UNIVERSITE SIDI MOHAMED BEN ABDELLAH

FACULTE DES SCIENCES ET TECHNIQUES FES

DEPARTEMENT D’INFORMATIQUE

Projet de Fin d’Etudes

L
Liicceennccee SScciieenncceess eett T
Teecchhnniiqquueess G
Géénniiee IInnffoorrm
maattiiqquuee

A
Addm
miinniissttrraattiioonn dduu F
FoorrttiiG
Gaattee

Lieu de stage : Webhelp Multimedia

Réalisé par : Encadré par :

Bouchmi Amine Pr. Zenkouar Khalid

Soutenu le 11/06/2016 devant le jury composé de :

Pr. K. Zenkouar
Pr. A. Ben Abbou
Pr. A. Boushaba

Année Universitaire 2015-2016

 Dédicaces
A mes chers parents, Aucune dédicace ne saurait exprimer mon respect, mon
amour éternel et ma considération pour les sacrifices que vous avez consenti
pour mon instruction et mon bien être. Je vous remercie pour tout le soutien
et l’amour que vous me portez depuis mon enfance et j’espère que votre
bénédiction m’accompagne toujours. Que ce modeste travail soit l’exaucement
de vos vœux tant formulés, le fruit de vos innombrables sacrifices, bien que je
ne vous en acquitterai jamais assez.

A mon chère frère Soufiane et mes chères sœurs Hanane, Ilhame, Ghizlane,
Kawtare, Horiya, ma famille, mes chers amis Benjeddi Lamyae, Mimi
Houssame, Chahou salah, Mortaki Mohamed, Azzani hamza, Veuillez trouver
dans ce modeste travail l’expression de mon affection.

Bouchmi Amine.
 Remerciements
Après DIEU, je tiens à adresser mes remerciements les plus sincères à tout le
corps professionnel et administratif de la Faculté des Sciences et Techniques de
Fès.

Je souhaite exprimer mon gratitude à mon encadrant de stage Monsieur

K.Zenkouar, enseignant à la FSTF, pour avoir m’encadré et me dirigé, me
conseillé et m’apporté son aide tout au long de ce stage.

Je remercie sincèrement et tout particulièrement nos professeurs Monsieur

R. BENABBOU responsable du département informatique de la FSTF,
Monsieur A. ZAHI responsable de la licence génie informatique de la FST qui
fournissent d’énormes efforts pour ses étudiants, afin qu’ils puissent profiter
d’une formation complète, dans un climat de confiance et de convivialité.

Nous tenons également à adresser nos plus sincères remerciements à l’ensemble

du corps du service technique de Webhelp multimedia Fès, et plus précisément à
mon encadrant professionnel Monsieur Chahou Salah au sein du service
informatique pour avoir accordé son temps précieux, son attention et son énergie
pour nous aider dans la réalisation de ce travail en vue de s’ouvrir davantage et
proprement sur le métier de demain.
 Table des matières

Liste des abréviations .............................................................................................................................. 4

Liste des figures ....................................................................................................................................... 7
Introduction Générale ............................................................................................................................. 9
Chapitre 1 : Présentation de la société Webhelp MultiMedia et cahier des charges ........................... 11
1). Introduction........................................................................................................................... 12
2). Présentation du Web Help .................................................................................................... 12
3). Organigramme....................................................................................................................... 13
4). Architecture réseaux du WebHelp ........................................................................................ 15
5). Pourquoi le pare-feu ............................................................................................................. 18
6). Pourquoi FortiGate ................................................................................................................ 20
6.1) Les fonctionnalités de sécurité à surveiller ....................................................................... 20
6.2) La gestion du réseau.......................................................................................................... 20
6.3) Efficacité ............................................................................................................................ 21
6.4) Performances .................................................................................................................... 21
7). Cahier de charge.................................................................................................................... 21
8). Conclusion ............................................................................................................................. 22
Chapitre 2 : Présentation et Déploiement du FortiGate sur VMware .................................................. 23
1). Introduction........................................................................................................................... 24
2). Présentation du FortiGate ..................................................................................................... 24
3). Déploiement du FortiGate sur VMware ................................................................................ 25
3.1) Configuration de l’adresse IP du port 1 du FortiGate VM ................................................. 25
3.2) Connectez-vous au gestionnaire web du FortiGate .......................................................... 26
3.3) Configuration de port2 ...................................................................................................... 27
3.4) Ajout d’une route par default ........................................................................................... 28
3.5) Configuration du FortiGate DNS servers ........................................................................... 29
3.6) Création du politique......................................................................................................... 29
3.7) configuration d’adresse de la machine virtuelle ubuntu .................................................. 30
3.8) Test de la connexion sur la machine virtuel ubuntu ......................................................... 30
4). Conclusion ............................................................................................................................. 30
Chapitre 3: Elaboration d’un manuel de Fortigate ............................................................................... 31
I. Introduction............................................................................................................................... 32

1
II. Statuts du Système .................................................................................................................... 32
1). Page des statuts................................................................................................................. 32
2). Menus du statut de system ............................................................................................... 32
3). Dashboard ......................................................................................................................... 33
4). System Information widget ............................................................................................... 34
5). Changer le nom d'hôte de l'unité de FortiGate ................................................................. 35
6). Modification du mode de fonctionnement ....................................................................... 36
7). System Resources widget .................................................................................................. 37
8). Changement du firmware ................................................................................................. 37
9). Backing up the configuration ............................................................................................ 38
10). License Information widget ............................................................................................... 38
11). Alert Message Console widget .......................................................................................... 39
12). CLI Console widget ............................................................................................................ 40
13). Syntaxe de la commande .................................................................................................. 40
14). Top Sessions widget .......................................................................................................... 42
III. Système Réseau..................................................................................................................... 43
1). Interface ............................................................................................................................ 43
2). Paramètres de l’interface .................................................................................................. 43
3). Configuration additionnelle des interfaces ....................................................................... 47
4). Aperçu sur les VLAN .......................................................................................................... 47
5). Equipements FortiGate et VLAN ....................................................................................... 48
6). VLAN en mode NAT/Route ................................................................................................ 48
7). VLAN en mode Transparent .............................................................................................. 50
IV. Système DHCP ....................................................................................................................... 52
1). Serveurs et relais DHCP FortiGate ..................................................................................... 52
2). Configuration des services DHCP ...................................................................................... 52
V. Configuration du Système ......................................................................................................... 55
1). Haute Disponibilité (high availability) ............................................................................... 55
2). Messages de remplacement ............................................................................................. 56
VI. Politiques de sécurité et des Règles de pare-feu .................................................................. 58
1). Politiques de sécurité ........................................................................................................ 58
2). Définition des Règles de pare-feu ..................................................................................... 59
3). Comment l'ordre de liste affecte l'assortiment de politique ............................................ 60
4). Visualisation de la liste des règles pare-feu ...................................................................... 61

2
 5). Options des règles pare-feu .............................................................................................. 61
6). Service Pare-feu................................................................................................................. 67
7). Protéger un serveur avec DMZ .......................................................................................... 74
VI. Utilisateurs ............................................................................................................................ 78
1). Configuration de l’authentification d’un utilisateur.......................................................... 78
2). Serveurs Windows AD ....................................................................................................... 78
3). Conclusion ......................................................................................................................... 80
Conclusion Générale ............................................................................................................................. 81
Webographie ......................................................................................................................................... 82

3
 Liste des abréviations

AD: Active Directory

AET: Advanced Evasion Techniques

AH: Authentication Header

AP: Access Point

APT: Advanced Persistent Threats

Asic: application-specific integrated circuit

BGP: Border Gateway Protocol

CLI: l’interface de ligne de commande

CPU: Central processing unit

DHCP: Dynamic Host Configuration Protocol

DLP: Data Leak Prevention

DMZ: demilitarized zone

DNS: Domain Name System

DoS: Denial of Service

DTPS: Dynamic Threat Prevention System

ESP: Encapsulating Security Payload

FAI: Fournisseur d'accès à Internet

FDN: FortiGuard Distribution Network

FTP: File Transfer protocol

GRE: Generic Routing Encapsulation

HA : Haute Disponibilité

HTML : HyperText Markup Language

HTTP : Hypertext Transfer Protocol

ICAP : Internet Content Adaptation Protocol

4
ICMP : Internet Control Message Protocol

ICSA: International Computer Security Association

IDS: intrusion detection system

IM/P2P: Instant Messaging/ peer-to-peer

IPS: Intrusion prevention systems

IPsec: Internet Protocol Security

IPv4: Internet Protocol version 4

IPv6: Internet Protocol version 6

IRC: Internet Relay Chat

ISO: International Organization for Standardization

ISAKMP: Internet Security Association and Key Management Protocol

ITU: International Telecommunication Union

LAN: Local area network

LDAP: The Lightweight Directory Access Protocol

LRC: Learning Records Service

LRS: Label Responsibility Social

L2TPv3: Layer 2 Tunneling Protocol Version 3

MPLS: Multiprotocol Label Switching

MTU: maximum transmission unit

NAT: Network Address Translation

NFS: Network File System

NGFW: Next-Generation Firewall

NNTP: Network News Transport Protocol

NTP: Network Time Protocol

OSI: Open Systems Interconnection

OSPF: Open Shortest Path

5
PADT: PPPoE Active Discovery Terminate

PCI: Payment Card Industry

POP3: Post Office Protocol

PPPoE: point-to-point protocol over Ethernet

PPTP: Point-to-Point Tunneling Protocol

RIP: Routing Information Protocol

SaaS: Software As A Service

SICCAM: Salon International des Centres de Contact et d’Appels au Maroc

SIP: Session Initiation Protocol

SMTP: Simple Mail Transfer Protocol

SNMP: Simple Network Management Protocol

SSL: Secure Sockets Layer

TCP : Transmission Control Protocol

TFTP: Trivial File Transfer Protocol

UDP : User Datagram Protocol

UTM: Unified threat management

UUCP: Unix to Unix copy utility

VDOM: Virtual domains

VIP: virtual IP address

VOIP: Voice over IP

VPLS: Virtual private LAN service

VPN: Virtual private network

WAIS: Wide Area Information Server

WAN: wide area network

6
 Liste des figures

Figure 1: Effectifs Webhelp Maroc ........................................................................................... 13

Figure 2:réseau Webhelp ......................................................................................................... 15
Figure 3: Firewall ...................................................................................................................... 16
Figure 4: Backbone switch........................................................................................................ 18
Figure 5:Comparaison de FortiGate et les autres firewalls ...................................................... 21
Figure 6 : Illustration FortiGate ................................................................................................ 24
Figure 7:Instalation du FortiGate ............................................................................................. 25
Figure 8: illustration de configuration en mode CLI ................................................................. 26
Figure 9 illustartion de connexion au gestionnaire web du FortiGate .................................... 27
Figure 10: illustration du page statut de systeme.................................................................... 27
Figure 11:illustration de configuration de port2...................................................................... 28
Figure 12: ajout d'une route par defaut ................................................................................... 28
Figure 13:Configuration de serveur DSN.................................................................................. 29
Figure 14: Illustration de creation de politique ....................................................................... 29
Figure 15: configuration de l'adresse IP de la machine ........................................................... 30
Figure 16: test de la connexion sur la machine........................................................................ 30
Figure 17: Systeme Information widget ................................................................................... 34
Figure 18:illustration de changement de nom de l'unité FortiGate ........................................ 35
Figure 19:Illustration de changement de mode de Fonctionnement de FortiGate................. 36
Figure 20: illustration de system Ressource widget ................................................................ 37
Figure 21: illustration de changement de Firmware ................................................................ 37
Figure 22: illustration de Backing up the configuration ........................................................... 38
Figure 23: illustration de license Information widgets ............................................................ 39
Figure 24: illustration d'Alert Message Console widgets ......................................................... 39
Figure 25:illustration de command line interface .................................................................... 40
Figure 26:Illustration de Terminologie de la Commande ........................................................ 41
Figure 27: illustration de Top Sessions widgets ....................................................................... 42
Figure 28: illustration des interfaces ........................................................................................ 43
Figure 29: illustration de paramètre de l'interface .................................................................. 44
Figure 30:illustration d'Addressing Mode ................................................................................ 46
Figure 31:illustration de configuration PPPoE d'une interface ................................................ 46
Figure 32: Vlan en Mode Nat/route ......................................................................................... 49
Figure 33:illustration de Vlan transparent ............................................................................... 51
Figure 34: illustration de configuration d'une interface comme relais DHCP ......................... 53
Figure 35:illustration de configuration d'une interface comme un serveur DHCP.................. 53
Figure 36:illustration de la configuration Haute disponinilité ................................................. 55
Figure 37:illustration des message de remplacement ............................................................. 57
Figure 38:illustration d'un message de remplacement ........................................................... 57

7
Figure 39:illustration de visualisation de la liste des règles pare-feu ...................................... 61
Figure 40:illustration d'option de règle ACCEPT en mode NAT/route..................................... 62
Figure 41:illustration de regle ACCEPT en mode Transparent ................................................. 62
Figure 42:illustration d'option de règle DENY .......................................................................... 63
Figure 43:illustration d'option de règle pare-feu IPSec ........................................................... 65
Figure 44:illustration d'option de règle pare-feu VPN SSL....................................................... 66
Figure 45:illustration des règles d'authentification de l’option VPN SSL ................................ 67
Figure 46:illustration de visualisation de la liste des services prédéfinis ................................ 68
Figure 47:illustration de configuration d'un service personnalisé........................................... 74
Figure 48:illustration de configuration de l’interface DMZ ..................................................... 75
Figure 49:illustration de création de première d'IP virtuel ..................................................... 76
Figure 50: illustration de création de deuxieme d'IP virtuel ................................................... 76
Figure 51:illustration de création de la première politique de sécurité ................................. 77
Figure 52: illustration de création de la deuxième politique de sécurité ............................... 77
Figure 53:illustration de résultat .............................................................................................. 78
Figure 54: illustration de configuration de serveur AD ............................................................ 79

8
 Introduction Générale

Les réseaux informatiques sont indispensables au bon fonctionnement général des

entreprises et des administrations. Tout problèmes ou panne dans le système informatique
d’une entreprise peut avoir de lourd conséquences aussi bien financières
qu’organisationnelle. La protection des réseaux s’avère donc nécessaire et indispensable.
Elle permet de protéger le réseau de la société aux différentes menaces (piratage de
données, destruction,…).

Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant essentiel qui est le
firewall. Cet outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de
détecter les tentatives d'intrusion et d'y parer au mieux possible. En plaçant un firewall
limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les
activités se déroulant dans son enceinte.

La société Webhelp a choisi le FortiGate pour protéger son infrastructure réseaux et

le rendre plus puissant contre les attaques malveillantes. Le système FortiGate utilise la
technologie de Dynamic Threat Prevention System (Système Dynamique de Prévention des
Attaques). Celle-ci s’appuie sur les dernières avancées technologiques en matière de
conception de microcircuits, de gestion de réseaux, de sécurité et d’analyse de contenu.

L’objectif principal de mon stage c’est de réaliser un guide d’administration qui est
simple pour faciliter au service technique de la société Webhelp d’administrer le boitier
FortiGate et utiliser ces fonctions pour mieux exploiter ces fonctions à fin d’élaborer une
meilleure solution réseau et de protéger la société contre les menaces malveillantes.

Ce rapport est organisé en trois chapitres :

Le premier chapitre présente une description de la société Webhelp ainsi son

architecture réseau. Le deuxième chapitre présente une description du boitier FortiGate et
le déploiement du FortiGate sur VMware. Le troisième chapitre présente un manuel de
FortiGate et sera divisé en cinq parties. La première partie sera dédiée au statut de système,
la deuxième partie sera dédiée au système réseaux, la troisième partie sera dédiée au

9
système DHCP, la quatrième partie sera dédiée au politique de sécurité et règles de pare-feu
et la cinquième sera dédiée à l’utilisateur.

10
Chapitre 1 : Présentation de la société Webhelp MultiMedia et
cahier des charges

11
 1). Introduction

Dans ce chapitre on va présenter la société Webhelp, ainsi son architectures réseau

et cahier des charges

2). Présentation du Web Help

Webhelp Maroc se positionne aujourd’hui comme leader dans les métiers de la

gestion de la relation client externalisée, et comme le premier employeur de la capitale
chérifienne avec un portefeuille de clients prestigieux.

Créé en juin 2000 par Frédéric Jousset et Olivier Duha, Webhelp est présent au Maroc
depuis 2002.

Avec plus de 6400 employés répartis sur 11 sites et 4 villes du royaume (Rabat,
Kenitra, Fès et Agadir), Webhelp est un acteur majeur dans le domaine de la gestion de la
relation client.

C'est une entreprise d'hommes et de femmes partageant la même volonté de

réussite. Le développement de Webhelp n’a cessé de progresser depuis son implantation au
Maroc :

 2002 : Webhelp Maroc choisit la ville de Rabat pour l’implantation de son premier
site au centre-ville avec un effectif de 400 personnes.
 2003-2006 : Webhelp Maroc est déclaré 1er opérateur off-shore, certifié ISO 9001
version 2000. Webhelp confirme son expertise et son professionnalisme en attirant
de plus en plus de clients. L'entreprise compte alors 2330 salariés, soit une croissance
de plus de 582% depuis le début de son activité. Confirmant son développement,
cette période marque aussi l'ouverture de 4 nouveaux sites : 3 sur Rabat et un
premier site à Fès.
 2006 (11 Mai) : Pionnier dans l'innovation, Webhelp est récompensé pour sa capacité
d’innovation économique et sa capacité à générer de la croissance porteuse d’emploi
en remportant le Grand Prix Maroc Innovation.
 2006 (19 Mai) : Webhelp remporte le « Trophée des extensions » du SICCAM (Salon
International des Centres de Contact et d’Appels au Maroc), pour avoir étendu
davantage ses activités au Maroc
 2007-2008 : En 2007, Webhelp obtient la certification NF 345 pour l'ensemble de
ses centres de contact. La croissance régulière de Webhelp Maroc continue avec
l'ouverture de 2 autres sites à Fès et d'un site à Rabat Hay Ryad.
 2009-2011 : En 2009, Webhelp obtient la certification LRS (Label Responsabilité
Sociale). Webhelp Maroc confirme encore sa position de leader avec plus de 6400
collaborateurs en ouvrant 2 nouveaux sites sur Salé Al Jadida (Technopolis) et
Kenitra.

12
  2012 : Webhelp fête ses 10 ans au Maroc avec l'ouverture de son 11ème site à
Agadir. Son Label Responsabilité Sociale est renouvelé.

Figure 1: Effectifs Webhelp Maroc

3). Organigramme

Direction
Générale

Direction de Direction de
Sites Production

Direction Admi- Direction de

Direction Direction Direction de la la Qualité &
nistrative &
des Technique Communication Méthodes
Financière
Ressources
Humaines

 Présidence et Direction Générale

Le Président et le Directeur Général définissent les priorités et les objectifs de

l'entreprise à court, moyen & long terme, et coordonnent toutes les équipes pour atteindre
ces objectifs.

13
  Direction de Sites

Les Directeurs de Sites pilotent, sur leur site ou domaine de responsabilité, les
activités confiées par nos clients dans le respect des engagements contractuels, ainsi que
des processus et normes du Groupe Webhelp. Pour cela, ils s’appuient sur les Directeurs de
Production.

 Direction de Production

Les Directeurs de Production pilotent le personnel de production et s’assurent qu’il

met en place chaque jour et à chaque contact nos standards de qualité, de
professionnalisme et de qualité relationnelle.

 Direction des Ressources Humaines

Les équipes Ressources Humaines travaillent en forte proximité avec les équipes de
Production. Elles recrutent, forment et assurent la montée en compétence de nos salariés
tout le long de leur carrière. Elles gèrent également l'administration du personnel et les
relations sociales.

 Direction Technique

La Direction Technique s'assure du bon fonctionnement au quotidien de l'entreprise

et notamment de la téléphonie, de l'informatique, des réseaux, du support, et des services
généraux.

 Direction de la Qualité & Méthodes

La Direction de la Qualité & Méthodes est le garant du respect des normes pour
lesquelles Webhelp est certifiée (ISO, EN/NF, LRS, PCI). Elle accompagne les équipes de
production pour l'amélioration de la qualité de leurs projets. Elle met également en place les
outils et processus d'amélioration continue.

 Direction Administrative & Financière

La Direction Administrative et Financière, épaulée par la Direction Audit & Contrôle

de Gestion, joue un triple rôle : concevoir, mettre en œuvre et développer un système
d'information et de gestion financière performant en vue de renforcer l’organisation interne
de Webhelp et d’améliorer sa gestion financière.

 Direction de la Communication

La Direction de la Communication est garante de l’image de marque et de la

notoriété de l’entreprise, en interne comme en externe. Elle assure les relations presse et
gère également l’aspect événementiel : convention, kermesse, soirées, animations et week-
end.

14
 4). Architecture réseaux du WebHelp

Figure 2:réseau Webhelp

IPVPLS
Virtual private LAN service (VPLS) est un service Ethernet multipoint-à-multipoint
fonctionnant au-dessus d'un réseau IP muni d'un mécanisme de tunnel (en général
MultiProtocol Label Switching(MPLS)). Il permet d'interconnecter des LAN de plusieurs sites
distincts qui apparaissent comme étant sur le même LAN Ethernet. En ce qui concerne les
fournisseurs de services, le VPLS s'appuie sur le MPLS pour créer une solution fiable,
évolutive et opérationnellement efficace. S'agissant des entreprises, le VPLS s'appuie sur
l'Ethernet pour fournir un service multipoint simple et économique assorti d'accords sur la
qualité de service pour les différents types de trafic. L'avantage par rapport aux solutions de
Réseau privé virtuel de niveau-2 MPLS ou L2TPv3, qui ne fournissent que des services de
tunnels de niveau 2 en point à point, est que les solutions VPLS fournissent des services de
connectivité multipoint (de tout point à tout point).

15
Router
Un routeur est un élément intermédiaire dans un réseau informatique assurant le
routage des paquets. Son rôle est de faire transiter des paquets d'une interface réseau vers
une autre, au mieux, selon un ensemble de règles. Il y a habituellement confusion entre
routeur et relais, car dans les réseaux Ethernet les routeurs opèrent au niveau de la couche 3
de l'OSI.

FIREWALL
Figure 3: Firewall

Dispositif informatique qui filtre les flux d'informations entre un réseau interne à un
organisme et un réseau externe en vue de neutraliser les tentatives de pénétration en
provenance de l'extérieur et de maîtriser les accès vers l'extérieur.

Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de
différents niveaux de confiance, grâce à l'application de la politique de sécurité et d'un
modèle de connexion basé sur le principe du moindre privilège qui dicte que chaque
fonctionnalité ne doit posséder que les privilèges et ressources nécessaires à son exécution,
et rien de plus. Ainsi en cas de défaillance grave du système, les dommages ne peuvent pas

16
dépasser ce qui est autorisé par les privilèges et les ressources utilisés, ces derniers étant
eux-mêmes limités par la séparation de privilège.

Le filtrage se fait selon divers critères. Les plus courants sont :

 l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau,
etc.).
 les options contenues dans les données (fragmentation, validité, etc.).
 les données elles-mêmes (taille, correspondance à un motif, etc.).
 les utilisateurs pour les plus récents.

Catégories de pare-feu :

 Pare-feu à états

Les pare-feux à états vérifient la conformité des paquets à une connexion en cours.
C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du
précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer
intelligemment les paquets ICMP qui servent à la signalisation des flux IP.

 Pare-feu applicatif

Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un

protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul le protocole
HTTP passe par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que
le débit devient très important. Il est justifié par le fait que de plus en plus de protocoles
réseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.

 Pare-feu personnel

Les pare-feux personnels, généralement installés sur une machine de travail, agissent
comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine
des données. Le but est de lutter contre les virus informatiques et les logiciels espions.

 Portail captif

Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un
réseau de consultation afin de leur présenter une page web spéciale (par exemple :
avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser
accéder à Internet. Ils sont utilisés pour assurer la traçabilité des connexions et/ou limiter
l'utilisation abusive des moyens d'accès. On les déploie essentiellement dans le cadre de
réseaux de consultation Internet mutualisés filaires ou Wi-Fi.

17
Backbone ou Switch serveur

Il constitue le centre névralgique d'un réseau à haut débit. Littéralement épine

dorsale. Dans le contexte des réseaux de télécommunications désigne la partie qui supporte
le gros du trafic, en utilisant les technologies les plus rapides et une grande bande passante
sur des distances importantes.

Backbone relie tous les Switch entre eux est Divisant le réseau en sous-réseaux.

Figure 4: Backbone switch

5). Pourquoi le pare-feu

Les menaces qui ciblent les entreprises ne cessent d’évoluer. Ces attaques sont de
plus en plus ciblées et de plus en plus sophistiquées.

Les malwares et les botnets sont de plus en plus sophistiqués, de plus en plus
discrets, et ne s’arrêtent pas par un simple blocage de ports.

Les APT (Advanced Persistent Threats) s’installent sur le long terme au cœur des
infrastructures. Leur objectif principal consiste à implanter des mécanismes qui permettent
de voler des informations et des identités sans être repérés. C’est la clé du business des
cybercriminels. De fait, ces APT peuvent être actives durant de nombreux moins et parfois
même des années avant d’être détectées et éradiquées.

Les AET (Advanced Evasion Techniques) sont l’un des nouveaux moyens
d’implantation des APTs. Les cybercriminels utilisent différentes techniques d’évasion pour
échapper aux protections réseau. Les techniques les plus simples consistent à altérer les

18
ports standards des applications protégées pour les faire utiliser des ports autorisés, à glisser
des activités interdites au sein d’un protocole autorisé (comme le VPN), à chiffrer les
contenus malveillants. Aujourd’hui, les techniques avancées (AET) combinent plusieurs
mécanismes et divisent les attaques en actions autorisées - car jugées individuellement non
dangereuses - qui, une fois regroupées et combinées, forment une menace.

Les attaques par déni de service (DDoS) sont de plus en plus répandues et désormais
à la portée de n’importe qui. On trouve en effet très aisément sur Internet des services en
ligne façon SaaS (Software As A Service) qui permettent, moyennant quelques euros, de
porter une telle attaque contre n’importe quel serveur, site ou entreprise. La plupart du
temps, ces attaques cherchent à rendre inaccessible un site ou un e-commerce (commerce
électronique) avec parfois du chantage à la clé (arrêt des attaques contre une rançon).
Quelquefois ces attaques sont aussi là pour créer un bruit de fond afin de masquer une
intrusion plus sournoise.

Parce qu’ils sont au cœur du réseau, les pare-feu conservent une place stratégique
pour parer les cybercriminels. Mais face à cette variété de menaces et de techniques
cybercriminelles, les pare-feu classiques ne suffisent plus et ne peuvent plus jouer le rôle de
gardien qu’on leur attribuait autrefois. Les techniques d’évasion permettent de les
contourner bien trop facilement. Car les concepts des pare-feu classiques ont été créés bien
avant l’invasion des malwares et du Web 2.0.

En effet la société Webhelp propose un service d'assistance en ligne en temps réel

pour internautes néophytes. A la demande des clients, ils font rapidement évoluer le
concept de départ en intégrant une offre de centre d'appels qui permet à Webhelp de
proposer des prestations de hotline, de télémarketing, et de traitement de courriers et d'e-
mails. Détecter et conquérir de nouveaux clients, les fidéliser, les assister, optimiser la
gestion de son portefeuille clients, exploiter au mieux ses bases de données. Webhelp
adresse l'ensemble des besoins en matière de relation client au travers des différents canaux
de contact (voix, e-mail, chat...).

Les métiers de Webhelp sont :

 La conquête : acquisition, prise de commande, télévente / télémarketing, prise de

rendez-vous.
 La gestion : assistance commerciale, assistance technique, service client / SAV,
recouvrement.
 La fidélisation : gestion des réclamations, rétention, vente additionnelle.

Ces dernier sont risquée par les attaques qu’on citée avant, c’est pour cela on a
besoin de protéger le réseau de la société contre ces attaques.

19
 6). Pourquoi FortiGate

Avant de choisir un UTM/NGFW, il faut s’intéresser à différents points. Tout d'abord,

sa richesse fonctionnelle, autrement dit les différents boucliers incorporés et leur degré
d’intelligence. Ensuite, Il faut s’intéresser à sa puissance, autrement dit sa capacité à gérer
assez d’utilisateurs pour satisfaire aux besoins de l’entreprise. Enfin, il faut s’intéresser à ses
fonctionnalités de gestion du réseau et à la convivialité de son interface utilisateur.

6.1) Les fonctionnalités de sécurité à surveiller

Parmi les fonctionnalités que l’on peut croiser sur les UTM/NGFW et dont la présence
doit être vérifiée lors des choix, on retiendra :

 IPS intégré : Tous les UTM/NGFW intègrent un système de prévention et de

détection d’intrusion (IPS/IDS) s’appuyant en général sur un mécanisme de règles et
de signatures prédéfinies.
 Contrôle applicatif : l’une des grandes particularités des UTM/NGFW est de
comprendre la notion d’application.
 Bouclier Anti-DDOS : Les attaques par déni de service sont un grand classique.
Certains UTM/NGFW fournissent des filtres spéciaux et combinent les boucliers IPS,
Réputation et Géolocalisation des IP pour nettoyer les flux entrants.
 Antivirus et détection APT : Aujourd’hui quasiment tous les UTM/NGFW embarquent
un « antivirus » intégré afin de détecter et bloquer les malwares et les APT.
 Antispam : la plupart des UTM/NGFW intègrent également un antispam. Celui-ci
analyse tous les emails entrant et élimine automatiquement ceux réputés comme
dangereux.
 Fonction DLP (Data Leak Prevention) : certains UTM disposent d'une fonctionnalité
qui interdit à certains utilisateurs de transférer des informations sensibles.
 Contrôle des accès mobile et VPN : Aujourd’hui les accès au système d’information
depuis « l’extérieur » sont indispensables et permanents.
 Contrôle des utilisateurs : Les UTM/NGFW savent aussi contrôler les utilisateurs et
permettent de définir des règles en fonction des utilisateurs.

6.2) La gestion du réseau

Le pare-feu est un élément clé du réseau par lequel gravite tout le trafic à protéger.
Un UTM/NGFW compte en général plusieurs ports Ethernet qui peuvent être attribués à
différents VLANs (réseaux virtuels) ou utilisés comme un Switch filtrant d’un réseau unique.

20
 6.3) Efficacité

L'efficacité commence par vérifier comment le Pare-feu nouvelle génération gère les
flux chiffrés (typiquement https) de plus en plus utilisés dans tous les échanges y compris
ceux relevant du trafic cybercriminel. Le boîtier doit être en mesure de déchiffrer ces flux
pour que ses fonctionnalités antivirales, antispam et IPS puissent fonctionner. Certains
boîtiers peuvent se révéler aveugles sur de tels flux. D'autres vont imposer l'installation d'un
certificat sur chaque poste.

6.4) Performances

La performance d’un pare-feu se mesure à sa bande passante, autrement dit la

quantité de données qu'il peut analyser et transférer par seconde. Celle-ci influence
directement le nombre d’utilisateurs simultanément supportés et devrait - dans tous les cas
de figure - être supérieure à la bande passante Internet de votre entreprise.

La figure ci-dessous montre une comparaison entre le FortiGate et les autres Firewall :

Figure 5:Comparaison de FortiGate et les autres firewalls

La société Webhelp a choisi le FortiGate non seulement il est le leader mondial de la sécurité
UTM mais aussi il assure un débit pare-feu pouvant atteindre 16 Go/s et aussi une Souplesse
et simplicité de déploiement ainsi que La maîtrise il garantit Une sécurité robuste et
exhaustive et Une gestion des menaces performante et accélérée.

7). Cahier de charge

L’administration du pare-feu est en effet un souci quotidien. Un pare-feu installé une

première fois et oublié perd très rapidement toute efficacité. Il faut adapter les règles à
l’évolution des menaces, à l’évolution de l’infrastructure, à l’évolution du parc de machines,
à l’évolution des applications et des usages.

21
 Les administrateurs se contentent parfois de rajouter des règles au fur et à mesure
des incidents et de l’évolution des usages. Or la multiplication des règles conduit vite à
l’effondrement des performances voire parfois à rendre tout le système totalement
inopérant. Il faut savoir adapter les règles et supprimer celles devenues inutiles.

C’est pour cela la société Webhelp veut un guide d’administration qui est simple et
applicable pour faciliter au service technique d’administrer le boitier FortiGate et utiliser ces
fonctions pour évoluer la sécurité réseau de la société et de la protéger contre les menaces
malveillants.

Objectif : réaliser un guide d’administration pour le boitier FortiGate.

8). Conclusion

Dans ce chapitre on a pu présenter la société WebHelp ainsi que le cahier de charges

le chapitre suivant traitera le boitier FortiGate ainsi le déploiement de FortiGate sur
VMware.

22
Chapitre 2 : Présentation et Déploiement du FortiGate sur VMware

23
 1). Introduction

Dans ce chapitre on va présenter le Boitier FortiGate UTM, ainsi le déployé sur

Vmware.

2). Présentation du FortiGate

Figure 6 : Illustration FortiGate

Les boîtiers FortiGate Unified Threat Management System (Système de Gestion

Unifiée des Attaques) sécurisent les réseaux, réduisent les mauvais usages et abus réseaux
et contribuent à une utilisation plus efficace des ressources de communication, sans
compromettre la performance de votre réseau. La gamme a reçu les certifications ICSA pare-
feu, VPN IPSec et antivirus.

L’Appliance FortiGate est un boîtier entièrement dédié à la sécurité. Il est convivial et

fournit une gamme complète de services, que ce soit:

 au niveau des applications (comme le filtrage antivirus, la protection contre les

intrusions, les filtrages antispam, de contenu web et IM/P2P).
 au niveau du réseau (comme le pare-feu, la détection et prévention d’intrusion,
les VPN IPSec et VPN SSL et la qualité de service).
 Au niveau de l’administration (comme l’authentification d’un utilisateur, la
journalisation, les rapports du FortiAnalyzer, les profils d’administration, l’accès
sécurisé au web et l’accès administratif CLI et SNMP).

Le système FortiGate utilise la technologie de Dynamic Threat Prevention System

(Système Dynamique de Prévention des Attaques) (DTPS). Celle-ci s’appuie sur les dernières
avancées technologiques en matière de conception de microcircuits, de gestion de réseaux,

24
de sécurité et d’analyse de contenu. Cette architecture unique basée sur un Asic permet
d'analyser en temps réel les contenus applicatifs et les comportements du réseau.

3). Déploiement du FortiGate sur VMware

Figure 7:Instalation du FortiGate

3.1) Configuration de l’adresse IP du port 1 du FortiGate VM

1. Dans votre gestionnaire de l'hyperviseur, redémarrer le FortiGate VM et accéder à la

fenêtre de la console.

2. Au FortiGate VM invite de connexion entrez le nom d'utilisateur admin. Par défaut il

n'y a pas mot de passe. Il suffit d'appuyer sur Retour.

3. Utilisation des commandes CLI de configurer l'adresse port1 IP et le masque. En

outre, l'accès HTTP doit être activé.

25
Figure 8: illustration de configuration en mode CLI

3.2) Connectez-vous au gestionnaire web du FortiGate

Lorsque vous avez configuré l'adresse IP port1 et le masque, lancez un navigateur

Web et saisissez l'adresse IP que vous avez configuré pour port1. À la page de connexion,
entrez le nom d'utilisateur admin et Le mot de passe par défaut est aucun mot de passe et
sélectionnez Connexion.

26
Figure 9 illustartion de connexion au gestionnaire web du FortiGate

La page du statut système apparaît avec une boîte de dialogue de licence d'évaluation:
Figure 10: illustration du page statut de système

Chaque VM Fortinet inclut une licence d'essai de 15 jours. Pendant ce temps, la

machine virtuelle FortiGate fonctionne en mode d'évaluation. Avant d'utiliser le FortiGate
VM vous devez entrer le fichier de licence que vous avez téléchargé le Service à la clientèle
et site Web du support lors de l'inscription.

3.3) Configuration de port2

Allez au System > Network > Interfaces et cliquez sur édit l’interface.

27
Figure 11:illustration de configuration de port2

Si votre FortiGate se connecte directement à votre FAI, réglez Mode d'adressage sur
Manuel et définissez le IP / Netmask à l'adresse IP publique de votre FAI vous a fourni.

Si vous avez un équipement entre votre FortiGate et l'Internet (par exemple, un

routeur), puis le wan1 IP utilisera une adresse IP privée.

Si cet équipement utilise DHCP, définissez Mode d'adressage DHCP pour obtenir une
adresse IP attribuée à l'interface.

Si l'équipement de FAI ne pas utiliser DHCP, votre FAI peut vous fournir la bonne
adresse IP privée à utiliser pour l'interface.

3.4) Ajout d’une route par default

Allez au Router > Static > Static Routes and Créer une nouvelle route.

Figure 12: ajout d'une route par defaut

28
 Définir la destination IP / Masque à 0.0.0.0/0.0.0.0, l'appareil à l'interface côté
Internet, et la Gateway à la passerelle fournies par votre FAI ou au routeur de saut suivant,
en fonction de votre réseau exigences.

3.5) Configuration du FortiGate DNS servers

Pour changer l’adresse du serveur DNS, allez au System> Network > DNS et ajouter
Les serveurs DNS primaires et secondaires.

Figure 13:Configuration de serveur DSN

3.6) Création du politique

Allez au Policy & Objects > Policy > IPv4 et de créer une nouvelle politique.

Définir l'interface entrant à l'interface source et l'interface de sortie à l'interface

destination.

Figure 14: Illustration de creation de politique

29
 3.7) configuration d’adresse de la machine virtuelle ubuntu
Figure 15: configuration de l'adresse IP de la machine

3.8) Test de la connexion sur la machine virtuel ubuntu

Figure 16: test de la connexion sur la machine

4). Conclusion

Suite à ce chapitre on a pu présenter comment déployé FortiGate sur VMware. Le

chapitre suivant présentera un manuel de FortiGate qui est devisé en cinq parties : statut de
système, système réseaux, système DHCP, politique de sécurité et règles de pare-feu et la
dernière sera dédiée à l’utilisateur.

30
Chapitre 3: Elaboration d’un manuel de FortiGate

31
 I. Introduction
Dance chapitre on va présenter un guide d’utilisation de FortiGate et ces principe
Fonctionnalité.

II. Statuts du Système

Ce chapitre décrit la page Statut du Système, le tableau de bord de votre FortiGate.
On y retrouve les statuts en cours du boîtier FortiGate, y compris le numéro de série, l’usage
des ressources du système, les informations sur la licence FortiGuard, les messages d’alerte
et les informations sur la session.

1). Page des statuts

La page Statut du Système, également appelée « tableau de bord » reprend les
statuts opérationnels en cours du système. Tous les administrateurs FortiGate dont les
profils d’accès prévoient les droits en lecture de la configuration du système peuvent
visualiser les informations sur les statuts du système.

Les administrateurs FortiGate dont les profils d’accès prévoient les droits en écriture
de la configuration du système peuvent modifier ou mettre à jour les informations du boîtier
FortiGate.

A tout moment, vous pouvez sélectionner Système > Statut pour visualiser la page
Statut du Système. Pour visualiser cette page, votre profil d’accès doit prévoir les droits en
lecture de la configuration du système. Si vous avez également les droits en écriture de la
configuration du système, vous pouvez modifier les informations du système et mettre à
jour les bases de connaissances antivirus et IPS FortiGuard.

2). Menus du statut de system

Page du statut de permet d'accéder system aux options de configuration pour la
plupart des caractéristiques FortiOS des menus principaux. Le gestionnaire Web contient les
menus principaux suivants :

System :

Configurer les paramètres du système, tels que les interfaces réseau, les domaines
virtuels, les services DHCP et DNS, les administrateurs, les certificats, haute disponibilité
(HA), l'heure du système, les options mis en système et définir les options d'affichage sur le
gestionnaire basé sur le Web.

Router :

Configurer Routage statique, routage dynamique et multicast et afficher l'écran de

l'itinéraire.

Policy :

Configuration du firewall policies, options du protocole et Central NAT Table.

32
Firewall Objects :

Configurer le contenu de support pour les politiques de pare-feu, y compris la

planification, services, shapers du trafic, les adresses IP virtuelles, et l'équilibrage de charge.

Security Profiles :

Configurer antivirus et de filtrage de messagerie, filtrage web, protection contre les

intrusions, les données de prévention des fuites, le contrôle des applications, VOIP, ICAP et
la réputation du client.

VPN :

Configurer IPsec et SSL virtual private networking.

User & Device :

Configurer les comptes d'utilisateurs et l'authentification des utilisateurs, y compris le

menu de l'authentification externe comprend également des fonctions de sécurité des
terminaux, tels que la configuration de FortiClient et les modèles de détection d'application.
WAN Opt. & Cache :

Configurer l'optimisation WAN et de mise en cache Web pour améliorer les

performances et la sécurité de passage du trafic entre les emplacements sur votre réseau
étendu (WAN) ou à partir de l'Internet à vos serveurs Web.

WiFi & Switch Controller:

Configurer l'appareil pour agir en tant que contrôleur de réseau sans fil, la gestion de
la fonctionnalité de point d'accès sans fil (AP) de FortiWiFi et FortiAP unités.
Log & Report :

Configurer la journalisation et alerte e-mail ainsi que des rapports. Voir les messages
du journal et des rapports.

3). Dashboard
Les différents menus du tableau de bord fournit un moyen d'accéder à des
informations sur les activités et les événements réseau, ainsi que de configurer les
paramètres de base du système. Vous pouvez facilement ajouter plus de tableaux de bord et
de modifier celles qui existent déjà pour voir facilement le contenu dont vous avez besoin.

Chaque information "morceau" se trouve au sein d'un widget. Widgets offrent un

moyen facile et rapide pour afficher une variété d'informations, telles que les informations
statistiques ou l'activité du réseau. Il y a une sélection de widgets à choisir en sélectionnant
l'option Widgets.

33
 Les administrateurs doivent avoir lire et écrire des privilèges pour l'ajout et la
configuration des tableaux de bord et des widgets.

3.1) Ajout du dashboard et widgets

Dashboards que vous créez sont automatiquement ajoutés dans le statut par défaut
et d'utilisation des tableaux de bord. Vous pouvez ajouter, supprimer ou renommer un
tableau de bord, peu importe que ce soit par défaut.

Vous pouvez également réinitialiser le menu du tableau de bord à ses paramètres par
défaut en sélectionnant Réinitialiser Dashboards.

Pour ajouter Dashboard:

1. Allez au System > Dashboard > Status.

2. Sélectionner Dashboard, situé en haut à gauche de la page.

3. Sélectionner Add Dashboard.

4). System Information widget

System Information widget affiche des informations d'état sur l'unité de FortiGate et
constitue le point d'accès pour mettre à jour le firmware et la sauvegarde des
configurations.

Figure 17: Systeme Information widget

 Host Name : Le nom de l'unité de FortiGate.

 Serial Number : le numéro de série de l'unité de FortiGate. Le numéro de série est
spécifique à cette unité de FortiGate et ne change pas avec les mises à jour du
firmware.
 Operation Mode : Le mode de fonctionnement actuel de l'unité de FortiGate. Une
unité de FortiGate peut fonctionner en mode NAT ou en mode transparent.
(Sélectionnez Modifier pour basculer entre NAT et mode transparent).

34
  HA Status : Le statut de la haute disponibilité (HA) au sein du cluster. Standalone
indique l'unité de FortiGate ne fonctionne pas en mode HA. Actif-passif ou actif-actif
indiquent l'unité de FortiGate fonctionne en mode HA.
 System Time : La date et l'heure. Sélectionnez Modifier, pour configurer l'heure du
système.
 Firmware Version : La version du firmware installé sur le boîtier FortiGate.
Sélectionnez Mise à jour pour télécharger une version différente du micrologiciel.
 System Configuration : La période de temps lorsque le fichier de configuration a été
sauvegardé. Backup pour sauvegarder la configuration actuelle Pour restaurer un
fichier de configuration, sélectionnez Restaurer.
 Current : Le nombre d'administrateurs actuellement connecté à l'unité de FortiGate.
 Administrator : Sélectionnez Détails pour afficher plus d'informations sur chaque
administrateur qui est actuellement connecté.
 Uptime : Le temps en jours, heures et minutes depuis l'unité de FortiGate a été
démarré ou redémarré.
 Virtual Domain : Statut des domaines virtuels sur votre unité de FortiGate.
Sélectionnez ENABLE ou DESABLE pour modifier le statut de domaines virtuels
vedette Si vous activez ou désactivez les domaines virtuels, votre session prendra fin
et vous devrez vous connecter à nouveau.

5). Changer le nom d'hôte de l'unité de FortiGate

Le nom d'hôte apparaît dans le nom d'hôte de suite, dans le widget de System
Information. Le nom d'hôte apparaît également à l'invite de CLI lorsque vous êtes connecté à
cette dernière et comme le nom du système SNMP.
Pour modifier le nom d'hôte de l'unité de FortiGate, dans le widget du Système
d'information, sélectionnez Change dans le nom de l’hôte. Les seuls administrateurs qui
peuvent changer le nom d'hôte d'une unité FortiGate sont des administrateurs dont les
profils d'administration d'autoriser l'accès configuration du système d'écriture. Si l'unité de
FortiGate fait partie d'un cluster HA, vous devez utiliser un nom d'hôte unique pour
distinguer l'unité de FortiGate des autres dans le cluster.

Figure 18:illustration de changement de nom de l'unité FortiGate

35
 6). Modification du mode de fonctionnement
Unités FortiGate peuvent fonctionner en NAT ou en mode transparent. À partir du
widget du tableau de bord Système d'information, vous pouvez modifier le mode de
fonctionnement de votre unité de FortiGate ou pour une VDOM et effectuer la configuration
de réseau suffisante pour vous assurer que vous pouvez connecter au page statut du
système dans le nouveau mode

Figure 19:Illustration de changement de mode de Fonctionnement de FortiGate

 Mode NAT

En mode NAT, le FortiGate est visible sur le réseau auquel il est connecté et toutes
ses interfaces se trouvent sur différents sous-réseaux. Chaque interface qui est connectée à
un réseau doit être configurée avec une adresse IP qui est valide pour ce sous-réseau.

Vous utiliserez généralement le mode NAT lorsque l'unité de FortiGate est déployé
en tant que passerelle entre les réseaux publics et privés (ou entre tous les réseaux).

FortiGate fonction comme un routeur, il achemine le trafic de routage entre ses

interfaces. Les politiques de sécurité contrôlent la communication à travers l'unité de
FortiGate à la fois sur Internet et entre les réseaux internes. In NAT mode, the FortiGate unit
performs network address translation before IP packets are sent to the destination network.
For example, a company has a FortiGate unit as their interface to the Internet. L'unité de
FortiGate agit également comme un routeur à plusieurs sous-réseaux au sein de l'entreprise.
Dans cette situation, l'unité de FortiGate est réglé sur le mode NAT et dispose d'un port
désigné pour l'Internet, wan1, avec une adresse 172.20.120.129, qui est l'adresse IP
publique. Les segments de réseau internes sont derrière le boîtier FortiGate et invisible à
l'accès du public, par exemple le port 2 à une adresse de 10.10.10.1. L'unité de FortiGate
traduit les adresses IP qui le traverse pour acheminer le trafic vers le bon sous-réseau ou à
Internet.

 Le mode transparent

En mode transparent, le FortiGate est invisible pour le réseau. Toutes ses interfaces
sont sur le même sous-réseau et partager la même adresse IP. Pour connecter l'unité de
FortiGate à votre réseau, tout ce que vous avez à faire est de configurer une adresse IP et
une route par défaut. Vous pouvez utiliser généralement l'unité de FortiGate en mode
transparent sur un réseau privé derrière un pare-feu existant ou derrière un routeur. En
mode transparent, le FortiGate fonctionne également comme un pare-feu. Les politiques de

36
sécurité contrôlent les communications à travers l'unité de FortiGate à l'Internet et le réseau
interne. Aucun trafic ne peut passer à travers l'unité de FortiGate jusqu'à ce que vous
ajoutez des politiques de sécurité.

Par exemple, la société dispose d'un routeur ou un autre pare-feu en place. Le réseau
est suffisamment simple pour que tous les utilisateurs soient sur le même réseau interne. Ils
ont besoin de l'unité de FortiGate pour effectuer le contrôle des applications, antivirus,
protection contre les intrusions et l'analyse du trafic similaire. Dans cette situation, l'unité de
FortiGate est en mode transparent. Le trafic passant par l'unité de FortiGate ne change pas
l'adressage du routeur vers le réseau interne. Les politiques de sécurité et des profils de
sécurité définissent le type d’analyse de l'unité de FortiGate effectue sur le trafic entrant
dans le réseau.

7). System Resources widget

Le widget du System Ressources affiche l’utilisation des ressources de base de

FortiGate. Ce widget affiche les informations de la CPU et de la mémoire soit en temps réel
ou des données historiques. Pour les unités FortiGate avec plusieurs processeurs, vous
pouvez afficher l'utilisation du processeur comme une moyenne de tous les processeurs ou
chacun individuellement.

Figure 20: illustration de system Ressource widget

8). Changement du firmware

Pour modifier le firmware sélectionner le lien de mise à jour sur la ligne la version du
firmware.

Figure 21: illustration de changement de Firmware

37
Upgrade From : Sélectionnez la source dans la liste des sources disponibles vers le bas du
firmware.

Upgrade File : Accédez à l'emplacement de l'image du microprogramme sur votre disque dur
local. Ce champ est disponible pour le disque dur local et USB seulement.

9). Backing up the configuration

Sélectionnez Sauvegarde dans la ligne de configuration du système, pour sauvegarder
le fichier de configuration du firmware sur un ordinateur local, disque USB ou à une unité de
FortiManager. Vous devez toujours sauvegarder votre configuration chaque fois que vous
apportez des modifications à la configuration de l'appareil ou d'effectuer des mises à jour du
firmware ou des changements.

Figure 22: illustration de Backing up the configuration

10). License Information widget

Le widget License d'information affiche l'état de votre contrat de support technique
et abonnements FortiGuard. L'unité de FortiGate met à jour les informations de licence des
indicateurs d'état automatiquement lors de la connexion au réseau de distribution
FortiGuard (FDN). Abonnements FortiGuard indicateurs d'état sont verts si le FDN était
accessible et la licence était valable au cours de la dernière tentative de connexion, gris si le
boîtier FortiGate ne peut pas se connecter au FDN, et orange si le FDN est accessible.

38
Figure 23: illustration de license Information widgets

 Support Contract : Affiche des détails sur votre contrat actuel Fortinet Support.
 FortiGuard Services : Affiche vos licences actuelles pour les services de FortiGuard.
Sélectionnez Renouveler pour mettre à jour l'une des licences.
 FortiClient Software : Affiche les détails de licence FortiClient et le nombre de registre
et les utilisateurs de FortiClient autorisés. Vous pouvez sélectionner Détails pour plus
d'informations sur les utilisateurs actuels FortiClient
 Virtual Domain : Affiche le nombre maximum de domaines virtuels de l'unité de
FortiGate supporte avec la licence actuelle. Pour les modèles haut de gamme, vous
pouvez sélectionner l'achat Plus lien pour acheter une clé de licence par un appui
technique Fortinet pour augmenter le nombre maximum de VDOMs.
11). Alert Message Console widget
Le widget Console Alert Messages vous permet de surveiller les événements du
système sur votre unité de FortiGate tels que les changements de firmware, les événements
de sécurité réseau, ou des événements de détection de virus. Chaque message indique la
date et l'heure de l'événement.
Figure 24: illustration d'Alert Message Console widgets

39
 12). CLI Console widget

Le widget CLI Console vous permet d'accéder à la CLI sans quitter le gestionnaire
basé sur le Web.

Les deux commandes situées sur la barre de titre du widget CLI Console sont
Personnaliser et Détacher.

• Détachez déplace la console CLI widget dans une fenêtre pop-up que vous pouvez
redimensionner et repositionner. Sélectionnez Joindre. Pour déplacer le widget de retour à
la page de la planche de bord.

• Personnaliser vous permet de modifier l'apparence de la console en sélectionnant les

polices et couleurs pour le texte et les couleurs pour le texte et le fond

Figure 25:illustration de command line interface

13). Syntaxe de la commande

Lors de la saisie d'une commande, l'interface de ligne de commande (CLI) exige que
vous utilisez la syntaxe correcte et se conformer aux contraintes d'entrée attendues. Il
rejettera les commandes non valides. Documentation Fortinet utilise les conventions
suivantes pour décrire la syntaxe de commande valide

13.1). Terminologie

Chaque ligne de commande se compose d'un mot de commande qui est

généralement suivie par des mots pour les données de configuration ou un autre élément
spécifique que la commande utilise ou affecte: obtenir administrateur système Pour décrire
la fonction de chaque mot dans la ligne de commande, surtout si cette nature a changé
entre les versions de firmware, Fortinet utilise des termes avec les définitions suivantes.

40
Figure 26:Illustration de Terminologie de la Commande

• command : Un mot qui commence la ligne de commande et indique une action que l'unité
de FortiGate doit effectuer sur une partie de la configuration ou de l'hôte sur le réseau,
comme config ou exécuter. Ensemble avec d'autres mots, tels que les champs ou les valeurs,
cette fin lorsque vous appuyez sur la touche Entrée, il forme une ligne de commande. Les
exceptions incluent les lignes de commande multilignes, qui peuvent être saisis à l'aide d'une
séquence d'échappement. Lignes de commande valides doivent être sans ambiguïté si
abrégée. Mots facultatifs ou d'autres permutations de ligne de commande sont indiqués par
la notation de syntaxe.

• sub-command : Une sorte de commande qui est disponible uniquement lorsque imbriqué
dans le cadre d'une autre commande. Après avoir entré une commande, ses sous-
commandes applicables sont disponibles pour vous jusqu'à ce que vous quittez le champ
d'application de la commande, ou jusqu'à ce que vous descendez d'un niveau
supplémentaire dans une autre sous-commande. Dentelure est utilisée pour indiquer les
niveaux de commandes imbriquées.

Toutes les commandes de haut niveau ont des sous-commandes. Sous-commandes

disponibles varient selon leur champ d'application contenant.

• Object : Une partie de la configuration qui contient des tables ou des champs. lignes de
commande valides doivent être suffisamment précis pour indiquer un objet individuel.

• table : Un ensemble de champs qui est l'un des multiples éventuellement des ensembles
similaires qui ont chacun un nom ou un numéro, comme un compte d'administrateur, de la
politique, ou de l'interface réseau. Ces ensembles nommés ou numérotées sont parfois
référencés par d'autres parties de la configuration qui les utilisent.

• field : Le nom d'un paramètre, comme ip ou nom d'hôte. Les champs dans certaines tables
doivent être configurés avec des valeurs. Défaut de configurer un champ obligatoire se
traduira par un message d'erreur de configuration d'objet non valide, et l'unité de FortiGate
rejettera la table non valide.

• value : Un chiffre, une lettre, l'adresse IP, ou tout autre type d'entrée qui est
habituellement votre configuration réglage tenue par un champ. Certaines commandes

41
nécessitent cependant des valeurs d'entrée multiples qui ne peuvent être nommés, mais
sont simplement entrés dans un ordre séquentiel dans la même ligne de commande. types
d'entrée valides sont indiqués par la notation contrainte.

• option : Une sorte de valeur qui doit être un ou plusieurs mots à partir d'un ensemble fixe
d'options.

14). Top Sessions widget

The Top Sessions widget sondages l'unité FortiGate pour obtenir des informations de
session pour IPv4 ou les adresses IPv6, ou les deux. Redémarrage de l'unité de FortiGate se
réinitialise les statistiques Top Session à zéro. Lorsque vous sélectionnez Détails pour
afficher la liste des sessions en cours, une liste de toutes les sessions actuellement traitées
par l'unité de FortiGate.
Figure 27: illustration de Top Sessions widgets

42
III. Système Réseau
Cette partie décrit comment configurer votre FortiGate pour opérer sur votre réseau.
Les paramètres réseaux de base comprennent la configuration des interfaces FortiGate et
des paramètres DNS. La configuration plus avancée comprend l’ajout de sous-interfaces
VLAN et de zones à la configuration réseau du FortiGate.

1). Interface
En mode NAT/Route, sélectionnez Système > Réseau > Interface pour configurer
les interfaces FortiGate. Il vous est possible de :
• agréger plusieurs interfaces physiques sur une interface IEEE 802.3ad (pour
les modèles 800 et plus).
• combiner des interfaces physiques en une interface redondante
• ajouter et configurer des sous-interfaces VLAN
• modifier la configuration d’une interface physique
• ajouter des interfaces sans fil (pour les modèles WiFi-60 et WiFi-60 AM
uniquement).

Figure 28: illustration des interfaces

2). Paramètres de l’interface

Pour configurer une interface, sélectionnez Système > Réseau > Interface. Cliquez sur
Créer Nouveau pour créer une nouvelle interface. Pour éditer une interface existante,
sélectionnez l’icône Editer de cette interface.

43
Figure 29: illustration de paramètre de l'interface

Nom de l’interface : Entrez un nom pour l’interface. Il n’est pas possible de modifier le nom
d’une interface existante.

Type : vous pouvez créer des interfaces VLAN, agrégées 802.3ad et redondantes.

Interface : Sélectionnez le nom de l’interface physique à laquelle voulez adjoindre une sous-
interface VLAN. Une fois créé, le VLAN est repris dans la liste des interfaces en dessous de
son interface physique. Il est impossible de modifier l’interface d’une sous-interface VLAN
existante

ID VLAN : Entrez l’ID du VLAN qui correspond à l’ID du VLAN des paquets destinés à cette
sous-interface VLAN. Il est impossible de modifier l’ID d’une sous-interface VLAN existante.

Mode d’adressage : Pour configurer une adresse IP statique d’une interface sélectionnez
Manuel et entrez adresse IP/masque de réseau dans le champ prévu à cet effet. L’adresse IP
doit être sous le même sous-réseau que le réseau auquel l’interface se connecte. Deux
interfaces ne peuvent pas avoir leurs adresses IP sur le même sous-réseau.

Accès administratif : Sélectionnez les types d’accès administratifs permis sur cette interface

2.1). Interface agrégée 802.3ad

Vous pouvez agréger (combiner) deux ou plusieurs interfaces pour augmenter la
bande passante et fournir quelques redondances de lien. Cela offre l’avantage d’une plus
grande bande passante mais augmente le risque de points de panne potentiels par rapport
aux interfaces redondantes. Les interfaces doivent se connecter à la même destination du
prochain saut.

Une interface est disponible pour agrégation uniquement si:

• il s’agit d’une interface physique et non pas d’une interface VLAN

44
• elle ne fait pas déjà partie d’une interface agrégé ou redondante

• elle est dans le même VDOM que l’interface agrégée

• elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE

• elle n’a pas de serveur DHCP ou de relais configuré

• elle n’a pas de sous-interfaces VLAN

• elle n’est pas reprise dans une règle pare-feu, VIP, IP Pool ou multicast

2.2). Interface redondante

Vous pouvez combiner deux ou plusieurs interfaces pour fournir une redondance de
liens. Cette fonctionnalité vous permet de vous connecter à deux ou plusieurs commutateur
afin d’assurer une connectivité continue même dans le cas où une interface ou un des
équipements devait tomber en panne.

La différence entre un lien redondant et un lien d’agrégation réside dans le fait que
dans le premier cas, le trafic ne passe que par une seule interface à la fois (peu importe le
nombre de liens redondants). Cependant les interfaces redondantes permettent des
configurations plus robustes avec un risque de points de pannes plus faible. Ceci est
important dans une configuration en maillage intégral HA.

Une interface peut être une interface redondante seulement si :

 il s’agit d’une interface physique et non pas d’une interface VLAN

 elle ne fait pas déjà partie d’une interface agrégée ou redondante
 elle est dans le même VDOM que l’interface redondante
 elle n’a pas d’adresse IP définie et n’est pas configurée à partir de DHCP ou PPPoE
 elle n’a pas de serveur DHCP ou relais configuré
 elle n’a pas de sous-interface VLAN
 elle n’est pas présente dans une règle pare-feu, VIP, IP Pool ou multicast
 elle n’est pas contrôlée par un HA.

2.3). Configuration DHCP d’une interface

Lorsque vous configurez une interface pour une utilisation DHCP, le boîtier FortiGate
émet automatiquement une requête DHCP. L’interface est configurée avec l’adresse IP et
éventuellement les adresses serveur DNS, ainsi que les adresses des passerelles par défaut
fournies par le serveur DHCP.

Sélectionnez Système > Réseau > Interface. Cliquez sur Créer Nouveau ou
sélectionnez l’icône Editer d’une interface existante. Dans la section de Mode d’Adressage,
sélectionnez DHCP.

45
Figure 30:illustration d'Addressing Mode

 Distance : Entrez la distance administrative de la passerelle par défaut retrouvée par

le serveur DHCP.la distance administrative, entre 1 et 255, indique la priorité relative
d’une route lorsqu’il en existe plusieurs vers une même destination.
 Retrieve default gateway from server : Activez cette option pour retrouver l’adresse IP
d’une passerelle par défaut à partir d’un serveur DHCP.
 Override internal DNS : Permet de remplacer les adresses IP du serveur DNS de la page
DNS par des adresses DNS retrouvées par le serveur DHCP.

2.4). Configuration PPPoE d’une interface

Lorsque vous configurez une interface pour une utilisation PPPoE (Point-to-Point
Protocol over Ethernet), le boîtier FortiGate émet automatiquement une requête PPPoE.
Vous pouvez désactiver Connecter si vous configurez le boîtier. FortiGate hors ligne et ne
désirez pas envoi de la requête PPPoE.

Le boîtier FortiGate supporte de nombreuses fonctions PPPoE (RFC 2516) y compris

les IP non numérotées, les timeouts decompris les IP non numérotées, les timeouts d’Active
Discovery Terminate (PADT).

Figure 31:illustration de configuration PPPoE d'une interface

 Username : Le nom d’utilisateur du compte PPPoE.

 Password : le mot de passe du compte PPPoE.
 Unnumbered IP : Spécifiez l’adresse IP de l’interface. Dans le cas où votre FAI
(Fournisseur d’Accès Internet) vous en a affectées plusieurs, choisissez-en une parmi

46
 celles-ci. Par ailleurs, cette adresse IP peut être identique à celle d’un interface ou
peut également être n’importe quelle adresse IP.
 Initial Disc Timeout: Initial Discovery Timeout. Il s’agit du temps d’attende avant
qu’une nouvelle tentative de découverte PPPoE soit lancée. Pour désactiver cette
option, affectez-lui 0.
 Initial PADT Timeout : Initial PPPoE Active Discovery Terminate Se définit en secondes.
Sert à fermer la session PPPoE après un laps de secondes d’inactivité défini dans
cette option. PADT doit être supporté par votre FAI. Pour désactiver cette option,
affectez-lui 0.
 Distance : Entrez la distance administrative de la passerelle par défaut retrouvée par
le serveur PPPoE.
 Retrieve default gateway from server : Permet de retrouver une adresse IP d’une
passerelle par défaut à partir d’un serveur PPPoE. La passerelle par défaut est
ajoutée à la table de routage statique.
 Override internal DNS : Permet de remplacer les adresses IP du serveur DNS de la page
DNS par des adresses DNS retrouvées par le serveur DHCP.

3). Configuration additionnelle des interfaces

3.1). Ajouter une adresse IP secondaire

Adresse secondaire ne peut pas se trouver sur le même sous-réseau que l’interface
primaire ou que toute autre interface ou adresse IP secondaire.

3.2). Modifier la taille MTU des paquets qui quittent une interface
1. Sélectionnez Système > Réseau > Interface.
2. Cliquez sur l’icône Editer de l’interface choisie.
3. Sélectionnez la valeur de Remplacer la valeur MTU par défaut (1500).
4. Définissez une nouvelle valeur MTU.

3.3). Configurer la journalisation du trafic pour les connexions vers une interface
1. Sélectionnez Système > Réseau > Interface.
2. Cliquez sur l’icône Editer de l’interface choisie.
3. Activez la case Journaliser pour enregistrer les messages journalisés lorsqu’une règle
pare-feu accepte une connexion à cette interface.
4. Cliquez sur OK porter les changements.

Remarque : Un redémarrage du FortiGate est nécessaire pour mettre à jour la nouvelle

valeur du MTU des sous-interfaces VLAN sur cette interface.

4). Aperçu sur les VLAN

Un VLAN est un groupe de PC, serveurs et autres équipements d’un réseau qui
communiquent comme s’ils faisaient partie d’un même segment LAN, alors que ce n’est pas
forcément le cas. Par exemple, les stations de travail et serveurs d’un département de

47
comptabilité peuvent être dispersés dans un bâtiment, connectés à plusieurs segments du
réseau et quand bien même faire partie d’un même VLAN.

Dans un VLAN les équipements sont segmentés logiquement et non pas

physiquement. Chaque VLAN est traité comme un domaine de diffusion. Les équipements du
VLAN 1 peuvent se connecter avec d’autres équipements du VLAN 1, mais ne peuvent pas se
connecter avec des équipements d’autres VLAN. La communication entre les équipements
d’un VLAN ne dépend pas du réseau physique.

Un VLAN distingue les équipements en ajoutant des balises VLAN 802.1Q à tous les
paquets reçus et envoyés par ces équipements. Ces balises sont des extensions de 4 octets
comprenant un identificateur VLAN ainsi que d’autres informations.

Les VLAN offrent une grande flexibilité, une segmentation efficace du réseau,
permettant aux utilisateurs et ressources de se grouper logiquement, sans tenir compte de
la localisation physique.

5). Equipements FortiGate et VLAN

Dans une configuration VLAN classique, des balises VLAN sont ajoutées aux paquets
par des commutateurs VLAN niveau 2, des routeurs niveau 3 ou encore des pare-feu. Les
commutateurs niveau 2 gèrent les paquets cheminant entre des machines d’un même VLAN,
tandis que les paquets cheminant entre des machines de VLAN différents sont pris en charge
par des équipements niveau 3 tels que routeur, pare-feu ou commutateur niveau 3.

Grâce à l’utilisation d’un VLAN, un seul boîtier FortiGate fournit des services de
sécurité et des connexions sous contrôle entre de multiples domaines sécurisé Le trafic
provenant de chaque domaine sécurisé reçoit un identificateur VLAN différent. Le boîtier
FortiGate reconnaît les identificateurs VLAN et applique les règles de sécurité pour protéger
les réseaux et le trafic VPN IPSec entre les domaines sécurisés. Le boîtier FortiGate
appliquent également les fonctionnalités d’authentification, de profils de protection et
autres règles pare-feu sur le trafic du réseau et le trafic VPN autorisé à circuler entre les
domaines sécurisés.

6). VLAN en mode NAT/Route

En mode routé, le boîtier FortiGate opère comme un équipement niveau 3 pour
contrôler le flot de paquets entre les VLAN. Le boîtier FortiGate peut également retirer les
balises VLAN des paquets VLAN entrants et transférer les paquets non balisés vers d’autres
réseaux, comme Internet.

En mode routé, le boîtier FortiGate supporte les VLAN pour la construction de

tronçons VLAN entre un commutateur (ou routeur) IEEE 802.1Q-compliant et le boîtier
FortiGate. Normalement l’interface interne du boîtier FortiGate se connecte à un tronçon
VLAN sur un commutateur interne, tandis que l’interface externe se connecte en amont

48
vers un routeur Internet non balisé. Le boîtier FortiGate peut alors appliquer différentes
règles pour les trafics sur chaque VLAN connecté à l’interface interne.

A partir de cette configuration, vous pouvez ajouter à l’interface interne du boîtier

FortiGate des sous-interfaces VLAN qui possèdent les identificateurs VLAN correspondants
aux identificateurs des paquets du tronçon VLAN. Le boîtier FortiGate dirige alors les
paquets avec les identificateurs VLAN vers les sous-interfaces avec les identificateurs
correspondants.

Figure 32: Vlan en Mode Nat/route

Ajout de sous-interfaces VLAN

1. Sélectionnez Système > Réseau > Interface.

2. Cliquez sur Créer Nouveau pour ajouter une sous-interface VLAN.
3. Entrez un nom pour identifier cette nouvelle sous-interface.
4. Sélectionnez l’interface physique qui doit recevoir les paquets VLAN à
l’attention de cette sous-interface VLAN.
5. Configurez les paramètres de la sous-interface VLAN telle que pour les autres
interfaces FortiGate.
6. Cliquez sur OK pour enregistrer les changements.

Remarque : Le nom d’un VLAN doit différer des noms de domaines virtuels.

49
7). VLAN en mode Transparent
En mode Transparent, le boîtier FortiGate peut appliquer des règles pare-feu et des
services tels que l’authentification, les profils de protection et autres fonctions pare feu au
trafic d’un tronçon VLAN IEEE 802.1. Le boîtier FortiGate peut être inséré en mode
Transparent dans le tronçon sans qu’il soit nécessaire d’apporter des modifications au
réseau. Dans une configuration classique, l’interface interne du FortiGate accepte les
paquets VLAN sur un tronçon VLAN provenant d’un commutateur VLAN ou d’un routeur
connecté à des VLAN internes. L’interface externe du FortiGate transfère les paquets balisés
par le tronçon jusqu’à un commutateur VLAN externe ou un routeur connecté
éventuellement à Internet. Le boîtier FortiGate peut être configuré pour appliquer
différentes règles au trafic pour chaque VLAN du tronçon.

Il faut ajouter une sous-interface VLAN à l’interface interne et une autre à l’interface
externe pour permettre au trafic VLAN de circuler entre les interfaces interne et externe du
FortiGate. Dans le cas où ces sous-interfaces VLAN ont les mêmes identificateurs, le boîtier
FortiGate applique des règles pare-feu au trafic de ce VLAN.

Dans le cas où par contre les sous-interfaces VLAN ont des identificateurs différents,
ou si plus de deux sous-interfaces sont ajoutées, vous pouvez également créer des règles
pare-feu qui contrôlent les connexions entre les VLAN.

Un boîtier FortiGate opérant en mode Transparent peut sécuriser le trafic du réseau

passant entre les différents VLAN si ce réseau utilise des balises VLAN IEEE 802.1 pour
segmenter son trafic.

Lorsqu’un boîtier FortiGate reçoit un paquet balisé VLAN sur l’une de ses interfaces,
ce paquet est dirigé vers la sous-interface VLAN possédant l’identificateur VLAN
correspondant. La sous-interface VLAN retire la balise et affecte une interface de destination
au paquet en fonction de son adresse MAC de destination. Les règles pare-feu des sous-
interfaces VLAN source et de destination s’appliquent au paquet. Si celui-ci est accepté par
le pare-feu, le boîtier FortiGate le transfert vers la sous-interface VLAN de destination.
L’identificateur du VLAN de destination est ajouté au paquet par le boîtier FortiGate et il est
envoyé au tronçon VLAN.

50
Figure 33:illustration de Vlan transparent

L’illustration représente un équipement FortiGate opérant en mode Transparent et

configuré avec trois sous-interfaces VLAN. Dans cette configuration un équipement
FortiGate peut être ajouté à ce réseau pour fournir à chaque VLAN une analyse antivirus, un
filtrage de contenu web ainsi que des services supplémentaires.

51
IV. Système DHCP

Cette partie décrit l’utilisation du protocole DHCP fournissant une configuration

réseau automatique et pratique pour vos clients.

1). Serveurs et relais DHCP FortiGate

Le protocole DHCP permet aux hôtes d’obtenir automatiquement leur adresse IP.
Eventuellement, ils peuvent aussi obtenir les paramètres de la passerelle par défaut et du
serveur DNS.
Vous pouvez configurer un ou plusieurs serveurs DHCP sur n’importe quelle interface
FortiGate. Un serveur DHCP affecte dynamiquement des adresses IP aux hôtes du réseau
connectés à cette interface. Les ordinateurs hôtes doivent être configurés de manière à
obtenir leurs adresses IP via DHCP.
Dans le cas où une interface est connectée à de multiples réseaux via des routeurs,
vous pouvez ajouter un serveur DHCP pour chaque réseau. La plage d’adresses IP pour
chaque serveur DHCP doit correspondre à la plage d’adresses du réseau. Les routeurs
doivent être configurés pour les relais DHCP.
Vous pouvez configurer une interface FortiGate comme relais DHCP. L’interface transfère
alors les requêtes DHCP des clients DHCP vers un serveur externe DHCP, et renvoient ensuite
les réponses aux clients Le serveur DHCP doit avoir un routage approprié de manière à ce
que ses paquets-réponses aux clients DHCP arrivent au boîtier FortiGate.

2). Configuration des services DHCP

Sélectionnez System >Network > DHCP serveur et cliquer sur Create New pour ajouter
les services DHCP.
Il est possible de configurer, pour chaque interface FortiGate un relais DHCP ou
d’ajouter autant de serveurs DHCP que nécessaire.
Un serveur DHCP est configuré par défaut sur l’interface Interne, avec les paramètres
suivants :
o Plage d’adresses IP
o Masque de réseau
o Passerelle par défaut
o Durée du bail
o Serveur DNS 1

2.1). Configuration d’une interface comme relais DHCP

Sélectionnez System > Network > DHCP serveur et cliquez sur Create New ou l’icône Edit
pour voir ou modifier la configuration du relais DHCP d’une interface.

52
Figure 34: illustration de configuration d'une interface comme relais DHCP

2.2). Configuration d’un serveur DHCP

Sélectionnez System >Network > DHCP serveur et cliquer sur Create New pour ajouter
les services DHCP ou cliquer sur l’icône Editer pour modifier les paramètres.

Figure 35:illustration de configuration d'une interface comme un serveur DHCP

 Lease time: The lease time détermine la durée d'une adresse IP reste affecté à un client.
Une fois le bail expire, l'adresse est libérée pour l'allocation à la prochaine demande du
client pour une adresse IP La durée de bail par défaut est de sept jours.

53
 Assigning IP address by MAC address : Pour empêcher les utilisateurs de changer leurs
adresses IP et de provoquer des conflits d'adresses IP ou l'utilisation non autorisée
d'adresses IP, vous pouvez lier une adresse IP à une adresse MAC spécifique en utilisant
DHCP.

Utilisez la CLI pour réserver une adresse IP pour un client particulier identifié par son
adresse MAC du périphérique et le type de connexion. Le serveur DHCP attribue ensuite
toujours l'adresse IP réservée au client. Le nombre d'adresses réservées que vous pouvez
définir des plages entre 10 et 200 selon le modèle FortiGate.

Après la mise en place d'un serveur DHCP sur une interface en allant dans Système>
Réseau> Interface, sélectionnez la flèche bleue à côté de Avancé pour développer les
options. Si vous connaissez l'adresse MAC du système sélectionnez Créer un nouveau pour
l'ajouter, ou si le système a déjà connecté, recherchez dans la liste, sélectionnez la case à
cocher et sélectionnez Ajouter de la liste des clients DHCP.

Vous pouvez également faire correspondre une adresse à une adresse MAC dans le
CLI. Dans l'exemple ci-dessous, l'adresse IP 10.10.10.55 pour l'utilisateur 1 est affecté à
l'adresse MAC 00: 09: 0F: 30: CA: 4F.

config system dhcp reserved-address

edit User1
set ip 10.10.10.55
set mac 00:09:0F:30:CA:4F
set type regular
end

2.3). DHCP Monitor

Pour afficher des informations sur les connexions de serveur DHCP, sélectionnez
System > Monitor > DHCP Monitor.

54
V. Configuration du Système
Cette partie décrit la configuration de plusieurs fonctionnalités non liées au réseau,
telles que cluster HA, messages de remplacement personnalisés.

Les HA, messages de remplacement font partie de la configuration globale du

FortiGate.

1). Haute Disponibilité (high availability)

La Haute Disponibilité (HA) FortiGate offre une solution aux deux exigences les plus
critiques des réseaux d’entreprises : une fiabilité perfectionnée et une performance
croissante.

La Haute Disponibilité FortiGate s’implémente en configurant deux ou plusieurs

équipements FortiGate afin qu’ils opèrent en un cluster HA. Pour le réseau, ce cluster HA
s’affiche comme un seul équipement FortiGate, traitant le trafic du réseau et fournissant les
services de sécurité tels que pare-feu, VPN, prévention contre les intrusions, analyse des
virus, filtrage web et antispam.

Figure 36:illustration de la configuration Haute disponinilité

Au sein d’un cluster, les équipements individuels FortiGate sont appelés membres.
Ces membres partagent les informations sur leur état et configuration. Dans le cas d’une
défaillance de l’un des membres, les autres membres du cluster prennent en charge l’activité
du membre en panne. Après la panne, le cluster continue de traiter le trafic réseau et de
fournir les services FortiGate sans interruption du service.

Chaque cluster FortiGate est formé d’un membre primaire (aussi appelé maître) et
d’un ou plusieurs membres subordonnés (aussi appelés esclave ou redondants) Le membre
primaire contrôle le fonctionnement du cluster. Les rôles joués par les membres primaire et
subordonné(s) dans le cluster dépendent du mode dans lequel le cluster opère.

55
 L’avantage qu’offre le cluster de fournir continuellement un service pare-feu, même
dans le cas d’une défaillance, est appelé la redondance. La redondance HA FortiGate signifie
que votre réseau ne doit pas s’appuyer sur un FortiGate pour continuer de fonctionner. Vous
pouvez installer des membres additionnels et former un cluster HA. Les autres membres du
cluster prendront le relais en cas de défaillance d’un des membres

Une deuxième fonctionnalité HA, appelée l’équilibrage de charge, sert à augmenter

les performances pare-feu. Un cluster de membres FortiGate peut augmenter la
performance du réseau grâce à un partage de la charge que représentent le traitement du
trafic et la fourniture des services de sécurité. Le cluster s’affiche sur le réseau comme un
seul équipement, ce qui augmente ses performances apporter de modifications à votre
configuration réseau.

1.1). Modes HA (actif-actif et actif-passif)

Les membres FortiGate peuvent être configurés pour opérer en mode HA actif-actif
(A-A) ou actif-passif (A-P) . Les clusters actif-actif et actif-passif fonctionnent aussi bien en
mode NAT/Route que Transparent. Un cluster HA actif-passif (A-P), aussi appelé réplication
HA, se compose d’un membre primaire qui analyse le trafic et d’un ou plusieurs membre(s)
subordonné(s). Ces derniers sont connectés au réseau et au membre primaire mais ne
traitent pas le trafic.

Le mode HA actif-actif (A –A) équilibre la charge du traitement du trafic vers tous les
membres du cluster. Un cluster HA actif-actif se compose d’un membre primaire et d’un ou
plusieurs membre(s) subordonné(s) qui traitent ensemble tout le trafic. Le membre primaire
utilise algorithme d’équilibrage de charge pour distribuer le traitement à tous les membres
du cluster.

2). Messages de remplacement

L’équipement FortiGate adjoint des messages de remplacement à plusieurs types de
flux de contenu. Par exemple, si un virus est trouvé dans un email, le fichier contaminé est
supprimé de l’email et remplacé par un message de remplacement. Cette procédure
s’applique également aux pages Internet bloquées par un filtrage web et aux emails bloqués
par un filtrage antispam.

Sélectionnez Système > Configuration > Messages de Remplacement pour modifier les
messages de remplacement et personnaliser les emails et informations sur les alertes que le
boîtier FortiGate ajoute aux flux de contenu tels que messages emails, pages Internet et
sessions FTP.

56
 2.1). Liste des messages de remplacement

Figure 37:illustration des messages de remplacement

Exemple d’un message de remplacement d’un virus HTTP

Figure 38:illustration d'un message de remplacement

Les messages de remplacements s’écrivent sous forme de texte ou de messages

HTML. Vous pouvez ajouter des messages HTML. De plus, les messages de remplacement

57
peuvent comprendre des balises de message de remplacement. Ainsi, lorsque les utilisateurs
reçoivent le message de remplacement, la balise est remplacée par un contenu en rapport
avec le message

VI. Politiques de sécurité et des Règles de pare-feu

Le plus généralement, des unités de FortiGate sont employées pour commander
l'accès entre l'Internet et un réseau, permettant typiquement à des utilisateurs sur le réseau
(tel qu'un réseau de bureau) de se relier à l'Internet tout en protégeant le réseau contre
l'accès non désiré de l'Internet. Ainsi une unité de FortiGate doit savoir ce que l'accès devrait
être admis et ce qui devrait être bloqué. C’est pour on a les politiques de sécurité,
commandant tout le trafic passer par une unité de FortiGate. Aucun trafic ne peut passer par
une unité de FortiGate à moins que spécifiquement ait permis par une politique de sécurité.

Une fois qu'on permet le trafic, pratiquement toutes les caractéristiques de FortiGate
sont appliquées au trafic permis par des politiques de sécurité. D'une politique de sécurité,
vous pouvez contrôler la translation d'adresse, commander les adresses et les services
employés par le trafic, et appliquer des caractéristiques telles qu'UTM, authentification, et
VPNs.

1). Politiques de sécurité

Il est simple d'installer une unité de FortiGate pour permettre à des utilisateurs sur
un réseau d'accéder à l'Internet tout en bloquant le trafic de l'Internet d'accéder au réseau
protégé. Tout ce qui est exigé est une politique de sécurité simple qui permet au trafic du
réseau interne de se relier à l'Internet. Tant que vous n'ajoutez pas une politique de sécurité
pour permettre le trafic de l'Internet sur votre réseau interne, votre réseau est protégé.

Quand un utilisateur se relie à l'Internet, ils s'attendent à une réponse (par exemple,
quand vous vous reliez à un site Web vous comptez voir une page Web). La même politique
de sécurité qui te permet de vous relier à l'Internet également permet des serveurs que vous
entrez en contact pour répondre à vous. En effet, une politique simple permet le trafic
bidirectionnel, mais le trafic entrant est seulement permis en réponse aux demandes
envoyées par vous.

Quoiqu'il n'y ait aucun risque du trafic non désiré provenant de l'Internet
obtenant sur votre réseau interne, les utilisateurs se relient à l'Internet et téléchargent des
données. Ces téléchargements peuvent parfois inclure les articles non désirés, tels que des
virus. Cela fait leur voie à l'unité de FortiGate à votre réseau. Pour protéger votre réseau
contre ce problème, les politiques de sécurité sont également la manière d'allumer toutes
les caractéristiques de FortiGate UTM. Par exemple, les utilisateurs peuvent télécharger un
virus en passant en revue le Web ou en recherchant l'email. Vous pouvez protéger votre
réseau contre ce danger en ajoutant le virus balayant à la sécurité maintient l'ordre qui
permettent à des utilisateurs de se relier à l'Internet. L'avantage de cette approche est que
vous pouvez appliquer des dispositifs de sécurité directement au trafic permis. Ceci signifie

58
également que vous pouvez appliquer les dispositifs de sécurité faits sur commande à
chaque politique de sécurité et à chaque type de trafic permis par l'unité de FortiGate. Les
dispositifs de sécurité sont appliqués utilisant des objets et des profils d'UTM. Vous pouvez
créer autant de profils comme vous avez besoin et les mélangez et assortissez dans une
politique de sécurité au besoin.

2). Définition des Règles de pare-feu

Les objets de pare-feu incluent des adresses, des services, et des programmes qui
sont employés dans les politiques de sécurité pour commander le trafic admis ou bloqué par
une politique de sécurité. Des adresses sont assorties avec la source et l'adresse de
destination des paquets reçus par l'unité de FortiGate. Les adresses de pare-feu peuvent
être les adresses IPv4 ou IPv6 qui définissent un à un dispositif ou un réseau. Vous pouvez
également ajouter des Domain Name au lieu des adresses numériques et employer
l'adressage géographique pour spécifier tous les IP adresses du trafic provenant d'un pays
spécifique. Ces outils puissants d'adresse te permettent d'adapter des adresses aux besoins
du client pour n'importe quelle condition de politique de sécurité.

Les unités de FortiGate incluent un large éventail de services réseau prédéfinis qui
peuvent être ajoutés aux politiques de sécurité. Par exemple, vous pouvez ajouter une
politique de sécurité qui arrête tout le trafic de HTTP juste en ajoutant le service de HTTP à
une politique de sécurité. Les services prédéfinis incluent des services réseau de base tels
que HTTP, FTP, TCP, SMTP et services plus spécialisés tels que H323 (utilisé pour VoIP et le
media), MMS (le service de messagerie de multimédia employé par des téléphones
portables) et ainsi de suite. Vous pouvez également facilement créer des services des
douanes si votre réseau emploie les services réseau qui ne sont pas dans la liste prédéfinie
par FortiGate de services.

Vous devez ajouter au moins un service à une politique de sécurité. Vous pouvez
également ajouter des multiples services à une politique de sécurité simple si vous voulez à
la politique aux types multiples du trafic. N'importe quel service prédéfini accepte le trafic
utilisant n'importe quel service réseau.

Les objets de pare-feu incluent également des traffic shapers, utilisés pour
normaliser des crêtes et des éclats de trafic pour donner la priorité à certains écoulements
au-dessus d'autres. Une grande variété de trafic formant des options sont disponible, vous
permettant de personnaliser le lissage du trafic en fonction de vos besoins de réseaux et
d'appliquer le trafic personnalisé de mise en forme de toute politique de sécurité.

Firewall schedules contrôle quand les politiques de sécurité sont en activité. Vous
pouvez limiter quand une politique est en activité en s'ajoutant schedules définissant le
temps l'où la politique est en activité. Vous pouvez créer recurring schedules qui prennent
effet à plusieurs reprises à des moments précis de certains jours de la semaine.

59
 The Virtual IP sont des objets pare-feu ajoutés aux politiques de sécurité pour
effectuer diverses formes de traduction d'adresses de réseau de destination (D-NAT) y
compris l'adresse IP de destination et de translation de port de destination et la redirection
de port.

L'objet final de pare-feu est load balancing, qui est une extension de l'IPS virtuel
pour charger le trafic d'équilibre passant par l'unité de FortiGate aux serveurs multiples.
Programmes d'équilibrage de la charge de soutiens d'équilibrage de la charge de FortiGate
divers, vraie surveillance de la santé de serveur, persistance, et accélération de SSL.

3). Comment l'ordre de liste affecte l'assortiment de politique

Lorsque le boîtier FortiGate reçoit une tentative de connexion sur une interface, il
sélectionne une liste de règles dans laquelle il va chercher une règle qui corresponde à la
tentative de connexion. Le boîtier FortiGate choisit la liste de règles en fonction des adresses
source et de destination de la tentative de connexion.

Le boîtier FortiGate commence alors sa recherche par le haut de la liste et descend

jusqu’à la première règle qui corresponde aux adresses source et de destination, au port
service et au jour et heure de la tentative de connexion reçue. La première règle
correspondante s’applique à la tentative de connexion. Si aucune règle ne correspond, la
connexion est abandonnée. En règle générale, toujours organiser les règles pare-feu de la
plus spécifique à la plus générale.

Les règles générales sont des règles qui peuvent accepter des connexions avec de
multiples adresses sources et de destination, ainsi qu’avec des intervalles d’adresses. Elles
peuvent également accepter des connexions de multiples ports service ou avoir des horaires
très ouverts. Si vous désirez ajouter des règles qui sont des exceptions aux règles générales,
ces exceptions doivent être ajoutées au-dessus des règles générales, dans la liste de règles.

Par exemple, vous pouvez avoir une règle générale permettant à tous les utilisateurs
de votre réseau interne d’accéder à tous les services Internet. Si vous désirez bloquer l’accès
aux serveurs FTP sur Internet, vous devriez ajouter au-dessus de la règle générale une règle
qui bloque les connexions FTP. La règle de déni bloque les connexions FTP mais les tentatives
de connexion de tous les autres types de services ne correspondent pas à la règle FTP mais
correspondent à la règle générale. De ce fait, la pare-feu accepte toutes les connexions du
réseau interne vers Internet, à l’exception des connexions FTP.

Concernant les correspondances de règles, il faut également savoir que :

 Les règles qui nécessitent une authentification doivent être ajoutées à la liste de
règles au-dessus des règles correspondantes qui n’en nécessitent pas Sinon, la règle
qui ne nécessite pas d’authentification est sélectionnée en premier.
 Les règles sur le mode tunnel VPN IPSec doivent être ajoutées à la liste de règles au-
dessus des règles d’accès ou de blocage correspondantes.

60
  Les règles sur le VPN SSL doivent être ajoutées à la liste de règles au-dessus des
règles d’accès ou de blocage correspondantes.

4). Visualisation de la liste des règles pare-feu

La liste de politique de pare-feu montre des politiques de pare-feu dans leur ordre de
priorité assortie pour chaque paire de source et d'interface de destination. Si des domaines
virtuels sont permis sur l'unité de FortiGate, des politiques de pare-feu sont configurées
séparément pour chaque domaine virtuel, vous devez accéder au VDOM avant que vous
puissiez configurer ses politiques. Vous pouvez ajouter, supprimer, éditer, et commander à
nouveau des politiques dans la politique énumérez. L'ordre de politique de pare-feu affecte
l'assortiment de politique.

Pour visualiser la liste des règles, sélectionnez Pare-feu > Policy.

Figure 39:illustration de visualisation de la liste des règles pare-feu

5). Options des règles pare-feu

L’utilisation de règles pare-feu permet de définir la façon dont une règle pare-feu est
sélectionnée pour être appliquée à une session à une session de communication et de
définir comment le boîtier FortiGate traite les paquets pour cette session.

Sélectionnez Policy>Policy > Policy et cliquez sur Créer Nouveau pour ajouter une
règle pare-feu.

61
Options des règles – règle ACCEPT en mode NAT/Route :

Figure 40:illustration d'option de règle ACCEPT en mode NAT/route

Options des règles – règle ACCEPT en mode Transparent :

Figure 41:illustration de regle ACCEPT en mode Transparent

62
Options des règles – règle DENY :

Figure 42:illustration d'option de règle DENY

Les options suivantes des règles pare-feu sont configurables :

 Source : Spécifiez les caractéristiques de la source des paquets IP qui seront sujets à
la règle.
 Interface/Zone : Sélectionnez le nom de l’interface ou de la zone
FortiGate sur laquelle les paquets IP sont reçus. Les interfaces et
zones sont configurées sur la page Système > Réseau.
 Adresse : Sélectionnez le nom d’une adresse IP précédemment
définie à associer à l’interface ou zone source ; ou sélectionnez
Créer Nouveau pour définir une nouvelle adresse IP. L’en-tête du
paquet doit contenir l’adresse IP associée pour être confronté à la
règle.
 Destination : Spécifiez les caractéristiques de la destination des paquets IP qui seront
sujets à la règle.
 Interface/Zone : Sélectionnez le nom de l’interface ou de la zone
FortiGate vers laquelle les paquets IP sont envoyés. Les interfaces
et zones sont configurées sur la page Système > Réseau.
 Adresse : Sélectionnez le nom d’une adresse IP précédemment
définie à associer à l’interface ou zone source ; ou sélectionnez
Créer Nouveau pour définir une nouvelle adresse IP. L’en-tête du
paquet doit contenir l’adresse IP associée pour être confronté à la
règle.

63
 Horaire : Sélectionnez une plage horaire ponctuelle ou récurrente qui contrôle la
période de disponibilité de la règle. Les horaires peuvent être crées à l’avance dans
Pare-feu > Plage horaire.
 Service : Sélectionnez le nom du service ou du groupe de services qui correspond au
service ou protocole des paquets auquel s’applique cette règle. Vous pouvez
sélectionner les services à partir d’une longue liste de services prédéfinis. Des
services personnalisés peuvent être crées à l’avance dans
Pare-feu > Service > Personnalisé. Des groupes de services peuvent également être
crées à l’avance dans Pare-feu > Service > Groupe.
 Action : Sélectionnez la réponse du pare-feu à appliquer lorsqu’un paquet
correspond aux conditions de la règle.
 ACCEPT : Accepte le trafic correspondant à la règle. Vous pouvez
alors configurer les options NAT, profils de protection, log traffic,
shape traffic, authentification ou ajouter un commentaire à la
règle.
 DENY : Rejette le trafic correspondant à la règle. La seule option
configurable est la journalisation (journaliser les connexions
refusées par la règle).
 IPSEC : Configure une règle de cryptage pare-feu IPSEC, qui
entraîne le traitement des paquets VPN IPSec par le boîtier
FortiGate.
 SSL-VPN : Configure une règle de cryptage pare-feu VPN SSL, qui
entraîne l’acceptation du trafic VPN SSL par le boîtier
FortiGate. Cette option n’est disponible qu’après avoir ajouté un
groupe d’utilisateurs VPN SSL.
 NAT : Activer l’option NAT (Network Address Translation) pour la règle. NAT
translate l’adresse source et le port de paquets acceptés par la règle. Lorsque NAT
est activé, les fonctions Pool d’Adresses et Port Fixe peuvent être configurés. NAT
n’est pas disponible en mode Transparent.
 Pool d’Adresses : Sélectionnez pour translater l’adresse source en
une adresse sélectionnée arbitrairement dans un pool
d’adresses. Un pool d’adresses peut se composer d’une seule
adresse IP ou d’une plage d’adresses IP. Une liste de pools
d’adresses apparaît si ces pools ont été ajoutés à l’interface de
destination. Sélectionnez ANY IP Pool pour que le boîtier
FortiGate sélectionne n’importe quelle adresse IP de n’importe
quel pool d’adresses ajouté à l’interface de destination.
Sélectionnez le nom d’un pool d’adresses ajouté à l’interface de
destination pour que le boîtier FortiGate translate l’adresse
source en une des adresses définies dans ce pool.

64
 Vous ne pouvez pas utiliser des pools d’adresses lors de
l’utilisation de zones. Un pool d’adresses peut seulement être
associé à une interface.
 Sélectionnez un port fixe pour empêcher NAT de translater le port
source. Certaines applications ne fonctionnent pas correctement
si le port source est modifié. Dans la plupart des cas, si Port fixe
est sélectionné, Pool d’Adresses est également sélectionné. Si
Pool d’Adresses n’est pas sélectionné, une règle qui a l’option
Port Fixe sélectionnée ne peut permettre qu’une connexion à la
fois.
 Profil de protection : Sélectionnez un profil de protection pour configurer la façon
dont l’antivirus, filtrage web, filtrage par catégorie web, filtrage antispam, IPS,
archives et journaux sont appliqués à la règle pare-feu. Les profils de protection
peuvent être crées à l’avance ou pendant la configuration d’un profil.
 Log Allowed Traffic : Sélectionnez cette option pour les règles ACCEPT, IPSEC ou VPN
SSL pour enregistrer les messages dans les journaux à chaque fois que la règle traite
une connexion.
 Log Violation Traffic : Sélectionnez cette option pour les règles DENY pour enregistrer
les messages dans les journaux à chaque fois que la règle traite une connexion.
 Authentification : Ajoutez des utilisateurs et un profil de protection pare-feu à un
groupe d’utilisateurs avant de sélectionner Authentification.
 Traffic Shaping : Cette option permet de contrôler la bande passante disponible et
de définir les niveaux de priorité du trafic traité par la règle.
 Redirect URL : Si vous entrez un URL dans ce champ, l’utilisateur est redirigé vers
cette URL après authentification et/ou acceptation de la page d’information
d’authentification de l’utilisateur.
 Commentaires : Ajoutez une description ou d’autres informations sur cette règle. Le
commentaire peut être long de 63 caractères, espaces compris.

5.1). Options des règles pare-feu IPSec

Figure 43:illustration d'option de règle pare-feu IPSec

Lorsque l’action est positionnée sur IPSEC, les options suivantes sont disponibles :

 VPN Tunnel

65
 Sélectionnez le nom du tunnel VPN défini dans la configuration phase1 (VPN>IPsec).
Le tunnel spécifié sera sujet à cette règle de cryptage pare-feu.

 Allow Inbound

Activez cette option pour permettre au trafic d’un client ou d’ordinateurs «dialup »
d’un réseau privé distant de démarrer le tunnel.

 Allow Outbound

Activez cette option pour permettre au trafic à partir d’ordinateurs du réseau privé
local de démarrer le tunnel.

 Inbound NAT

Activez cette option pour translater les adresses IP source de paquets entrants
décryptés en adresse IP de l’interface FortiGate au réseau privé local.

 Outbound NAT

Activez cette option en combinaison avec une valeur CLI natip pour translater les
adresses sources des paquets sortants en clair en une adresse IP que vous spécifiez. Ne pas
sélectionnez cette option à moins que vous n’ayez spécifié une valeur natip à partir du CLI.
Dans ce cas, les adresses source de paquets IP sortants sont remplacées avant que les
paquets ne soient envoyés à travers le tunnel.

5.2). Options des règles pare-feu VPN SSL

Lorsque l’Action est positionnée sur SSL-VPN, les options suivantes sont disponibles :

Remarque : L’option VPN SSL est disponible à partir de la liste Action après qu’un ou plusieurs
groupes d’utilisateurs aient été créés.

Figure 44:illustration d'option de règle pare-feu VPN SSL

 Certificat Client SSL Restrictive

Autorise le trafic généré par des titulaires d’un certificat de groupe. Ces titulaires doivent
être des membres d’un groupe d’utilisateurs VPN SSL.

66
  Authentification Utilisateur
Pour ajouter des règles d’authentification cliquez sur Add.

Figure 45:illustration des règles d'authentification de l’option VPN SSL

Méthode :

 Si le groupe d’utilisateurs lié à cette règle de pare-feu est un groupe d’utilisateurs

local, sélectionnez Local.
 Si les clients à distance seront authentifiés par un serveur RADIUS externe,
sélectionnez Radius.
 Si les clients à distance seront authentifiés par un serveur LDAP externe,
sélectionnez LDAP.
 Sélectionnez Any pour activer toutes les méthodes d’authentification ci-dessus.
L’authentification Local est tentée en premier, suivit de Radius et ensuite LDAP.

Sélectionnez le nom du groupe d’utilisateurs nécessitant un accès VPN SSL. Ne

sélectionnez pas plus d’un groupe d’utilisateurs à moins que tous les membres des groupes
d’utilisateurs sélectionnés aient des exigences d’accès identiques.

Pour déterminer le niveau de cryptage SSL à utiliser sélectionner traffic Shapping et

donnez une priorité au trafic sélectionné.

6). Service Pare-feu

La fonctionnalité Service permet de déterminer les types de communication qui
seront acceptés ou refusés par le pare-feu. Vous pouvez ajouter un ou plusieurs service(s)
prédéfini(s) au choix à une règle. Vous pouvez également créer des services personnalisés
pour chaque domaine virtuel et ajouter des services à des groupes de services.

67
 6.1). Visualisation de la liste des services prédéfinis
Dans le menu principal, sélectionnez Pare-feu > Service pour visualiser la liste des
services prédéfinis.

Figure 46:illustration de visualisation de la liste des services prédéfinis

 Authentication Header (AH)

Authentication Header, AH fournit une authentification de l’hôte source et

l’intégrité des données, mais pas de secret. Ce protocole est utilisé pour l’authentification
par les passerelles IPSec distantes définies en mode agressif.

 ANY

Convient aux connexions à n’importe quel port. Une connexion utilisant n’importe
lequel des services prédéfinis est autorisée à travers le pare-feu.

 AOL

Protocole de messagerie instantanée.

68
  BGP

Protocole de routage Border Gateway Protocol. BGP est un protocole de routage

intérieur/extérieur.

 DHCP

Dynamic Host Configuration Protocol alloue des adresses réseau et livre des
paramètres de configuration à partir de serveurs DHCP vers les hôtes.

 DNS

Domain Name Service pour la traduction de noms de domaines en adresse IP.

 ESP

Encapsulating Security Payload. Ce service est utilisé par les tunnels VPN en clé
manuelle pour communiquer des données cryptées.

 FINGER

Un service réseau fournissant des informations sur les utilisateurs.

 FTP

Service FTP pour le transfert de fichiers.

 FTP_GET

Service FTP pour le téléchargement de fichiers reçus.

 FTP_PUT

Service FTP pour le téléchargement de fichiers « à envoyer ».

 GOPHER

Service de communications GOPHER. Il organise et affiche les contenus d’un

serveur Internet sous forme de liste de fichiers structurés hiérarchiquement.

 GRE

Generic Routing Encapsulation. Un protocole permettant à un protocole réseau

arbitraire d’être transmis sur tout autre protocole réseau arbitraire, en encapsulant les
paquets du protocole dans des paquets GRE.

 H323

Protocole multimédia H.323. Il s’agit d’un standard approuvé par ITU

(International Telecommunication Union) définissant comment les données de conférences
audiovisuelles sont transmis à travers les réseaux.

69
  HTTP

HTTP est le protocole utilisé par la toile web mondiale pour le transfert de
données pour les pages web.

 HTTPS

HTTPS est un service SSL (Secure socket layer) pour des communications sécurisées des
serveurs web.

 ICMP_ANY

Internet Control Message Protocol est une console de messages et un protocole

de rapport d’erreurs entre un hôte et une passerelle (Internet).

 IKE

IKE est chargé de négocier la connexion. Avant qu'une transmission IPSec puisse
être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en
échangeant des clés partagées.

 IMAP

Internet Message Access Protocol est un protocole utilisé pour la réception de

courriers électroniques.

 INFO_ADDRESS

Messages de requêtes d’informations ICMP.

 INFO_REQUEST

Messages de requêtes de masque d’adresses ICMP.

 IRC

Internet Relay Chat permet aux personnes connectées à Internet de rejoindre

des discussions en ligne.

 Internet Locator Service

Internet Locator Service comprend LDAP, User Locator Service, et LDAP sur TLS
(Transport Layer Security protocoles de sécurisation des échanges sur Internet).

 L2TP

L2TP est un protocole tunnel en mode PPP pour l’accès à distance.

70
  LDAP

Lightweight Directory Access Protocol est un ensemble de protocoles utilisés

pour accéder aux informations des services d’annuaires.

 NFS

Network File System autorise les utilisateurs du réseau d’accéder à des fichiers
partagés stockés sur des ordinateurs de différents types.

 NNTP

Network News Transport Protocol est un protocole utilisé pour envoyer,

distribuer et recevoir des messages USENET.

 NTP

Network Time Protocol pour la synchronisation de la date et l’heure avec un

serveur NTP.

 NetMeeting

NetMeeting autorise les utilisateurs de participer à des téléconférences via

Internet comme moyen de transmission.

 OSPF

Open Shortest Path First est un protocole de routage commun d’état de lien.

 PC-Anywhere

PC-Anywhere est un protocole de contrôle à distance et de transfert de

fichiers.

 PING

ICMP echo request/reply pour tester des connexions vers d’autres machines.

 POP3

Post Office Protocol est un protocole email pour le téléchargement de

courriers électroniques à partir d’un serveur POP3.

 PPTP

Point-to-Point Tunneling Protocol est un protocole permettant aux

organisations d’étendre leur propre réseau organisationnel à travers des tunnels privés sur
l’Internet public.

 RAUDIO

71
 Pour fluer le trafic multimedia audio réel.

 RIP

Routing Information Protocol est un protocole commun de routage à vecteur

de distance.

 RLOGIN

Service RLOGIN pour la connexion à distance à un serveur.

 SAMBA

Samba autorise les clients Microsoft Windows à utiliser les services de fichier et
d’impression à partir d’hôtes TCP/IP.

 SIP

Session Initiation Protocol définit comment les données de conférence

audiovisuelle sont transmises à travers les réseaux.

 SIP- MSNmessenger

Session Initiation Protocol est utilisé par Microsoft Messenger pour initier par
Microsoft Messenger pour initier.

 SMTP

Simple Mail Transfer Protocol est utilisé pour l’envoi de mail entre serveurs
emails sur Internet.

 SNMP

Simple Network Management Protocol est un ensemble de protocoles pour la

gestion de réseaux complexes.

 SSH

Secure Shell est un service pour connexions sécurisées d’ordinateurs lors

d’administrations distantes.

 SYSLOG

Service syslog pour connexion à distance.

 TALK

Un protocole supportant des conversations entre deux ou plusieurs utilisateurs.

 TCP

72
 Tous les ports TCP de 0 jusqu’à 65535.

 TELNET

Service Telnet pour des connexions vers un ordinateur d’administration pour en

prendre les commandes.

 TFTP

Trivial File Transfert Protocol est un protocole de transfert simple de fichiers

similaire à FTP mais sans fonctionnalités de sécurité.

 TIMESTAMP

Messages de requêtes ICMP timestamp.

 UDP

Tous les ports UDP de 0 jusqu’à 65535.

 UUCP

Unix to Unix copy utility, un protocole simple de copiage de fichiers.

 VDOLIVE

Pour fluer le trafic multimedia VDO live.

 WAIS

Wide Area Information Server est un protocole de recherche Internet.

 WINFRAME

Pour des communications WinFrame entre des ordinateurs munis de Windows NT.

6.2). Configuration des services personnalisés

Des services personnalisés peuvent être créés lors de la configuration d’une règle
pare-feu en sélectionnant Créer Nouveau de la liste Service déroulante.

Pour ajouter un service personnalisé :

1. Sélectionnez Pare-feu > Service > Personnalisé.

2. Positionnez le Type de Protocole sur le Protocole que vous voulez.
3. Configurez les paramètres associés.

73
Figure 47:illustration de configuration d'un service personnalisé

7). Protéger un serveur avec DMZ

Une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est un sous-réseau
séparé du réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-
feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis
Internet.

Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les
services susceptibles d'être accédés depuis Internet seront situés en DMZ.

La configuration la plus répandue pour un réseau connecté à Internet est une

configuration avec firewall et zone démilitarisée (DMZ). Un firewall est placé entre Internet,
le réseau local LAN, et une zone spéciale appelée DMZ, qui contient serveurs Web,
Extranets, FTP, etc…, qui doit pouvoir être accédée d’Internet et du LAN local. La DMZ est
une sorte de zone tampon entre l’extérieur et le réseau interne:

Dans cet exemple, le réseau DMZ permet d'accéder à un serveur web en utilisant des
adresses différentes pour des utilisateurs internes et externes, tout en empêchant l'accès à
partir du serveur Web au réseau interne lorsque le serveur Web est compromis.

Une politique WAN-to-DMZ sécurité avec une adresse IP virtuelle (VIP) cache
l'adresse DMZ du serveur Web, permettant aux utilisateurs externes d'accéder au serveur
Web en utilisant une adresse IP publique (dans cet exemple, 172.20.120.22). Un interne à la
politique de sécurité DMZ avec NAT désactivé permet aux utilisateurs internes d'accéder au
serveur Web en utilisant son adresse DMZ (10.10.10.22). Ces deux politiques de sécurité ne
permettent l'accès au serveur Web en utilisant HTTP et HTTPS. Aucun autre accès n’est
autorisé.

74
 7.1). Configuration de l'interface FortiGate DMZ
Aller à Système> Réseau> Interfaces, édit l'interface DMZ.
Figure 48:illustration de configuration de l’interface DMZ

7.2). Création d'IP virtuelles (VIP)

Aller à la Politique & Objets> Objets> IPs virtuels. Créer deux IPs virtuels: l'un pour
l'accès HTTP et un pour l'accès HTTPS.

Dans cet exemple, l'adresse Internet du serveur Web est 172.20.120.22.

75
Figure 49:illustration de création de première d'IP virtuel

Figure 50: illustration de création de deuxieme d'IP virtuel

7.3). Création du politique de sécurité

Aller à la Politique & Objets> Politique> IPv4. Créer une politique de sécurité pour
permettre trafic HTTP et HTTPS à partir d'Internet à l'interface DMZ et le serveur web.

Vous pouvez également activer le logging pour toutes les sessions pour le rendre
plus facile à tester la configuration.

76
Figure 51:illustration de création de la première politique de sécurité

Créer une deuxième politique de sécurité pour permettre trafic HTTP et HTTPS à
partir du réseau interne à l'interface DMZ et le serveur web.

L'ajout de cette politique permet au trafic de passer directement à partir de

l'interface interne à l'interface DMZ.

Figure 52: illustration de création de la deuxième politique de sécurité

77
 7.4). Résultat
Figure 53:illustration de résultat

VI. Utilisateurs
Cette partie explique comment installer des comptes utilisateurs, des groupes
d’utilisateurs et des serveurs d’authentification externes. Certains composants de
l’authentification de l’utilisateur permettent de contrôler l’accès aux ressources du réseau.

1). Configuration de l’authentification d’un utilisateur

L’authentification FortiGate contrôle l’accès par les groupes utilisateurs. La création
de groupes d’utilisateurs n’est pas la première étape de la configuration de
l’authentification. Vous devez configurer l’authentification d’un utilisateur en utilisons les
choix suivant :

1. une authentification externe utilisant des serveurs RADIUS ou LDAP.

2. Configurez des comptes utilisateurs locaux dans Utilisateur > Local. Pour chaque
utilisateur, le mot de passe peut être authentifié par le boîtier FortiGate.
3. utilisation d’un serveur Microsoft Windows Active Directory pour l’authentification.
4. Créez des groupes d’utilisateurs dans Utilisateur > Groupe utilisateur et ajoutez des
membres.

2). Serveurs Windows AD

L'objectif principal d'Active Directory est de fournir des services centralisés
d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows.
Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et
l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les
éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les
postes de travail, les dossiers partagés (en), les imprimantes, etc. Un utilisateur peut ainsi
facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leur
utilisation grâce à des fonctionnalités de distribution, de duplication, de partitionnement et

Active Directory introduit la notion de hiérarchie, inhérente aux annuaires objets

dérivés de X.500, sous la forme d'une arborescence dans laquelle les utilisateurs et les
ordinateurs sont organisés en groupes et sous-groupes afin de faciliter l'administration des

78
droits et restrictions utilisateur. C'est aussi Active Directory qui gère l'authentification des
utilisateurs sur le réseau Windows. Active Directory exploite cette notion de hiérarchie
intensivement, puisque l'entité de sécurité appelée « domaine » est également hiérarchisée
dans un ensemble partageant un espace de nom commun, appelé « arborescence », enfin,
l'entité de plus haut niveau regroupant les arborescences de domaines constitue la forêt
Active Directory.

Sur les réseaux utilisant des serveurs Windows Active Directory (AD) pour
l’authentification, les boîtiers FortiGate peuvent authentifier les utilisateurs de manière
transparente, sans avoir à leur demander leur compte utilisateur et mot de passe. Vous
devez pour cela installer le Fortinet Server Authentication Extensions (FSAE) sur le réseau et
configurer le boîtier FortiGate pour retrouver les informations du serveur Windows AD.

Sélectionnez Utilisateur > Remote>LDAP pour configurer les serveurs Windows AD.

Figure 54: illustration de configuration de serveur AD

Nom/Adresse IP

Entrez un nom de domaine ou une adresse IP du serveur LDAP.

Port

Entrez le port utilisé pour communiquer avec le serveur LDAP. Par défaut, LDAP
utilise port 389.

Identifiant Nom Commun

Entrez l’Identifiant Nom Commun pour le serveur LDAP. Ce champ est limité à 20
caractères. Pour la plupart des serveurs LDAP cet identifiant est cn. Cependant certains
serveurs utilisent un autre l’identifiant tel que uid.

79
Distinguished Name

Entrez le distinguished name utilisé pour rechercher des entrées sur le serveur LDAP.
Entrez le distinguished name de base pour le serveur utilisant le format LDAP. Le boîtier
FortiGate transfère ce distinguished name inchangé au serveur.

Par exemple, vous pouvez utiliser le distinguished name de base suivant :

ou=marketing,dc=fortinet,dc=com où ou est le département dans l’organisation et dc, le
composant du domaine. Vous pouvez également spécifier des instances multiples du même
champ dans le distinguished name, par exemple, pour spécifier de multiples unités
organisationnelles : ou=account,ou=marketing,dc=fortinet,dc=com

3). Conclusion
On ce chapitre on a pu faire une description très détaillé de différents outils
d’administration de boitier FortiGate (système réseau, politique de sécurité et firewall,
serveur AD), ainsi que comment les configurer.

80
 Conclusion Générale

L’objectif principal de mon stage c’est de réaliser un guide d’administration qui est
simple pour faciliter au service technique de la société Webhelp d’administrer le boitier
FortiGate et maitrisé ces fonctions pour mieux les exploiter à fin d’élaborer une meilleure
solution réseau et de protéger la société contre les menaces malveillantes.

On n’a pas pu traiter tous les fonctionnalités de fortiGate, mais pour enrichir ce
guide d’administration il est préalable d’ajouter ces fonctionnalité suivant : services
Fortiguard, Certificats VPN, IM/P2P, system sans fil.

En effet, ce stage est une expérience significative dans notre parcours professionnel,
enfin, je tiens à exprimer ma satisfaction d’avoir pu travailler dans des bonnes conditions
matérielles et un environnement agréable.

Cette expérience en marché de travail nous a offert une bonne préparation à notre
insertion professionnelle car elle fut pour nous une expérience enrichissante et complète qui
conforte notre désir d’exercer notre futur métier dans le domaine de l’informatique.

81
 Webographie

http://www.tomshardware.fr

http://cookbook.fortinet.com/

docs.fortinet.com

http://searchsecurity.techtarget.com

82