Vous êtes sur la page 1sur 37

I.

Introduction Pare-feu
Un pare-feu est parfois appelé coupe-feu, garde-barrière, barrière de sécurité, ou
encore firewall.

Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu est aussi


appelé packet filter.

Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) servant


de système de protection pour le réseau local.

Il peut également servir d’interface entre plusieurs réseaux d’entreprise afin de contrôler
et éventuellement bloquer la circulation de données.

Le pare-feu permet de protéger un réseau privé des attaques provenant d’un réseau
public (ex : Internet).

Le firewall offre également certains dispositifs pour protéger des abus provenant de
l’intérieur.

- Fonctionnement général

Pare-feu passerelle entre LAN et WAN.

Le pare-feu était jusqu'à ces dernières années considéré comme une des pierres
angulaires de la sécurité d'un réseau informatique (il perd en importance que les
communications basculent vers le HTTP sur SSL, court-circuitant tout filtrage). Il permet
d'appliquer une politique d'accès aux ressources réseau (serveurs).

Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en


filtrant les flux de données qui y transitent. Généralement, les zones de confiance
incluent Internet (une zone dont la confiance est nulle) et au moins un réseau
interne (une zone dont la confiance est plus importante).

Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents
niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de
connexion basé sur le principe du moindre privilège.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs
zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant
le niveau de confiance qu'on leur porte.
Une DMZ (DéMilitarised Zone) est une Zone qui contient des serveurs accessibles
Depuis Internet et le LAN : http, Mail, FTP …

- Intérêts et limites du pare-feu


Avantages
 Avec une architecture réseau cohérente, on bénéficie d'une centralisation dans la
gestion des flux réseaux.
 De plus, avec un plan d'adressage correct, la configuration du pare-feu est peu ou pas
sensible au facteur d'échelle (règles identiques pour 10 comme 10000 équipements
protégés).
 L'utilisation de la journalisation offre une capacité d'audit du trafic réseau et peut donc
fournir des traces robustes en cas d'incident, si le pare-feu n'est pas lui-même une des
cibles.
 Enfin le pare-feu permet de relâcher les contraintes de mise à jour rapide de
l'ensemble d'un parc en cas de vulnérabilité sur un service réseau : il est possible de
maintenir une certaine protection des équipements non vitaux au prix de la
dégradation du service avec la mise en place d'un filtrage.

Inconvénients
 La capacité de filtrage d'un équipement dépend de son intégration dans le réseau mais
le transforme en goulet d'étranglement (capacité réseau et ressources du pare-feu).
 De par sa fonction, le pare-feu est un point névralgique de l'architecture de sécurité
avec de fortes contraintes de disponibilité. Il existe des solutions permettant la
synchronisation de l'état des pare-feu, mais beaucoup de configurations reposent
encore sur un équipement unique.
 Enfin une bonne gestion d'un pare-feu nécessite la compréhension des protocoles
filtrés surtout lorsque les interactions deviennent complexes comme dans les cas FTP,
H323,...avec le transport de paramètres de connexion dans le segment de données. De
plus il apparaît bien souvent des effets de bord liés aux diverses fonctions (couches
réseaux filtrées, traduction d'adresses) et influencées par l'ordre d'application des
règles.
II. Principes du Filtrage
Selon l'équipement, des informations sont extraites des flux réseaux depuis une ou
plusieurs des couches 2 à 7 du modèle OSI comparées à un ensemble de règles de filtrage.
Un état peut être mémorisé pour chaque flux identifié, ce qui permet en outre de gérer la
dimension temporelle avec un filtrage en fonction de l'historique du flux.

- Filtrage simple de paquet


C'est la méthode de filtrage la plus simple, elle opère au niveau de la couche réseau et
transport du modèle Osi. La plupart des routeurs d'aujourd'hui permettent d'effectuer du
filtrage simple de paquet. Cela consiste à accorder ou refuser le passage de paquet d'un
réseau à un autre en se basant sur :
    - L'adresse IP Source/Destination.
    - Le numéro de port Source/Destination.
    - Et bien sur le protocole de niveaux 3 ou 4.
Cela nécessite de configurer le Firewall ou le routeur par des règles de filtrages,
généralement appelées des ACL (Access Control Lists).

Le premier problème vient du fait que l'administrateur réseau est rapidement contraint à
autoriser un trop grand nombre d'accès, pour que le Firewall offre une réelle protection.
Par exemple, pour autoriser les connexions à Internet à partir du réseau privé,
l'administrateur devra accepter toutes les connexions Tcp provenant de l'Internet avec un
port supérieur à 1024. Ce qui laisse beaucoup de choix à un éventuel pirate.

Enfin, ce type de filtrage ne résiste pas à certaines attaques de typeIP Spoofing / IP


Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS.

- Filtrage de paquet avec état (dynamique)


L'amélioration par rapport au filtrage simple, est la conservation de la trace des sessions
et des connexions dans des tables d'états internes au Firewall. Le Firewall prend alors ses
décisions en fonction des états de connexions.

Dans l'exemple précédent sur les connexions Internet, on va autoriser l'établissement des
connexions à la demande, ce qui signifie que l'on aura plus besoin de garder tous les ports
supérieurs à 1024 ouverts. La solution consiste à autoriser pendant un certain délai les
réponses aux paquets envoyés.

Tout d'abord, il convient de s'assurer que les deux techniques sont bien implémentées par
les Firewalls, car certains constructeurs ne l'implémentent pas toujours correctement.
Ensuite une fois que l'accès à un service a été autorisé, il n'y a aucun contrôle effectué sur
les requêtes et réponses des clients et serveurs. Enfin les protocoles maisons utilisant
plusieurs flux de données ne passeront pas, puisque le système de filtrage dynamique
n'aura pas connaissance du protocole.
- Filtrage applicatif (pare-feu de type proxy ou proxying
applicatif)

Le filtrage applicatif est comme son nom l'indique réalisé au niveau de la couche
Application. Les requêtes sont traitées par des processus dédiés, par exemple une requête
de type Http sera filtrée par un processus proxy Http. Le pare-feu rejettera toutes les
requêtes qui ne sont pas conformes aux spécifications du protocole. Cela implique que le
pare-feu proxy connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer.

Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy. Il est
extrêmement difficile de pouvoir réaliser un filtrage qui ne laisse rien passer, vu le
nombre de protocoles de niveau 7.

Mais il est indéniable que le filtrage applicatif apporte plus de sécurité que le filtrage de
paquet avec état, mais cela se paie en performance. Ce qui exclut l'utilisation d'une
technologie 100 % proxy pour les réseaux à gros trafic.

Que choisir : Tout d'abord, il faut nuancer la supériorité du filtrage applicatif par
rapport à la technologie Stateful. En effet les proxys doivent être paramétrés pour limiter
le champ d'action des attaquants, ce qui nécessite une très bonne connaissance des
protocoles autorisés à traverser le firewall.

Idéalement, il faut protéger le proxy par un Firewall de type Stateful Inspection. Il vaut
mieux éviter d'installer les deux types de filtrage sur le même Firewall, car la
compromission de l'un entraîne la compromission de l'autre. Enfin cette technique
permet également de se protéger contre l'ARP spoofing.

III. Types de Pare-feu


Les pare-feux sont un des plus vieux équipements de sécurité informatique et ils ont été
soumis à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis,
on peut les classer en différentes catégories.

- Pare-feu sans état (stateless firewall) Filtre de paquets  : 


La décision de filtrage est basée uniquement sur les valeurs des champs de l’entête IP
(adresse source/destination. Ports source/destination).
C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde
chaque paquet indépendamment des autres et le compare à une liste de règles
préconfigurées.
Ces règles peuvent avoir des noms très différents en fonction du pare-feu :

 « ACL » pour Access Control List (certains pare-feux Cisco),


 politique ou policy (pare-feu Juniper/Netscreen),
 filtres,
 règles ou rules,
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte
des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du
filtrage très évoluée.

- Pare-feu à états (stateful firewall) Filtre de contenu :


La décision de filtrage est basé sur le contenu des informations reçus (le nom d’un site
web, le contenu d’un site web, les commandes smtp etc..).
Certains protocoles dits « à états » comme TCP introduisent une notion de connexion.
Les pare-feux à états vérifient la conformité des paquets à une connexion en cours. C’est-
à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent
paquet et la réponse à un paquet dans l'autre sens.
Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src,
port_src, ip_dst, port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par
un quadruplet inversé, sans avoir à écrire une ACL inverse. Ceci est fondamental pour le
bon fonctionnement de tous les protocoles fondés sur l'UDP, comme DNS par exemple.
Ce mécanisme apporte en fiabilité puisqu'il est plus sélectif quant à la nature du trafic
autorisé. Cependant dans le cas d'UDP, cette caractéristique peut être utilisée pour établir
des connexions directes (P2P) entre deux machines.

- Pare-feu applicatif Filtre hybride


La décision est basé et sur l’entête du paquet IP ,et sur le contenu.
Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un
protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul le
protocole HTTP passe par le port TCP 80.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme FTP, en mode passif, échangent entre le client et le serveur des
adresses IP ou des ports TCP/UDP. Ces protocoles échangent au niveau applicatif (FTP)
des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports).
Ce qui transgresse le principe de la séparation des couches réseaux.
Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque
application est gérée par un module différent pour pouvoir les activer ou les désactiver.
La terminologie pour le concept de module est différente pour chaque type de pare-feu :
par exemple : Le protocole HTTP permet d'accéder en lecture sur un serveur par une
commande GET, et en écriture par une commande PUT. Un pare-feu applicatif va être
en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu'à un
nombre restreint de machines.

- Pare-feu identifiant
Un pare-feu réalise l’identification des connexions passant à travers le filtre IP.
L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus
par adresse IP ou adresse MAC, et ainsi suivre l'activité réseau par utilisateur.
Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et
utilisateurs réalisées par des moyens variés. Une autre méthode est l'identification
connexion par connexion (sans avoir cette association IP = utilisateur et donc sans
compromis sur la sécurité) qui permet d'identifier également sur des machines multi-
utilisateurs.

IV. Les ACL liste de contrôle d’accès


Access Control List (ACL), liste de contrôle d'accès en désigne en sécurité
informatique en réseau, une liste des adresses et ports autorisés ou interdits par un pare-
feu. Une ACL est une liste d’Access Control Entry (ACE) ou entrée de contrôle d'accès
donnant ou supprimant des droits d'accès à une personne ou un groupe.

- Utilité
Une liste d'accès va servir à supprimer des paquets pour des raisons de sécurité, filtrer
des mises à jour de routage et des paquets en fonction de leur priorité et définir du trafic
intéressant pour des configurations spécifiques (NAT, ISDN, etc.).

- Principe
Une liste d'accès, comportant une suite d'instructions de filtrage, va être appliquée sur
une interface du matériel, pour le trafic entrant ou pour le trafic sortant. Il va falloir
appliquer une logique sur les interfaces en sortie ou en entrée.

- ACL En réseau
Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou
de ports autorisés ou interdits par le dispositif de filtrage.
Les Access Control List sont divisés en trois grandes catégories, l'ACL standard, l'ACL
étendue et la nommée-étendue.

 L'ACL standard ne peut contrôler que deux ensembles : l'adresse IP source et une
partie de l'adresse IP source, au moyen de masque générique.
 L'ACL étendue peut contrôler l'adresse IP de destination, la partie de l'adresse de
destination (masque générique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP,
etc.), le port source et de destination, les flux TCP, IP TOS (Type of service) ainsi que les
priorités IP.
 L'ACL nommée-étendue est une ACL étendue à laquelle on a affecté un nom.

- Syntaxe des commandes des ACLs


La mise en œuvre d'une ACL se déroule en deux étapes : 
- Création de la liste, en plaçant les instructions les unes après les autres suivies d'un
retour chariot. 
- Application sur une interface en entrée ou en sortie 
 Liste d'accès standard 

- Commandes Standard De Configuration Des Listes D'Accès :

ip access-group {number | name [in | out]}

- Commande qui permet d'applique l'ACL sur une interface donnée en paramètre :
access-class number | name [in | out]

-Ajouter une liste d'accès :


Router(config)#access-list numéro-liste-accès {deny|permit} adresse-source [masque-
source] [log]

 numéro-liste-accès : identifier la liste à laquelle appartient cette entrée, c'est un


nombrecompris entre 1 et 99.
 deny|permit:indique si cette entrée autorise ou refuse le trafic pour cette adresse.
 adresse-source : identifier l'adresse source IP.
 masque-source :identifier quels bits du champ adresse sont concernés .Placez la
valeur 1 aux position indiquant « ne pas considérer » et la valeur 0 pour celles
devant être impérativement suivies. Des caractères génériques peuvent être
utilisés.

Exemple :
Router(config)#show access-lists 
Standart IP access list 1 
Deny 204.59.144.0, wildcard bits 0.0.0.255 
Permit any 
Router #

 Liste d'accès étendu : 


Cette commande vous permet de créer une liste d'accès IP étendu :
Router(config)#access-list numéro-liste-accès {deny|permit} protocole adresse-source
masque-source [opérateur port] adresse-destination masque-destination [opérateur port]
[established]

Dans cette commande : 


Numéro_liste_accès : identifie la liste par un nombre compris entre 100 et 199. 
Permit | deny : indique si cette entrée autorise ou refuse le trafic pour cette adresse. 
Protocole : indique le type de protocole (IP, TCP, UDP, ICMP, GRP, ou IGRP). 
Source et destination : identifient l'adresse IP source et destination. 
Masque_source et masque_destination : placez la valeur 1 aux positions indiquant « ne
pas considérer » et la valeur 0 pour celles devant être impérativement suivies. Des
caractères génériques peuvent être utilisés. 
Opérateur et opérande prennent les valeurs suivantes :
 lt (less than) ou (plus petit)
 gt (greater than) ou (plus grand)
 eq (equal) ou (égal)
 neq (not equal) ou (non égal)*
established : autorise le trafic TCP si les paquets utilisent une connexion établie. 

 Liste d'accès IP nommée : 


On peut employer des listes d'accès IP nommée pour retirer des entrées d'une liste
d'accès spécifique, ce qui permet de modifier une liste d'accès sans le détruire et de
pouvoir le reconfigurer. Les listes d'accés nommées sont utilisées lorsque : 
-On veut identifier une liste d'accès en utilisant un nom alphanumérique. 
-On dispose de plus de 99 listes d'accès simples ou de plus de 100 listes d'accès étendues
à configurer pour un protocole donné. 

Voici la commande : 
Router(config)#ip access-list standard nom 
Router(config-ext-nacl)#permit|deny …

Exemple : 
Router(config)# ip access-list extended filtrage 
Router(config-ext-nacl)#permit tcp any 192.168.0.0 0.255.255.255 lt 1024 
Router(config-ext-nacl)#deny udp any 192.168.0.0 0.255.255.255 eq 8080

Router(config)#ip access-list extended nom 


Router(config-ext-nacl)#permit|deny …

 Activation d'une liste d'accès sur une interface :


Voici la commande :
Router(config-if)#ip access-group {numéro-liste-accès|nom [in | out]}

Exemple : 
Router(config)# interface serial0 
Router(config-if)#ip access-group filtrage out
On utilise la commande numéro-liste-accès pour lier une liste d'accès à une interface 
numéro-liste-accès: représente le numéro de la liste à lier. 
in | out : indique si la liste d'accès est applique à l'interface d'entrée ou en sortie. 

 Diagnostic : 
On emploie la commande show pour des raisons de diagnostic comme c'est illustré dans
l'exemple suivant :
Router#show ip interface [type numéro] 
Router#show access-lists [numéro-liste-accès|nom-liste-accès] 
Router#show ip access-list [numéro-liste-accès|nom-liste-accès]

Router#show access-lists 
Standard IP access list 0 Extended IP access list filtrage 
permit tcp any 192.168.0.0 0.255.255.255 lt 1024(0 matches) 
deny udp any 192.168.0.0 0.255.255.255 eq 8080 (0 matches) 
Router#show ip access-list filtrage 

V. Fortinet leader mondial UTM


- Présentation
Fortinet conçoit et commercialise des logiciels, équipements et services de cyber
sécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de
sécurité des terminaux.

Fortinet  est le leader mondial selon l'institut IDC  dans le segment des


Appliances UTM (Unified Threat Management - solution de sécurité tout en un) avec plus
de 16,8 % de part de marché dans le monde.

Fortinet est le leader du marché en matière d'UTMs, offrant des solutions clefs en main
qui améliorent les performances, renforcent la sécurité et réduisent les coûts. Fortinet
sécurise les réseaux de plus de 125.000 clients à travers le monde. Les plus importantes
organisations internationales  s'appuient sur la technologie Fortinet pour protéger leurs
réseaux et données.

- Historique
Fortinet a été créée en 2000. 2004 a également marqué le début d’un litige récurrent
entre Fortinet et Trend Micro. Tout au long des années 2000, Fortinet a diversifié sa
gamme de produits en y intégrant des points d’accès WiFi, une technologie de sandbox
(permet l'exécution de logiciel avec moins de risques pour le système d'exploitation) et
des solutions de sécurité de la messagerie électronique notamment.
Selon Fortinet, Son premier programme à l’intention du réseau de distribution en octobre
2003.  Les produits FortiGate ont été distribués au Canada suivie par le Royaume-Uni.
En 2004, Fortinet était déjà présente, via ses bureaux, en Asie, en Europe et en Amérique
du Nord. Le programme revendeurs a été réorganisé en janvier 2006 sous le nom de
« SOC in à BOX ». 
En octobre 2005, une étude réalisée a révélé que les équipements Fortinet étaient utilisés
pour censurer Internet. Fortinet a déclaré que ses produits étaient vendus par des
revendeurs tiers.
Fortinet a procédé à une refonte de son programme revendeurs en juillet 2013, en y
intégrant des offres de financement et d’autres services à l’intention des petits
fournisseurs de services de sécurité managés. Récemment, certains revendeurs se sont
plaints que Fortinet était en concurrence avec ses propres revendeurs, alors que
l’entreprise affirme ne procéder à aucune vente directe.
Fortinet a créé la Cyber Thread Alliance en 2014 pour permettre aux fournisseurs de
partager et mettre en commun leurs données sur les menaces de sécurité.
McAfee et Symantec ont rejoint l’alliance cette même année.  Fin 2015, des chercheurs en
sécurité Fortinet ont démontré l’existence d’un piratage de Fitbit via Bluetooth
permettant d’accéder aux dispositifs synchronisés avec les produits de la marque.
En juin 2016, Fortinet a pris le contrôle d’AccelOps, un éditeur de logiciels de sécurité, de
surveillance et de traitement analytique, la société était avant tout connue pour ses
produits SIEM (Security Information and Event Management), des produits qui
analysent les alertes et logs de sécurité provenant d’équipements et de logiciels.

- L’approche Fortinet UTM


Les systèmes de gestion unifiée des menaces (UTM ou Unified Threat Management) sont
actuellement les outils les plus couramment utilisés de l'arsenal de sécurité de
l'information. Le concept de gestion unifiée des menaces (UTM ou Unified Threat
Management) est à la mode. En effet, il propose de nombreuses technologies de sécurité
intégrées sur une seule plate-forme et fournies par un seul éditeur.

Tous les spécialistes conviennent que les entreprises, quelle que soit leur taille, doivent
adopter une solide stratégie de protection de leurs systèmes et données informatiques en
utilisant différentes technologies de sécurité. En effet, les entreprises doivent aujourd'hui
faire face à un nombre sans précédent des menaces persistantes avancées et des attaques
mixtes (par exemple, les virus et les chevaux de Troie, les téléchargements passifs des
sites compromis, les injections SQL et autres attaques sur les applications Web ou encore
surveiller les communications fil).

En réponse à toutes ces menaces, les entreprises doivent être capables d'implémenter et
de gérer plusieurs technologies de sécurité, un défi difficile à relever. Une solution est de
déployer plusieurs produits de différents éditeurs. Toutefois, cette approche nécessite
non seulement d'installer et d'intégrer plusieurs solutions, mais aussi de se familiariser
avec plusieurs consoles d'administration de plusieurs éditeurs.

Une autre solution est de déployer un système de gestion unifiée des menaces, c'est-à-
dire un ensemble de technologies de sécurité intégrées et implémentées sur une seule
plate-forme physique (ou dans le Cloud), avec une seule interface d'administration.

On distingue quelques avantage du système UTM : Un déploiement simplifié avec


beaucoup moins d'étapes au niveau de l'installation et de la configuration. Et aussi une
administration facilitée car il n'y a qu'une seule console d'administration et un seul
processus de mise à jour. En plus une résolution plus rapide des problèmes car il y a
moins de possibilités de conflits entre les modules et le support est assuré par un seul et
même éditeur. Et enfin des rapports intégrés qui regroupent toutes les données des
différentes technologies à un seul endroit.

- Forti OS
FortiOS, le système d’exploitation qui pilote les plateformes matérielles de Fortinet,
utilise, en tant que noyau, une version modifiée du noyau Linux ainsi que ext2 en tant que
filesystem. L’interface d’administration web utilise les moteurs jinja2 et django avec
Python en backend. En décembre 2003, Fortinet a sorti la version FortiOS 2.8 qui a
intégré 50 nouvelles fonctionnalités au système d’exploitation.
FortiOS est disponible sur les serveurs de support de Fortinet. Les principales nouvelles
fonctions sont les suivantes :

 Proxy et cache (pour les modèles équipées de disque dur).


 Optimisation WAN (compression de données, QoS).
 Filtrage au niveau des applications (yahoo mail, google mail ..etc.)
 Filtrage des protocoles chiffrés (HTTPS par exemple)
 Prévention de la fuite de données réseaux (Data Leak Prevention).

En 2005, le projet gpl-violations.org révéla des preuves que fortinet aurait utilisé du code


sous GPL sans respecter la licence et aurait utilisé des outils de cryptage pour cacher cette
violation de la licence. Cette violation aurait eu lieu dans le système FortiOS qui selon le
projet gpl-violations.org contenait du code du noyau de linux. Un tribunal émis une
injonction contre l'entreprise lui interdisant de vendre des produits jusqu'à ce qu'elle soit
en accord avec les termes de la licence. Fortinet a été obligée de fournir une version libre
compatible avec la licence GPL de FortiOS.

- Gamme des Produits
Fortinet dispose de 8 certifications ICSA (Parefeux, Antivirus, Antispam, IDS/IPS,
Filtrage URL,Vpn SSL, Vpn IPSEC, FIPS-2). Elle est le seul acteur de la sécurité à en
disposer autant. Elle maîtrise l'ensemble des technologies proposées matérielles et
logicielles.
Les boitiers de Fortinet sont accélérés par des ASICs

 FortiGate :
Est une gamme de boitiers de sécurité UTM (équipement sécurité tout en un)
comprenant les fonctionnalités firewall, Antivirus, système de prévention
d'intrusion (IPS), VPN (IPSec et SSL), filtrage Web, Antispam et d'autres fonctionnalités:
QoS, virtualisation, compression de données, routage, policy routing, etc. Les récents
modèles comportent des ports accélérés par ASIC qui permettent d'optimiser le trafic au
niveau des ports. Les boitiers de cette gamme sont iso fonctionnels s'adaptant à chaque
besoin.

 FortiMail :
FortiMail Plate-forme de Sécurisation de Messagerie, fournit une analyse heuristique
puissante et flexible, de même que des rapports statistiques sur le trafic de mails entrants
et sortants. Le FortiMail met en oeuvre des techniques fiables et hautement performantes
pour détecter et bloquer les mails non désirés. Construit sur base des technologies
primées FortiOS et FortiASIC, FortiMail utilise ses pleines capacités d’inspection de
contenu afin de détecter les menaces les plus avancées dans les courriers électroniques.
Ce boitier assure la protection de la messagerie avec les techniques Antivirus et Antispam
les plus pointues, mise en quarantaine et suppression de spam et leurs attachements. Le
boitier Fortimail peut se mettre en mode serveur pour jouer en même temps le rôle de
serveur de messagerie et d'outil de protection. 

 FortiAnalyzer :
FortiAnalyser fournit aux administrateurs réseaux les informations nécessaires qui
permettent d’assurer une meilleure protection du réseau, une plus grande sécurité contre
attaques et vulnérabilités. FortiAnalyser permet:
 de centraliser les journaux des équipements Fortinet (FortiGate, FortiMail,
FortiManager et FortiClient)
 de générer des centaines de rapports à partir des données collectées
 de scanner le réseau et générer des rapports de vulnérabilités sur l'activité
réseaux et sécurité.
 de stocker les fichiers mis en quarantaine par FortiGate
FortiAnalyser peut également être configuré en réseau et capturer en temps réel le trafic
intercepté. FortiAnalyser est utilisé comme lieu de stockage où les utilisateurs peuvent
accéder et partager des données, telles que des rapports et journaux conservés sur son
disque dur.

 FortiManager :
FortiManager est conçu pour répondre aux besoins des grandes entreprises responsables
du déploiement et du maintien de dispositifs de sécurité à travers un parc d’équipements
FortiGate. FortiManager permet de configurer et de contrôler les statuts de plusieurs
boîtiers FortiGate et aussi de consulter leurs journaux en temps réel et leurs historiques.
Une gamme de boitiers qui permettent la supervision et l'administration centralisée des
équipements Fortinet (FortiGate, FortiAnalyzer et FortiClient). FortiManager facilite le
travail des administrateurs en procédant à des mises à jour en masse : configuration,
migration de firmware, mise à jour de signatures, changement de règles de sécurité.

 FortiClient:
Le logiciel FortiClient offre un environnement informatique sécurisé et fiable aux
utilisateurs d’ordinateurs de bureau et d’ordinateurs portables munis des systèmes
d’exploitation les plus répandus de Microsoft Windows et Smartphones. Il permet de
protéger ces équipements contre les virus, les intrusions, les spam, les spywares. En
outre, il intègre un Firewall et un système de filtrage URL.
FortiClient offre de nombreuses fonctionnalités, y compris:
 un accès VPN pour se connecter aux réseaux distants
 un antivirus temps réel
 une protection contre des modifications du registre Windows
 une recherche des virus sur tout ou partie du disque dur.

 FortiDB:
FortiBD est une gamme de produits spécialisés dans la supervision et l'audit sécurité des
bases de données. Les produits de cette gamme permettent de renforcer la sécurité des
bases de données et leur conformité aux différents politiques de sécurité.

 FortiWeb:
FortiWeb est une nouvelle gamme annoncée en Fevrier 2009. Le premier produit de cette
gamme le FortiWeb 1000B se présente comme un boitier de sécurité spécialisé pour les
applications Web et XML. Ce boitier offre le partage de charge (load-balancing) entre
plusieurs serveurs ainsi que l'accélération du flux vers ces mêmes serveurs grâce à des
processeurs spécialisés dans le chiffrement et le déchiffrement des flux XML et SSL. Ce
boitier représente le premier firewall applicatif de la société Fortinet.

 FortiBridge:
FortiBridge permet d’assurer une continuité de connexion réseau même en cas de panne
électrique d’un système FortiGate. Le FortiBridge connecté en parallèle au FortiGate
dévie le flux réseau lorsqu'il détecte une panne sur le boîtier et reçoit alors le trafic pour
éviter toute coupure réseau. On peut programmer à l’avance les actions que FortiBridge
mettra en place en cas de panne de courant ou de panne dans le système FortiGate.

 FortiWifi (point d’accès autonome):


FortiWiFi intègre toutes les fonctionnalités d’un point d’accès complet et une protection
exhaustive de qualité entreprise. Chaque plateforme FortiWiFi active jusqu’à 7 SSID ou
points d’accès virtuels, pour déployer plusieurs réseaux sans fil à partir d’un seul
équipement.

 FortiWifi (point d’accès léger):


Les points d’accès FortiAP sont économiques et compatibles 802.11n. Les FortiAP
utilisent les technologies Wi-Fi les plus récentes, avec des débits allant jusqu’à 300 Mbps
par cœur radio et une couverture radio jusqu’à deux fois plus importante que le 802.11
a/b/g.

 FortiScan :
Gestion des vulnérabilités sur postes clients, évaluation de la conformité des ressources,
gestion des patchs, audit et reporting. Analyse jusqu’à 5 000 agents et 60 instances de
base de données.

 FortiAuthenticator :
Gestion des identités utilisateurs, Authentification des utilisateurs, authentification à
deux facteurs, vérification de l’identité et accès réseau. Gère l’identité de jusqu’à 2 000
utilisateurs finaux.

 FortiDNS :
Système DNS robuste, est un système DNS robuste et sécurisé pour remplacer les outils
existants et simplifier les déploiements DNS. Gère jusqu’à 60 000 requêtes par seconde.
VI. Pare-feu matériel  : Fortigate 
- Présentation du produit
La gamme FortiGate d’appliances physiques et virtuelles dédiées à la gestion unifiée des
menaces consolide plusieurs fonctions de sécurité telles que pare-feu, la prévention
d’intrusion, le filtrage web, ainsi que la protection anti-malware et anti-spam. Cette
gamme propose des produits pour petites entreprises et sites distants, ainsi que des
plateformes pour grandes entreprises, centres de données et fournisseurs de services
Internet. Fortinet commercialise également des pare-feux de nouvelle génération (Next
Generation Firewall, ou NGFW) qui est définit comme un produit regroupant un pare-
feu, un VPN et une prévention d’intrusion, entre autres fonctions de sécurité.
Le premier produit de Fortinet, le FortiGate 3000, sorti en octobre 2002, proposait des
performances de 3 giga-octets par seconde (Gbps). La gamme 5000 a été commercialisée
deux ans plus tard. Selon The International Directory of Company Histories, les premiers
produits Fortinet pour petites entreprises et succursales ont été accueillies favorablement
sur le marché.
En début d’année 2013, Fortinet a ajouté une fonctionnalité de pare-feu à l’appliance
FortiGate, conçue pour les réseaux internes et reposant sur des processeurs ASIC
spécifiques. La version virtualisée de FortiGate a ensuite été intégrée à Amazon Web
Services en 2014. En avril 2016, Fortinet annonçait la Fortinet Security Fabric, destinée à
permettre à des dispositifs tiers de partager des informations avec les appliances et
logiciels Fortinet via des API. Elle a également lancé le pare-feu FortiGate 6040E
320Gbps, équipé du nouveau processeur ASIC CP9. Ce dernier assume certaines tâches
habituellement attribuées au processeur principal de traitement, et est réutilisé dans les
versions ultérieures de FortiGate.
- Fonctionnalités du FortiGate
FortiGate solution de sécurité consolidée et unifiée de gestion de menaces (UTM), offre
une sécurité et des performances inégalées  tout en simplifiant l'administration
quotidienne de votre réseau.  FortiGate tourne sous le système
d'exploitation FortiOS ™ sur les processeurs FortiASIC ™ et des CPU de dernière
génération pour garantir une sécurité optimale de votre réseau d'entreprise. Chaque
FortiGate inclut une large gamme de fonctions de sécurité et réseaux, incluant:

Firewall
Règles de filtrage simples pour n'accepter que les flux autorisés.
La technologie de firewall combine l’analyse “ASIC accelerated Stateful Inspection »
permet d’identifier et bloquer les menaces complexes.

IPS
La technologie de prévention d’intrusion, disponible sur toutes les plateformes
FortiGate, embarquée dans les equipement protège les applications critiques contre les
attaques internes ou externes. FortiGate IPS associe une base de données paramétrable
de plusieurs milliers de menaces connues afin de bloquer les attaques non reconnues par
un firewall traditionnel et un système d’analyse comportemental reconnaissant les
menaces pas encore répertoriées par le moteur de signatures. Cette combinaison de
protection contre les menaces permet de se prémunir contre les attaques critiques.

Vpn Ipsec et SSL


La fonction vpn ipsec permet de mettre en place des tunnels chiffrés vers d’autres
sites ou bien pour des nomades.
La fonction vpn SSL permet l’accès chiffrés pour les nomades, en mode tunnel ou portail
web (seul un navigateur suffit).
La technologie IPSec et SSL VPN des plateformes FortiGate est intégré avec les autres
fonctionnalités de sécurité tels que les pare-feux, antivirus, filtrage web et prévention
d’intrusion fournissant un niveau de sécurité supérieur à des équipements VPN standard.
La solution FortiGate VPN assure un niveau de performance nécessaire aux entreprises
de toute taille, aussi bien des petites entreprises que des grandes organisations ou encore
des fournisseurs de services Internet.

Antivirus réseau
Cette technologie combine la détection par signatures avancées et moteurs heuristiques
afin de fournir une protection multi-niveaux en temps réel contre les nouveaux virus,
spyware, et malware propagés par le web, les emails et le transfert de fichiers.
Filtre antiviral de flux web (HTTP, HTTPS, FTP) et de messagerie (SMTP, SMTPS,
IMAP, IMAPS, POP3, POP3S).

Antispam
Une fonction pour les flux de messagerie.
La technologie antispam offre des fonctionnalités de détection, tag, mise en quarantaine
et de blocage des spam et de leurs attachements malicieux.

Filtrage URL
Filtrage des accès WEB. Avec une authentification ldap (active directory et
edirectory sont supportés en mode d'authentification transparente), possibilité de
mettre en place une politique d'accès par type de population.
Cette technologie bloque les accès vers les sites web nocifs, inappropriés et dangereux
contenant, par exemple, des attaques de type phishing/pharming, malware/spyware ou
des contenus répréhensibles exposant l’entreprises à des poursuites judiciaires. Composé
de bases de données reconnues et constamment mises à jour par FortiGuard Web
Filtering Service. Le Web Filtering aide les organisations dans leur démarche de
conformité légale et renforce l’utilisation appropriée d’Internet.

Détection d'intrusions
Sécurisation des accès entrants et sortants. La base, remise à jour automatiquement,
répertorie plus de 3 000 attaques connues.
Cette fonction permet d’identifier et de se prémunir contre la fuite d’informations
sensibles vers l’extérieur du réseau de l’entreprise.

Contrôle applicatif
Filtrage direct des applications afin de maitriser avec une trés forte granularité votre
politique de sécurité. Aujourd'hui, plus de 1 000 applications sont reconnues
(Bittorent, MSN, Facebook, Edonkey, ICQ, Yahho Msg...).
Cette fonction assure la reconnaissance et la mise en œuvre d’actions sur les
communications en fonction de l’application à l’ origine du flux au lieu de se baser sur un
numéro de service ou un protocole. Cette solution renforce la politique de sécurité en
appliquant une reconnaissance et un contrôle sur le protocole applicatif
(indépendamment du port).

Optimisation Wan
Optimisation des liaisons WAN pour économiser de la bande passante. Seuls les
modèles Fortigate disposant d'un espace de stockage supportent cette fonction.
Cette technologie permet d’optimiser les flux des applications communiquant au travers
d’un réseau étendu tout en assurant une sécurité contre les différentes formes de
menaces.

Inspection SSL
Déchiffrage des flux pour analyser le contenu et contrer les attaques malware. Seuls
les modèles les plus récents permettent ce traitement.
Cette technologie permet d’augmenter la sécurité et le contrôle de contenu en
inspectant l’intérieur des flux chiffrés.

D'autres fonctions
Possibilité d'utiliser plusieurs liaisons internet, routage par la source, routage
dynamique, équilibrage de charge et haute disponibilité d'une application, gestion
de bande passante, etc.

VII. FortiGate-VM
FortiGate-VM est une solution de Virtual Appliance pour les environnements VMware
qui offre une intégration pour sécuriser les charges de travail dans les réseaux et les
infrastructures logicielles définies dynamiques sans protection et de conformité
des lacunes. 
FortiGate-VM est basée sur la dernière version de FortiOS de Fortinet ; un système
d'exploitation construit à cet effet une sécurité renforcée. 

- Se connecter à Fortigate à la première fois :


Apres l’installation du FORTIGATE VM (version 5.00) comme machine virtuel sous
VMware Workstation. La première étape consiste à s’authentifier.
Ensuite la configuration pour se connecter à l’interface web du Fortigate

1. Présentation du Menu de Fortigate_VM :

System : Configurer les paramètres du système, tels que les interfaces réseau, les
domaines virtuels, les services DNS, les administrateurs, les certificats, haute
disponibilité (HA), l'heure du système, les options mis en système et définir les options
d'affichage sur le gestionnaire basé sur le Web.
Router : Configurer Routage statique, routage dynamique et multicast et afficher l'écran
de l'itinéraire.
Policy : Configuration des politiques du pare-feu, options du protocole et Central NAT
Table.
Firewall Objects : Configurer le contenu de support pour les politiques de pare-feu, y
compris la planification, services, shapers du trafic, les adresses IP virtuelles, et
l'équilibrage de charge.
Security Profiles : Configurer antivirus et de filtrage de messagerie, filtrage web,
protection contre les intrusions, les données de prévention des fuites, le contrôle des
applications, VOIP, ICAP et la réputation du client.
VPN : Configurer IPsec et SSL virtual private networking.
User & Device : Configurer les comptes d'utilisateurs et l'authentification des utilisateurs,
y compris le menu de l'authentification externe comprend également des fonctions de
sécurité des terminaux, tels que la configuration de FortiClient et les modèles de
détection d'application.
WAN Opt. & Cache : Configurer l'optimisation WAN et de mise en cache Web pour
améliorer les performances et la sécurité de passage du trafic entre les emplacements sur
votre réseau étendu (WAN) ou à partir de l'Internet à vos serveurs Web.
WiFi Controller: Configurer l'appareil pour agir en tant que contrôleur de réseau sans fil,
la gestion de la fonctionnalité de point d'accès sans fil (AP) de FortiWiFi et FortiAP
unités.
Log & Report : Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir
les messages du journal et des rapports.

L’onglet système du Fortigate:

Host Name : Le nom de l'unité de FortiGate.


Serial Number : le numéro de série de l'unité de FortiGate. Le numéro de série est
spécifique à cette unité de FortiGate et ne change pas avec les mises à jour du firmware.
HA Status : Le statut de la haute disponibilité (HA) au sein du cluster. Standalone
indique l'unité de FortiGate ne fonctionne pas en mode HA. Actif-passif ou actif-actif
indiquent l'unité de FortiGate fonctionne en mode HA.
System Time : La date et l'heure. Sélectionnez Modifier, pour configurer l'heure
dusystème.
Firmware Version : La version du firmware installé sur le boîtier FortiGate. Sélectionnez
Mise à jour pour télécharger une version différente du micrologiciel.
System Configuration : La période de temps lorsque le fichier de configuration a été
sauvegardé. Backup pour sauvegarder la configuration actuelle Pour restaurer un fichier
de configuration, sélectionnez Restaurer.
Current : Le nombre d'administrateurs actuellement connecté à l'unité de FortiGate.
Administrator : Sélectionnez Détails pour afficher plus d'informations sur chaque
administrateur qui est actuellement connecté.
Uptime : Le temps en jours, heures et minutes depuis l'unité de FortiGate a été démarré
ou redémarré.
Virtual Domain : Statut des domaines virtuels sur votre unité de FortiGate. Sélectionnez
ENABLE ou DESABLE pour modifier le statut de domaines virtuels vedette Si vous
activez ou désactivez les domaines virtuels, votre session prendra fin et vous devrez vous
connecter à nouveau.
Operation Mode : Le mode de fonctionnement actuel de l'unité de FortiGate. Une unité
de FortiGate peut fonctionner en mode NAT ou en mode transparent (Sélectionnez
Modifier pour basculer entre NAT et mode transparent).
 En mode NAT, le FortiGate est visible sur le réseau auquel il est connecté et toutes
ses interfaces se trouvent sur différents sous-réseaux. Chaque interface qui est connectée
à un réseau doit être configurée avec une adresse IP qui est valide pour ce sous-réseau.
Généralement le mode NAT est utilisé lorsque FortiGate est déployé en tant que
passerelle entre les réseaux publics et privés (ou entre tous les réseaux).
FortiGate fonction comme un routeur, il achemine le trafic de routage entre ses
interfaces.
 En mode transparent, le FortiGate est invisible pour le réseau. Toutes ses
interfaces sont sur le même sous-réseau et partager la même adresse IP. Pour connecter
le FortiGate à un réseau, il faut configurer une adresse IP et une route par défaut. On peut
utiliser généralement FortiGate en mode transparent sur un réseau privé derrière un
pare-feu existant ou derrière un routeur. En mode transparent, le FortiGate fonctionne
également comme un pare-feu. Les politiques de sécurité contrôlent les communications
à travers FortiGate à l'Internet et le réseau interne. Aucun trafic ne peut passer à travers
FortiGate jusqu'à ce qu’on ajoute des politiques de sécurité.

Le menu Features du Fortigate :


Fonctions UTM regroupées sous le menu UTM : AntiVirus, Intrusion Protection, Web
Filter et AntiSpam, ainsi que le nouveau Data Leak , Les fonctions de prévention et de
contrôle d'application sont regroupées sous un nouveau menu UTM. Tous les Antivirus,
Intrusion Protection, Web Filter et AntiSpam sont disponibles ici. La plupart des
fonctionnalités IM, P2P et VoIP ont été intégrées au contrôle des applications.
Antivirus : Techniques multiples
Anti-spam : Détecter, étiqueter, bloquer et mettre en quarantaine le spam
Filtrage Web : Contrôler l'accès au contenu Web inapproprié
Protection contre les intrusions : Identifier et enregistrer le trafic suspect
Contrôle d'application : Gérer l'utilisation de la bande passante
Prévention des fuites de données : Empêche la transmission d'informations sensibles
Domaines virtuels : FortiGate unique fonctionne comme des unités multiples
Conception du trafic : Contrôler la bande passante disponible et la priorité du trafic
VPN sécurisé : Assurer la confidentialité et l'intégrité des données transmises
Optimisation WAN : Améliorer les performances et la sécurité
La haute disponibilité : Deux FortiGates ou plus fonctionnent comme un cluster
Conformité aux terminaux : Utiliser FortiClient End Point Security dans le réseau
Enregistrement : Analyse historique et actuelle de l'utilisation du réseau
Authentification d'utilisateur : Contrôler l'accès aux ressources
Analyse et inspection du contenu SSL : l'analyse et à l'inspection des contenus SSL,
permet d’appliquer le filtrage antivirus, le filtrage Web, le filtrage Web FortiGuard, le
filtrage du courrier indésirable, la prévention des fuites de données (DLP) et l'archivage
du contenu aux trafics HTTPS, IMAPS, POP3S et SMTPS.

Système Réseau (network) :


Cette partie décrit comment configurer votre FortiGate pour opérer sur votre réseau.
Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et
des paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces
VLAN et de zones à la configuration réseau du FortiGate.

Interfaces :
En mode NAT/Route, sélectionner System > Network > Interfaces pour configurer
les interfaces FortiGate. Il est possible d’agréger plusieurs interfaces physiques sur une
interface IEEE 802.3ad, aussi de combiner des interfaces physiques en une interface
redondante, d’ajouter et configurer des sous-interfaces VLAN, de modifier la
configuration d’une interface physique, et d’ajouter des interfaces sans.
Paramètres de l’interface :
Pour configurer une interface, sélectionner Système > Réseau > Interface. Cliquer
sur Créer Nouveau pour créer une nouvelle interface. Pour éditer une interface existante,
sélectionner l’icône Editer de cette interface.

Nom de l’interface : Entrer un nom pour l’interface. Il n’est pas possible de modifier le
nom d’une interface existante.
Type : On peut créer des interfaces VLAN, agrégées 802.3ad et redondantes.
Interface : Sélectionner le nom de l’interface physique à laquelle voulez adjoindre une
sous interface VLAN. Une fois créé, le VLAN est repris dans la liste des interfaces en
dessous de son interface physique. Il est impossible de modifier l’interface d’une sous-
interface VLAN existante
ID VLAN : Entrer l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à
cette sous-interface VLAN. Il est impossible de modifier l’ID d’une sous-interface VLAN
existante.
Mode d’adressage : Pour configurer une adresse IP statique d’une interface sélectionner
Manuel et entrer adresse IP/masque de réseau dans le champ prévu à cet effet. L’adresse
IP doit être sous le même sous-réseau que le réseau auquel l’interface se connecte. Deux
interfaces ne peuvent pas avoir leurs adresses IP sur le même sous-réseau.
Accès administratif : Sélectionner les types d’accès administratifs permis sur cette
interface.

L’onglet Config :
HA (HIGH AVAILABILITY) : Dans ce module, une unité de FortiGate sauvegarde
sera installé et connecté à un FortiGate installé précédemment, pour assurer
la redondance si l'unité de FortiGate primaire échoue. Cette configuration, appelée
FortiGate haute disponibilité (HA ), améliore la fiabilité du réseau.
FortiGate (HA) fournit une solution des composants essentiels de réseau d'entreprise,
une fiabilité et des performances accrues. Pour configurer les options HA afin que
FortiGate puisse rejoindre un cluster HA, accéder à System> Config> HA.
Mode : Un mode HA pour le cluster ou renvoyer les unités FortiGate dans le cluster en
mode Standalone. Lors de la configuration d'un cluster, on doit définir tous les membres
du cluster HA dans le même mode HA. Standalone (pour désactiver HA), Active-Passive
ou Active-Active. Si les domaines virtuels sont activés, on sélectionne Active-Passive ou
Standalone.
Device Priority : (Priorité du périphérique) Définisse éventuellement la priorité de l'unité
du cluster. Chaque unité de cluster peut avoir une priorité de périphérique différente.
Pendant la configuration HA, l'unité avec la plus grande priorité de périphérique devient
habituellement l'unité principale.
Dans une configuration de cluster virtuel, chaque unité de cluster peut avoir deux
priorités de périphérique, une pour chaque cluster virtuel. On peut accepter la priorité
par défaut du périphérique lors de la première configuration d'un cluster. Lorsque le
cluster fonctionne, on peut modifier la priorité de périphérique pour les différentes unités
de cluster selon les besoins.
Nom du groupe : Un nom pour identifier le cluster. Le nom de groupe doit être le même
pour toutes les unités de cluster avant que les unités de cluster ne puissent former un
cluster. Après le fonctionnement d'un cluster, on peut modifier le nom du groupe. Le
changement de nom de groupe est synchronisé à toutes les unités de cluster. Le nom de
groupe par défaut est FGT-HA. Lorsque le cluster fonctionne, on peut modifier le nom du
groupe, si nécessaire. Deux clusters sur le même réseau ne peuvent pas avoir le même
nom de groupe.
Mot de passe : Un mot de passe pour identifier le cluster. Le mot de passe doit être le
même pour toutes les unités de cluster avant que les unités de cluster ne puissent former
un cluster. On peut accepter le mot de passe par défaut lors de la première configuration
d'un cluster. Lorsque le cluster fonctionne, on ajoute un mot de passe. Deux clusters sur
le même réseau doivent avoir des mots de passe différents.
Enable Session pickup (Activer la sélection de la session) : Cette option pour activer la
reprise de session afin que, si l'unité principale échoue, toutes les sessions sont
récupérées par l'unité de cluster qui devient la nouvelle unité principale. La reprise de
session est désactivée par défaut. On peut accepter le paramètre par défaut pour la
reprise de session, puis choisir d'activer la reprise de session après le fonctionnement du
cluster.
Port Monitor : Cette option pour activer ou désactiver la surveillance des interfaces
FortiGate pour vérifier que les interfaces surveillées fonctionnent correctement et sont
connectées à leurs réseaux. Si une interface surveillée échoue ou est déconnectée de son
réseau, l'interface quitte le cluster et un basculement de liaison se produit. Ce
basculement provoque le cluster pour rediriger le trafic traité par cette interface vers la
même interface d'une autre unité de cluster qui a toujours une connexion au réseau, cette
unité devient la nouvelle unité primaire. La surveillance des ports (surveillance
d'interface) est désactivée par défaut. Laisser la surveillance des ports désactivée jusqu'à
ce que le cluster fonctionne et activer uniquement la surveillance des ports pour les
interfaces connectées.
Interface de Heartbeat : Cette option pour activer ou désactiver la communication de
pulsation de HA pour chaque interface du cluster et définir la priorité de l'interface de
pulsation. L'interface heartbeat avec la plus haute priorité traite tous les trafics de
pulsation. Si deux ou plusieurs interfaces de pulsation ont la même priorité, l'interface de
pulsation avec la valeur de commande de carte de hachage la plus basse traite tout le
trafic de pulsation.
La configuration par défaut de l'interface Heartbeat est différente pour chaque unité
FortiGate.

SNMP : Le protocole SNMP (Simple Network Management Protocol) permet de


surveiller le matériel sur votre réseau. On peut configurer le matériel, tel que l'agent
FortiGate SNMP, pour signaler les informations système et envoyer des traps (alarmes ou
messages d'événements) aux gestionnaires SNMP. Un gestionnaire SNMP est
généralement un ordinateur exécutant une application qui peut lire les messages
d'interruption et d'événement entrants de l'agent et envoyer des requêtes SNMP aux
agents SNMP. Un autre nom pour un gestionnaire SNMP est un hôte. À l'aide d'un
gestionnaire SNMP, on peut accéder aux interruptions SNMP et aux données de toute
interface FortiGate ou sous-interface VLAN configurée pour l'accès de gestion SNMP.
Agent SNMP : Active l'agent SNMP FortiGate.
Description : Des informations descriptives sur l'unité FortiGate.
Emplacement : L'emplacement physique de l'unité FortiGate.
Contact : Les coordonnées de la personne responsable de cette unité FortiGate.
Appliquer : Enregistrer les modifications apportées à la description, l'emplacement et les
informations de contact.
Créer Nouveau : Pour ajouter une nouvelle communauté SNMP.

Replacement messages:
Aller dans System > Config > Replacement Messages pour modifier les messages de
remplacement et personnaliser le courrier d'alerte et les informations que l'unité
FortiGate ajoute aux flux de contenu tels que les messages électroniques, les pages Web et
les sessions FTP. L'unité FortiGate ajoute des messages de remplacement à une variété de
flux de contenu. Par exemple, si un virus est trouvé dans un message électronique, le
fichier est supprimé de l'e-mail et remplacé par un message de remplacement. Il en va de
même pour les pages bloquées par le filtrage web et le courrier électronique bloqué par le
filtrage anti-spam.
Sytème Admin: l’authentification au FORTIGATE  :
Cette section explique comment configurer les comptes d'administrateur sur FortiGate.
Les administrateurs accèdent à l'unité FortiGate pour configurer son fonctionnement. La
configuration d'usine par défaut a un administrateur, admin. Une fois connecté au
gestionnaire Web ou à l'interface CLI, on peut configurer des administrateurs
supplémentaires avec différents niveaux d'accès aux différentes parties de la
configuration de l'unité FortiGate.
Certificats :
Permet la gestion les certificats de sécurité à partir des listes de l’interface
d’administration web FortiGate. Ce module consiste à générer des requêtes de certificat,
installer des certificats signés, importer le certificat de l’autorité de certification et des
listes de révocation, sauvegarder et restaurer des certificats et leurs clés privées associées.

Certificat locaux :
Les requêtes de certificat et les certificats serveurs installés sont affichés dans la liste des
Certificats Locaux. Après avoir soumis une requête à une autorité de certification (AC),
cette dernière vérifie les informations et enregistre les informations de contact sur un
certificat digital qui contient un numéro de série, une date d’expiration et la clé publique
de l’autorité de certification. L’AC va ensuite signer et envoyer le certificat à installer sur
le boîtier FortiGate. Pour visualiser des requêtes de certificat et/ou importer des
certificats de serveur signés, VPN > Certificats > Local Certificats. Pour visualiser les
détails du certificat, sélectionner l’icône Voir les Détails du Certificat du certificat
concerné.
Certificats CA :
Lorsqu’on applique pour un certificat personnel (administratif) ou de groupe à installer
sur des clients distants, on doit obtenir le certificat racine correspondant et la liste de
révocation (CRL) de l’autorité de certification. Les certificats CA installés sont affichés
dans la liste de Certificats CA. Pour visualiser des certificats racines AC installés ou pour
en importer, sélectionner VPN > Certificats > Certificats CA.
CRL :
Une liste de Révocation de Certificat (CRL) est une liste de souscripteurs de certificat CA
et des informations sur le statut du certificat. Les CRL installés sont affichés dans la liste
CRL. Le boîtier FortiGate utilise des CRL pour s’assurer de la validité des certificats
appartenant à des AC et à des clients distants.
2.Système Router (routage) :

Le routage définit comment les paquets sont envoyés via un chemin d’une source à une
destination : La destination est un sous réseau, non connecté directement, le routeur
relaie les paquets à un autre routeur connu dans la table de routage. Les informations de
la table de routage peuvent être configurées manuellement, automatiquement ou un mix
des deux.
Routes statiques :
On configure des routes statiques en définissant l'adresse IP de destination et le masque
de réseau des paquets qu’on souhaite que le FortiGate intercepte et en spécifiant une
adresse IP (passerelle) pour ces paquets. L'adresse de passerelle spécifie le routeur du
prochain saut auquel le trafic doit être routé.
Politique : Une stratégie de routage permet de rediriger le trafic loin d'une route statique.
On peut utiliser le protocole de trafic entrant, l'adresse ou l'interface source, l'adresse de
destination ou le numéro de port pour déterminer où envoyer le trafic.
Routes dynamiques :
Cette section explique comment configurer des protocoles dynamiques pour acheminer le
trafic via des réseaux importants ou complexes. Les protocoles de routage dynamique
permettent de partager automatiquement des informations sur les routes avec les
routeurs voisins et d'en apprendre d’avantage sur les routes et les réseaux annoncés par
eux. L'unité FortiGate prend en charge ces protocoles de routage dynamique: Routing
Information Protocol (RIP) ; Open Shortest Path First (OSPF) ; Border Gateway Protocol
(BGP).
Protocole RIP : Le protocole d'information de routage (RIP) est un protocole de routage à
vecteur distance destiné à de petits réseaux relativement homogènes. Le FortiGate diffuse
des requêtes de mises à jour RIP depuis chacune de ses interfaces RIP. Les routeurs
voisins répondent avec des informations provenant de leurs tables de routage.
Protocole OSPF : Ouvrir le chemin le plus court (OSPF) est un protocole de routage d'état
de liaison qui est le plus souvent utilisé dans de grands réseaux pour partager des
informations de routage entre routeurs dans le même système autonome.
Protocole BGP : Border Gateway Protocol (BGP) est un protocole de routage Internet
généralement utilisé par les FAI pour échanger des informations de routage entre
différents réseaux ISP. Lorsque BGP est activé sur une interface, FortiGate envoie des
mises à jour de table de routage aux systèmes autonomes voisins connectés à cette
interface chaque fois qu'une partie de la table de routage FortiGate change.
Protocole Multicast : Une unité FortiGate peut fonctionner comme un routeur de la
version 2 de protocole de multidiffusion indépendante (PIM) dans le domaine virtuel
racine. Les applications de serveur de multidiffusion utilisent une adresse de
multidiffusion (Class D) pour envoyer une copie d'un paquet à un groupe de récepteurs.
Les routeurs PIM du réseau s'assurent qu'une seule copie du paquet est acheminée par le
réseau jusqu'à ce qu'elle atteigne une destination de point final. À la destination de point
final, les copies du paquet ne sont effectuées que lorsque cela est nécessaire pour fournir
les informations aux applications clientes de multidiffusion qui demandent le trafic
destiné à l'adresse de multidiffusion.

3.Policy (Politiques de sécurité):


Policy :
Les unités de FortiGate sont employées pour commander l'accès entre l'Internet et un
réseau, permettant typiquement à des utilisateurs sur le réseau de se relier à l'Internet
tout en protégeant le réseau contre l'accès non désiré de l'Internet. Ainsi une unité de
FortiGate doit savoir ce que l'accès devrait être admis et ce qui devrait être bloqué. Aucun
trafic ne peut passer par une unité de FortiGate à moins que spécifiquement ait permis
par une politique de sécurité.
Une fois qu'on permet le trafic, pratiquement toutes les caractéristiques de FortiGate sont
appliquées au trafic permis par des politiques de sécurité. D'une politique de sécurité, on
peut contrôler la translation d'adresse, commander les adresses et les services employés
par le trafic, et appliquer des caractéristiques telles qu'UTM, authentification, et VPNs.

Tout ce qui est exigé est une politique de sécurité simple qui permet au trafic du réseau
interne de se relier à l'Internet. Tant qu’on n'ajoute pas une politique de sécurité pour
permettre le trafic de l'Internet sur le réseau interne, ce réseau est protégé. Quand un
utilisateur se relie à l'Internet, ils s'attendent à une réponse pour une page web par
exemple. En effet, une politique simple permet le trafic bidirectionnel, mais le trafic
entrant est seulement permis en réponse aux demandes envoyées.
DoS Policy :
Les politiques DoS sont principalement utilisés pour appliquer des capteurs DoS au trafic
réseau en FortiGate interface, il est de départ ou d'entrer ainsi que la source et la
destination adresse. Les capteurs DoS sont une caractéristique de détection des
anomalies de trafic pour identifier le trafic réseau qui ne correspond pas aux habitudes et
aux comportements de trafic connus ou communs.
Les politiques DoS examinent le trafic réseau très tôt dans l'ordre des mesures de
protection. De ce fait, les politiques DoS sont une défense très efficace, en utilisant peu de
ressources.
Table NAT centrale :
La table NAT centrale permet de définir et de contrôler la traduction d'adresses effectuée
par l'unité FortiGate. Avec la table NAT, on peut définir les règles qui dictent l'adresse
source ou le groupe d'adresses et quel pool IP l'adresse de destination utilise. L'unité
FortiGate lit les règles NAT dans une méthodologie de haut en bas, jusqu'à ce qu'il frappe
une règle de correspondance pour l'adresse entrante. Cela permet de créer plusieurs
stratégies NAT qui dictent quel pool IP est utilisé en fonction de l'adresse source. Les
politiques NAT peuvent également être réorganisés dans la liste des politiques. Les
stratégies NAT sont appliquées au trafic réseau après une stratégie de sécurité.
SSL / SSH d'inspection :
Une inspection profonde était quelque chose qui soit activé ou non. Maintenant, des
profils individuels de sécurité d'inspection profonde peuvent être créés en fonction des
exigences de la politique. 
Inspection SSL : Secure Sockets Layer (SSL) la numérisation et l'inspection du contenu
permet d'appliquer l'analyse antivirus, filtrage web, FortiGuard Web Filtering, et le
filtrage de messagerie pour le trafic crypté. 
4.Firewall objects (Règles de pare-feu) :
Les objets de pare-feu incluent des adresses, des services, et des programmes qui sont
employés dans les politiques de sécurité pour commander le trafic admis ou bloqué par
une politique de sécurité. Des adresses sont assorties avec la source et l'adresse de
destination des paquets reçus par l'unité de FortiGate. Les adresses de pare-feu
définissent un à un dispositif ou un réseau. On peut également ajouter des Domain Name
au lieu des adresses numériques et employer l'adressage géographique pour spécifier tous
les IP adresses du trafic provenant d'un pays spécifique. Ces outils puissants d'adresse
permettent d'adapter des adresses aux besoins du client pour n'importe quelle condition
de politique de sécurité.
Les unités de FortiGate incluent un large éventail de services réseau prédéfinis qui
peuvent être ajoutés aux politiques de sécurité. On peut également facilement créer des
services des douanes si le réseau emploie les services réseau qui ne sont pas dans la liste
prédéfinie par FortiGate de services.

Adresses :
Un objet d'adresse peut comprendre d'une seule adresse IP, une plage IP ou un nom de
domaine complet (FQDN). L'utilisation d'un FQDN est utile de créer des règles pour les
serveurs Internet et de gérer les politiques dans un environnement grand réseau, parce
que les règles seront toujours à jour tant que le serveur DNS est capable de résoudre
correctement le nom d'hôte.
Service :
A ce module, le contrôle du trafic réseau a été limité à des méthodes telles que la création
de VLANs et des filtres basés sur l'adresse source et la destination. Le protocole TCP/IP
est constitué de différentes couches; Chacun spécialisé dans une tâche spécifique. A
l'intérieur de chaque couche, on a un ou plusieurs protocoles dédiés à accorder des
caractéristiques spécifiques.
Schedules :
Contrôle quand les politiques de sécurité sont en activité. On peut limiter quand une
politique est en activité en s'ajoutant schedules définissant le temps l'où la politique est
en activité. On peut créer recurring schedules qui prennent effet à plusieurs reprises à des
moments précis de certains jours de la semaine.
traffic shapers :
Les objets de pare-feu incluent également des traffic shapers, utilisés pour normaliser des
crêtes et des éclats de trafic pour donner la priorité à certains écoulements au-dessus
d'autres. Une grande variété de trafic formant des options sont disponible, vous
permettant de personnaliser le lissage du trafic en fonction de vos besoins de réseaux et
d'appliquer le trafic personnalisé de mise en forme de toute politique de sécurité.
Virtual IP :
Des objets pare-feu ajoutés aux politiques de sécurité pour effectuer diverses formes de
traduction d'adresses de réseau de destination (D-NAT) y compris l'adresse IP de
destination et de translation de port de destination et la redirection de port.
Load balancing :
L'objet final de pare-feu qui est une extension de l'IPS virtuel pour charger le trafic
d'équilibre passant par l'unité de FortiGate aux serveurs multiples. Programmes
d'équilibrage de la charge de soutiens d'équilibrage de la charge de FortiGate divers, vraie
surveillance de la santé de serveur, persistance, et accélération de SSL.

5.Security profiles (Profile de sécurité) :


Unified Threat Management (UTM) crée des couches de contrôle supplémentaires qui
examinent le contenu du trafic réseau déjà autorisé par les règles relatives aux adresses,
services et horaires comme mentionné précédemment. Les options UTM peuvent être
regroupées en un profil qu’est en mesure d'appliquer à une ou plusieurs politiques de
pare-feu.

Antivirus :
Ce module examine le trafic réseau pour les virus, les vers, les chevaux de Troie et les
logiciels malveillants. Le moteur d'analyse antivirus a une base de données des signatures
de virus qu'il utilise pour identifier les risques de sécurité. En fonction de l'unité de
FortiGate, il est en mesure de choisir entre une base de données de virus régulière, une
version étendue contenant "virus qui ne sont plus observées dans des études de virus
récents", et une version extrême qui est capable de filtrer les virus qui ont été en sommeil
pendant une longue période. Il y a aussi une option pour vérifier graywares (applications
ou fichiers non classées comme des virus qui peuvent encore affecter négativement la
performance des ordinateurs).
La méthode la plus fiable pour détecter les virus est pour le pare-feu pour télécharger un
fichier entier et le scanner une fois que la transmission est terminée. Un message de
remplacement sera envoyé si le fichier est infecté. Le client devra attendre jusqu'à ce que
le balayage antivirus soit terminé. Cependant, pour les gros fichiers, cela pourrait
impliquer un long temps d'attente et l'utilisateur pourrait essayer de relancer le
téléchargement. Pour éviter un tel scénario, FortiGate dispose d'une fonctionnalité
appelée client réconfortant qui transfère lentement le fichier en parties pour maintenir le
téléchargement "actif" sur le côté client. Dès que la vérification antivirus est terminée,
l'utilisateur recevra le dossier complet ou le téléchargement sera interrompu si le fichier
est infecté par un virus.
Les profils antivirus sont des configurations que sont en mesure d'appliquer une politique
de pare-feu et de définir ce que l'antivirus va contrôler et comment le moteur antivirus de
gérer les risques de sécurité. Profils antivirus sont gérés en naviguant dans les profils de
sécurité | Antivirus | Menu Profil.
Web Filtre:
Le filtrage Web est utilisé pour contrôler le type de contenu (sites Web) que nos
utilisateurs sont en mesure d'accéder sur http et https protocole sur l'Internet. Le menu
dédié à ce type de contrôle est le volet Web Filter dans le menu Profils de sécurité.
La gamme de menaces que les filtres Web est plus grande que le blocage des logiciels
malveillants et inclut des contrôles utilisés pour éviter des problèmes tels que l'exposition
des informations confidentielles et d'éviter les problèmes juridiques liés à l'utilisation
illégitime des ressources Internet. Pour obtenir ce type de protection, il y a cinq niveaux
de dépistage suivants, tous gérés en naviguant dans les profils de sécurité | Web Filter |
Menu Profil:
 Filtrage URL: On peut bloquer l'accès à des URL spécifiques ou IPS publics en les
ajoutant à la liste de filtres.
 Filtre web FortiGuard: Il est un service d'abonnement qui classe des milliards de pages
Web pour le rendre plus facile à autoriser ou de bloquer des catégories entières de sites
Web.
 Filtrage de contenu Web: Il bloque les pages Web contenant des mots ou des
expressions spécifiques.
 Filtrage de script Web: On peut configurer l'unité de FortiGate pour bloquer les applets
Java, les cookies et les scripts ActiveX à partir des pages Web HTML.
Contrôle des applications :
Les modifications suivantes ont été apportées pour améliorer la convivialité dans le
gestionnaire basé sur le Web :
 Une nouvelle liste de catégorie a été faite qui apparaît sur la page de capteur, trouvé en
allant à des profils de sécurité> Application Control.
 Signatures d'application peuvent être consultés en sélectionnant Voir l'application
Signatures.
 Remplacements d'application permettent de modifier les mesures prises pour les
signatures / applications spécifiques.
On peut bloquer l'utilisation de certaines applications en bloquant les ports qu'ils
utilisent pour les communications, de nombreuses applications ne pas utiliser les ports
standards pour communiquer. Le contrôle des applications peut détecter le trafic réseau
de plus de 1000 applications, l'amélioration du contrôle sur la communication de
l'application.
Intrusion protection (protection contre les intrusions)  :
Le système de protection contre les intrusions FortiGate (IPS) protège le réseau interne
contre le piratage et d'autres tentatives d'exploitation des vulnérabilités des systèmes.
Plus de 3000 signatures sont capables de détecter les exploits contre divers systèmes
d'exploitation, les types d'accueil, les protocoles et applications. Ces exploits peuvent être
arrêtés avant qu'ils atteignent le réseau interne.
6.System Virtual Private Network VPN :
Permet aux utilisateurs un accès distant à des ressources réseaux, semblable à une
connexion locale. Ce module est utilisé lorsqu’il est nécessaire de transmettre des
données privées dans un réseau public ; il fournit une connexion cryptée point à point,
par conséquent les données ne peuvent être interceptées par des utilisateurs non
autorisés. Différentes méthodes de sécurité pour assurer que seuls les utilisateurs
autorisés peuvent accéder au réseau privé.

IPSec VPN :
FortiOS supporte les tunnels VPN IPSec dont la phase1 est basée sur le protocole IKE ainsi
que les fonctions de NAT Traversal pour la configuration des paramètres du tunnel,
l'authentification, la génération des clefs de chiffrement des données et l’établissement du
tunnel et le protocole ESP pour la transmission des données (ip-protocol 50). Toutes ces
fonctions sont réalisées aux travers des ASIC implantés dans les équipements et
bénéficient ainsi de l'accélération matérielle et d'un niveau de performance accru. Les
standards IPSec sont bien entendu respectés tout en co nservant une configuration par le
support de différents modes de configuration (IKE mode config, mode Policy server pour les
tunnels dialup des utilisateurs nomades, fourniture automatisée des adresses au travers du
tunnel -DHCP over IPSec-).
Le module VPN IPSec permet de configurer les réseaux privés en fonction des contraintes
opérationnelles et autorise l'implémentation des différentes topologies rencontrées :
Site à site : cette architecture permet de relier deux sites distants par un lien public en le
sécurisant. Un tunnel est crée entre les deux sites et les données sont encapsulées. Deux
clients situés sur deux sites distants peuvent alors communiquer simplement sans aucune
modification ou ajout sur aucun des postes. Le type de passerelle distante supportée peut
être en adressage IP statique ou en DNS dynamique.
Maillage complet (full mesh) : il s'agit d'une variante du cas précédent, lorsqu'il y a plus
de 2 sites en cause, il est possible de concevoir une architecture où chaque site est
connecté à l'ensemble des autres réduisant au minimum l'impact de la perte d'un lien.
Concentrateur (hub and spoke) : cette architecture est adaptée aux sites multiples
également. Un site central établit des liaisons VPN avec plusieurs sites distants qui ne
sont pas reliés entre eux. Le site central qui agrège tous les VPN peut servir de
concentrateur pour relayer les données d’un site à un autre. Ainsi les sites distants sont
virtuellement reliés entre eux. Ainsi, une fois le tunnel VPN monté, deux clients situés sur
des réseaux distants peuvent communiquer comme s’ils étaient situés sur le même réseau
LAN. Un client peut naviguer sur internet en utilisant la connexion internet du site
distant.
Client à site : Cette architecture permet de relier un client connecté à l'Internet à distance
au site principal. Le poste client obtient une adresse virtuelle qui peut faire partie du LAN
protégé par la passerelle simulant sa place sur le LAN. La phase1 doit être configurée avec
le type 'utilisateur dialup' car l’adresse IP du client n’est pas connue la plupart du temps.
Un client Dialup peut naviguer sur internet en utilisant le filtrage du Fortigate.

SSL VPN :
Ce module est utilisé pour sécuriser les transactions Web, tunnel HTTPS créé pour
transmettre des données applicatives de manière sécurisée, les clients s’authentifient sur
une page Web sécurisée (Portail VPN SSL).
Cette fonction se décline en deux modes distincts et non exclusifs : le mode web et le
mode tunnel. En mode web tous les flux sont encapsulés dans un flux SSL ne nécessitant
ainsi qu'un navigateur web afin d'initier et d'utiliser le réseau privé virtuel ainsi constitué.
Dans ce mode les données ne sont pas encapsulées dans un tunnel mais reposent
uniquement sur le protocole https sécurisé par la couche SSL. Certaines applications non
compatibles avec le protocole http ne peuvent pas fonctionner. Dans ce cas, le portail SSL
prend le relais qui assure la redirection et l'encapsulation. Les flux supportés par cette
méthode sont : http, https, ftp, rdp, smb/cifs, ssh, telnet, vnc et ping.
Le mode tunnel, n'impose aucune restriction sur les applications utilisables à travers le
lien sécurisé puisque l’ensemble du trafic émis par le poste client est encapsulé dans le
tunnel SSL avant d’être remis en clair par le Fortigate. Une pile IP virtuelle chiffrant tout
le trafic est utilisée nécessitant l’installation d'un client sur le poste nomade, il nécessite
en revanche de disposer des droits d'administration locaux sur le poste. Ce mode
fonctionne avec l’attribution d’une adresse IP spécifique au client. Afin de facilité
l'administration du tunnel, une interface virtuelle est créée. Une route statique ajoutée
sur l’interface virtuelle destination du client permet une communication d’un client VPN
SSL en mode tunnel à un autre, l’établissement d’une session depuis un client sur le LAN
vers un client rattaché au réseau par un tunnel VPN SSL. La navigation sur l'Internet
depuis un client VPN SSL passe par défaut par le boîtier ce qui permet de profiter des
fonctionnalités de filtrage offertes par le Fortigate.

Un pare-feu aura essentiellement ces configurations :

Interface : Où le pare-feu communique avec d'autres périphériques du réseau. Il peut


s'agir de LAN interne, extranet ou Internet. En gros, on va allouer des adresses IP pour
ces interfaces.

Table de routage : Où envoyer les paquets. On peut voir une table de routage sur
presque tous les périphériques pris en charge par le réseau, tels que le routeur ADSL, le
routeur sans fil, les routeurs, le pare-feu et même sur le PC (Mac, Windows, Linux, ...)
 Politique de pare-feu : Quel type de trafic est autorisé ou refusé de passer par le pare-
feu. Il s'agit de la partie principale d'un pare-feu où on peut contrôler l'accès par IP /
sous-réseau. Sur les pare-feu avancés, on peut trouver des composants de stratégie où il
est utilisé pour créer une stratégie de pare-feu, comme le planificateur, la limitation de la
bande passante, l'adresse, le service, etc.
Mode de fonctionnement (NAT ou Transparent) : Si on utilise le Fortigate comme un
pare-feu entre un réseau privé et réseau public, NAT / Route est pour cette situation. Si
on place le pare-feu derrière un autre pare-feu ou dans le réseau interne, le mode
Transparent pourrait être utilisé.

Vous aimerez peut-être aussi