Active Directory (AD), Novell eDirectory
et Sun ONE Directory Server.
Vous pouvez ensuite définir des politiques en fonction de l’appartenance à un groupe au lieu de l’utilisateur afin
de simplifier l’administration. Par exemple, la politique de sécurité suivante autorise l’accès à des applications
internes spécifiques en fonction de l’appartenance à un groupe :
Mappage d’utilisateur
La récupération des noms des utilisateurs et des groupes n’est qu’une seule pièce du puzzle. Le pare-feu doit
également connaître les adresses IP correspondant aux utilisateurs pour pouvoir appliquer les politiques de
sécurité de manière appropriée. La Figure : ID utilisateur illustre les différentes méthodes utilisées pour
260 User-ID
User-ID Concepts du User-ID
identifier les utilisateurs et les groupes sur votre réseau ; elle indique comment le mappage d’utilisateur et le
mappage de groupe fonctionnent conjointement pour permettre la visibilité et la mise en œuvre de la sécurité
en fonction de l’utilisateur et du groupe.
Les rubriques suivantes décrivent les différentes méthodes de mappage d’utilisateur :
 Surveillance du serveur
 Sondage du client
 Mappage de port
 Syslog
 Portail captif
 GlobalProtect
 API XML de User-ID
Surveillance du serveur
Lors de la surveillance du serveur, un agent User-ID (un agent Windows exécuté sur un serveur de domaine de
votre réseau, ou l’agent User-ID intégré à PAN-OS exécuté sur votre pare-feu) surveille les événements de
connexion dans les journaux des événements de sécurité des serveurs Microsoft Exchange Servers, des
contrôleurs de domaine ou des serveurs Novell eDirectory spécifiés. Par exemple, dans un environnement AD,
vous pouvez configurer l’agent User-ID pour surveiller l’octroi ou le renouvellement de tickets Kerberos dans
les journaux de sécurité, l’accès au serveur Exchange (si configuré), ainsi que les connexions aux services de
fichiers et d’impressions. N’oubliez pas que, pour que ces événements soient enregistrés dans le journal de
sécurité, le domaine AD doit être configuré pour la consignation des événements de connexion de compte. De
plus, comme les utilisateurs peuvent se connecter à n’importe quel serveur du domaine, vous devez configurer
la surveillance du serveur pour tous les serveurs afin de capturer tous les événements de connexion utilisateur.
Comme la surveillance du serveur nécessite très peu de frais généraux et comme la majorité des utilisateurs
peuvent généralement être mappés à l’aide de cette méthode, celle-ci est recommandée comme méthode de
mappage d’utilisateur de base pour la plupart des déploiements User-ID. Reportez-vous à la section
Configuration du mappage d’utilisateur à l’aide de l’agent User-ID Windows ou Configuration du mappage
d’utilisateur à l’aide de l’agent User-ID intégré à PAN-OS pour plus de détails.
Sondage du client
Dans un environnement Microsoft Windows, vous pouvez configurer l’agent User-ID pour sonder les systèmes
clients à l’aide de WMI (Windows Management Instrumentation). L’agent User-ID Windows peut également
effectuer un sondage NetBIOS (non pris en charge sur l’agent User-ID intégré à PAN-OS). Le sondage est
particulièrement utile dans les environnements où le taux de renouvellement d’adresse IP est élevé, car les
modifications seront appliquées sur le pare-feu plus rapidement, permettant une mise en œuvre plus précise des
politiques en fonction de l’utilisateur. Toutefois, si la corrélation entre les adresses IP et les utilisateurs est assez
statique, vous n’avez pas besoin d’activer le sondage du client. Comment le sondage peut générer une grande
quantité de trafic réseau (en fonction du nombre total d’adresses IP mappées), l’agent qui initiera les sondages
doit se trouver aussi près que possible des clients finaux.
User-ID 261
Si la fonction de sondage est activée, l’agent sonde régulièrement chaque adresse IP reconnue (toutes les
20 minutes par défaut ; paramètre modifiable) pour vérifier que le même utilisateur est toujours connecté. De
plus, lorsque le pare-feu rencontre une adresse IP pour laquelle il ne dispose pas de mappage d’utilisateur, il
envoie l’adresse à l’agent pour sondage immédiat.
Reportez-vous à la section Configuration du mappage d’utilisateur à l’aide de l’agent User-ID Windows ou
Configuration du mappage d’utilisateur à l’aide de l’agent User-ID intégré à PAN-OS pour plus de détails.
Mappage de port
Dans les environnements de systèmes multi-utilisateurs (Microsoft Terminal Server ou Citrix, par exemple), de
nombreux utilisateurs partagent la même adresse IP. Dans ce cas, le processus de mappage d’adresse
utilisateur/IP doit connaître le port source de chaque client. Pour procéder à ce type de mappage, vous devez
installer l’agent Palo Alto Networks Terminal Services Agent sur le serveur de terminaux Windows/Citrix afin
de transmettre l’affectation des ports source aux divers processus utilisateur. Pour des serveurs de terminaux qui
ne prennent pas en charge l’agent Terminal Services, tels que les serveurs de terminaux Linux, vous pouvez
utiliser l’API XML pour envoyer des informations de mappage d’utilisateur relatifs aux événements de
connexion et de déconnexion à User-ID. Pour plus d’informations sur la configuration, reportez-vous à la
section Configuration du mappage d’utilisateur pour les utilisateurs de serveurs de terminaux.
Syslog
Dans les environnements disposant de services réseau existants qui authentifient les utilisateurs, tels que les
contrôleurs sans fil, les périphériques 802.1x, les serveurs Apple Open Directory, les serveurs proxy et d’autres
mécanismes NAC (Network Access Control), l’agent User-ID du pare-feu (l’agent Windows ou l’agent intégré
à PAN-OS sur le pare-feu) peut écouter les messages Syslog d’authentification de ces services. Les filtres Syslog,
fournis par une mise à jour du contenu (agent User-ID intégré uniquement) ou configurés manuellement,
permettent à l’agent User-ID d’analyser et d’extraire les noms d’utilisateurs et les adresses IP des
événements Syslog d’authentification générés par le service externe, ainsi que d’ajouter les informations aux
mappages d’adresse IP/nom d’utilisateur User-ID conservés par le pare-feu. Pour plus d’informations sur la
configuration, reportez-vous à la section Configuration de User-ID pour la réception de mappages d’utilisateur
d’un expéditeur Syslog.
262 User-ID
User-ID Concepts du User-ID
Figure : Intégration de User-ID à Syslog
Portail captif
Si le pare-feu ou l’agent d’ID utilisateur n’est pas en mesure de faire correspondre une adresse IP et un
utilisateur, si l’utilisateur n’est pas connecté ou s’il utilise un système d’exploitation tel que Linux non pris en
charge par vos serveurs de domaines par exemple, vous pouvez configurer le portail captif. Une fois configuré,
le trafic Web (HTTP ou HTTPS) correspondant à la politique de votre portail captif requiert une
authentification utilisateur, que ce soit de manière transparente via une demande NTLM (NT LAN Manager)
au navigateur, soit de manière active en redirigeant l’utilisateur vers un formulaire d’authentification Web pour
authentification par rapport à une base de données d’authentification RADIUS, LDAP, Kerberos ou locale ou
via une authentification de certificat client. Reportez-vous à la section Mappage d’adresses IP à des noms
d’utilisateurs à l’aide du portail captif pour plus de détails.
GlobalProtect
Pour les utilisateurs mobiles ou itinérants, le client GlobalProtect fournit directement les informations de
mappage d’utilisateur au pare-feu. Dans ce cas, chaque utilisateur GlobalProtect doit saisir ses informations
d’identification de connexion auprès du pare-feu pour accéder à un agent ou une application en cours
d’exécution sur le réseau privé virtuel. Ces informations de connexion sont ensuite ajoutées à la table de
mappage d’utilisateur User-ID sur le pare-feu pour permettre la visibilité et la mise en œuvre de politiques de
User-ID 263
sécurité en fonction de l’utilisateur. Comme les utilisateurs GlobalProtect doivent s’authentifier pour accéder au
réseau, le mappage d’adresse IP/nom d’utilisateur est explicitement connu. Il s’agit de la meilleure solution dans
les environnements sensibles où vous devez vous assurer de l’identité d’un utilisateur pour lui autoriser l’accès
à une application ou un service. Pour plus d’informations sur la configuration de GlobalProtect, reportez-vous
au Guide de l’administrateur GlobalProtect.
API XML de User-ID
Pour d’autres types d’accès utilisateur qui ne peuvent pas être mappés à l’aide des méthodes de mappage
d’utilisateur standard ou du portail captif (par exemple, pour ajouter des mappages d’utilisateurs se connectant
depuis une solution de réseau privé virtuel ou d’utilisateurs se connectant à un réseau sans fil 802.1.x), vous
pouvez utiliser l’API XML de User-ID pour capturer les événements de connexion et les envoyer à
l’agent User-ID ou directement au pare-feu. Reportez-vous à la section Envoi de mappages d’utilisateur à
User-ID à l’aide de l’API XML pour plus de détails.
264 User-ID
User-ID Activation de User-ID
Activation de User-ID
Vous devez effectuer les tâches suivantes afin de paramétrer le pare-feu pour utiliser des utilisateurs et des
groupes dans l’application de politiques, la journalisation et la génération de rapports :
 Mappage d’utilisateurs à des groupes
 Mappage d’adresses IP à des utilisateurs
 Activation d’une politique basée sur l’utilisateur et le groupe
 Vérification de la configuration de l’agent User-ID
User-ID 265
Mappage d’utilisateurs à des groupes User-ID
Mappage d’utilisateurs à des groupes

Procédez comme suit pour vous connecter à votre annuaire LDAP afin d’activer le pare-feu pour qu’il récupère
les informations de mappage utilisateur/groupe :
Recommandations relatives au mappage de groupe dans un environnement Active Directory :

• Si vous disposez d’un seul domaine, vous n’avez besoin que d’un seul profil de serveur LDAP qui
connecte le pare-feu au contrôleur de domaine Vous pouvez ajouter des contrôleurs de domaine pour
la tolérance aux pannes.
• Si vous disposez de plusieurs domaines et/ou forêts, vous devez créer un profil de serveur pour vous
connecter à un serveur de domaine dans chaque domaine/forêt. Assurez-vous que les noms
d’utilisateurs sont uniques dans chaque forêt.
• Si vous disposez de groupes universels, créez un profil de serveur pour vous connecter au serveur de
catalogues global.
266 User-ID
User-ID Mappage d’utilisateurs à des groupes
Mappage d’utilisateurs à des groupes
Étape 1 Créez un profil de serveur LDAP qui précise comment se connecter aux serveurs d’annuaires sur lesquels le
pare-feu récupérera les informations de mappage de groupe.
1. Sélectionnez Périphérique > Profils de
serveur > LDAP.
2. Cliquez sur Ajouter, puis donnez un nom
au profil.
3. (Facultatif) Sélectionnez le système virtuel
auquel ce profil s’applique dans la liste
déroulante Emplacement.
4. Cliquez sur Ajouter pour ajouter une
nouvelle entrée de serveur LDAP, puis
saisissez un nom de serveur pour
l’identifier (1 à 31 caractères) ainsi que
l’Adresse IP et le numéro de Port que le
pare-feu utilisera pour se connecter au serveur LDAP (par défaut : 389 pour LDAP ; 636 pour LDAP via SSL).
Vous pouvez ajouter jusqu’à quatre serveurs LDAP au profil. Tous les serveurs que vous ajoutez à un profil
doivent toutefois être du même type. Pour disposer de la fonction de redondance, vous devez ajouter
deux serveurs minimum.
5. Saisissez le nom de Domaine LDAP pour l’ajout de tous les objets reconnus sur le serveur. La valeur saisie
dans ce champ dépend de votre déploiement :
• Si vous utilisez Active Directory, saisissez le nom de domaine NetBIOS ; il ne s’agit PAS d’un FQDN (par
exemple, saisissez acme, et non acme.com). Notez que si vous devez collecter des données de plusieurs
domaines, vous devez créer des profils de serveurs distincts.
• Si vous utilisez un serveur de catalogues global, ne renseignez pas ce champ.
6. Sélectionnez le Type de serveur LDAP auquel vous vous connectez. Les attributs LDAP corrects dans les
paramètres de mappage de groupe sont automatiquement renseignées en fonction de votre sélection.
Toutefois, si vous avez personnalisé votre schéma LDAP, il est possible que vous deviez modifier les
paramètres par défaut.
7. Dans le champ Base, sélectionnez le nom distinctif correspondant au point de l’arborescence LDAP à partir
duquel le pare-feu doit commencer sa recherche d’informations relatives à l’utilisateur et au groupe.
8. Saisissez les informations d’identification d’authentification associées à l’arborescence LDAP dans les champs
Nom distinctif Bind, Mot de passe Bind et Confirmer le mot de passe Bind. Le nom distinctif de liaison peut
être au format UPN (User Principal Name)
(par exemple, administrator@acme.local), ou un nom LDAP complet
(par exemple, cn=administrator,cn=users,dc=acme,dc=local).
9. Si le pare-feu doit communiquer avec le ou les serveurs LDAP via une connexion sécurisée, cochez la case
SSL. Si vous activez la fonction SSL, veillez à bien préciser également le numéro de port correspondant.
User-ID 267
Mappage d’utilisateurs à des groupes User-ID
Mappage d’utilisateurs à des groupes (suite)
Étape 2 Ajoutez le profil de serveur LDAP à la configuration du mappage d’ID utilisateur, de groupe.
1. Sélectionnez Périphérique > Identification
utilisateur > Paramètres de mappage de
groupe, puis cliquez sur Ajouter.
2. Saisissez un Nom unique pour identifier la
configuration du mappage de groupe.
3. Sélectionnez le Profil de serveur que vous
avez créé à l’Étape 1.
4. (Facultatif) Pour filtrer les groupes suivis par
l’identification utilisateur pour le mappage de
groupe, dans la section Objets du groupe,
saisissez un Filtre de recherche (requête
LDAP), puis spécifiez la Classe d’objet
(définition du groupe), le Nom du groupe et le
Membre du groupe.
5. (Facultatif) Pour filtrer les utilisateurs suivis par
l’identification utilisateur pour le mappage de
groupe, dans la section Objets de l’utilisateur,
saisissez un Filtre de recherche (requête
LDAP), puis spécifiez la Classe d’objet
(définition de l’utilisateur) et le Nom
d’utilisateur.
6. (Facultatif) Pour faire correspondre les informations d’identification utilisateur aux informations d’en-tête de
courrier électronique identifiées dans les liens et les pièces jointes des courriers électroniques transférés à
WildFire, saisissez la liste des domaines de courrier électronique de votre organisation dans la section
Domaines de messagerie, dans le champ Liste de domaines. Séparez les différents domaines par des virgules
(256 caractères maximum). Après avoir cliqué sur OK (Étape 9), PAN-OS renseigne automatiquement le
champ Attributs de messagerie en fonction du type de votre serveur LDAP (Sun/RFC, Active Directory ou
Novell). Lorsqu’une correspondance est trouvée, le nom d’utilisateur dans la section d’en-tête du courrier de
messagerie du journal WildFire contiendra un lien ouvrant l’onglet Centre de commande de l’application
(ACC), filtré par l’utilisateur ou groupe d’utilisateurs.
7. Vérifiez que la case Activé est cochée.
8. (Facultatif) Pour limiter les groupes affichés dans une politique de sécurité, sélectionnez l’onglet Liste
d’inclusion de groupes, puis parcourez l’arborescence LDAP pour rechercher les groupes souhaités. Pour
chaque groupe à inclure, sélectionnez-le dans la liste Groupes disponibles, puis cliquez sur l’icône d’ajout
pour le déplacer dans la liste Groupes inclus.
Étape 3 Validez la configuration.
268 User-ID
User-ID Mappage d’adresses IP à des utilisateurs
Mappage d’adresses IP à des utilisateurs

Les tâches que vous devez effectuer pour mapper des adresses IP à des noms d’utilisateurs dépendent du type
et de l’emplacement des systèmes clients sur votre réseau. Effectuez autant des tâches suivantes que nécessaire
pour permettre le mappage de vos systèmes clients :
 Pour mapper des utilisateurs lorsqu’ils se connectent à vos serveurs Exchange/eDirectory, contrôleurs de
domaine ou clients Windows qui peuvent être directement sondés, vous devez configurer un
agent User-ID pour surveiller les journaux et/ou sonder les systèmes clients. Vous pouvez installer
l’agent User-ID Windows autonome sur un ou plusieurs serveurs membres du domaine qui contient les
serveurs et les clients à surveiller (reportez-vous à la section Configuration du mappage d’utilisateur à
l’aide de l’agent User-ID Windows), ou vous pouvez configurer l’agent User-ID intégré à PAN-OS sur le
pare-feu (Configuration du mappage d’utilisateur à l’aide de l’agent User-ID intégré à PAN-OS). Pour
connaître la configuration d’agent appropriée pour votre réseau, ainsi que le nombre d’agents et leur
placement requis, reportez-vous à la section Conception de déploiements d’identification utilisateur.
 Si vous disposez de clients qui exécutent des systèmes multi-utilisateurs, tels que Microsoft Terminal
Server, Citrix Metaframe Presentation Server ou XenApp, reportez-vous à la section Configuration de
l’agent Terminal Server Palo Alto Networks pour le mappage d’utilisateur pour obtenir des instructions
relatives à l’installation et à la configuration de l’agent sur un serveur Windows. Si vous disposez d’un
système multi-utilisateurs qui n’est pas exécuté sous Windows, vous pouvez utiliser l’API WML de
User-ID pour envoyer les mappages d’adresse IP/nom d’utilisateur directement au pare-feu.
Reportez-vous à la section Récupération de mappages d’utilisateur d’un serveur de terminaux à l’aide de
l’API XML User-ID.
 Pour obtenir des mappages d’utilisateur de services réseau existants qui authentifient les utilisateurs, tels
que les contrôleurs sans fil, les périphériques 802.1x, les serveurs Apple Open Directory, les serveurs
proxy et d’autres mécanismes NAC (Network Access Control), configurez l’agent User-ID
(l’agent Windows ou la fonction de mappage d’utilisateur sans agent sur le pare-feu) peut écouter les
messages Syslog d’authentification de ces services. Reportez-vous à la section Configuration de User-ID
pour la réception de mappages d’utilisateur d’un expéditeur Syslog.
 Si des utilisateurs de systèmes clients ne sont pas connectés à vos serveurs de domaines, des utilisateurs
exécutant des clients Linux ne se connectant pas au domaine par exemple, consultez la section Mappage
d’adresses IP à des noms d’utilisateurs à l’aide du portail captif.
 Pour les autres clients que vous ne pouvez pas mapper à l’aide des méthodes ci-dessus, utilisez l’API XML
de User-ID pour ajouter des mappages d’utilisateurs directement au pare-feu. Reportez-vous à la section
Envoi de mappages d’utilisateur à User-ID à l’aide de l’API XML.
 Comme la politique de sécurité est locale, chaque pare-feu doit disposer d’une liste de mappages
d’adresse IP/nom d’utilisateur afin de la mettre en œuvre de manière précise par groupe ou utilisateur.
Toutefois, vous pouvez configurer un pare-feu pour collecter tous les mappages d’utilisateur et les
distribuer aux autres pare-feux. Pour plus de détails, reportez-vous à la section Configuration d’un pare-feu
pour le partage de données de mappage d’utilisateur avec d’autres pare-feux.
User-ID 269
Mappage d’adresses IP à des utilisateurs User-ID
Configuration du mappage d’utilisateur à l’aide de l’agent User-ID Windows
Dans la plupart des cas, la majorité des utilisateurs de votre réseau peuvent se connecter à vos services de
domaine surveillés. Pour ces utilisateurs, l’agent User-ID Palo Alto Networks surveille les événements de
connexion et de déconnexion sur les serveurs et effectue le mappage d’adresse IP/nom d’utilisateur. La
méthode selon laquelle vous configurez l’agent User-ID dépend de la taille de votre environnement et de
l’emplacement de vos serveurs de domaine. Il est recommandé de placer vos agents User-ID près de vos
serveurs surveillés (autrement dit, les serveurs surveillés et l’agent User-ID Windows ne doivent pas être
connectés via une liaison réseau étendu). car la plupart du trafic de mappage d’utilisateur se situe entre l’agent
et le serveur surveillé et qu’une très faible proportion du trafic (le delta des mappages d’adresses IP depuis la
dernière mise à jour) se situe entre l’agent et le pare-feu.
Les rubriques suivantes décrivent l’installation et la configuration de l’agent User-ID, ainsi que la configuration
du pare-feu pour récupérer les informations de mappage de l’agent :
 Installation de l’agent User-ID
 Configuration de l’agent User-ID pour le mappage d’utilisateur
Installation de l’agent User-ID
La procédure suivante décrit l’installation de l’agent User-ID sur un serveur membre du domaine et la
configuration du compte de service avec les autorisations requises. Si vous effectuez une mise à niveau, le
programme d’installation supprimera automatiquement l’ancienne version ; néanmoins, il est recommandé de
sauvegarder le fichier config.xml avant d’exécuter le programme d’installation.
Pour plus d’informations sur la configuration système requise pour l’installation de

l’agent User-ID Windows et sur les versions de système d’exploitation serveur prises en charge,
reportez-vous à la section « Compatibilité de l’agent User-ID avec le système d’exploitation » des
Notes de publication de l’agent User-ID, disponibles sur la page Mises à jour logicielles de Palo
Alto Networks.
270 User-ID
Installation de l’agent User-ID Windows
Étape 1 Sélectionnez l’emplacement d’installation • Vous devez installer l’agent User-ID sur un système qui exécute
de l’agent User-ID. l’une des versions de système d’exploitation prises en charge
suivantes : reportez-vous à la section « Compatibilité de
L’agent User-ID interroge les journaux
l’agent User-ID avec le système d’exploitation » des Notes de
du contrôleur de domaine et du
publication de l’agent User-ID.
serveur Exchange à l’aide des appels de
procédure distants Microsoft (MSRPC), • Assurez-vous que le système sur lequel vous souhaitez installer
qui nécessitent un transfert complet du l’agent User-ID est membre du domaine auquel appartiennent les
journal à chaque requête. Par conséquent, serveurs qu’il surveillera.
vous devez toujours installer un ou • Il est recommandé d’installer l’agent User-ID près des serveurs
plusieurs agents User-ID sur chaque site qu’il surveillera (il y a plus de trafic entre l’agent User ID et les
dont les serveurs doivent être surveillés. serveurs surveillés qu’entre l’agent User-ID et le pare-feu , par
Pour plus d’informations sur conséquent, le placement de l’agent près des serveurs surveillés
l’installation des agents User-ID, optimise l’utilisation de la bande passante).
reportez-vous à la section • Pour garantir le mappage d’utilisateur le plus complet, vous devez
Conception de déploiements surveiller tous les serveurs qui contiennent des informations de
d’identification utilisateur connexion utilisateur. Vous devez installer plusieurs
(User-ID). agents User-ID pour surveiller toutes vos ressources de manière
efficace.
Étape 2 Téléchargez le programme d’installation 1. Connectez-vous au site de support de Palo Alto Networks.
de l’agent User-ID. 2. Sélectionnez Mises à jour logicielles dans la section Gestion
Il est recommandé d’installer la version des périphériques.
d’agent User-ID identique à la 3. Accédez à la section Agent d’identification utilisateur de l’écran
version PAN-OS exécutée sur les et téléchargez la version de l’agent User-ID que vous souhaitez
pare-feux. installer.
4. Enregistrez le fichier UaInstall-x.x.x-xx.msi sur le(s)
système(s) où vous souhaitez installer l’agent.
Étape 3 Exécutez le programme d’installation en 1. Pour lancer une invite de commande en tant qu’administrateur,
tant qu’administrateur. cliquez sur Démarrer, puis faites un clic droit sur Invite de
commande et sélectionnez Exécuter en tant
qu’administrateur.
2. À partir de la ligne de commande, exécutez le fichier .msi que
vous avez téléchargé. Par exemple, si vous enregistrez le
fichier .msi sur le Bureau, saisissez ce qui suit :
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
3. Suivez les invites du programme d’installation pour installer
l’agent à l’aide des paramètres par défaut. Par défaut, l’agent est
installé dans le dossier C:\Program Files (x86)\Palo Alto
Networks\User-ID Agent, mais vous pouvez sélectionner un
autre emplacement.
4. Lorsque l’installation est terminée, fermez la fenêtre du
programme d’installation.
User-ID 271
Installation de l’agent User-ID Windows (suite)
Étape 4 Lancez l’application Agent User-ID. 1. Cliquez sur Démarrer et sélectionnez Agent User-ID.
Étape 5 (Facultatif) Modifiez le compte de service Par défaut, l’agent utilise le compte administrateur utilisé pour
que l’agent User-ID utilise pour se installer le fichier .msi. Toutefois, vous pouvez utiliser un compte
connecter. restreint comme suit :
1. Sélectionnez Identification utilisateur > Configuration et
cliquez sur Modifier.
2. Sélectionnez l’onglet Authentification et saisissez le nom du
compte de service que l’agent User-ID utilisera dans le champ
Nom d’utilisateur pour Active Directory.
3. Saisissez le mot de passe du compte spécifié.
272 User-ID
Installation de l’agent User-ID Windows (suite)
Étape 6 (Facultatif) Affectez des autorisations de 1. Accordez les autorisations du compte de service au dossier
compte au dossier d’installation. d’installation :
Vous devez effectuer cette étape a. À partir de l’Explorateur Windows, accédez à C:\Program
uniquement si le compte de service Files\Palo Alto Networks, puis faites un clic droit sur le
configuré pour l’agent User-ID n’est ni dossier et sélectionnez Propriétés.
membre du groupe d’administrateurs du b. Dans l’onglet Sécurité, ajoutez le compte de service de
domaine, ni membre des groupes l’agent User-ID et affectez-lui des autorisations de
Opérateurs de serveur et Lecteurs des modification, de lecture et d’exécution, d’affichage du
journaux des événements. contenu du dossier et de lecture, puis cliquez sur OK pour
enregistrer les paramètres du compte.
2. Accordez les autorisations du compte de service à la
sous-arborescence de registre de l’agent User-ID :
a. Exécutez regedit32 et accédez à la sous-arborescence Palo
Alto Networks à l’un des emplacements suivants :
– Systèmes 32 bits : HKEY_LOCAL_MACHINE\Software\
Palo Alto Networks
– Systèmes 64 bits : HKEY_LOCAL_MACHINE\Software\

WOW6432Node\Palo Alto Networks
b. Faites un clic droit sur le œ Palo Alto Networks et

sélectionnez Autorisations.
c. Accordez le contrôle total au compte de service de
l’agent User-ID et cliquez sur OK pour enregistrer le
paramètre.
3. Sur le contrôleur de domaine, ajoutez le compte de service aux
groupes intégrés pour lui accorder les privilèges de lecture des
événements des journaux de sécurité (groupe Lecteurs des
journaux des événements) et d’ouverture de session (groupe
Opérateurs de serveur) :
a. Exécutez la console MMC et lancez le composant logiciel
enfichable Utilisateurs et ordinateurs Active Directory.
b. Accédez au dossier intégré du domaine, puis faites un clic
droit sur chaque groupe que vous devez modifier (Lecteurs
des journaux des événements et Opérateurs de serveur ) et
sélectionnez Ajouter au groupe pour ouvrir la boite de
dialogue Propriétés.
c. Cliquez sur Ajouter, puis saisissez le nom du compte de
service que le service User-ID utilisera et cliquez sur Vérifier
les noms pour vérifier que le nom d’objet est correct.
d. Cliquez deux fois sur OK pour enregistrer les paramètres.
User-ID 273
Configuration de l’agent User-ID pour le mappage d’utilisateur
L’agent User-ID Palo Alto Networks est un service Windows qui se connecte aux serveurs de votre réseau (par
exemple, aux serveurs Active Directory, Microsoft Exchange et Novell eDirectory) et surveille les événements
de connexion et de déconnexion dans les journaux. L’agent utilise ces informations pour mapper des
adresses IP à des noms d’utilisateurs. Les pare-feux Palo Alto Networks se connectent à l’agent User-ID pour
récupérer ces informations de mappage d’utilisateur, qui permettent la visibilité des activités des utilisateurs par
nom d’utilisateur plutôt que par adresse IP et la mise en œuvre de la sécurité en fonction de l’utilisateur et du
groupe.
Pour plus d’informations sur les versions de système d’exploitation serveur prises en charge par
l’agent User-ID, reportez-vous à la section « Compatibilité de l’agent User-ID avec le système
d’exploitation » des Notes de publication de l’agent User-ID, disponibles sur la page Mises à jour
logicielles de Palo Alto Networks.
Mappage d’adresses IP à des utilisateurs à l’aide de l’agent User-ID
Étape 1 Lancez l’application Agent User-ID. 1. Sélectionnez Agent User-ID dans le menu Démarrer de
Windows.
274 User-ID
Mappage d’adresses IP à des utilisateurs à l’aide de l’agent User-ID (suite)
Étape 2 Définissez les serveurs que 1. Sélectionnez Identification utilisateur > Détection.
l’agent User-ID doit surveiller pour 2. Dans la section Serveurs de l’écran, cliquez sur Ajouter.
collecter les informations de mappage
3. Saisissez le nom et l’adresse serveur du serveur à surveiller.
d’adresse IP/nom d’utilisateur.
L’adresse réseau peut être un nom de domaine complet ou une
L’agent User-ID peut surveiller jusqu’à adresse IP.
100 serveurs et écouter les 4. Sélectionnez le type de serveur (Microsoft Active Directory,
messages Syslog de Microsoft Exchange, Novell eDirectory ou
100 expéditeurs Syslog maximum. Expéditeur Syslog), puis cliquez sur OK pour enregistrer la
N’oubliez pas que, pour pouvoir collecter saisie du serveur. Répétez cette étape pour chaque serveur à
tous les mappages nécessaires, vous devez surveiller.
vous connecter à tous les serveurs 5. (Facultatif) Pour permettre au pare-feu de détecter
auxquels vos utilisateurs se connectent automatiquement les contrôleurs de domaine de votre réseau à
afin de surveiller les fichiers journaux de l’aide de recherches DNS, cliquez sur Détection automatique.
sécurité de tous les serveurs contenant La fonction de détection automatique localise
des événements de connexion. uniquement les contrôleurs de domaine ; vous devez
ajouter manuellement les serveurs Exchange et
eDirectoy, ainsi que les expéditeurs Syslog.
6. (Facultatif) Pour ajuster la fréquence à laquelle le pare-feu
interroge les serveurs configurés pour obtenir les informations
de mappage, sélectionnez Identification utilisateur >
Configuration, puis modifiez la section Configuration. Dans
l’onglet Surveillance du serveur, modifiez la valeur dans le
champ Fréquence de surveillance du journal du serveur
(secondes. Il convient d’augmenter la valeur de ce champ à
5 secondes dans les environnements contenant d’anciens
contrôleurs de domaine ou des liaisons à latence élevée. Cliquez
sur OK pour enregistrer les modifications.
User-ID 275
Étape 3 (Facultatif) Si vous avez configuré l’agent 1. Sélectionnez Identification utilisateur > Configuration, puis
pour se connecter à un serveur cliquez sur Modifier dans la section Configuration de la fenêtre.
Novell eDirectory, vous devez spécifier la 2. Sélectionnez l’onglet eDirectory, puis renseignez les champs
manière dont l’agent doit rechercher des suivants :
informations dans l’annuaire.
• Base de recherche : le point de départ ou contexte racine
des requêtes de l’agent, par exemple : dc=domain1,
dc=example, dc=com.
• Nom unique de liaison : le compte à utiliser pour la liaison à

l’annuaire, par exemple : cn=admin, ou=IT, dc=domain1,
dc=example, dc=com.
• Mot de passe de liaison : le mot de passe du compte de

liaison. L’agent enregistre le mot de passe crypté dans le
fichier de configuration.
• Filtre de recherche : la requête de recherche des entrées
utilisateur (le paramètre par défaut est
objectClass=Person).
• Préfixe du domaine de serveur : un préfixe permettant

d’identifier l’utilisateur de manière unique. Celui-ci est requis
uniquement en cas de chevauchement d’espaces de noms,
notamment des utilisateurs différents portant le même nom
et provenant de deux annuaires différents.
• Utiliser SSL : cochez cette case pour utiliser SSL pour la
liaison eDirectory.
• Vérifier le certificat du serveur : cochez cette case pour
vérifier le certificat du serveur eDirectory lorsque vous
utilisez SSL.
Étape 4 (Facultatif) Activez le sondage du client. 1. Dans l’onglet Sondage du client, cochez la case Activer le
sondage WMI et/ou la case Activer le sondage NetBIOS.
Le sondage du client est utile dans les
environnements où les adresses IP ne 2. Vérifiez que le pare-feu Windows autorise le sondage du client
sont pas étroitement liées aux utilisateurs, en ajoutant une exception d’administration à distance au
car il garantit la validité des adresses pare-feu Windows pour chaque client sondé.
précédemment mappées. Toutefois, plus Pour que le sondage NetBIOS fonctionne efficacement,
le nombre total des adresses IP reconnues le port 139 dans le pare-feu Windows doit être autorisé
augmente, plus la quantité de trafic généré et les services de partage d’imprimantes et de fichiers
est élevée. Il est recommandé d’activer le doivent être activés sur chaque ordinateur client sondé.
sondage uniquement sur des segments de Le sondage WMI est toujours préféré à NetBIOS
réseau où le taux de renouvellement lorsque cela est possible.
d’adresse IP est élevé.
Pour plus d’informations sur le placement
des agents User-ID à l’aide du sondage du
client, reportez-vous à la section
Conception de déploiements
d’identification utilisateur (User-ID).
276 User-ID
Étape 5 Enregistrez la configuration. Cliquez sur OK pour enregistrer les paramètres de configuration de
l’agent User-ID, puis sur Valider pour redémarrer l’agent User-ID et
charger les nouveaux paramètres.
Étape 6 (Facultatif) Définissez l’ensemble Créez un fichier ignore_user_list.txt dans le dossier de

d’utilisateurs dont vous ne souhaitez pas l’agent User-ID sur le serveur de domaine où l’agent est installé.
procéder au mappage d’adresse IP/nom Dressez la liste des comptes d’utilisateurs à ignorer ; le nombre de
d’utilisateur, les comptes de services ou comptes que vous pouvez ajouter à la liste est illimité. Chaque nom
les comptes de kiosques par exemple. de compte utilisateur doit se trouver sur une nouvelle ligne. Par
Vous pouvez également utiliser la exemple :
liste ignore-user pour identifier SPAdmin
les utilisateurs qui devront SPInstall
s’authentifier à l’aide du portail TFSReport
captif.
Étape 7 Configurez les pare-feux qui se Suivez les étapes ci-dessous pour chaque pare-feu qui se connectera
connecteront à l’agent User-ID. à l’agent User-ID pour recevoir des mappages d’utilisateur :
1. Sélectionnez Périphérique > Identification utilisateur >
Agents User-ID, puis cliquez sur Ajouter.
2. Donnez un nom à l’agent User-ID.
3. Saisissez l’adresse IP de l’hôte Windows sur lequel
l’agent User-ID est installé.
4. Saisissez le numéro de port sur lequel l’agent écoutera les
requêtes de mappage d’utilisateur. Cette valeur doit
correspondre à la valeur configurée sur l’agent User-ID. Par
défaut, le port est défini sur 5007 sur le pare-feu et sur les
versions plus récentes de l’agent User-ID. Néanmoins, certaines
versions plus anciennes de l’agent User-ID utilisent le port 2010
par défaut.
5. Assurez-vous que la configuration est activée, puis cliquez
sur OK.
7. Vérifiez que l’état de connexion affiché est Connecté (voyant
vert).
User-ID 277
Étape 8 Vérifiez que l’agent User-ID parvient à 1. Lancez l’agent User-ID et sélectionnez Identification
mapper les adresses IP aux noms utilisateur.
d’utilisateurs et que les pare-feux peuvent 2. Vérifiez que l’état de l’agent affiché est L’agent est en cours
se connecter à l’agent. d’exécution. Si l’agent n’est pas en cours d’exécution, cliquez
sur Démarrer.
3. Pour vérifier que l’agent User-ID peut se connecter aux serveurs
surveillés, assurez-vous que l’état de chaque serveur est
Connecté.
4. Pour vérifier que les pare-feux peuvent se connecter à
l’agent User-ID, assurez-vous que l’état de chaque périphérique
connecté est Connecté.
5. Pour vérifier que l’agent User-ID mappe les adresses IP aux
noms d’utilisateurs, sélectionnez Surveillance et assurez-vous
que la table de mappage est renseignée. Vous pouvez également
rechercher des utilisateurs spécifiques ou supprimer des
mappages d’utilisateur de la liste.
278 User-ID
Configuration du mappage d’utilisateur à l’aide de l’agent User-ID intégré à

PAN-OS
La procédure suivante décrit la configuration de l’agent intégré à PAN-OS sur le mappage d’utilisateur.
L’agent User-ID intégré à PAN-OS effectue les mêmes tâches que l’agent Windows, excepté le sondage du
client NetBIOS (le sondage WMI est pris en charge).
Mappage d’adresses IP à des utilisateurs à l’aide de l’agent User-ID intégré
Étape 1 Créez un compte Active Directory (AD) • Windows 2008 ou serveurs de domaines ultérieurs — Ajoutez
pour l’agent de pare-feu disposant des le compte au groupe Lecteurs des journaux des événements. Si
autorisations nécessaires pour se vous utilisez l’agent d’ID utilisateur intégré au périphérique, le
connecter à chaque service ou hôte que compte doit également faire partie du groupe Utilisateurs COM
vous souhaitez surveiller afin de collecter distribués.
des données de mappage d’utilisateur. • Serveurs de domaines Windows 2003 — Affectez les
autorisations de gestion des journaux d’audit et de sécurité via la
politique de groupe.
• Sondage WMI — Vérifiez que le compte dispose de droits de
lecture sur l’espace de noms CIMV2 ; par défaut, les comptes
Administrateur de domaine et Opérateur de serveur incluent cette
autorisation.
• Authentification NTLM — Étant donné que le pare-feu doit
intégrer le domaine si vous utilisez l’authentification NTLM avec
un agent User-ID intégré au périphérique, le compte Windows que
vous créez pour l’accès à NTLM doit disposer de droits
d’administration. Notez que, en raison des restrictions d’AD sur les
systèmes virtuels exécutés sur le même hôte, et si vous avez
configuré plusieurs systèmes virtuels, seul vsys1 peut rejoindre le
domaine.
User-ID 279
Mappage d’adresses IP à des utilisateurs à l’aide de l’agent User-ID intégré (suite)
Étape 2 Définissez les serveurs que le pare-feu 1. Sélectionnez Périphérique > Identification utilisateur >
doit surveiller pour collecter les Mappage d’utilisateur.
informations de mappage 2. Dans la section Surveillance du serveur de l’écran, cliquez sur
d’adresse IP/nom d’utilisateur. Vous Ajouter.
pouvez définir des entrées pour
3. Saisissez un Nom et une Adresse réseau pour le serveur.
100 serveurs Microsoft Active Directory,
L’adresse réseau peut être un nom de domaine complet ou une
Microsoft Exchange ou Novell
adresse IP.
eDirectory maximum sur votre réseau.
4. Sélectionnez le Type de serveur.
N’oubliez pas que, pour pouvoir collecter
5. Vérifiez que la case Activé est cochée, puis cliquez sur OK.
tous les mappages nécessaires, vous devez
vous connecter à tous les serveurs 6. (Facultatif) Pour permettre au pare-feu de détecter
auxquels vos utilisateurs se connectent automatiquement les contrôleurs de domaine de votre réseau à
afin que le pare-feu puisse surveiller les l’aide de recherches DNS, cliquez sur Détecter.
fichiers journaux de sécurité de tous les
serveurs contenant des événements de
connexion.
La fonction de détection automatique s’applique aux

contrôleurs de domaine uniquement ; vous devez ajouter
manuellement les serveurs Exchange et eDirectory que
vous souhaitez surveiller.
7. (Facultatif) Pour définir la fréquence à laquelle le pare-feu
recherche des informations de mappage sur les serveurs
configurés, modifiez la section Configuration de l’agent
User-ID Palo Alto Networks de l’écran, puis sélectionnez
l’onglet Surveillance du serveur. Modifiez la valeur du champ
Fréquence de surveillance du journal du serveur (secondes).
Il convient d’augmenter la valeur de ce champ à 5 secondes dans
les environnements contenant des liaisons DC antérieures ou à
latence élevée. Cliquez sur OK pour enregistrer les
modifications.
Étape 3 Définissez les informations 1. Modifiez la section Configuration de l’agent User-ID Palo Alto
d’identification de domaine du compte Networks de l’écran.
utilisé par le pare-feu pour accéder aux 2. Dans l’onglet Authentification WMI, saisissez le Nom
ressources Windows. Celles-ci sont d’utilisateur et le Mot de passe du compte utilisé pour sonder
requises pour la surveillance des serveurs les clients et surveiller les serveurs. Saisissez le nom d’utilisateur
Exchange et des contrôleurs de domaine, au format domaine\nom d’utilisateur.
ainsi que pour le sondage WMI.
280 User-ID
Mappage d’adresses IP à des utilisateurs à l’aide de l’agent User-ID intégré (suite)
Étape 4 (Facultatif) Activez le sondage WMI. 1. Dans l’onglet Sondage du client, cochez la case Activer le
sondage.
L’agent intégré au périphérique ne
prend pas en charge le sondage 2. (Facultatif) Si nécessaire, modifiez la valeur du champ Intervalle
NetBIOS ; celui-ci n’est pris en de sondage pour qu’il soit suffisamment long pour permettre le
charge que sur l’agent d’ID sondage de toutes les adresses IP reconnues.
utilisateur Windows uniquement. 3. Vérifiez que le pare-feu Windows autorise le sondage du client
en ajoutant une exception d’administration à distance au
pare-feu Windows pour chaque client sondé.
Étape 5 Enregistrez la configuration. 1. Cliquez sur OK pour sauvegarder les paramètres de

configuration de l’agent User-ID.
2. Cliquez sur Valider pour enregistrer la configuration.
Étape 6 (Facultatif) Définissez l’ensemble 1. Ouvrez une session de CLI sur le pare-feu.
d’utilisateurs dont vous ne souhaitez pas 2. Pour ajouter à la liste de comptes d’utilisateurs pour lesquels le
procéder au mappage d’adresse IP/nom pare-feu ne doit pas procéder à un mappage, exécutez la
d’utilisateur, les comptes de services ou commande suivante :
les comptes de kiosques par exemple.
set user-id-collector ignore-user <valeur>
Vous pouvez également utiliser la où <valeur> correspond à la liste de comptes d’utilisateurs à
liste ignore-user pour identifier ignorer. Le nombre de comptes que vous pouvez ajouter à la
les utilisateurs qui devront liste est illimité. Séparez les entrées par un espace et n’indiquez
s’authentifier à l’aide du portail pas le nom de domaine (nom d’utilisateur uniquement). Par
captif. exemple :
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
Étape 7 Vérifiez la configuration. 1. À l’aide de la CLI, saisissez la commande suivante :

show user server-monitor state all
2. Dans l’onglet Périphérique > Identification utilisateur >
Mappage d’utilisateur de l’interface Web, vérifiez que l’état de
chaque serveur configuré pour la surveillance est Connecté.
User-ID 281
Configuration de User-ID pour la réception de mappages d’utilisateur d’un

expéditeur Syslog
Les rubriques suivantes décrivent la configuration de l’agent User-ID (l’agent Windows ou l’agent intégré sur le
pare-feu) en tant qu’écouteur Syslog :
 Configuration de l’agent User-ID intégré en tant qu’écouteur Syslog
 Configuration de l’agent User-ID Windows en tant qu’écouteur Syslog
Configuration de l’agent User-ID intégré en tant qu’écouteur Syslog
Le flux de travail suivant décrit la configuration de l’agent User-ID intégré à PAN-OS pour recevoir des
messages Syslog des services d’authentification.
L’agent User-ID intégré à PAN-OS accepte les messages Syslog uniquement via SSL et UDP.
Collecte de mappages d’utilisateur d’expéditeurs Syslog
Étape 1 Déterminez si un filtre Syslog prédéfini 1. Vérifiez que votre base de données Applications ou base de
existe pour votre/vos données Applications et menaces est mise à jour :
expéditeur(s) Syslog. a. Sélectionnez Périphérique > Mises à jour dynamiques.
Palo Alto Networks fournit plusieurs b. Cliquez sur Vérifier maintenant (dans le coin inférieur
filtres Syslog prédéfinis, sous forme de gauche de la fenêtre) pour rechercher les dernières mises à
mises à jour du contenu d’application, qui jour.
sont ainsi mis à jour dynamiquement
c. Si une nouvelle mise à jour est disponible, téléchargez et
lorsque de nouveaux filtres sont
installez-le.
développés. Les filtres prédéfinis
s’appliquent au pare-feu, tandis que les 2. Déterminez les filtres prédéfinis disponibles :
filtres définis manuellement sont a. Sélectionnez Périphérique > Identification utilisateur >
spécifiques à un seul système virtuel. Mappage d’utilisateur.
Tout nouveau filtre Syslog dans b. Dans la section Surveillance du serveur de l’écran, cliquez sur
une version de contenu donnée Ajouter.
sera documenté dans la note de
c. Sélectionnez Expéditeur Syslog comme type de serveur.
publication correspondante avec
la Regex spécifique utilisée pour d. Dans la liste déroulante Filtre, déterminez si un filtre existe
définir le filtre. pour le fabricant et le produit duquel vous souhaitez
transférer les messages Syslog. Si le filtre dont vous avez
besoin est disponible, passez à l’Étape 5 pour obtenir des
instructions sur la définition des serveurs. Dans le cas
contraire, poursuivez avec l’Étape 2.
282 User-ID
Collecte de mappages d’utilisateur d’expéditeurs Syslog (suite)
Étape 2 Définissez manuellement le(s) 1. Vérifiez les messages Syslog générés par le service
filtre(s) Syslog pour extraire d’authentification pour identifier la syntaxe des événements de
l’adresse IP User-ID vers les connexion. Vous pouvez alors créer les modèles de
informations de mappage correspondance qui permettront au pare-feu d’identifier et
d’adresse IP/nom d’utilisateur à partir d’extraire les événements d’authentification des
des messages Syslog. messages Syslog.
Afin d’être syntaxiquement analysés par Tout en vérifiant les messages Syslog, déterminez
l’agent User-ID, les messages Syslog également si le nom de domaine est inclus dans les
doivent répondre aux critères suivants : entrées de journal. Si les journaux d’authentification ne
contiennent aucune information de domaine, définissez
• Chaque message Syslog doit être une
un nom de domaine par défaut lors de l’ajout de
chaîne de texte sur une seule ligne. Les
l’expéditeur Syslog à la liste des serveurs surveillés à
sauts de ligne sont délimités par un
l’Étape 5.
retour à la ligne et une nouvelle ligne
(\r\n) ou une nouvelle ligne (\n). 2. Sélectionnez Périphérique > Identification utilisateur >
Mappage d’utilisateur et modifiez la section Configuration de
• La taille maximale autorisée de chaque
message Syslog est de 2048 octets. l’agent User-ID Palo Alto Networks.
• Les messages Syslog envoyés via UDP 3. Dans l’onglet Filtres Syslog, ajoutez un nouveau profil
doivent être contenus dans un seul d’analyse syntaxique Syslog.
paquet ; les messages envoyés via SSL 4. Donnez un nom au profil d’analyse Syslog.
peuvent couvrir plusieurs paquets. 5. Spécifiez le type d’analyse syntaxique à utiliser pour filtrer les
• Un seul paquet peut contenir plusieurs informations de mappage d’utilisateur en sélectionnant l’une des
messages Syslog. options suivantes :
• Identificateur de Regex : ce type d’analyse syntaxique vous
permet de définir des expressions régulières afin de décrire
les modèles de recherche pour l’identification et l’extraction
des informations de mappage d’utilisateur à partir des
messages Syslog. Poursuivez avec l’Étape 3 pour plus
d’instructions sur la création d’identificateurs de Regex.
• Identificateur de champ : ce type d’analyse syntaxique vous
permet de définir une chaîne à mettre en correspondance
avec l’événement d’authentification, ainsi que des chaînes de
préfixe et de suffixe pour identifier les informations de
mappage d’utilisateur dans les messages Syslog. Poursuivez
avec l’Étape 4 pour plus d’instructions sur la création
d’identificateurs de champ.
User-ID 283
Étape 3 Si vous avez sélectionné Identificateur de 1. Spécifiez la méthode de correspondance des événements
Regex comme type d’analyse syntaxique, d’authentification dans les messages Syslog en saisissant un
créez les modèles de correspondance de modèle de correspondance dans le champ Regex d’événement.
Regex pour l’identification des Par exemple, lorsqu’elle est mise en correspondance avec le
événements d’authentification et message Syslog d’exemple, la Regex suivante indique au
l’extraction des informations de mappage pare-feu d’extraire la première {1} instance de la chaîne
d’utilisateur. authentication success. La barre oblique inversée avant
l’espace est un caractère d’échappement Regex standard qui
L’exemple ci-dessous indique une
indique au moteur Regex de ne pas traiter l’espace comme
configuration Regex pour la mise en
caractère spécial. (authentication\ success){1}.
correspondance avec les messages Syslog
au format suivant : 2. Saisissez la Regex pour identifier le début du nom d’utilisateur
[Tue Jul 5 13:15:04 2005 CDT] Administrator
dans les messages de réussite d’authentification dans le champ
authentication success User:johndoe1 Regex de nom utilisateur. Par exemple, la Regex
Source:192.168.3.212
User:([a-zA-Z0-9\\\._]+) correspond à la chaîne
User:johndoe1 du message d’exemple et extrait
acme\johndoe1 comme ID utilisateur.
Si les messages Syslog ne contiennent aucune
information de domaine et que vous avez besoin de
noms de domaine dans vos mappages d’utilisateur,
assurez-vous de saisir le nom de domaine par défaut
lors de la définition de l’entrée du serveur surveillé à
Si le message Syslog contient un l’Étape 5.
espace autonome et/ou une 3. Saisissez la Regex pour identifier la partie adresse IP dans les
tabulation comme délimiteur, vous messages de réussite d’authentification dans le champ Regex
devez utiliser le caractère \s (pour d’adresse. Par exemple, l’expression régulière suivante
un espace) et/ou \t (pour une Source:([0-9]
tabulation) de manière à ce que {1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})
l’agent analyse le message Syslog. correspond à une adresse IPv4 (Source:192.168.0.212 dans
le message Syslog d’exemple).
4. Cliquez sur OK.
284 User-ID
Étape 4 Si vous avez sélectionné Identificateur de 1. Spécifiez la méthode de correspondance des événements
champ comme type d’analyse, définissez d’authentification dans les messages Syslog en saisissant un
les modèles de correspondance de chaîne modèle de correspondance dans le champ Chaîne
pour l’identification des événements d’événement. Par exemple, lors de la mise en correspondance
d’authentification et l’extraction des avec le message Syslog d’exemple, saisissez la chaîne
informations de mappage d’utilisateur. authentication success pour identifier les événements
d’authentification dans le message Syslog.
L’exemple ci-dessous indique une
configuration d’identificateur de champ 2. Saisissez la chaîne de correspondance pour identifier le début du
pour la mise en correspondance avec les champ Nom d’utilisateur dans le message Syslog
messages Syslog au format suivant : d’authentification dans le champ Préfixe de nom utilisateur.
[Tue Jul 5 13:15:04 2005 CDT] Administrator
Par exemple, la chaîne User: identifie le début du champ Nom
authentication success User:johndoe1 d’utilisateur dans le message Syslog d’exemple.
Source:192.168.3.212
3. Saisissez le délimiteur de nom utilisateur pour marquer la fin
du champ Nom d’utilisateur dans le message Syslog
d’authentification. Par exemple, si le nom d’utilisateur est suivi
par un espace, saisissez \s pour indiquer que le champ Nom
d’utilisateur est délimité par un espace autonome dans le journal
d’exemple.
4. Saisissez la chaîne de correspondance pour identifier le début du
champ Adresse IP dans le journal des événements
d’authentification dans le champ Préfixe d’adresse. Par
exemple, la chaîne Source: identifie le début du champ
Si le message Syslog contient un Adresse IP dans le journal d’exemple.
espace autonome et ou une
tabulation comme délimiteur, vous 5. Saisissez le délimiteur d’adresse pour marquer la fin du champ
devez utiliser le caractère \s (pour Adresse IP dans le message de réussite d’authentification dans
un espace) et/ou \t (pour une le champ correspondant. Par exemple, si l’adresse est suivie par
tabulation) de manière à ce que un saut de ligne, saisissez \n pour indiquer que le champ
l’agent analyse le message Syslog. Adresse IP est délimité par une nouvelle ligne.
6. Cliquez sur OK.
User-ID 285
Étape 5 Définissez les serveurs qui enverront les 1. Sélectionnez Périphérique > Identification utilisateur >
messages Syslog au pare-feu pour le Mappage d’utilisateur.
mappage d’utilisateur. 2. Dans la section Surveillance du serveur de l’écran, cliquez sur
Vous pouvez définir jusqu’à Ajouter.
50 expéditeurs Syslog par système virtuel 3. Saisissez un Nom et une Adresse réseau pour le serveur.
pour un total de 100 serveurs surveillés, 4. Sélectionnez Expéditeur Syslog comme type de serveur.
notamment des expéditeurs Syslog, ainsi
5. Vérifiez que la case Activé est cochée.
que des serveurs
Microsoft Active Directory, 6. (Facultatif) Si les messages Syslog que le périphérique
Microsoft Exchange et d’authentification envoie ne contiennent aucune information de
Novell eDirectory. Le pare-feu ignorera domaine dans les journaux des événements de connexion,
tout message Syslog reçu de serveurs qui saisissez le nom de domaine par défaut à ajouter aux mappages
ne sont pas dans la liste. d’utilisateur.
L’état affiché d’un
expéditeur Syslog qui utilise SSL
pour se connecter sera Connecté
uniquement lorsqu’une
connexion SSL est active. Les
expéditeurs Syslog utilisant UDP
n’affichera aucune valeur d’état
Étape 6 Activez les services d’écoute Syslog dans 1. Sélectionnez Réseau > Profils réseau > Gestion de l’interface,
le profil de gestion associé à l’interface puis sélectionnez un profil d’interface à modifier ou cliquez sur
utilisée pour le mappage d’utilisateur. Ajouter pour créer un nouveau profil.
2. Sélectionnez Écouteur SSL Syslog User-ID et/ou
Écouteur UDP Syslog User-ID, selon les protocoles que vous
avez définis lors de la configuration de vos expéditeurs Syslog
dans la liste Surveillance du serveur.
Sur l’agent User-ID Windows User-ID, le port
d’écoute Syslog par défaut via UDP ou TCP est 514,
mais la valeur de port peut être configurée. Pour la
fonction Mappage d’utilisateur sans agent sur le pare-feu,
seul l’envoi des messages via UDP ou SSL est pris en
charge, mais les ports d’écoute (514 pour UDP et 6514
pour SSL) ne peuvent pas être configurés ; ils sont
activés uniquement via le service de gestion.
3.Cliquez sur OK pour enregistrer le profil de gestion
d’interface.
Même après l’activation du service
Écouteur Syslog User-ID sur l’interface, celle-ci
acceptera des connexions Syslog uniquement des
serveurs qui disposent d’une entrée correspondante dans
la configuration des serveurs surveillés User-ID. Les
connexions ou messages des serveurs qui ne sont pas
dans la liste seront ignorés.
Étape 7 Enregistrez la configuration. Cliquez sur Valider pour enregistrer la configuration.
286 User-ID
Paso 8 Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1) Host: Syslog2(10.5.204.41)

number of log messages : 1000
number of auth. success messages : 1000
number of active connections : 0
total connections made : 4
Para ver cuántos mensajes de log entraron a través de emisores de Syslog y cuántas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name TYPE Host Vsys Status
-----------------------------------------------------------------------------
AD AD 10.2.204.43 vsys1 Connected
Syslog Servers:
Name Connection Host Vsys Status
-----------------------------------------------------------------------------
Syslog1 UDP 10.5.204.40 vsys1 N/A
Syslog2 SSL 10.5.204.41 vsys1 Not connected
Para ver cuántas asignaciones de usuarios se detectaron a través de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP Vsys From User IdleTimeout(s) M

axTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -
192.168.3.8 vsys1 SYSLOG acme\jreddick 2476 2
476
192.168.5.39 vsys1 SYSLOG acme\jdonaldson 2480 2
480
192.168.2.147 vsys1 SYSLOG acme\ccrisp 2476 2
476
192.168.2.175 vsys1 SYSLOG acme\jjaso 2476 2
476
192.168.4.196 vsys1 SYSLOG acme\jblevins 2480 2
480
192.168.4.103 vsys1 SYSLOG acme\bmoss 2480 2
480
192.168.2.193 vsys1 SYSLOG acme\esogard 2476 2
476
192.168.2.119 vsys1 SYSLOG acme\acallaspo 2476 2
476
192.168.3.176 vsys1 SYSLOG acme\jlowrie 2478 2
478
Total: 9 users
Configuration de l’agent User-ID Windows en tant qu’écouteur Syslog
Le flux de travail suivant décrit la configuration de l’agent User-ID Windows pour recevoir des messages Syslog
des services d’authentification.
L’agent User-ID Windows accepte les messages Syslog uniquement via TCP et UDP.
User-ID 287
Configuration de l’agent User-ID Windows pour la collecte de mappages d’utilisateur d’expéditeurs Syslog
Étape 1 Lancez l’application Agent User-ID. 1. Cliquez sur Démarrer et sélectionnez Agent User-ID.
Étape 2 Définissez manuellement le(s) 1. Vérifiez les messages Syslog générés par le service
filtre(s) Syslog pour extraire d’authentification pour identifier la syntaxe des événements de
l’adresse IP User-ID vers les connexion. Vous pouvez alors créer les modèles de
informations de mappage correspondance qui permettront au pare-feu d’identifier et
d’adresse IP/nom d’utilisateur à partir d’extraire les événements d’authentification des
des messages Syslog. messages Syslog.
Afin d’être syntaxiquement analysés par Tout en vérifiant les messages Syslog, déterminez
l’agent User-ID, les messages Syslog également si le nom de domaine est inclus dans les
doivent répondre aux critères suivants : entrées de journal. Si les journaux d’authentification ne
contiennent aucune information de domaine, définissez
• Chaque message Syslog doit être une
un nom de domaine par défaut lors de l’ajout de
chaîne de texte sur une seule ligne. Les
l’expéditeur Syslog à la liste des serveurs surveillés à l’Étape 5.
sauts de ligne sont délimités par un
retour à la ligne et une nouvelle ligne 2. Sélectionnez Identification utilisateur > Configuration, puis
(\r\n) ou une nouvelle ligne (\n). cliquez sur Modifier dans la section Configuration de la boîte de
dialogue.
• La taille maximale autorisée de chaque
message Syslog est de 2048 octets. 3. Dans l’onglet Syslog, ajoutez un nouveau profil d’analyse
• Les messages Syslog envoyés via UDP syntaxique Syslog.
doivent être contenus dans un seul 4. Saisissez un nom de profil et une description.
paquet ; les messages envoyés via SSL 5. Spécifiez le type d’analyse syntaxique à utiliser pour filtrer les
peuvent couvrir plusieurs paquets. informations de mappage d’utilisateur en sélectionnant l’une des
• Un seul paquet peut contenir plusieurs options suivantes :
messages Syslog. • Regex : ce type d’analyse syntaxique vous permet de définir
des expressions régulières afin de décrire les modèles de
recherche pour l’identification et l’extraction des
informations de mappage d’utilisateur à partir des
messages Syslog. Poursuivez avec l’Étape 3 pour plus
d’instructions sur la création d’identificateurs de Regex.
• Champ : ce type d’analyse syntaxique vous permet de définir
une chaîne à mettre en correspondance avec l’événement
d’authentification, ainsi que des chaînes de préfixe et de
suffixe pour identifier les informations de mappage
d’utilisateur dans les messages Syslog. Poursuivez avec
l’Étape 4 pour plus d’instructions sur la création
d’identificateurs de champ.
288 User-ID
Configuration de l’agent User-ID Windows pour la collecte de mappages d’utilisateur d’expéditeurs Syslog (suite)
Étape 3 Si vo

PAN OS 6.1 Admin Guide French

Transféré par

Informations du document

Description :

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

PAN OS 6.1 Admin Guide French

Titre original :

Transféré par

Description :

Droits d'auteur :

®

Palo Alto Networks

Guide de l’administrateur PAN-OS®

Palo Alto Networks

Palo Alto Networks, Inc.

Date de révision : mars 13, 2015

Gestion des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Guide de l'administrateur PAN-OS i

Haute disponibilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

ii Guide de l'administrateur PAN-OS

Guide de l'administrateur PAN-OS iii

Prévention des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

iv Guide de l'administrateur PAN-OS

Filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

Guide de l'administrateur PAN-OS v

Qualité de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

Réseaux privés virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

vi Guide de l'administrateur PAN-OS

Mise en réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551

Guide de l'administrateur PAN-OS vii

viii Guide de l'administrateur PAN-OS

Systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695

Guide de l'administrateur PAN-OS ix

Intégration du pare-feu dans votre réseau de gestion

Détermination de votre stratégie de gestion

Exécution de la configuration initiale

Configuration de l’accès réseau au pare-feu

Étape 1 Contactez votre administrateur réseau • Adresse IP du port MGT

Configuration de l’accès réseau au pare-feu (suite)

Étape 9 Connectez le pare-feu à votre réseau. 1. Déconnectez le pare-feu de votre ordinateur.

Configuration de l’accès réseau au pare-feu (suite)

Configuration de l’accès réseau pour les services externes

Configuration d’un port de données pour accéder aux services externes

3. Si vous utilisez une adresse IP privée sur l’interface interne, vous

4. Validez vos modifications.

• Si vous disposez déjà d’un compte de support, connectez-vous,

Activation des licences et des abonnements

Activation des licences

Étape 2 Lancez l’interface Web et accédez à la Sélectionnez Périphérique > Licences.

Activation des licences (suite)

Gestions des mises à jour de contenu

Téléchargement des dernières bases de données

Téléchargement des dernières bases de données (suite)

Vous ne pouvez pas télécharger la base de données

• Mettre à niveau : indique qu’une nouvelle version de la base de

Pour vérifier l’état d’une action, cliquez sur Tâches

Téléchargement des dernières bases de données (suite)

Installation des mises à jour logicielles

Mise à jour de PAN-OS

Étape 1 Lancez l’interface Web et accédez à la Sélectionnez Périphérique > Logiciels.

Étape 4 Installez la mise à jour. 1. Cliquez sur Installer.

• Si vous ne l’êtes pas, sélectionnez Périphérique >

Création d’un périmètre de sécurité

Déploiements d’interfaces de base

Déploiements de câble virtuel

 Note technique sur la configuration OSPF

 Note technique sur la configuration BGP

À propos de la politique de sécurité

À propos des objets de politique

À propos des profils de sécurité

Figure : Exemple de topologie de couche 3

Zone Type de déploiement Interface(s) Paramètres de configuration